Presentacion sgsi
- 1. UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS ASIGNATURA: ADMINISTRACIÓN PUBLICA Y POLÍTICAS ALUMNO: MELVIN JOSUÉ GUZMÁN HERNÁNDEZ
- 2. SGSI • Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto.
- 3. ¿PARA QUE SIRVE? • La información, junto a los procesos y sistemas que hacen uso de ella, son activos • muy importantes de una organización. La confidencialidad, integridad y disponibilidad • de información sensible pueden llegar a ser esenciales para mantener los niveles de • competitividad, rentabilidad, conformidad • legal e imagen empresarial necesarios para • lograr los objetivos de la organización y asegurar beneficios económicos.
- 5. QUE INCLUYEN: • En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado • gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es • posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la • Información basado en ISO 27001 de la siguiente forma:
- 6. • Manual de seguridad • : por analogía con el manual de calidad, aunque el término se usa • también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el • que expone y determina las intenciones, al • cance, objetivos, responsabilidades, • políticas y directrices principales, etc., del SGSI • Procedimientos • : documentos en el nivel operativo, que aseguran que se realicen de • forma eficaz la planificación, operación y control de los procesos de seguridad de la • información.
- 7. COMO LO IMPLEMENTAMOS Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. • Plan (planificar): establecer el SGSI. • Do (hacer): implementar y utilizar el SGSI. • Check (verificar): monitorizar y revisar el SGSI. • Act (actuar): mantener y mejorar el SGSI
- 9. CUALES SON LAS TAREAS DE LA GERENCIA Uno de los componentes primordiales en la implantación exitosa de un Sistema de Gestión de Seguridad de la Información es la implicación de la dirección. No se trata de una expresión retórica, sino que debe asumirse desde un principio que un SGSI afecta fundamentalmente a la gestión del negocio y requiere, por tanto, de decisiones y acciones que sólo puede tomar la gerencia de la organización. No se debe caer en el error de considerar un SGSI una mera cuestión técnica o tecnológica relegada a niveles inferiores del organigrama; se están gestionando riesgos e impactos de negocio que son responsabilidad y decisión de la dirección.
- 10. ¿SE INTEGRA CON OTRO SISTEMA DE GESTIÓN? Un SGSI es, en primera instancia, un sistema de gestión, es decir, una herramienta de la que dispone la gerencia para dirigir y controlar un determinado ámbito, en este caso, la seguridad de la información. La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio- ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001. Ahora, se añade ISO 27001 como estándar de gestión de seguridad de la información.
- 11. GRACIAS