Escolar Documentos
Profissional Documentos
Cultura Documentos
Campus Santiago
Carrera Ingeniera Informtica
Direccin: Repblica 517
Telfono: 56 (02) 675 3000
Implementacin de un
Integrantes:
Contenido
Introduccin...................................................................................................... 3
Definicin de informacin....................................................................................4
Sociedad e Informacin....................................................................................... 4
La informacin, un activo siempre expuesto al riesgo..............................................4
Informacin en las empresas................................................................................6
Qu es un SGSI?................................................................................................ 7
Para qu sirve un SGSI?..................................................................................... 7
Porqu implantar un sistema de seguridad de informacin?...................................8
Como establecer un Sistema de Gestin de Seguridad de Informacin (SGSI) para una empresa
...................................................................................................................... 12
Activos de informacin...................................................................................... 13
Tasacin de los activos de informacin................................................................13
Evaluacin de riesgo......................................................................................... 14
Desarrollo del plan de implementacin................................................................15
Monitoreo del sistema de seguridad....................................................................15
Conclusin Alejandro Vilches Lastra...................................................................17
Conclusin Francisco Bravo Pino........................................................................18
Conclusin Carlos Pavez Cartagena....................................................................19
Fuentes de informacin..................................................................................... 20
Introduccin
El presente trabajo tiene por finalidad cubrir en un porcentaje mnimo el vaco
generado por la falta de un mtodo documentado sobre cmo proceder a
implantar en cualquier empresa un sistema de gestin de seguridad de
informacin (SGSI), que les permita a las organizaciones minimizar los riesgos y
asegurar una continuidad en sus operaciones. Mostramos una pequea
pincelada de cmo instaurar en cualquier firma un SGSI basado en la norma ISO
27001: 2005. las fases y las actividades de la metodologa sirven de gua a los
profesionales encargados de manejar proyectos de implantacin.
Al instaurar un SGSI, usualmente no se sabe con precisin cmo se procede a
documentar el modelo. Con qu clusula se debe iniciar la documentacin?
Cmo se documenta un procedimiento par que sea amigable y sea una
herramienta de trabajo? Hay muchos libros que resuelven con la debida
profundidad estas preguntas y en l se presenta la estructura piramidal de la
documentacin del modelo ISO 27001: 2005 y l mtodo de los 13 pasos para
documentar un SGSI, el cual debe convertirse en una gran asistencia para los
responsables de documentar los sistemas. Concreta y detalladamente, se
describen las fases y los pasos de la "metodologa para disear un Plan de
Continuidad del Negocio (PCN)". No existe un SGSI si no se tiene instaurado un
PCN.
Dicho estndar hace nfasis en que la tecnologa de informacin representa un
servicio de importancia estratgica, que debe ser adecuadamente administrado
y que cuenta con procesos estndares que permiten el logro de dicho objetivo
desde el desarrollo de los productos y servicios hasta su operacin permanente.
Definicin de informacin
Para poder establecer un sistema de seguridad de informacin, primero
debemos definir lo que entendemos por informacin.
Se pueden encontrar variadas definiciones dependiendo de la fuente de
informacin y de los autores investigados, pero la mayora coincide en que la
informacin es un conjunto de datos acerca de algn suceso, hecho, fenmeno o
situacin, que organizados en un contexto determinado tienen un significado y
que tiene el propsito de reducir la incertidumbre o incrementar el conocimiento
de algo.
Sociedad e Informacin
Es difcil recrear en la mente un escenario de sociedad sin informacin. Vivimos
en una sociedad de fuertes transiciones, dimos el salto de la era mecnica e
industrial a la era de la informacin. El uso de los medios tecnolgicos y de
informacin ha afectado todos los mbitos sociales, ha modificado la forma de
interrelacionarnos y ha impactado los medios de produccin y las economas.
El mundo en el que vivimos est pletrico de datos, frases e conos. Hemos
aprendido a organizarlos y la informacin que de ellos deriva rige muchas de
nuestras decisiones. La percepcin que los seres humanos tenemos de nosotros
mismos ha cambiado, en vista de que se ha modificado la apreciacin que
tenemos de nuestro entorno. Nuestra circunstancia no es ms la del barrio o la
ciudad en donde vivimos, ni siquiera la del pas en donde nacemos. Nuestros
horizontes son, al menos en apariencia, de carcter planetario. Estas
caractersticas definen esta sociedad que conformamos, la sociedad de la
informacin.
Impresa o escrita
Almacenada electrnicamente
Qu es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la
Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
siglas de Information Security Management System.
En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su
origen (de la propia organizacin o de fuentes externas) o de la fecha de
elaboracin.
peligrosos,
Para que una amenaza cause dao a algn activo de informacin tendra que
explotar una o ms vulnerabilidades del sistema, aplicaciones o servicios
usados por la organizacin para ser exitosa en su intencin de hacer dao.
Una vez que se establecen las distintas amenazas que pueden afectar un activo,
se debe evaluar su posibilidad de ocurrencia.
Junto con las amenazas, se debe estudiar las vulnerabilidades, que se definen
como debilidades de seguridad asociadas con los activos de informacin de una
organizacin.
10
11
12
Activos de informacin
Los activos de informacin que se encuentran dentro del alcance del SGSI son
fundamentales para su implementacin. El anlisis y evaluacin del riesgo y las
decisiones que se tomen en relacin al tratamiento de este riesgo, giran en
torno a los activos de informacin identificados.
Un activo es algo que tiene valor o utilidad
operaciones comerciales y su continuidad.
De esta forma, la organizacin debe proteger sus activos para una correcta
operacin del negocio.
Los activos de informacin pueden ser clasificados de la siguiente forma:
Activos de
Informacin
Base de datos
Clientes
Equipos
computacionales
Confidencialida
d
5
5
Integridad
5
4
Disponibilida
d
5
3
Total
5
4
13
3
4
4
2
2
4
4
4
4
5
3
4
4
3
3
Evaluacin de riesgo
Una vez que se ha realizado el anlisis y la evaluacin del riesgo, se deben
decidir las acciones que se tomarn con esos activos que se estn sujetos a
riesgo. Los riesgos descubiertos en las etapas anteriores, pueden manejarse con
una serie de controles para la deteccin y prevencin.
Los riesgos relacionados con la seguridad de informacin pueden ser difciles de
cuantificar en trminos de la probabilidad de ocurrencia.
Una vez que el riesgo se ha calculado, se debe tomar la decisin de cmo se
tratar el riesgo. Esta decisin estar influenciada por el tipo de negocio y el
escenario en que se desarrolla.
Estas decisiones sueles estar influenciadas por dos factores.
Estos dos factores dan una idea de la prdida esperada si el riesgo ocurriera, si
nada se hace para mitigar el riesgo calculado.
Sin embargo, despus de haber tomado todas las acciones y decisiones dirigidas
a mitigar los riesgos, siempre queda un remante de ese riesgo. Este riesgo que
queda luego de implantado un sistema de Seguridad de informacin se llama
Riesgo Residual, que es difcil de calcular, pero se debe realizar una evaluacin
para asegurar que se logra una proteccin suficiente.
15
16
17
18
Fuentes de informacin
Seguridad de Informacin de Alberto G. Alexander.
http://es.wikipedia.org/wiki/
http://www.eficienciagerencial.com/
http://www.iso27001certificates.com/
http://www.iso27000.es/archivo2.html
http://www.alfaomega.com.mx/
19