Universidad Nacional Autonoma de Honduras en el Valle de Sula

Catedrático:Ing. Guillermo Brand

INTRODUCCION A LOS SGSIAlumna

ISIS MELISSA LOPEZ LICONA……….20031007823

Periodo: I Año: 2017

San Pedro Sula, Cortes 6 de Febrero

Facultad De : Informática Administrativa

Asignatura:Administración Pública y Política Informática

1.1 El SGSI (Sistema de Gestión de Seguridad de la Información)

es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.

Podemos entender por información todo el conjunto de datos que se organizan en una organización y otorgan valor añadido para ésta, de forma independiente de la forma en la que se guarde o transmita, el origen que tenga o la fecha de elaboración.

¿Qué es un SGSI?

El Sistema de Gestión de Seguridad de la Información, según ISO 27001 consiste en preservar la confidencialidad, integridad y disponibilidad, además de todos los sistemas implicados en el tratamiento dentro de la organización.

El SGSI es la abreviatura usada para referirse al Sistema de Gestión de la Seguridad de la Información e ISMS son las siglas equivalentes en ingles a

Information Security Management System.

¿Qué Fundamentos se utilizan para un SGSI?

PARA GARANTIZAR QUE EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN GESTIONADO DE FORMA CORRECTA SE TIENE QUE IDENTIFICAR EL CICLO DE VIDA Y LOS ASPECTOS RELEVANTES ADOPTADOS PARA GARANTIZAR SU: • Confidencialidad: la información no se pone a disposición de nadie, ni se revela a individuos o entidades no autorizados.

• Integridad: mantener de forma completa y exacta la información y los métodos de proceso.

• Disponibilidad: acceder y utilizar la información y los sistemas de tratamiento de la misma parte de los individuos, entidades o proceso autorizados cuando lo requieran.

• Según el conocimiento que se tiene del ciclo de vida de la información relevante se puede adoptar la utilización de un proceso sistemático, documentado y conocido por toda la empresa, desde un enfoque de riesgos empresarial. El proceso es el que constituye un SGSI.

Utiliz

ació

n • La información, junto a los procesos y los sistemas que hacen uso de ella, son activos demasiado importantes para la empresa. La confidencialidad, integridad y disponibilidad de dicha información puede ser esencial para mantener los niveles de competitividad, conformidad, rentabilidad e imagen de la empresa necesarios para conseguir los objetivos de la empresa y asegurase de que haya beneficios económicos.

• El modelo de gestión de la seguridad tiene que contemplar unos procedimientos adecuados y planificar e implementar controles de seguridad que se basan en una evaluación de riesgos y en una medición de la eficiencia

de los mismos.

• Para entender que es SGSI, ayuda a establecer la política de seguridad y los procedimientos en relación a los objetivos de negocio de la empresa, con objeto de mantener un nivel de exposición siempre menor al nivel de

riesgo que la propia organización ha decidido asumir.

Beneficios

• Reducir el riesgo de pérdida, robo o corrupción de la

información sensible

• Los riesgos y los controles son continuamente revisados.

• Los clientes tienen acceso a la información mediante medidas de

seguridad.

• Establecer una metodología de Gestión de la

Seguridad estructurada y clara

Beneficios

• Se garantiza la confianza de los

clientes y los socios de la organización.

• Las auditorías externas ayudan de forma cíclica a identificar las debilidades del SGSI y las áreas que se

deben mejorar. .

• Se garantiza la continuidad de negocio tras un

incidente grave.

• Facilita la integración con

otros sistemas de gestión.

SGSI: otros elementos a tener en cuenta Teniendo claros la función de un Sistema

de Seguridad de la Información y sus tres principios básicos, veamos ahora

otros elementos que las organizaciones no pueden perder de vista en el proceso

de implementación: • Compromiso y apoyo de la dirección. Debe ser el área

más comprometida a la hora de la difusión, la gestión y el seguimiento del

proceso. • Definición del alcance. Es preciso definir qué objetivos tendrá

nuestro SGSI, qué beneficios supondrá y por cuánto tiempo queremos aplicarlo

SGSI

• Formación del personal interno. Los trabajadores de una empresa deben ser parte activa del proceso y para ello es necesario que reciban la formación necesaria que les permita estar a la altura del mismo.

• Compromiso de mejora continua. Al igual que otros sistemas de gestión interno, un SGSI supone la adopción de la mejora continua como elemento de identidad corporativa.

• Evaluación de riesgos. Un SGSI se enfoca sobre todo en la gestión de riesgos asociados al manejo y la gestión de la información, que en cada empresa tiene características distintas y, por tanto, soluciones distintas.

El valor de la Gestión de Riesgos y Seguridad • Si bien supone costes e inversión, la gestión de Riesgos y Seguridad en el trabajo en un valor a largo plazo para cualquier empresa. En lo referente a un SGSI, las empresas que protegen y gestionan adecuadamente sus datos están preparadas para cualquier riesgo o amenaza asociada a la información que gestionan internamente. • La norma ISO 27001 no excluye la implementación de otros estándares similares. Por el contrario, debido a su flexibilidad permite la aplicación de indicadores y requisitos de otras normas, algo en lo que el software ISO Tools puede ser de utilidad.

LA NORMA UNE-ISO/IEC 27001

La Norma UNE-ISO/IEC 27001 Origen de la norma Objeto y campo de aplicación de la norma La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sistemas de gestión, esta pensada para que se emplee en todo tipo de organizaciones (empresas privadas y publicas, entidades sin animo de lucro, etc.), sin importar el tamaño o la actividad.

LA NORMA UNE-ISO/IEC 27002

La Norma UNE-ISO/IEC 27002 La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, ha sido elaborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comité técnico conjunto ISO/IEC JTC 1/SC 27 Tecnología de la información. En ambas normas el contenido es idéntico, diferenciándose únicamente en la numeración, que ha sido modificada en el marco de la creación de la familia de normas ISO 27000. Objeto y campo de aplicación La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización. Es un catalogo de buenas practicas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información.

El Esquema Nacional de Seguridad (ENS) La Ley 11/2007,

de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos esta siendo el motor y la guía de la administración electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la Administración Publica, impulsando la adopción de los medios tecnológicos actualmente disponibles para realizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administración Publica en contextos mas adecuados a la realidad social. determina que la herramienta para conseguir este objetivo será el Esquema Nacional de Seguridad, que establecerá una política de seguridad en la utilización de medios electrónicos, y contara con unos principios básicos y una serie de requisitos mínimos que permitirán una protección adecuada de los sistemas y la información.