SGSI
Páginas: 7 (1545 palabras)
Publicado: 6 de mayo de 2014
2014 - Tarea 2 – Auditoria y Seguridad de TI
TRABAJO 2 (archivo Word)
Leer y responder.
IMPLANTACIÓN DE UN SGSI
TEORÍA
La primera consideración importante que tiene que hacerse a la hora de abordar la implantación de un SGSI es restringirse a
un ámbito manejable y reducido. No es necesario ni aconsejable, muchas veces ni siquiera viable, el abarcar toda la
organización o gran parte deella si no se cuentan con los recursos materiales y humanos. Entendiendo que la implantación
es sólo la primera parte, después el SGSI debe mantenerse y eso requiere también de una cierta dedicación.
Sería deseable que todo el personal involucrado entendiera el proceso de implantación y tuviera evidencia de que se cuenta
con el apoyo de la dirección para realizar el diseño e implantación delSGSI. Plantearse la certificación como objetivo puede
ayudar a darle visibilidad y credibilidad al proyecto, ya que plantea una meta concreta y clara. La implantación de un sistema
de Gestión de la Seguridad de la Información en una empresa suele oscilar entre 6 meses y 1 año.
Todo depende del ámbito, el tamaño y complejidad de la organización. Se recomienda que el proceso de implantación nosupere el año, ya que un alargamiento elevado puede causar que todo el trabajo realizado al principio del proyecto quede
obsoleto antes de llegar a su finalización. Para conseguir el éxito en la implantación de un SGSI según la norma ISO 27001 es
muy importante intentar no complicar el proyecto, optando siempre por escoger la solución más sencilla de implantar y
mantener.
Tareas a realizar:1.
FASE PLAN:
pág. 1
2014 - Tarea 2 – Auditoria y Seguridad de TI
Planificar y diseñar el SGSI según la Norma UNE/ISO-IEC 27001 implica:
-
-
Establecer las responsabilidades. Se asignará un responsable de seguridad, que coordine las tareas y esfuerzos
en materia de seguridad. Será el que actúe como foco de todos los aspectos de seguridad de la organización y
cuyasresponsabilidades cubran todas las funciones de seguridad. En muchas organizaciones será necesario
designar un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos
interdisciplinarios y que apruebe directrices y normas.
-
Definir política de seguridad. Este paso es fundamental. La política de la organización es la que va a sentar las
bases de lo que seva a hacer, mostrará el compromiso de la dirección con el SGSI y servirá para coordinar
responsabilidades y tareas.
-
Realizar análisis de riesgos. El análisis de riesgos es la piedra angular de un SGSI. Es la actividad cuyo resultado
nos va a dar información de dónde residen los problemas actuales o potenciales que tenemos que solucionar
para alcanzar el nivel de seguridad deseado. Elanálisis de riesgos debe ser proporcionado a la naturaleza y
valoración de los activos y de los riesgos a los que los activos están expuestos. La valoración del riesgo debe
identificar las amenazas que pueden comprometer los activos, su vulnerabilidad e impacto en la organización,
determinando el nivel del riesgo.
-
Seleccionar los controles. Una vez que se sabe dónde están los puntosdébiles en la gestión de la seguridad, se
escogen los controles necesarios para eliminarlos o al menos, reducir la probabilidad de que ocurran algún
incidente o el impacto que tendría en caso de que algo ocurriera. En principio los controles se escogerán de los
detallados en el Anexo A de la Norma.
-
2.
Establecer alcance del SGSI. Es el primer paso. Hay que decidir qué parte de laorganización va a ser protegida.
Evidentemente puede ser la organización completa, pero es perfectamente válido y muy recomendable
comenzar por un área de la organización que sea relevante o importante, por ejemplo, en el caso de un banco,
comenzar por el servicio de banca electrónica.
Establecer el plan de seguridad. Debido a que serán numerosas las actuaciones que se pretenderá realizar, debe...
TRABAJO 2 (archivo Word)
Leer y responder.
IMPLANTACIÓN DE UN SGSI
TEORÍA
La primera consideración importante que tiene que hacerse a la hora de abordar la implantación de un SGSI es restringirse a
un ámbito manejable y reducido. No es necesario ni aconsejable, muchas veces ni siquiera viable, el abarcar toda la
organización o gran parte deella si no se cuentan con los recursos materiales y humanos. Entendiendo que la implantación
es sólo la primera parte, después el SGSI debe mantenerse y eso requiere también de una cierta dedicación.
Sería deseable que todo el personal involucrado entendiera el proceso de implantación y tuviera evidencia de que se cuenta
con el apoyo de la dirección para realizar el diseño e implantación delSGSI. Plantearse la certificación como objetivo puede
ayudar a darle visibilidad y credibilidad al proyecto, ya que plantea una meta concreta y clara. La implantación de un sistema
de Gestión de la Seguridad de la Información en una empresa suele oscilar entre 6 meses y 1 año.
Todo depende del ámbito, el tamaño y complejidad de la organización. Se recomienda que el proceso de implantación nosupere el año, ya que un alargamiento elevado puede causar que todo el trabajo realizado al principio del proyecto quede
obsoleto antes de llegar a su finalización. Para conseguir el éxito en la implantación de un SGSI según la norma ISO 27001 es
muy importante intentar no complicar el proyecto, optando siempre por escoger la solución más sencilla de implantar y
mantener.
Tareas a realizar:1.
FASE PLAN:
pág. 1
2014 - Tarea 2 – Auditoria y Seguridad de TI
Planificar y diseñar el SGSI según la Norma UNE/ISO-IEC 27001 implica:
-
-
Establecer las responsabilidades. Se asignará un responsable de seguridad, que coordine las tareas y esfuerzos
en materia de seguridad. Será el que actúe como foco de todos los aspectos de seguridad de la organización y
cuyasresponsabilidades cubran todas las funciones de seguridad. En muchas organizaciones será necesario
designar un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos
interdisciplinarios y que apruebe directrices y normas.
-
Definir política de seguridad. Este paso es fundamental. La política de la organización es la que va a sentar las
bases de lo que seva a hacer, mostrará el compromiso de la dirección con el SGSI y servirá para coordinar
responsabilidades y tareas.
-
Realizar análisis de riesgos. El análisis de riesgos es la piedra angular de un SGSI. Es la actividad cuyo resultado
nos va a dar información de dónde residen los problemas actuales o potenciales que tenemos que solucionar
para alcanzar el nivel de seguridad deseado. Elanálisis de riesgos debe ser proporcionado a la naturaleza y
valoración de los activos y de los riesgos a los que los activos están expuestos. La valoración del riesgo debe
identificar las amenazas que pueden comprometer los activos, su vulnerabilidad e impacto en la organización,
determinando el nivel del riesgo.
-
Seleccionar los controles. Una vez que se sabe dónde están los puntosdébiles en la gestión de la seguridad, se
escogen los controles necesarios para eliminarlos o al menos, reducir la probabilidad de que ocurran algún
incidente o el impacto que tendría en caso de que algo ocurriera. En principio los controles se escogerán de los
detallados en el Anexo A de la Norma.
-
2.
Establecer alcance del SGSI. Es el primer paso. Hay que decidir qué parte de laorganización va a ser protegida.
Evidentemente puede ser la organización completa, pero es perfectamente válido y muy recomendable
comenzar por un área de la organización que sea relevante o importante, por ejemplo, en el caso de un banco,
comenzar por el servicio de banca electrónica.
Establecer el plan de seguridad. Debido a que serán numerosas las actuaciones que se pretenderá realizar, debe...
Leer documento completo
Regístrate para leer el documento completo.