Presentación sgsi janethpiscoya

19
Lic. Janeth Y. Piscoya M.

description

seguridad de la información

Transcript of Presentación sgsi janethpiscoya

Page 1: Presentación sgsi janethpiscoya

Lic. Janeth Y. Piscoya M.

Page 2: Presentación sgsi janethpiscoya

• El contenido de este tema está orientado a la

Seguridad de la Información que en particular trata de

mostrar las Normas Internacionales que rigen las

condiciones en el manejo seguro de información y la

importancia de aplicar un SGSI en las Organizaciones.

Page 3: Presentación sgsi janethpiscoya

Conceptos

Page 4: Presentación sgsi janethpiscoya

Normas Internacionales

• ISO/IEC 27000 que contiene las mejores prácticas recomendadas en materia de

Seguridad de la información para desarrollar, implementar y mantener especificaciones

para los Sistemas de Gestión de la Seguridad de la Información (SGSI).

• La mejor definición de SGSI está descrito por la ISO/IEC 27001 y ISO/IEC 27002 y

relaciona los estándares publicados por (ISO)

y la (IEC).

• ISO/IEC 27001 Es la certificación que deben obtener las organizaciones. Norma que

especifica los requisitos para la implantación

• del SGSI.

• ISO/IEC 27002 Información tecnología- Técnicas de Seguridad- Códigos de prácticas

para la Seguridad de la Información

Page 5: Presentación sgsi janethpiscoya

Normas Internacionales

• ISO 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de

implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos

de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie

de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de

implantación.

• ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de

medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y

de los controles relacionados.

• ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de

la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación

de un SGSI. Incluye partes de la ISO 13335.

• ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación de

entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

Page 6: Presentación sgsi janethpiscoya

Dominios de control ISO27001

Page 7: Presentación sgsi janethpiscoya

SGSI

Page 8: Presentación sgsi janethpiscoya

Para la implantación de un SGSI deben ser considerados, fundamentalmente,

los siguientes estándares:

• - El estándar ISO/IEC 17799:2005, “Código de Buenas Prácticas para la

Gestión de la Seguridad de la Información”, que enumera una serie de

medidas para proteger la información (en concreto, 133).

• - La norma UNE 71502: “Especificaciones para los Sistemas de Gestión de la

Seguridad de la Información”, que establece los requerimientos para el

diseño e implantación del SGSI.

• Uno de los aspectos más innovadores de un SGSI es el hecho de que

considera la seguridad de la información como un proceso de gestión. Frente

a la visión tradicional de la seguridad, contemplada desde un punto de vista

meramente técnico, el SGSI trata de lograr un equilibrio entre seguridad

física, técnica, procedimental y de personal.

Page 9: Presentación sgsi janethpiscoya
Page 10: Presentación sgsi janethpiscoya
Page 11: Presentación sgsi janethpiscoya

Implantar un SGSI

• implantar un SGSI deberá proceder, en primer

lugar, a la definición del alcance. Para ello, es

necesario determinar los procesos de negocio que

se encuentran incluidos en el SGSI, así como los

activos (hardware, software, información, etc.) que

soportan estos procesos y los departamentos

involucrados en el desarrollo de los mismos.

Page 12: Presentación sgsi janethpiscoya

Fase de Implantación SGSI

• Se establecerán normativas y procedimientos de

seguridad que desarrollarán las directrices generales

establecidas en el manual de gestión de la seguridad de

la información. Estas normativas corresponderán, por

tanto, a los controles establecidos por el estándar

ISO/IEC 17799: normativa de clasificación y tratamiento

de la información, de control de acceso lógico, control de

acceso físico, funciones y obligaciones del personal,

gestión de soportes, gestión de incidentes de seguridad,

copias de respaldo y recuperación, desarrollo y

mantenimiento de sistemas, continuidad de negocio y

planes de contingencia, etc.

Page 13: Presentación sgsi janethpiscoya

Dominio de Control de un SGSI

Page 14: Presentación sgsi janethpiscoya

Beneficios del SGI

• Facilita la trasparencia, al ser un sistema auditable por

terceros.

• Permite establecer una comparación con otras

organizaciones.

• Proporciona una medición objetiva del desempeño de la

seguridad.

• Permite a la Alta Dirección tomar responsabilidad y

control de los esfuerzos de seguridad.

• La implementación y éxito depende del nivel de madurez

de la Organización en sus procesos internos.

Page 15: Presentación sgsi janethpiscoya

Implementación de un SGSI exitoso

Un requerimiento fundamental a

considerar para garantizar la efectiva

implantación del SGSI es la formación y

concienciación del personal incluido en el

alcance, con el fin de garantizar el

conocimiento de sus funciones y

obligaciones en materia de seguridad. Las

políticas, normas y procedimientos

desarrollados en el marco del SGSI deben

ser debidamente publicados y divulgados.

Page 16: Presentación sgsi janethpiscoya

Revisión ,Monitorización del SGSI

• Ejecutar procedimientos de monitorización para detectar

errores de proceso, identificar fallos de seguridad de

forma rápida y acciones a realizar.

• Revisión del SGSI

• Revisiones periódicas de la política y alcance del SGSI,

así como de su eficacia.

• Revisiones de los niveles de riesgos residuales y riegos

aceptables.

• Auditorías internas/externas del SGSI.

Page 17: Presentación sgsi janethpiscoya

Mantenimiento y Mejoramiento del SGSI

• Comunicar resultados de las auditorías a las partes

interesadas.

• Adoptar acciones correctivas y preventivas.

• Mejora Continua

• Medir el rendimiento del SGSI.

• Implantar las mejoras identificadas en las revisiones del

SGSI.

Page 18: Presentación sgsi janethpiscoya

conclusiones

• El SGSI otorga un enfoque global a la gestión de la seguridad,

proporcionando una imagen corporativa de compromiso con la

seguridad, promueve la confianza en las relaciones con terceros, puede

suponer un incremento de la rentabilidad del negocio y mejorar la

imagen pública o la imagen frente a clientes de la organización.

• Por otra parte, e independientemente de que se obtenga o no la

certificación, la implantación de un SGSI mejora ostensiblemente la

seguridad, puesto que permite minimizar los riesgos a los que se

encuentra expuesta la información de la organización, preservando la

confidencialidad, integridad y disponibilidad de la misma y evitando la

materialización de incidentes de seguridad que podrían afectar de forma

negativa a la organización en términos de impacto financiero, legal, de

imagen frente a clientes o imagen pública.

Page 19: Presentación sgsi janethpiscoya

Workshop jurídico: SGSI

Workshop jurídico: SGSI

Clase 1 de SGSI

Clase 1 de SGSI

Auditoría del SGSI

Auditoría del SGSI

Iso27001 sgsi

Iso27001 sgsi

SGSI SESION 01

SGSI SESION 01

10 pasos sgsi

10 pasos sgsi

Guia metodologica SGSI

Guia metodologica SGSI

consultoria implemetacion sgsi

consultoria implemetacion sgsi

Guia Apoyo Sgsi-Inteco

Guia Apoyo Sgsi-Inteco

Lecture 04 SGSI

Lecture 04 SGSI

Presentacion SGSI

Presentacion SGSI

Proyecto Final Sgsi

Proyecto Final Sgsi

13. Formacion Sgsi 2010

13. Formacion Sgsi 2010

SGSI Tesis

SGSI Tesis

ACTIVIDAD 13 - SGSI

ACTIVIDAD 13 - SGSI

SGSI SESION 02

SGSI SESION 02

Contenidos curso sgsi

Contenidos curso sgsi

02 Metodología SGSI

02 Metodología SGSI

Doc Sgsi All

Doc Sgsi All

Tesis SGSI

Tesis SGSI