Scribd Logo
Carica

Benvenuto in Scribd!

  • Taller SGSI

    Caricato da

    carolina
    77 visualizzazioni5 pagine
    Este documento trata sobre la gestión de la seguridad de la información. Explica que la seguridad de la información consiste en preservar la confidencialidad, integridad y disponibilidad de la información de una organización. Para lograr esto, una organización debe implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el ciclo PDCA de planificación, ejecución, verificación y acción. El SGSI implica identificar riesgos, establecer objetivos de control y seleccionar controles para tratar

    Descrizione originale:

    taller

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Este documento trata sobre la gestión de la seguridad de la información. Explica que la seguridad de la información consiste en preservar la confidencialidad, integridad y disponibilidad de la información de una organización. Para lograr esto, una organización debe implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el ciclo PDCA de planificación, ejecución, verificación y acción. El SGSI implica identificar riesgos, establecer objetivos de control y seleccionar controles para tratar

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    77 visualizzazioni5 pagine

    Taller SGSI

    Caricato da

    carolina
    Este documento trata sobre la gestión de la seguridad de la información. Explica que la seguridad de la información consiste en preservar la confidencialidad, integridad y disponibilidad de la información de una organización. Para lograr esto, una organización debe implementar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el ciclo PDCA de planificación, ejecución, verificación y acción. El SGSI implica identificar riesgos, establecer objetivos de control y seleccionar controles para tratar

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 5

    Taller: gestin de Seguridad de la informacin

    Se entiende por informacin todo aquel conjunto de datos organizados en poder


    de una entidad que possen valor para la misma, independientemente de la forma
    que guarde y transmita (escrita, en imgenes, oral, impresa en papel,
    almacenada electrnicamente)

    La seguridad de la informacin. Segn la iso 27001 consiste en la preservacin


    de su confidencialidad, integridad y disponibilidad, as como de los sistemas
    implicados en su tratamiento dentro de una organizacin.

    Para garantizar que la seguridad de la informacin es gestionada correctamente


    se debe identificar inicialmente su ciclo de vida y los aspectos relevantes
    adoptados para garantizar su C-I-D:

    En base al conocimiento del ciclo de vida de adoptar el uso de un proceso


    sistemtico, documentado y conocido para la organizacin, desde un enfoque de
    riesgos empresarial.

    Este proceso es el que constituye un SGSI.

    Para que sirve un SGSI?

    Amenazas

    Vulnerabilidades

    Activos laptop, telfono, Tablet

    Valor del activo

    Riesgos

    Requerimientos de seguridad

    Controles protegen amenazas

    Controles disminuyen riesgos


    Como se implementa un SGSI?

    Para establecer y gestionar un SGSI en base a iso 27001.se utiliza el ciclo


    continuo PDCA. Tradicional en los sistemas de gestin de la calidad.

    Plan: establecer el SGSI

    Definir el alcance del SGSI en trminos de negocios, la organizacin, su


    localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier
    exclusin.

    Definir una metodologa de valuacin del riesgo.

    Identificar los riesgos asociados al alcance establecido.

    Analizar y evaluar los riesgos encontrados.

    Seleccionar los objetivos de control y los controles para el tratamiento de riesgos.

    Metodologas estandarizadas para la evaluacin de riesgos:

    MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de


    informacin. Promovida por el magisterio de admiracin pblicas de Espaa.

    EAR/pilar

    ISO 27005

    BS 7799-3:2006

    Do: implantar y revisar

    Actuar: mantener y mejorar

    Porque medir el riesgo?

    La medicin es el primer paso para el control y la mejora. Si algo no se puede


    medir, nos e puede entender. Si no se entiende, no se puede controlar, no se
    puede mejorar.
    Toda actividad para que logre los objetivos de manera

    Una organizacin

    Riesgo operacional

    Es la posibilidad de incurrir en prdidas por deficiencias, fallas o inadecuaciones,


    en el recurso humano, los procesos, la tecnologa, la infraestructura o por la
    ocurrencia de los acontecimientos externos

    Actores de la seguridad

    Administracin

    Factor humano

    Que es anlisis de riesgos?

    Es la consideracin sistemtica del dao probable que puede causar en el


    negocio un fallo en la seguridad de la informacin, con las consecuencias
    potenciales de perdida de confidencialidad, integridad y disponibilidad de la
    informacin.

    Cuanto invertir en la seguridad de informacin?

    La respuesta est directamente relacionada con el valor del activo a proteger

    El valor de un activo depende de varios factores:

    No solo de si costo de adquisicin

    La informacin contenida en los activos

    Los procesos controlados

    El impacto en la organizacin cuando falle

    Riesgo intrnseco

    En el estudio que se realiza sin tener en consideracin las diferentes medidas de


    seguridad ya que estn implementadas en una organizacin

    Riesgo residual
    Es el estudio que se realiza teniendo en consideracin las medidas de seguridad
    que la organizacin ya tiene implantadas.

    Evaluacin correcta de los riesgos

    Conclusin

    La forma de conseguir el mayor beneficio en seguridad de la informacin es


    contar con una adecuada evaluacin de riesgos, que oriente las inversiones, que
    minimicen el impacto en casis de incidentes.

    No importa la metodologa

    La seguridad de informacin no es responsabilidad nicamente del rea de


    tecnologa debe fluir desde la alta gerencia hacia todos los procesos de negocios

    Un comit de seguridad de la informacin compuesto por cada jefe de rea


    genera ms compromiso para hacer cumplir las polticas de seguridad de la
    informacin.

    Si la seguridad de la informacin depende nicamente de it entonces

    Los recursos financiera de una organizacin debe invertirse de la mejor manera


    mirando siempre el entorno de inversin.

    La organizacin debe entender la seguridad como un proceso que nunca


    termina.

    La inseguridad es una propiedad inherente a los recursos informticos y la


    gestin es la nica forma de medirla y aminorarla.

    Anlisis de riesgos

    Hacer un inventario de activos

    Amenazas

    Catlogo de elementos

    Potrebbero piacerti anche