Sistema de Gestin de

Seguridad de la

Informacin

Aspecto Normativo

UNIT ISO/IEC 27000

27000 Fundamentos y vocabulario

27001 Requisitos para certificacin

27002 Buenas prcticas

27003 Directrices para la implementacin

Familia de normas ISO/IEC 27000

Esta norma especifica los requisitos para establecer,

implantar, documentar y evaluar un SGSI

Especifica los requisitos de los controles de seguridad de

acuerdo con las necesidades de las organizaciones,

independientemente de su tipo, tamao o actividad

Anlisis familia de normas ISO/IEC 27000

Dominio Objetivos Controles

Poltica de Seguridad 1 2

Aspectos organizativos para la seguridad 2 11

Gestin de los Activos 2 5

Seguridad de los Recursos Humanos 3 9

Seguridad fsica y del entorno 2 13

Gestin de comunicaciones y operaciones 10 32

Control de accesos 7 25

Adquisicin, Desarrollo y mantenimiento de

Sistemas

6 16

Gestin de Incidentes de Seguridad de la

Informacin

2 15

Gestin de continuidad del negocio 1 5

Conformidad 3 10

Norma 27002

Norma UNIT ISO/IEC 27002

Dominios de seguridad

Objetivos

Controles

Implementacin del control

1 Poltica de Seguridad de Informacin

2 Estructura organizativa de la SI

3 Clasificacin y control de activos

4 Seguridad ligada al personal

5 Seguridad fsica y del entorno

6 Gestin de comunicaciones y operaciones

7 Control de accesos

8 Desarrollo y mantenimiento de sistemas

9 Gestin de Incidentes de Seguridad

10. Gestin Continuidad de Negocio

-----------------------------------------------------------

11 Conformidad y Cumplimiento legislacin

ISO/IEC 27002

P

D

C

A

Definir poltica de seguridadEstablecer alcance del al SGSIRealizar anlisis de riesgosSeleccionar los controles

Implantar plan de gestin de riesgosImplantar el SGSIImplantar los controles

Revisar internamente el SGSIRealizar auditorias internas del SGSI

Adoptar las acciones correctivasAdoptar las acciones preventivas

MODELO PDCA

Documentacin en un SGSI

Manual de seguridad: Es el documento que inspira ydirige todo el sistema, determina las intenciones,

alcance, objetivos, responsabilidades, polticas y

directrices principales del SGSI.

Procedimientos: documentos en el nivel operativo, queaseguran que se realicen de forma eficaz la

planificacin, operacin y control de los procesos de

seguridad de la informacin.

Documentacin en un SGSI

Instrucciones, checklists y formularios: Son losdocumentos que describen cmo se realizan las tareas

relacionadas con la seguridad de la informacin

Registros: Son los documentos que proporcionan unaevidencia objetiva del cumplimiento de los requisitos del

SGSI; estn asociados a documentos de los otros tres

niveles como output que demuestra que se ha cumplido

lo indicado en los mismos.

Documentacin en un SGSI

Declaracin general de principios que

presenta la posicin de la Administracin

sobre los cursos de accin a seguir.

Intencin y direccin general expresada

formalmente por la direccin. (ISO 27002)

Poltica General de Seguridad

Poltica de Seguridad

Poltica de Seguridad Organizacionalo Un conjunto de leyes y prcticas que regulan cmo una

organizacin gestiona, protege y distribuye recursos para

alcanzar los objetivos de una poltica de seguridad

Poltica de Seguridad Automatizadao El conjunto de restricciones y propiedades que especifican cmo

un sistema informtico previene que tanto informacin como

recursos sean utilizados violando una poltica de seguridad

organizacional

Dominio : Poltica de Seguridad

Objetivo:

Proporcionar orientacin y apoyo de la

direccin para la seguridad de la

informacin de acuerdo con los requisitos

del negocio y con las regulaciones y leyes

pertinentes.

Documento de Poltica de Seguridad

Control

La direccin debera aprobar, publicar y

comunicar a todos los empleados y a

terceras partes, un documento con la

poltica de seguridad de la informacin

Gua de Implantacin

Revisin de la Poltica de Seguridad de

la Informacin

Control

La poltica de seguridad de la informacin

debe ser revisada a intervalos planificados

o si se producen cambios significativos,

para asegurar su conveniencia, suficiencia

y eficacia continua.

Gestin de Riesgos

Un riesgo es la posibilidad de que unresultado indeseado distorsione el negocio

La gestin de riesgos es el proceso deidentificar y controlar esos resultados

indeseados de manera PROACTIVA

Gestin de Riesgos

Los riesgos siempre implican posiblesprdidas, de all la importancia de

manejarlos

Gestionar riesgos es trabajar con laincertidumbre y la idea es disminuirla.

El problema no es que haya riesgos essaber manejarlos.

Gestin de Riesgos

Para manejar los riesgos trabajamos conuna tcnica que reduzca la incertidumbre,

pero nunca la eliminaremos.

Deben ser analizados por diferentespersonas con diferentes visiones

La importancia del Anlisis de Riesgos

Nos ayuda a visualizar cules son nuestras debilidades

Nos permite analizar cmo resolver esas debilidades

Nos permite definir en qu orden las atenderemos, nos permite priorizarlas

Estudio del Riesgo

Riesgo: Es lo que acontece y dispara una prdidapara la organizacin

Conductor del riesgo: condicionantes en el entornoque hacen pensar que el riesgo podra ocurrir

Probabilidad del riesgo: evaluacin subjetiva, basadaen los conductores del riesgo, de la posibilidad deque dicho riesgo ocurra

Impacto: la consecuencia o prdida potencial quepodra resultar si el riesgo ocurre

Prdidas: magnitud de la prdida en caso que ocurrael riesgo

Estudio del Impacto