SGSI

SGSI La respuesta es simple ,se puede implementar un sistema de gestión de seguridad de la información. ¿Para qué sirve

Views 607 Downloads 4 File size 941KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Sgsi
Sgsi

455 1 624KB Read more

SGSI
SGSI

17 0 1MB Read more

SGSI
SGSI

754 31 210KB Read more

Sgsi
Sgsi

POLITICA DE SEGURIDAD DE LA INFORMACION VERSION 0 ACTIVIDAD DE CONTEXTO ESCENARIO 7 AVELLANEDA LEIVA LAURA VICTORIA

49 4 307KB Read more

SGSI
SGSI

SGSI (information security management system, ISMS) ALEXANDER PADILLA SANCHEZ TUTORA JENNY ARCOS FUNDACION UNIVERSITA

76 0 69KB Read more

sgsi ejercicio.docx
sgsi ejercicio.docx

179 10 213KB Read more

Taller SGSI
Taller SGSI

25 2 16KB Read more

Sgsi All
Sgsi All

236 8 354KB Read more

Propuesta SGSI
Propuesta SGSI

39 1 162KB Read more

Datalatina Sgsi
Datalatina Sgsi

19 0 770KB Read more

Citation preview

SGSI

La respuesta es simple ,se puede implementar un sistema de gestión de seguridad de la información. ¿Para qué sirve?

El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001.



Conocer



Gestionar

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.



Minimizar

Los riesgos que atentan contra la seguridad de la información

Garantizar un nivel de protección total es virtual mente imposible, incluso en el caso de disponer de un presupuesto ilimitado, el propósito del SGSI garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistema- tica, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. ¿Qué nos permite un SGSI?

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: • Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. • Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo

- Analizar y ordenar la estructura de los sistema de información.

¿Qué podemos hacer para proteger datos e información en un entorno como este?

- Establecer los procedimientos de mantener su seguridad.

trabajo para

-Disponer de controles para medir la establecido en el punto anterior.

eficacia de lo

La idea es alcanzar un nivel de riesgo menor que el soportado por la institución, para preservar la confidencialidad, integridad y disponibilidad de la información.

E ase al o o i ie to del i lo de vida de ada i fo a ió eleva te se de e adopta el uso de u p o eso siste ái o, do u e tado y o o ido po toda la o ga iza ió , desde u e fo ue de iesgo e p esa ial. Este p o eso es el ue o situye u SGSI.

SGSI (Sistema de Gestión de la Seguridad de la Información ) Uso

¿PARA QUÉ SIRVE UN SGSI?

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.

¿QUÉ INCLUYE UN SGSI? En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001 de la siguiente forma:

BENEFICIOS



Establecimiento de una metodología de gestión de la seguridad clara y estructurada.



Reducción del riesgo de pérdida, robo o corrupción de información.



Los clientes tienen acceso a la información a través medidas de seguridad.



Documentos de Nivel 1



Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.



Confianza y reglas claras para las personas de la organización.



Reducción de costes y mejora de los procesos y servicio.



Aumento de la seguridad en base a la gestión de

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Documentos de Nivel 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

SGSI (Sistema de Gestión de la Seguridad de la Información ) Documentos de Nivel 3

Control de la documentación :

Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Para los documentos generados se debe establecer, documentar, implantar y mantener un procedimiento que defina las acciones de gestión necesarias para:

¿Cómo se implementa un SGSI?

• Aprobar documentos apropiados antes de su emisión.

Documentos de Nivel 4

• Revisar y actualizar documentos cuando sea necesario y renovar su validez.

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera específica, ISO 27001 indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): 

Alcance del SGSI



Política y objetivos de seguridad



Procedimientos y mecanismos de control que soportan al SGSI



Enfoque de evaluación de riesgos



Informe de evaluación de riesgos



Plan de tratamiento de riesgos



Procedimientos documentados



Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI



Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos,

• Garantizar que los cambios y el estado actual de revisión de los documentos están identificados. • Garantizar que las versiones relevantes de documentos vigentes están disponibles en los lugares de empleo. • Garantizar que los documentos se mantienen legibles y fácilmente identificables. • Garantizar que los documentos permanecen disponibles para aquellas personas que los necesiten y que son transmitidos, almacenados y finalmente destruidos acorde con los procedimientos aplicables según su clasificación. • Garantizar que los documentos procedentes del exterior están identificados. • Garantizar que la distribución de documentos está controlada. • Prevenir la utilización de documentos obsoletos.

• Plan (planificar): establecer el SGSI.



• Do (hacer): implementar y utilizar el SGSI.

Aplicar la identificación apropiada a documentos que son retenidos con algún propósito.

• Check (verificar): monitorizar y revisar el SGSI. • Act (actuar): mantener y mejorar el SGSI.

SGSI - Implementación del ciclo continuo PDCA Plan = Establecer con planificación

• Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión. • Definir una política de seguridad que: – incluya el marco general y los objetivos de seguridad de la información de la organización; – considere requerimientos legales o contractuales relativos a la seguridad de la información; – establezca los criterios con los que se va a evaluar el riesgo; - esté aprobada por la dirección. • Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia).  Identificar los riesgos: – identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; – Identificar las amenazas en relación a los activos; – identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; – identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.

• Analizar y evaluar los riesgos: – evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información; – evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados; – estimar los niveles de riesgo; • Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: – aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos; – evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; – transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de outsourcing. – Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI.

Do: Implementar y utilizar el SGSI

SGSI - Implementación del ciclo continuo PDCA Check: Monitorizar y revisar el SGSI

Check: Monitorizar y revisar el SGSI

Act: Mantener y mejorar el SGSI

Integrantes Grupo # 5 Yeison Arbey Jimenez Yesid Alexander Zambrano Carlos andres Peña Omar andres Piamba Jhonnantan Ordoñez