SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI

Slides:

Advertisements

Presentaciones similares

Principio de Responsabilidad Demostrada y RNBD Carlos Enrique Salazar Muñoz Director de Investigación de Protección de Datos Personales Mayo de 2016.

Advertisements

TIC I: Seguridad Informática. Gestión del riesgo.

Política de divulgación estadísticas y entrega de microdatos del INEC Presentación al Consejo Nacional Consultivo de Estadística Area de Coordinación del.

SISTEMA DE GESTIÓN DE LA CALIDAD NORMAS ISO. CONCEPTOS GENERALES.

Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.

Elaboración de un Plan de Implementación de la ISO/IEC 27001:2013

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies

NORMA ISO DIS 9001:2015 Draft International Standard.

 La serie de normas ISO/IEC son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y la Comisión.

Reforzar los conocimientos sobre la planificación, control y mejora de la calidad de acuerdo con los requisitos de la Norma ISO 9001 en su Requisito 8.

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

CONTROL INTERNO Ing. Yolfer Hernández, CIA Seguridad y Auditoria de Sistemas Ciclo

NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

UNIVERSIDAD NACIONAL DE MOQUEGUA Escuela Profesional de Ingeniería de Sistemas é Informática CURSO : Auditoria de Sistemas DOCENTE : Msc. Alex Zuñiga Incalla.

No conformidades y su análisis/ Acciones preventivas y/o correctivas TUTOR LEONARDO OLMOS INGENIERO INDUSTRIAL ESP. GERENCIA EN SEGURIDAD Y SALUD EN EL.

Plan de Continuidad de las TIC

IMPLEMENTACIÓN ISO – EMPRESA FICTICIA

SEGURIDAD CORPORATIVA

Orden del día 2ª sesión ordinaria

PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS

Ing. Juan Carlos Barrera Mendieta

LAS VERIFICACIONES, LAS listas de CONTROL y LOS mapas de Riesgos

SEGURIDAD Y SALUD EN EL TRABAJO

Comité de Sistemas Objetivos:

Dirección General de Normatividad Mercantil

“Solo las empresas con mayor adaptabilidad a su entorno, tendrán mayores probabilidades de salir con éxito de las crisis” Planear, Identificar, Analizar.

CONTROL INTERNO.

GESTIÓN ADMINISTRATIVA.

Generalidades ISO 14001:2004 OHSAS 18001:2007.

Fecha: 07/08/16 Ámbito de RSE: Medio Ambiente Tema de RSE:

COMITÉ DE PROTECCIÓN DE DATOS PERSONALES

ISO 9001 REQUISITOS.

Requisitos legales y otros Objetivos y programa (s)

COBIT 4.1 Entregar y Dar Soporte DS11 Administración de Datos

UNIVERSIDAD "ALONSO DE OJEDA"

Marco de ciberseguridad

AUTORA: LUZÓN GUZMÁN GINA IVANOVA

Seguridad Lógica y Física

EVALUACIÓN INICIAL SG-SST

GESTIÓN DE LA CIBERSEGURIDAD SEGÚN EL ISO/IEC 27032: /16/2017 Mg Miguel del Pozo.

Políticas de Seguridad Los Sistemas de Información y la Seguridad.

¿Qué es el SENA? El Servicio Nacional de Aprendizaje - SENA es un establecimiento público, con financiamiento propio derivado de los aportes parafiscales.

CONTEXTO DE LA ORGANIZACIÓN

ISO SGSI ISO FASES SGSI ANEXOS (A) ISO 27002

MAGERIT Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

 Importancia de a Seguridad Informática, Seguridad de la Información y Seguridad en Sistemas Operativos Libardo Antonio Miranda Contreras Candidato a.

Proyecto y Preparo: Reynaldo Roa Parra - Oficina Asesora de Planeación

La información y la comunicación son dos elementos claves en el quehacer institucional en función del cumplimiento de sus objetivos BUENOS DÍAS.

Auditoria de Tecnologías de Información PLANIFICACION Ing. Eder Gutiérrez Quispe.

NOMBRE: SandyYarleque Olaya DOCENTE: Edy Javier García Córdova CURSO: Seguridad Informática CICLO: V “B” ESPECIALIDAD: Computación e Informática Piura-

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

ISO  La norma ISO 14000, no es una sola norma, sino que forma parte de una familia de normas que se refieren a la gestión ambiental aplicada a la.

REVISIÓN GERENCIAL NACIONAL XXX de 2009.

CULTURA DE CUMPLIMIENTO Y ELEMENTOS ESENCIALES DE UN PROGRAMA DE CUMPLIMIENTO “Importancia del Cumplimiento (Compliance) en los sectores público y privado”

TALLER MANUAL SISTEMA DE GESTION EN SEGURIDAD Y SALUD OCUPACIONAL

Mg. Diana Rocío Plata Arango

ISO :2015 UNIVERSIDAD TÉCNICA DE MACHALA D.L. No de 14 de Abril de 1969 Calidad, Pertinencia y Calidez UNIDAD ACADÉMICA DE CIENCIAS SOCIALES.

SERVICIO NO CONFORME.

NORMAS CERTIFICADAS NORMA ISO NORMA IRAM

SEGURIDAD INFORMÁTICA TEMA PRINCIPIOS DE LA SEGURIDAD INFORMÁTICA.

TALLER MANUAL SISTEMA DE GESTION EN SEGURIDAD Y SALUD OCUPACIONAL

Plan de Continuidad del Negocio

RIESGOS FINANCIEROS FACULTAD DE CIENCIAS CARRERA: ING. EN CIENCIAS ECONÓMICAS Y FINANCIERAS.

NTC ISO 45001:2018. El nuevo estándar internacional para el Sistema de Gestión de Seguridad y Salud en el Trabajo.

La información y la comunicación son dos elementos claves en el quehacer institucional en función del cumplimiento de sus objetivos.

VERIFICACIÓN Y MONITOREO (4, 5) IMPLEMENTACIÓN Y OPERACIÓN (2, 3, 4,5)

EL SISTEMA DE GESTIÓN AMBIENTAL ISO 14001:2004. OBJETIVO DE LA NORMA Los objetivos principales de la norma ISO en una organización son: Fomentar.

Transcripción de la presentación:

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN: SGSI

CONTENIDO Aspectos Generales Sistema de Gestión de la Seguridad de la Información ¡Todos comprometidos con la seguridad de la información!

Propiedades de la Información Incidentes de seguridad Aspectos Generales Definición Objetivo Ventajas Propiedades de la Información Incidentes de seguridad ¡Todos comprometidos con la seguridad de la información!

ASPECTOS GENERALES Definición: Un sistema de gestión de seguridad de la información (SGSI) es el conjunto de activos de información, procesos, procedimientos, recursos y políticas, que implementados de forma conveniente, garantizan que la información y los medios utilizados para su procesamiento, son gestionados bajo condiciones seguras y controladas. ¡Todos comprometidos con la seguridad de la información!

ASPECTOS GENERALES Objetivo: El SGSI tiene por objetivo proteger la información de las amenazas a las que está expuesta, mediante la identificación, estimación, evaluación y tratamiento de los riesgos asociados a los activos de información con el fin de garantizar la continuidad de la empresa, minimizar los riesgos y gestionar la información para potencializar su uso dentro de la estrategia de la Organización. ¡Todos comprometidos con la seguridad de la información!

ASPECTOS GENERALES Ventajas: Se genera confianza en los grupos de interés de la CCMA por los mecanismos implementados para conservar y proteger la información. Se identifican y administran los activos de información de la Entidad. Se establece una metodología para la gestión de los riesgos asociados a la información. Los riesgos y sus controles se revisan continuamente. Se definen políticas y procedimientos para la protección de la información. Se establecen medidas para el acceso seguro a la información. Se establecen procedimientos para el cumplimiento de la legislación relacionada con la información personal, la propiedad intelectual y los derechos de autor. Se identifican debilidades y oportunidades de mejoras mediante el proceso de auditorías. ¡Todos comprometidos con la seguridad de la información!

Propiedades de la Información ASPECTOS GENERALES Propiedades de la Información Garantizar que la información solo sea revelada a personas autorizadas. Confidencialidad Disponibilidad Garantizar que la información sea accesible y utilizable en forma oportuna en el momento y lugar requeridos. Garantizar que la información sea exacta y completa en todo momento. Integridad ¡Todos comprometidos con la seguridad de la información!

para la persona correcta ASPECTOS GENERALES Propiedades de la Información Información correcta INTEGRIDAD para la persona correcta CONFIDENCIALIDAD en el momento correcto DISPONIBILIDAD La preservación de la integridad, confidencialidad y disponibilidad, garantiza que la información sea la correcta, para la persona correcta, en el momento correcto. ¡Todos comprometidos con la seguridad de la información!

ASPECTOS GENERALES Incidentes de seguridad Un incidente de seguridad es un evento adverso que puede comprometer la prestación de los servicios de la entidad y amenazar la seguridad de la información. ¡Todos comprometidos con la seguridad de la información!

2 1 3 4 ASPECTOS GENERALES Incidentes de seguridad Interrupción - Disponibilidad 1 Interceptación - Confidencialidad 3 4 Modificación- Integridad Suplantación - Integridad ¡Todos comprometidos con la seguridad de la información!

Sistema de Gestión de la Seguridad de la Información Estructura del SGSI Gestión de activos de información Gestión de Riesgos Implementación de controles Eficacia de los controles Acciones del sistema de gestión ¡Todos comprometidos con la seguridad de la información!

P H V A SGSI Estructura del SGSI GESTIÓN DE RIESGOS Estrategia y objetivos de la CCMA Política y objetivos del SGSI Requisitos legales Requisitos de seguridad P GESTIÓN DE RIESGOS GESTIÓN DE ACTIVOS DE INFORMACIÓN H IMPLEMENTAR LOS CONTROLES (ISO 27002) Mesa de Ayuda V EFICACIA DE LOS CONTROLES GESTIÓN DE INCIDENTES CONTINUIDAD DEL NEGOCIO A ACCIONES DEL SISTEMA DE GESTIÓN CCMA ¡Todos comprometidos con la seguridad de la información!

P H V A SGSI Estructura del SGSI GESTIÓN DE RIESGOS Estrategia y objetivos de la CCMA Política y objetivos del SGSI Requisitos legales Requisitos de seguridad P GESTIÓN DE RIESGOS GESTIÓN DE ACTIVOS DE INFORMACIÓN H IMPLEMENTAR LOS CONTROLES (ISO 27002) Mesa de Ayuda V EFICACIA DE LOS CONTROLES GESTIÓN DE INCIDENTES CONTINUIDAD DEL NEGOCIO A ACCIONES DEL SISTEMA DE GESTIÓN CCMA ¡Todos comprometidos con la seguridad de la información!

Gestión de activos de información 4. Clasificación de la información SGSI A P Gestión de Activos de Información V H Gestión de activos de información 1. Identificación 2. Definir responsables 3. Valoración de activos 4. Clasificación de la información ¡Todos comprometidos con la seguridad de la información!

Gestión de Activos de Información SGSI P A Gestión de Activos de Información V H Medio impreso (Documentos y registros) INFORMACION Medio electrónico (Bases de datos y archivos) SW Comercial SOFTWARE Desarrollo a la medida Hardware Comunicación ACTIVOS FÍSICOS Cableado Infraestructura (Teléfonos) Servicios de TI (Internet, VPN y correo electrónico) SERVICIOS Portales y servicios virtuales Serv. Esenciales (Agua y energía) PERSONAS Conocimientos y know how ¡Todos comprometidos con la seguridad de la información!

Inventario de activos de información SGSI A P Gestión de Activos de Información V H ADMINISTRATIVO TÉCNICO LICENCIAMIENTO ACCESO Y PRIVILEGIOS RESPALDAR LA INFORMACIÓN Inventario de activos de información ¡Todos comprometidos con la seguridad de la información!

Información Confidencial SGSI A P Gestión de Activos de Información V H Información Pública Información Interna Información Confidencial Información que ha sido declarada de conocimiento público por una norma jurídica o por una persona con autoridad para hacerlo. Información utilizada por los empleados de la Cámara para el normal desarrollo de sus actividades. Información de uso del Presidente Ejecutivo, Vicepresidentes, Secretario General, Gerentes y Directores. Responsabilidad: Responsable Administrativo. ¡Todos comprometidos con la seguridad de la información!

P H V A SGSI Estructura del SGSI GESTIÓN DE RIESGOS Estrategia y objetivos de la CCMA Política y objetivos del SGSI Requisitos legales Requisitos de seguridad P GESTIÓN DE RIESGOS GESTIÓN DE ACTIVOS DE INFORMACIÓN H IMPLEMENTAR LOS CONTROLES (ISO 27002) Mesa de Ayuda V EFICACIA DE LOS CONTROLES GESTIÓN DE INCIDENTES CONTINUIDAD DEL NEGOCIO A ACCIONES DEL SISTEMA DE GESTIÓN CCMA ¡Todos comprometidos con la seguridad de la información!

SGSI Gestión de Riesgos Gestión de Riesgos Tratamiento Identificación P Gestión de Riesgos V H Gestión de Riesgos Identificación Estimación Evaluación Tratamiento (Controles) ¡Todos comprometidos con la seguridad de la información!

SGSI Gestión de Riesgos Gestión de Riesgos Tratamiento Identificación P Gestión de Riesgos V H Gestión de Riesgos Identificación Estimación Evaluación Tratamiento (Controles) Identificar riesgos por tipo de activo: Amenazas. Vulnerabilidades. Impacto. Controles actuales ¡Todos comprometidos con la seguridad de la información!

SGSI Gestión de Riesgos A P Gestión de Riesgos V H Una amenaza es una violación potencial de las medidas de seguridad implementadas. No es necesario que la amenaza se materialice para que ésta exista. Las amenazas pueden ser: Amenazas Humanas No intencionales 2. Intencionales Naturales Incendios Terremotos Inundaciones Robos Vandalismo Espionaje Virus SPAM Intrusión ¡Todos comprometidos con la seguridad de la información!

SGSI Gestión de Riesgos Gestión de Riesgos Tratamiento Identificación P Gestión de Riesgos V H Gestión de Riesgos Identificación Estimación Evaluación Tratamiento (Controles) Calificar: Impacto. Probabilidad Determinar el nivel de riesgo. ¡Todos comprometidos con la seguridad de la información!

SGSI Gestión de Riesgos Gestión de Riesgos Tratamiento Identificación P Gestión de Riesgos V H Gestión de Riesgos Identificación Estimación Evaluación Tratamiento (Controles) Aceptar o tratar el riesgo ¡Todos comprometidos con la seguridad de la información!

SGSI Gestión de Riesgos Gestión de Riesgos Tratamiento Identificación P Gestión de Riesgos V H Gestión de Riesgos Identificación Estimación Evaluación Tratamiento (Controles) Definir tratamiento del riesgo (controles): Aceptar Reducir (Probabilidad o impacto) Evitar Transferir ¡Todos comprometidos con la seguridad de la información!

P H V A SGSI Estructura del SGSI GESTIÓN DE RIESGOS Estrategia y objetivos de la CCMA Política y objetivos del SGSI Requisitos legales Requisitos de seguridad V H P GESTIÓN DE RIESGOS GESTIÓN DE ACTIVOS DE INFORMACIÓN H IMPLEMENTAR LOS CONTROLES (ISO 27002) Mesa de Ayuda V EFICACIA DE LOS CONTROLES GESTIÓN DE INCIDENTES CONTINUIDAD DEL NEGOCIO A ACCIONES DEL SISTEMA DE GESTIÓN CCMA ¡Todos comprometidos con la seguridad de la información!

Implementación de Controles SGSI A P Implementación de Controles V H Se implementan los controles establecidos en la norma ISO/IEC 27002, los de carácter legal y los definidos por la organización, orientados a la protección de la información y los medios de procesamiento. Claves de acceso a software Antivirus Servicio de vigilancia Políticas de usuarios ¡Todos comprometidos con la seguridad de la información!

P H V A SGSI Estructura del SGSI GESTIÓN DE RIESGOS Estrategia y objetivos de la CCMA Política y objetivos del SGSI Requisitos legales Requisitos de seguridad P GESTIÓN DE RIESGOS GESTIÓN DE ACTIVOS DE INFORMACIÓN H IMPLEMENTAR LOS CONTROLES (ISO 27002) Mesa de Ayuda V EFICACIA DE LOS CONTROLES GESTIÓN DE INCIDENTES CONTINUIDAD DEL NEGOCIO A ACCIONES DEL SISTEMA DE GESTIÓN CCMA ¡Todos comprometidos con la seguridad de la información!

Plan de Monitoreo de la Plataforma Tecnológica. SGSI A P Eficacia de los Controles V H Plan de Monitoreo de la Plataforma Tecnológica. Indicadores de gestión. Auditorías Internas y externas. Revisión por la Dirección. Eficacia de los controles ¡Todos comprometidos con la seguridad de la información!

P H V A SGSI Estructura del SGSI GESTIÓN DE RIESGOS Estrategia y objetivos de la CCMA Política y objetivos del SGSI Requisitos legales Requisitos de seguridad GESTIÓN DE RIESGOS P GESTIÓN DE ACTIVOS DE INFORMACIÓN H IMPLEMENTAR LOS CONTROLES (ISO 27002) Mesa de Ayuda EFICACIA DE LOS CONTROLES V GESTIÓN DE INCIDENTES CONTINUIDAD DEL NEGOCIO A ACCIONES DEL SISTEMA DE GESTIÓN CCMA ¡Todos comprometidos con la seguridad de la información!

Acciones del Sistema de Gestión SGSI A P Acciones del Sistema de Gestión V H ACCIÓN CORRECTIVA PREVENTIVA ACCIÓN DE MEJORA Acción tomada para eliminar la causa de una No conformidad Detectada u otra Situación indeseable Eliminar la causa de una no Conformidad potencial u Otra situación Potencialmente indeseable Aumentar la Capacidad de un Proceso para la Producción de un bien o la Prestación de un servicio Existe No conformidad !YA PASÓ¡ HAY PROBLEMA No conformidad potencial !NO HA PASADO¡ !RIESGO¡¡ No existe problema No existe riesgo SE REQUIERE AUMENTAR EFICIENCIA Y/O EFICACIA ¡Todos comprometidos con la seguridad de la información!

¡Todos comprometidos con la seguridad de la información!