Sistemas de gestión de seguridad de la información
1. SISTEMAS DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN
(SGSI)
Administración Pública y Políticas de la Informática
Ing. Guillermo Brand
Universidad Nacional Autónoma de Honduras En el Valle de Sula
Presentado por: Celia Estefanía Rivera García
2. Sistemas de Gestión de Seguridad de la
Información (SGSI)
La información es el principal
activo de muchas organizaciones y
precisa ser protegida
adecuadamente frente a amenazas
que puedan poner en peligro la
continuidad del negocio.
Para proteger la información de una manera coherente y
eficaz es necesario implementar un Sistema de Gestión de
Seguridad de la Información (SGSI).
Esto Permite asegurar la información frente a la pérdida de:
• Confidencialidad: sólo accederá a la información quien se
encuentre autorizado.
• Integridad: la información será exacta y completa.
• Disponibilidad: los usuarios autorizados tendrán acceso a la
información cuando lo requieran.
3. Sistemas de Gestión de Seguridad de la
Información (SGSI)
Los Sistema de Gestión de Seguridad de la Información (SGSI)
son una parte del sistema global de gestión, por tanto para lograr
un sistema de gestión normalizado y contemplamos las
recomendaciones generales para la implementación de un SGSI
en una pyme o negocio utilizando:
1. La norma de facto en el mercado internacional, la Norma
UNE-ISO/IEC 27001 y 27002.
2. También se ofrece una visión general de como hacerlo en el
caso de utilizar el modelo del Esquema Nacional de Seguridad
(ENS)
4. Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-
ISO/IEC 27001, es una parte del sistema de gestión general basada en un enfoque de riesgo
empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y
mejorar la seguridad de la información.
La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluye
documentación de soporte como las tareas que se realizan. Definiéndolas así:
Sistemas de Gestión de Seguridad de la
Información (SGSI)
1. Organización
2. Políticas
3. Planificación
4. Responsabilidades
5. Prácticas
6. Procedimientos
7. Procesos
8. Recursos
5. Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza
el ciclo PDCA, que significa “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de
sus siglas en inglés), tiene una serie de fases y acciones que permiten establecer un modelo de
indicadores y métricas comparables.
Ciclo de Mejora Continua
PLAN (PLANEAR)
Corresponde con establecer el SGSI. Se
planifica y diseña el programa,
sistematizando las políticas a aplicar en
la organización.
DO (HACER)
Aquí se implementa y pone en
funcionamiento el SGSI. Las políticas y
los controles escogidos para cumplirlas se
implementan mediante recursos técnicos.
CHECK (VERIFICAR)
Fase es la de monitorización y revisión del
SGSI. Hay que controlar que los procesos
se ejecutan.
ACT (ACTUAR)
Se mantiene y mejora el SGSI, tomando
acciones correctivas y preventivas
necesarias para rectificar los fallos.
6. Norma UNE-ISO/IEC 27001
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica
Internacional) constituyen el sistema especializado para la normalización a nivel mundial.
Especifica:
Como el resto de las normas aplicables a los sistemas de
gestión, está pensada para que se emplee en todo tipo de
organización.
“Esta norma especifica los requisitos para la creación,
implementación, funcionamiento, supervisión, revisión,
mantenimiento y mejora de un SGSI documentado,
teniendo en cuenta los riesgos empresariales generales
de la organización.”
7. Norma UNE-ISO/IEC 27002
Fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo
la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en
paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC.
Establece:
Esta Norma “establece las directrices y principios
generales para el comienzo, la implementación, el
mantenimiento y la mejora de la gestión de la seguridad
de la información en una organización. Los objetivos de
control y los controles de esta norma internacional
tienen como fin servir de guía para el desarrollo de
pautas de seguridad internas y prácticas efectivas de
gestión de la seguridad.”
8. Esquema Nacional de Seguridad (ENS)
El ENS está regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los requisitos
técnicos y organizativos que se deben cumplir para proteger la información dentro del
ámbito de aplicación del mismo.
El objeto del ENS es garantizar la seguridad de los servicios
prestados mediante medios electrónicos, de manera que los
ciudadanos puedan realizar cualquier trámite con la confianza de
que va a tener validez jurídica plena y que sus datos van a ser
tratados de manera segura
La Ley 11/2007, de acceso electrónico de los ciudadanos a los
Servicios Públicos está siendo el motor y la guía de la
administración electrónica. Esta ley ha dado paso en la gestión de
la Administración Pública, impulsando la adopción de los medios
tecnológicos actualmente disponibles para realizar tareas de
gestión.
9. Conclusiones
Un Sistema de Gestión de Seguridad de la Información aporta:
1. Un análisis de riesgos, identificando amenazas, vulnerabilidades e impactos en la actividad
empresarial.
2. Una mejora continua en la gestión de la seguridad.
3. Una garantía de continuidad y disponibilidad del negocio.
Finalmente la certificación del SGSI en la Norma ISO 27001 / 27002 contribuye a fomentar
las actividades y procesos de protección de la información dentro de las organizaciones,
mejorando su imagen y generando confianza ante terceros.