PRESENTACION sgsi

Sistema de Gestin de Seguridad De La InformacinSeguridad en Sistemas de Informacin

RESUMENLa seguridad es un rea crtica en todo sistema de informacin, pero puede ser requerida de distintas formas, niveles y usar distintas polticas para guiar implementaciones de sistemas de gestin de seguridad y dar soluciones a los problemas de seguridad sistemas de informacin. En esta presentacin repasaremos puntos importantes de la seguridad de la informacin y revisaremos una forma de implementar sistemas de gestin de seguridad de informacin. Se detalla una forma de implantar un SGSI y las ventajas que conlleva.Seguridad en Sistemas de Informacin

INTRODUCCINA diario estamos amenazados por riesgos que ponen en peligro la integridad de nuestra informacin y con ello la viabilidad de las organizaciones, riesgos que provienen no solo desde el exterior de las empresas sino tambin desde el interior. Para poder trabajar en un entorno como este de forma se puede asegurar datos e informacin de valor con la ayuda de un sistema de gestin de seguridad de la informacin.

Seguridad en Sistemas de Informacin

IMPORTANTEEs importante diferenciar entre seguridad informtica y seguridad de la informacin. Seguridad informtica, se refiere a la proteccin de las infraestructuras de las tecnologas de la informacin y comunicacin. Seguridad de la informacin, se refiere a la proteccin de los activos de informacin fundamentales para el xito de cualquier organizacin


ACTIVOS DE INFORMACINAl identificar los Activos de informacin tenemos que tener en cuenta que estos pueden proceder de distintas fuentes de informacin en diferentes soportes Es necesario considerar el ciclo de vida de la informacin.

Para garantizar la seguridad de toda esta informacin podemos contar con la ayuda de un sistema de gestin de seguridad de la informacin.Seguridad en Sistemas de Informacin

SGSI: DFINICINUn Sistema de Gestin de Seguridad de la Informacin se define como una herramienta de gestin que nos va a permitir conocer gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la informacin.


SGSINos permite, en primer lugar, analizar y ordenar la estructura de los sistemas de informacin. En segundo lugar, nos facilitar la definicin de procedimientos de trabajo para mantener su seguridad. Por ultimo nos ofrecer la posibilidad de disponer de controles que permitan medir la eficacia de las medidas tomadas.


SGSI Y LOS RIESGOSLa gestin de los riesgos a travs de un sistema de gestin de seguridad de la informacin permite preservar la confidencialidad, integridad y disponibilidad de la misma. La Confidencialidad implica el acceso a la informacin por parte nicamente de quienes estn autorizados. La Integridad conlleva el mantenimiento de la exactitud y completitud de la informacin. Disponibilidad entraa el acceso a la informacin y de los sistemas de tratamiento de la misma por parte de usuarios autorizados en el momento que lo requieran.Seguridad en Sistemas de Informacin

SGSI Y LOS RIESGOSExisten riesgos fsicos como incendios, inundaciones, terremotos o vandalismo. Por otra parte, se encuentran los riesgos lgicos ( Hackers, robos de identidad, spam, virus, robos de informacin y espionaje industrial). Para proteger la organizacin de estas amenazas es necesario conocerlas y afrontarlas de una manera adecuada. Para ello debemos establecer unos procedimientos adecuados e implementar controles de seguridad.


SGSI Y CERTIFICACINLa implantacin y posterior certificacin de estos sistemas supone la implicacin de toda la empresa, empezando por la direccin sin cuyo compromiso es imposible su puesta en marcha. La direccin de la organizacin debe liderar todo el proceso, ya que es la que conoce los riesgos del negocio y las obligaciones con sus clientes y accionistas mejor que nadie. Adems es la nica que puede introducir los cambios de mentalidad, de procedimiento y de tareas que requiere el sistema.


BENEFICIOS DE UN SGSI Reduccin de riesgos. Ahorro en costes derivado de una racionalizacin, se eliminan las inversiones innecesarias e ineficientes como las producidas por des/ sobrestimar riesgos. Se asegura del cumplimiento de la legislacin vigente y se evitan riesgos y costes innecesarios mejorar la competitividad, diferenciando a las empresas y hacindolas ms fiables e incrementando su prestigioSeguridad en Sistemas de Informacin

NORMASPara Implantar un Sistema de Gestin de Seguridad de la Informacin existen distintas normas, Nacionales e internacionales que facilitan el proceso. Las normas son de carcter voluntario, su uso por millones de empresas facilita el entendimiento entre pases y organizaciones. Las normas tambin contribuyen a mejorar la seguridad y la calidad de los productos y servicios que utilizamos a diario.


NORMA ISO/IEC 27000Recoge trminos y definiciones empleados en el resto de las normas de la serie 27000. ISO/IEC 27001 Se puede aplicar a cualquier tipo de organizacin. Contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de Gestin de la seguridad de la informacin.


NORMA ISO/IEC 27000La norma ISO/IEC 27002 es una gua de buenas prcticas que recogen las recomendaciones sobre las medidas a tomar para asegurar los sistemas de informacin de una organizacin. Para ello describe 11 dominios, es decir reas de actuacin, 39 objetivos de control o aspectos a asegurar dentro de cada rea, y 133 controles o mecanismos para asegurar los distintos objetivos de control. La familia de normas ISO/IEC contiene otras normas destacables.Seguridad en Sistemas de Informacin

NORMA NCH 2777Esta norma se estudi para establecer las recomendaciones sobre la gestin de seguridad de la informacin para las personas responsables de implementar y mantener esta seguridad en su organizacin. Nch 2777 es una homologacin de la norma internacional ISO/IEC 17799:2000 Information technology code of practice for information security management, siendo idntica a la misma.


IMPLEMENTACIN DE SGSILa implementacin de un sistema de gestin de seguridad de la informacin es una decisin estratgica. Su diseo depender de los objetivos y necesidades de la empresa.


P.D.C.A.El modelo PDCA, es un modelo dividido en 4 fases, en que finalizada la ltima y analizados los resultados se vuelve a comenzar de nuevo la primera. la sigla PDCA corresponden en ingls a Plan, Do, Check, Act y se traducen como Planificacin, Ejecucin, Seguimiento y Mejora.


PDCA: PLANIFICACINDurante esta fase se realiza un estudio de la situacin de la organizacin desde el punto de vista de la seguridad para estimar las medidas que van a implementar en funcin de las necesidades detectadas. Realiza un anlisis y gestin de riesgos que valores los activos de informacin y vulnerabilidades a las que estn expuestas. Con el resultado obtenido en el anlisis y la gestin de riesgos estableceremos unos controles adecuados que nos permitan minimizar los riesgos.

PDCA: EJECUCINEn la fase de ejecucin del modelo PDCA se lleva a cabo la implantacin de los controles de seguridad seleccionados en la fase anterior. Estos controles se refieren a los controles ms tcnicos, as como a la documentacin necesaria. Esta fase requiere un tiempo de concienciacin y formacin para dar a conocer qu se est haciendo y por qu, al personal de la empresa.

PDCA: SEGUIMIENTOLa tercera fase del modelo PDCA es la fase de seguimiento. En ella se evala la eficacia y el xito de los controles implantados. Por ello, es muy importante contar con registros e indicadores que provengan de estos controles.

PDCA: MEJORAEl modelo PDCA se completa con la fase de mejora, durante la que se llevarn a cabo las labores de mantenimiento del sistema.Si durante la fase anterior de seguimiento se ha detectado algn punto dbil, este es el momento de mejorarlo y corregirlo. Para ello se cuenta con tres tipos de medidas: medidas correctivas, medidas preventivas y medidas de mejora.

P.D.C.A.Al terminar las cuatro fases, se toman los resultados de la ltima y se comienza nuevamente la primera


CONCLUSIONESRespecto a la Seguridad Respecto a los SGSI Respecto a la implementacin PDCA


FINSeguridad en Sistemas de Informacin

PRESENTACION sgsi

Documents

Transcript of PRESENTACION sgsi