Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005

5,569 views

Published on

Published in: Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,569
On SlideShare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
337
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005

  1. 1. Sistema de Gestión de la Protección de Datos Seguridad de la Información ISO/IEC 27001:2005 Fundamentales Puntos En la actualidad son muchos los factores a tener de información puede ocasionar daños en cuenta en lo relativo a la gestión de la importantes en los desarrollos corporativos. seguridad de la información (SGSI), un aspecto La implantación de Sistemas de Gestión de que día a día va adquiriendo más protagonismo, Seguridad de la Información (SGSI) según los convirtiéndose en uno de los principales activos estándares de la Norma ISO/IEC 27001:2005 de cualquier organización. facilita a la empresa los instrumentos Los planes de contingencia y de continuidad de necesarios y más eficaces para asegurar la negocio cobran especial relevancia a la hora de protección de la información susceptible de abordar cualquier proyecto TIC. Ya son muchos y intercepciones no autorizadas y salvaguardar muy frecuentes los escenarios donde la pérdida la exactitud e integridad de sus activos.
  2. 2. Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005 ¿QUÉ ES LA NORMA ISO/IEC 27001:2005? > Cumplir con las Leyes y Reglamentaciones vigentes (UE, La Norma ISO/IEC 27001:2005 es una norma Estatales, Autonómicas, Locales). de carácter internacional que se utiliza como referencia para el desarrollo de un Sistema de Gestión de Seguridad de la Información (SGSI). Puede ser auditada por un organismo externo (Bureau Veritas Certificación, DNV, SGS, etc.) y, por tanto, certificada como prueba de compromiso asumido por la Dirección y por el Personal de la organización. ¿QUÉ ES UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN? De forma resumida, un Sistema de gestión de Seguridad de la Información (SGSI) consiste en un conjunto de: OBJETIVOS DE NUESTROS PROYECTOS > Estructura Organizativa DE IMPLANTACIÓN DE UN SGSI > Activos físicos (hard y soft) Definir e implementar un Sistema de > > Conocimiento Gestión de Seguridad de la Información, basado en los requisitos > Procedimientos de la norma ISO/IEC 27001:2005, y > Recursos Humanos obtener la Certificación por un organismo acreditado. Puestos a disposición por la Dirección de la empresa con el único objetivo de asegurar la > Implantar un método óptimo de confidencialidad, disponibilidad e integridad Organizar la Seguridad de la de la información y los datos existentes. Información en todos los ámbitos de la empresa, incluido software, Se trata de asegurar los siguientes requisitos: hardware, así como el área de > Garantizar la confidencialidad, desarrollo, incluyendo instalaciones integridad y disponibilidad de la físicas, personal y estaciones de información a todos los niveles. trabajo, así como Centro de Procesamiento de Datos (CPD) en el > Reducir los riesgos a niveles caso de que existiera en la entidad. aceptables. 2 de 5
  3. 3. Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005 VENTAJAS DE LA IMPLANTACIÓN DE UN facturación, pedidos, productos, etc. SGSI entre diferentes organizaciones. A nivel interno: > Mejora de la Imagen Corporativa. > Mejorar la organización y asignación > Establecer un Lenguaje común entre de responsabilidades en lo relativo a clientes. Proveedores y terceras la seguridad de la información en la partes. empresa. > Permite documentar y estandarizar las actividades referentes a la gestión de la seguridad de la información. > Disminuir el riesgo derivado de posibles usos de información confidencial por parte de personal ajeno. > Conseguir un Sistema que aprenda de los errores y evolucione de manera constante. > Involucrar al personal como parte activa y creativa en el proyecto. > Aumentar la rentabilidad a medio y corto plazo, al disminuir la probabilidad de pérdidas y fugas en ¿CÓMO IMPLANTAR UN SGSI? el sistema de información de la entidad. El proceso de implantación de un Sistema de A nivel externo: Gestión de la Seguridad de la Información pasa por las siguientes fases: > Mayor estabilidad y posicionamiento en su mercado debido a que se puede FASE 1. Estudio de objetivos, prever que la certificación será casi requerimientos y necesidades de seguridad. una obligación para cualquier Identificación de los objetivos y empresa que desee competir. requerimientos de seguridad del Sistema de Información de la Organización. Inventariado > Evitar la apertura de brechas de de los activos de la Organización. seguridad al interrelacionar sistemas de clientes, control de stock, 3 de 5
  4. 4. Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005 FASE 2 - Análisis de riesgos. Identificación de FASE 6 - Auditoría interna del SGSI. las vulnerabilidades y amenazas de seguridad Ejecución de una auditoría interna del SGSI de la información que recaen sobre los después de su implantación, Los resultados de servicios, procesos y activos de la esta auditoría son registros exigidos como Organización, así como la probabilidad e evidencia por la norma ISO/IEC 27001:2005, impacto de materialización de dichas además de ser una entrada fundamental para amenazas. El análisis exhaustivo de los riesgos la revisión del SGSI por la Dirección. de seguridad de la información será la piedra FASE 7 - Auditoría externa de certificación. angular para orientar adecuadamente el Certificación del SGSI por un organismo enfoque del SGSI. externo acreditado por la UKAS, resolución de FASE 3 - Selección de objetivos de control y las posibles no conformidades detectadas. controles. Selección de los controles necesarios para tratar los riesgos detectados en la FASE 2, y documentar esta selección en un plan de tratamiento del riesgo, documento fundamental de un SGSI y como tal exigido por la norma ISO/IEC 27001:2005. Este plan de tratamiento del riesgo se verá complementado y ampliado con el desarrollo de un plan director de seguridad en la FASE 7. FASE 4 - Formalización del SGSI. Documentación de todas las políticas, programas y procedimientos del SGSI exigidos por la norma ISO/IEC 27001:2005 y necesarios para gestionar los riesgos de seguridad de la información de la Organización. MAGERIT: METODOLOGÍA PARA LA IMPLANTACIÓN DE UN SGSI FASE 5 - Plan de implementación de controles. Identificación del grado de Magerit es una de las metodologías de Análisis desviación entre la situación deseada para los y Gestión de Riesgos de los Sistemas de controles y procesos del SGSI y la situación Información. Frente a otras metodologías, actual de madurez de la Organización a este Magerit ha sido desarrollada 100% por respecto. Desarrollo de un plan director de expertos españoles en SGSI y próximamente seguridad de la información. será traducida a numerosos idiomas en por su óptimos resultados en su aplicación. 4 de 5
  5. 5. Sistema de Gestión de Seguridad de la Información Norma ISO/IEC 27001:2005 Los objetivos de Magerit son: CONSIDERACIONES FINALES > Ofrecer un método sistemático para analizar los riesgos que puedan > La duración aproximada hasta lograr afectar al Sistema de Información. la certificación es de entre 6 y 9 > Dar soporte para descubrir y meses. planificar las medidas oportunas para > El desarrollo del Proyecto incluye mantener los riesgos bajo control. tramitación y seguimiento de las > Apoyar a la organización en procesos correspondientes Subvenciones, las de evaluación, auditoría certificación cuales llegan a cubrir la implantación > Concienciar a los responsables de los y certificación. Sistemas de Información de la existencia de riesgos y la necesidad de atajarlos a tiempo. ascêndia reingeniería + consultoría colabora con las siguientes Organizaciones Instituto Nacional de Asociación Española Socios de Socio fundador del Tecnologías de la para el Fomento de Asociación comité de Andalucía de Información la Seguridad de la Andaluza de ITSMF (Information Información Comercio Technology Service Electrónico Management Forum) www.inteco.es www.ismsforum.es www.andce.es www.itsmf.es www.ascendiarc.com - info@ascendiarc.com 5 de 5 Avda. Padre García Tejero, 6, Torre B, Local. 41012 – Sevilla T. 954 298 201 - 902 111 024 F. 954 629 674

×