PRESENTADO POR: HEIDY GISSEL VILLATORO ORELLANA /20132007560
ING. GUILLERMO BRAND
SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
UNAH-VS / INFORMATICA ADMINISTRATIVA / ADMINISTRACIÓN PÚBLICA Y POLÍTICA INFORMÁTICA

SGSI
• El sistema de gestión de seguridad de la
información (SGSI) es la parte del sistema de
gestión de la empresa, basado en un enfoque de
riesgos del negocio, para:
• Establecer,
• Implementar,
• Operar,
• Monitorear,
• Mantener y mejorar la seguridad de la
información.
• Incluye.
• Estructura, políticas, actividades, responsabilidades,
prácticas, procedimientos, procesos y recueros.

La seguridad de información se caracteriza por la
preservación de:
SEGURIDAD DE LA INFORMACIÓN
INTEGRIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD DE
INFORMACIÓN

Planificar /Hacer /Verificar /Actuar
• Para establecer, implementar, monitorear y mejorar El
SGSI adopta el siguiente modelo:
PHVA
Planificar
Verificar
Hacer
Actuar
Definir la política de seguridad
Establecer el alcance del SGSI
Realizar los análisis de riesgos
Seleccionar los controles
Implantar el plan de gestión de
riesgos
Implantar el SGSI
Implantar los controles.
Implantar
indicadores.
Revisiones del SGSI por
parte de la Dirección.
Realizar auditorías internas
del SGSI
Adoptar acciones correctivas
Adoptar acciones preventivas

CUERPO PRINCIPAL DE LA NORMA:
Sistema de gestión de la seguridad de la información.
Responsabilidad de la dirección.
Auditorías internas del SGSI
Revisión del SGSI por la dirección.
Mejora del SGSI

NIVELESDEDOCUMENTACIÓNENELSISTEMA
• Políticas, que proporcionan las guías generales de actuación en
cada caso.
• Procedimientos, que dan las instrucciones para ejecutar cada
una de las tareas previstas.
• Registros, que son las evidencias de que se han llevado a cabo
las actuaciones establecidas.
POLITICAS
PROCEDIMIENTOS
REGISTROS

DOCUMENTACIÓNREQUERIDAPARA
ESTABLECERLA NORMA
Política de seguridad: Contendrá las directrices
generales a las que se ajustará la organización en cuanto
a seguridad, así como la estrategia a seguir a la hora de
establecer objetivos y líneas de actuación.
Inventario de activos: Detallar los activos dentro del
alcance del SGSI, así como los propietarios y la
valoración de tales activos.
Análisis de riesgos: Con los riesgos identificados
basándose en la política de la organización .

Nota: Las decisiones de la dirección respecto a los
riesgos identificados, así como la aprobación de los
riesgos residuales.
Documento de aplicabilidad: La relación de los
controles que son aplicables para conseguir el nivel de
riesgo residual aprobado por la dirección.

Definición de la política de seguridad
IDENTIFICAR LOS ACTIVOS
Definición del enfoque del análisis
IDENTIFICAR LOS RIESGOS
ANALISAR LOS RIESGOS
Definición del
alcance
TRATAR LOS RIESGOS
ESTABLECER
EL SGSI

Establecimiento del SGSI:
Definición del alcance
•Hay que evaluar los
recursos que se
pueden dedicar al
proyecto y si
realmente es preciso
abarcar toda la
organización.
Definición de la
política de seguridad
• Decidir qué criterios
se van a seguir,
estableciendo las
principales líneas de
acción que se van a
seguir para que la
confidencialidad, la
integridad y la
disponibilidad queden
garantizadas.
Definición del
enfoque del análisis
de riesgos
•El análisis de riesgos
determinará las
amenazas y
vulnerabilidades de los
activos de información
previamente
inventariados.

Identificación de los activos de
información
•El SGSI va a proteger los activos
que queden dentro del alcance
definido, por eso es vital listarlos
todos, lo cual no significa que
haya que detallar cada
componente de los sistemas de
información y cada documento
que se maneje en la empresa,
pero si es indispensable identificar
que activos son los que soportan
los procesos de la organización.
Escoger la metodología del
análisis de riesgos
•Identificar los riesgos que
pueden afectar a la organización y
a sus activos de información. Hay
que saber cuales son los peligros a
los que se enfrenta la empresa, los
puntos débiles, para poder
solucionar de manera efectiva los
problemas, insistiendo con mas
recursos y esfuerzos en los temas
que mas lo necesitan.

TRATAMIENTO DE LOS RIESGOS:
Mitigar el riesgo
•Mediante la
implementación de
controles que
disminuyan el riesgo
hasta un nivel
aceptable.
Asumir el riesgo
•La dirección tolera el
riesgo, ya que esta por
debajo de un valor de
riesgo asumible o bien
porque no se puede
hacer frente
razonablemente a ese
riesgo.
Transferir el riesgo
a un tercero
•Asegurando el
activo que tiene el
riesgo o
subcontratando el
servicio.

Eliminar el riesgo
•Aunque no
suele ser la
opción mas
viable, ya que
puede resultar
complicado o
costoso.
Transferir el riesgo a
un tercero
•La norma especifica
que los controles
deben ser
seleccionados de
entre los listados en
el anexo A de la
propia norma, es
decir, los que la
Norma UNE-ISO/IEC
27002 contiene.
Gestión de riesgos:
• El valor del riesgo
obtenido será el
riesgo actual, en
función del que se
determina el riesgo
asumible por la
organización, y se
deciden las nuevas
estrategias y
acciones para
reducir los riesgos
que estén por
encima de ese valor

LA PREPARACIÓNDE UNADECLARACIÓN
DE APLICABILIDADDEBE INCLUIR
Los objetivos de control y los controles seleccionados, con las
razones de esta selección.
Los objetivos de control y los controles actualmente
implementados, con una justificación.
La exclusión de cualquier control objetivo del control y de
cualquier control en el anexo A y la justificación para dicha
exclusión.

Implementación y
puesta en marcha
del SGSI
•Para poner en
marcha el SGSI la
dirección tiene que
aprobar la
documentación
desarrollada en las
actividades
detalladas en el
punto anterior.
Control y revisión
del SGSI
•Forma parte de la
fase del Check
(comprobar) del
ciclo PDCA. Hay que
controlar y revisar el
SGSI de manera
periódica para
garantizar la
conveniencia,
adecuación y eficacia
continuas del
sistema.
Mantenimiento y
mejora del SGSI
•Un sistema de
gestión debe
mantenerse y
mejorarse en lo
posible para que
resulte efectivo. El
mantenimiento
incluye el detectar
mejoras e
implementarlas.

REQUISITOS DE LA DOCUMENTACIÓN
Generalidades
El SGSI debe
contar con la
documentació
n necesaria
que justifique
las decisiones
de la dirección,
las políticas y
las acciones
tomadas.
Controldedocumentos
Los documentos
requeridos por el
SGSI deben
hallarse
protegidos y
controlados, por
lo que se precisan
unos
procedimientos
de control de
documentación,
de revisión y de
registro.
Controlderegistros
Los registros son
aquellos
documentos que
proporcionan
evidencia de la
realización de
actividades del
SGSI. Con ellos se
puede verificar el
cumplimiento de
los requisitos.

Compromisodeladirección
Uno de los
requisitos
fundamentales
para poner en
marcha un
SGSI es contar
con el
compromiso
de la dirección.
Gestióndelosrecursos
Hay que contar
con las
diversas tareas
que implica el
funcionamient
o, la
verificación y
la mejora del
sistema.
Formación
La norma exige
que todos los
trabajadores
con
responsabilida
des definidas
en el SGSI sean
competentes
para efectuar
las actividades
necesarias.

Auditoríasinternas
Una de las
herramientas mas
interesantes para
controlar el
funcionamiento
del SGSI son las
auditorias
internas. Estas
auditorias deben
programarse y
prepararse
regularmente,
normalmente una
vez al año.
Revisiónporladirección
La dirección
debe revisar el
SGSI de
manera
periódica para
garantizar la
conveniencia,
adecuación y
eficacia
continuas del
sistema.
Mejoracontinua
La mejora
continua es una
actividad
recurrente para
incrementar la
capacidad a la
hora de cumplir
los requisitos. El
proceso mediante
el cual se
establecen
objetivos y se
identifican
oportunidades de
mejora es
continuo.

La acción correctiva se define como la tarea que se
emprende para corregir una no conformidad
significativa con cualquiera de los requisitos del sistema
de gestión de seguridad de la información.
ACCIÓN
CORRECTIVA
ACCIÓN
PREVENTIVA
ACCIONES DE LA
MEJORA
CONTINUA
Las acciones preventivas se aplican para evitar la aparición de futuras no
conformidades. Son acciones encaminadas a eliminar la causa de una
posible no conformidad.

LA SEGURIDAD TOTAL NO EXISTE, PERO SÍ
EXISTE LA GARANTÍA DE CALIDAD EN UN
PROCESO DE SEGURIDAD
SGSI