You are on page 1of 15

Universidad Nacional

Federico Villarreal
Facultad de Ingeniería Industrial y Sistemas
Escuela de Sistemas

Seguridad de Sistemas de Información

Tema: Ciclo de Deming & Seguridad de Información Profesor: Ing. Mujica Ruiz, Oscar Integrantes:

y y y y

Camus Huaman, Erick Cosio Agama, Oscar E. Sucso Herrera, Jonathan Velasque Rimac, Alexander

Ciclo& Sección: 9no A Año:

2011

INTRODUCCION El aspec de la se dad de información afec a a todas las organizaciones de todos los tamaños y sectores con un problema idéntico. su capacidad de negociación. su vulnerabilidad inherente Toda la información que se maneje en la empresa. ya que un infracción de seguridad puede afectar no solo financieramente al organización. ¦ ¥¤£¢ ¡     . La seguridad de Información ya no es un problema solo de los administradores de TI. rentabilidad. están en riesgo y de cualquier amenaza. etc. papeles. en la memoria de los empleados. sino también su reputación. ya sea en discos. por lo tanto dependerá de su capacidad de gestionar los riesgos de manera eficaz.

etc).es un roceso retroalimentantivo. © Seguridad de nformación. Verificar mediante datos o criterios establecidos si se ha logrado lo ro uesto. es un estrategia de mejora continua que se fundamenta en 4 ilares: © § P A © © D C © © © © © Plan.Ciclo de eming y la Seguridad de nformación ¨ § Ciclo de eming. Im lementar los roceso definidos en la fase anterior. Analizar y establecer ajustes necesarios en los rocesos. Establecer Objetivos y rocesos ara lograr las metas ro uestas. © © © ©  Check. minimizar los riesgos em resariales y maximizar el ROI y de negocios». al ser un roceso enfocado al resultado es erado. Act. kaizen. suele estar relacionada con «la rotección de algo». © © © © © ¨ © Plan Do Check Act . El ciclo de Deming ( mejora continua. Shewhart. La seguridad en general. Relacionado a la Seguridad de Información uedeser definida como «la rotección de información de una am lia gama de amenazas a fin de garantizar la continuidad del negocio. o. (ISO/IEC 2005). dca.

La información no odrá será eliminada. Solo o drán acceder a la información las ersonas autorizadas. La información alcance de la ersona autorizada. modificada y alterada or una ersona sin autorización.C D de la Seguridad: Dis onibilidad Disponibilidad.  estará al Mejora Continua y los Sistemas de Información Para lograr una mejora continua en la Seguridad de información la relación entre estos elementos debe ser vista como un roceso cíclico que uede ser modelado mediante el ciclo de Deming.    Confidencialidad   Confidencialidad.    Integración Integración. .

 ! "      [D]Cont ol s d   u id d d Info            [P]An liz  t t los i s os ión .

[C]Gestión de In identes # [A]Análisis de In identes # & $ F to Hu % #$ no .

Caso de Estudio Info ión de egu id d de l Universid d de Twente 1 ' ) ) ) ' ( Es una universidad situada en Enschede . Ofrece programas de investigación y el grado en las ciencias sociales del c omportamiento y en la tecnología. ) 0 . Holanda .

Twente Analizar y ajustar controles 35% Resolver e Invest.Ciclo de Deming y la Seguridad de Información en U. Incidentes 22% Análisis de Riesgo 21% Diseño y Control 22% Ciclo Deming & IS 2 .

que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización. una breve descripción del proceso Plan-Do-Chec -Act (es una estrategia de mejora continua de la calidad en cuatro pasos planificar. Contiene una guía de ayuda para la implementación de un SGSI según norma ISO/IEC 27001 (cláusulas 4. Esta norma proporciona una visión general de las normas que componen la serie 27000. En su Ane o A. 5 6 I O/IEC 27003 . hacer. 3 3 3 3 I O/IEC 27001 . No es certificable. a pesar de no ser obligatoria la implementación de todos los controles enumerados en dicho ane o. 6 6 5 6 I O/IEC 27002 . 4 5 . la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. agrupados en 11 dominios. verificar y actuar)y términos y definiciones que se emplean en toda la serie 27000. una introducción a los Sistemas de Gestión de Seguridad de la Información. Contiene 39 objetivos de control y 133 controles. Como se ha mencionado en su apartado correspondiente.Estánd res Normas de eguridad Informáti a I O/IEC 2700 ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo. pública o privada. para que sean seleccionados por las organizaciones en el desarrollo de sus SGSI. Tiene su origen en la BS 7799-2 2002 y es la norma con arreglo a la cual se certifican por auditores e ternos los SGSI ( Sistema de Gestión de la Seguridad de la Información) de las organizaciones. No certificable. 5 y 7) e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. grande o pequeña.Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.por ISO (International OrganizationforStandardization) e IEC (International ElectrotechnicalCommission).Publicada el 01 de Febrero de 2010. la norma ISO 27001 contiene un ane o que resume los controles de ISO 27002 2005.Es la norma principal de requisitos del sistema de gestión de seguridad de la información. enumera en forma de resumen los objetivos de control y controles que desarrolla la ISO 27002 (también denominada ISO 17799 antes del 2005). habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2.

Guía de gestión de seguridad de la información específica para la asociación mundial de loterías I O 27014 . Estas métricas se usan fundamentalmente para la medición de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. 8 I O/IEC 27006 . ampliación y renumeración de ISO 18028. I O 27013 . escenarios de redes de referencia. Es una norma consistente en 7 partes gestión de seguridad de redes. Guía de auditoría de un SGSI (Sistema de Gestión de Seguridad de Información). ISO/IEC 27011 . 8 I O 27012 . Guía de gestión de seguridad de la información específica para la industria automotriz. Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados. @ 9 8 8 8 8 8 8 7 . Guía de continuidad de negocio en cuanto a tecnologías de la información y comunicaciones. arquitectura de seguridad de redes. Es una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases para el sector específico de las Telecomunicaciones . 8 I O/IEC 27005 . Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridad de la información basada en un enfoque de gestión de riesgos. Institución británica de Estándares) a lo largo de los años con recomendaciones y guías de implantación. aseguramiento de comunicaciones en redes mediante VPNs y diseño e implementación de seguridad en redes.Publicada en Diciembre de 2008. Provendrá de la revisión.Publicada el 7 de Diciembre de 2009. I O 27032 . Establece las directrices para la gestión del riesgo en la seguridad de la información. acceso remoto. I O 27033 . aseguramiento de las comunicaciones entre redes mediante gate ays.Publicada el 4 de Junio de 2008. 8 I O 27007 . I O/IEC 27004 . Guía de gestión de seguridad de la información específica para sistemas de información en los transportes I O 27031 . Consistirá en una guía relativa a la ciberseguridad (en desarrollo).Publicada en Febrero de 2007.Tiene su origen en el ane o B de la norma BS7799-2 y en la serie de documentos publicados por BSI (British StandardsInstitution. Especifica los requisitos para la acreditación de entidades de auditoría y cer tificación de sistemas de gestión de seguridad de la información.

permite proporcionar confianza en las relaciones entre organizaciones. que se establecen en esta norma deberían elegirse y utilizarse de acuerdo con la legislación aplicable en la materia. Igualmente. Persigue proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser un practica eficaz de la gestión de la seguridad. La norma puede servir como una guía práctica para desarrollar estándares organizacionales de seguridad y practicas efectivas de la gestión de seguridad. I O 27799 . Las recomendaciones. Es un estándar de gestión de seguridad de la información en el sector sanitario aplicando ISO 17799 (actual ISO 27002). . implantar o mantener y mejorar la seguridad en una organización. Guía de seguridad en aplicaciones.I O 27034 . A A NORMA TECNICA PERUANA NTP-I O/IEC 17799 C Defini ión B Esta norma ofrece recomendaciones para realizar la gestión de seguridad de la información que pueden utilizarse por los responsables de iniciar.

Implantación de la NTP IS /IEC 17799 en las entidades del Estado. con base legal en la RESOLUCION MINISTERIAL Nº 246-2007-PCM. res ondiendo a la necesidad de asegurar la información or el uso intensivo de tecnologías como la internet y redes de datos institucionales. La su ervisión de esta esta a cargo de la Oficina Nacional del Gobierno Electrónico e Informática (ONGEI). En nuestro aís es de uso obligatorio en todas las instituciones blicas desde agosto del 2004. E FE E E E D .

seguridad. es un una estra tegia de mejora continua. aunque algunos de estos estándares aun están en desarrollo. y Un SGI cubre ambas partes de un SCI. como elemento clave de mejora continua.Con lusiones y G El ciclo de Deming. y Un SGSI recoge todas las recomendaciones del modelo de control interno del Comité de Prácticas de Auditoría. etc. de tal manera que sus estándares hacen referencia a la retroalimentación. mediante el uso de PTRs y PAOs y se ajusta al Marco Común PDCA. . y La serie ISO 27000 se basa en el ciclo PDCA. que se aplica en diferentes ámbitos calidad.

y No es necesario aplicar de manera estricta todo lo mencionado en el estándar ISO 27002.Recomendaciones y Las instituciones deben de realizar un proceso basado en el ciclo PDCA. y En los Sistema de Seguridad de Información. sino estos deben alinearse con los objetivos estraté gicos de la organización. para poder determinar los riesgos. también debe considerarse el factor humano y el rol que representa en la organización. y Las políticas de seguridad en una organización debe no solo objetivos de TI. H y ajustar los . ya que este solo solo una guía de referencia. la cual será aplicada en una organización por personas con conocimientos profundos en el tema y con vasta e periencia en el campo de seguridad y afines. resolver incidentes procedimientos o políticas de seguridad. controles.

html http //www.com/mck/Proceso_de_Mejora_continua_Kaizen.pdf http //www.htm http //www.wikipedia.org/wiki/University_of_Twente I I I I I I I I I I I I I .grupokaizen.pdf http //ebookbrowse.es/download/HowCanSecurityBeMeasured -SP.empresasandalucia.com.com/howcansecuritybemeasured-sp-pdf-d25427024 http //essay.utwente.nl/60026/1/MA_thesis_K_van_der_Leeden.proyectosfindecarrera.iso27000.mx/upload/MS-Assessment+Certification/SubjectAreas+Sectors/Information-Security/Documents/Hoja_de_producto_ISO_27001.wikipedia.com.pdf http //en.grupokaizen.pdf http //top-pdf.com/definicion/circulo-calidad.pdf http //www.com/download/circulo-de-deming-1.com/circulo-de-deming-pdca-plan-do-check-act-planificarhacer-verificar-actuar/ http //www.com/bsce/Planear_Hacer_Verificar_Actuar.iso27000.pdf http //www.Enlaces http //es.bsigroup.pdf http //www.mx/upload/MS-Assessment+Certification/SubjectAreas+Sectors/Information-Security/Documents/Folleto_ISO_27001.bsigroup.org/wiki/C%C3%ADrculo_de_Deming http //www.es/download/MSExploitation-SP.