Presentacion_SGSI_2
description
Transcript of Presentacion_SGSI_2
-
Sistema de Gestin de
Seguridad de la
Informacin
-
Aspecto Normativo
UNIT ISO/IEC 27000
-
27000 Fundamentos y vocabulario
27001 Requisitos para certificacin
27002 Buenas prcticas
27003 Directrices para la implementacin
Familia de normas ISO/IEC 27000
Esta norma especifica los requisitos para establecer,
implantar, documentar y evaluar un SGSI
Especifica los requisitos de los controles de seguridad de
acuerdo con las necesidades de las organizaciones,
independientemente de su tipo, tamao o actividad
-
Anlisis familia de normas ISO/IEC 27000
-
Dominio Objetivos Controles
Poltica de Seguridad 1 2
Aspectos organizativos para la seguridad 2 11
Gestin de los Activos 2 5
Seguridad de los Recursos Humanos 3 9
Seguridad fsica y del entorno 2 13
Gestin de comunicaciones y operaciones 10 32
Control de accesos 7 25
Adquisicin, Desarrollo y mantenimiento de
Sistemas
6 16
Gestin de Incidentes de Seguridad de la
Informacin
2 15
Gestin de continuidad del negocio 1 5
Conformidad 3 10
Norma 27002
-
Norma UNIT ISO/IEC 27002
Dominios de seguridad
Objetivos
Controles
Implementacin del control
-
1 Poltica de Seguridad de Informacin
2 Estructura organizativa de la SI
3 Clasificacin y control de activos
4 Seguridad ligada al personal
5 Seguridad fsica y del entorno
6 Gestin de comunicaciones y operaciones
7 Control de accesos
8 Desarrollo y mantenimiento de sistemas
9 Gestin de Incidentes de Seguridad
10. Gestin Continuidad de Negocio
-----------------------------------------------------------
11 Conformidad y Cumplimiento legislacin
ISO/IEC 27002
P
D
C
A
Definir poltica de seguridadEstablecer alcance del al SGSIRealizar anlisis de riesgosSeleccionar los controles
Implantar plan de gestin de riesgosImplantar el SGSIImplantar los controles
Revisar internamente el SGSIRealizar auditorias internas del SGSI
Adoptar las acciones correctivasAdoptar las acciones preventivas
MODELO PDCA
-
Documentacin en un SGSI
-
Manual de seguridad: Es el documento que inspira ydirige todo el sistema, determina las intenciones,
alcance, objetivos, responsabilidades, polticas y
directrices principales del SGSI.
Procedimientos: documentos en el nivel operativo, queaseguran que se realicen de forma eficaz la
planificacin, operacin y control de los procesos de
seguridad de la informacin.
Documentacin en un SGSI
-
Instrucciones, checklists y formularios: Son losdocumentos que describen cmo se realizan las tareas
relacionadas con la seguridad de la informacin
Registros: Son los documentos que proporcionan unaevidencia objetiva del cumplimiento de los requisitos del
SGSI; estn asociados a documentos de los otros tres
niveles como output que demuestra que se ha cumplido
lo indicado en los mismos.
Documentacin en un SGSI
-
Declaracin general de principios que
presenta la posicin de la Administracin
sobre los cursos de accin a seguir.
Intencin y direccin general expresada
formalmente por la direccin. (ISO 27002)
Poltica General de Seguridad
-
Poltica de Seguridad
Poltica de Seguridad Organizacionalo Un conjunto de leyes y prcticas que regulan cmo una
organizacin gestiona, protege y distribuye recursos para
alcanzar los objetivos de una poltica de seguridad
Poltica de Seguridad Automatizadao El conjunto de restricciones y propiedades que especifican cmo
un sistema informtico previene que tanto informacin como
recursos sean utilizados violando una poltica de seguridad
organizacional
-
Dominio : Poltica de Seguridad
Objetivo:
Proporcionar orientacin y apoyo de la
direccin para la seguridad de la
informacin de acuerdo con los requisitos
del negocio y con las regulaciones y leyes
pertinentes.
-
Documento de Poltica de Seguridad
Control
La direccin debera aprobar, publicar y
comunicar a todos los empleados y a
terceras partes, un documento con la
poltica de seguridad de la informacin
Gua de Implantacin
-
Revisin de la Poltica de Seguridad de
la Informacin
Control
La poltica de seguridad de la informacin
debe ser revisada a intervalos planificados
o si se producen cambios significativos,
para asegurar su conveniencia, suficiencia
y eficacia continua.
-
Gestin de Riesgos
Un riesgo es la posibilidad de que unresultado indeseado distorsione el negocio
La gestin de riesgos es el proceso deidentificar y controlar esos resultados
indeseados de manera PROACTIVA
-
Gestin de Riesgos
Los riesgos siempre implican posiblesprdidas, de all la importancia de
manejarlos
Gestionar riesgos es trabajar con laincertidumbre y la idea es disminuirla.
El problema no es que haya riesgos essaber manejarlos.
-
Gestin de Riesgos
Para manejar los riesgos trabajamos conuna tcnica que reduzca la incertidumbre,
pero nunca la eliminaremos.
Deben ser analizados por diferentespersonas con diferentes visiones
-
La importancia del Anlisis de Riesgos
Nos ayuda a visualizar cules son nuestras debilidades
Nos permite analizar cmo resolver esas debilidades
Nos permite definir en qu orden las atenderemos, nos permite priorizarlas
-
Estudio del Riesgo
Riesgo: Es lo que acontece y dispara una prdidapara la organizacin
Conductor del riesgo: condicionantes en el entornoque hacen pensar que el riesgo podra ocurrir
Probabilidad del riesgo: evaluacin subjetiva, basadaen los conductores del riesgo, de la posibilidad deque dicho riesgo ocurra
-
Impacto: la consecuencia o prdida potencial quepodra resultar si el riesgo ocurre
Prdidas: magnitud de la prdida en caso que ocurrael riesgo
Estudio del Impacto