Welcome to Scribd, the world's digital library. Read, publish, and share books and documents. See more
Download
Standard view
Full view
of .
Look up keyword
Like this
21Activity
0 of .
Results for:
No results containing your search query
P. 1
IMPLEMENTACIÓN DE UN SGSI

IMPLEMENTACIÓN DE UN SGSI

Ratings:

4.0

(1)
|Views: 2,309 |Likes:
Published by Cristian Bailey

More info:

Published by: Cristian Bailey on Dec 04, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

08/15/2014

pdf

text

original

 
 
IMPLEMENTACIÓN DEUN SGSI
 
Definir la Ruta para un Proyecto de SGSI de forma simple y con sentido común.
 
Resumen de Buenas Practicas del Gobierno de TI y los aspectos a contemplar en su Implementación.
2012
 
1
ITCP ITCP ITCP ITCP 
Aspectos para la implementación dAspectos para la implementación dAspectos para la implementación dAspectos para la implementación de una SGSI.e una SGSI.e una SGSI.e una SGSI.
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN – SGSI 
Sistema de Gestión de la Seguridad de la Información 
El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que seconstruye ISO 27001.La gestión de la seguridad de la información debe realizarse mediante un procesosistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI,que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema decalidad para la seguridad de la información. Garantizar un nivel de protección total es virtualmenteimposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema degestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de lainformación sean conocidos, asumidos, gestionados y minimizados por la organización de una formadocumentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcanen los riesgos, el entorno y las tecnologías.
¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información.ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System. Enel contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poderde una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada,enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propiaorganización o de fuentes externas) o de la fecha de elaboración.La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad,integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de unaorganización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio dela seguridad de la información:
 
Confidencialidad:
la información no se pone a disposición ni se revela a individuos, entidades oprocesos no autorizados.
 
Integridad:
mantenimiento de la exactitud y completitud de la información y sus métodos deproceso.
 
Disponibilidad:
acceso y utilización de la información y los sistemas de tratamiento de la mismapor parte de los individuos, entidades o procesos autorizados cuando lo requieran.Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de unproceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgoempresarial. Este proceso es el que constituye un SGSI.
¿Para qué sirve un SGSI?
La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes deuna organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar aser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagenempresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos. Lasorganizaciones y sus sistemas de información están expuestos a un número cada vez más elevado deamenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activoscríticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virusinformáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y
 
2
ITCP ITCP ITCP ITCP 
Aspectos para la implementación dAspectos para la implementación dAspectos para la implementación dAspectos para la implementación de una SGSI.e una SGSI.e una SGSI.e una SGSI.
conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocadosaccidentalmente por catástrofes naturales y fallos técnicos. El cumplimiento de la legalidad, la adaptacióndinámica y puntual a las condiciones variables del entorno, la protección adecuada de los objetivos denegocio para asegurar el máximo beneficio o el aprovechamiento de nuevas oportunidades de negocio,son algunos de los aspectos fundamentales en los que un SGSI es una herramienta de gran utilidad y deimportante ayuda para la gestión de las organizaciones.El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la gestiónefectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomandoen consideración también a clientes y proveedores de bienes y servicios. El modelo de gestión de laseguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controlesde seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas yprocedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivelde exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI,la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
Premisas a cumplir en la implementación de SGSI:
En este documento se recomiendan seguir los estándares de la informática que se mencionan acontinuación:1.-
 
INFORMACIÓN Y SISTEMA INFORMÁTICO2.-
 
ASPECTOS CLAVE EN LA SSI3.-
 
DEFINICIÓN DE SEGURIDAD INFORMÁTICA
 
Confidencialidad
 
Integridad
 
Disponibilidad
 
Autenticidad
 
Imposibilidad de rechazo
 
Consistencia
 
Aislamiento
 
Auditoría4.-
 
POLÍTICA DE SEGURIDAD5.-
 
ANÁLISIS Y GESTIÓN DE RIESGOS6.-
 
 VULNERABILIDAD, AMENAZAS Y CONTRAMEDIDAS
 
 Vulnerabilidad
 
Amenaza
 
Contramedida7.-
 
TIPOS DE VULNERABILIDAD
 
 Vulnerabilidad física
 
 Vulnerabilidad natural
 
 Vulnerabilidad del hardware y del software
 
 Vulnerabilidad de los medios o dispositivos
 
 Vulnerabilidad por emanación

You're Reading a Free Preview

Download
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->