Autor: Ramiro Cid

13/12/2011

2

“…Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto de políticas, procedimientos y operaciones para gestionar la seguridad de la información en todo el ciclo de una organización…”

El SGSI debe seguir el “Círculo de Deming” (también conocido como PDCA), orientado a la mejora continua, en este caso aplicado a la seguridad.

Existen distintas normativas que lo reglamentan (ISO/IEC 27001 y 27002, Cobit, ISM3, SOGP, etc.).

◦ Una reducción en los incidentes de seguridad y una disminución del impacto

◦ Ayuda a optimizar la inversión en cuanto a los aspectos de la seguridad

◦ Justifica los gastos en seguridad, al conocer que controles reducen los riesgos

◦ Impulsa la creación de políticas y procedimientos que mejoran la seguridad

◦ Permite el cumplimiento de la legislación aplicable

◦ Garantiza la continuidad del negocio ante posibles contingencias o desastres

3

� Como resultado de un proyecto de la implantación de un SGSI se obtiene:

◦ Un conjunto de documentación de todos los controles requeridos para la

seguridad de la organización (y que aplican para la organización).

◦ Se crea documentación en 3 niveles:

Políticas

Normas y Procedimientos

Instrucciones

4

(*) Las políticas y procedimientos deben seguir los lineamientos de la organización

(*)

� Dirección:

◦ Máximo responsable del SGSI, debe firmar y aceptar las políticas y aceptar el

SGSI

◦ Comité de Seguridad y Responsable de Seguridad:

◦ Analiza y desarrolla el SGSI

� Administradores de Seguridad:

◦ Personal que tenga que desarrollar tareas directas para el cumplimiento del

SGSI

◦ Todos los empleados:

◦ La correcta gestión de un SGSI depende de todas las personas

5

= La organización

� SGSI:

http://es.wikipedia.org/wiki/SGSI

� ISO/IEC 27001:

http://es.wikipedia.org/wiki/ISO/IEC_27001

� Seguridad de la Información:

http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

6

Formación básica en SGSI

T: @ramirocid

W: ramirocid.com

M: ramiro@ramirocid.com

Ramiro Cid