Sgsi
El SGSI y la Norma ISO-27001
Enrique Oteo Elvira
1
El SGSI y la Norma ISO-27001 1
Información y Seguridad
• • •
Información y Seguridad La Gestión de la Seguridad Normas ISO
2
1 1.1
Información y Seguridad
Información
Datos ....................
representación simbólica de atributosInformación .........
conjunto organizado de datos
Conocimiento ......
información útil para la toma de decisiones
3
1 1.1.1
Información y Seguridad
Sistema de Información
Datos Información
conjunto de componentes Activos que interactúan Información ...
como medio para que la
considerados gestionando
Sistema De Información
toma de decisiones Información ConocimientoEmpresa pueda alcanzar sus
objetivos
4
1 1.1.2
Información y Seguridad
Activos de Información
Datos .....................
información susceptible de ser procesada o gestionada
Aplicaciones ......... Equipos ................. Conocimiento ....... Documentación .... Personas ...............
procedimientos y programas que procesan información máquinas y dispositivos parael tratamiento de información capacitación para utilizar o disponer de información representación del conocimiento como meta-información empleados y terceros que disponen de acceso a información
5
1 1.1.3
Información y Seguridad
Valor de los Activos
los Activos de Información, tangibles o no, tienen un Valor que depende fundamentalmente del negocio de la Empresa
el Valor de unActivo de información se determina por el Impacto en el negocio debido a una Amenaza materializada, y debe incluir los Costes de
– Pérdidas de Ingresos – Pérdidas Financieras – Cuota de Mercado – el Activo – el Daño en el Negocio – la Recuperación
– Imagen de la Empresa
– Las Indemnizaciones
6
1 1.2
Información y Seguridad
Propiedades de la Información
La seguridad es una delas diversas propiedades de la Información. Su consideración tiene como objeto asegurar la conformidad con los requisitos establecidos para los atributos asociados a ella.
Seguridad
Calidad
Legitimidad
7
1 1.2.1
Información y Seguridad
Atributos de la Seguridad
¿Qué atributos de la seguridad se deben proteger? ¿Qué requisitos se deben especificar?
– Integridad..................... Mantenimiento controlado de la información – Confidencialidad ......... Acceso en base a la necesidad de conocimiento – Disponibilidad ............. Acceso en base a la necesidad de utilización
– Autenticidad .................. Certeza de la validez de identidad de un activo – Fiabilidad ...................... Validez de la información para su finalidad de uso
8
11.2.2
Información y Seguridad
Fuentes de los Requisitos
Los requisitos de Seguridad de Información provienen de tres tipos de fuentes
Objetivos
Valoración de riesgos de la Organización. Con ella se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de su ocurrencia, y se estima su posible impacto
Legislación
Leyes, estatutos, y regulaciones, quedebería satisfacer la Organización, sus socios comerciales, los contratistas, y proveedores de servicios
Normas
Principios, objetivos, y requisitos que forman parte del tratamiento de la información que la Organización ha desarrollado para apoyar sus operaciones
9
1 1.2.3
Información y Seguridad
Importancia de la Seguridad
Actividades de Negocio
Sistemas de InformaciónContinuidad
Seguridad
10
El SGSI y la Norma ISO-27001 2
La Gestión de la Seguridad
• • •
Información y Seguridad La Gestión de la Seguridad Normas ISO
11
2 2.1
La Gestión de la Seguridad
Necesidad de la Gestión
La criticidad de la Seguridad de la Información hace necesario llevar a cabo la implantación de
1)
Medidas de Protección
2)
un Sistema de...
Regístrate para leer el documento completo.