sistema de gestión de seguridad de la información

25
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Eddy Pérez

Upload: jonbonachon

Post on 22-Jun-2015

1.943 views

Category:

Education


2 download

DESCRIPTION

SGSI

TRANSCRIPT

Page 1: Sistema de Gestión de Seguridad de la Información

SISTEMA DE GESTIÓN DE LA

SEGURIDAD DE LA

INFORMACIÓN Eddy Pérez

Page 2: Sistema de Gestión de Seguridad de la Información

Agenda

I. ¿Qué es Seguridad de la Información?

II. Definición y Enfoque del Sistema de Gestión de Seguridad de la Información

III. Objetivo

IV. Principios del SGSI

V. Alcance

VI. Estructura

VII. Elementos

VIII. Caso Practico

Page 3: Sistema de Gestión de Seguridad de la Información

Información

Es un activo al igual de importante como los activos del negocio, tiene un valor para la empresa y por ende debe ser protegido en cualquier de su formato o representación.

Impreso o escrito en papel

Almacenado electrónicamente

Transmitido por correo o medios electrónicos

Transmitido por medios hablados (conversaciones)

Page 4: Sistema de Gestión de Seguridad de la Información

¿Que es seguridad de la Información?

ISO 27001 define la SI como la preservación:

Integridad

DisponibilidadConfidencialidad

Información

Seguridad

Amenazas

Vulnerabilidades

Riesgos

Asegurar que los usuarios

autorizados tengan

acceso cuando sea

requerido

Asegurar que los medios

y métodos de

procesamiento no alteren

la información

Asegurar que la

información esté

accesible solo a los que

están autorizados

Integridad

Disponibil

idad

Confidenc

ialidad

Page 5: Sistema de Gestión de Seguridad de la Información

SGSI: Definición y Enfoque de calidad

La gestión de la seguridad de la información debe

realizarse mediante un proceso sistemático,

documentado y conocido por toda la organización

En analogía con la ISO 9000. La ISO 27001, se

define como el sistema de calidad para la

seguridad de la información.

Page 6: Sistema de Gestión de Seguridad de la Información

Objetivo

1. Demostrar la conformidad y la eficacia de las

elecciones organizativas y de las actividades

operativas puestas en práctica para garantizar la:

confidencialidad

integridad

disponibilidad de la información incluida en el

perímetro cubierto por el SGSI

Page 7: Sistema de Gestión de Seguridad de la Información

Objetivo (cont.)

2. Asegurar la:

continuidad del negocio;

minimización de los daños en caso de incidentes (siendo estos, de hecho, inevitables).

maximización de las inversiones efectuadas para la implementación y la gestión de la seguridad.

mejora continua de la eficacia organizativa y operativa

Page 8: Sistema de Gestión de Seguridad de la Información

Principios del SGSI

Sensibilización

Responsabilidad

Respuesta

Ética

Democracia

Valoración de los riesgos

Concepción y aplicación de la seguridad

Gestión de la Seguridad

Reevaluación

Page 9: Sistema de Gestión de Seguridad de la Información

Alcance

Puede aplicarse a todos los tipos de organizaciones (empresas comerciales,agencias gubernamentales, organizaciones no comerciales.

La norma especifica los requisitos para implementar, operar, y mejorar un (SGSI)documentado dentro del contexto de riesgos totales del negocio de unaorganización.

Especifica requisitos para la implementación de controles de seguridadadaptados a las necesidades de organizaciones individuales o partes de lasmismas.

Page 10: Sistema de Gestión de Seguridad de la Información

Punto Clave

valoración de los riesgos sobre la base de la cual se organiza un SGSI

Page 11: Sistema de Gestión de Seguridad de la Información

Serie ISO 27000

SGSI

ISO 27000:2009

Principios y vocabulario

ISO 27001:2005 Requisitos del

SGSI

ISO 27002:2005.

Código de Prácticas

ISO 27003 Guía a la

implementación basado en el modelo PDCA

ISO 27004 Métricas de la seguridad de la información

ISO 27006:2007

Requisitos Acreditación de

EA y EC

ISO 27007 a ISO 27009 no

asignadas todavía

ISO 27011. Guía de

Implementación. Sector Telecom

ISO 27031. Continuidad del Negocio

ISO 27032. Arquitecturas de seguridad

ISO 27034. Seguridad en

las Aplicaciones

Page 12: Sistema de Gestión de Seguridad de la Información

Modelo PDCA y Estructura

Page 13: Sistema de Gestión de Seguridad de la Información

PDCA y Las Actividades del SGSI

Eddy Pérez – UNEG 2006

Page 14: Sistema de Gestión de Seguridad de la Información

PDCA y Las Actividades del SGSI

Eddy Pérez – UNEG 2006

Page 15: Sistema de Gestión de Seguridad de la Información

PDCA y Las Actividades del SGSI

Eddy Pérez – UNEG 2006

Page 16: Sistema de Gestión de Seguridad de la Información

Ciclo metodológico

Eddy Pérez – UNEG 2006

Page 17: Sistema de Gestión de Seguridad de la Información

Ciclo metodológico - Detalles

Eddy Pérez – UNEG 2006

Page 18: Sistema de Gestión de Seguridad de la Información

Ciclo metodológico - Detalles

Eddy Pérez – UNEG 2006

Page 19: Sistema de Gestión de Seguridad de la Información

Ciclo metodológico - Detalles

Eddy Pérez – UNEG 2006

Page 20: Sistema de Gestión de Seguridad de la Información

Ciclo metodológico - Detalles

Eddy Pérez – UNEG 2006

Page 21: Sistema de Gestión de Seguridad de la Información

Operación - Productos

Paso 1

•Define el Alcance

Paso 2

•Define la Política

Paso 3

• Define el método de evaluación de riesgos

Paso 4

• Identifica Riesgos

Paso 5

• Analiza y Evalúa Riesgos

Paso 6

• Tratamiento del Riesgo

Paso 7

• Selecciona Objetivos de control y controles

Paso 8

• Obtener aprob. de la gestión de riesgos residuales

Paso 9

• Obtener autorización para Implementar el SGSI

Paso 10

• Preparar Declaración de Aplicabilidad

Alcance

del SGSI

Doc. De

Política

Lista de

riesgos y

Activos

Result. de

Eval. De

Riesgos

Result. De

tratamiento

de Riesgos

Estándares

de medida

de riesgos

Registros

de riesgos

residuales

Declaración de

Aplicabilidad

Fase 1 Fase 2 Fase 3

Activos de información, amenazas,

vulnerabilidades, impactos

Implementación de

estándares para

Admin. de riesgos

Listas de controles

definidos o no en el

SGSI

Page 22: Sistema de Gestión de Seguridad de la Información

Caso Práctico

No hay organizaciones certificadas en Venezuela

Hay casos de entidades financieras que están adoptando la norma como guía para evaluar y/o implementar la Seguridad de la Información

FONDONORMA está formando Auditores para las certificaciones

Bureau Veritas Venezuela, no tiene contemplado esta área por el momento

Page 23: Sistema de Gestión de Seguridad de la Información

Estadisticas

Internacional

Japón – 3191

India – 451

UK – 400

Taiwan – 321

Latinoamérica

Brazil - 22

Colombia – 5

Chile y Perú – 3

Argentina - 1

Caso Venezuela:

Fondonorma en proceso de formación y organización

Bureau Veritas Venezuela no contemplado por el momento

Page 24: Sistema de Gestión de Seguridad de la Información

Conclusiones

El Sistema de Gestión de Seguridad de la

Información prevé tanto la conformidad como la

eficacia, es decir, no se limita a la mera

correspondencia de las actividades con la norma.

Un sistema ineficaz pero conforme no se debe

certificar, ya que sólo satisface una de las

condiciones señaladas por la misma norma.

Page 25: Sistema de Gestión de Seguridad de la Información

Gracias por su Atención!