Introducción a los sistemas de gestión de seguridad
1. Introducción a los Sistemas de Gestión de Seguridad de la Información
(SGSI)
DEFINICIÓN DE UN SGSI ; UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
LA INFORMACIÓN (SGSI), SEGÚN LA NORMA UNE-ISO/IEC 27001, ES
UNA PARTE DEL SISTEMA DE GESTIÓN GENERAL, BASADA EN UN
ENFOQUE DE RIESGO EMPRESARIAL, QUE SE ESTABLECE PARA CREAR,
IMPLEMENTAR SUPERVISAR, REVISAR, MANTENER Y MEJORAR LA
SEGURIDAD DE LA INFORMACIÓN.
3. Esto incluye según las normas
Políticas
Planificación
Responsabilidad
Practicas
Procedimientos
Procesos
Recursos
Dichas normas es compatible con el resto de las normas ISO para
sistema de gestión. UNE-EN ISO 9001 y UNE-EN ISO 14001
4. El ciclo de mejora continúa
ElcicloPDCAconocidotambiéncomocicloDeming esunconceptoideado
originalmenteporShewhartperoadaptadoalolargodeltiempoporalgunosdelos
mássobresalientespersonajesdelmundodelacalidad
Planificar
Hacer
ElmodeloPDCA Verificar
Actuar
5. • Plan. Esta fase se corresponde con establecer el SGSI. Se planifica y
diseña el programa.
• Do. Es la fase en la que se implementa y pone en funcionamiento el
SGSI.
• Check. Esta fase es la de monitorización y revisión del SGSI
• Act. Es la fase en la que se mantiene y mejora el SGSI
6. La Norma UNE-ISO/IEC 27001
Origen de la norma ISO (Organización Internacional de
Normalización) e IEC (Comisión Electrotécnica Internacional)
constituyen el sistema especializado para la normalización a nivel
mundial. Fue preparado inicialmente por el instituto de normas
británicas como (BS 7799), y adoptada bajo la supervisión del
subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1,
en paralelo con su aprobación por los organismos nacionales
miembros de ISO e IEC.
7. Objeto y campo de aplicación de la norma.
La norma UNE-ISO/IEC 27002 como el resto de las normas aplicables al sistema de
gestión, está pensado en que se emplee en todo tipo de organización sin importar
tamaño o actividad
La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el
comienzo, la implementación, el mantenimiento y la mejora de la gestión de la
seguridad de la información en una organización.
Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y
colaboración de numerosos participantes, los cuales han alcanzado un consenso
acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de
la información.
8. El Esquema Nacional de Seguridad (ENS)
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los
Servicios públicos está siendo el motor y la guía de la administración
electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la
Administración Pública, impulsando la adopción de los medios tecnológicos
actualmente disponibles para realizar tareas de gestión y facilitando a los
ciudadanos el acceso a la Administración Pública en contextos más adecuados
a la realidad social.
El ENS está regulado por el Real Decreto 3/2010, de 8 de enero, que recoge los
requisitos técnicos y organizativos que se deben cumplir para proteger la
información dentro del ámbito de aplicación del mismo. Por tanto, se puede
decir que trata la protección de la información y de los servicios en el ámbito
de la administración electrónica y que, a la luz de principios y requisitos
generalmente reconocidos, exige la gestión continuada de la seguridad,
aplicando un sistema de gestión de seguridad de la información.
9. Objeto y campo de aplicación
El objeto del ENS es garantizar la seguridad de los servicios prestados
mediante medios electrónicos, de manera que los ciudadanos puedan
realizar cualquier trámite con la confianza de que va a tener validez
jurídica plena y que sus datos van a ser tratados de manera segura.
Su ámbito de aplicación son los sistemas de información, los datos, las
comunicaciones y los servicios electrónicos, que permitan a los
ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el
cumplimiento de deberes a través de medios eléctricos
10. Términos y definiciones
•Activo
Cualquier bien que tiene valor para la organización.
• Disponibilidad
La propiedad de ser accesible y utilizable por una entidad autorizada.
• Confidencialidad
La propiedad por la que la información no se pone a disposición o se revela A individuos, entidades o procesos no autorizados.
• Seguridad de la información
La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la
autenticidad, la responsabilidad, la fiabilidad y el no repudio.
• Evento de seguridad de la información
La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, un
fallo de las salvaguardas o una situación desconocida hasta el momento y que puede ser relevante para la seguridad.
• Incidente de seguridad de la información
Un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de
comprometer las operaciones empresariales y de amenazar la seguridad de la información.
• Sistema de Gestión de la Seguridad de la Información (SGSI)
La parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar,
revisar, mantener y mejorar la seguridad de la información.