Sistema de Gestión de Seguridad de la Información
Sistema de Gestión de
Seguridad de la
Información
Aspecto Normativo
UNIT ISO/IEC 27000
– 27000 Fundamentos y vocabulario
– 27001 Requisitos para certificación
– 27002 Buenas prácticas
– 27003 Directrices para la implementación
Familia de normas ISO/IEC 27000
Esta norma especifica los requisitos para establecer,
implantar, documentar y evaluar un SGSI
Especifica los requisitos de los controles de seguridad de
acuerdo con las necesidades de las organizaciones,
independientemente de su tipo, tamaño o actividad
Análisis familia de normas ISO/IEC 27000
Dominio Objetivos Controles
Política de Seguridad 1 2
Aspectos organizativos para la seguridad 2 11
Gestión de los Activos 2 5
Seguridad de los Recursos Humanos 3 9
Seguridad física y del entorno 2 13
Gestión de comunicaciones y operaciones 10 32
Control de accesos 7 25
Adquisición, Desarrollo y mantenimiento de
Sistemas
6 16
Gestión de Incidentes de Seguridad de la
Información
2 15
Gestión de continuidad del negocio 1 5
Conformidad 3 10
Norma 27002
Norma UNIT ISO/IEC 27002
• Dominios de seguridad
• Objetivos
• Controles
• Implementación del control
1 Política de Seguridad de Información
2 Estructura organizativa de la SI
3 Clasificación y control de activos
4 Seguridad ligada al personal
5 Seguridad física y del entorno
6 Gestión de comunicaciones y operaciones
7 Control de accesos
8 Desarrollo y mantenimiento de sistemas
9 Gestión de Incidentes de Seguridad
10. Gestión Continuidad de Negocio
-----------------------------------------------------------
11 Conformidad y Cumplimiento legislación
ISO/IEC 27002
“P”
“D”
“C”
“A”
Definir política de seguridadEstablecer alcance del al SGSIRealizar análisis de riesgosSeleccionar los controles
Implantar plan de gestión de riesgosImplantar el SGSIImplantar los controles
Revisar internamente el SGSIRealizar auditorias internas del SGSI
Adoptar las acciones correctivasAdoptar las acciones preventivas
MODELO PDCA
Documentación en un SGSI
• Manual de seguridad: Es el documento que inspira y
dirige todo el sistema, determina las intenciones,
alcance, objetivos, responsabilidades, políticas y
directrices principales del SGSI.
• Procedimientos: documentos en el nivel operativo, que
aseguran que se realicen de forma eficaz la
planificación, operación y control de los procesos de
seguridad de la información.
Documentación en un SGSI
• Instrucciones, checklists y formularios: Son los
documentos que describen cómo se realizan las tareas
relacionadas con la seguridad de la información
• Registros: Son los documentos que proporcionan una
evidencia objetiva del cumplimiento de los requisitos del
SGSI; están asociados a documentos de los otros tres
niveles como output que demuestra que se ha cumplido
lo indicado en los mismos.
Documentación en un SGSI
Declaración general de principios que
presenta la posición de la Administración
sobre los cursos de acción a seguir.
Intención y dirección general expresada
formalmente por la dirección. (ISO 27002)
Política General de Seguridad
Política de Seguridad
• Política de Seguridad Organizacionalo Un conjunto de leyes y prácticas que regulan cómo una
organización gestiona, protege y distribuye recursos para
alcanzar los objetivos de una política de seguridad
• Política de Seguridad Automatizadao El conjunto de restricciones y propiedades que especifican cómo
un sistema informático previene que tanto información como
recursos sean utilizados violando una política de seguridad
organizacional
Dominio : Política de Seguridad
• Objetivo:
Proporcionar orientación y apoyo de la
dirección para la seguridad de la
información de acuerdo con los requisitos
del negocio y con las regulaciones y leyes
pertinentes.
Documento de Política de Seguridad
• Control
La dirección debería aprobar, publicar y
comunicar a todos los empleados y a
terceras partes, un documento con la
política de seguridad de la información
• Guía de Implantación
Revisión de la Política de Seguridad de
la Información
• Control
La política de seguridad de la información
debe ser revisada a intervalos planificados
o si se producen cambios significativos,
para asegurar su conveniencia, suficiencia
y eficacia continua.
Gestión de Riesgos
• Un riesgo es la posibilidad de que un
resultado indeseado distorsione el negocio
• La gestión de riesgos es el proceso de
identificar y controlar esos resultados
indeseados de manera PROACTIVA
Gestión de Riesgos
• Los riesgos siempre implican posibles
pérdidas, de allí la importancia de
manejarlos
• Gestionar riesgos es trabajar con la
incertidumbre y la idea es disminuirla.
• El problema no es que haya riesgos es
saber manejarlos.
Gestión de Riesgos
• Para manejar los riesgos trabajamos con
una técnica que reduzca la incertidumbre,
pero nunca la eliminaremos.
• Deben ser analizados por diferentes
personas con diferentes visiones
La importancia del Análisis de Riesgos
• Nos ayuda a visualizar cuáles son
nuestras debilidades
• Nos permite analizar cómo resolver esas
debilidades
• Nos permite definir en qué orden las
atenderemos, nos permite priorizarlas
Estudio del Riesgo
• Riesgo: Es lo que acontece y dispara una pérdidapara la organización
• Conductor del riesgo: condicionantes en el entornoque hacen pensar que el riesgo podría ocurrir
• Probabilidad del riesgo: evaluación subjetiva, basadaen los conductores del riesgo, de la posibilidad deque dicho riesgo ocurra
• Impacto: la consecuencia o pérdida potencial quepodría resultar si el riesgo ocurre
• Pérdidas: magnitud de la pérdida en caso que ocurrael riesgo
Estudio del Impacto