SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN Eddy Pérez
Agenda
I. ¿Qué es Seguridad de la Información?
II. Definición y Enfoque del Sistema de Gestión de Seguridad de la Información
III. Objetivo
IV. Principios del SGSI
V. Alcance
VI. Estructura
VII. Elementos
VIII. Caso Practico
Información
Es un activo al igual de importante como los activos del negocio, tiene un valor para la empresa y por ende debe ser protegido en cualquier de su formato o representación.
Impreso o escrito en papel
Almacenado electrónicamente
Transmitido por correo o medios electrónicos
Transmitido por medios hablados (conversaciones)
¿Que es seguridad de la Información?
ISO 27001 define la SI como la preservación:
Integridad
DisponibilidadConfidencialidad
Información
Seguridad
Amenazas
Vulnerabilidades
Riesgos
Asegurar que los usuarios
autorizados tengan
acceso cuando sea
requerido
Asegurar que los medios
y métodos de
procesamiento no alteren
la información
Asegurar que la
información esté
accesible solo a los que
están autorizados
Integridad
Disponibil
idad
Confidenc
ialidad
SGSI: Definición y Enfoque de calidad
La gestión de la seguridad de la información debe
realizarse mediante un proceso sistemático,
documentado y conocido por toda la organización
En analogía con la ISO 9000. La ISO 27001, se
define como el sistema de calidad para la
seguridad de la información.
Objetivo
1. Demostrar la conformidad y la eficacia de las
elecciones organizativas y de las actividades
operativas puestas en práctica para garantizar la:
confidencialidad
integridad
disponibilidad de la información incluida en el
perímetro cubierto por el SGSI
Objetivo (cont.)
2. Asegurar la:
continuidad del negocio;
minimización de los daños en caso de incidentes (siendo estos, de hecho, inevitables).
maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.
mejora continua de la eficacia organizativa y operativa
Principios del SGSI
Sensibilización
Responsabilidad
Respuesta
Ética
Democracia
Valoración de los riesgos
Concepción y aplicación de la seguridad
Gestión de la Seguridad
Reevaluación
Alcance
Puede aplicarse a todos los tipos de organizaciones (empresas comerciales,agencias gubernamentales, organizaciones no comerciales.
La norma especifica los requisitos para implementar, operar, y mejorar un (SGSI)documentado dentro del contexto de riesgos totales del negocio de unaorganización.
Especifica requisitos para la implementación de controles de seguridadadaptados a las necesidades de organizaciones individuales o partes de lasmismas.
Punto Clave
valoración de los riesgos sobre la base de la cual se organiza un SGSI
Serie ISO 27000
SGSI
ISO 27000:2009
Principios y vocabulario
ISO 27001:2005 Requisitos del
SGSI
ISO 27002:2005.
Código de Prácticas
ISO 27003 Guía a la
implementación basado en el modelo PDCA
ISO 27004 Métricas de la seguridad de la información
ISO 27006:2007
Requisitos Acreditación de
EA y EC
ISO 27007 a ISO 27009 no
asignadas todavía
ISO 27011. Guía de
Implementación. Sector Telecom
ISO 27031. Continuidad del Negocio
ISO 27032. Arquitecturas de seguridad
ISO 27034. Seguridad en
las Aplicaciones
Modelo PDCA y Estructura
PDCA y Las Actividades del SGSI
Eddy Pérez – UNEG 2006
PDCA y Las Actividades del SGSI
Eddy Pérez – UNEG 2006
PDCA y Las Actividades del SGSI
Eddy Pérez – UNEG 2006
Ciclo metodológico
Eddy Pérez – UNEG 2006
Ciclo metodológico - Detalles
Eddy Pérez – UNEG 2006
Ciclo metodológico - Detalles
Eddy Pérez – UNEG 2006
Ciclo metodológico - Detalles
Eddy Pérez – UNEG 2006
Ciclo metodológico - Detalles
Eddy Pérez – UNEG 2006
Operación - Productos
Paso 1
•Define el Alcance
Paso 2
•Define la Política
Paso 3
• Define el método de evaluación de riesgos
Paso 4
• Identifica Riesgos
Paso 5
• Analiza y Evalúa Riesgos
Paso 6
• Tratamiento del Riesgo
Paso 7
• Selecciona Objetivos de control y controles
Paso 8
• Obtener aprob. de la gestión de riesgos residuales
Paso 9
• Obtener autorización para Implementar el SGSI
Paso 10
• Preparar Declaración de Aplicabilidad
Alcance
del SGSI
Doc. De
Política
Lista de
riesgos y
Activos
Result. de
Eval. De
Riesgos
Result. De
tratamiento
de Riesgos
Estándares
de medida
de riesgos
Registros
de riesgos
residuales
Declaración de
Aplicabilidad
Fase 1 Fase 2 Fase 3
Activos de información, amenazas,
vulnerabilidades, impactos
Implementación de
estándares para
Admin. de riesgos
Listas de controles
definidos o no en el
SGSI
Caso Práctico
No hay organizaciones certificadas en Venezuela
Hay casos de entidades financieras que están adoptando la norma como guía para evaluar y/o implementar la Seguridad de la Información
FONDONORMA está formando Auditores para las certificaciones
Bureau Veritas Venezuela, no tiene contemplado esta área por el momento
Estadisticas
Internacional
Japón – 3191
India – 451
UK – 400
Taiwan – 321
Latinoamérica
Brazil - 22
Colombia – 5
Chile y Perú – 3
Argentina - 1
Caso Venezuela:
Fondonorma en proceso de formación y organización
Bureau Veritas Venezuela no contemplado por el momento
Conclusiones
El Sistema de Gestión de Seguridad de la
Información prevé tanto la conformidad como la
eficacia, es decir, no se limita a la mera
correspondencia de las actividades con la norma.
Un sistema ineficaz pero conforme no se debe
certificar, ya que sólo satisface una de las
condiciones señaladas por la misma norma.
Gracias por su Atención!
Top Related