capacitacion terminologia seguridad de la informacion definitivo

Área de Riesgos - Analista de Seguridad de la Información

SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN - ASPECTO FUNDAMENTAL EN EL CRECIMIENTO DE LA ORGANIZACIÓN

INTRODUCCIÓN


Fundamental dentro de una organización y sus miembros, identificar que es un SGSI1, conocer la terminología que se maneja, las clases de información que se manipula por todos y cada una de las personas que pertenecen a ella.

1 Sistema de Gestión de Seguridad de la Información


OBJETIVOS Identificar y conocer cual es el SGSI que se esta

implementando en Opportunity International Colombia S.A.

Conocer la terminología propia de la seguridad de la información, para tener claro cual es la función y finalidad de cada uno de ellos en el manejo de la misma.

Concientizar a todo el personal de la importancia del manejo adecuado de la información, teniendo en cuenta las sugerencias realizadas por el área encargada de su protección, tomando como base que no es una responsabilidad única del área de Tecnología y/o Riesgos, sino de todos y cada uno de los involucrados en el manejo de la misma.

Explicar brevemente la importancia de la protección de la información en todas las actividades desarrolladas en la organización Opportunity International Colombia S.A.


QUE ES SISTEMA

Es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del ambiente y proveen (salida) información, energía o materia

QUE ES INFORMACIÓN

Es un Conjunto organizado y con sentido de datos.

Representación simbólica (numérica, alfabética, etc.) de un atributo de una entidad. Un dato no tiene valor semántico (sentido) en sí mismo, pero al ser procesado puede servir para realizar cálculos o tomar decisiones.

QUE ES DATO


QUE ES UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información.

INFORMACIÓN DATOSSon

Agregan

VALOREscrita, Imagen, Oral, Impresa,

Correo, Fax, etc.

Interna Externa Ya sea generada por

áreas


QUE ES UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

Un SGSI establece un completo plan de acciones que ayudará a la empresa a solucionar los problemas de seguridad técnicos, organizativos y legislativos mediante el análisis de riesgos, mejorando y manteniendo la seguridad de la información empresarial y garantizando una continuidad de negocio.


Manual de seguridad: Documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

ELEMENTOS DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)


Procedimientos: Documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

Instrucciones, Checklist y Formularios: Documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Registros: Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.


Entre los documentos fundamentales de un SGSI están: Alcance del SGSI

Política y objetivos de seguridad

Procedimientos y mecanismos

de control que soportan al SGSI

Enfoque de evaluación de

riesgos

Informe de evaluación de

riesgos

Plan de tratamiento de riesgos

Procedimientos documentados

Registros

Declaración de aplicabilidad

(SOA)


¿PARA QUÉ SIRVE UN SGSI?


CONCEPTOS IMPORTANTESCRITERIOS DE SEGURIDAD

Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.

Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.

Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.

Autenticidad: El documento, archivo, etc., es realmente el que se envío, en otras palabras, es real.

No Repudio: El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticación y que permite probar la participación de las partes en una comunicación. Esta característica permite garantizar que una persona participo en el envío de datos y no puede negarlo.


RELACIÓN EN LOS SERVICIOS DE SEGURIDAD


Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.

Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.

Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones.

EFECTIVIDAD EFICIENCIA

CONFIABILIDAD

CALIDAD

CRITERIOS DE CALIDAD


Ésta se encuentran en diferentes niveles de clasificación como son:

Restringida, la cual únicamente puede ser consultada por personas autorizadas y de un nivel jerárquico alto en la compañía.

Confidencial, la que solamente puede ser consultada por personas, de acuerdo a las funciones propias del cargo ocupado.

Uso Interno, que es manejada con discreción por el personal que labora en la organización, de acuerdo a las funciones correspondientes a su cargo.

Pública, que es de uso general y todos los clientes pueden consultar en el momento que lo deseen o requieran.

CLASIFICACIÓN DE LA INFORMACIÓN


RESPONSABILIDADES EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN COMO FUNCIONARIO DE

Opportunity International Colombia S.A.

Como funcionario de la empresa, debo cumplir con todas las normas y políticas establecidas para la protección de la información y contribuir en el crecimiento de la misma. Mis responsabilidades en materia de seguridad de la información son:

Proteger toda la información a la cual tengo acceso. No dejar información importante al alcance de cualquier

persona. No dejar activas sesiones en equipos cuando tenga que

desplazarme a otro lugar, bloquear el equipo. Manejar contraseñas seguras y no compartirlas con nadie. Atender las recomendaciones y sugerencias realizadas por las

personas que dirigen procesos de seguridad de la información. Informar de forma inmediata cualquier irregularidad o amenaza

detectada que pueda poner en riesgo a la organización y/o afecte a la información.

BENEFICIOS DEL SGSI


Un sistema de gestión de la seguridad (SGSI) aporta los siguientes beneficios a la organización: Análisis de riesgos, identificando amenazas,

vulnerabilidades e impactos sobre los activos de información.

Minimiza los riesgos en materia de confidencialidad, integridad y disponibilidad.

Mejora continua de la seguridad de la información, mediante la supervisión, revisión y eficacia de los procesos implantados.

Aporta un valor añadido y/o diferencial a la compañía. Exterioriza una clara vocación del cumplimiento de la

normativa sobre protección de datos. Certifica una especial solvencia técnica en materia de

seguridad de la información.

CONCLUSIONES


La Seguridad de la Información es un PROCESO. La Seguridad de la Información se basa en PERSONAS. La Seguridad de la Información debe orientarse al

RIESGO. Un buen SGSI es un sistema RENTABLE para la

organización. NO EXISTE la seguridad absoluta. El SGSI AYUDA a la

gestión. Hay que definir ESTRATEGIAS DE NEGOCIO y huir de

actuaciones puntuales sin criterios de interconexión. Un proyecto SGSI requiere del apoyo y aporte de todos

las personas que forman parte de la organización. La implantación de un SGSI tiene BONDADES

INHERENTES y es un DIFERENCIADOR DE LA COMPETENCIA.


Preguntas, Inquietudes, Sugerencias

Muchas Gracias

capacitacion terminologia seguridad de la informacion definitivo

Documents