Sgsi
- 1. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) By: Eric Wilson Urraco 20112005849
- 2. ¿QUÉ ES SGSI? Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
- 3. ESTA NORMA ESTÁ CONFORMADA POR: Sistema de Gestión de la Seguridad de la Información (SGSI) Responsabilidad de la dirección Auditorias internas del SGSI Revisión del SGSI por la Dirección Mejora del SGSI
- 4. ESTABLECIMIENTO Y GESTIÓN DE SGSI En este punto se verán necesidades de la organización, a qué se dedica, los recursos disponibles, restricciones legales de dichas actividades a las que se dedica. Cuando decida adaptarse a dicha norma hará lo que se especifica en la imagen siguiente.
- 5. Definir alcance: es decir sobre que procesos va actuar (departamentos que parezcan mas sencillos para aplicar el SGSI) Definir política de seguridad: los criterios a seguir, líneas de acción a tomar a partir de situaciones que sucedan. Identificar los activos de información: activos que soportan los procesos de la organización(Equipos, Apps, Informes, Expedientes, BDD, Comunicaciones, Etc.) junto a sus responsables. Definir el enfoque del Análisis de Riesgos: determinar amenazas y vulnerabilidades de los activos escogidos anteriormente para escoger un control u otro. Como escoger la metodología del análisis de riesgos: a partir de que riesgos son aceptables por la organización, la mejor que se adapte. En este punto se documentará la política de seguridad aprobada por la dirección y la metodología a seguir.
- 6. Tratamiento de los riesgos: determinar si un riesgo es tolerable y a partir de eso: Mitigar el riesgo (reducirlo mediante controles) Asumir el riesgo (tolerable por la empresa) Transferirlo a terceros (asegurando el activo/información) Eliminar el riesgo. Selección de controles: controles o medidas de seguridad que ayudarán al tratamiento de los riesgos, estos serán tomados de la norma ISO/IEC 27002. Gestión de los riegos: repetir el análisis de los riesgos con los controles para obtener el valor del riego actual, para determinar lo que se resultara como riesgo asumible que deberá aprobar la organización. Declaración de Aplicabilidad: para demostrar que se consideran todas las opciones. Objetivos de control y control seleccionados Objetivos de control y control seleccionados actualmente seleccionados Controles excluidos y el por qué
- 7. Implementación y puesta en marcha del SGSI: puesta en marcha de SGSI involucrando al responsable de seguridad y el comité de seguridad. Control y revisión del SGSI: Fase del check del ciclo PDCA(Pan, Do, Check, Act), Revisar el alcance y niveles aceptables de riesgos, las eficiencias de las mediciones; por supuesto toda esta revisión deberá ser documentada. Mantenimiento y Mejora: en este punto se deberán detectar mejoras para que sean implementadas y aplicar acciones correctivas.
- 8. REQUISITOS DE DOCUMENTACIÓN Para justificar las decisiones tomadas por la dirección, las políticas y acciones tomadas, igualmente se deberán tener ciertos controles con la documentación estos son: Control de documentos: deberán de estar protegidos y controlados, además se controlará cómo se generan, revisan y actualizan. Control de registros: libro de visitas, informes de auditorias, logs al sistema, etc.
- 9. COMPROMISO DE LA DIRECCIÓN Uno de los requisitos fundamentales para la implementación del SGSI es contar con la colaboración de la dirección en todo el proceso ejecutando según las casos y por mencionar algunos como los siguientes: Establecer políticas del SGSI Decidir los criterios de aceptación de los riesgos Dirigir la gestión de las revisiones del SGSI
- 10. GESTIÓN DE LOS RECURSOS La implementación eficiente y eficaz de los recursos de la organización cuando se necesiten. Estos recursos pueden incluir recursos financieros, inventario, habilidades humanas, los recursos de producción, o tecnología de la información (IT), etc.
- 11. FORMACIÓN Esta norma exige que todos los trabajadores sean competentes para efectuar las actividades necesarias para así reducir drásticamente la probabilidad de fallos y su potencial impacto.
- 12. AUDITORÍAS INTERNAS Necesaria para controlar el funcionamiento del SGSI, deben programarse y prepararse regularmente, normalmente una vez al año. Estas sirven para determinar si los objetivos , los controles y los procedimientos son conformes con los requisitos aplicables, es decir si se está bien y los resultados obtenidos son los esperados.
- 13. REVISIÓN POR LA DIRECCIÓN Es una de las pocas tareas que se le asigna a la dirección, esta deberá revisar periódicamente el SGSI para garantizar la conveniencia, adecuación y eficacia continua del sistema
- 14. MEJORA CONTINUA Necesaria para incrementar la capacidad a la hora de cumplir los requisitos, mediante la mejora continua el cual se establecen objetivos y se identifican oportunidades para implementarlas al sistema. En esta etapa se realizaran dos acciones: Acción Correctiva (Detectar fallos o errores en los procesos) Acción Preventiva (Evitar futuras no conformidades)