La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SGSI: Sistemas de Gestión de la Seguridad de la Información

Publicada porJuan Carlos Rey Valverde Modificado hace 8 años

Presentaciones similares

Presentación del tema: "SGSI: Sistemas de Gestión de la Seguridad de la Información"— Transcripción de la presentación:

1 SGSI: Sistemas de Gestión de la Seguridad de la Información

2 ISO 27000: Adaptación Arranque del proyecto
Compromiso de la Dirección: apoyo claro y decidido de la Dirección de la organización. Generar el cambio de cultura y concienciación que lleva consigo el proceso de cambio. Planificación, fechas, responsables: el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

3 ISO 27000: Adaptación Planificación
Definir alcance del SGSI: recomendable empezar por un alcance limitado. Es importante disponer de un mapa de procesos de negocio, para definir: interfaces con el exterior del alcance, determinar las terceras partes, crear mapas de alto nivel de redes y sistemas, ubicaciones físicas, requisitos legales y contractuales, etc. Definir política del SGSI: en base a los objetivos de seguridad de la información de la organización, que esté alineada con la gestión de riesgo general, establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. Nivel: "declaración de intenciones“ .

4 ISO 27000: Adaptación Planificación
Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI. ISO no impone ninguna ni da indicaciones de detalle, aunque ISO sí profundiza en directrices sobre la materia. Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización.

5 ISO 27000: Adaptación Planificación
Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos de información. Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad y la probabilidad de ocurrencia del fallo; tratamiento.

6 ISO 27000: Adaptación Planificación
Identificar y evaluar opciones para el tratamiento del riesgo: mitigación, eliminación, aceptación o transferencia. Selección de controles: tratamiento el riesgo. Utilizar para ello los controles del Anexo A de ISO •Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: El riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no existe).

7 ISO 27000: Adaptación Planificación
Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección.

8 ISO 27000: Adaptación Implementación
Definir plan de tratamiento de riesgos: identificar acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados. Implementar los controles: todos los que se seleccionaron en la fase anterior. Formación y concienciación: plan de comunicación y capacitación.

9 ISO 27000: Adaptación Implementación
Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones. Gestionar las operaciones del SGSI y todos los recursos que se le asignen. Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.

10 ISO 27000: Adaptación Seguimiento
Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores, brechas e incidentes de seguridad, control de actividades, etc. Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad. Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.

11 ISO 27000: Adaptación Seguimiento
Revisar regularmente la evaluación de riesgos: deben tener una periodicidad definida por las políticas del SGSI. Realizar regularmente auditorías internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO

12 ISO 27000: Adaptación Seguimiento
Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido sigue siendo el adecuado y/o identificar mejoras al proceso del SGSI. Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones. Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

13 ISO 27000: Adaptación Mejora continua
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. Acciones correctivas: para solucionar no conformidades detectadas. Acciones preventivas: para prevenir potenciales no conformidades. Acciones de verificación de cambio.

14 ISO 27000: Adaptación Mejora continua
Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.

15 Auditoría Informática
“Consiste en un examen detallado de la estructura de una empresa, en cuanto a controles y métodos, su forma de operación, sus objetivos y planes, sus equipos físicos y humanos”. “ Es una visión sistemática y formal con el fin de determinar hasta que parte una organización cumple sus objetivos establecidos por la empresa, así como para diferenciar los que necesitan mejorarse”

16 Auditoría Informática
Etapas de una Auditoría: Estudio general: estructura organizacional, operaciones, etc. Ejecución de la auditoría: análisis (clasificación de elementos), inspección (comprobación de tales elementos), confirmación (comunicación con persona independiente de la empresa; validación), investigación (juicio experto) y observación (recopilación de evidencia). Informe final: Alcance auditoría y opinión.

17 FIN SGSI druete@unab.cl

Descargar ppt "SGSI: Sistemas de Gestión de la Seguridad de la Información"

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS

SENA: CONOCIMIENTO PARA TODOS LOS COLOMBIANOS
Comprimido ARCHIformativo

Comprimido ARCHIformativo
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Sistema de Gestión de la Calidad ISO 9001:2000 Requisitos

Sistema de Gestión de la Calidad ISO 9001:2000 Requisitos
El Proceso de la Auditoría - ISO

El Proceso de la Auditoría - ISO
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Guía para la evaluación de seguridad en un sistema

Guía para la evaluación de seguridad en un sistema
AUDITORIA INTERNA.

AUDITORIA INTERNA.
SISTEMAS DE GESTION DE CALIDAD

SISTEMAS DE GESTION DE CALIDAD
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Controles internos en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos.

Controles internos en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos.
Resolución 318/2010 Auditorias

Resolución 318/2010 Auditorias

Presentaciones similares

Anuncios Google