INTRODUCCION A LOS SISTEMAS DE GESTION DE SEGURIDAD INFORMATICA.... ISIS MELISSA LOPEZ LICONA

1. Universidad Nacional Autonoma de Honduras en el Valle de Sula
Catedrático:
Ing. Guillermo Brand
INTRODUCCION A LOS SGSI
Alumna
ISIS MELISSA LOPEZ LICONA……….20031007823
Periodo: I Año: 2017
San Pedro Sula, Cortes 6 de Febrero
Facultad De :
Informática Administrativa
Asignatura:
Administración Pública y Política Informática

2. 1.1El SGSI (Sistema de Gestión de Seguridad de la Información)
es el concepto central sobre el que se construye
ISO 27001. La gestión de la seguridad de la
información debe realizarse mediante un
proceso sistemático, documentado y conocido
por toda la organización.

3. Podemos entender por
información todo el conjunto
de datos que se organizan en
una organización y otorgan
valor añadido para ésta, de
forma independiente de la
forma en la que se guarde o
transmita, el origen que tenga
o la fecha de elaboración.
¿Qué es un SGSI?
El Sistema de Gestión de
Seguridad de la Información,
según ISO 27001 consiste en
preservar la confidencialidad,
integridad y disponibilidad,
además de todos los sistemas
implicados en el tratamiento
dentro de la organización.
El SGSI es la abreviatura usada para referirse al Sistema de Gestión de la Seguridad de la
Información e ISMS son las siglas equivalentes en ingles a Information Security Management
System.

4.  ¿Qué Fundamentos se utilizan para
un SGSI?

5. PARA GARANTIZAR QUE EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
GESTIONADO DE FORMA CORRECTA SE TIENE QUE IDENTIFICAR EL CICLO DE VIDA Y LOS
ASPECTOS RELEVANTES ADOPTADOS PARA GARANTIZAR SU:
• Confidencialidad: la información
no se pone a disposición de nadie,
ni se revela a individuos o
entidades no autorizados.
• Integridad: mantener de forma
completa y exacta la información y
los métodos de proceso.
• Disponibilidad: acceder y utilizar la información y los
sistemas de tratamiento de la misma parte de los
individuos, entidades o proceso autorizados cuando lo
requieran.
• Según el conocimiento que se tiene del ciclo de vida de
la información relevante se puede adoptar la utilización de
un proceso sistemático, documentado y conocido por toda
la empresa, desde un enfoque de riesgos empresarial. El
proceso es el que constituye un SGSI.

7. Utilización
• La información, junto a los procesos y los sistemas que hacen uso de ella,
son activos demasiado importantes para la empresa. La confidencialidad,
integridad y disponibilidad de dicha información puede ser esencial para
mantener los niveles de competitividad, conformidad, rentabilidad e imagen de
la empresa necesarios para conseguir los objetivos de la empresa y asegurase
de que haya beneficios económicos.
• El modelo de gestión de la seguridad tiene que contemplar unos procedimientos
adecuados y planificar e implementar controles de seguridad que se basan en una
evaluación de riesgos y en una medición de la eficiencia de los mismos.
• Para entender que es SGSI, ayuda a establecer la política de seguridad y los
procedimientos en relación a los objetivos de negocio de la empresa, con objeto de
mantener un nivel de exposición siempre menor al nivel de riesgo que la propia
organización ha decidido asumir.

8. Beneficios
• Reducir el riesgo de pérdida, robo o
corrupción de la información
sensible
• Los riesgos y los controles son
continuamente revisados.
• Los clientes tienen acceso a la
información mediante medidas de
seguridad.
• Establecer una metodología de
Gestión de la Seguridad
estructurada y clara

9. Beneficios
• Se garantiza la confianza
de los clientes y los socios
de la organización.
• Las auditorías externas ayudan
de forma cíclica a identificar las
debilidades del SGSI y las áreas
que se deben mejorar. .
• Se garantiza la
continuidad de negocio
tras un incidente grave.
• Facilita la integración
con otros sistemas de
gestión.

10. SGSI: otros elementos a tener en cuenta
Teniendo claros la función de un Sistema de
Seguridad de la Información y sus tres
principios básicos, veamos ahora otros
elementos que las organizaciones no pueden
perder de vista en el proceso de
implementación: • Compromiso y apoyo de la
dirección. Debe ser el área más comprometida a
la hora de la difusión, la gestión y el
seguimiento del proceso. • Definición del
alcance. Es preciso definir qué objetivos tendrá
nuestro SGSI, qué beneficios supondrá y por
cuánto tiempo queremos aplicarlo
SGSI

11. • Formación del
personal interno.
Los trabajadores
de una empresa
deben ser parte
activa del proceso
y para ello es
necesario que
reciban la
formación
necesaria que les
permita estar a la
altura del mismo.
• Compromiso de
mejora continua.
Al igual que otros
sistemas de
gestión interno,
un SGSI supone
la adopción de la
mejora continua
como elemento
de identidad
corporativa.
• Evaluación de riesgos.
Un SGSI se enfoca sobre
todo en la gestión de
riesgos asociados al
manejo y la gestión de la
información, que en
cada empresa tiene
características distintas
y, por tanto, soluciones
distintas.

12. El valor de la Gestión de Riesgos y
Seguridad
• Si bien supone costes e
inversión, la gestión de Riesgos y
Seguridad en el trabajo en un valor
a largo plazo para cualquier
empresa.
En lo referente a un SGSI, las
empresas que protegen y
gestionan adecuadamente sus
datos están preparadas para
cualquier riesgo o amenaza
asociada a la información que
gestionan internamente.
• La norma ISO 27001 no excluye
la implementación de otros
estándares similares. Por el
contrario, debido a su flexibilidad
permite la aplicación de
indicadores y requisitos de otras
normas, algo en lo que el software
ISO Tools puede ser de utilidad.

13. LA NORMA UNE-ISO/IEC 27001
La Norma UNE-ISO/IEC 27001
Origen de la norma Objeto y
campo de aplicación de la
norma La Norma UNE-ISO/IEC
27001, como el resto de las
normas aplicables a los
sistemas de gestión, esta
pensada para que se emplee en
todo tipo de organizaciones
(empresas privadas y publicas,
entidades sin animo de lucro,
etc.), sin importar el tamaño o
la actividad.

14. LA NORMA UNE-ISO/IEC 27002
La Norma UNE-ISO/IEC 27002 La Norma UNE-ISO/IEC
27002 Tecnología de la información. Código de buenas
prácticas para la gestión de la seguridad de la
información, ha sido elaborada por el AEN/CTN 71/SC 27
Técnicas de seguridad que pertenece al comité técnico
conjunto ISO/IEC JTC 1/SC 27 Tecnología de la
información. En ambas normas el contenido es idéntico,
diferenciándose únicamente en la numeración, que ha
sido modificada en el marco de la creación de la familia de
normas ISO 27000. Objeto y campo de aplicación La
Norma UNE-ISO/IEC 27002 establece las directrices y
principios generales para el comienzo, la implementación,
el mantenimiento y la mejora de la gestión de la seguridad
de la información en una organización. Es un catalogo de
buenas practicas, obtenido a partir de la experiencia y
colaboración de numerosos participantes, los cuales han
alcanzado un consenso acerca de los objetivos
comúnmente aceptados para la gestión de la seguridad de
la información.

15. El Esquema Nacional de Seguridad (ENS) La Ley
11/2007,
de 22 de junio, de acceso electrónico de los
ciudadanos a los Servicios Públicos esta siendo
el motor y la guía de la administración
electrónica. Esta ley ha dado paso a una nueva
etapa en la gestión de la Administración Publica,
impulsando la adopción de los medios
tecnológicos actualmente disponibles para
realizar tareas de gestión y facilitando a los
ciudadanos el acceso a la Administración
Publica en contextos mas adecuados a la
realidad social. determina que la herramienta
para conseguir este objetivo será el Esquema
Nacional de Seguridad, que establecerá una
política de seguridad en la utilización de medios
electrónicos, y contara con unos principios
básicos y una serie de requisitos mínimos que
permitirán una protección adecuada de los