UNIVERSIDAD NACIONAL AUTÓNOMA DE HONDURAS VALLE DE SULA

UNAH-VSAlumno: Eduardo Enrique Maradiaga Menjivar

Cta#: 20112001635

Asignatura: Administración publica y política Informática

Catedrático: Guillermo Brand

Tema: Resumen Cap.1

Seccion: 20:00

SISTEMAS DE GESTIÓNDE SEGURIDAD DE LAINFORMACIÓN (SGSI)

Un Sistema de Gestión de Seguridad de la Información (SGSI), según la NormaUNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en unenfoque de riesgo empresarial, que se establece para crear, implementar, operar,supervisar, revisar, mantener y mejorar la seguridad de la información.

Esto significa,que se va a dejar de operar de una manera intuitiva y se va a empezar a tomarel control sobre lo que sucede en los sistemas de informacion y sobre la propiainformacion que se maneja en la organizacion. Nos permitira conocer mejor nuestraorganizacion, como funciona y que podemos hacer para que la situacionmejore.

La norma es compatible con el resto de las normas ISO para sistemas de gestión(UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idéntica estructura yrequisitos comunes, por lo que se recomienda integrar el SGSI con el resto de lossistemas de gestión que existan en la empresa para no duplicar esfuerzos.

EL CICLO DE MEJORA CONTINUAPara establecer y gestionar un sistema de gestion de la seguridad de la informacionse utiliza el ciclo PDCA (conocido tambien como ciclo Deming), tradicional en lossistemas de gestion de la calidad . El ciclo PDCA es un conceptoideado originalmente por Shewhart, pero adaptado a lo largo del tiempo poralgunos de los mas sobresalientes personajes del mundo de la calidad. Esta metodologiaha demostrado su aplicabilidad y ha permitido establecer la mejora continuaen organizaciones de todas clases.

El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sussiglas en ingles), tiene una serie de fases y acciones que permiten establecer unmodelo de indicadores y metricas comparables en el tiempo, de manera que sepueda cuantificar el avance en la mejora de la organizacion:

La mejora continua es un proceso en si mismo. Debe entenderse como la mejoraprogresiva de los niveles de eficiencia y eficacia de una organizacion en un procesocontinuo de aprendizaje, tanto de sus actividades como de los resultadospropios.Dado que la norma se encuentra enfocada hacia la mejora continua, es un esfuerzoinnecesario tratar de implementar un SGSI perfecto en un primer proyecto de estetipo. El objetivo deberia ser disenar un SGSI que se ajuste lo mas posible a la realidadde la organizacion, que contemple las medidas de seguridad minimas e imprescindiblespara proteger la informacion y cumplir con la norma, pero que consuma pocos recursos e introduzca el menor numero de cambios posibles. De esta manera,el SGSI se podra integrar de una forma no traumatica en la operativa habitual de laorganizacion, dotandola de herramientas con las que hasta entonces no contaba quepuedan demostrar su eficacia a corto plazo.

La aceptacion de este primer SGSI es un factor de exito fundamental. Permitira ala organizacion ir mejorando su seguridad paulatinamente y con escaso esfuerzo.

El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act)

PLANACT.

DOCHECK

Definir política y alcance

Implementar el SGSI

Revisar y auditar el SGSI

Tomar acciones correctivas y preventivas

El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act)

• Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y disena elprograma, sistematizando las politicas a aplicar en la organizacion, cuales sonlos fines a alcanzar y en que ayudaran a lograr los objetivos de negocio, quemedios se utilizaran para ello, los procesos de negocio y los activos que lossoportan, como se enfocara el analisis de riesgos y los criterios que se seguiranpara gestionar las contingencias de modo coherente con las politicas yobjetivos de seguridad.

• Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI.Las politicas y los controles escogidos para cumplirlas se implementanmediante recursos tecnicos, procedimientos o ambas cosas a la vez, y se asignanresponsables a cada tarea para comenzar a ejecutarlas segun las instrucciones.

El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act)

• Check. Esta fase es la de monitorizacion y revision del SGSI. Hay que controlarque los procesos se ejecutan como se ha establecido, de manera eficazy eficiente, alcanzando los objetivos definidos para ellos. Ademas, hay queverificar el grado de cumplimiento de las politicas y procedimientos, identificandolos fallos que pudieran existir y, hasta donde sea posible, su origen,mediante revisiones y auditorias.

Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuandolas acciones preventivas y correctivas necesarias para rectificar losfallos, detectados en las auditorias internas y revisiones del SGSI, o cualquierotra informacion relevante para permitir la mejora permanente del SGSI.

LA NORMA UNE-ISO/IEC 27001Origen de la normaISO (Organizacion Internacional de Normalizacion) e IEC (Comision ElectrotecnicaInternacional) constituyen el sistema especializado para la normalizacion anivel mundial. Los organismos nacionales que son miembros de ISO o IEC participanen el desarrollo de las normas internacionales a traves de comites tecnicosestablecidos por las organizaciones respectivas para realizar acuerdos en camposespecificos de la actividad tecnica. Los comites tecnicos de ISO e IEC colaboran enlos campos de interes mutuo.

En el campo de la tecnologia de la informacion, ISO e IEC han establecido uncomite tecnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Committee1). Los borradores de estas normas internacionales, adoptadas por la union deeste comite tecnico, son enviados a los organismos de las diferentes naciones parasu votacion. La publicacion como norma internacional requiere la aprobacion de,por lo menos, el 75% de los organismos nacionales que emiten su voto.

La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Institutode Normas Britanico (como BS 7799), y adoptada bajo la supervision del subcomitede tecnicos de seguridad del comite tecnico ISO/IEC JTC 1, en paralelocon su aprobacion por los organismos nacionales miembros de ISO e IEC.

Una vez que fue publicada la Norma ISO/IEC 17799-1 (actualmente se correspondecon la Norma ISO/IEC 27002), Reino Unido (BSI) y Espana (AENOR)elevaron al comite internacional sus normas nacionales sobre las especificaciones delos sistemas de gestion de la seguridad de la informacion (SGSI), BS 7799-2 yUNE 71502 respectivamente, siendo estas normas el origen de lo que finalmenteacabo publicandose como norma internacional ISO/IEC 27001 en el ano 2005,que fue adoptada como norma espanola UNE-ISO/IEC 27001 en el ano 2007,tras un periodo de convivencia con la norma anteriormente mencionada.Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 estan enproceso de revision internacional, y se espera que se publiquen las nuevas versionesa lo largo del ano 2013.

Como se ha comentado anteriormente, este estandar internacional adopta tambienel modelo Plan-Do-Check-Act (PDCA), es decir, se basa en un ciclo de mejora continuaque consiste en planificar, desarrollar, comprobar y actuar en consecuenciacon lo que se haya detectado al efectuar las comprobaciones. De esta manera seconseguira ir refinando la gestion, haciendola mas eficaz y efectiva.

OBJETO Y CAMPO DE APLICACIÓN DE LA NORMALa Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sistemasde gestion, esta pensada para que se emplee en todo tipo de organizaciones(empresas privadas y publicas, entidades sin animo de lucro, etc.), sin importar eltamaño o la actividad.

Esta norma especifica los requisitos para la creacion, implementacion, funcionamiento,supervision, revision, mantenimiento y mejora de un SGSI documentado,teniendo en cuenta los riesgos empresariales generales de la organizacion.

Es decir, explica como disenar un SGSI y establecer los controles de seguridad, de acuerdocon las necesidades de una organizacion o de partes de la misma, pero no aclaramediante que procedimientos se ponen en practica.

LA NORMA UNE-ISO/IEC 27002

La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenasprácticas para la gestión de la seguridad de la información, ha sido elaborada por elAEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comite tecnico conjuntoISO/IEC JTC 1/SC 27 Tecnología de la información. En ambas normas el contenidoes identico, diferenciandose unicamente en la numeracion, que ha sidomodificada en el marco de la creacion de la familia de normas ISO 27000.

Esta norma se esta desarrollando dentro de una familia de normas internacionalessobre Sistemas de Gestion de la Seguridad de la Informacion (SGSI). Tal familiaincluye normas internacionales sobre requisitos, gestion del riesgo, metricas ymediciones, asi como una guia de implementacion de los sistemas de gestion de laseguridad de la informacion.

Origen

LA NORMA UNE-ISO/IEC 27002

La Norma UNE-ISO/IEC 27002 establece las directrices y principios generalespara el comienzo, la implementacion, el mantenimiento y la mejora de la gestionde la seguridad de la informacion en una organizacion. Es un catalogo de buenaspracticas, obtenido a partir de la experiencia y colaboracion de numerosos participantes,los cuales han alcanzado un consenso acerca de los objetivos comunmenteaceptados para la gestion de la seguridad de la informacion.

Los objetivos de control y los controles de esta norma internacional tienen comofin servir de guia para el desarrollo de pautas de seguridad internas y practicas efectivasde gestion de la seguridad. Por ello, la eleccion de los controles permanecesujeta a lo detectado en un analisis de riesgos previo, y el grado de implementacionde cada uno de los controles se llevara a cabo de acuerdo a los requisitos de seguridadidentificados y a los recursos disponibles de la organizacion para alcanzar asiun balance razonable entre seguridad y coste.

Objeto y campo de aplicación

EL ESQUEMA NACIONAL DE SEGURIDAD (ENS)

La Ley 11/2007, de 22 de junio, de acceso electronico de los ciudadanos a los ServiciosPublicos esta siendo el motor y la guia de la administracion electronica. Estaley ha dado paso a una nueva etapa en la gestion de la Administracion Publica,impulsando la adopcion de los medios tecnologicos actualmente disponibles pararealizar tareas de gestion y facilitando a los ciudadanos el acceso a la AdministracionPublica en contextos mas adecuados a la realidad social.

El ENS esta regulado por el Real Decreto 3/2010, de 8 de enero, que recoge losrequisitos tecnicos y organizativos que se deben cumplir para proteger la informaciondentro del ambito de aplicacion del mismo. Por tanto, se puede decir que trata la proteccion de la informacion y de los servicios en el ambito de la administracionelectronica y que, a la luz de principios y requisitos generalmente reconocidos, exige la gestion continuada de la seguridad, aplicando un sistema de gestion deseguridad de la informacion.

Origen

EL ESQUEMA NACIONAL DE SEGURIDAD (ENS)

El objeto del ENS es garantizar la seguridad de los servicios prestados mediantemedios electronicos, de manera que los ciudadanos puedan realizar cualquier tramitecon la confianza de que va a tener validez juridica plena y que sus datos van aser tratados de manera segura.

Su ambito de aplicacion son los sistemas de informacion, los datos, las comunicacionesy los servicios electronicos, que permitan a los ciudadanos y a las AdministracionesPublicas el ejercicio de derechos y el cumplimiento de deberes a traves demedios electronicos.

Objeto y campo de aplicación

TÉRMINOS Y DEFINICIONESPara cumplir con las intenciones de este documento, conviene aclarar el significadode ciertos terminos y definiciones:

• ActivoCualquier bien que tiene valor para la organizacion.[ISO/IEC 13335-1:2004]

• DisponibilidadLa propiedad de ser accesible y utilizable por una entidad autorizada.[ISO/IEC 13335-1:2004]

• ConfidencialidadLa propiedad por la que la informacion no se pone a disposicion o se revelaa individuos, entidades o procesos no autorizados.[ISO/IEC 13335-1:2004]

• Aceptacion del riesgoLa decision de aceptar un riesgo.[ISO/IEC Guide 73:2002]

• Analisis de riesgosUtilizacion sistematica de la informacion disponible para identificar peligrosy estimar los riesgos.[ISO/IEC Guide 73:2002]

• Evaluacion de riesgosEl proceso general de analisis y estimacion de los riesgos.[ISO/IEC Guide 73:2002]

• Estimacion de riesgosEl proceso de comparacion del riesgo estimado con los criterios de riesgo,para asi determinar la importancia del riesgo.[ISO/IEC Guide 73:2002]

• Gestion de riesgosActividades coordinadas para dirigir y controlar una organizacion con respectoa los riesgos.[ISO/IEC Guide 73:2002]

Bibliografía:

Guía de aplicación de la Norma UNE-ISO/IEC 27001sobre seguridad en sistemas de información para pymes.