Un sistema de gestión de seguridad de la información (SGSI) según la Norma ISO/IEC 27001 es una parte del sistema de gestión general de una organización que establece políticas y procedimientos para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de la organización. La norma especifica que un SGSI debe estar documentado e incluir la organización, políticas, planificación, responsabilidades, prácticas, procesos y recursos. Un SGSI ayuda a garantizar la confidencialidad,
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales 20112001979)
1. Sistemas de Gestión de
Seguridad de la Información
-KEVIN RAFAEL ROSALES FLORES
20112001979
-ADMINISTRACION PUBLICA Y
POLITICAS DE LA INFORMATICA 20:00
2. Definición de un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI), según
la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión
general, basada en un enfoque de riesgo empresarial, que se
establece para crear, implementar, operar, supervisar, revisar,
mantener y mejorar la seguridad de la información.
3. La norma especifica que, como cualquier otro sistema de
gestión, el SGSI incluye tanto la organización como las
políticas, la planificación, las responsabilidades, las
prácticas, los procedimientos, los procesos y los recursos.
Los sistemas de gestión que definen las normas ISO
siempre están documentados, ya que, por un lado, es la
mejor manera de formalizar normas e instrucciones y, por
otro, son más fáciles de transmitir y comunicar, cosa que no
sucedería si se confía en un traspaso de información verbal
informal.
4. La Norma UNE-ISO/IEC 27001
Podemos entender por informacion todo el conjunto de datos que se organizan
en una organizacion y otorgan valor añadido para esta, de forma
independiente de la forma de la que se guarden o transmitan , el origen que
tenga o la fecha de elaboracion.
ISO/IEC 27001 es un estándar para la seguridad de la información (Information
technology - Security techniques - Information security management systems -
Requirements) aprobado y publicado como estándar internacional en octubre
de 2005 por International Organization for Standardization y por la comisión
International Electrotechnical Commission. Especifica los requisitos necesarios
para establecer, implantar, mantener y mejorar un sistema de gestión de la
seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”:
PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
5. Tambien nos ayuda a preservar la confidencialidad y la disponibilidad del
sistema en si, ademas de todos los sistemas implicados en el tratamiento
de la organizacion.
Para garantizar que un sistema de gestion de seguridad de la informacion
gestionado de la forma correcta se tiene que identificar el ciclo de vida y
los aspectos relevantes para garantizar los siguientes aspectos:
6. Confidencialidad: Eso quiere decir que la informacion no se pone a
disposicion de inviduos, ni se revela a individuos o entidades no autorizados
Integridad: Quiere decir que se deben mantener de forma completa y exacta
la información y los metodos de proceso
Disponibilidad: Esta nos ayuda a acceder y utilizar la informacion y los
sistemas de tratamiento de la misma parte de los individuos, entidades o
procesos autorizados cuando lo requieran
7. Modo de Uso
La información, junto a los procesos y los sistemas que hacen uso de ella, son activos
demasiado importantes para la empresa. La confidencialidad, integridad y
disponibilidad de dicha información puede ser esencial para mantener los niveles de
competitividad, conformidad, rentabilidad e imagen de la empresa necesarios para
conseguir los objetivos de la empresa y asegurase de que haya beneficios económicos.
Las empresas y los sistemas de información se encuentran expuestos a un número
cada vez más elevado de amenazas que aprovechan cualquier tipo de vulnerabilidad
para someter a los activos críticos de información a ataques, espionajes, vandalismo,
etc. Los virus informáticos o los ataques son ejemplos muy comunes y conocidos, pero
también se deben asumir los riesgos de sufrir incidentes de seguridad que pueden ser
causados voluntariamente o involuntariamente desde dentro de la propia empresa o
los que son provocados de forma accidental por catástrofes naturales.
8. Beneficios
•Establecer una metodología de Gestión de la Seguridad estructurada y clara.
•Reducir el riesgo de pérdida, robo o corrupción de la información sensible.
•Los clientes tienen acceso a la información mediante medidas de seguridad.
•Los riesgos y los controles son continuamente revisados.
•Se garantiza la confianza de los clientes y los socios de la organización.
•Las auditorías externas ayudan de forma cíclica a identificar las debilidades
del SGSI y las áreas que se deben mejorar.
•Facilita la integración con otros sistemas de gestión.
9. Beneficios
•Se garantiza la continuidad de negocio tras un incidente grave.
•Cumple con la legislación vigente sobre información personal, propiedad
intelectual y otras.
•La imagen de la organización a nivel internacional mejora.
•Aumenta la confianza y las reglas claras para las personas de la empresa.
•Reduce los costes y la mejora de los procesos y el servicio.
•Se incrementa la motivación y la satisfacción del personal.
•Aumenta la seguridad en base la gestión de procesos en lugar de una compra
sistemática de productos y tecnologías.