Un Sistema de Gestión de Seguridad para la Información basado en ISO 27001

3. ¿SEGURIDAD
DE LA INFORMACIÓN?

4. La información es un activo que como
otros activos tiene valor y requiere de una
protección adecuada.
• La información puede estar:
• Impresa
• En tableros acrílicos
• Digitalmente
• Transmitida a través de medios
electrónicos como el correo
• Hablada
• Videos
OBJETIVOS DE LA SEGURIDAD:
• CONFIDENCIALIDAD.
• DISPONIBILIDAD.
• INTEGRIDAD DE LA INFORMACIÓN.

5. PROTEGER LA INFORMACION DE QUE?
AMENAZA:
(Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual
puede causar el daño a un sistema o la organización. (ISO27001)
ESTAS AMENAZAS pueden EXPLOTAR VULNERABILIDADES (Inglés: Vulnerability).
Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza
afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser
explotado por una amenaza. (www.iso27001.es)

6. • Inadecuado compromiso de la dirección.
• Personal inadecuadamente capacitado y concienciado.
• Inadecuada asignación de responsabilidades.
• Ausencia de políticas / procedimientos.
• Ausencia de controles
Físicos / lógicos
Disuasivos / preventivos / detectivos / correctivos
• Ausencia de reportes de incidentes y vulnerabilidades.
• Inadecuado seguimiento y monitoreo de los controles
Por mencionar algunas vulnerabilidades

7. ¿CUAL ES EL RIESGO? (Inglés: Risk).
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño en un activo de información.
Según [ISO Guía73:2002]: combinación de la probabilidad de un evento
y sus consecuencias. (www.iso27001.es)

8. ALGUNOS INCIDENTES DE SEGURIDAD
Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la información
inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del
negocio y amenazar la seguridad de la información. (www.iso27001.es)
Puede ser causado por:
• Una falta en algún mecanismo de seguridad.
• Un intento o amenaza (concreta o no) de romper mecanismos de seguridad, etc.
Interceptación → afecta CONFIDENCIALIDAD
DdoS
AFECTA A LA DIPOSNIBILIDAD
INCIDENTE DE SEGURIDAD

9. MODIFICACION INFORMACION:
ATENTA CONTRA LA INTEGRIDAD

10. SGSI = “SISTEMA DE GESTION PARA LA SEGURIDAD DE LA INFORMACION”(Inglés: ISMS).
Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]: la parte de un sistema
global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa,
mantiene y mejora la seguridad
de la información. (Nota: el sistema de gestión incluye una estructura de organización, políticas,
planificación de actividades, responsabilidades, procedimientos, procesos y recursos.)
Tomado de http://www.iso27000.es
¿QUE ES UN SISTEMA DE GESTION DE SEGURIDAD?

11. CUALES SON LOS BENEFICIOS DE TENER UN SGSI?
1) Permite definir una política interna que fije metas u objetivos y el compromiso de lograr un alto nivel de desempeño,
cumpliendo con todos los requisitos legales, encaminados a la mejora continua, tendiendo a proveer los recursos adecuados
y apropiados para implementarla política trazada.
2) Incorpora el concepto de “competencia” y se establece la necesidad de evaluar la efectividad y eficiencia del personal para
las tareas asignadas.
3) Induce y fomenta la formación y capacitación del personal en su área.
4) Concienciar al personal de la relevancia e importancia de sus actividades y de cómo esta contribuye a la consecución
de los objetivos de la organización.
5) Obliga a la ejecución de programas y planificación de las actividades por período, como también la verificación y seguimiento de
las mismas, permitiendo definir recursos necesarios, económicos y de RRHH de manera clara.
6) Permite una clara comunicación tanto entre las diferentes unidades de negocio como con los clientes y proveedores.
7) Permite el seguimiento o trazabilidad de la información y del trabajo elaborado. Debiendo establecer los métodos para obtener
y utilizar dicha información.
8 ) Permite medir los objetivos trazados, mediante indicadores previamente definidos.
9) Todo cambio dentro de la organización, procedimiento o proceso involucra un ciclo de mejora continua.

12. ¿POR QUÉ ISO 27001?
Porque es un estándar internacional para
la gestión de la seguridad de la información
y CERTIFICABLE para las compañías.
Cada vez más las organizaciones de clase
mundial están incluyendo en sus agendas
corporativas la seguridad de la información
como estrategia de negocios que genera valor
para sus clientes, ya que su pérdida ocasiona
un impacto en la organización que puede ser
de tipo económico, legal, financiero
o de reputación.

13. TECNOOUTSOURCING diseña e implementa modelos de seguridad adaptados a sus necesidades
mediante estándares internacionales y la inclusión de buenas prácticas de T.I.
CONTACTO:
Ing. Gloria Stella Viveros Muriel
e-mail: info@tecnooutsourcing.co
www.tecnooutsourcing.co
blog.tecnooutsourcing.co
Tel. (571) 80678 75
Cel. 3112674069
Bogotá, D.C - Colombia