SGSI y La Alta Gerencia

Security InformationSecurity InformationSecurity InformationSecurity InformationAwareness ProgramAwareness ProgramAwareness ProgramAwareness Program

Analista de Seguridad Informática

Especialista en Seguridad de la Información

SGSI y La Alta Gerencia

1v1.0

Celular (011) 15 6034-2822

fabiandescalzo@yahoo.com.arhttp://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6

Que debo conocer como responsable del

Negocio?Ventajas de implantar la Seguridad de la Información en el Negocio

Con respecto al Negocio:� Integrar la gestión de la seguridad de la información con otras

modalidades de gestión empresarial

� Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas

2

organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas.

� Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc...

� Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa

Protección de InformaciónEl gerenciar la Protección de la Información requiere contar con el

compromiso de cada área de negocios, quienes brindan los recursos

humanos que le permiten administrar y controlar la seguridad de la

información a través de la función o rol de cada usuario seleccionado como:

Lider de Seguridad de la Información:Responsable por la empresa o locación en caso de tratarse de Compañías con más de una Sede. Coordina las actividades de implementación de la seguridad o respuesta ante incidentes según lo informado por cada Responsable de Sector

3

Responsable de Seguridad de la Información:Asegura la información de su sector colaborando con el Líder de la Compañía o de la Sede, controla que se cumplan los requerimientos de seguridad acorde a lo informado por los propietarios de la información y las medidas de seguridad implementadas por el Líder.

Propietario de la información:Responsable de clasificarla y establecer su nivel de criticidad y disposición final, informa al Responsable del Sector

Usuario Clave:Administrador de Seguridades Aplicativas, responsable de aplicar las medidas de seguridad necesarias acorde a la clasificación de la información establecida por el Propietario de la Información.

La norma ISO 27.001 le brinda a la Organización el marco normativo necesariopara establecer los objetivos de control acordes a su estructura y negocio, de loscuales surgen las medidas de seguridad que adopta y adecúa a su cultura yentorno para la protección de la información más sensible y las aplicaciones

más críticas para cada área de negocio establecidos .

Estos objetivos de control y su implantación debe ser conocida desde el iniciopor la Organización en sus diferentes niveles, participando en el cumplimientode la acción política de la Empresa y formando parte responsable de la

Los Objetivos de Control

4

de la acción política de la Empresa y formando parte responsable de laestrategia de la Seguridad de la Información. Y así se asegura desde todas las

áreas de negocio que se proporciona un sistema de control adecuado para eltratamiento de la información.

Como primer paso para implantar la gestión de la seguridad de la información, laOrganización debe establecer e informar su POLITICA DE SEGURIDAD.

Según lo que establezca como alcance la Compañía a través de su Política de

Seguridad, cada área de negocios participa en la gestión de:

Los Objetivos de Control

El NegocioEl NegocioGestión de la SeguridadGestión de Información

Gestión con Terceras PartesMedios de Comunicación

El PersonalEl PersonalFunciones y responsabilidadesConfidencialidad y contraseñas

Uso de hardwareUso de software y aplicacionesConcientización y Educación

5

Concientización y Educación

Los sistemas de InformaciónLos sistemas de InformaciónSeguridad Física del entorno

Seguridad Física de los soportesSeguridad Lógica en los sistemas

Manejo de incidentes

La Revisión del SistemaLa Revisión del SistemaControl de registros

Auditorías de SistemasSeguimiento del Cumplimiento

Para aportar resultados y conocimientos para el control de:

Los Usuarios y los Objetivos de Controllos Usuarios de cada área de negocios deben saber que, de acuerdo a los Objetivos de Control definidos, las medidas de seguridad adecuadas al

contexto de la Compañía tienen que cumplirse para asegurar:

DisponibilidadDisponibilidadY con ello poner la

ConfidencialidadConfidencialidadAsegurar que la información es sólo accesible para aquellos autorizados.

DisponibilidadDisponibilidadAsegurar que los usuarios autorizados tienen acceso cuando lo requieran en los tiempos adecuados.

IntegridadIntegridadGarantía de la exactitud y de que la información sea completa, así como los métodos de su procesamiento.

Y con ello poner la Gestión de la

Seguridad al servicio de los objetivos de

negocio de la

Organización

Los usuarios aportan la documentación referente a los objetos de informaciónbasándose en su experiencia y conocimientos. Esto permite establecerprogramas adecuados que disminuyen la potencialidad de eventos negativos y elmantenimiento organizado de los mismos.

La Documentación

Conjunto de

Normativas y Guías

Establecer Establecer bases respecto bases respecto aa

DocumentarDocumentar

7

Normativas y Guías

de implementación Matrices para identificación

de riesgos y su posterior

mitigación

DocumentarDocumentarresultados enresultados en

Manual de Protección

de la Información

Para actualizar elPara actualizar el

La Documentación

La Información ofrecida desde las Áreas Usuarias ayudan aestablecer y documentar medidas preventivas y obtener un Plan

Metodológico Integral de la Seguridad de la Información, queincluye:

Identificación del

riesgo potencial y de

Clasificación de la

información, estableciendo

su importancia de acuerdo a

8

exposición por

objetivo de control

su importancia de acuerdo a

su nivel de Confidencialidad,

Integridad y Disponibilidad

necesaria

Otros documentos

Análisis de procesos del área, Mapa de interacción con otras áreas,

Nómina de Proveedores Críticos, Nómina de personal en contingencia,

Lista de requerimientos mínimos del área, etc.

Procesando la información

La certeza sobre la Información de respaldo y pruebasobjetivas brindadas por los Usuarios para el control ydesarrollo de la Seguridad de la Información aportarán unsólido desarrollo para:

9

Conocer su responsabilidad en

cuanto a la Seguridad de la

Información y lo que se espera de él.

Que esperamos de la Organización

Incrementar la conciencia de la necesidad de proteger la información y a entrenara los usuarios en la utilización de la misma para que ellos puedan llevar a cabo susfunciones en forma segura, minimizando la ocurrencia de errores y pérdidas.

10

Información y lo que se espera de él.

Entrenamiento inicial y continuo a

sus colegas de área, y aporte en el

mantenimiento activo de la

documentación y los controles

Conocer las políticas organizacionales,

haciendo hincapié en el cumplimiento

de la Política de Seguridad.

Analista de Seguridad Informática

Especialista en Seguridad de la Información

11

CelularCelular ((011011) ) 15 603415 6034--28222822fabiandescalzo@yahoo.com.arfabiandescalzo@yahoo.com.ar

http://ar.linkedin.com/pub/fabianhttp://ar.linkedin.com/pub/fabian--descalzo/a/adescalzo/a/a1515//88aa66