Ingeniera
Páginas: 5 (1022 palabras)
Publicado: 26 de octubre de 2012
ISO 27001:2005
SISTEMA DE GESTION EN LA SEGURIDAD DE LA INFORMACION
Básicamente estamos hablando de como minimizar el riesgo de que personas ajenas accedan a cierta información, es un modelo para el establecimiento, mantenimiento, operación, continua seguimiento, implementación de un sistema de gestión de la seguridad de la información para cualquier entidad. Se tienen en cuenta en el diseñolas necesidades, objetivos, requisitos de seguridad, el personal, el tamaño, el soporte y la estructura de la organización.
La seguridad de la información no siempre es tener la mejor infraestructura ya sea hardware o software, también una serie de procesos y métodos para poder gestionar un sistema de seguridad mediante unos controles, políticas y reglas, que se deben cumplir paso a paso si sequiere tener una verdadera protección de la información.
Si se implementa de forma adecuada, no sólo mejorará la posición de mercado de la organización, sino que también ayudará a organizar todas las actividades de seguridad de la información dentro de un marco claramente definido y, por consiguiente, disminuirá los niveles de riesgo
Cada uno de los controles implementados se encuentra dentro delciclo de Deming, siendo la base principal para la aplicación de la norma. Pero a la hora de implementarla debemos conocer los procesos o las etapas para usarla de forma sencilla, eficaz y documentando cada uno de dichos procesos.
El Enfoque a Procesos para la gestión de seguridad de información que se presenta en éste estándar Internacional enfatiza la importancia de:
• Entender losrequerimientos de seguridad de una organización y la necesidad de establecer políticas y objetivos para la seguridad de la información.
• Implementar y operar controles para manejar la los riesgos de seguridad de la información.
• Monitorear y revisar el rendimiento del Sistema de Gestión de seguridad de la Información
• Mejoramiento continúo.
PLANEAR:
• ESTABLECER ALCANCE DEL SGSI:
oCaracterísticas del negocio
o Características de la organización: localización, activos, tecnología
o Incluir detalles y justificaciones de exclusiones
• DEFINIR POLITICAS DE SEGURIDAD:
o Características del negocio
o Características de la organización: localización, activos, tecnología
o Marco para Objetivos relacionados con Seguridad de la Información
o Requisitos de negocio, legales, reglamentarios,contractuales y otros
o Alineada con el contexto de la estrategia de Gestión de Riesgos
o Establecimiento de criterios de evaluación de riesgos
o Aprobada por la Alta Dirección
o Status superior a las políticas de SI de bajo nivel
• REALIZAR ANALISIS DE RIESGOS:
o Identificación de metodología: Magerit, CRAMM, Cobra, otros …
o Criterios aceptación de riesgos: niveles de riesgo aceptables(NRA)
o Debe producir resultados comparables y reproducibles
• SELECCIÓN DE CONTROLES:
o Considerar impacto de fallos de seguridad (pérdidas de C-I-D)
o Considerar probabilidad realista de que el fallo ocurra
o Considerar controles ya en funcionamiento o implantados
o Estimar niveles de riesgo
o Determinar cuando el riesgo es aceptable o requiere tratamiento
• ESTABLECER UN PLAN DESEGURIDAD: SE DEBE ESTABLECER UN PLAN CON TIEMPOS Y RECURSOS QUE SE VAN A NECESITAR EN EL MOMENTO DE LA IMPLEMENTACION DE LA SEGURIDAD DE LA RED.
HACER:
• Risk Treatment Plan (RTP)
o Acciones de gestión y control a desarrollar
o Recursos asignados y responsabilidades
o Prioridades a la hora de gestionar los riesgos
o Implantación del RTP para alcanzar los Objetivos de Control
• Implantación deControles
o Los controles anteriormente seleccionados deben ser implantados
o Implantación física del Plan de Tratamiento de Riesgos (RTP)
o Respetando las responsabilidades previamente definidas
• Métricas e Indicadores
o Debemos medir la efectividad de los controles seleccionados
o Determinar cómo vamos a realizar el análisis de los datos
o Mediante los datos obtenidos, tenemos que...
SISTEMA DE GESTION EN LA SEGURIDAD DE LA INFORMACION
Básicamente estamos hablando de como minimizar el riesgo de que personas ajenas accedan a cierta información, es un modelo para el establecimiento, mantenimiento, operación, continua seguimiento, implementación de un sistema de gestión de la seguridad de la información para cualquier entidad. Se tienen en cuenta en el diseñolas necesidades, objetivos, requisitos de seguridad, el personal, el tamaño, el soporte y la estructura de la organización.
La seguridad de la información no siempre es tener la mejor infraestructura ya sea hardware o software, también una serie de procesos y métodos para poder gestionar un sistema de seguridad mediante unos controles, políticas y reglas, que se deben cumplir paso a paso si sequiere tener una verdadera protección de la información.
Si se implementa de forma adecuada, no sólo mejorará la posición de mercado de la organización, sino que también ayudará a organizar todas las actividades de seguridad de la información dentro de un marco claramente definido y, por consiguiente, disminuirá los niveles de riesgo
Cada uno de los controles implementados se encuentra dentro delciclo de Deming, siendo la base principal para la aplicación de la norma. Pero a la hora de implementarla debemos conocer los procesos o las etapas para usarla de forma sencilla, eficaz y documentando cada uno de dichos procesos.
El Enfoque a Procesos para la gestión de seguridad de información que se presenta en éste estándar Internacional enfatiza la importancia de:
• Entender losrequerimientos de seguridad de una organización y la necesidad de establecer políticas y objetivos para la seguridad de la información.
• Implementar y operar controles para manejar la los riesgos de seguridad de la información.
• Monitorear y revisar el rendimiento del Sistema de Gestión de seguridad de la Información
• Mejoramiento continúo.
PLANEAR:
• ESTABLECER ALCANCE DEL SGSI:
oCaracterísticas del negocio
o Características de la organización: localización, activos, tecnología
o Incluir detalles y justificaciones de exclusiones
• DEFINIR POLITICAS DE SEGURIDAD:
o Características del negocio
o Características de la organización: localización, activos, tecnología
o Marco para Objetivos relacionados con Seguridad de la Información
o Requisitos de negocio, legales, reglamentarios,contractuales y otros
o Alineada con el contexto de la estrategia de Gestión de Riesgos
o Establecimiento de criterios de evaluación de riesgos
o Aprobada por la Alta Dirección
o Status superior a las políticas de SI de bajo nivel
• REALIZAR ANALISIS DE RIESGOS:
o Identificación de metodología: Magerit, CRAMM, Cobra, otros …
o Criterios aceptación de riesgos: niveles de riesgo aceptables(NRA)
o Debe producir resultados comparables y reproducibles
• SELECCIÓN DE CONTROLES:
o Considerar impacto de fallos de seguridad (pérdidas de C-I-D)
o Considerar probabilidad realista de que el fallo ocurra
o Considerar controles ya en funcionamiento o implantados
o Estimar niveles de riesgo
o Determinar cuando el riesgo es aceptable o requiere tratamiento
• ESTABLECER UN PLAN DESEGURIDAD: SE DEBE ESTABLECER UN PLAN CON TIEMPOS Y RECURSOS QUE SE VAN A NECESITAR EN EL MOMENTO DE LA IMPLEMENTACION DE LA SEGURIDAD DE LA RED.
HACER:
• Risk Treatment Plan (RTP)
o Acciones de gestión y control a desarrollar
o Recursos asignados y responsabilidades
o Prioridades a la hora de gestionar los riesgos
o Implantación del RTP para alcanzar los Objetivos de Control
• Implantación deControles
o Los controles anteriormente seleccionados deben ser implantados
o Implantación física del Plan de Tratamiento de Riesgos (RTP)
o Respetando las responsabilidades previamente definidas
• Métricas e Indicadores
o Debemos medir la efectividad de los controles seleccionados
o Determinar cómo vamos a realizar el análisis de los datos
o Mediante los datos obtenidos, tenemos que...
Leer documento completo
Regístrate para leer el documento completo.