SGSI
PERÚ Ministerio de Educación Dirección Regional de Educación de Lima Metropolitana Instituto de Educación Superior Te
Views 190 Downloads 3 File size 1MB
Recommend stories
- Author / Uploaded
- Juster MG
Citation preview
PERÚ
Ministerio de Educación
Dirección Regional de Educación de Lima Metropolitana
Instituto de Educación Superior Tecnológico Público Argentina
COMPUTACIÓN E INFORMÁTICA
SEGURIDAD INFORMÁTICA SEMANA N° 11 SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Y EL MODELO PDCA “PLAN – DO – CHECK – ACT” PLANIFICAR – HACER – COMPROBAR - ACTUAR Profesora Mg. Eva Matilde Vasquez Valle I
Qué es Información? • Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo. • Información existe en diferentes formatos: * Capital Humano * Impresa o escrita en papel * Dispositivos de almacenamiento (Discos,CDs,etc…) * Videos, Fotos I
Introducción • El SGSI es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Garantiza u nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito es garantizar que los riesgos de las seguridad de la información sean conocidos, asumidos, gestionados y minimizados . La seguridad de la información, según ISO 27001 consiste en la preservación de su confidencialidad , integridad y disponibilidad esos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información
I
Para qué sirve un SGSI? El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.
I
SGSI: otros elementos a tener en cuenta • Compromiso y apoyo de la dirección. Debe ser el área más comprometida a la hora de la difusión, la gestión y el seguimiento del proceso.
• Definición del alcance. Es preciso definir qué objetivos tendrá nuestro SGSI, qué beneficios supondrá y por cuánto tiempo queremos aplicarlo. • Formación del personal interno. Los trabajadores de una empresa deben ser parte activa del proceso y para ello es necesario que reciban la formación necesaria que les permita estar a la altura del mismo.
• Evaluación de riesgos. Un SGSI se enfoca sobre todo en la gestión de riesgos asociados al manejo y la gestión de la información, que en cada empresa tiene características distintas y, por tanto, soluciones distintas. • Compromiso de mejora continua. Al igual que otros sistemas de gestión interno, un SGSI supone la adopción de la mejora continua como elemento de identidad corporativa.
I
Características • Análisis de riesgo: La norma exige que la empresa haga un análisis de riesgos de seguridad periódicamente y siempre que se propongan o se establezcan cambios significativos. Para que este análisis se haga de la manera correcta, es necesario establecer criterios de aceptación de riesgo así como la definición de cómo esos riesgos serán medidos. • Compromiso de alta dirección: La norma también exige que la alta dirección demuestre compromiso con el SGSI, además de ser esa parte de la empresa ella misma la responsable por la seguridad de la información. Los líderes son también responsables de asegurar que todos los recursos para la implantación del sistema estén disponibles y asignados correctamente, y además tienen la obligación de orientar a los colaboradores para que el sistema sea verdaderamente eficiente. I
• Definición de objetivos y estrategias: Durante la planificación, la empresa necesita tener muy claro cuáles son sus objetivos de seguridad y cuáles serán las estrategias establecidas para alcanzar esos objetivos. Los objetivos, sin embargo, no pueden ser genéricos, deben ser mensurables y tener en cuenta los requisitos de seguridad.
• Recursos y competencias: La organización también debe garantizar que todos los recursos necesarios no sólo para la implementación, sino que también para el mantenimiento del sistema estén disponibles. Además, es necesario establecer cuáles son las competencias necesarias y garantizar que las personas responsables sean suficientemente calificadas, incluso con documentación comprobatoria.
I
Beneficios Establecer una metodología de Gestión de la Seguridad estructurada y clara. Reducir el riesgo de pérdida, robo o corrupción de la información sensible. Los clientes tienen acceso a la información mediante medidas de seguridad. Los riesgos y los controles son continuamente revisados. Se garantiza la confianza de los clientes y los socios de la organización. Las auditorías externas ayudan de forma cíclica a identificar las debilidades del SGSI y las áreas que se deben mejorar.
Facilita la integración con otros sistemas de gestión. Se garantiza la continuidad de negocio tras un incidente grave.
Cumple con la legislación vigente sobre información personal, propiedad intelectual y otras. La imagen de la organización a nivel internacional mejora.
I
EL MODELO PDCA “PLAN – DO – CHECK – ACT” PLANIFICAR – HACER – COMPROBAR - ACTUAR El ciclo de Deming (de Edwards Deming), también conocido como ciclo PDCA (del inglés Plan-Do-Check-Act) o PHVA (de la traducción oficial al español como Planificar-Hacer-Verificar-Actuar) o espiral de mejora continua, es una estrategia basada en la mejora continua de la calidad, en cuatro pasos, según el concepto ideado por Walter A. Shewhart, amigo y mentor de William E. Deming que lo enseñó en el Japón de los años 1950. A veces también es, por ello, denominado Ciclo DemingShewhart. I
Eva Matilde Vasquez Valle
9
• Los resultados de la implementación de este ciclo permiten a las organizaciones una mejora integral de la competitividad, de los productos y servicios, mejorando continuamente la calidad, reduciendo los costos, optimizando la productividad, reduciendo los precios, incrementando la participación del mercado y aumentando la rentabilidad.
I
Eva Matilde Vasquez Valle
10
PLAN (Planificar) Se establecen las actividades del proceso, necesarias para obtener el resultado esperado. Al basar las acciones en el resultado esperado, la exactitud y cumplimiento de las especificaciones a lograr se convierten también en un elemento a mejorar. Cuando sea posible conviene realizar pruebas de preproducción o pruebas para probar los posibles efectos. • Recopilar datos para profundizar en el conocimiento del proceso. • Detallar las especificaciones de los resultados esperados. • Definir las actividades necesarias para lograr el producto o servicio, verificando los requisitos especificados. • Establecer los objetivos y procesos necesarios para conseguir resultados necesarios de acuerdo con los requerimientos del cliente y las políticas organizacional.
I
Eva Matilde Vasquez Valle
11
HERRAMIENTAS DE PLANIFICACIÓN Estas herramientas pueden servir para dos cosas: – Para facilitar y estandarizar la metodología de planificación de proyectos, actividades y tareas. – Para ayudar a diseñar productos, procesos y servicios según los requisitos y funciones previstas en el futuro. Algunos ejemplos de herramientas de planificación los podemos ver en la siguiente lista: • AMFE – Análisis Modal de Fallos y Efectos • Diagrama de Gantt – Planificación y seguimiento de actividades y proyectos. • Método de diseño intuitivo Poka-yoke – Diseño a prueba de errores. • QFD – Despliegue de la función calidad (Introducción) – Introducción al análisis de necesidades y expectativas. • Lluvia de ideas -- Participación de todas las partes interesadas.
I
Eva Matilde Vasquez Valle
12
DO (Hacer) • Se realizan los cambios para implantar la mejora propuesta. Generalmente conviene hacer una prueba piloto para probar el funcionamiento antes de realizar los cambios a gran escala.
I
Eva Matilde Vasquez Valle
13
CHECK (Controlar o verificar) Pasado un periodo previsto de antemano, los datos de control son recopilados y analizados, comparándolos con los requisitos especificados inicialmente, para saber si se han cumplido y, en su caso, evaluar si se ha producido la mejora esperada. • Monitorear la implementación y evaluar el plan de ejecución documentando las conclusiones.
I
Eva Matilde Vasquez Valle
14
HERRAMIENTAS DE EVALUACIÓN Las herramientas de evaluación sirven para controlar el estado actual de un proyecto, proceso, producto o servicio con el objetivo de tener una visión detallada de su estado, evaluarlo o buscar formas de mejorarlo posteriormente. Algunos ejemplos de herramientas de evaluación se encuentran en la siguiente lista: • Diagrama de Pareto – La famosa curva 80%-20% para organizar datos y centrar los esfuerzos en lo más importante. • Diagrama de correlación – Representación gráfica que muestra la relación de una variable con respecto a otra. • Diagrama de Ishikawa – Estudio para localizar las causas de los problemas. • Cuadro de mando – Modelo de gestión, con un soporte de información periódica para la dirección de los procesos de la empresa. • Listas de Verificación o Control – Check list. I
Eva Matilde Vasquez Valle
15
ACT (Actuar) A partir de los resultados conseguidos en la fase anterior se procede a recopilar lo aprendido y a ponerlo en marcha. También suelen aparecer recomendaciones y observaciones que suelen servir para volver al paso inicial de Planificar y así el círculo nunca dejará de fluir. Actualmente algunos expertos prefieren denominar este paso "Ajustar". Esto ayuda a las personas que se inician en el ciclo PDCA a comprender que el cuarto paso tiene que ver con la idea de cerrar el ciclo con la realimentación para acercar los resultados obtenidos a los objetivos. Además, no debe confundirse este paso "A" con el conjunto de acciones (implementación) consecuencia del despliegue de los planes (que se desarrolla en el segundo paso, "D", de "hacer" o "llevar a cabo las Acciones"). I
Eva Matilde Vasquez Valle
16
HERRAMIENTAS DE MEJORA Las herramientas de mejora continua están pensadas para buscar puntos débiles a los procesos, productos y servicios actuales. Del mismo modo, algunas de ellas se centran en señalar cuáles son las áreas de mejora más prioritarias o que más beneficios pueden aportar a nuestro trabajo, de forma que podamos ahorrar tiempo y realizar cambios sólo en las áreas más críticas. Algunos ejemplos de herramientas de mejora los podemos encontrar en la siguiente lista: • Análisis de valor – Método ordenado para aumentar el valor de un producto o servicio. • Método Kaizen – Busca una mejora continua de todos aspectos de la organización. • Diagrama de afinidad – Juntar ideas o asuntos para organizar y resumir agrupando las ideas afines. I
Eva Matilde Vasquez Valle
17
CONCLUSIONES: • Hoy en día las organizaciones dependen en gran medida de su tecnología y sus activos de información. • Por lo anterior, impera una protección adecuada a la información. • Seguridad no es un producto, es un proceso que debe ser administrado. • Nada es estático, la seguridad no es la excepción. Mejora continua. • Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad. • El modelo PDCA, es una estrategia basada en la mejora continua de la calidad, en cuatro pasos: Planificar, hacer, comprobar y actuar.
I
Fuente • https://es.wikipedia.org/wiki/Ciclo_de_Deming#:~:text=El%20ciclo%2 0de%20Deming%20(de,cuatro%20pasos%2C%20seg%C3%BAn%20el %20concepto • https://es.wikipedia.org/wiki/Ciclo_de_Deming#Plan_(Planificar)
I
Eva Matilde Vasquez Valle
19
I