Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Sgsi vs plan director si

1,425 views

Published on

La presentación contiene, a un alto nivel, diferencias claves entre implementar un SGSI y nivelar el área de SI a través de la definición de un Plan Director de SI #SGSI #seguridad #infosec #PlanDirectorSI

Published in: Education
  • Be the first to comment

  • Be the first to like this

Sgsi vs plan director si

  1. 1. SGSI vs. Plan Directorde Seguridad de laInformaciónJunio, 2013Seguridad de la Información
  2. 2. Contenido2• Seguridad de la Información vs. Seguridad Informática• Sistema de Gestión de Seguridad de la Información (SGSI)• Plan Director de Seguridad de la Información• Consideraciones SGSI• Consideraciones Plan Director• Comparativo SGSI vs. Plan Director
  3. 3. Seguridad de la InformaciónOrganización SeguridadRRHHSeguridad FísicaRegulación y CumplimientoSeguridad de la Información vs. Seguridad Informática3AplicacionesSistemas OperativosBases de DatosServidores
  4. 4. Sistema de Gestión de Seguridad dela Información4Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjuntode procesos, políticas, y procedimientos organizados de manera lógica ysoportados por objetivos a nivel estratégico:• Permite organizar las medidas de seguridad de acuerdo a objetivos de negocioy reducir los riesgos a niveles aceptables, cambiando el escenario actualdonde la seguridad es un gasto y transformándola en una herramienta paraviabilizar negocios más seguros y mejor gestionados.
  5. 5. Plan Director de Seguridad de la Información5El Plan Director de Seguridad de la Información incluye la definición de:• Marco de Gobierno: organización, roles y responsabilidades, plan decapacitación, métricas de desempeño, acuerdos de niveles de servicio• Plan Estratégico: estado actual, estado futuro, iniciativas corto, mediano ylargo plazo, plan de capacitación• Marco Normativo: políticas y procedimientos, plan de sensibilizaciónPermite organizar el área responsable de Seguridad de la Información con unenfoque basado en mejores prácticas.
  6. 6. Consideraciones SGSIPlanificación• Principales Actividades: Esquema de Gestión del Proyecto, Plande Capacitación• Tiempo estimado: 1 mesEjecución• Principales actividades: Alineación Estratégica, Análisis de Riesgos(Definición metodología y ejecución), Requisitos ISO27001 (Gestióndocumental, Mejora continua, Auditoría Interna)• Tiempo estimado: 3-4 mesesPre-auditoría• Principales Actividades: Definición y ejecución de revisiónindependiente (otro equipo de trabajo). Resolución de hallazgosrelacionados con proyecto (requisitos)• Tiempo estimado: 1 mes6
  7. 7. Consideraciones Plan Director de Seguridad de la InformaciónPlanificación• Principales Actividades: Esquema de Gestión del Proyecto, Plande Capacitación• Tiempo estimado: 0,5 mesesEjecución• Principales actividades: Análisis de situación actual, definiciónde estrategia y hoja de ruta de iniciativas• Tiempo estimado: 1-2 mesesApoyo yAsesoría• Principales Actividades: Definición de principales políticas,procedimientos y documentos de configuración• Tiempo estimado: 1 mes7
  8. 8. ComparativoSGSI vs. Plan Director8Característica SGSI Plan DirectorAlcance TI, Seguridad, RRHH,Legal/Regulatorio yNegocio (depende delalcance definido)Seguridad y TIDuración 5-6 meses 2-3 mesesPrincipales Actividades Análisis de Riesgos(Impacto y Probabilidad)Gestión documental(requisitos ISO 27001)Políticas yprocedimientosAnálisis de Brecha (S.Actual y Futura)Definición de estrategiaDefinición de hoja de rutaPolíticas yprocedimientosPersonas Todas (de acuerdo alalcance)Seguridad y TI. Serecomienda dictar cursosde sensibilizaciónImpacto Muy Alto MedioRecursos Alto Medio

×