0 Fd 27001 Directores Y Alta Gerencia
-
Upload
fabian-descalzo -
Category
Documents
-
view
533 -
download
0
description
Transcript of 0 Fd 27001 Directores Y Alta Gerencia
SGSI y La Alta Gerencia
Security InformationSecurity InformationSecurity InformationSecurity InformationAwareness ProgramAwareness ProgramAwareness ProgramAwareness Program
Analista de Seguridad Informática
Especialista en Seguridad de la Información
SGSI y La Alta Gerencia
1v1.0
Celular (011) 15 6034-2822
[email protected]://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6
Que debo conocer como responsable del
Negocio?Ventajas de implantar la Seguridad de la Información en el Negocio
Con respecto al Negocio:� Integrar la gestión de la seguridad de la información con otras
modalidades de gestión empresarial
� Mejorar la imagen confianza y competitividad empresarial. La organización que desarrolle un SGSI según la norma, tendrá ventajas
2
organización que desarrolle un SGSI según la norma, tendrá ventajas de reconocimiento por los organismos que certifican los sistemas.
� Comprobar su compromiso con el cumplimiento de la legislación: protección de datos de carácter personal, servicios sociedad de información, comercio electrónico, propiedad intelectual, etc...
� Dar satisfacción a accionistas y demostrar el valor añadido de las actividades de seguridad de la información en la empresa
Protección de InformaciónEl gerenciar la Protección de la Información requiere contar con el
compromiso de cada área de negocios, quienes brindan los recursos
humanos que le permiten administrar y controlar la seguridad de la
información a través de la función o rol de cada usuario seleccionado como:
Lider de Seguridad de la Información:Responsable por la empresa o locación en caso de tratarse de Compañías con más de una Sede. Coordina las actividades de implementación de la seguridad o respuesta ante incidentes según lo informado por cada Responsable de Sector
3
Responsable de Seguridad de la Información:Asegura la información de su sector colaborando con el Líder de la Compañía o de la Sede, controla que se cumplan los requerimientos de seguridad acorde a lo informado por los propietarios de la información y las medidas de seguridad implementadas por el Líder.
Propietario de la información:Responsable de clasificarla y establecer su nivel de criticidad y disposición final, informa al Responsable del Sector
Usuario Clave:Administrador de Seguridades Aplicativas, responsable de aplicar las medidas de seguridad necesarias acorde a la clasificación de la información establecida por el Propietario de la Información.
La norma ISO 27.001 le brinda a la Organización el marco normativo necesariopara establecer los objetivos de control acordes a su estructura y negocio, de loscuales surgen las medidas de seguridad que adopta y adecúa a su cultura yentorno para la protección de la información más sensible y las aplicaciones
más críticas para cada área de negocio establecidos .
Estos objetivos de control y su implantación debe ser conocida desde el iniciopor la Organización en sus diferentes niveles, participando en el cumplimientode la acción política de la Empresa y formando parte responsable de la
Los Objetivos de Control
4
de la acción política de la Empresa y formando parte responsable de laestrategia de la Seguridad de la Información. Y así se asegura desde todas las
áreas de negocio que se proporciona un sistema de control adecuado para eltratamiento de la información.
Como primer paso para implantar la gestión de la seguridad de la información, laOrganización debe establecer e informar su POLITICA DE SEGURIDAD.
Según lo que establezca como alcance la Compañía a través de su Política de
Seguridad, cada área de negocios participa en la gestión de:
Los Objetivos de Control
El NegocioEl NegocioGestión de la SeguridadGestión de Información
Gestión con Terceras PartesMedios de Comunicación
El PersonalEl PersonalFunciones y responsabilidadesConfidencialidad y contraseñas
Uso de hardwareUso de software y aplicacionesConcientización y Educación
5
Concientización y Educación
Los sistemas de InformaciónLos sistemas de InformaciónSeguridad Física del entorno
Seguridad Física de los soportesSeguridad Lógica en los sistemas
Manejo de incidentes
La Revisión del SistemaLa Revisión del SistemaControl de registros
Auditorías de SistemasSeguimiento del Cumplimiento
Para aportar resultados y conocimientos para el control de:
Los Usuarios y los Objetivos de Controllos Usuarios de cada área de negocios deben saber que, de acuerdo a los Objetivos de Control definidos, las medidas de seguridad adecuadas al
contexto de la Compañía tienen que cumplirse para asegurar:
DisponibilidadDisponibilidadY con ello poner la
ConfidencialidadConfidencialidadAsegurar que la información es sólo accesible para aquellos autorizados.
DisponibilidadDisponibilidadAsegurar que los usuarios autorizados tienen acceso cuando lo requieran en los tiempos adecuados.
IntegridadIntegridadGarantía de la exactitud y de que la información sea completa, así como los métodos de su procesamiento.
Y con ello poner la Gestión de la
Seguridad al servicio de los objetivos de
negocio de la
Organización
Los usuarios aportan la documentación referente a los objetos de informaciónbasándose en su experiencia y conocimientos. Esto permite establecerprogramas adecuados que disminuyen la potencialidad de eventos negativos y elmantenimiento organizado de los mismos.
La Documentación
Conjunto de
Normativas y Guías
Establecer Establecer bases respecto bases respecto aa
DocumentarDocumentar
7
Normativas y Guías
de implementación Matrices para identificación
de riesgos y su posterior
mitigación
DocumentarDocumentarresultados enresultados en
Manual de Protección
de la Información
Para actualizar elPara actualizar el
La Documentación
La Información ofrecida desde las Áreas Usuarias ayudan aestablecer y documentar medidas preventivas y obtener un Plan
Metodológico Integral de la Seguridad de la Información, queincluye:
Identificación del
riesgo potencial y de
Clasificación de la
información, estableciendo
su importancia de acuerdo a
8
exposición por
objetivo de control
su importancia de acuerdo a
su nivel de Confidencialidad,
Integridad y Disponibilidad
necesaria
Otros documentos
Análisis de procesos del área, Mapa de interacción con otras áreas,
Nómina de Proveedores Críticos, Nómina de personal en contingencia,
Lista de requerimientos mínimos del área, etc.
Procesando la información
La certeza sobre la Información de respaldo y pruebasobjetivas brindadas por los Usuarios para el control ydesarrollo de la Seguridad de la Información aportarán unsólido desarrollo para:
9
Conocer su responsabilidad en
cuanto a la Seguridad de la
Información y lo que se espera de él.
Que esperamos de la Organización
Incrementar la conciencia de la necesidad de proteger la información y a entrenara los usuarios en la utilización de la misma para que ellos puedan llevar a cabo susfunciones en forma segura, minimizando la ocurrencia de errores y pérdidas.
10
Información y lo que se espera de él.
Entrenamiento inicial y continuo a
sus colegas de área, y aporte en el
mantenimiento activo de la
documentación y los controles
Conocer las políticas organizacionales,
haciendo hincapié en el cumplimiento
de la Política de Seguridad.
Analista de Seguridad Informática
Especialista en Seguridad de la Información
11
CelularCelular ((011011) ) 15 603415 [email protected]@yahoo.com.ar
http://ar.linkedin.com/pub/fabianhttp://ar.linkedin.com/pub/fabian--descalzo/a/adescalzo/a/a1515//88aa66