Seguridad informatica
Sistema de Gestión de Seguridad de la Información
según
ISO 27001:2005
• •
© 2010, Ing. Manuel Collazos Balaguer Prime Profesional SAC
a. Dinero
b. Persona
c. Tiempo
d. Información
e. Infraestructura
f. Procesos
g. Imagen
i. Clientes
j. Sociedad
k. Gobierno
l. Proveedores
m. Accionistas
¿Qué es Seguridad de laInformación?
¿Por qué es necesario de la Seguridad de la Información?
La información y los procesos, sistemas y redes que le brindan apoyo constituyen importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial.Confidencialidad: Acceso a la información por parte únicamente de quienes estén autorizados. Según [ISO/IEC 13335-1:2004]: “característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados”.
Integridad: Garantía de la exactitud y el contenido completo de la información y los métodos de su procesamiento.
Disponibilidad:Acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Según [ISO/IEC 13335-1:2004]: característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
Evolución normativa
1995 BS 7799-1:1995 (Norma británica) 1999 BS 7799-2:1999 (Norma británica) 1999 Revisión BS7799-1:1999 2000 ISO/IEC 17799:2000 (Norma internacional código de prácticas) 2002 Revisión BS 7799-2:2002 2004 UNE 71502 (Norma española) 2005 Revisión ISO/IEC 17799:2005 2005 Revisión BS 7799-2:2005 2005 ISO/IEC 27001:2005 (Norma internacional certificable)
Familia ISO 27000 en los próximos años
ISO 27000 (2007) Vocabulario y Definiciones ISO 27001 (2005) Estándar Certificable ya en Vigor ISO27002 (2007) Código de Buenas Prácticas relevo de ISO 17799 ISO 27003 (2008) Guía para la Implantación ISO 27004 (2008) Métricas e Indicadores ISO 27005 (2008) Gestión de Riesgos (BS 7799-3:2006) ISO 27006 (2007) Requisitos para Acreditación de Entidades de Certificación
ISO 27001:2005 Desarrollado como modelo para el establecimiento, implementación, operación, monitorización, revisión,mantenimiento y mejora de un SGSI para cualquier tipo de organización. El diseño e implantación de un SGSI se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados , el tamaño, los sistemas de soporte y la estructura de la organización.
Situación simple Orientación a procesos:
Otras consideraciones de Gestión
Solución simple para el SGSISalidas Entradas
Operaciones internas
Gestión Feedback
Medida
Recursos
El ciclo Plan –Do –Check –Act (PDCA de Deming)
Partes Interesadas:
Stakeholders Clientes Proveedores Usuarios Accionistas Socios Otros
Requisitos y Expectativas para la Seguridad de la Información
Establecimiento del SGSI
Partes Interesadas:
PLAN
Implementación del SGSI Mejora Continua del SGSI
DOMonitorización y Revisión del SGSI
ACT
Stakeholders Clientes Proveedores Usuarios Accionistas Socios Otros
CHECK
Seguridad de la Información Gestionada
Alineado con las guías y principios de la OECD-Organisation for Economic Co-operation and Development: conocimiento, responsabilidad, respuesta, gestión del riesgo, diseño de seguridad e implementación, gestión de seguridad, revisiónCadena de actuaciones
Definición de Política y Objetivos
Política Objetivos
PLAN DO CHECK
Determinación del Alcance
Amenazas/Vulnerabilidades Probabilidad/Impacto
Alcance Resultados Análisis
ACT
Análisis de Activos
Resultados Análisis
Análisis de Riesgos
Gestión Organizacional Grado de Aseguramiento icación Tratamiento
Gestión de Riesgos
Planif
Controles...
Regístrate para leer el documento completo.