SlideShare una empresa de Scribd logo

Politicas

Descargar como PPTX, PDF
J
Jannina Lamber

ISO 27001

Tecnología
1 de 15
Norma UNE-ISO/IEC 27001 En Seguridad en Sistemas de Información Ing. Guillermo Brand Presentado por: Jannina Lamber
Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las tareas que se realizan. • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran.
Requisitos generales del sistema de gestión de la seguridad • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorias internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI. El sistema constara de una documentación en varios niveles. Políticas, que proporcionan las guías generales de actuación en cada caso. Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas. Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas.
Establecimiento y gestión del SGSI • Definición del alcance del SGSI: Procesos por los cuales se va a actuar y evaluar los recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para alcanzar el éxito. • Política de Seguridad: Contendrá las directrices generales, la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. • Inventario de activos: Detallara los activos dentro del alcance del SGSI, así como los propietarios y la valoración. • Análisis de riesgos: Se basan en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección: respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad: con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
• Metodología del análisis de riesgos: Los resultados deben ser comparables y repetibles adaptándose a los modos de trabajo de la organización. • Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos mediante la implementación de controles hasta un nivel aceptable. • Selección de controles: Especifica que los controles deben ser seleccionados de entre los listados de la propia norma UNE-ISO/IEC 27002. • Gestión de Riesgos: Una vez seleccionados los controles que repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas. • Declaración de aplicabilidad: Debe incluir los objetivos de control y los controles seleccionados con las razones de esta selección. • Implementación y puesta en marcha del SGSI: La dirección tiene que aprobar la documentación desarrollada en las actividades detalladas y proveer los recursos necesarios para ejecutar las actividades.
• Control y revisión del SGSI: Controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. • Mantenimiento y mejora del SGSI: Los cambios en la organización impactaran en los niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan el nivel de seguridad en un nivel aceptable.
Requisitos de documentación El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
Control de documentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de egistros son el libro de visitas, los informes de auditorías y los logs de los sistemas. Compromiso de la dirección Establecer la política del SGSI y asegurar que se establezcan los objetivos y planes del SGSI. Así como asignar los roles y las responsabilidades para la seguridad de la información.
Gestión de los recursos La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades (por ejemplo, la contratación de personal competente). Auditorias Internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Debe existir un procedimiento documentado que defina las responsabilidades y los requisitos para planificar y dirigir las auditorias, para informar de los resultados y para mantener los registros.
Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. Entradas a la Revisión Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora.
Salida de la Revisión La revisión, aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI, debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora continua del sistema. Mejora Continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Acción Correctiva La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información.
Acción Preventiva Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. En una acción preventiva se determina la posible fuente de problemas con el objeto de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto que es más eficaz y sencillo prevenirlos que solucionarlos. Pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.

Recomendados

Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 

Recomendados

Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Sisstema de gestión iso
Sisstema de gestión isoSisstema de gestión iso
Sisstema de gestión iso
Virtualización Distancia Empresas
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.
Control Interno
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestion
jorge
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
SENA810561
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listo
maricelcc
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Sistema de auditorias
Sistema de auditoriasSistema de auditorias
Sistema de auditorias
Miza9304
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
Valle Magico
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Diego Cueva Córdova
 
Estandares de auditoria
Estandares de auditoriaEstandares de auditoria
Estandares de auditoria
Bilkys
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
jAzMi_N
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Dorispq1989
 
Principios y normas de la auditoria
Principios y normas de la auditoria Principios y normas de la auditoria
Principios y normas de la auditoria
DeymileeRocca
 
Iso norma iso 55001 v 2020
Iso norma iso 55001 v 2020 Iso norma iso 55001 v 2020
Iso norma iso 55001 v 2020
Primala Sistema de Gestion
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 

Más contenido relacionado

La actualidad más candente

Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
SENA810561
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Sistema de auditorias
Sistema de auditoriasSistema de auditorias
Sistema de auditorias
Miza9304
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
jAzMi_N
 

La actualidad más candente (20)

Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Sisstema de gestión iso
Sisstema de gestión isoSisstema de gestión iso
Sisstema de gestión iso
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.Modulo III: La supervisión componente de control en la empresa.
Modulo III: La supervisión componente de control en la empresa.
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestion
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listo
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Sistema de auditorias
Sistema de auditoriasSistema de auditorias
Sistema de auditorias
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓNAUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
AUDITORIAS DE SISTEMAS INTEGRADOS DE GESTIÓN
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Estandares de auditoria
Estandares de auditoriaEstandares de auditoria
Estandares de auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Modelo coco
Modelo cocoModelo coco
Modelo coco
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Principios y normas de la auditoria
Principios y normas de la auditoria Principios y normas de la auditoria
Principios y normas de la auditoria
 
Iso norma iso 55001 v 2020
Iso norma iso 55001 v 2020 Iso norma iso 55001 v 2020
Iso norma iso 55001 v 2020
 

Similar a Politicas

Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
Gladisichau
 
Sistema de-gestion de seguridad y salud ocupacional
Sistema de-gestion de seguridad y salud ocupacionalSistema de-gestion de seguridad y salud ocupacional
Sistema de-gestion de seguridad y salud ocupacional
Erika Ruiz
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 

Similar a Politicas (20)

Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Iso27001
Iso27001Iso27001
Iso27001
 
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfNORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
 
Diapo politicas
Diapo politicasDiapo politicas
Diapo politicas
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
 
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsasSistema de gestion de seguridad y salud laboral - ocupacional- ohsas
Sistema de gestion de seguridad y salud laboral - ocupacional- ohsas
 
Sistema de-gestion de seguridad y salud ocupacional
Sistema de-gestion de seguridad y salud ocupacionalSistema de-gestion de seguridad y salud ocupacional
Sistema de-gestion de seguridad y salud ocupacional
 
Sistema de-gestion de-seguridad y salud-ocupacional
Sistema de-gestion de-seguridad y salud-ocupacionalSistema de-gestion de-seguridad y salud-ocupacional
Sistema de-gestion de-seguridad y salud-ocupacional
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Sgsi
SgsiSgsi
Sgsi
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (12)

investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Politicas

  • 1.
  • 2. Norma UNE-ISO/IEC 27001 En Seguridad en Sistemas de Información Ing. Guillermo Brand Presentado por: Jannina Lamber
  • 3. Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye tanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. Es decir, tanto la documentación de soporte como las tareas que se realizan. • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran.
  • 4.
  • 5.
  • 6. Requisitos generales del sistema de gestión de la seguridad • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorias internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI. El sistema constara de una documentación en varios niveles. Políticas, que proporcionan las guías generales de actuación en cada caso. Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas. Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas.
  • 7. Establecimiento y gestión del SGSI • Definición del alcance del SGSI: Procesos por los cuales se va a actuar y evaluar los recursos que se pueden dedicar al proyecto y la dimensión correcta del proyecto para alcanzar el éxito. • Política de Seguridad: Contendrá las directrices generales, la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. • Inventario de activos: Detallara los activos dentro del alcance del SGSI, así como los propietarios y la valoración. • Análisis de riesgos: Se basan en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección: respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad: con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
  • 8. • Metodología del análisis de riesgos: Los resultados deben ser comparables y repetibles adaptándose a los modos de trabajo de la organización. • Tratamiento de los riesgos: Se deben mitigar (disminución) los riesgos mediante la implementación de controles hasta un nivel aceptable. • Selección de controles: Especifica que los controles deben ser seleccionados de entre los listados de la propia norma UNE-ISO/IEC 27002. • Gestión de Riesgos: Una vez seleccionados los controles que repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas. • Declaración de aplicabilidad: Debe incluir los objetivos de control y los controles seleccionados con las razones de esta selección. • Implementación y puesta en marcha del SGSI: La dirección tiene que aprobar la documentación desarrollada en las actividades detalladas y proveer los recursos necesarios para ejecutar las actividades.
  • 9. • Control y revisión del SGSI: Controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. • Mantenimiento y mejora del SGSI: Los cambios en la organización impactaran en los niveles de riesgos y a la inversa, y tiene que haber mecanismos que acomoden estos cambios y mantengan el nivel de seguridad en un nivel aceptable.
  • 10. Requisitos de documentación El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
  • 11. Control de documentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de egistros son el libro de visitas, los informes de auditorías y los logs de los sistemas. Compromiso de la dirección Establecer la política del SGSI y asegurar que se establezcan los objetivos y planes del SGSI. Así como asignar los roles y las responsabilidades para la seguridad de la información.
  • 12. Gestión de los recursos La dirección es la que gestiona los recursos, provee recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades (por ejemplo, la contratación de personal competente). Auditorias Internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Debe existir un procedimiento documentado que defina las responsabilidades y los requisitos para planificar y dirigir las auditorias, para informar de los resultados y para mantener los registros.
  • 13. Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. Entradas a la Revisión Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora.
  • 14. Salida de la Revisión La revisión, aunque se centre en la detección y resolución de problemas en la gestión y operativa del SGSI, debe considerar también los puntos fuertes, es decir, qué se está haciendo bien y la razón, sobre todo en comparación con revisiones anteriores, de manera que se ponga en evidencia la mejora continua del sistema. Mejora Continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Acción Correctiva La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información.
  • 15. Acción Preventiva Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. En una acción preventiva se determina la posible fuente de problemas con el objeto de eliminarla. Se pretende con ello evitar tener que solucionar problemas, puesto que es más eficaz y sencillo prevenirlos que solucionarlos. Pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.