DR
Subido porDenis Rauda
492 vistas

Sgsi presentacion

Este documento describe los principales componentes de un Sistema de Gestión de Seguridad de la Información (SGSI) según la Norma UNE-ISO/IEC 27001. Explica que un SGSI utiliza el ciclo PDCA y requiere documentos como una política de seguridad, un inventario de activos, un análisis de riesgos y documentación sobre los controles de seguridad. También requiere el compromiso de la dirección, formación para el personal, auditorías internas y la mejora continua del sistema.

Incrustar presentación

Descargar para leer sin conexión
Universidad Nacional Autónoma de Honduras en el Valle de Sula. Catedratico: Ing. Guillermo Brand. Alumno: Denis Alberto Rauda Peña. 20062001155, Asignatura: Políticas Informática .
Introducción La información es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. Para proteger la información de una manera coherente y eficaz es necesario implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluyetanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.
El ciclo de mejora continua Para establecer y gestionar un sistema de gestión de la seguridad de la informaciónse utiliza el ciclo PDCA (conocido también como ciclo Deming)
La Norma UNE-ISO/IEC 27001 Esta norma especifica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresariales generales de la organización. Es decir, explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdo con las necesidades de una organización o de partes de la misma, pero no aclara mediante qué procedimientos se ponen en práctica.
La Norma UNE-ISO/IEC 27002 ● Esta norma se está desarrollando dentro de una familia de normas internacionales sobre Sistemas de Gestión de la Seguridad de la Información (SGSI). ● Establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización. ● Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información
Requisitos generales del sistema de gestión de la seguridad Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las organizaciones, independientemente de su tamaño o sector de actividad. La norma establece una serie de requisitos. Los requisitos en muchos casos no se encuentran definidos.
La norma reclama que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección cola- bore activamente y se implique en el desarrollo y gestión del siste- ma. El sistema constará de una documentación en varios niveles.
SGSI contará con los siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. • Inventario de activos, que detallará los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos.
• Análisis de riesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
Requisitos de documentación Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.).
Compromiso de la dirección Uno de los requisitos fundamentales para poner en marcha un SGSI es conta con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección.
Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la contratación de personal competente).
Auditorías internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año.
Mejora continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo.
Alcance del SGSI Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar toda la organización. Normalmente es más práctico limitar el alcance del SGSI a aquellos servicios, departamentos o procesos en los que resulte más sencillo, bien porque el esfuerzo va a ser menor o porque la visibilidad del proyecto (interna o externa) es mayor.

Más contenido relacionado

PPT
Iso 27001 2013
porPrimala Sistema de Gestion
 
PPTX
Presentación ISO 27001.pptx
porerwinmalinowski
 
PDF
ISO 27001 Guia de implantacion
porjralbornoz
 
PPSX
ISO 27002
portrabajofinal2
 
PPTX
Presentación iso 27001
porJohanna Pazmiño
 
PDF
Norma ISO 27000
porUPTAEB
 
PDF
ISO27001: Implementation & Certification Process Overview
porShankar Subramaniyan
 
PDF
2022 Webinar - ISO 27001 Certification.pdf
porControlCase
 
Iso 27001 2013
porPrimala Sistema de Gestion
 
Presentación ISO 27001.pptx
porerwinmalinowski
 
ISO 27001 Guia de implantacion
porjralbornoz
 
ISO 27002
portrabajofinal2
 
Presentación iso 27001
porJohanna Pazmiño
 
Norma ISO 27000
porUPTAEB
 
ISO27001: Implementation & Certification Process Overview
porShankar Subramaniyan
 
2022 Webinar - ISO 27001 Certification.pdf
porControlCase
 

La actualidad más candente

PPTX
Guía de implementación iso 27001:2013
porJuan Fernando Jaramillo
 
PPTX
1. Presentación ISO 19011_2018.pptx
porEusebioRodriguezBarr
 
PPT
Curso SGSI
porJosé María Apellidos
 
PDF
ISO 27001.pdf
porJhonatanJefersonTapi
 
PPTX
Iso 27000
porjulianabh
 
PPTX
27001.pptx
porAvniJain836319
 
PPTX
Norma iso 27001
porCecilia Hernandez
 
PPTX
Norma iso 17799
porFreddy Fernando Cajamarca Sarmiento
 
PPTX
Introduccion ISO 27001 SGSI
porAlexander Calderón
 
PPTX
ISO 27001 Awareness/TRansition.pptx
porDr Madhu Aman Sharma
 
PDF
ISO 27001:2022 Introduction
porAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Gestión de la Seguridad con la ISO/IEC 27001
porRamiro Cid
 
PPTX
iso 27005
porPamelita TA
 
PPTX
Iso 27001
pornavidisey
 
PPTX
ISMS User_Awareness Training.pptx
porMukesh Pant
 
PDF
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
porCarlos Luque, CISA
 
PDF
Iso 27001 2013
porMagda CHELLY, Ph.D, S-CISO, CISSP®
 
PPT
ISO 27001 Benefits
porDejan Kosutic
 
PPTX
All you wanted to know about iso 27000
porRamana K V
 
PDF
Evento vs Incidente de Seguridad de la Información
porJ. Gustavo López
 
Guía de implementación iso 27001:2013
porJuan Fernando Jaramillo
 
1. Presentación ISO 19011_2018.pptx
porEusebioRodriguezBarr
 
Curso SGSI
porJosé María Apellidos
 
ISO 27001.pdf
porJhonatanJefersonTapi
 
Iso 27000
porjulianabh
 
27001.pptx
porAvniJain836319
 
Norma iso 27001
porCecilia Hernandez
 
Norma iso 17799
porFreddy Fernando Cajamarca Sarmiento
 
Introduccion ISO 27001 SGSI
porAlexander Calderón
 
ISO 27001 Awareness/TRansition.pptx
porDr Madhu Aman Sharma
 
ISO 27001:2022 Introduction
porAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Gestión de la Seguridad con la ISO/IEC 27001
porRamiro Cid
 
iso 27005
porPamelita TA
 
Iso 27001
pornavidisey
 
ISMS User_Awareness Training.pptx
porMukesh Pant
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
porCarlos Luque, CISA
 
Iso 27001 2013
porMagda CHELLY, Ph.D, S-CISO, CISSP®
 
ISO 27001 Benefits
porDejan Kosutic
 
All you wanted to know about iso 27000
porRamana K V
 
Evento vs Incidente de Seguridad de la Información
porJ. Gustavo López
 

Similar a Sgsi presentacion

PPTX
Sistema de gestión de la seguridad de la informacion
porCinthia Yessenia Grandos
 
PPTX
Norma iso 27001
porFabiola_Escoto
 
PPTX
Sistema de gestión de la seguridad de la informacion
porDarwin Calix
 
PPTX
SGSI ISO 27001
porAugusto Chevez
 
PPTX
Introducción a los sistemas de gestión de seguridad
porEdgardo Ortega
 
PPTX
JACHV(UNAH-VS)-COMPRENDER iso 27001
porjhony alejandro
 
PPTX
SGSI
porAngelica Lopez
 
ODP
Presentacion cap 1
porilicona83
 
ODP
Sistemas de gestión de seguridad de la información
porCRISTIAN FLORES
 
PPTX
SGSI 27001
porMarvin Joel Diaz Navarro
 
PPTX
Admon publicaypolitcasinfo
porAdalinda Turcios
 
PPTX
Presentación politicas juan jose mejia
porjjm5212
 
PPTX
Presentación Administración y Política
porGengali
 
PPTX
William maldonado.
porWilliam Maldonado
 
PPTX
Politicas
porJannina Lamber
 
PPTX
UNE-ISO/IEC 27001
porZenia Castro
 
PPTX
Presentación Norma UNE-ISO/IEC 27001
porOrlin Jose Reyes
 
PPTX
Implementación de la norma UNE-ISO/IEC 27001
porJennyfer Cribas
 
PDF
Presentación sgsi janethpiscoya
porProf. Janeth Piscoya
 
PPTX
NORMA UNE-ISO/IEC 27001
porJoselin Aguilar
 
Sistema de gestión de la seguridad de la informacion
porCinthia Yessenia Grandos
 
Norma iso 27001
porFabiola_Escoto
 
Sistema de gestión de la seguridad de la informacion
porDarwin Calix
 
SGSI ISO 27001
porAugusto Chevez
 
Introducción a los sistemas de gestión de seguridad
porEdgardo Ortega
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
porjhony alejandro
 
SGSI
porAngelica Lopez
 
Presentacion cap 1
porilicona83
 
Sistemas de gestión de seguridad de la información
porCRISTIAN FLORES
 
SGSI 27001
porMarvin Joel Diaz Navarro
 
Admon publicaypolitcasinfo
porAdalinda Turcios
 
Presentación politicas juan jose mejia
porjjm5212
 
Presentación Administración y Política
porGengali
 
William maldonado.
porWilliam Maldonado
 
Politicas
porJannina Lamber
 
UNE-ISO/IEC 27001
porZenia Castro
 
Presentación Norma UNE-ISO/IEC 27001
porOrlin Jose Reyes
 
Implementación de la norma UNE-ISO/IEC 27001
porJennyfer Cribas
 
Presentación sgsi janethpiscoya
porProf. Janeth Piscoya
 
NORMA UNE-ISO/IEC 27001
porJoselin Aguilar
 

Sgsi presentacion

  • 1.
    Universidad Nacional Autónomade Honduras en el Valle de Sula. Catedratico: Ing. Guillermo Brand. Alumno: Denis Alberto Rauda Peña. 20062001155, Asignatura: Políticas Informática .
  • 2.
    Introducción La información esel principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. Para proteger la información de una manera coherente y eficaz es necesario implementar un Sistema de Gestión de Seguridad de la Información (SGSI).
  • 3.
    Definición de unSGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. La norma especifica que, como cualquier otro sistema de gestión, el SGSI incluyetanto la organización como las políticas, la planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos.
  • 4.
    El ciclo demejora continua Para establecer y gestionar un sistema de gestión de la seguridad de la informaciónse utiliza el ciclo PDCA (conocido también como ciclo Deming)
  • 5.
    La Norma UNE-ISO/IEC27001 Esta norma especifica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresariales generales de la organización. Es decir, explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdo con las necesidades de una organización o de partes de la misma, pero no aclara mediante qué procedimientos se ponen en práctica.
  • 6.
    La Norma UNE-ISO/IEC27002 ● Esta norma se está desarrollando dentro de una familia de normas internacionales sobre Sistemas de Gestión de la Seguridad de la Información (SGSI). ● Establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización. ● Es un catálogo de buenas prácticas, obtenido a partir de la experiencia y colaboración de numerosos participantes, los cuales han alcanzado un consenso acerca de los objetivos comúnmente aceptados para la gestión de la seguridad de la información
  • 7.
    Requisitos generales delsistema de gestión de la seguridad Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las organizaciones, independientemente de su tamaño o sector de actividad. La norma establece una serie de requisitos. Los requisitos en muchos casos no se encuentran definidos.
  • 8.
    La norma reclamaque exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección cola- bore activamente y se implique en el desarrollo y gestión del siste- ma. El sistema constará de una documentación en varios niveles.
  • 9.
    SGSI contará conlos siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. • Inventario de activos, que detallará los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos.
  • 10.
    • Análisis deriesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
  • 11.
    Requisitos de documentación Losdocumentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.).
  • 12.
    Compromiso de ladirección Uno de los requisitos fundamentales para poner en marcha un SGSI es conta con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección.
  • 13.
    Formación La norma exigeque todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la contratación de personal competente).
  • 14.
    Auditorías internas Una delas herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año.
  • 15.
    Mejora continua La mejoracontinua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo.
  • 16.
    Alcance del SGSI Esdecir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar toda la organización. Normalmente es más práctico limitar el alcance del SGSI a aquellos servicios, departamentos o procesos en los que resulte más sencillo, bien porque el esfuerzo va a ser menor o porque la visibilidad del proyecto (interna o externa) es mayor.