Un SGSI (Sistema de Gestión de Seguridad de la Información) analiza y ordena la estructura de los sistemas de información de una organización, estableciendo procedimientos para mantener la seguridad de la información y medir su eficacia. La norma ISO ayuda a implantar un SGSI para minimizar riesgos mediante la gestión de riesgos relacionados con los objetivos estratégicos de una organización. La seguridad de la información es responsabilidad de la alta dirección y los líderes de negocio de una empresa.

1. SEGURIDAD
DE SI
AVANZADA
Victoria Valerie Gpe. Chavez
Llamas
Sistema de Calidad

2. ? SABES QUÉ
ES UN SGSI ?
? Qué es un Sistema
de Gestión? conjunto
de reglas y principios
relacionados entre sí
de forma ordenada,
para contribuir a
la gestión de procesos
generales o
específicos de una
organización.
? Qué es seguridad ?
Es la ausencia de
riesgo o peligro

3. ? Cuál es su
función
principal ?
Analizar y ordenar la
estructura de los sistemas
de información
Establecer los
procedimientos de
trabajo para mantener su
seguridad
Disponer de controles
para medir la eficacia
lo de establecido en el
punto anterior

4. Seguridad de la información
vs seguridad informática
Se enfoca
en la tecnología
propiamente en las
infraestructuras
tecnológicas que sirven
para la gestión de la
información en una
organización.
Se enfoca en la
información en sí misma,
como activo estratégico de
la organización.

5. Un SGSI es, por tanto, el conjunto de prácticas orientadas a
garantizar la confidencialidad, integridad y disponibilidad de
la información.

6. NORMA ISO CON S I
La norma ISO nos posibilita conocer la seguridad de la información
gracias a la implantación de un Sistema de Gestión de Seguridad de
la Información.
• ISO/IEC 27000
• ISO/IEC 27001
• ISO/IEC 27002
• ISO/IEC 27003
• ISO/IEC 27004
• ISO/IEC 27005
• ISO/IEC 27006:2007
• ISO/IEC 27007
• ISO/IEC 27799:2008
• ISO/IEC 27002
• ISO/IEC 27035:2011
Con la implantación de un sistema de gestión de riesgo y seguridad se logra
minimizar el riesgo analizando, valorando y gestionando los riesgos relativos
a los objetivos estratégicos de la organización, procesos, planes y
programas.

7. S
E
G
U
R
I
D
A
D
D
E
L
A
I
N
F
O
R
M
A
C
I
O
N
La Seguridad de la Información es una
responsabilidad de la alta dirección de la empresa,
así como de sus directivos.
En el caso de no involucrarse las unidades activas y
los líderes de negocio, no podrá existir un plan
de Seguridad de la Información, a partir de todos
los riesgos determinados.
Las vulnerabilidades de riesgo se expanden durante
una amplia conexión con el comportamiento humano
y los juicios subjetivos de las personas, la resistencia
al cambio, la cultura empresarial, la forma de
comunicarse, etc.

8. Software para Riesgos y Seguridad
Las normas relacionadas con los sistemas de gestión de seguridad de la
información (ISO 27000- 27001), seguridad y salud en el trabajo (OHSAS
18001), seguridad alimentaria (ISO 22000), seguridad vial (ISO 39001).
La mayoría de estas normas están basadas en el ciclo PHVA
• Planear
• Hacer
• Verificar
• Actuar

9. Metodología para la implementación de un
Sistema de Gestión de
Seguridad de la Información
1. Aprobación de la Dirección para iniciar el proyecto
2. Definir el alcance, los límites y la política del SGSI
3. Análisis de los requisitos de seguridad de la información
4. Valoración de riesgos y planificar el tratamiento de riesgos
5. Diseñar el SGSI