Introduccion a la Sistema de Gestion de Seguridad de Informacion (SGSI)
1. Introducción a los
Sistemas De Gestión
De Seguridad De La
Información (SGSI)
Curso: Administración Publica y Políticas Informáticas
1er periodo 2017
UNAH VS
Catedrático: Guillermo Brand
Alumno: Edras Izaguirre Alvarenga
Cuenta: 20032002706
2. Definición de un SGSI
Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma
UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un
enfoque de riesgo empresarial, que se establece para crear, implementar, operar,
supervisar, revisar, mantener y mejorar la seguridad de la información. Esto
significa
que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar
el control sobre lo que sucede en los sistemas de información y sobre la propia
información que se maneja en la organización.
3. El Ciclo de Mejora Continua de un SGSI
Plan:
- Planificación.
- Diseño.
- Sistematización de las políticas a aplicar.
- Alcanzar los objetivos del negocio.
Hacer:
- Implementación de políticas.
- Elaboración de controles.
- Asignación de responsables de cada tarea.
Verificar:
- Monitorización
- Revisión del SGSI.
- Control eficaz y eficiente.
- Medición de objetivos trazados.
Actuar:
- Acciones preventivas y correctivas para
modificar los fallos
- Aplicar auditorias internas
- Revisión del SGSI
4. La Norma UNE-ISO/IEC 27001
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el
sistema especializado para la normalización a nivel mundial.
Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 están en proceso de revisión internacional, y
se espera que se publiquen las nuevas versiones a lo largo del año 2013
Objetivo y Campo de aplicación de la Norma
La Norma UNE-ISO/IEC 27001, como el resto de las
normas aplicables a los sistemas de gestión, está
pensada para que se emplee en todo tipo de
organizaciones (empresas privadas y públicas,
entidades sin ánimo de lucro, etc.), sin importar el
tamaño o la actividad.
5. La Norma UNE-ISO/IEC 27002
La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenas prácticas para la gestión de la
seguridad de la información, ha sido elaborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece
al comité técnico conjunto ISO/IEC JTC 1/SC 27 Tecnología de la información.
Objetivo y Campo de aplicación de la Norma
La Norma UNE-ISO/IEC 27002 establece las
directrices y principios generales para el comienzo,
la implementación, el mantenimiento y la mejora de
la gestión de la seguridad de la información en una
organización. Es un catálogo de buenas prácticas,
obtenido a partir de la experiencia y colaboración de
numerosos participantes, los cuales han alcanzado
un consenso acerca de los objetivos comúnmente
aceptados para la gestión de la seguridad de la
información.
6. El Esquema Nacional de Seguridad (ENS)
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos está siendo el
motor y la guía de la administración electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la
Administración Pública, impulsando la adopción de los medios tecnológicos actualmente disponibles para
realizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administración Pública en contextos más
adecuados a la realidad social.
Esta ley, en su artículo 1 reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas
por medios electrónicos con la misma validez que por los medios tradicionales, y estipula que éstas utilicen las
tecnologías de la información asegurando la disponibilidad, el acceso, la integridad, la autenticidad, la
confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus
competencias.
Objeto y campo de aplicación
es garantizar la seguridad de los servicios prestados mediante medios electrónicos, de manera que los
ciudadanos puedan realizar cualquier trámite con la confianza de que va a tener validez jurídica plena y que sus
datos van a ser tratados de manera segura.