![Page 1: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/1.jpg)
SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN Eddy Pérez
![Page 2: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/2.jpg)
Agenda
I. ¿Qué es Seguridad de la Información?
II. Definición y Enfoque del Sistema de Gestión de Seguridad de la Información
III. Objetivo
IV. Principios del SGSI
V. Alcance
VI. Estructura
VII. Elementos
VIII. Caso Practico
![Page 3: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/3.jpg)
Información
Es un activo al igual de importante como los activos del negocio, tiene un valor para la empresa y por ende debe ser protegido en cualquier de su formato o representación.
Impreso o escrito en papel
Almacenado electrónicamente
Transmitido por correo o medios electrónicos
Transmitido por medios hablados (conversaciones)
![Page 4: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/4.jpg)
¿Que es seguridad de la Información?
ISO 27001 define la SI como la preservación:
Integridad
DisponibilidadConfidencialidad
Información
Seguridad
Amenazas
Vulnerabilidades
Riesgos
Asegurar que los usuarios
autorizados tengan
acceso cuando sea
requerido
Asegurar que los medios
y métodos de
procesamiento no alteren
la información
Asegurar que la
información esté
accesible solo a los que
están autorizados
Integridad
Disponibil
idad
Confidenc
ialidad
![Page 5: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/5.jpg)
SGSI: Definición y Enfoque de calidad
La gestión de la seguridad de la información debe
realizarse mediante un proceso sistemático,
documentado y conocido por toda la organización
En analogía con la ISO 9000. La ISO 27001, se
define como el sistema de calidad para la
seguridad de la información.
![Page 6: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/6.jpg)
Objetivo
1. Demostrar la conformidad y la eficacia de las
elecciones organizativas y de las actividades
operativas puestas en práctica para garantizar la:
confidencialidad
integridad
disponibilidad de la información incluida en el
perímetro cubierto por el SGSI
![Page 7: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/7.jpg)
Objetivo (cont.)
2. Asegurar la:
continuidad del negocio;
minimización de los daños en caso de incidentes (siendo estos, de hecho, inevitables).
maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.
mejora continua de la eficacia organizativa y operativa
![Page 8: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/8.jpg)
Principios del SGSI
Sensibilización
Responsabilidad
Respuesta
Ética
Democracia
Valoración de los riesgos
Concepción y aplicación de la seguridad
Gestión de la Seguridad
Reevaluación
![Page 9: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/9.jpg)
Alcance
Puede aplicarse a todos los tipos de organizaciones (empresas comerciales,agencias gubernamentales, organizaciones no comerciales.
La norma especifica los requisitos para implementar, operar, y mejorar un (SGSI)documentado dentro del contexto de riesgos totales del negocio de unaorganización.
Especifica requisitos para la implementación de controles de seguridadadaptados a las necesidades de organizaciones individuales o partes de lasmismas.
![Page 10: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/10.jpg)
Punto Clave
valoración de los riesgos sobre la base de la cual se organiza un SGSI
![Page 11: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/11.jpg)
Serie ISO 27000
SGSI
ISO 27000:2009
Principios y vocabulario
ISO 27001:2005 Requisitos del
SGSI
ISO 27002:2005.
Código de Prácticas
ISO 27003 Guía a la
implementación basado en el modelo PDCA
ISO 27004 Métricas de la seguridad de la información
ISO 27006:2007
Requisitos Acreditación de
EA y EC
ISO 27007 a ISO 27009 no
asignadas todavía
ISO 27011. Guía de
Implementación. Sector Telecom
ISO 27031. Continuidad del Negocio
ISO 27032. Arquitecturas de seguridad
ISO 27034. Seguridad en
las Aplicaciones
![Page 12: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/12.jpg)
Modelo PDCA y Estructura
![Page 13: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/13.jpg)
PDCA y Las Actividades del SGSI
Eddy Pérez – UNEG 2006
![Page 14: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/14.jpg)
PDCA y Las Actividades del SGSI
Eddy Pérez – UNEG 2006
![Page 15: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/15.jpg)
PDCA y Las Actividades del SGSI
Eddy Pérez – UNEG 2006
![Page 16: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/16.jpg)
Ciclo metodológico
Eddy Pérez – UNEG 2006
![Page 17: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/17.jpg)
Ciclo metodológico - Detalles
Eddy Pérez – UNEG 2006
![Page 18: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/18.jpg)
Ciclo metodológico - Detalles
Eddy Pérez – UNEG 2006
![Page 19: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/19.jpg)
Ciclo metodológico - Detalles
Eddy Pérez – UNEG 2006
![Page 20: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/20.jpg)
Ciclo metodológico - Detalles
Eddy Pérez – UNEG 2006
![Page 21: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/21.jpg)
Operación - Productos
Paso 1
•Define el Alcance
Paso 2
•Define la Política
Paso 3
• Define el método de evaluación de riesgos
Paso 4
• Identifica Riesgos
Paso 5
• Analiza y Evalúa Riesgos
Paso 6
• Tratamiento del Riesgo
Paso 7
• Selecciona Objetivos de control y controles
Paso 8
• Obtener aprob. de la gestión de riesgos residuales
Paso 9
• Obtener autorización para Implementar el SGSI
Paso 10
• Preparar Declaración de Aplicabilidad
Alcance
del SGSI
Doc. De
Política
Lista de
riesgos y
Activos
Result. de
Eval. De
Riesgos
Result. De
tratamiento
de Riesgos
Estándares
de medida
de riesgos
Registros
de riesgos
residuales
Declaración de
Aplicabilidad
Fase 1 Fase 2 Fase 3
Activos de información, amenazas,
vulnerabilidades, impactos
Implementación de
estándares para
Admin. de riesgos
Listas de controles
definidos o no en el
SGSI
![Page 22: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/22.jpg)
Caso Práctico
No hay organizaciones certificadas en Venezuela
Hay casos de entidades financieras que están adoptando la norma como guía para evaluar y/o implementar la Seguridad de la Información
FONDONORMA está formando Auditores para las certificaciones
Bureau Veritas Venezuela, no tiene contemplado esta área por el momento
![Page 23: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/23.jpg)
Estadisticas
Internacional
Japón – 3191
India – 451
UK – 400
Taiwan – 321
Latinoamérica
Brazil - 22
Colombia – 5
Chile y Perú – 3
Argentina - 1
Caso Venezuela:
Fondonorma en proceso de formación y organización
Bureau Veritas Venezuela no contemplado por el momento
![Page 24: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/24.jpg)
Conclusiones
El Sistema de Gestión de Seguridad de la
Información prevé tanto la conformidad como la
eficacia, es decir, no se limita a la mera
correspondencia de las actividades con la norma.
Un sistema ineficaz pero conforme no se debe
certificar, ya que sólo satisface una de las
condiciones señaladas por la misma norma.
![Page 25: Sistema de Gestión de Seguridad de la Información](https://reader033.vdocumento.com/reader033/viewer/2022042816/5587b205d8b42a61408b45d7/html5/thumbnails/25.jpg)
Gracias por su Atención!