introducción a los sistemas de gestión
TRANSCRIPT
Introducción a los Sistemas de gestión de seguridad e n la I información
Presentado por: David Ramírez
Qué es un SGSIEs una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.
Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación mejore.
Los sistemas de gestión que definen las normas ISO siempre están documentados, ya que, por un lado, es la mejor manera de formalizar normas e instrucciones y, por otro, son más fáciles de transmitir y comunicar.
Plan
Do
Check
Act
EL CICLO DE MEJORA CONTINUA
Plan: Se planifica y diseña elprograma, sistematizando las políticas a aplicar en la organización
Do: se implementa y pone en funcionamiento el SGSI.
Check: es la de monitorización y revisión del SGSI. Hay que controlarque los procesos se ejecutan como se ha establecido
Act: Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuandolas acciones preventivas y correctivas necesarias
La Norma UNE-ISO/IEC 27001Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 están en proceso de revisión internacional, y se espera que se publiquen las nuevas versiones a lo largo del año 2013.
Como se ha comentado anteriormente, este estándar internacional adopta también el modelo Plan-Do-Check-Act (PDCA), es decir, se basa en un ciclo de mejora continua que consiste en planificar, desarrollar, comprobar y actuar en consecuencia con lo que se haya detectado al efectuar las comprobaciones.De esta manera se conseguirá ir refinando la gestión, haciéndola más eficaz y efectiva.CAMPO DE APLICACIÓN DE LA NORMAEstá pensada para que se emplee en todo tipo de organizaciones (empresas privadas y públicas, entidades sin ánimo de lucro, etc.), sin importar el tamaño o la actividad.
Esta norma especifica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresarialesgenerales de la organización
La Norma UNE-ISO/IEC 27002Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, ha sido elaborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comité técnico con-junto ISO/IEC JTC 1/SC 27 Tecnología de la información.
Esta norma se está desarrollando dentro de una familia de normas internacionales sobre Sistemas de Gestión de la Seguridad de la Información (SGSI).
CAMPO DE APLICACIÓN DE LA NORMAEstablece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización.
Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad.
El Esquema Nacional de Seguridad (ENS)Esta ley, en su artículo 1 reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas por medios electrónicos con la misma validez que por los medios tradicionales, y estipula que éstas utilicen las tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.
El ENS está regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los requisitos técnicos y organizativos que se deben cumplir para proteger la informa-ción dentro del ámbito de aplicación del mismo.
El objeto del ENS es garantizar la seguridad de los servicios prestados mediante medios electrónicos, de manera que los ciudadanos puedan realizar cualquier trámite con la confianza de que va a tener validez jurídica plena y que sus datos van a ser tratados de manera segura.
Su ámbito de aplicación son los sistemas de información, los datos, las comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.
CAMPO DE APLICACIÓN DE LA NORMA