Un sistema de gestión de seguridad de la información (SGSI) se establece para crear, implementar, supervisar, revisar, mantener y mejorar la seguridad de la información de una organización. La norma UNE-ISO/IEC 27001 especifica los requisitos de un SGSI efectivo basado en el ciclo PDCA de planificación, ejecución, verificación y acción. El Esquema Nacional de Seguridad de España regula los requisitos técnicos y organizativos para proteger la información en el ámbito de la administración
Capituo 1 introducción a los sistemas de gestión de seguridad de la información
1. Introducción a los Sistemas de Gestión de Seguridad de
la Información (SGSI)
Definiciónde unSGSI ; Un Sistema de Gestión de Seguridad de la Información
(SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de
gestión general, basada en un enfoque de riesgo empresarial, que se establece
para crear, implementar supervisar, revisar, mantener y mejorar la seguridad de
la información para.
Crear
Implementar
Operar
Supervisar
Revisar
Mantener y mejorar
Esto incluye según las normas
1. Políticas
2. Planificación
3. Responsabilidad
4. Practicas
5. Procedimientos
6. Procesos
7. Recursos
Dichas normas es compatible con el resto de las normas ISO para sistema de
gestión. UNE-EN ISO 9001 y UNE-EN ISO 14001
LA SEGURIDAD
2. El ciclo de mejora continúa
El ciclo PDCA conocido también como ciclo Deming es un concepto ideado
originalmente porShewhart pero adaptado a lo largo del tiempo poralgunos de
los más sobresalientes personajes del mundo de la calidad
Planificar
Hacer
El modelo PDCA Verificar
Actuar
• Plan. Estafase secorrespondeconestablecer el SGSI. Se planifica y diseña el
Programa.
• Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI.
• Check. Esta fase es la de monitorización y revisión del SGSI
• Act. Es la fase en la que se mantiene y mejora el SGSI
La Norma UNE-ISO/IEC 27001
Origen de la norma ISO (Organización Internacional de Normalización) e IEC
(Comisión Electrotécnica Internacional) constituyen el sistema especializado
para la normalización a nivel mundial. Fue preparado inicialmente por el
instituto de normas británicas como (BS 7799), y adoptada bajo la supervisión
del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en
paralelo con su aprobación por los organismos nacionales miembros de ISO e
IEC.
3. Objeto y campo de aplicación de la norma.
La norma UNE-ISO/IEC 27002 como el resto de las normas aplicables al
sistema de gestión, está pensado en que se emplee en todo tipo de organización
sin importar tamaño o actividad
La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales
para el comienzo, la implementación, el mantenimiento y la mejora dela gestión
de la seguridad de la información en una organización.
Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y
colaboraciónde numerosos participantes, los cuales han alcanzado un consenso
acerca de los objetivos comúnmente aceptados para la gestión de la seguridad
de la información.
El Esquema Nacional de Seguridad (ENS)
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
Servicios públicos está siendo el motor y la guía de la administración
electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la
Administración Pública, impulsando la adopción de los medios tecnológicos
actualmente disponibles para realizar tareas de gestión y facilitando a los
ciudadanos el acceso a la Administración Pública en contextos más adecuados
a la realidad social.
El ENS está regulado porel Real Decreto 3/2010, de 8 de enero, que recoge los
requisitos técnicos y organizativos que se deben cumplir para proteger la
información dentro del ámbito de aplicación del mismo. Por tanto, se puede
decir que trata la protección de la información y de los servicios en el ámbito
de la administración electrónica y que, a la luz de principios y requisitos
generalmente reconocidos, exige la gestión continuada de la seguridad,
aplicando un sistema de gestión de seguridad de la información.
4. Objeto y campo de aplicación
El objeto del ENS es garantizar la seguridad de los servicios prestados mediante
medios electrónicos, de manera que los ciudadanos puedan realizar cualquier
trámite conla confianza de que va a tener validez jurídica plena y que sus datos
van a ser tratados de manera segura.
Su ámbito de aplicación son los sistemas de información, los datos, las
comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a
las Administraciones Públicas el ejercicio de derechos y el cumplimiento de
deberes a través de medios eléctricos
Términos y definiciones
•Activo
Cualquier bien que tiene valor para la organización.
• Disponibilidad
La propiedad de ser accesible y utilizable por una entidad autorizada.
• Confidencialidad
La propiedad por la que la información no se pone a disposición o se revela A individuos,
entidades o procesos no autorizados.
• Seguridad de la información
La preservación de la confidencialidad, la integridad y la disponibilidad de la información,
pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la
fiabilidad y el no repudio.
• Evento de seguridad de la información
La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible
violación de la política de seguridad de la información, un fallo de las salvaguardas o una
situación desconocida hasta el momento y que puede ser relevante para la seguridad.
• Incidente de seguridad de la información
Un único evento o una serie de eventos de seguridad de la información, inesperados o no
deseados, que tienen una probabilidad significativa de comprometer las operaciones
empresariales y de amenazar la seguridad de la información.
• Sistema de Gestión de la Seguridad de la Información (SGSI)
La parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se
establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la
seguridad de la información.