SlideShare una empresa de Scribd logo

Sistema de gestión de la seguridad de la informacion

Descargar como PPTX, PDF
Darwin Calix
Darwin Calix

El documento describe los elementos clave de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001. Explica que un SGSI ayuda a establecer políticas y procedimientos para mantener un nivel de riesgo aceptable mediante un enfoque sistemático y documentado. Detalla los componentes clave de un SGSI como el manual de seguridad, procedimientos, registros y la importancia de la evaluación y gestión de riesgos. Además, explica el papel fundamental de la dirección en la implement

Internet
1 de 18
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN NORMA UNGRANADOSE-ISO/IEC 27001 Darwin Calix #20082000943 Catedrático : Ing. Guillermo Brand Asignatura : Administración Publica y Políticas de Informática Sección : 20:00
¿QUÉ ES UN SGSI?  Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización.
TÉRMINOS CONSTITUYEN LA BASE SOBRE LA QUE SE CIMIENTA TODO EL EDIFICIO DE LA SEGURIDAD DE LA INFORMACIÓN:  Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.  Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.  Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
¿PARA QUÉ SIRVE UN SGSI?  El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer las políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.  . Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente
¿QUÉ INCLUYE UN SGSI?
 Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.  Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.  Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.  Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
ISO 27001 INDICA QUE UN SGSI DEBE ESTAR FORMADO POR LOS SIGUIENTES DOCUMENTOS (EN CUALQUIER FORMATO O TIPO DE MEDIO):  Alcance del SGSI: ámbito de la organización que queda sometido al SGSI  Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.  Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.  Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado)  Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.  Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información.
 Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.  Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.  Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI
¿CÓMO SE IMPLEMENTA UN SGSI? Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.  • Plan (planificar): establecer el SGSI.  • Do (hacer): implementar y utilizar el SGSI.  • Check (verificar): monitorizar y revisar el SGSI.  • Act (actuar): mantener y mejorar el SGSI.
CICLO CONTINUO PDCA
¿QUÉ TAREAS TIENE LA GERENCIA EN UN SGSI?  Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la dirección se detallan en los siguientes puntos:  Compromiso de la dirección La dirección de la organización debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. Para ello, debe tomar las siguientes iniciativas: • Establecer una política de seguridad de la información. Asegurarse de que se establecen objetivos y planes del SGSI. • Establecer roles y responsabilidades de seguridad de la información. • Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad, como sus responsabilidades legales y la necesidad de mejora continua. • Asignar suficientes recursos al SGSI en todas sus fases. • Decidir los criterios de aceptación de riesgos y sus correspondientes niveles. • Asegurar que se realizan auditorías internas. • Realizar revisiones del SGSI, como se detalla más adelante.
 Asignación de recursos  Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la dirección garantizar que se asignan los suficientes • Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. • Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de • Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones de seguridad. • Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada. • Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de las mismas. • Mejorar la eficacia del SGSI donde sea necesario.
 Formación y concienciación  La formación y la concienciación en seguridad de la información son elementos básicos para el éxito un SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá: • Determinar las competencias necesarias para el personal que realiza tareas en aplicación del SGSI. • Satisfacer dichas necesidades por medio de formación o de otras acciones como, p.ej., contratación de personal ya formado. • Evaluar la eficacia de las acciones realizadas. • Mantener registros de estudios, formación, habilidades, experiencia y cualificación. Además, la dirección debe asegurar que todo el personal relevante esté concienciado de la importancia sus actividades de seguridad de la información y de cómo contribuye a la consecución de los objetivos SGSI.
 Revisión del SGSI  A la dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: • Resultados de auditorías y revisiones del SGSI. • Observaciones de todas las partes interesadas. • Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI. • Información sobre el estado de acciones preventivas y correctivas. • Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. • Resultados de las mediciones de eficacia. • Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección. • Cualquier cambio que pueda afectar al SGSI. • Recomendaciones de mejora.
LA DIRECCIÓN DEBE REVISAR EL SGSI Y TOMAR DECISIONES Y ACCIONES RELATIVAS A: • Mejora de la eficacia del SGSI. • Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. • Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos. • Necesidades de recursos. • Mejora de la forma de medir la efectividad de los controles.
¿SE INTEGRA UN SGSI CON OTROS SISTEMAS DE GESTIÓN? La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información. Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a la organización. El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos estos estándares. Las facilidades para la integración de las normas ISO son evidentes mediante la consulta de sus anexos.
 ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación existente y se puede intuir la posibilidad de integrar el sistema de gestión de seguridad de la información en los sistemas de gestión existentes ya en la organización. Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la evaluación de riesgos y el establecimiento de una declaración de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de normas en un futuro.

Recomendados

Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 

Recomendados

Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
peponlondon
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
dcordova923
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)
ClaudiaCano41
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
PECB
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
irwin_45
 
Irma iso
Irma isoIrma iso
Irma iso
Jazmin Toxqui
 
Irma
IrmaIrma
Irma
Jazmin Toxqui
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
Miguel Diaz
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
PECB
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Edgardo Ortega
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestion
jorge
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listo
maricelcc
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
ISOTools Chile
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 

Más contenido relacionado

La actualidad más candente

Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
peponlondon
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
dcordova923
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)
ClaudiaCano41
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
PECB
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
irwin_45
 
Irma iso
Irma isoIrma iso
Irma iso
Jazmin Toxqui
 
Irma
IrmaIrma
Irma
Jazmin Toxqui
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
Miguel Diaz
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
PECB
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Edgardo Ortega
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestion
jorge
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listo
maricelcc
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
ISOTools Chile
 

La actualidad más candente (20)

Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
Sgsi
SgsiSgsi
Sgsi
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Irma iso
Irma isoIrma iso
Irma iso
 
Irma
IrmaIrma
Irma
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Implementando un sistema de gestion
Implementando un sistema de gestionImplementando un sistema de gestion
Implementando un sistema de gestion
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listo
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
 

Similar a Sistema de gestión de la seguridad de la informacion

Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
yar_mal
 
Resumen de sgsi
Resumen de sgsiResumen de sgsi
Resumen de sgsi
Geybi Sabillon
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSI
Wiley Caceres
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
Augusto Chevez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
Alber Delfin Pena Ortigoza
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
Man Iniesta
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
AreaTIC1
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
Blanca Melida Oliva Amaya
 
William maldonado.
William maldonado.William maldonado.
William maldonado.
William Maldonado
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Dilcia Mejia
 
SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad Informatica
Ramón Segura Garijo
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
Zenia Castro
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
Iso27001
Iso27001Iso27001
Iso27001
ANDRULANCO2014
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
Gladisichau
 

Similar a Sistema de gestión de la seguridad de la informacion (20)

Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
Resumen de sgsi
Resumen de sgsiResumen de sgsi
Resumen de sgsi
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
Sistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSISistemas de Gestión de Seguridad de la Información SGSI
Sistemas de Gestión de Seguridad de la Información SGSI
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
 
William maldonado.
William maldonado.William maldonado.
William maldonado.
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
 
SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad Informatica
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
SGSI
SGSISGSI
SGSI
 
Iso27001
Iso27001Iso27001
Iso27001
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
 

Último

COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNETCOMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
Kevin Aguilar Garcia
 
Oración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docxOración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docx
LuisAlbertoCordovaBa
 
APLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptxAPLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptx
cpadua713
 
extraccion-de-alcaloides-de-la-planta-de-coca.pdf
extraccion-de-alcaloides-de-la-planta-de-coca.pdfextraccion-de-alcaloides-de-la-planta-de-coca.pdf
extraccion-de-alcaloides-de-la-planta-de-coca.pdf
JENNYMARITZAHUILLCAR
 
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docxCOMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
Jean Apellidos
 
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdfLA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
YulianaCori
 
PPT_QUÍMICA GENERAL_TEO_SEM-09_SESIÓN-17_2024_Gases ideales (2).pdf
PPT_QUÍMICA GENERAL_TEO_SEM-09_SESIÓN-17_2024_Gases ideales (2).pdfPPT_QUÍMICA GENERAL_TEO_SEM-09_SESIÓN-17_2024_Gases ideales (2).pdf
PPT_QUÍMICA GENERAL_TEO_SEM-09_SESIÓN-17_2024_Gases ideales (2).pdf
josenestorlopezquisp1
 
SLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajasSLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajas
ruthechepurizaca
 
Sesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artificalSesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artifical
Angeles del Rosario Escobar Mendoza
 
Análisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de ArtesAnálisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de Artes
al050121024
 
Herramientas de la web 2.0.pptx
Herramientas de la web 2.0.pptxHerramientas de la web 2.0.pptx
Herramientas de la web 2.0.pptx
anittaeunice
 
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdfTRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
anacruztone06
 
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdfMONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
darilpisco021
 
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidadESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
jorgejhonatanaltamir1
 
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docxFICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
EmilyEsmeraldaQuispe
 
Oruam, el pequeño y el gran carismatico mago
Oruam, el pequeño y el gran carismatico magoOruam, el pequeño y el gran carismatico mago
Oruam, el pequeño y el gran carismatico mago
ChichipeSevillaJhost
 
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdfDocumento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
sthefannydelgado765
 

Último (17)

COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNETCOMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
COMUNIDADES DE APRENDIZAJE EN EL CURSO DE APLICACIONES PARA INTERNET
 
Oración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docxOración a Pomba Gira María Padilha .docx
Oración a Pomba Gira María Padilha .docx
 
APLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptxAPLICACIONES DE INTERNET-INFORMATICA.pptx
APLICACIONES DE INTERNET-INFORMATICA.pptx
 
extraccion-de-alcaloides-de-la-planta-de-coca.pdf
extraccion-de-alcaloides-de-la-planta-de-coca.pdfextraccion-de-alcaloides-de-la-planta-de-coca.pdf
extraccion-de-alcaloides-de-la-planta-de-coca.pdf
 
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docxCOMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
COMO EVOLUCIONO LAS WEB EN PLENO 2024.docx
 
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdfLA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
LA NUBE YULIANA GABRIELA CORI NINARAQUE.pdf
 
PPT_QUÍMICA GENERAL_TEO_SEM-09_SESIÓN-17_2024_Gases ideales (2).pdf
PPT_QUÍMICA GENERAL_TEO_SEM-09_SESIÓN-17_2024_Gases ideales (2).pdfPPT_QUÍMICA GENERAL_TEO_SEM-09_SESIÓN-17_2024_Gases ideales (2).pdf
PPT_QUÍMICA GENERAL_TEO_SEM-09_SESIÓN-17_2024_Gases ideales (2).pdf
 
SLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajasSLIDESHARE, qué es, ventajas y desventajas
SLIDESHARE, qué es, ventajas y desventajas
 
Sesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artificalSesión N°10 / Monografía sobre la inteligencia artifical
Sesión N°10 / Monografía sobre la inteligencia artifical
 
Análisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de ArtesAnálisis de Crowdfunding con el maestro Tapia de Artes
Análisis de Crowdfunding con el maestro Tapia de Artes
 
Herramientas de la web 2.0.pptx
Herramientas de la web 2.0.pptxHerramientas de la web 2.0.pptx
Herramientas de la web 2.0.pptx
 
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdfTRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
TRABAJO APLICACIONES EN INTERNET - Ana cruz tone.pdf
 
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdfMONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
MONOGRAFRIA GOOGLE (grupo 1ro de google).pdf
 
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidadESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
ESTUDIANTES BENEFICIARIOS que se suman a los beneficios de la universidad
 
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docxFICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
FICHA DE EDUCACIÓN RELIGIOSA 17 DE CTUBRE LA oracion.docx
 
Oruam, el pequeño y el gran carismatico mago
Oruam, el pequeño y el gran carismatico magoOruam, el pequeño y el gran carismatico mago
Oruam, el pequeño y el gran carismatico mago
 
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdfDocumento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
Documento A4 formas curvas Hoja de papel multicolor_20240615_213856_0000.pdf
 

Sistema de gestión de la seguridad de la informacion

  • 1. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN NORMA UNGRANADOSE-ISO/IEC 27001 Darwin Calix #20082000943 Catedrático : Ing. Guillermo Brand Asignatura : Administración Publica y Políticas de Informática Sección : 20:00
  • 2. ¿QUÉ ES UN SGSI?  Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización.
  • 3. TÉRMINOS CONSTITUYEN LA BASE SOBRE LA QUE SE CIMIENTA TODO EL EDIFICIO DE LA SEGURIDAD DE LA INFORMACIÓN:  Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.  Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.  Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
  • 4. ¿PARA QUÉ SIRVE UN SGSI?  El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer las políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.  . Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente
  • 5.
  • 7.  Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.  Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.  Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.  Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
  • 8. ISO 27001 INDICA QUE UN SGSI DEBE ESTAR FORMADO POR LOS SIGUIENTES DOCUMENTOS (EN CUALQUIER FORMATO O TIPO DE MEDIO):  Alcance del SGSI: ámbito de la organización que queda sometido al SGSI  Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.  Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.  Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado)  Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.  Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información.
  • 9.  Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.  Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.  Declaración de aplicabilidad: (SOA -Statement of Applicability-, en sus siglas inglesas); documento que contiene los objetivos de control y los controles contemplados por el SGSI
  • 10. ¿CÓMO SE IMPLEMENTA UN SGSI? Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.  • Plan (planificar): establecer el SGSI.  • Do (hacer): implementar y utilizar el SGSI.  • Check (verificar): monitorizar y revisar el SGSI.  • Act (actuar): mantener y mejorar el SGSI.
  • 12. ¿QUÉ TAREAS TIENE LA GERENCIA EN UN SGSI?  Algunas de las tareas fundamentales del SGSI que ISO 27001 asigna a la dirección se detallan en los siguientes puntos:  Compromiso de la dirección La dirección de la organización debe comprometerse con el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI. Para ello, debe tomar las siguientes iniciativas: • Establecer una política de seguridad de la información. Asegurarse de que se establecen objetivos y planes del SGSI. • Establecer roles y responsabilidades de seguridad de la información. • Comunicar a la organización tanto la importancia de lograr los objetivos de seguridad de la información y de cumplir con la política de seguridad, como sus responsabilidades legales y la necesidad de mejora continua. • Asignar suficientes recursos al SGSI en todas sus fases. • Decidir los criterios de aceptación de riesgos y sus correspondientes niveles. • Asegurar que se realizan auditorías internas. • Realizar revisiones del SGSI, como se detalla más adelante.
  • 13.  Asignación de recursos  Para el correcto desarrollo de todas las actividades relacionadas con el SGSI, es imprescindible la asignación de recursos. Es responsabilidad de la dirección garantizar que se asignan los suficientes • Establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. • Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de • Identificar y tratar todos los requerimientos legales y normativos, así como las obligaciones de seguridad. • Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada. • Realizar revisiones cuando sea necesario y actuar adecuadamente según los resultados de las mismas. • Mejorar la eficacia del SGSI donde sea necesario.
  • 14.  Formación y concienciación  La formación y la concienciación en seguridad de la información son elementos básicos para el éxito un SGSI. Por ello, la dirección debe asegurar que todo el personal de la organización al que se le responsabilidades definidas en el SGSI esté suficientemente capacitado. Se deberá: • Determinar las competencias necesarias para el personal que realiza tareas en aplicación del SGSI. • Satisfacer dichas necesidades por medio de formación o de otras acciones como, p.ej., contratación de personal ya formado. • Evaluar la eficacia de las acciones realizadas. • Mantener registros de estudios, formación, habilidades, experiencia y cualificación. Además, la dirección debe asegurar que todo el personal relevante esté concienciado de la importancia sus actividades de seguridad de la información y de cómo contribuye a la consecución de los objetivos SGSI.
  • 15.  Revisión del SGSI  A la dirección de la organización se le asigna también la tarea de, al menos una vez al año, revisar el SGSI, para asegurar que continúe siendo adecuado y eficaz. Para ello, debe recibir una serie de informaciones, que le ayuden a tomar decisiones, entre las que se pueden enumerar: • Resultados de auditorías y revisiones del SGSI. • Observaciones de todas las partes interesadas. • Técnicas, productos o procedimientos que pudieran ser útiles para mejorar el rendimiento y eficacia del SGSI. • Información sobre el estado de acciones preventivas y correctivas. • Vulnerabilidades o amenazas que no fueran tratadas adecuadamente en evaluaciones de riesgos anteriores. • Resultados de las mediciones de eficacia. • Estado de las acciones iniciadas a raíz de revisiones anteriores de la dirección. • Cualquier cambio que pueda afectar al SGSI. • Recomendaciones de mejora.
  • 16. LA DIRECCIÓN DEBE REVISAR EL SGSI Y TOMAR DECISIONES Y ACCIONES RELATIVAS A: • Mejora de la eficacia del SGSI. • Actualización de la evaluación de riesgos y del plan de tratamiento de riesgos. • Modificación de los procedimientos y controles que afecten a la seguridad de la información, en respuesta a cambios internos o externos en los requisitos de negocio, requerimientos de seguridad, procesos de negocio, marco legal, obligaciones contractuales, niveles de riesgo y criterios de aceptación de riesgos. • Necesidades de recursos. • Mejora de la forma de medir la efectividad de los controles.
  • 17. ¿SE INTEGRA UN SGSI CON OTROS SISTEMAS DE GESTIÓN? La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información. Las empresas tienen la posibilidad de implantar un número variable de estos sistemas de gestión para mejorar la organización y beneficios sin imponer una carga a la organización. El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos estos estándares. Las facilidades para la integración de las normas ISO son evidentes mediante la consulta de sus anexos.
  • 18.  ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta norma y la ISO 9001 e ISO 14001. Ahí se observa la alta correlación existente y se puede intuir la posibilidad de integrar el sistema de gestión de seguridad de la información en los sistemas de gestión existentes ya en la organización. Algunos puntos que suponen una novedad en ISO 27001 frente a otros estándares son la evaluación de riesgos y el establecimiento de una declaración de aplicabilidad (SOA), aunque ya se plantea incorporar éstos al resto de normas en un futuro.