sistema de gestión de seguridad de la información

SISTEMA DE GESTIÓN DE LA

SEGURIDAD DE LA

INFORMACIÓN Eddy Pérez

Agenda

I. ¿Qué es Seguridad de la Información?

II. Definición y Enfoque del Sistema de Gestión de Seguridad de la Información

III. Objetivo

IV. Principios del SGSI

V. Alcance

VI. Estructura

VII. Elementos

VIII. Caso Practico

Información

Es un activo al igual de importante como los activos del negocio, tiene un valor para la empresa y por ende debe ser protegido en cualquier de su formato o representación.

Impreso o escrito en papel

Almacenado electrónicamente

Transmitido por correo o medios electrónicos

Transmitido por medios hablados (conversaciones)

¿Que es seguridad de la Información?

ISO 27001 define la SI como la preservación:

Integridad

DisponibilidadConfidencialidad

Información

Seguridad

Amenazas

Vulnerabilidades

Riesgos

Asegurar que los usuarios

autorizados tengan

acceso cuando sea

requerido

Asegurar que los medios

y métodos de

procesamiento no alteren

la información

Asegurar que la

información esté

accesible solo a los que

están autorizados

Integridad

Disponibil

idad

Confidenc

ialidad

SGSI: Definición y Enfoque de calidad

La gestión de la seguridad de la información debe

realizarse mediante un proceso sistemático,

documentado y conocido por toda la organización

En analogía con la ISO 9000. La ISO 27001, se

define como el sistema de calidad para la

seguridad de la información.

Objetivo

1. Demostrar la conformidad y la eficacia de las

elecciones organizativas y de las actividades

operativas puestas en práctica para garantizar la:

confidencialidad

integridad

disponibilidad de la información incluida en el

perímetro cubierto por el SGSI

Objetivo (cont.)

2. Asegurar la:

continuidad del negocio;

minimización de los daños en caso de incidentes (siendo estos, de hecho, inevitables).

maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.

mejora continua de la eficacia organizativa y operativa

Principios del SGSI

Sensibilización

Responsabilidad

Respuesta

Ética

Democracia

Valoración de los riesgos

Concepción y aplicación de la seguridad

Gestión de la Seguridad

Reevaluación

Alcance

Puede aplicarse a todos los tipos de organizaciones (empresas comerciales,agencias gubernamentales, organizaciones no comerciales.

La norma especifica los requisitos para implementar, operar, y mejorar un (SGSI)documentado dentro del contexto de riesgos totales del negocio de unaorganización.

Especifica requisitos para la implementación de controles de seguridadadaptados a las necesidades de organizaciones individuales o partes de lasmismas.

Punto Clave

valoración de los riesgos sobre la base de la cual se organiza un SGSI

Serie ISO 27000

SGSI

ISO 27000:2009

Principios y vocabulario

ISO 27001:2005 Requisitos del

SGSI

ISO 27002:2005.

Código de Prácticas

ISO 27003 Guía a la

implementación basado en el modelo PDCA

ISO 27004 Métricas de la seguridad de la información

ISO 27006:2007

Requisitos Acreditación de

EA y EC

ISO 27007 a ISO 27009 no

asignadas todavía

ISO 27011. Guía de

Implementación. Sector Telecom

ISO 27031. Continuidad del Negocio

ISO 27032. Arquitecturas de seguridad

ISO 27034. Seguridad en

las Aplicaciones

Modelo PDCA y Estructura

PDCA y Las Actividades del SGSI

Eddy Pérez – UNEG 2006

PDCA y Las Actividades del SGSI

Eddy Pérez – UNEG 2006

PDCA y Las Actividades del SGSI

Eddy Pérez – UNEG 2006

Ciclo metodológico

Eddy Pérez – UNEG 2006

Ciclo metodológico - Detalles

Eddy Pérez – UNEG 2006

Ciclo metodológico - Detalles

Eddy Pérez – UNEG 2006

Ciclo metodológico - Detalles

Eddy Pérez – UNEG 2006

Ciclo metodológico - Detalles

Eddy Pérez – UNEG 2006

Operación - Productos

Paso 1

•Define el Alcance

Paso 2

•Define la Política

Paso 3

• Define el método de evaluación de riesgos

Paso 4

• Identifica Riesgos

Paso 5

• Analiza y Evalúa Riesgos

Paso 6

• Tratamiento del Riesgo

Paso 7

• Selecciona Objetivos de control y controles

Paso 8

• Obtener aprob. de la gestión de riesgos residuales

Paso 9

• Obtener autorización para Implementar el SGSI

Paso 10

• Preparar Declaración de Aplicabilidad

Alcance

del SGSI

Doc. De

Política

Lista de

riesgos y

Activos

Result. de

Eval. De

Riesgos

Result. De

tratamiento

de Riesgos

Estándares

de medida

de riesgos

Registros

de riesgos

residuales

Declaración de

Aplicabilidad

Fase 1 Fase 2 Fase 3

Activos de información, amenazas,

vulnerabilidades, impactos

Implementación de

estándares para

Admin. de riesgos

Listas de controles

definidos o no en el

SGSI

Caso Práctico

No hay organizaciones certificadas en Venezuela

Hay casos de entidades financieras que están adoptando la norma como guía para evaluar y/o implementar la Seguridad de la Información

FONDONORMA está formando Auditores para las certificaciones

Bureau Veritas Venezuela, no tiene contemplado esta área por el momento

Estadisticas

Internacional

Japón – 3191

India – 451

UK – 400

Taiwan – 321

Latinoamérica

Brazil - 22

Colombia – 5

Chile y Perú – 3

Argentina - 1

Caso Venezuela:

Fondonorma en proceso de formación y organización

Bureau Veritas Venezuela no contemplado por el momento

Conclusiones

El Sistema de Gestión de Seguridad de la

Información prevé tanto la conformidad como la

eficacia, es decir, no se limita a la mera

correspondencia de las actividades con la norma.

Un sistema ineficaz pero conforme no se debe

certificar, ya que sólo satisface una de las

condiciones señaladas por la misma norma.

Gracias por su Atención!