5. Sistema de Gestión de la Seguridad de la
Información (SGSI)
Adopta la metodologia PDCA,
6.
7. La serie ISO 27000 reemplazó a ISO 17799 y a UNE
71502:
27000: Definiciones y términos (draft)
27001: Implantación del SGSI (Certificable) evolución de
BS-7799-2 y equivale a UNE 71502
27002:Transcripción de ISO 17799:2005, catalogo de
buenas practicas.
27003: Guía de implementación .
27004: Indicadores y metricas.
27005: Gestión y evaluación de riesgos.
8. 1) Define un marco para el establecimiento de
objetivos y establece las directrices y principios de
accion en lo referente a seguridad de la información
2) Tiene en cuenta requerimientos legales, de negocio
y contractuales
3) Se alinea el contexto estrategico de gestión del
riesgo de la organizacion en el que se desarrolla el
SGSI
4) Establece los criterios de evaluación del riesgo
9.
10. Con origen en la norma británica BS7799-1,
constituye un código de buenas prácticas para la
Gestión de la Seguridad de la Información.
Establece la base común para desarrollar normas de
seguridad dentro de las organizaciones.
Define diez dominios de control que cubren por
completo la Gestión de la Seguridad de la
Información.
36 objetivos de control y 127 controles.
11. 1. Política de Seguridad
2. Organización de Seguridad
3. Clasificación y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10. Cumplimiento Legal
17. Gestión de documentación: el procedimiento
utilizado para la gestión de documentación en el SGC
puede ser usado con el mismo objetivo en el SGSI,
sólo con algunas pequeñas adaptaciones.
Auditoría interna: se puede utilizar el mismo
procedimiento para el SGC y para el SGSI; aunque la
auditoría interna concreta generalmente sería
realizada por personas diferentes, ya que no es muy
probable que una misma persona conozca en
profundidad tanto sobre seguridad de la información
como sobre calidad.
18. Medidas correctivas y preventivas: el procedimiento
utilizado para el SGC puede ser usado con el mismo
objetivo en el SGSI, aunque es probable que sean
personas diferentes quienes resuelvan los temas
relacionados con SGC o SGSI.
Gestión de recursos humanos: el mismo ciclo de
planificación, capacitación y evaluación de RR.HH. se
utiliza para ambos sistemas de gestión; naturalmente,
la diferencia radica en el perfil de capacidades y
conocimientos requeridos.
19. Revisión por parte de la gerencia: los principios de la
revisión por parte de la gerencia son los mismos para
ambos sistemas de gestión; aunque no sería
recomendable realizar ambas revisiones en paralelo,
la gerencia ya estará acostumbrada a tomar
decisiones sobre el SGC; por lo tanto comprenderán
mejor cómo tomar decisiones en el contexto del SGSI.
Establecimiento de objetivos comerciales y
seguimiento de su cumplimiento: se fija el mismo
mecanismo en ambas normas; por eso, la gerencia
estará acostumbrada a una planificación sistemática
de este tipo.
20. Proceso para la gestión de la Seguridad de la
Información.
Especifica autenticidad, confidencialidad,
integridad y Disponibilidad de la Información
Riesgos y Continuidad del Negocio
21. COSO Committee of Sponsoring Organizations
of theTreadwayCommission (COSO): iniciativa
de 5 organismos para la mejora de control
interno dentro de las organizaciones.
Se relaciona con Riesgos
Los componentes son:
1-Ambiente de Control. 2-Evaluación de Riesgos. 3-
Actividades de Control. 4- Información y Comunicación.
5- Supervisión y Monitoreo.
22. COBIT 5 para la seguridad de la información",
actualizando la última versión de su marco a
fin de proporcionar una guía práctica en la
seguridad de la empresa, en todos sus niveles
prácticos.
Reduce sus perfiles de riesgo a través de la
adecuada administración de la seguridad
23. Toda la arquitectura de la empresa
La Información es considerado el activo más
importante de la Información
Maneja la arquitectura
24.
25. Capability Maturity Model Integration
Desarrollo, Adquisición y Servicios.
Desarrollo de Software.
26. Auditoría
Define los acciones que se deben registrar, así como la
información asociada a la acción:
▪ Código de la acción.
▪ Fecha y hora de la acción.
▪ Dirección IP origen.
▪ Usuario que realizó la acción.
▪ Resultado de la acción: Exitosa o Fallida.
▪ …
También define las acciones a tomar con los archivos de
logs:
▪ Cada cuanto se deben revisar.
▪ Backups.
▪ Tiempos de retención