SISTEMAS DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN - ISO 27001 Qu es Informacin?

Es un conjunto de datos acerca de algn suceso, hecho, fenmeno o situacin, que organizados en un contexto determinado tienen un significado y que tiene el propsito de reducir la incertidumbre o incrementar el conocimiento de algo. Informacin existe en diferentes formatos: Capital Humano. Impresa o escrita en papel. Dispositivos de almacenamiento (Discos, CDs, etc) Oral (telfono, mvil, etc.) Video, fotos La seguridad de informacin se caracteriza por la preservacin de: Confidencialidad Integridad Disponibilidad de la informacin Identificacin de Amenazas Tipos de Amenazas: Amenazas Humanas, Amenazas a Instalaciones, Amenazas Operacionales, Amenazas Tecnolgicas, Amenazas Naturales, Amenazas Sociales Vulnerabilidades Tipos de Vulnerabilidades: Control de Acceso, Seguridad fsica y ambiental, Gestin operaciones y comunicacin, Mantenimiento, desarrollo de Sist. de informacin, Seguridad de los recursos humanos. Seguridad de la Informacin SGSI Seguridad de la Informacin? La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada. La informacin puede estar: Impresa o escrita en papel. Almacenada electrnicamente. Trasmitida por correo o medios electrnicos Mostrada en filmes. Hablada en conversacin. Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene. Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo La informacin es un activo que, como otros activos comerciales importantes, tiene valor para la organizacin y, en consecuencia, necesita ser protegido adecuadamente. Un Sistema de Gestin de Seguridad de Informacin (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin Beneficios de la ISO 27001 Reduce el riesgo de prdida, robo o corrupcin de informacin. Permite establecer una metodologa de gestin de la seguridad clara

Mejora la imagen de la empresa, diferencindose con respecto a la competencia. Permite a la empresa ganar cuota de mercado gracias a la confianza que genera entre los clientes y socios estratgicos. Permite continuar con las operaciones necesarias tras incidentes de gravedad. Permite a la empresa medir la eficacia de su sistema de gestin de acuerdo con normas nacionales e internacionales a travs de la certificacin de terceros.

Gestin Seguridad Informacin ISO-27001:2005. Modelo Preventivo Requerimientos y expectativas de la seguridad de informacin seguridad de informacin administrativa Planificar, actuar, revisar, hacer Planificar. Definir el enfoque de evaluacin del riesgo de la organizacin. Establecer metodologa de clculo del riesgo. Establecer criterios de aceptacin del riesgo y niveles de aceptacin del mismo. Identificar los riesgos asociados al alcance establecido. Analizar y evaluar los riesgos encontrados. Identificar y evaluar las opciones de tratamiento de los riesgos. Aplicar controles. Aceptarlo de acuerdo a los criterios de aceptacin. Evitarlo. Transferirlo. Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. Obtener la aprobacin de la gerencia para los riesgos residuales e implementar el SGSI. Preparar el Enunciado de Aplicabilidad. Hacer. Plan de tratamiento del riesgo. Implementar el plan de tratamiento del riesgo. Implementar controles seleccionados. Definir la medicin de la efectividad de los controles a travs de indicadores de gestin. Implementar programas de capacitacin. Manejar las operaciones y recursos del SGSI. Implementar procedimientos de deteccin y respuesta a incidentes de seguridad. Revisar. Procedimientos de monitoreo y revisin para: Detectar oportunamente los errores. Identificar los incidentes y violaciones de seguridad. Determinar la eficacia del SGSI. Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. Determinar efectividad de las acciones correctivas tomadas para resolver una violacin de seguridad. Realizar revisiones peridicas.

Medicin de la efectividad de los controles. Revisar las evaluaciones del riesgo peridicamente y revisar el nivel de riesgo residual aceptable. Realizar auditoras internas al SGSI. Realizar revisiones gerenciales. Actualizar los planes de seguridad a partir de resultados del monitoreo. Registrar las acciones y eventos con impacto sobre el SGSI. Actuar. Implementar las mejoras identificadas en el SGSI. Aplicar acciones correctivas y preventivas de seguridad al SGSI. Comunicar los resultados y acciones a las partes interesadas.

Asegurar que las mejoras logren sus objetivos sealados Seguridad de la Informacin SGSI Mantenimiento y mejora del SGSI (Act) Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI. Medir el desempeo del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestin (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas. Estructura de la Documentacin Requerida

Factores Claves de xito en la Implementacin de un SGSI Poltica de seguridad documentada y alineada con los objetivos del negocio. Apoyo y participacin visible de la alta gerencia. Entendimiento de los requerimientos de seguridad, evaluacin y gestin de los riesgos asociados. Compatibilidad con la cultura organizacional.

Entrenamiento y educacin.

MAGERIT

RIESGO: estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos o perjuicios a la organizacin. ANLISIS DE RIESGOS: proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin. Sabiendo lo que podra pasar, hay que tomar decisiones. GESTIN DE RIESGOS: seleccin e implementacin de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. OBJETIVOS MAGERIT 1. Concienciar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo. 2. Ofrecer un mtodo sistemtico para analizar tales riesgos. 3. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo Control. 4. Apoyar la preparacin a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso. Conclusiones Hoy en da las organizaciones dependen en gran medida de su tecnologa y sus activos de informacin. Por lo anterior, impera una proteccin adecuada a las informaciones importantes. Seguridad no es un producto, es un proceso que debe ser administrado. Nada es esttico, la seguridad no es la excepcin. Mejora continua. Seguridad total no existe, pero s existe la garanta de calidad en un proceso de seguridad.