Upload File

introduccion a los (sgis)

11
Introduccion a los Sistemas de Gestion de Seguridad de la Informacion (SGIS)

Upload: anders-castellanos

Post on 13-Apr-2017

114 views

Category:

Technology


0 download

Report

TRANSCRIPT

Page 1: INTRODUCCION A LOS (SGIS)

Introduccion a los Sistemas de Gestion de Seguridad de la Informacion (SGIS)

Page 2: INTRODUCCION A LOS (SGIS)

Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-

ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.

La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluyetanto la organización como las políticas, la planificación, las responsabilidades, lasprácticas, los procedimientos, los procesos y los recursos.

La norma es compatible con el resto de las normas ISO para sistemas de gestión(UNE-EN ISO 9001 y UNE-EN ISO 14001) y poseen idéntica estructura yrequisitos comunes, por lo que se recomienda integrar el SGSI con el resto de lossistemas de gestión que existan en la empresa para no duplicar esfuerzos.

Page 3: INTRODUCCION A LOS (SGIS)

EL Ciclo de Mejora Continua Para establecer y gestionar un sistema de gestión de la seguridad de la información

se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en lossistemas de gestión de la calidad El ciclo PDCA es un concepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo poralgunos de los más sobresalientes personajes del mundo de la calidad. Esta metodología ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases.

El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sussiglas en inglés), tiene una serie de fases y acciones que permiten establecer unmodelo de indicadores y métricas comparables en el tiempo, de manera que sepueda cuantificar el avance en la mejora de la organización.

Page 4: INTRODUCCION A LOS (SGIS)

Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y diseña el programa, sistematizando las políticas a aplicar en la organización, cuáles son los fines a alcanzar y en qué ayudarán a lograr los objetivos de negocio, qué medios se utilizarán para ello, los procesos de negocio y los activos que los soportan, cómo se enfocará el análisis de riesgos y los criterios que se seguirán para gestionar las contingencias de modo coherente con las políticas y objetivos de seguridad.

Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. Las políticas y los controles escogidos para cumplirlas se implementan mediante recursos técnicos, procedimientos o ambas cosas a la vez, y se asignan responsables a cada tarea para comenzar a ejecutarlas según las instrucciones.

Check. Esta fase es la de monitorización y revisión del SGSI. Hay que controlar que los procesos se ejecutan como se ha establecido, de manera eficazy eficiente, alcanzando los objetivos definidos para ellos. Además, hay queverificar el grado de cumplimiento de las políticas y procedimientos, identificando los fallos que pudieran existir y, hasta donde sea posible, su origen,mediante revisiones y auditorías.

Act. Es la fase en la que se mantiene y mejora el SGSI, decidiendo y efectuando las acciones preventivas y correctivas necesarias para rectificar losfallos, detectados en las auditorías internas y revisiones del SGSI, o cualquierotra información relevante para permitir la mejora permanente del SGSI.

Page 5: INTRODUCCION A LOS (SGIS)
Page 6: INTRODUCCION A LOS (SGIS)

La Norma UNE-ISO/IEC 27001Origen de la Norma

ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización anivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicosestablecidos por las organizaciones respectivas para realizar acuerdos en camposespecíficos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran enlos campos de interés mutuo.

En el campo de la tecnología de la información, ISO e IEC han establecido uncomité técnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Committee 1). Los borradores de estas normas internacionales, adoptadas por la unión deeste comité técnico, son enviados a los organismos de las diferentes naciones parasu votación. La publicación como norma internacional requiere la aprobación de,por lo menos, el 75% de los organismos nacionales que emiten su voto.La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelocon su aprobación por los organismos nacionales miembros de ISO e IEC.

Page 7: INTRODUCCION A LOS (SGIS)

Objeto y Campo de Aplicación de la Norma

Esta norma especifica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado,teniendo en cuenta los riesgos empresariales generales de la organización. Es decir,explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdocon las necesidades de una organización o de partes de la misma, pero no aclaramediante qué procedimientos se ponen en práctica.

Por ejemplo, uno de los principales requisitos es la realización de un análisis de riesgos con unas determinadas características de objetividad y precisión, pero no aporta indicaciones de cuál es la mejor manera de llevar a cabo dicho análisis. Puede ejecutarse con una herramienta comercial, con una aplicación diseñada expresamente para la empresa, mediante reuniones, entrevistas, tablas o cualquier otro método que se estime oportuno.Todos estos recursos servirán para cumplir la norma, siempre y cuando se observenlos requisitos de objetividad del método, los resultados sean repetibles y lametodología se documente.

Page 8: INTRODUCCION A LOS (SGIS)

La Norma UNE-ISO/IEC 27002Origen

La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenasprácticas para la gestión de la seguridad de la información, ha sido elaborada por elAEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comité técnico conjunto ISO/IEC JTC 1/SC 27 Tecnología de la información. En ambas normas el contenido es idéntico, diferenciándose únicamente en la numeración, que ha sidomodificada en el marco de la creación de la familia de normas ISO 27000.

Esta norma se está desarrollando dentro de una familia de normas internacionalessobre Sistemas de Gestión de la Seguridad de la Información (SGSI). Tal familiaincluye normas internacionales sobre requisitos, gestión del riesgo, métricas ymediciones, así como una guía de implementación de los sistemas de gestión de laseguridad de la información. Dicha familia de normas tiene un esquema de numeración que utilizará los números de la serie 27000.

Page 9: INTRODUCCION A LOS (SGIS)

Objeto y Campo de Aplicación La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales

para el comienzo, la implementación, el mantenimiento y la mejora de la gestiónde la seguridad de la información en una organización. Es un catálogo de buenasprácticas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información.

Los objetivos de control y los controles de esta norma internacional tienen comofin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad. Por ello, la elección de los controles permanecesujeta a lo detectado en un análisis de riesgos previo, y el grado de implementaciónde cada uno de los controles se llevará a cabo de acuerdo a los requisitos de seguridad identificados y a los recursos disponibles de la organización para alcanzar asíun balance razonable entre seguridad y coste.

Page 10: INTRODUCCION A LOS (SGIS)

El Esquema Nacional de Seguridad (ENS) Origen La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios

Públicos está siendo el motor y la guía de la administración electrónica. Estaley ha dado paso a una nueva etapa en la gestión de la Administración Pública,impulsando la adopción de los medios tecnológicos actualmente disponibles pararealizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administración Pública en contextos más adecuados a la realidad social.

Esta ley, en su artículo 1 reconoce el derecho de los ciudadanos a relacionarse conlas Administraciones Públicas por medios electrónicos con la misma validez quepor los medios tradicionales, y estipula que éstas utilicen las tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la autenticidad, laconfidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.

Page 11: INTRODUCCION A LOS (SGIS)

Objeto y campo de aplicación El objeto del ENS es garantizar la seguridad de los servicios prestados mediante

medios electrónicos, de manera que los ciudadanos puedan realizar cualquier trá-mite con la confianza de que va a tener validez jurídica plena y que sus datos van aser tratados de manera segura.

Toda la Administración Pública española, Administración General del Estado,Administraciones de las Comunidades Autónomas, Administraciones Locales, asícomo las entidades de derecho público vinculadas o dependientes de las mismas,están sujetas al cumplimiento de los requisitos del ENS.

Su ámbito de aplicación son los sistemas de información, los datos, las comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través demedios electrónicos.


Introduccion a Los GLM

Introduccion a los Sistemas

SGIS Schule und Märchen

Introduccion a los valores

Introduccion a los materiales.ppt

INTRODUCCION A LOS PARARRAYOS.pps

Introduccion a Los Plaguicidas

Introduccion a los materiales

The$SGIS$Annual$Conference$2016$hosted$ by$La$Cote ... · We are delighted to welcome the SGIS 2016 conference to La Cote International School. Although our school is not new to SGIS

GOVERNANCE STRATEGIES - Alpine Space · GOVERNANCE STRATEGIES COMMUNITY-LED INTEGRATION OF SGIS SGIS CROSS-SECTORAL INTEGRATION E-SERVICES, A NEW WAY FOR SGIS DELIVERY TERRITORIAL

INTRODUCCION LOS OLMECAS.docx

INTRODUCCION A LOS ALCALOIDES

Introduccion a los biomateriales.ppt

Introduccion Los Limites

Introduccion a Los ANGULOS

Introduccion a Los Procesos

Sgis Capabilities 2009 (2)

A summary of SGIS CRG policy, strategy and initial draft recommendations to NHS England Presented by Dr John Dean SGIS CRG, 20 th March 2014

Introduccion a los desastres

SGIs forskningsuppdrag, fokus klorerade lösningsmedel

Introduccion a los microprocesadores

Introduccion a los eBooks

GOVERNANCE STRATEGIES - Alpine SpaceGOVERNANCE STRATEGIES COMMUNITY-LED INTEGRATION OF SGIS SGIS CROSS-SECTORAL INTEGRATION E-SERVICES, A NEW WAY FOR SGIS DELIVERY TERRITORIAL APPROACH

Introduccion a los evangelios

Smart Grid Co-ordination Group Scope, objectives, workplanstargrid.eu/downloads/2014/04/931_SGCG_Stargrid_1.3_Standardizat… · (SGIS) – SGIS Toolbox First of standards Prioritisation,

Introduccion a los algoritmos

Introduccion a los microprocesadores.pdf

INTRODUCCION A LOS MEMRISTOR

Introduccion a Los Explosivos

Introduccion a los Submarinos

Introduccion a Los DSP

Introduccion a los Bonos

SGIS Klasse Schweiz - Früher und Heute

Introduccion a Los PLC

Introduccion a los negocios