La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

GENERALIDADES SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI)

Publicada porMartín Quintero Quintana Modificado hace 6 años

Presentaciones similares

Presentación del tema: "GENERALIDADES SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI)"— Transcripción de la presentación:

1 GENERALIDADES SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI)
Agosto 23 de 2013 – Expositor Yadira Hernández

2 * Sabe usted si su información está protegida?
¿Qué es un SGSI? * Sabe usted si su información está protegida? * Cuándo fue la última vez que perdió información por no guardarla de manera adecuada? * Se ha preguntado si alguien más conoce sus claves de acceso a los sistemas de información.? * Alguna vez han enviado un mensaje a nombre suyo sin su autorización? * Comparte sus claves de acceso con otras personas.? * ¿Al levantarse de su puesto acostumbra dejar elementos (llaves, celular, carpetas con información, CDs, USB) sobre su escritorio? * ¿Conoce sus responsabilidades legales con el tratamiento de la información? Preguntas como estas, serán útiles para tomar conciencia sobre la protección de la información que a diario manejamos. Los Sistemas de Información y los datos que se almacenan en los equipos de cómputo son responsabilidad nuestra y por tanto debemos conocer la mejor manera de salvaguardarlos, para evitar reprocesos, contratiempos e incumplimientos.

3 Sistema de Gestión de la Seguridad de la Información.
¿Qué es un SGSI? Sistema de Gestión de la Seguridad de la Información. Se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o , transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas). SGSI es la abreviatura - Sistema de Gestión de la Seguridad de la Información. Un SGSI es un conjunto de políticas de administración de la información. (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o , transmitida en conversaciones, etc.),

4 Ejemplos de información que se maneja en de Purificación y Análisis.
Hojas de vida Contratos de trabajo Facturas Documentos de importación Certificados de los proveedores Contratos firmados por los clientes Documentación contable Bases de datos de clientes, proveedores , empleados Base de datos de productos Base de datos de precios Base de datos Información de mercado Código fuente de los aplicativos. Reportes financieros Planes de negocio Etc.

5 Sigla de los principio CID
LA INFORMACION es un activo que, al igual que otros activos comerciales importantes, tiene un valor para una organización y, por consiguiente debe ser adecuadamente PROTEGIDA. La seguridad de la información, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Llamados también principios del SGSI los cuales constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información. Sigla de los principio CID En la actualidad la información es el objeto de mayor valor para las organizaciones y es por ello ….. que surge la necesidad de diseñar mecanismos que permitan garantizar la seguridad de la misma.

6 Principios CID • Confidencialidad: tiene como propósito asegurar que sólo la persona correcta acceda a la información que se quiere distribuir. «Cuanto más valiosa sea la información, mayor debe ser su grado de confidencialidad, y cuanto mayor sea el grado de confidencialidad, mayor será el nivel de seguridad necesario de la estructura tecnológica y humana que participa de este proceso. »

7 Principios CID • Integridad: consiste en garantizar que los datos, objetos y recursos no han sido alterados en su contenido y son fiables. «Buscar la integridad es asegurarse que sólo las personas autorizadas puedan hacer modificaciones en la forma y contenido de una información, así como en el ambiente en el cual la misma es almacenada y por el cual transita.»

8 Principios CID • Disponibilidad: Principio asociado a la adecuada estructuración de un ambiente tecnológico y humano que permita la continuidad de las actividades de la organización, sin permitir la aparición de impactos negativos debidos a la utilización de la información «La información deberá ser accesible en forma segura para que se pueda usar en el momento en que se solicita y que se garantice su integridad y confidencialidad.»

9 Elementos de un SGSI « La seguridad de la organización es el resultado de operaciones realizadas por personas y soportadas por tecnología.” Elementos de la Seguridad de la Información »

10 Elementos de un SGSI LAS PERSONAS •Deben Garantizar la seguridad de la información. •Deben concientizarse de la necesidad de gestionar la seguridad de la información en la propia Dirección de la organización.

11 Elementos de un SGSI LA TECNOLOGIA •Es uno de los puntos que recibe mayor atención y presupuesto cuando se implantan mecanismos de seguridad de la información •La tecnología, sin un sistema global de gestión de la seguridad, resulta ineficaz y produce una falsa sensación de seguridad, defraudando las expectativas generadas.

12 Elementos de un SGSI LAS OPERACIONES Deben sostener la seguridad que la organización requiere a través de una serie de acciones diarias. Ejemplos de operaciones son: Evaluación de la seguridad en las medidas implantadas mediante auditorias Análisis de Incidentes Ejecución del Plan de Continuidad del negocio. Ejecución del Plan de Recuperación ante desastres, entre otros.

13 Objetivo de un SGSI Garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, minimizados y gestionados por la organización de una forma documentada, sistemática, estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan en la organización, los riesgos, el entorno y las tecnologías. La implementación de un Sistema de Gestión de Seguridad de la Información permitirá establecer un proceso de mejora continua en el tema a través del seguimiento de un modelo PHVA (Planear, Hacer, Verificar, Actuar), con unas responsabilidades claras y el compromiso por parte de los directivos.

14 Para qué sirve un SGSI? Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos. El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.

15 El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

16 ¿Qué incluye un SGSI? En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO de la siguiente forma:

17 Documentos de Nivel 1 Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI. Documentos de Nivel 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información. Documentos de Nivel 3 Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

18 Documentos de Nivel 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos. De manera específica, ISO indica que un SGSI debe estar formado por los siguientes documentos (en cualquier formato o tipo de medio): • Alcance del SGSI • Política y objetivos de seguridad • Procedimientos y mecanismos de control que soportan al SGSI • Enfoque de evaluación de riesgos • Informe de evaluación de riesgos • Plan de tratamiento de riesgos: • Procedimientos documentados • Declaración de aplicabilidad

19 ¿Cómo se implementa un SGSI?
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI.

20

21 ¿Qué tareas tiene la Gerencia en un SGSI?
Uno de los componentes primordiales en la implantación exitosa de un Sistema de Gestión de Seguridad de la Información es la implicación de la dirección. No se trata de una expresión retórica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y acciones que sólo puede tomar la gerencia de la organización. No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada a niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son responsabilidad y decisión de la dirección.

22 ¿Se integra un SGSI con otros sistemas de gestión?
Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información. La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO o la prevención de riesgos laborales según OHSAS Ahora, se añade ISO como estándar de gestión de seguridad de la información.

23 CONCEPTOS Activos de Información Amenaza Vulnerabilidad Impacto

Descargar ppt "GENERALIDADES SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI)"

Presentaciones similares

CDA LA TERMINAL IMPLEMENTACION SISTEMA DE GESTION DE CALIDAD NORMA ISO 9001: REQUISITOS SISTEMA DE GESTION DE CALIDAD.

CDA LA TERMINAL IMPLEMENTACION SISTEMA DE GESTION DE CALIDAD NORMA ISO 9001: REQUISITOS SISTEMA DE GESTION DE CALIDAD.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
POLITICAS DE LA SEGURIDAD SEGURIDAD Y ADMINISTRACION DE REDES.

POLITICAS DE LA SEGURIDAD SEGURIDAD Y ADMINISTRACION DE REDES.
Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.

Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
Republica Bolivariana de Venezuela. Instituto Universitario de Tecnología Antonio José de Sucre. Informática #78. SGSI Sistema de Gestión de Seguridad.

Republica Bolivariana de Venezuela. Instituto Universitario de Tecnología Antonio José de Sucre. Informática #78. SGSI Sistema de Gestión de Seguridad.
CONTABILIDAD ADMINISTRATIVA CONTABILIDAD ADMINISTRATIVA Arte, ciencia, técnica, o disciplina que bajo normas y procedimientos de análisis nos ayuda.

CONTABILIDAD ADMINISTRATIVA CONTABILIDAD ADMINISTRATIVA Arte, ciencia, técnica, o disciplina que bajo normas y procedimientos de análisis nos ayuda.
Nace luego de la segunda guerra mundial en el año de Es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio.

Nace luego de la segunda guerra mundial en el año de Es el encargado de promover el desarrollo de normas internacionales de fabricación, comercio.
ISO 9001:2015 “Pensamiento basado en Riesgo”. VGAD Juárez 2 Proporcionar una visión general de cómo la norma ISO 9001: 2015 aborda el tema de riesgo

ISO 9001:2015 “Pensamiento basado en Riesgo”. VGAD Juárez 2 Proporcionar una visión general de cómo la norma ISO 9001: 2015 aborda el tema de "riesgo"
GROUP OF SYSTEMS IMPLEMENTATION

GROUP OF SYSTEMS IMPLEMENTATION
CONTROL INTERNO CONTABLE

CONTROL INTERNO CONTABLE
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
Introducción a la Norma

Introducción a la Norma
Sistemas de Gestión Energética

Sistemas de Gestión Energética
Generalidades ISO 14001:2004 OHSAS 18001:2007.

Generalidades ISO 14001:2004 OHSAS 18001:2007.
“Generación de un Plan estratégico tecnológico, caso TI (PETi) : un enfoque de Sistemas y Gestión” Luis Hevia.

“Generación de un Plan estratégico tecnológico, caso TI (PETi) : un enfoque de Sistemas y Gestión” Luis Hevia.
JM-102-2011 Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.

JM Reglamento para la Administración del Riesgo Tecnológico Juan Antonio Vásquez.
SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO

SISTEMA DE GESTIÓN AMBIENTAL NORMA ISO
ANÁLISIS DE RIESGOS DE SISTEMAS DE INFORMACIÓN

ANÁLISIS DE RIESGOS DE SISTEMAS DE INFORMACIÓN
Fecha: 07/08/16 Ámbito de RSE: Medio Ambiente Tema de RSE:

Fecha: 07/08/16 Ámbito de RSE: Medio Ambiente Tema de RSE:

Presentaciones similares

Anuncios Google