Scribd Logo
Importer

Bienvenue sur Scribd !

  • Implantacion Sistema de Gestion de Seguriodad (Recuperado)

    Transféré par

    Eduardo Roncal Cotrina
    26 vues2 pages
    Este documento describe el proceso de implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el estándar ISO 27001 a través del ciclo PDCA. Explica que primero se debe establecer una política de seguridad, identificar los procesos y activos, realizar un análisis y evaluación de riesgos, y luego tratar los riesgos mediante la reducción, evitación, transferencia o aceptación.

    Description originale:

    Copyright

    © © All Rights Reserved

    Formats disponibles

    DOCX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    Este documento describe el proceso de implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el estándar ISO 27001 a través del ciclo PDCA. Explica que primero se debe establecer una política de seguridad, identificar los procesos y activos, realizar un análisis y evaluación de riesgos, y luego tratar los riesgos mediante la reducción, evitación, transferencia o aceptación.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    26 vues2 pages

    Implantacion Sistema de Gestion de Seguriodad (Recuperado)

    Transféré par

    Eduardo Roncal Cotrina
    Este documento describe el proceso de implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el estándar ISO 27001 a través del ciclo PDCA. Explica que primero se debe establecer una política de seguridad, identificar los procesos y activos, realizar un análisis y evaluación de riesgos, y luego tratar los riesgos mediante la reducción, evitación, transferencia o aceptación.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 2

    Proceso de implantacin de un Sistema de Gestin de

    Seguridad de la Informacin

    Roncal Cotrina, Luis Eduardo
    Universidad Nacional de Cajamarca, Gestin de Riegos y Seguridad de
    Informacin

    "El presente documento analizar como es el
    proceso de la implantacin de un Sistema de
    Gestin de Seguridad de la Informacin
    basado en el estndar ISO 27001:2005
    1. Introduccin
    El Sistema de Gestin de Seguridad de la
    Informacin es el concepto central sobre
    el que se construye ISO 27001.
    La gestin de la seguridad de la
    informacin debe realizarse mediante un
    proceso sistemtico, documentado y
    conocido por toda la organizacin.
    El propsito de un sistema de gestin de
    la seguridad de la informacin es, por
    tanto, garantizar que los riesgos de la
    seguridad de la informacin sean
    conocidos, asumidos, gestionados y
    minimizados por la organizacin de una
    forma documentada, sistemtica,
    estructurada, repetible, eficiente y
    adaptada a los cambios que se produzcan
    en los riesgos, el entorno y las
    tecnologas.
    2. Implementacin de un SGSI
    Para establecer y gestionar un Sistema de
    Gestin de la Seguridad de la Informacin
    en base a ISO 27001, se utiliza el ciclo
    continuo PDCA, tradicional en los
    sistemas de gestin de la calidad.
    Plan (planificar): establecer el SGSI.
    Do (hacer): implementar y utilizar el
    SGSI.
    Check (verificar): monitorizar y revisar
    el SGSI.
    Act (actuar): mantener y mejorar el
    SGSI.

    Figura 1. Clusulas de la Norma ISO 27001
    distribuidas en Ciclo de Deming.
    Cuando se comienza con la
    implementacin siguiendo el ciclo primero
    se debe establecer una poltica de
    seguridad de la informacin acorde a las
    caractersticas del negocio, organizacin,
    activos, regulaciones y tecnologa
    2.1. Identificacin los procesos y
    tasacin de activos.
    La identificacin de procesos dentro
    del alcance constituye un pilar
    fundamental para el enfoque del
    SGSI.Para una organizacin donde no
    exista una cultura de procesos o
    simplemente no se los tiene
    identificado es recomendable primero
    realizar un correcto levantamiento de
    procesos antes de avanzar con la
    implantacin del SGSI.
    2.2. Anlisis y evaluacin del riesgo.
    Definir una metodologa de evaluacin
    del riesgo apropiada para el SGSI y
    los requerimientos del negocio,
    adems de establecer los criterios de
    aceptacin del riesgo y especificar los
    niveles de riesgo aceptable. Lo
    primordial de esta metodologa es que
    los resultados obtenidos sean
    comparables y repetibles y tambin
    poder conocer cules son los activos
    de informacin que tienen mayor
    exposicin por lo tanto saber a dnde
    enfocar los recursos de la
    organizacin.
    Para poder identificar a los activos:
    - identificar las amenazas en
    relacin a los activos;
    - identificar las vulnerabilidades que
    puedan ser aprovechadas por
    dichas amenazas;
    - identificar los impactos en la
    confidencialidad, integridad y
    disponibilidad de los activos.
    2.3. Analizar y Evaluar los riesgos
    evaluar el impacto en el negocio de
    un fallo de seguridad que suponga la
    prdida de confidencialidad, integridad
    o disponibilidad de un activo de
    informacin;
    evaluar de forma realista la
    probabilidad de ocurrencia de un fallo
    de seguridad en relacin a las
    amenazas, vulnerabilidades, impactos
    en los activos y los controles que ya
    estn implementados;
    estimar los niveles de riesgo;
    determinar, segn los criterios de
    aceptacin de riesgo previamente
    establecidos, si el riesgo es aceptable
    o necesita ser tratado.
    El riesgo tiene 4 opciones de
    tratamiento que son:
    - Reducir el riesgo, con la aplicacin
    de contramedidas o salvaguardas
    especificadas controles del Anexo A
    de la norma.
    - Evitar el riesgo, dejando de realizar
    la actividad que produce el riesgo.
    - Transferir el riesgo, a un tercero
    como por ejemplo una aseguradora
    o una tercerizacin de servicios.
    - Aceptar el riego, que consiste en
    asumir la responsabilidad de correr
    dicho riesgo.
    La opcin de aceptacin de un riesgo
    deber ser aprobada formalmente por la
    direccin de la compaa, en la
    mayora de casos se presenta esta
    situacin cuando el control necesario
    de implantar tiene un valor econmico
    mayor que el mismo activo.
    2.4.
    Referencias
    [1] http://www.iso27000.es/sgsi.html
    [2] Implementacin del Primer Sistema de
    Gestin de Seguridad de la
    Informacin, en el Ecuador, Certificado
    bajo la Norma
    ISO27001:2005:
    https://www.dspace.espol.edu.ec/bitstrea
    m/123456789/8080/1/Implementaci%C3%
    B3n%20del%20primer%20Sistema%20de
    %20Gesti%C3%B3n%20de%20Seguridad
    %20de%20la%20Informaci%C3%B3n.pdf

    Vous aimerez peut-être aussi