La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Presentación de la Norma Técnica de Seguridad de la Información

Publicada porMartín Mesa Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Presentación de la Norma Técnica de Seguridad de la Información"— Transcripción de la presentación:

1 Presentación de la Norma Técnica de Seguridad de la Información

2 Introducción a la Seguridad de la Información
¿Qué es Seguridad? La seguridad es un estado de confianza personal, por conocimiento o desconocimiento y se rompe ante la materialización de algún evento. ¡Nuestro objetivo es sentirnos seguros por conocimiento y NUNCA por desconocimiento!

3 Introducción a la Seguridad de la Información
La Seguridad de la Información tiene como fin la protección de los activos de información. La seguridad absoluta es imposible, no existe un sistema totalmente seguro, de forma que el elemento de riesgo siempre está presente, pese a cualquier medida que tomemos, razón por la cual se debe hablar de niveles de seguridad.

4 Introducción a la Seguridad de la Información
¿Cuál es la diferencia entre la Seguridad Informática y la Seguridad de la Información? Seguridad Informática: Tiene como objetivo primario proteger las infraestructuras tecnológicas y de comunicación que soportan la operación de una organización (básicamente hardware y software). Seguridad de la Información: Tiene como objetivo principal proteger la información de una organización.

5 Introducción a la Seguridad de la Información
El diseño e implementación del SIG del ICBF está determinado por: Las necesidades y objetivos Requisitos de seguridad Los procesos empleados El tamaño y estructura Enfoque basado en procesos

6 Introducción a la Seguridad de la Información
La seguridad de la información se caracteriza en la preservación de: Integridad Confidencialidad Propiedad de salvaguardar la exactitud y estado completo de los archivos Información Propiedad que determina a la información no estar disponible, ni que sea relevada a individuos, entidades o procesos no autorizados Disponibilidad Propiedad que permite a la información ser accesible y utilizable por solicitud de una entidad autorizada

7 Introducción al Sistema de Gestión de Seguridad de la Información
El Sistema de Gestión de Seguridad de la Información es un conjunto de procedimientos y recursos que permiten gestionar y minimizar los riesgos que atentan contra la seguridad de los activos de información del ICBF.

8 Introducción al Sistema de Gestión de Seguridad de la Información
Para que La información confidencial sea consultada por personas u organizaciones autorizadas. Tenemos conocimiento de la información crítica, sensible y reservada del ICBF. Tenemos identificados los riesgos y los controles para gestionarlos adecuadamente. Tenemos Sistemas de Información con controles de acceso. Tenemos mecanismos de almacenamiento centralizado de Información (SIM, KACTUS, SEVEN, entre otros). Tenemos continuidad en los servicios. Tenemos controles de acceso físico a la Entidad. Tenemos cláusulas de confidencialidad con terceros. ¿Por qué tenemos un Sistema de Gestión de Seguridad de la Información?

9 Introducción al Sistema de Gestión de Seguridad de la Información
Garantizar un nivel de protección total es virtualmente imposible. Los riesgos de la información deben ser : Conocidos Asumidos Gestionados Minimizados Todo esto, de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptable a los cambios que se produzcan …

10 Normas ISO de Seguridad de la Información
27000 Términos y definiciones que se emplean en toda la serie 27001 Los requisitos del sistema de gestión de seguridad de la información. Objetivos de control y controles. 27002 Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables. Contiene 39 objetivos de control y 133 controles, agrupados en once dominios. 27005 Proporciona directrices para la gestión del riesgo en la seguridad de la información.

11 Normas ISO de Seguridad de la Información
27006 Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. 27007 Guía de auditoría de un SGSI. 27011 Guía de gestión de seguridad de la información específica para telecomunicaciones, elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones). 27031 Guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones.

12 Normas ISO de Seguridad de la Información
27032 Guía relativa a la ciberseguridad. 27033 Es una norma para gestión de seguridad de redes, arquitectura de seguridad de redes, escenarios de redes de referencia, aseguramiento de las comunicaciones entre redes mediante gateways, acceso remoto, aseguramiento de comunicaciones en redes mediante VPN y diseño e implementación de seguridad en redes. 27034 Guía de seguridad en aplicaciones. 27799 Define las directrices que pueden apoyar la interpretación y la aplicación al sector sanitario de las normas ISO y

13 Introducción a la Seguridad de la Información
Taller Vocabulario Hagan grupos de cinco personas. Realice el análisis de los conceptos y asócielos con los términos. Duración: Veinte minutos.

14 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006

15 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Establecer el SIG

16 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Operar el SIG

17 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Revisar el SIG

18 Presentación de la Norma Técnica Colombiana del Sistema de Gestión de Seguridad de la Información ISO IEC 27001:2006 Mejorar el SIG

19 ¿Cómo se aplica la Norma ISO 27001 en el ICBF?
Verificación, Evaluación, Seguimiento a la efectividad de los Controles Cumplimiento de las Políticas y controles de Seguridad de la Información Entrenamiento y fortalecimiento del conocimiento en Seguridad de Información Implementación de Controles de Seguridad de Información Análisis de Riesgos y Plan de Tratamiento de Riesgos Identificación y clasificación de Activos de Información SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

20 Actividades claves en la implementación
Compromiso de la alta gerencia. Procesos de Negocio Sistema de Gestión de Seguridad de la Información Tecnología de información Alineación Estratégica (Misión – Visión). Gestión de recursos. Integración del proceso de aseguramiento. Medición del desempeño.

21 Requisitos de la documentación
Debe incluir la siguiente documentación: Alcance Procedimientos y Controles que apoyan el SIG Descripción de la metodología de valoración y los riesgos Informe de valoración y plan de tratamiento Declaración de aplicabilidad

22 Actividades claves en la implementación
Marco de referencia para fijar objetivos Establezca un sentido general de dirección y principios para la acción con relación a la seguridad de la información Tenga en cuenta los requisitos del negocio, los legales y las obligaciones de seguridad contractuales Alineada con el contexto organizacional de gestión del riesgo Establezca el criterio sobre el cual se evaluará el riesgo Sea aprobada por la Alta Dirección

23 Compromiso de la Dirección
Establezca los Planes del SGSI Resolución 4964 de 2012 “ Por la cual se estructura el Comité de Coordinación del Sistema Integrado de Gestión” Representante del Sistema Ante la Alta Dirección Criterios de aceptación de riesgos y niveles de riesgo aceptables

24 Actividades claves en la implementación
Inventario y clasificación de activos de información Tipo de activo, software, hardware o recurso humano

25 Gestión del riesgo Riesgo es la posibilidad de que suceda algún evento positivo o negativo el cual tendrá un impacto sobre los objetivos institucionales o del proceso. Se expresa en términos de probabilidades y consecuencias. Estratégicos, imagen, operativos, financieros, de cumplimiento y tecnológicos

26 Gestión del riesgo Contexto estratégico organizacional
Identificación del riesgo ¿Qué puede suceder? ¿Cómo puede suceder Análisis del riesgo Determinar probabilidades Determinar consecuencias Determinar el nivel del riesgo Comunicación y consulta Monitoreo y revisión Valoración del riesgo Identificar controles para el riesgo Verificar la efectividad de los controles Establecer tratamiento Política de administración del riesgo

27 Actividades claves en la implementación
Gestión de riesgos

28 Actividades claves en la implementación
Gestión de Riesgos

29 Actividades Claves en la implementación.Gestión de riesgos
Activo Vulnerabilidad: Debilidades que tiene la organización y que pueden ser aprovechadas por las amenazas

30 Actividades claves en la implementación. Gestión de riesgos

31 Actividades claves en la implementación. Gestión de riesgos

32 Actividades claves en la implementación
Rotulación activos de información Confidencial Pública Rotulación de la información De uso interno Restringida Pública. Información que puede ser conocida y utilizada sin autorización por cualquier persona. De Uso Interno. Información que puede ser conocida y utilizada por todos los empleados y algunos terceros debidamente autorizados y cuya divulgación o uso no autorizados podría ocasionar riesgos o pérdidas leves. Confidencial. Información que sólo puede ser conocida y utilizada por un grupo de empleados, que la necesiten para realizar su trabajo, y cuya divulgación o uso no autorizados podría ocasionar pérdidas significativas. Restringida. Información que sólo puede ser conocida y utilizada por un grupo muy reducido de empleados, generalmente de la alta dirección, y cuya divulgación o uso no autorizados podría ocasionar pérdidas

33 Controles y objetivos de control
Política de seguridad de la información Organización de la seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física y del entorno 11 dominios 35 objetivos de control 114 controles Controles Gestión de comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de SI Gestión de los incidentes de SI Gestión de la continuidad del negocio Cumplimiento

34 Controles y objetivos de control
Dominio Política de seguridad de la Información Objetivo Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes. Control Aprobar un documento de política de seguridad, publicar y comunicar

35 Controles y Objetivos de Control
Dominio Organización de seguridad de la información. Objetivo Gestionar la seguridad de la información dentro de la organización. Control Definir claramente todas las responsabilidades en cuanto a seguridad de la información. Identificar y revisar con regularidad los acuerdos de confidencialidad.

36 Controles y objetivos de control
Dominio Gestión de activos. Objetivo Lograr y mantener la protección adecuada de los activos de la organización. Control Todos los activos claramente identificados, mediante un inventario.

37 Controles y objetivos de control
Dominio Seguridad de los recursos humanos. Objetivo Asegurarse que los empleados , contratistas y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se consideran, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones. Control Definir y documentar los roles y responsabilidades de los empleados, contratistas y usuarios de terceras partes por la seguridad, de acuerdo con la política de seguridad de la información de la organización.

38 Controles y objetivos de control
Dominio Seguridad física y del entorno. Objetivo Evitar el acceso físico no autorizado, el daño e interferencia de las instalaciones y a la información de la organización. Control Las áreas seguras deben estar protegidas con controles de acceso apropiados, para asegurar que solo se permita el acceso a personal autorizado.

39 Controles y objetivos de control
Dominio Gestión de comunicaciones y operaciones. Objetivo Asegurar la operación correcta y segura de los servicios de procesamiento de información. Control Se deben controlar los cambios en los servicios y los sistema de procesamiento de información

40 Controles y objetivos de control
Dominio Control de Acceso Objetivo Controlar el acceso a la información Control Debe existir un procedimiento formal para el registro y cancelación de usuarios con el fin de conceder y revocar el acceso a todos los sistemas y servicios de información

41 Controles y objetivos de control
Dominio Adquisición, desarrollo y mantenimiento de sistemas de información. Objetivo Garantizar la seguridad como parte integral de los sistemas de información. Control Las declaraciones sobre los requisitos del negocio para nuevos sistema de información o mejoras a los sistemas existentes deben especificar los requisitos para los controles de seguridad.

42 Controles y objetivos de control
Dominio Gestión de los incidentes de la seguridad de la información. Objetivo Asegurar que los eventos y las debilidades de la seguridad de la información asociadas con los sistemas de información se comunican de forma tal que permiten tomas las acciones correctivas oportunamente. Control Los eventos de seguridad de la información se deben informar a través de los canales de gestión apropiados tan pronto como sea posible.

43 Controles y objetivos de control
Dominio Gestión de la continuidad del negocio Objetivo Contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres y asegurar su recuperación oportuna. Control Se deben identificar los eventos que puedan ocasionar interrupciones en los procesos del negocio, junto con la probabilidad y el impacto de dichas interrupciones, así como sus consecuencias para la seguridad de la información

44 Controles y objetivos de control
Dominio Cumplimiento. Objetivo Evitar el incumplimiento de cualquier ley, de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad. Control Se debe garantizar la protección de los datos y la privacidad, de acuerdo con la legislación y los reglamentos pertinentes y si se aplica con las clausulas del contrato.

45 Revisión por la Dirección del Sistema de Gestión
Revisar el SGSI a intervalos planificados para asegurarse de su conveniencia, suficiencia y eficacia continua Los resultados deben ser las decisiones y acciones relacionadas con: La mejora de la eficiencia del SGSI La actualización de la evaluación de riesgos y de su plan de tratamientos La modificación de los procedimientos y controles que afectan la seguridad de la información La necesidad de recursos La mejora a la manera en que se mide la eficacia de los controles Documentación del sistema

46 Revisión por la Dirección del Sistema de Gestión

47 Revisión por la Dirección del Sistema de Gestión

48 Taller Gestión de Calidad
Conceptos del Sistema de Gestión de Seguridad de la Información Organizar equipos de cinco personas. Escoger un nombre que identifique al equipo. Identificar los riesgos y realizar su valoración.

49 ¿Qué nos falta para fortalecer el Sistema Integrado de Gestión?

50 ¿Qué nos falta para fortalecer el Sistema Integrado de Gestión?
Conocimiento sobre el SGSI Gestión de recursos para la Seguridad de la Información Directivos y Coordinadores con conciencia de Seguridad de la Información Activos Disponibles, Íntegros y confiables . Seguimiento a AC AP Tratamiento Riesgos Medios Removibles Desarticulaci’on Epico Ing Sistemas Rev por Direcci’on Procedimiento de Bilocker

51 ¿Qué nos falta para fortalecer el Sistema Integrado de Gestión?
Taller ¿Qué nos falta para fortalecer el Sistema de Gestión de Seguridad de la Información? Organizar equipos de cinco personas Escoger un nombre que identifique el equipo Seguir las orientaciones del Facilitador Tiempo: Diez minutos

Descargar ppt "Presentación de la Norma Técnica de Seguridad de la Información"

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Sistemas de Calidad / ISO 9001:2000

Sistemas de Calidad / ISO 9001:2000
CONTROL DE DOCUMENTOS Y REGISTROS EN LOS CENTROS DE CONCILIACIÓN Y/O ARBITRAJE NTC-5906.

CONTROL DE DOCUMENTOS Y REGISTROS EN LOS CENTROS DE CONCILIACIÓN Y/O ARBITRAJE NTC-5906.
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD

SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
Sistema de Gestión de la Calidad

Sistema de Gestión de la Calidad
Medición, Análisis y Mejora

Medición, Análisis y Mejora
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Administración de redes

Administración de redes
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
CGR (Contraloría general de la república) Steven Oviedo Rodríguez

CGR (Contraloría general de la república) Steven Oviedo Rodríguez
UNE-EN ISO/IEC 17025 Requisitos generales para la competencia de los laboratorios de ensayo y calibración.

UNE-EN ISO/IEC Requisitos generales para la competencia de los laboratorios de ensayo y calibración.

Presentaciones similares

Anuncios Google