Seguridad informatica

Solo disponible en BuenasTareas
  • Páginas : 10 (2288 palabras )
  • Descarga(s) : 4
  • Publicado : 26 de marzo de 2010
Leer documento completo
Vista previa del texto
ESTRUCTURA DE LA NORMA

Sistema de Gestión de Seguridad de la Información
según

ISO 27001:2005

• •

© 2010, Ing. Manuel Collazos Balaguer Prime Profesional SAC

a. Dinero

b. Persona

c. Tiempo

d. Información

e. Infraestructura

f. Procesos

g. Imagen

i. Clientes

j. Sociedad

k. Gobierno

l. Proveedores

m. Accionistas

¿Qué es Seguridad de laInformación?

¿Por qué es necesario de la Seguridad de la Información?
La información y los procesos, sistemas y redes que le brindan apoyo constituyen importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial. Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados. Según [ISO/IEC 13335-1:2004]: “característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados”.

Integridad: Garantía de la exactitud y el contenido completo de la información y los métodos de su procesamiento.

Disponibilidad:Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.

Evolución normativa

1995 BS 7799-1:1995 (Norma británica) 1999 BS 7799-2:1999 (Norma británica) 1999 Revisión BS7799-1:1999 2000 ISO/IEC 17799:2000 (Norma internacional código de prácticas) 2002 Revisión BS 7799-2:2002 2004 UNE 71502 (Norma española) 2005 Revisión ISO/IEC 17799:2005 2005 Revisión BS 7799-2:2005 2005 ISO/IEC 27001:2005 (Norma internacional certificable)

Familia ISO 27000 en los próximos años

ISO 27000 (2007) Vocabulario y Definiciones ISO 27001 (2005) Estándar Certificable ya en Vigor ISO27002 (2007) Código de Buenas Prácticas relevo de ISO 17799 ISO 27003 (2008) Guía para la Implantación ISO 27004 (2008) Métricas e Indicadores ISO 27005 (2008) Gestión de Riesgos (BS 7799-3:2006) ISO 27006 (2007) Requisitos para Acreditación de Entidades de Certificación

ISO 27001:2005 Desarrollado como modelo para el establecimiento, implementación, operación, monitorización, revisión,mantenimiento y mejora de un SGSI para cualquier tipo de organización. El diseño e implantación de un SGSI se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados , el tamaño, los sistemas de soporte y la estructura de la organización.

Situación simple Orientación a procesos:
Otras consideraciones de Gestión

Solución simple para el SGSISalidas Entradas
Operaciones internas

Gestión Feedback

Medida

Recursos

El ciclo Plan –Do –Check –Act (PDCA de Deming)

Partes Interesadas:

Stakeholders Clientes Proveedores Usuarios Accionistas Socios Otros
Requisitos y Expectativas para la Seguridad de la Información

Establecimiento del SGSI

Partes Interesadas:

PLAN
Implementación del SGSI Mejora Continua del SGSI

DOMonitorización y Revisión del SGSI

ACT

Stakeholders Clientes Proveedores Usuarios Accionistas Socios Otros

CHECK

Seguridad de la Información Gestionada

Alineado con las guías y principios de la OECD-Organisation for Economic Co-operation and Development: conocimiento, responsabilidad, respuesta, gestión del riesgo, diseño de seguridad e implementación, gestión de seguridad, revisión Cadena de actuaciones

Definición de Política y Objetivos

Política Objetivos

PLAN DO CHECK

Determinación del Alcance
Amenazas/Vulnerabilidades Probabilidad/Impacto

Alcance Resultados Análisis

ACT

Análisis de Activos
Resultados Análisis

Análisis de Riesgos
Gestión Organizacional Grado de Aseguramiento icación Tratamiento

Gestión de Riesgos

Planif

Controles...
tracking img