Seguridad de la Información
Páginas: 16 (3859 palabras)
Publicado: 23 de julio de 2013
Sistema de Gestión de la Seguridad de la
Información
Contenidos
1.
¿Qué es un SGSI?
2.
¿Para qué sirve un SGSI?
3.
¿Qué incluye un SGSI?
4.
¿Cómo se implementa un SGSI?
5.
¿Qué tareas tiene la Gerencia en un SGSI?
6.
¿Se integra un SGSI con otros sistemas de gestión?
WWW.ISO27000.ES ©
1
El SGSI (Sistema de Gestión de Seguridad de la Información)es el concepto central
sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso
sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con
una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad
de la información.Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de
disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la
seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de
la información sean conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada,repetible, eficiente
y adaptada a los cambios que se produzcan en los riesgos, el entorno y las
tecnologías.
En las siguientes secciones, se desarrollarán los conceptos fundamentales de un
SGSI según la norma ISO 27001.
1. ¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idiomainglés, siglas
de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail,transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.
WWW.ISO27000.ES ©
2
La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en
su tratamiento, dentro de una organización. Así pues, estos trestérminos constituyen
la base sobre la que se cimienta todo el edificio de la seguridad de la información:
•
Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
•
Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
•
Disponibilidad: acceso y utilización de lainformación y los sistemas de tratamiento
de la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se
debe hacer uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.
2.¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organización. La confidencialidad, integridad y disponibilidad
de información sensible pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para
lograr los objetivos de laorganización y asegurar beneficios económicos.
Las organizaciones y sus sistemas de información están expuestos a un número cada
vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades
existentes, pueden someter a activos críticos de información a diversas formas de
fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los
ataques de denegación...
Información
Contenidos
1.
¿Qué es un SGSI?
2.
¿Para qué sirve un SGSI?
3.
¿Qué incluye un SGSI?
4.
¿Cómo se implementa un SGSI?
5.
¿Qué tareas tiene la Gerencia en un SGSI?
6.
¿Se integra un SGSI con otros sistemas de gestión?
WWW.ISO27000.ES ©
1
El SGSI (Sistema de Gestión de Seguridad de la Información)es el concepto central
sobre el que se construye ISO 27001.
La gestión de la seguridad de la información debe realizarse mediante un proceso
sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con
una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad
de la información.Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de
disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la
seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de
la información sean conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada,repetible, eficiente
y adaptada a los cambios que se produzcan en los riesgos, el entorno y las
tecnologías.
En las siguientes secciones, se desarrollarán los conceptos fundamentales de un
SGSI según la norma ISO 27001.
1. ¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la
Seguridad de la Información. ISMS es el concepto equivalente en idiomainglés, siglas
de Information Security Management System.
En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos
organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en imágenes,
oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo,
fax o e-mail,transmitida en conversaciones, etc.), de su origen (de la propia
organización o de fuentes externas) o de la fecha de elaboración.
WWW.ISO27000.ES ©
2
La seguridad de la información, según ISO 27001, consiste en la preservación de su
confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en
su tratamiento, dentro de una organización. Así pues, estos trestérminos constituyen
la base sobre la que se cimienta todo el edificio de la seguridad de la información:
•
Confidencialidad: la información no se pone a disposición ni se revela a individuos,
entidades o procesos no autorizados.
•
Integridad: mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
•
Disponibilidad: acceso y utilización de lainformación y los sistemas de tratamiento
de la misma por parte de los individuos, entidades o procesos autorizados cuando lo
requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se
debe hacer uso de un proceso sistemático, documentado y conocido por toda la
organización, desde un enfoque de riesgo empresarial. Este proceso es el que
constituye un SGSI.
2.¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son activos
muy importantes de una organización. La confidencialidad, integridad y disponibilidad
de información sensible pueden llegar a ser esenciales para mantener los niveles de
competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para
lograr los objetivos de laorganización y asegurar beneficios económicos.
Las organizaciones y sus sistemas de información están expuestos a un número cada
vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades
existentes, pueden someter a activos críticos de información a diversas formas de
fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los
ataques de denegación...
Leer documento completo
Regístrate para leer el documento completo.