Upload File

02 - implementación del sistema de gestion de la seguridad de la informacion

  • Home
  • Documents
  • 02 - Implementación Del Sistema de Gestion de La Seguridad de La Informacion
Download 02 - Implementación Del Sistema de Gestion de La Seguridad de La Informacion

If you can't read please download the document

Upload: vigudi

Post on 25-Dec-2015

7 views

Category:

Documents


2 download

Report

Tags:

TRANSCRIPT

  • Para establecer y gestionar un SGSI se utiliza el ciclo continuo PDCA.

    El ciclo PDCA, tambin conocido como de es una estrategia de mejora continua de

    la calidad en cuatro pasos (Walter A. Shewhart*), tradicional en los sistemas de gestin de calidad

    * : W. Edwards Deming, padre del concepto Calidad Total

    ** : Padre del control estadstico de la calidad

  • El ciclo PDCA tambin es conocido como espiral de mejora continua.

    Plan (planificar): establecer el SGSI.

    Do (hacer): implementar y utilizar el SGSI.

    Check (verificar): control y seguimiento del SGSI.

    Act (actuar): mantener y mejorar el SGSI.

  • Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin.

  • Definir una poltica de seguridad que: incluya el marco general y los objetivos de seguridad de la informacin de la organizacin;

    considere requerimientos legales o contractuales relativos a la seguridad de la informacin;

    est alineada con el contexto estratgico de gestin de riesgos (GPTI) de la organizacin en el que se establecer y mantendr el SGSI;

    establezca los criterios con los que se va a evaluar el riesgo (relativos a la seguridad); mtricas cuantitativas o cualitativas;

    establezca los procesos a seguir si un riesgo ocurre.

    est aprobada por la direccin.

    Establezca los sistemas de comunicacin para las polticas se difundan en la organizacin y as sean conocidas por todos.

  • Definir una metodologa de evaluacin del riesgo alineada a los requerimientos del negocio, que establezca los criterios de aceptacin del riesgo y especifique los niveles de riesgo aceptable para el SGSI. Lo resultados de la metodologa adoptada, que puede ser estndar o propia, deben ser comparables y repetibles.

  • Identificar los riesgos:

    identificar los activos junto con sus responsables directos que estn dentro del alcance del SGSI;

    identificar las amenazas a los activos;

    identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas;

    identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.

  • Analizar y evaluar los riesgos:

    evaluar el impacto en el negocio en relacin a la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin;

    Estimar y evaluar la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados;

    estimar los niveles de riesgo;

    determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

  • Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

    aplicar controles adecuados;

    aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos;

    Evitar y/o mitigar el riesgo, por ejemplo, no realizar la actividad que genera el riesgo

    transferir el riesgo a terceros, por ejemplo, transferir el riesgo a compaas aseguradoras o proveedores de outsourcing.

  • Seleccionar los objetivos de control y los controles del para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo.

    Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI.

  • Definir una declaracin de aplicabilidad que incluya:

    los objetivos de control y controles seleccionados y los motivos para su eleccin;

    los objetivos de control y controles que actualmente ya estn implantados;

    los objetivos de control, controles y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias.

  • Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin.

    Implantar el plan de tratamiento de riesgos, para alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades.

    Implementar los controles seleccionados que lleven a cumplir los objetivos de control.

  • Definir mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles.

    Establecer plan de comunicacin y programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal.

    Gestionar las operaciones del SGSI.

  • Gestionar los recursos necesarios asignados al SGSI para el mantenimiento y mejora continua de la seguridad de la informacin.

    Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad.

  • Ejecutar procedimientos de monitorizacin y revisin para:

    detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin (uso de mtricas);

    identificar brechas e incidentes de seguridad;

    ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto;

    detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;

    determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

  • Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.

    Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.

  • Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.

  • Realizar peridicamente auditoras internas del SGSI en intervalos planificados.

    Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.

    Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin.

    Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.

  • Implantar en el SGSI las mejoras identificadas.

    Realizar las acciones preventivas y correctivas adecuadas en relacin a las lecciones aprendidas de las experiencias propias y de otras organizaciones.

    Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.

    Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.

  • PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Actuar lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases.

    Sin embargo no tiene que haber una secuencia estricta de las fases.

  • El xito de un Sistema de Gestin de Seguridad depende del grado de involucramiento de la gerencia o direccin de la organizacin.

    Desde un principio el SGSI afecta a la gestin del negocio y requiere, por tanto, de decisiones y acciones que slo puede tomar la gerencia de la organizacin.

    No se debe caer en el error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada a niveles inferiores del organigrama.

  • El trmino Direccin debe contemplarse siempre desde el punto de vista del alcance del SGSI. Es decir, se refiere al nivel ms alto de gerencia de la parte de la organizacin afectada por el SGSI

    NOTA: El alcance no tiene por qu ser toda la organizacin.

  • La direccin de la organizacin debe comprometerse con el establecimiento, implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del SGSI.

    Para ello, debe tomar las siguientes iniciativas (1):

    Establecer una poltica de seguridad de la informacin.

    Asegurarse de que se establecen objetivos y planes del SGSI.

    Establecer roles y responsabilidades de seguridad de la informacin.

  • DEFINICION DE PROBLEMAS:

    - 7 sombreros

    - Diagrama de ishikawa (cola de pez)

    - Mapas mentales.

  • Para ello, debe tomar las siguientes iniciativas (2):

    Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad de la informacin y de cumplir con la poltica de seguridad, como sus responsabilidades legales y la necesidad de mejora continua.

    Asignar suficientes recursos para llevar a cabo todas las fases que comprenden al SGSI.

    Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.

    Asegurar que se realizan auditoras internas.

    Realizar revisiones del SGSI.

  • Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignacin de recursos.

    Es responsabilidad de la direccin garantizar que se asignan los suficientes para (1):

    Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI.

    Garantizar que los procedimientos de seguridad de la informacin apoyan los requerimientos de negocio.


Mattelart Armand Historia de La Sociedad de La Informacion Copia

Tecnología de la Informacion

Gestion basica de la informacion aula virtual

MANUAL POLITICAS DE SEGURIDAD DE LA INFORMACION

Alteracion de la informacion genetica

7. Plan Analisis de La Informacion Corregio

1.- La Era de La Informacion

Clase tecnologia de la informacion edicion de video

Www.redhum.org La Red de Informacion Humanitaria (Redhum)

Manuel Castells- La Era de La Informacion

LA INFORMACION FINANCIERA PAR LA TOMA DE DECISIONES

TECNOLOGIAS DE LA INFORMACION

Medicion de la Sociedad de la Informacion

Seguridad De la Informacion

Digitales codificacion de la informacion

GESTION BASICA DE LA INFORMACION

PLAN DE CONTINGENCIAS Y SEGURIDDA DE LA INFORMACION

Mejores Practicas de Seguridad de la Informacion

La búsqueda de informacion en la red

Sistemas de informacion en la cadena de suministros

1.1. La Documentacion Como Fuente de Informacion

Tecnologia de La Informacion y La Comunicacion

Los Costos de la Informacion

Australia sociedad de la informacion carlos

NUEVAS TECNOLOGIAS DE LA INFORMACION Y LA COMUNICACION

Informacion de La Empresa y El Programa

Unidades de la informacion

Teoria de la Informacion y Codificación - cartagena99.com · - TEORIA DE LA INFORMACION Y CODIFICACION . Se ha alcanzado esta simplicidad limitando la generalidad mate- mática de

Evaluacion De La Informacion Scopus

Folleto Cs de La Informacion

Gestion basica de la informacion

TECNOLOGIA DE LA INFORMACION Y LA COMUNICACION EN CHILE:

Soc de la informacion en epm

Tecnologias de la informacion 1

Seguridad Trabajo de La Informacion Blogeer