SlideShare una empresa de Scribd logo

Implementación de la norma UNE-ISO/IEC 27001

Descargar como PPTX, PDF
J
Jennyfer Cribas

Este documento introduce el tema de los Sistemas de Gestión de Seguridad de la Información (SGSI) y explica su importancia para proteger la información de una organización. Define un SGSI como un sistema para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de una organización. Explica que un SGSI efectivo requiere documentación, un enfoque basado en riesgos, y el uso del ciclo de mejora continua PDCA para establecer y gestionar el sistema de manera estructur

Educación
1 de 27
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
PRESENTADO POR: JENNYFER YANNYNA CRIBAS 20132000422
Introducción La información es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden dañar considerablemente tanto los sistemas de información como la información procesada y almacenada. Para proteger la información de una manera coherente y eficaz es necesario implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema es una parte del sistema global de gestión, basado en un análisis de los riesgos del negocio, que permite asegurar la información frente a la pérdida de: • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran. 1
1.1 Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización. Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación mejore.
1.2 El ciclo de mejora continua Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en los sistemas de gestión de la calidad (véase la figura 1.1). • Plan. Esta fase se corresponde con establecer el SGSI. • Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. • Check. Esta fase es la de monitorización y revisión del SGSI. • Act. Es la fase en la que se mantiene y mejora el SGSI.
1.3 Origen de la norma UNE-ISO/IEC 27001 ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC.
2 Comprender la Norma UNE-ISO/IEC 27001 La seguridad no es el resultado de un proceso, es un proceso en sí mismo. Se conseguirá un nivel de seguridad aceptable en la medida en que este proceso funcione y progrese adecuadamente. No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de una manera ordenada y metódica, mediante un proceso.
2.1 Requisitos generales del sistema de gestión de la seguridad Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación. Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las organizaciones, independientemente de su tamaño o sector de actividad. En particular, no se acepta la exclusión de los requerimientos especificados en los apartados 4, 5, 6, 7 y 8 cuando una organización solicite su conformidad con esta norma. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
2.1 Requisitos generales del sistema de gestión de la seguridad Lo que la norma reclama es que exista un sistema documentado:
2.1 Requisitos generales del sistema de gestión de la seguridad El sistema constará de una documentación en varios niveles (véase la figura 2.1):
2.2 Establecimiento y gestión del SGSI La norma establece una serie de requisitos, que se detallan a continuación (véase la figura 2.2). Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. Debe recopilarse información sobre varios aspectos, tales como a qué se dedica la organización, qué necesidades de seguridad precisa teniendo en cuenta su actividad, y el ámbito en el que opera, así como las restricciones legales a las que puede estar sujeta dicha actividad.
2.2 Establecimiento y gestión del SGSI Cuando una empresa decide adaptarse a esta norma (véase la figura 2.3 sig. filmina), básicamente se emprenderán las actividades que se detallan a continuación, y que como tienen que ser documentadas, al finalizarlas, el SGSI contará ya con los siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. • Inventario de activos, que detallará los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. • Análisis de riesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección
2.2 Establecimiento y gestión del SGSI Figura 2.3. Establecer el SGSI
2.2 Establecimiento y gestión del SGSI Definición del alcance del SGSI: Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar toda la organización. Definición de la política de seguridad: Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Esta política tendrá en cuenta los requisitos del negocio, los contractuales y los legales y estatutarios que sean aplicables. Es primordial incorporar en esta fase inicial las necesidades de la organización. Identificación de los activos de información: Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es indispensable identificar qué activos son los que soportan los procesos de la organización. Definición del enfoque del análisis de riesgos: Hay que decidir cómo se enfocará el análisis de riesgos. El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.
2.2 Establecimiento y gestión del SGSI Cómo escoger la metodología del análisis de riesgos: Puesto que la norma únicamente establece que los resultados han de ser comparables y repetibles, debe escogerse aquella metodología que mejor se adapte a los modos de trabajo de la organización, así el ejercicio se integrará sin problemas en el trabajo cotidiano Tratamiento de los riesgos: Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos: • Mitigar el riesgo. • Transferir el riesgo a un tercero. • Asumir el riesgo. • Eliminar el riesgo. Selección de controles: Norma UNE-ISO/IEC 27002. En caso necesario, se pueden añadir otros, pero esta lista de controles es un sólido punto de partida para elegir las medidas de seguridad apropiadas para el SGSI, asegurando que ningún aspecto o control importante se pasan por alto. Gestión de riesgos: Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para hacerlo.
2.2 Establecimiento y gestión del SGSI Declaración de aplicabilidad: El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionado. • Los objetivos de control y los controles actualmente implementados. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. Implementación y puesta en marcha del SGSI: Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades. Si bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y tamaño de la organización, en cualquier caso se ha de contar con la designación de: • Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. • Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas. Control y revisión del SGSI: La revisión del SGSI forma parte de la fase del Check(comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema.
2.2 Establecimiento y gestión del SGSI Mantenimiento y mejora del SGSI: La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo es. Por lo tanto, sería un grave error considerar que una vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado el trabajo.
4. El inventario de activos. 5. Los procedimientos y controles de apoyo al SGSI. 6. El análisis del riesgo. 2.3. Requisitos de documentación Generalidades: El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas y que se pueda demostrar que los controles seleccionados lo han sido como resultado de estas decisiones y del análisis de riesgos. ◘ Por ello es necesario tener documentado: 1. La política y los objetivos del SGSI. 2. El alcance del SGSI. 3. Una descripción de la metodología de análisis del riesgo.
10. Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos.. 2.3. Requisitos de documentación ◘ Por ello es necesario tener documentado: 7. El plan de tratamiento del riesgo. 8. La declaración de aplicabilidad. 9. Los registros requeridos por la norma.
2.3. Requisitos de documentación Control de documentos: Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros: Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información.
2.3. Requisitos de documentación • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información y, conforme a la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua. • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
2.4. Compromiso de la dirección Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La dirección debe comprometerse de manera evidente con el establecimiento, implementación, puesta en marcha, monitorización, revisión, mantenimiento y Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes mejora del SGSI. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información. • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
2.5. Gestión de los recursos Como se comentaba anteriormente, es la dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Hay que contar con las diversas tareas que implica el funcionamiento, la verificación y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta el SGSI sólo puede lograrse comprobando regularmente que los procedimientos de seguridad están alineados con el negocio, que cumplen con los requisitos legales, que los controles están correctamente implementados y que se llevan a cabo las acciones oportunas para corregir errores y mejorar el sistema. Capítulo aparte merece la gestión de los recursos humanos. Este punto es uno de los factores críticos de éxito. Sin una colaboración activa del personal es muy difícil implementar con éxito un SGSI. 372
2.6 Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la contratación de personal competente). Como cualquier otra actividad, requiere una planificación, así como verificar que se cumplen los objetivos y mantener los registros de educación, formación y cualificación de los empleados. Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización. En la medida que seamos capaces de formar al personal y concienciarlo de que
2.7 Auditorías internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el tiempo y los recursos que habrá que destinar para efectuar la auditoría. • Los criterios de la auditoría. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte). • La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorías. Las auditorías internas sirven para determinar si los objetivos, los controles y los procedimientos son conformes con los requisitos aplicables (los de la propia norma, los de negocio, los legales, los de seguridad, etc.), así como el grado de implementación que tienen, si se están aplicando bien y si los resultados obtenidos son los esperados.
2.8 Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. El proceso de revisión por la dirección no debería ser un ejercicio ejecutado únicamente para cumplir los requisitos de la norma y de los auditores, sino que debería ser una parte integral del proceso de gestión del negocio de la organización. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. ◘ Entradas a la revisión: Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora. Las entradas a la revisión pueden ser: • Los resultados de las auditorías y las revisiones del SGSI. • Comentarios de las partes interesadas (usuarios de los sistemas de información, contratistas, clientes.
2.8 Revisión por la dirección • Técnicas, productos o procedimientos que podrían ser empleados en la organización para mejorar el funcionamiento y la efectividad del SGSI. • El estado de las acciones preventivas y correctivas. • Las vulnerabilidades o amenazas que no se han tratado adecuadamente en análisis de riesgos anteriores. • Los resultados de las métricas de efectividad. • Las acciones de seguimiento de anteriores revisiones por la dirección. • Cualquier cambio que pudiera afectar al SGSI. • Recomendaciones para la mejora. ◘ Salidas de la revisión: Los resultados de la revisión pueden ser de varios tipos: • Identificación de acciones para mejorar la efectividad del SGSI. • Actualización de la evaluación y la gestión de riesgos. • Modificación de los procedimientos y controles que afectan a la seguridad de la información para ajustarse a incidentes o cambios.
2.9 Mejora continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. ◘ Acción correctiva: La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información. ◘ Acción preventiva: Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. Se puede decidir abrir acciones preventivas a raíz de observaciones detalladas en las auditorías internas o externas, del análisis de la evolución de los objetivos y de los resultados de las actividades de revisión, ya que pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.

Más contenido relacionado

PPTX
Norma iso 27001
Fabiola_Escoto
 
PPT
Seguridad-auditoria
Johan Retos
 
PPTX
Iso 27001
navidisey
 
PDF
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
PPTX
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
DOCX
Iso27001 Ayrac Moreno Dick
Juan
 
DOCX
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
DOC
Iso27001
Gerard Flores
 
Norma iso 27001
Fabiola_Escoto
 
Seguridad-auditoria
Johan Retos
 
Iso 27001
navidisey
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Iso27001 Ayrac Moreno Dick
Juan
 
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
Iso27001
Gerard Flores
 

La actualidad más candente (18)

DOCX
Iso 27001
karen figueroa hrderera
 
DOCX
Resumen Norma Iso 27001
Gladisichau
 
PPT
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
PPT
Estandares ISO 27001 (3)
dcordova923
 
PDF
Normas leyes-familia iso-27000
Reynaldo Quintero
 
PPTX
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
yar_mal
 
PDF
Estandares ISO 27001 (4)
dcordova923
 
PDF
Norma iso 27001
jerssondqz
 
PPTX
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC
 
DOCX
Actividad 3 de auditoria 2 infografia (1)
ClaudiaCano41
 
PPTX
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
DOC
Estandaresiso27001 Hinostroza Cirilo Marcela
marzeth
 
PPTX
Sgsi
Eric Wilson Urraco
 
PPTX
Introducción a los sistemas de gestión de seguridad
josue hercules ayala
 
PPTX
Sistemas de Gestión de Seguridad Informática SGSI
Joel Sorto
 
PDF
Iso 27001
Eurohelp Consulting
 
PDF
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
PPTX
Norma iso 27001 seguridad informatica
Dubraska Gonzalez
 
Iso 27001
karen figueroa hrderera
 
Resumen Norma Iso 27001
Gladisichau
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
Estandares ISO 27001 (3)
dcordova923
 
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
yar_mal
 
Estandares ISO 27001 (4)
dcordova923
 
Norma iso 27001
jerssondqz
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC
 
Actividad 3 de auditoria 2 infografia (1)
ClaudiaCano41
 
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Estandaresiso27001 Hinostroza Cirilo Marcela
marzeth
 
Sgsi
Eric Wilson Urraco
 
Introducción a los sistemas de gestión de seguridad
josue hercules ayala
 
Sistemas de Gestión de Seguridad Informática SGSI
Joel Sorto
 
Iso 27001
Eurohelp Consulting
 
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Norma iso 27001 seguridad informatica
Dubraska Gonzalez
 
Publicidad

Similar a Implementación de la norma UNE-ISO/IEC 27001 (20)

PPTX
Introducción a los sistemas de gestión de seguridad
Edgardo Ortega
 
ODP
Sistemas de gestión de seguridad de la información
CRISTIAN FLORES
 
PPTX
William maldonado.
William Maldonado
 
PPTX
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
PPTX
Presentación Administración y Política
Gengali
 
PPTX
NORMA UNE-ISO/IEC 27001
Joselin Aguilar
 
ODP
Presentacion cap 1
ilicona83
 
PPTX
Presentación politicas juan jose mejia
jjm5212
 
PPTX
Admon publicaypolitcasinfo
Adalinda Turcios
 
PPTX
Politicas
Jannina Lamber
 
PPTX
SGSI ISO 27001
Augusto Chevez
 
PDF
Resumen cap. 1 sgsi
Denis Rauda
 
PPTX
Sistemas de Gestión de Seguridad de la Información SGSI
Wiley Caceres
 
PPTX
INTRODUCCION A LOS (SGIS)
Anders Castellanos
 
PPTX
Sistemas de gestión de seguridad de la información
Celia Rivera
 
PPTX
SGSI 27001
Marvin Joel Diaz Navarro
 
PPTX
SGSI
Angelica Lopez
 
PPT
SGSI
Milton Robles
 
DOC
Sistema de gestión de la seguridad de la información
carolapd
 
DOC
Sistema de gestión de la seguridad de la información
carolapd
 
Introducción a los sistemas de gestión de seguridad
Edgardo Ortega
 
Sistemas de gestión de seguridad de la información
CRISTIAN FLORES
 
William maldonado.
William Maldonado
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
Presentación Administración y Política
Gengali
 
NORMA UNE-ISO/IEC 27001
Joselin Aguilar
 
Presentacion cap 1
ilicona83
 
Presentación politicas juan jose mejia
jjm5212
 
Admon publicaypolitcasinfo
Adalinda Turcios
 
Politicas
Jannina Lamber
 
SGSI ISO 27001
Augusto Chevez
 
Resumen cap. 1 sgsi
Denis Rauda
 
Sistemas de Gestión de Seguridad de la Información SGSI
Wiley Caceres
 
INTRODUCCION A LOS (SGIS)
Anders Castellanos
 
Sistemas de gestión de seguridad de la información
Celia Rivera
 
SGSI 27001
Marvin Joel Diaz Navarro
 
SGSI
Angelica Lopez
 
SGSI
Milton Robles
 
Sistema de gestión de la seguridad de la información
carolapd
 
Sistema de gestión de la seguridad de la información
carolapd
 
Publicidad

Último (20)

DOCX
TEXTO DE TRABAJO DE EDUCACION RELIGIOSA - CUARTO GRADO.docx
huayllanipalominoroc
 
PDF
Modelo Educativo SUB 2023versión final.pdf
YessicaMenachoyugar
 
DOC
Manual de Convivencia 2025 actualizado a las normas vigentes
coordinacionietam
 
PDF
Ernst Cassirer - Antropologia Filosofica.pdf
GabinBlack
 
DOCX
PLAN DE CASTELLANO 2021 actualizado a la normativa
coordinacionietam
 
PDF
La lluvia sabe por qué: una historia sobre amistad, resiliencia y esperanza e...
JhonabrahamBravocard
 
DOC
4°_GRADO_-_SESIONES_DEL_11_AL_15_DE_AGOSTO.doc
dvaleroc1
 
PDF
LIBRO 2-SALUD Y AMBIENTE-4TO CEBA avanzado.pdf
jmazel2033
 
PDF
E1 Guía_Matemática_5°_grado.pdf paraguay
RodrigoCaceres59
 
PPTX
MATEMATICAS GEOMETRICA USO TRANSPORTADOR
Carlos Campaña Montenegro
 
PDF
Iniciación Al Aprendizaje Basado En Proyectos ABP Ccesa007.pdf
Demetrio Ccesa Rayme
 
PPTX
4. Qué es un computador PARA GRADO CUARTO.pptx
nelsontobontrujillo
 
PDF
TALLER DE ESTADISTICA BASICA para principiantes y no tan basicos
JoseTre
 
PDF
MODULO I ENFERMERIA BASICA.pdf HIstoria en enfermeria
DIAZVERABRAJHANSTALY
 
PPTX
LAS MIGRACIONES E INVASIONES Y EL INICIO EDAD MEDIA
profeRafa7
 
PPTX
RESUMENES JULIO - QUIRÓFANO HOSPITAL GENERAL PUYO.pptx
CristianCastillo435899
 
PDF
La Formacion Universitaria en Nuevos Escenarios Ccesa007.pdf
Demetrio Ccesa Rayme
 
DOCX
PLANES DE área ciencias naturales y aplicadas
AndrsForeroMaestre
 
PDF
Aumente su Autoestima - Lair Ribeiro Ccesa007.pdf
Demetrio Ccesa Rayme
 
PDF
CURRICULAR DE PRIMARIA santa ursula..pdf
ivelezz30
 
TEXTO DE TRABAJO DE EDUCACION RELIGIOSA - CUARTO GRADO.docx
huayllanipalominoroc
 
Modelo Educativo SUB 2023versión final.pdf
YessicaMenachoyugar
 
Manual de Convivencia 2025 actualizado a las normas vigentes
coordinacionietam
 
Ernst Cassirer - Antropologia Filosofica.pdf
GabinBlack
 
PLAN DE CASTELLANO 2021 actualizado a la normativa
coordinacionietam
 
La lluvia sabe por qué: una historia sobre amistad, resiliencia y esperanza e...
JhonabrahamBravocard
 
4°_GRADO_-_SESIONES_DEL_11_AL_15_DE_AGOSTO.doc
dvaleroc1
 
LIBRO 2-SALUD Y AMBIENTE-4TO CEBA avanzado.pdf
jmazel2033
 
E1 Guía_Matemática_5°_grado.pdf paraguay
RodrigoCaceres59
 
MATEMATICAS GEOMETRICA USO TRANSPORTADOR
Carlos Campaña Montenegro
 
Iniciación Al Aprendizaje Basado En Proyectos ABP Ccesa007.pdf
Demetrio Ccesa Rayme
 
4. Qué es un computador PARA GRADO CUARTO.pptx
nelsontobontrujillo
 
TALLER DE ESTADISTICA BASICA para principiantes y no tan basicos
JoseTre
 
MODULO I ENFERMERIA BASICA.pdf HIstoria en enfermeria
DIAZVERABRAJHANSTALY
 
LAS MIGRACIONES E INVASIONES Y EL INICIO EDAD MEDIA
profeRafa7
 
RESUMENES JULIO - QUIRÓFANO HOSPITAL GENERAL PUYO.pptx
CristianCastillo435899
 
La Formacion Universitaria en Nuevos Escenarios Ccesa007.pdf
Demetrio Ccesa Rayme
 
PLANES DE área ciencias naturales y aplicadas
AndrsForeroMaestre
 
Aumente su Autoestima - Lair Ribeiro Ccesa007.pdf
Demetrio Ccesa Rayme
 
CURRICULAR DE PRIMARIA santa ursula..pdf
ivelezz30
 

Implementación de la norma UNE-ISO/IEC 27001

  • 1. PRESENTADO POR: JENNYFER YANNYNA CRIBAS 20132000422
  • 2. Introducción La información es el principal activo de muchas organizaciones y precisa ser protegida adecuadamente frente a amenazas que puedan poner en peligro la continuidad del negocio. En la actualidad, las empresas de cualquier tipo o sector de actividad se enfrentan cada vez más con riesgos e inseguridades procedentes de una amplia variedad de contingencias, las cuales pueden dañar considerablemente tanto los sistemas de información como la información procesada y almacenada. Para proteger la información de una manera coherente y eficaz es necesario implementar un Sistema de Gestión de Seguridad de la Información (SGSI). Este sistema es una parte del sistema global de gestión, basado en un análisis de los riesgos del negocio, que permite asegurar la información frente a la pérdida de: • Confidencialidad: sólo accederá a la información quien se encuentre autorizado. • Integridad: la información será exacta y completa. • Disponibilidad: los usuarios autorizados tendrán acceso a la información cuando lo requieran. 1
  • 3. 1.1 Definición de un SGSI Un Sistema de Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización. Nos permitirá conocer mejor nuestra organización, cómo funciona y qué podemos hacer para que la situación mejore.
  • 4. 1.2 El ciclo de mejora continua Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en los sistemas de gestión de la calidad (véase la figura 1.1). • Plan. Esta fase se corresponde con establecer el SGSI. • Do. Es la fase en la que se implementa y pone en funcionamiento el SGSI. • Check. Esta fase es la de monitorización y revisión del SGSI. • Act. Es la fase en la que se mantiene y mejora el SGSI.
  • 5. 1.3 Origen de la norma UNE-ISO/IEC 27001 ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de las normas internacionales a través de comités técnicos establecidos por las organizaciones respectivas para realizar acuerdos en campos específicos de la actividad técnica. Los comités técnicos de ISO e IEC colaboran en los campos de interés mutuo. La Norma Internacional ISO/IEC 27002 fue preparada inicialmente por el Instituto de Normas Británico (como BS 7799), y adoptada bajo la supervisión del subcomité de técnicos de seguridad del comité técnico ISO/IEC JTC 1, en paralelo con su aprobación por los organismos nacionales miembros de ISO e IEC.
  • 6. 2 Comprender la Norma UNE-ISO/IEC 27001 La seguridad no es el resultado de un proceso, es un proceso en sí mismo. Se conseguirá un nivel de seguridad aceptable en la medida en que este proceso funcione y progrese adecuadamente. No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de una manera ordenada y metódica, mediante un proceso.
  • 7. 2.1 Requisitos generales del sistema de gestión de la seguridad Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación. Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las organizaciones, independientemente de su tamaño o sector de actividad. En particular, no se acepta la exclusión de los requerimientos especificados en los apartados 4, 5, 6, 7 y 8 cuando una organización solicite su conformidad con esta norma. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
  • 8. 2.1 Requisitos generales del sistema de gestión de la seguridad Lo que la norma reclama es que exista un sistema documentado:
  • 9. 2.1 Requisitos generales del sistema de gestión de la seguridad El sistema constará de una documentación en varios niveles (véase la figura 2.1):
  • 10. 2.2 Establecimiento y gestión del SGSI La norma establece una serie de requisitos, que se detallan a continuación (véase la figura 2.2). Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. Debe recopilarse información sobre varios aspectos, tales como a qué se dedica la organización, qué necesidades de seguridad precisa teniendo en cuenta su actividad, y el ámbito en el que opera, así como las restricciones legales a las que puede estar sujeta dicha actividad.
  • 11. 2.2 Establecimiento y gestión del SGSI Cuando una empresa decide adaptarse a esta norma (véase la figura 2.3 sig. filmina), básicamente se emprenderán las actividades que se detallan a continuación, y que como tienen que ser documentadas, al finalizarlas, el SGSI contará ya con los siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustará la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. • Inventario de activos, que detallará los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. • Análisis de riesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección respecto a los riesgos identificados, así como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección
  • 12. 2.2 Establecimiento y gestión del SGSI Figura 2.3. Establecer el SGSI
  • 13. 2.2 Establecimiento y gestión del SGSI Definición del alcance del SGSI: Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar toda la organización. Definición de la política de seguridad: Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. Esta política tendrá en cuenta los requisitos del negocio, los contractuales y los legales y estatutarios que sean aplicables. Es primordial incorporar en esta fase inicial las necesidades de la organización. Identificación de los activos de información: Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es indispensable identificar qué activos son los que soportan los procesos de la organización. Definición del enfoque del análisis de riesgos: Hay que decidir cómo se enfocará el análisis de riesgos. El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados.
  • 14. 2.2 Establecimiento y gestión del SGSI Cómo escoger la metodología del análisis de riesgos: Puesto que la norma únicamente establece que los resultados han de ser comparables y repetibles, debe escogerse aquella metodología que mejor se adapte a los modos de trabajo de la organización, así el ejercicio se integrará sin problemas en el trabajo cotidiano Tratamiento de los riesgos: Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos: • Mitigar el riesgo. • Transferir el riesgo a un tercero. • Asumir el riesgo. • Eliminar el riesgo. Selección de controles: Norma UNE-ISO/IEC 27002. En caso necesario, se pueden añadir otros, pero esta lista de controles es un sólido punto de partida para elegir las medidas de seguridad apropiadas para el SGSI, asegurando que ningún aspecto o control importante se pasan por alto. Gestión de riesgos: Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para hacerlo.
  • 15. 2.2 Establecimiento y gestión del SGSI Declaración de aplicabilidad: El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionado. • Los objetivos de control y los controles actualmente implementados. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. Implementación y puesta en marcha del SGSI: Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades. Si bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y tamaño de la organización, en cualquier caso se ha de contar con la designación de: • Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. • Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas. Control y revisión del SGSI: La revisión del SGSI forma parte de la fase del Check(comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema.
  • 16. 2.2 Establecimiento y gestión del SGSI Mantenimiento y mejora del SGSI: La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo es. Por lo tanto, sería un grave error considerar que una vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado el trabajo.
  • 17. 4. El inventario de activos. 5. Los procedimientos y controles de apoyo al SGSI. 6. El análisis del riesgo. 2.3. Requisitos de documentación Generalidades: El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas y que se pueda demostrar que los controles seleccionados lo han sido como resultado de estas decisiones y del análisis de riesgos. ◘ Por ello es necesario tener documentado: 1. La política y los objetivos del SGSI. 2. El alcance del SGSI. 3. Una descripción de la metodología de análisis del riesgo.
  • 18. 10. Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos.. 2.3. Requisitos de documentación ◘ Por ello es necesario tener documentado: 7. El plan de tratamiento del riesgo. 8. La declaración de aplicabilidad. 9. Los registros requeridos por la norma.
  • 19. 2.3. Requisitos de documentación Control de documentos: Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Control de registros: Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información.
  • 20. 2.3. Requisitos de documentación • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información y, conforme a la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua. • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
  • 21. 2.4. Compromiso de la dirección Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección. La dirección debe comprometerse de manera evidente con el establecimiento, implementación, puesta en marcha, monitorización, revisión, mantenimiento y Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes mejora del SGSI. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información. • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorías internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
  • 22. 2.5. Gestión de los recursos Como se comentaba anteriormente, es la dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Hay que contar con las diversas tareas que implica el funcionamiento, la verificación y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta el SGSI sólo puede lograrse comprobando regularmente que los procedimientos de seguridad están alineados con el negocio, que cumplen con los requisitos legales, que los controles están correctamente implementados y que se llevan a cabo las acciones oportunas para corregir errores y mejorar el sistema. Capítulo aparte merece la gestión de los recursos humanos. Este punto es uno de los factores críticos de éxito. Sin una colaboración activa del personal es muy difícil implementar con éxito un SGSI. 372
  • 23. 2.6 Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la contratación de personal competente). Como cualquier otra actividad, requiere una planificación, así como verificar que se cumplen los objetivos y mantener los registros de educación, formación y cualificación de los empleados. Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización. En la medida que seamos capaces de formar al personal y concienciarlo de que
  • 24. 2.7 Auditorías internas Una de las herramientas más interesantes para controlar el funcionamiento del SGSI son las auditorías internas. Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el tiempo y los recursos que habrá que destinar para efectuar la auditoría. • Los criterios de la auditoría. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte). • La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorías. Las auditorías internas sirven para determinar si los objetivos, los controles y los procedimientos son conformes con los requisitos aplicables (los de la propia norma, los de negocio, los legales, los de seguridad, etc.), así como el grado de implementación que tienen, si se están aplicando bien y si los resultados obtenidos son los esperados.
  • 25. 2.8 Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. El proceso de revisión por la dirección no debería ser un ejercicio ejecutado únicamente para cumplir los requisitos de la norma y de los auditores, sino que debería ser una parte integral del proceso de gestión del negocio de la organización. Para realizar esta revisión hay que recopilar información de los resultados de las distintas actividades del SGSI para comprobar si se están alcanzando los objetivos, y si no es así, averiguar las causas y decidir sobre las posibles soluciones. ◘ Entradas a la revisión: Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar a la dirección en la gestión del sistema y apoyar las acciones de mejora. Las entradas a la revisión pueden ser: • Los resultados de las auditorías y las revisiones del SGSI. • Comentarios de las partes interesadas (usuarios de los sistemas de información, contratistas, clientes.
  • 26. 2.8 Revisión por la dirección • Técnicas, productos o procedimientos que podrían ser empleados en la organización para mejorar el funcionamiento y la efectividad del SGSI. • El estado de las acciones preventivas y correctivas. • Las vulnerabilidades o amenazas que no se han tratado adecuadamente en análisis de riesgos anteriores. • Los resultados de las métricas de efectividad. • Las acciones de seguimiento de anteriores revisiones por la dirección. • Cualquier cambio que pudiera afectar al SGSI. • Recomendaciones para la mejora. ◘ Salidas de la revisión: Los resultados de la revisión pueden ser de varios tipos: • Identificación de acciones para mejorar la efectividad del SGSI. • Actualización de la evaluación y la gestión de riesgos. • Modificación de los procedimientos y controles que afectan a la seguridad de la información para ajustarse a incidentes o cambios.
  • 27. 2.9 Mejora continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. ◘ Acción correctiva: La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa con cualquiera de los requisitos del sistema de gestión de seguridad de la información. ◘ Acción preventiva: Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. Se puede decidir abrir acciones preventivas a raíz de observaciones detalladas en las auditorías internas o externas, del análisis de la evolución de los objetivos y de los resultados de las actividades de revisión, ya que pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.