Dr. Marcelo Julio Marinelli.  Establecer las Políticas de Seguridad de la Información es una de las acciones proactivas que ayudan a disminuir los riesgos.

Presentación del tema: "Dr. Marcelo Julio Marinelli.  Establecer las Políticas de Seguridad de la Información es una de las acciones proactivas que ayudan a disminuir los riesgos."— Transcripción de la presentación:

1 Dr. Marcelo Julio Marinelli

2  Establecer las Políticas de Seguridad de la Información es una de las acciones proactivas que ayudan a disminuir los riesgos y ayuda a establecer claramente los procesos en la administración de los activos informáticos y de la información que se gestiona a través de ellos

3  Conformarse a las reglas en materia de gestión del riesgo  Una mejor protección de la información confidencial de la organización  Una reducción de riesgos de ataques.  Una recuperación más rápida y fácil de las operaciones después de un ataque  Una metodología de seguridad estructurada y reconocida internacionalmente

4  ISO/IEC 27000 es un conjunto de estándares por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

5  Certificación que deben obtener las organizaciones  Especifica los requisitos para la implantación del SGSI  Gestión de riesgos  Mejora continua de los procesos  Publicada como estándar internacional en octubre de 2005

6  Técnicas de seguridad  Código de práctica para la gestión de seguridad de la información.  Previamente BS 7799 Parte 1 y la norma ISO/IEC 17799. Es código de buenas prácticas para la gestión de seguridad de la información. Fue publicada en julio de 2005 y como ISO/IEC 27002:2005 el 1 de julio de 2007

7  ISO/IEC 27003 - implementación de un SGSI. Es el soporte de la norma ISO/IEC 27001. Publicada el 1 de febrero del 2010, No está certificada actualmente  ISO/IEC 27004 - métricas para la gestión de seguridad de la información. Publicada el 7 de diciembre del 2009, no se encuentra traducida al español actualmente

8  ISO/IEC 27005 Gestión de riesgos en seguridad de la información,Evaluación de riesgos de Seguridad en la Información  ISO/IEC 27006:2007 - Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información.

9  ISO/IEC 27007 - Es una guía para auditar al SGSI. Se encuentra en preparación.  ISO/IEC 27799:2008 - Es una guía para implementar ISO/IEC 27002 en la industria de la salud.  ISO/IEC 27035:2011 Técnicas de Seguridad – Gestión de Incidentes de Seguridad. detección, reporte y evaluación de incidentes de seguridad y sus vulnerabilidades

10 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información 3. Gestión de Activos de Información 4. Seguridad de los Recursos Humanos 5. Seguridad Física y Ambiental 6. Gestión de las Comunicaciones y Operaciones 7. Control de Accesos 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gestión de Incidentes en la Seguridad de la Información 10. Gestión de Continuidad del Negocio

11

12 Dirigir y dar soporte a la gestión de la seguridad de la información La dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla La política se constituye en la base de todo el sistema de seguridad de la información

13  Gestionar la seguridad de la información dentro de la organización  Mantener la seguridad de los recursos de tratamiento y activos de la información que son accedidos por terceros  Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización

14  Mantener una protección adecuada sobre los activos de la organización  Asegurar un nivel de protección adecuado a los activos de información

15  Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad  Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma

16  Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios  Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que cumplen con la política de seguridad de la organización  Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos

17  Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización  Evitar pérdidas, daños o comprometer los activos de manera de dar continuidad a la actividad de la organización.  Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información

18  Asegurar la operación correcta y segura de los recursos de tratamiento de información  Minimizar el riesgo de fallos en los sistemas  Proteger la integridad del software y la información  Mantener la integridad y la disponibilidad de los servicios de información y comunicación

19 Asegurar que la seguridad está incluida dentro de los sistemas de información Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones Mantener la seguridad del software y la información de la aplicación del sistema

20 Proteger la confidencialidad, autenticidad e integridad de la información Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevadas a cabo de una forma segura

21  Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres

22