sistema de gestión de seguridad de la información

16
Sistemas de Gestión de Seguridad de la Información

Upload: obed-castro

Post on 14-Feb-2017

17 views

Category:

Presentations & Public Speaking


2 download

TRANSCRIPT

Page 1: Sistema de gestión de  Seguridad  de  la información

Sistemas de Gestiónde Seguridad de laInformación

Page 2: Sistema de gestión de  Seguridad  de  la información

1.1. Definición de un SGSI

UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI), SEGÚN LA NORMA UNE-ISO/IEC 27001, ES UNA PARTE DEL SISTEMA DE GESTIÓN GENERAL, BASADA EN UN ENFOQUE DE RIESGO EMPRESARIAL, QUE SE ESTABLECE PARA CREAR, IMPLEMENTAR, OPERAR, SUPERVISAR, REVISAR, MANTENER Y MEJORAR LA SEGURIDAD DE LA INFORMACIÓN.

Page 3: Sistema de gestión de  Seguridad  de  la información

Nos permitirá conocer mejor nuestra organización, cómo funciona

Los sistemas de gestión que definen las normas ISO siempre están documentados

Incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos

CARACTERISTICAS SGSI

Page 4: Sistema de gestión de  Seguridad  de  la información

La norma es compatible con el resto de las normas ISO para sistemas de gestión (UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idéntica estructura y requisitos comunes, por lo que se recomienda integrar el SGSI con el resto de los sistemas de gestión que existan en la empresa para no duplicar esfuerzos.

UNE-EN ISO 9001La Norma ISO 9001 establece los requisitos que debe cumplir un sistema de gestión de la calidad y, en consecuencia, es la que se utiliza para la certificación de dichos sistemas.

UNE-EN ISO 14001 especifica los requisitos que el sistema de gestión ambiental debe reunir, y está dirigida para cualquier tipo y tamaño de organización. 

Page 5: Sistema de gestión de  Seguridad  de  la información

1.2. Ciclo de la mejora continua

El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sus siglas en ingles), tiene una serie de fases y acciones que permiten establecer un modelo de indicadores y métricas comparables en el tiempo, de manera que se pueda cuantificar el avance en la mejora de la organización.

La mejora continua es un proceso en si mismo. Debe entenderse como la mejora progresiva de los niveles de eficiencia y eficacia de una organización en un proceso continuo de aprendizaje, tanto de sus actividades como de los resultados propios.

Page 6: Sistema de gestión de  Seguridad  de  la información

PLAN

DOCHECK

ACTEs la fase en la que se mantiene y mejora el SGSI,

Esta fase es la de monitorización y revisión del SGSI

Esta fase se corresponde con

establecer el SGSI.

Es la fase en la que se implementa y pone en

funcionamiento el SGSI.

Page 7: Sistema de gestión de  Seguridad  de  la información

Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzo innecesario tratar de implementar un SGSI perfecto en un primer proyecto de este tipo. El objetivo debería ser diseñar un SGSI que se ajuste lo mas posible a la realidad de la organización, que contemple las medidas de seguridad mínimas e imprescindibles para proteger la información y cumplir con la norma, pero que consuma pocos recursos e introduzca el menor numero de cambios posibles

Page 8: Sistema de gestión de  Seguridad  de  la información

1.3. La Norma UNE-ISO/IEC 27001

ISO/IEC 27001 es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).

ORIGEN

Page 9: Sistema de gestión de  Seguridad  de  la información

La versión actual de la norma (NTC-ISO-IEC 27001:2013) se encuentra normalizada por el Instituto Colombiano de Normas y Técnicas y Certificación ICONTEC. 1. Dicha norma es una adopción idéntica (IDT) por traducción de la norma ISO/IEC 27001:2013.1

Esta norma se encuentra dividida en dos partes; la primera se compone de 10 puntos entre los cuales se encuentran:

Page 10: Sistema de gestión de  Seguridad  de  la información

1. Objeto y campo de aplicación2. Referencias normativas3. Término y definiciones4. Contexto de la organización5. Liderazgo.6. Planificación7. Soporte8. Operación9. Evaluación de desempeño10. Mejora

La segunda parte, esta conformada por el anexo A, el cual establece los objetivos de control y los controles de referencia.1

Page 11: Sistema de gestión de  Seguridad  de  la información

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial.

La publicación como norma internacional requiere la aprobación de,por lo menos, el 75% de los organismos nacionales que emiten su voto.

La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de tecnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC.

Page 12: Sistema de gestión de  Seguridad  de  la información

1.4. Objeto y campo de aplicación de la normaLa Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los

sistemas de gestión, está pensada para que se emplee en todo tipo de organizaciones(sin importar el tamaño o la actividad.

Esta norma especifica los requisitos para la creación, implementación, funcionamiento,

supervisión, revisión, mantenimiento y mejora de un SGSI documentado,

Explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdo

con las necesidades de una organización o de partes de la misma

Realización de un análisis de riesgos con unas determinadascaracterísticas de objetividad y precisión, pero no aporta indicaciones de cuál es lamejor

manera de llevar a cabo dicho análisis

Page 13: Sistema de gestión de  Seguridad  de  la información

1.4. La Norma UNE-ISO/IEC 27002

La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, ha sido laborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comité técnico conjunto ISO/IEC JTC 1/SC 27 Tecnología de la información. En ambas normas el contenido es idéntico, diferenciándose únicamente en la numeración, que ha sido modificada en el marco de la creación de la familia de normas ISO 27000.

Page 14: Sistema de gestión de  Seguridad  de  la información

1.4.2. Objeto y campo de aplicación

La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización.;

Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía para el desarrollo de pautas de seguridad internas y practicas efectivas de gestión de la seguridad.

Page 15: Sistema de gestión de  Seguridad  de  la información

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos esta siendo el motor y la guía de la administración electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la Administración Publica, impulsando la adopción de los medios tecnológicos actualmente disponibles para realizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administración Publica en contextos mas adecuados a la realidad social.

Esta ley, en su articulo 1 reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Publicas por medios electronicos con la misma validez que por los medios tradicionales,

1.5. El Esquema Nacional de Seguridad (ENS)

Page 16: Sistema de gestión de  Seguridad  de  la información

El objeto del ENS es garantizar la seguridad de los servicios prestados mediante medios electrónicos, de manera que los ciudadanos puedan realizar cualquier tramite con la confianza de que va a tener validez jurídica plena y que sus datos van a ser tratados de manera segura.Su ámbito de aplicación son los sistemas de información, los datos, las comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Publicas el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos.

1.5.2. Objeto y campo de aplicación