Escolar Documentos
Profissional Documentos
Cultura Documentos
2
Sección 1
Principios fundamentales de la
Seguridad de la Información
3
¿Qué es Seguridad?
4
Información y Activo
5
Activo de Información
6
Tipos de Activos de
Información
• Servicios: Procesos de negocio de la organización
• Datos/Información: Que son manipulados dentro de la
organización, suelen ser el núcleo del sistema, los demás
activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7
Documento - Registro
8
Seguridad de la Información
Nota: Por otra parte, también pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
9
Seguridad de la Información
10
Confidencialidad
11
Integridad
12
Disponibilidad
13
Análisis de Riesgos
Vulnerabilidad
14
Análisis de Riesgos
Amenazas
15
Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza
16
Impacto
17
Riesgo para la Seguridad de la
Información
• Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y por
lo tanto causará daño a la organización
Probabilidad Consecuencia
de
Ocurrencia
(Impacto) Riesgo
18
El Riesgo en función del
Impacto y la Probabilidad
• zona 1 – riesgos muy probables
y de muy alto impacto
• zona 2 – franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
• zona 3 – riesgos improbables y
de bajo impacto
• zona 4 – riesgos improbables
pero de muy alto impacto
19
Objetivo de Control y Control
Objetivo de Control
• Declaración de describir lo que se quiere lograr como
resultado de los controles de aplicación
Control
• Métodos para gestionar a riesgo
• Incluye las políticas, procedimientos, directrices y
prácticas o estructuras organizativas
• Sinónimo: medida, contra medida, dispositivo de
seguridad
20
Tipos de Controles
Control preventivo
Desalentar o evitar la aparición de problemas
Ejemplos:
• Publicación de la política de seguridad de la información.
• Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
• Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la información.
• Contratar sólo personal calificado.
21
Tipos de Controles
Control de investigación
Buscar e identificar anomalías
Ejemplos:
• Controles en trabajos de producción.
• Control de ecos en las telecomunicaciones.
• Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
• Sistema de detección de intrusiones (IDS).
22
Tipos de Controles
Control correctivo
Evitar la repetición de anomalías
Ejemplos:
• Implementar planes de emergencia con la formación,
concienciación, pruebas, procedimientos y actividades de
mantenimiento necesarios.
• Procedimientos de emergencia, tales como copias de
seguridad periódicas, el almacenamiento en un lugar
seguro y la recuperación de las transacciones.
• Procedimientos re-ejecutados.
23
Las Relaciones entre Conceptos de
Gestión de Riesgos
24
Sección 2
25
¿Qué es ISO?
26
Principios
Básicos de las Normas ISO
28
Los Sistemas de Gestión se Integran
SALUD Y
CALIDAD SEGURIDAD
ISO 9001 TRABAJO
OHSAS 18001
SISTEMA
DE
GESTION
SEGURIDAD DE
AMBIENTALISO LA
ISO 14001 INFORMACION
ISO 27001
29
¿Qué es un SGSI?
31
Enfoque a Procesos
32
Ciclo de Deming
33
Ciclo de Deming
34
Familia
ISO 27000
Vocabulario
ISO 27000
Vocabulario
Requisitos
35
ISO 27001
38
Historia de la Norma
ISO 27001
39
Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organización
Clausula 5
Planificación
Clausula 10 Clausula 8
Mejora Funcionamiento
Clausula 9
Evaluación del
Clausula 7 desempeño Clausula 5
Soporte Liderazgo
40
Sección 3
41
Enfoque a Procesos
2. Identificación
3. Clasificación y seguridad
4. Modificación
5. Aprobación
6. Distribución
7. Uso adecuado
8. Archivado
9. Disposición
43
ISO 30301
• Información y
documentación. Sistemas
de gestión para
documentos. Requisitos
• La organización puede ser
certificada en esta norma
44
La implantación de un Sistema de
Gestión de Seguridad de la Información es
una decisión estratégica
que debe involucrar a toda la organización y
que debe ser apoyada y
dirigida desde la dirección
45
Etapas
Ciclo de Deming
• Definir alcance del SGSI
• Definir Política de Seguridad
• Compromisode la dirección • Metodología de evaluación de
• Planificación riesgos.
• Fechas • Inventarios de activos
• Responsables • Identificar amenazas y
vulnerabilidades
• Identificar Impactos
• Análisis y evaluación de riesgos
• Selección de controles y SOA
• Revisar el SGSI
• Medir eficacia de los controles
• Revisar riesgos residuales
• Realizar auditoriasinternasdel
SGSI
• Registrar acciones y eventos 46
Iniciando el SGSI
Es importante determinar
en que nivel se encuentra la
organización, para ello
CMM muestra la madurez
de una organización
basándose en la capacidad
de sus procesos
48