La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Presentación de la Norma Técnica de Seguridad de la Información.

Publicada porManuel Ruiz Ávila Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Presentación de la Norma Técnica de Seguridad de la Información."— Transcripción de la presentación:

1 Presentación de la Norma Técnica de Seguridad de la Información

2 Introducción a la Seguridad de la Información ¿Qué es Seguridad? La seguridad es un estado de confianza personal, por conocimiento o desconocimiento y se rompe ante la materialización de algún evento. ¡Nuestro objetivo es sentirnos seguros por conocimiento y NUNCA por desconocimiento!

3 Introducción a la Seguridad de la Información  La Seguridad de la Información tiene como fin la protección de los activos de información.  La seguridad absoluta es imposible, no existe un sistema totalmente seguro, de forma que el elemento de riesgo siempre está presente, pese a cualquier medida que tomemos, razón por la cual se debe hablar de niveles de seguridad.

4 Introducción a la Seguridad de la Información ¿Cuál es la diferencia entre la Seguridad Informática y la Seguridad de la Información? Seguridad Informática: Tiene como objetivo primario proteger las infraestructuras tecnológicas y de comunicación que soportan la operación de una organización (básicamente hardware y software). Seguridad de la Información: Tiene como objetivo principal proteger la información de una organización.

5 Política de Seguridad de la Información El ICBF en el nivel nacional, en las direcciones regionales y en los Centros Zonales. está comprometido con la correcta administración y protección de la información para el fortalecimiento de la prestación de servicios con calidad a nuestros niños, niñas, adolescentes, familias colombianas y demás entes que lo soliciten, trabajando en el aseguramiento de la información que tiene como fuente los macroprocesos estratégicos, misionales, de apoyo y evaluación propios de la entidad, para garantizar que sea consultada y/o modificada únicamente por personas autorizadas en el momento que se requiera. Para el cumplimiento de esta política el ICBF cuenta con servidores públicos idóneos, metodologías para valoración y, tratamiento adecuado del riesgo. El ICBF en el nivel nacional, en las direcciones regionales y en los Centros Zonales. está comprometido con la correcta administración y protección de la información para el fortalecimiento de la prestación de servicios con calidad a nuestros niños, niñas, adolescentes, familias colombianas y demás entes que lo soliciten, trabajando en el aseguramiento de la información que tiene como fuente los macroprocesos estratégicos, misionales, de apoyo y evaluación propios de la entidad, para garantizar que sea consultada y/o modificada únicamente por personas autorizadas en el momento que se requiera. Para el cumplimiento de esta política el ICBF cuenta con servidores públicos idóneos, metodologías para valoración y, tratamiento adecuado del riesgo.

6 Introducción a la Seguridad de la Información El diseño e implementación del SIG del ICBF está determinado por: Las necesidades y objetivos Requisitos de seguridad Los procesos empleados El tamaño y estructura Enfoque basado en procesos

7 Introducción a la Seguridad de la Información Integridad Confidencialidad Disponibilidad Información La seguridad de la información se caracteriza en la preservación de: Propiedad que determina a la información no estar disponible, ni que sea relevada a individuos, entidades o procesos no autorizados Propiedad de salvaguardar la exactitud y estado completo de los archivos Propiedad que permite a la información ser accesible y utilizable por solicitud de una entidad autorizada

8 Introducción al Sistema de Gestión de Seguridad de la Información El Sistema de Gestión de Seguridad de la Información es un conjunto de procedimientos y recursos que permiten gestionar y minimizar los riesgos que atentan contra la seguridad de los activos de información del ICBF.

9  Para que La información confidencial sea consultada por personas u organizaciones autorizadas.  Tenemos conocimiento de la información crítica, sensible y reservada del ICBF.  Tenemos identificados los riesgos y los controles para gestionarlos adecuadamente.  Tenemos Sistemas de Información con controles de acceso.  Tenemos mecanismos de almacenamiento centralizado de Información (SIM, KACTUS, SEVEN, entre otros).  Tenemos continuidad en los servicios.  Tenemos controles de acceso físico a la Entidad.  Tenemos cláusulas de confidencialidad con terceros. ¿Por qué tenemos un Sistema de Gestión de Seguridad de la Información? Introducción al Sistema de Gestión de Seguridad de la Información

10  Garantizar un nivel de protección total es virtualmente imposible.  Los riesgos de la información deben ser : Conocidos Asumidos Gestionados Minimizados Todo esto, de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptable a los cambios que se produzcan …

11 Normas ISO de Seguridad de la Información Términos y definiciones que se emplean en toda la serie 27000. 27000 Los requisitos del sistema de gestión de seguridad de la información. Objetivos de control y controles. 27001 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables. Contiene 39 objetivos de control y 133 controles, agrupados en once dominios. 27002 Proporciona directrices para la gestión del riesgo en la seguridad de la información. 27005

12 Normas ISO de Seguridad de la Información Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. 27006 Guía de auditoría de un SGSI. 27007 Guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones). 27011 Guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. 27031

13 Normas ISO de Seguridad de la Información Guía relativa a la ciberseguridad. 27032 Es una norma para gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPN y diseño e implementación de seguridad en redes. 27033 Guía de seguridad en aplicaciones. 27034 Define las directrices que pueden apoyar la interpretación y la aplicación al sector sanitario de las normas ISO 27001 y 27002. 27799

14 Introducción a la Seguridad de la Información Taller Vocabulario  Hagan grupos de cinco personas.  Realice el análisis de los conceptos y asócielos con los términos.  Duración: Veinte minutos.

15 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006

16 Establecer el SIG

17 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Operar el SIG

18 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Revisar el SIG

19 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Mejorar el SIG

20 ¿Cómo se aplica la Norma ISO 27001 en el ICBF? Verificación, Evaluación, Seguimiento a la efectividad de los Controles Cumplimiento de las Políticas y controles de Seguridad de la Información Entrenamiento y fortalecimiento del conocimiento en Seguridad de Información Implementació n de Controles de Seguridad de Información Análisis de Riesgos y Plan de Tratamiento de Riesgos Identificación y clasificación de Activos de Información SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

21 Actividades claves en la implementación Procesos de Negocio Sistema de Gestión de Seguridad de la Información Tecnología de información  Medición del desempeño.  Compromiso de la alta gerencia.  Alineación Estratégica (Misión – Visión).  Gestión de recursos.  Integración del proceso de aseguramiento.

22 Requisitos de la documentación Debe incluir la siguiente documentación: Alcance Descripción de la metodología de valoración y los riesgos Informe de valoración y plan de tratamiento Procedimientos y Controles que apoyan el SIG Declaración de aplicabilidad

23 Actividades claves en la implementación Marco de referencia para fijar objetivos Establezca un sentido general de dirección y principios para la acción con relación a la seguridad de la información Tenga en cuenta los requisitos del negocio, los legales y las obligaciones de seguridad contractuales Alineada con el contexto organizacional de gestión del riesgo Establezca el criterio sobre el cual se evaluará el riesgo Sea aprobada por la Alta Dirección

24 Compromiso de la Dirección Establezca los Planes del SGSI Resolución 4964 de 2012 “ Por la cual se estructura el Comité de Coordinación del Sistema Integrado de Gestión ” Representante del Sistema Ante la Alta Dirección Criterios de aceptación de riesgos y niveles de riesgo aceptables

25 Actividades claves en la implementación Inventario y clasificación de activos de información Tipo de activo, software, hardware o recurso humano

26 Riesgo es la posibilidad de que suceda algún evento positivo o negativo el cual tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidades y consecuencias. Gestión del riesgo Estratégicos, imagen, operativos, financieros, de cumplimiento y tecnológicos

27 Gestión del riesgo Contexto estratégico organizacional Identificación del riesgo ¿Qué puede suceder? ¿Cómo puede suceder Identificación del riesgo ¿Qué puede suceder? ¿Cómo puede suceder Análisis del riesgo Determinar probabilidades Determinar consecuencias Determinar el nivel del riesgo Análisis del riesgo Determinar probabilidades Determinar consecuencias Determinar el nivel del riesgo Valoración del riesgo Identificar controles para el riesgo Verificar la efectividad de los controles Establecer tratamiento Valoración del riesgo Identificar controles para el riesgo Verificar la efectividad de los controles Establecer tratamiento Política de administración del riesgo Monitoreo y revisión Comunicación y consulta

28 Actividades claves en la implementación Gestión de riesgos

29 Actividades claves en la implementación Gestión de Riesgos

30 Actividades Claves en la implementación.Gestión de riesgos Activo Vulnerabilidad: Debilidades que tiene la organización y que pueden ser aprovechadas por las amenazas

31 Actividades claves en la implementación. Gestión de riesgos

32 Actividades claves en la implementación. Gestión de riesgos

33 Actividades claves en la implementación Rotulación activos de información Pública Restringida Rotulación de la información De uso interno Confidencial

34 Controles y objetivos de control  11 dominios  35 objetivos de control  114 controles Política de seguridad de la información Controles Organización de la seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de SI Gestión de los incidentes de SI Gestión de la continuidad del negocio Cumplimiento

35 Controles y objetivos de control Dominio Política de seguridad de la Información Objetivo Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. Control Aprobar un documento de política de seguridad, publicar y comunicar

36 Controles y Objetivos de Control Dominio Organización de seguridad de la información. Objetivo Gestionar la seguridad de la información dentro de la organización. Control Definir claramente todas las responsabilidades en cuanto a seguridad de la información. Identificar y revisar con regularidad los acuerdos de confidencialidad.

37 Controles y objetivos de control Dominio Gestión de activos. Objetivo Lograr y mantener la protección adecuada de los activos de la organización. Control Todos los activos claramente identificados, mediante un inventario.

38 Controles y objetivos de control Dominio Seguridad de los recursos humanos. Objetivo Asegurarse que los empleados, contratistas y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se consideran, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones. Control Definir y documentar los roles y responsabilidades de los empleados, contratistas y usuarios de terceras partes por la seguridad, de acuerdo con la política de seguridad de la información de la organización.

39 Controles y objetivos de control Dominio Seguridad física y del entorno. Objetivo Evitar el acceso físico no autorizado, el daño e interferencia de las instalaciones y a la información de la organización. Control Las áreas seguras deben estar protegidas con controles de acceso apropiados, para asegurar que solo se permita el acceso a personal autorizado.

40 Controles y objetivos de control Dominio Gestión de comunicaciones y operaciones. Objetivo Asegurar la operación correcta y segura de los servicios de procesamiento de información. Control Se deben controlar los cambios en los servicios y los sistema de procesamiento de información

41 Controles y objetivos de control Dominio Control de Acceso Objetivo Controlar el acceso a la información Control Debe existir un procedimiento formal para el registro y cancelación de usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios de información

42 Controles y objetivos de control Dominio Adquisición, desarrollo y mantenimiento de sistemas de información. Objetivo Garantizar la seguridad como parte integral de los sistemas de información. Control Las declaraciones sobre los requisitos del negocio para nuevos sistema de información o mejoras a los sistemas existentes deben especificar los requisitos para los controles de seguridad.

43 Controles y objetivos de control Dominio Gestión de los incidentes de la seguridad de la información. Objetivo Asegurar que los eventos y las debilidades de la seguridad de la información asociadas con los sistemas de información se comunican de forma tal que permiten tomas las acciones correctivas oportunamente. Control Los eventos de seguridad de la información se deben informar a través de los canales de gestión apropiados tan pronto como sea posible.

44 Controles y objetivos de control Dominio Gestión de la continuidad del negocio Objetivo Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación oportuna. Control Se deben identificar los eventos que puedan ocasionar interrupciones en los procesos del negocio, junto con la probabilidad y el impacto de dichas interrupciones, así como sus consecuencias para la seguridad de la información

45 Controles y objetivos de control Dominio Cumplimiento. Objetivo Evitar el incumplimiento de cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Control Se debe garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y si se aplica con las clausulas del contrato.

46 Revisión por la Dirección del Sistema de Gestión Revisar el SGSI a intervalos planificados para asegurarse de su conveniencia, suficiencia y eficacia continua Los resultados deben ser las decisiones y acciones relacionadas con: La mejora de la eficiencia del SGSI La actualización de la evaluación de riesgos y de su plan de tratamientos La modificación de los procedimientos y controles que afectan la seguridad de la información La necesidad de recursos La mejora a la manera en que se mide la eficacia de los controles Los resultados deben ser las decisiones y acciones relacionadas con: La mejora de la eficiencia del SGSI La actualización de la evaluación de riesgos y de su plan de tratamientos La modificación de los procedimientos y controles que afectan la seguridad de la información La necesidad de recursos La mejora a la manera en que se mide la eficacia de los controles Documentación del sistema

47 Revisión por la Dirección del Sistema de Gestión

48

Descargar ppt "Presentación de la Norma Técnica de Seguridad de la Información."

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
CONTROL DE DOCUMENTOS Y REGISTROS EN LOS CENTROS DE CONCILIACIÓN Y/O ARBITRAJE NTC-5906.

CONTROL DE DOCUMENTOS Y REGISTROS EN LOS CENTROS DE CONCILIACIÓN Y/O ARBITRAJE NTC-5906.
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD

SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
Medición, Análisis y Mejora

Medición, Análisis y Mejora
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Administración de redes

Administración de redes
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
CGR (Contraloría general de la república) Steven Oviedo Rodríguez

CGR (Contraloría general de la república) Steven Oviedo Rodríguez
UNE-EN ISO/IEC 17025 Requisitos generales para la competencia de los laboratorios de ensayo y calibración.

UNE-EN ISO/IEC Requisitos generales para la competencia de los laboratorios de ensayo y calibración.
SISTEMAS DE GESTIÓN DE LA ENERGÍA Aportes de la nueva Norma UNIT-ISO 50001 a la mejora del desempeño energético.

SISTEMAS DE GESTIÓN DE LA ENERGÍA Aportes de la nueva Norma UNIT-ISO 50001 a la mejora del desempeño energético.
Presentación de la Norma Técnica de Seguridad de la Información

Presentación de la Norma Técnica de Seguridad de la Información
AREA DE SEGURIDAD DE LA INFORMACION

AREA DE SEGURIDAD DE LA INFORMACION

Presentaciones similares

Anuncios Google