<ul><li>Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesa...
<ul><li>La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protecci...
<ul><li>Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estru...
<ul><li>La seguridad de la información se caracteriza como la preservación de: </li></ul><ul><li>su  confidencialidad , as...
<ul><li>Las empresas deberán establecer, mantener  y documentar un sistema de gestión de la seguridad de la información (S...
<ul><li>Un SGSI se define como la parte del sistema de gestión global, basada en una orientación a riesgo de negocio, para...
<ul><li>Reducción de Riesgos </li></ul><ul><li>Ahorro económico </li></ul><ul><li>Calidad a la seguridad </li></ul><ul><li...
<ul><li>El diseño y la implantación de un SGSI se encuentran influenciados por las necesidades, los objetivos, los requisi...
Naturaleza de un SGSI
<ul><li>Sistema de Seguridad que refleje los objetivos de la empresa </li></ul><ul><li>Estrategia de implantación alineado...
La Seguridad de la Información es un proceso de gestión, NO un proceso tecnológico.
<ul><li>La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, chequear, revisar, mant...
<ul><ul><li>La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar...
<ul><li>La organización debe determinar y proporcionar los recursos necesarios para: </li></ul><ul><ul><li>establecer, imp...
Capacitación, conocimiento y capacidad <ul><li>Se debe determinar los perfiles requeridos del personal al que se le asigna...
 
Modelo PDCA
<ul><li>Definir la política de seguridad </li></ul><ul><li>Determinar el alcance del proyecto </li></ul><ul><li>Identifica...
<ul><li>Elaborar el plan de tratamiento del riesgo </li></ul><ul><li>Implementar y operar la política, controles, procesos...
<ul><li>Evaluar  y medir el rendimiento del proceso contra la política, los objetivos, e informar de los resultados a la D...
<ul><li>Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la r...
<ul><li>El alcance del SGSI </li></ul><ul><li>La política de seguridad </li></ul><ul><li>La descripción de la metodología ...
 
<ul><li>Definir el alcance del SGSI </li></ul><ul><li>Definir la política de seguridad </li></ul><ul><li>Gestión del Riesg...
<ul><li>Definir el alcance y los límites del SGSI en función de las características del negocio, la organización, localiza...
<ul><li>Proporcionar a la gerencia la dirección y soporte para la seguridad de la información en concordancia con los requ...
<ul><li>La política debería reflejar cuestiones como: </li></ul><ul><ul><li>¿Por qué la información es importante y estrat...
Objetivos de seguridad
<ul><li>La estructura organizativa debería consistir en un Comité de Seguridad dirigido por un miembro de la dirección y q...
<ul><li>El Responsable de Seguridad de la Organización debería ser una parte fundamental del comité y coordinar los esfuer...
Upcoming SlideShare
Loading in …5
×

Auditoria de Sistemas Informacion como un activo.

3,140 views

Published on

Published in: Technology
0 Comments
5 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,140
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
251
Comments
0
Likes
5
Embeds 0
No embeds

No notes for slide
  • El Plan de seguridad de la información debe estar alineado a los objetivos estratégicos.
  • Equilibrio entre los intereses comerciales y los de seguridad de la información.
  • Auditoria de Sistemas Informacion como un activo.

    1. 1. <ul><li>Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. </li></ul><ul><li>La información puede estar: </li></ul><ul><ul><li>Impresa o escrita en papel. </li></ul></ul><ul><ul><li>Almacenada electrónicamente. </li></ul></ul><ul><ul><li>Trasmitida por correo o medios electrónicos </li></ul></ul><ul><ul><li>Mostrada en filmes. </li></ul></ul><ul><ul><li>Hablada en conversación. </li></ul></ul>Qué es Información?
    2. 2. <ul><li>La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. </li></ul><ul><li>Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene. </li></ul>Qué es Seguridad de Información?
    3. 3. <ul><li>Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad </li></ul>Qué es Seguridad de Información?
    4. 4. <ul><li>La seguridad de la información se caracteriza como la preservación de: </li></ul><ul><li>su confidencialidad , asegurando que sólo quienes estén autorizados pueden acceder a la información; </li></ul><ul><li>su integridad , asegurando que la información y sus métodos de proceso son exactos y completos. </li></ul><ul><li>su disponibilidad , asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. </li></ul>Qué es Seguridad de Información?
    5. 5. <ul><li>Las empresas deberán establecer, mantener y documentar un sistema de gestión de la seguridad de la información (SGSI). </li></ul>Normativa SBS
    6. 6. <ul><li>Un SGSI se define como la parte del sistema de gestión global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear y mejorar la seguridad de la información. </li></ul><ul><li>Incluye </li></ul><ul><li>Estructura, políticas, procesos, responsabilidades, practicas, procedimientos y recursos. </li></ul>Qué es un SGSI?
    7. 7. <ul><li>Reducción de Riesgos </li></ul><ul><li>Ahorro económico </li></ul><ul><li>Calidad a la seguridad </li></ul><ul><li>Cumplimiento legal </li></ul><ul><li>Competitividad en el mercado </li></ul>Beneficios de un SGSI
    8. 8. <ul><li>El diseño y la implantación de un SGSI se encuentran influenciados por las necesidades, los objetivos, los requisitos de seguridad, los procesos, los empleados, el tamaño, los sistemas de soporte y la estructura de la organización. </li></ul>Naturaleza de un SGSI
    9. 9. Naturaleza de un SGSI
    10. 10. <ul><li>Sistema de Seguridad que refleje los objetivos de la empresa </li></ul><ul><li>Estrategia de implantación alineado con la cultura organizacional </li></ul><ul><li>Apoyo y compromiso de la Alta Gerencia </li></ul><ul><li>Un claro entendimiento de los requerimientos de seguridad </li></ul><ul><li>Comunicación eficaz de los temas de seguridad </li></ul><ul><li>Distribución de guías sobre políticas y estándares de seguridad </li></ul><ul><li>Instrucción y entrenamiento apropiados </li></ul><ul><li>Un sistema de medición para analizar la aplicabilidad del Sistema de Seguridad </li></ul>Factores críticos de éxito
    11. 11. La Seguridad de la Información es un proceso de gestión, NO un proceso tecnológico.
    12. 12. <ul><li>La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, chequear, revisar, mantener, y mejorar el SGSI, a través de las siguientes acciones: </li></ul><ul><ul><li>Formulando la política del SGSI </li></ul></ul><ul><ul><li>Velando por el establecimiento de los objetivos y planes del SGSI </li></ul></ul><ul><ul><li>Estableciendo los roles y responsabilidades en materia de seguridad de la información </li></ul></ul><ul><ul><li>Comunicando a la organización la importancia de cumplir los objetivos y la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua </li></ul></ul>Responsabilidad de la Dirección
    13. 13. <ul><ul><li>La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI, a través de las siguientes acciones: </li></ul></ul><ul><ul><li>Proporcionando recursos suficientes para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI </li></ul></ul><ul><ul><li>Participando en la decisión de los criterios de aceptación de riesgos y los niveles aceptables de riesgos </li></ul></ul><ul><ul><li>Velando por que se realicen las auditorias internas del SGSI </li></ul></ul><ul><ul><li>Dirigiendo las revisiones del SGSI </li></ul></ul>Responsabilidad de la Dirección
    14. 14. <ul><li>La organización debe determinar y proporcionar los recursos necesarios para: </li></ul><ul><ul><li>establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI; </li></ul></ul><ul><ul><li>asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales; </li></ul></ul><ul><ul><li>identificar y tratar los requerimientos legales y reguladores y las obligaciones de seguridad contractuales; </li></ul></ul><ul><ul><li>mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados; </li></ul></ul><ul><ul><li>llevar a cabo revisiones cuando sean necesarias, y reaccionar apropiadamente ante los resultados de estas revisiones; </li></ul></ul><ul><ul><li>donde se requiera, mejorar la efectividad del SGSI. </li></ul></ul>Provisión de Recursos
    15. 15. Capacitación, conocimiento y capacidad <ul><li>Se debe determinar los perfiles requeridos del personal al que se le asigna responsabilidades en el SGSI y diagnosticar sus necesidades de entrenamiento. </li></ul><ul><li>Capacitar y seleccionar al personal para satisfacer los perfiles requeridos. </li></ul><ul><li>Efectuar una evaluación de la eficacia del entrenamiento efectuado. </li></ul><ul><li>Mantener expedientes del personal, donde se detallen: </li></ul><ul><ul><li>educación recibida, </li></ul></ul><ul><ul><li>capacitación realizada, </li></ul></ul><ul><ul><li>capacidades desarrolladas, </li></ul></ul><ul><ul><li>experiencias profesionales y </li></ul></ul><ul><ul><li>calificaciones obtenidas. </li></ul></ul>
    16. 17. Modelo PDCA
    17. 18. <ul><li>Definir la política de seguridad </li></ul><ul><li>Determinar el alcance del proyecto </li></ul><ul><li>Identificar los activos de información </li></ul><ul><li>Análisis y evaluación del riesgo </li></ul><ul><li>Opciones para el tratamiento del riesgo </li></ul>Planificar (crear)
    18. 19. <ul><li>Elaborar el plan de tratamiento del riesgo </li></ul><ul><li>Implementar y operar la política, controles, procesos y procedimientos del SGSI. </li></ul>Hacer (implementar y operar)
    19. 20. <ul><li>Evaluar y medir el rendimiento del proceso contra la política, los objetivos, e informar de los resultados a la Dirección para su revisión. </li></ul>Chequear (monitorear y revisar)
    20. 21. <ul><li>Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI. </li></ul><ul><li>Consiste en llevar el SGSI a la excelencia en el tiempo. </li></ul>Actuar (mantener y mejorar)
    21. 22. <ul><li>El alcance del SGSI </li></ul><ul><li>La política de seguridad </li></ul><ul><li>La descripción de la metodología de evaluación del riesgo. </li></ul><ul><li>El reporte de evaluación del riesgo. </li></ul><ul><li>Los objetivos de control y los controles. </li></ul><ul><li>El plan de tratamiento del riesgo. </li></ul><ul><li>La declaración de aplicabilidad. </li></ul><ul><li>Los procedimientos necesarios para la organización, a fin de asegurar la planeación, la operación y el control efectivos de sus procesos de seguridad de la información. </li></ul><ul><li>Los registros requeridos por el SGSI. </li></ul>Documentar
    22. 24. <ul><li>Definir el alcance del SGSI </li></ul><ul><li>Definir la política de seguridad </li></ul><ul><li>Gestión del Riesgo </li></ul><ul><li>Seleccionar controles de seguridad </li></ul><ul><li>Aprobar el riesgo residual </li></ul><ul><li>Confeccionar una declaración de aplicabilidad </li></ul>Planificar el SGSI
    23. 25. <ul><li>Definir el alcance y los límites del SGSI en función de las características del negocio, la organización, localización, activos, tecnología e incluyendo los detalles de, y la justificación de cualquier exclusión del alcance. </li></ul><ul><li>El SGSI no tiene por qué abarcar toda la organización sino parte de sus servicios o procesos). </li></ul><ul><li>En el alcance se definirán todas las área, procesos, subprocesos o sistemas que serán considerados dentro del SGSI. </li></ul>Alcance del SGSI
    24. 26. <ul><li>Proporcionar a la gerencia la dirección y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. </li></ul><ul><li>La gerencia debe aprobar la política, y asegurarse de que todos los empleados la han recibido y entienden su efecto en sus tareas cotidianas </li></ul><ul><li>La política de seguridad es un documento muy general, una especie de &quot;declaración de intenciones&quot; de la Dirección, por lo que no pasará de dos o tres páginas. </li></ul>Política de seguridad
    25. 27. <ul><li>La política debería reflejar cuestiones como: </li></ul><ul><ul><li>¿Por qué la información es importante y estratégica para la Organización? </li></ul></ul><ul><ul><li>¿Qué son los requisitos legales y de negocio para la seguridad de la información? </li></ul></ul><ul><ul><li>¿Cuáles son las obligaciones contractuales relativas a procesos de negocio, clientes, empleados, etc.? </li></ul></ul><ul><ul><li>Qué pasos debe tomar la organización para garantizar la seguridad de la información </li></ul></ul>Política de seguridad
    26. 28. Objetivos de seguridad
    27. 29. <ul><li>La estructura organizativa debería consistir en un Comité de Seguridad dirigido por un miembro de la dirección y que incluyera representantes de áreas de negocio más importantes y del departamento de tecnología: </li></ul><ul><ul><li>Revisión y aprobación de la política de seguridad </li></ul></ul><ul><ul><li>Supervisión y control de los cambios significativos en la protección de activos </li></ul></ul><ul><ul><li>Revisión y seguimiento de incidencias </li></ul></ul><ul><ul><li>Aprobación de iniciativas en materia de seguridad </li></ul></ul>Estructura organizativa de seguridad
    28. 30. <ul><li>El Responsable de Seguridad de la Organización debería ser una parte fundamental del comité y coordinar los esfuerzos de seguridad de la Organización. El Responsable de Seguridad en función de la magnitud de la compañía debería formar y coordinar equipos de: </li></ul><ul><ul><li>Respuesta ante incidencias </li></ul></ul><ul><ul><li>Mantenimiento de seguridad </li></ul></ul><ul><ul><li>Formación en seguridad </li></ul></ul><ul><ul><li>Recuperación de desastres </li></ul></ul><ul><ul><li>Propietarios de la Política de Seguridad </li></ul></ul>Responsable de seguridad

    ×