Publicado el 27 de Julio del 2017
564 visualizaciones desde el 27 de Julio del 2017
348,6 KB
37 paginas
Creado hace 14a (25/11/2009)
Implantación de un SGSI en la empresa
Implantación de un SGSI en la empresa
Implantación de un SGSI en la empresa
INDICE
CAPÍTULO 1 – Conceptos básicos sobre Seguridad de la Información....................................................................... 3
CAPÍTULO 2 – La seguridad y su justificación desde el punto de vista del negocio. .............................................. 6
CAPÍTULO 3 – Marco legal y jurídico de la Seguridad. Normativas de Seguridad. .................................................. 8
CAPÍTULO 4 – Estándares de Gestión de la Seguridad de la Información. .............................................................. 11
CAPÍTULO 5 – Implantación de un SGSI............................................................................................................................ 13
CAPÍTULO 6 – Definición de las Políticas, Organización, Alcance del Sistema de Gestión y Concienciación.16
CAPÍTULO 7 – Los activos de la Seguridad de la Información..................................................................................... 19
CAPÍTULO 8 – Análisis y Valoración de los Riesgos. Metodologías............................................................................ 22
CAPÍTULO 9 – Gestión y Tratamiento de los Riesgos. Selección de los Controles................................................. 25
CAPÍTULO 10 – Seguimiento, Monitorización y Registro de las Operaciones del Sistema. ................................ 29
CAPÍTULO 11 – Gestión de la Continuidad del Negocio............................................................................................... 32
CAPÍTULO 12 – Proceso de Certificación........................................................................................................................... 35
Implantación de un SGSI en la empresa
CAPÍTULO 1 – Conceptos básicos sobre Seguridad de la
Información.
Hola. Mi nombre es Raúl. Trabajo como Técnico de Seguridad en INTECO, el Instituto Nacional de
Tecnologías de la Comunicación.
En INTECO trabajamos para fomentar e impulsar la seguridad de la información y su implantación en
las empresas y organizaciones. A diario, estamos amenazados por riesgos que ponen en peligro la
integridad de nuestra información y con ello la viabilidad de nuestros negocios. Riesgos que provienen
no sólo desde el exterior de nuestras empresas, sino también desde el interior.
Para poder trabajar en un entorno como este de forma segura, las empresas pueden asegurar sus
datos e información de valor con la ayuda de un Sistema de Gestión de Seguridad de la Información.
A lo largo de los próximos minutos, voy a detallarte las ventajas de implantar este sistema en tu
empresa y cómo hacerlo.
Podríamos definir un Sistema de Gestión de Seguridad de la Información como una herramienta de
gestión que nos va a permitir conocer, gestionar y minimizar los posibles riesgos que atenten contra la
seguridad de la información en nuestra empresa.
Quizá oigas hablar de este sistema por sus siglas en español, SGSI, o por sus siglas en inglés, ISMS.
Antes de comenzar a ver las características de este tipo de sistemas, es importante diferenciar entre
seguridad informática y seguridad de la información.
La primera, la seguridad informática, se refiere a la protección de las infraestructuras de las
tecnologías de la información y comunicación que soportan nuestro negocio.
Mientras que la seguridad de la información, se refiere a la protección de los activos de información
fundamentales para el éxito de cualquier organización.
Entre los muchos ejemplos de información que podemos encontrar en nuestra empresa están los
correos electrónicos, páginas web, imágenes, bases de datos, faxes, contratos, presentaciones,
documentos y un largo etcétera.
Al identificar los activos de información tenemos que tener en cuenta que estos pueden proceder de
distintas fuentes de información dentro de la empresa y que pueden encontrarse en diferentes
Implantación de un SGSI en la empresa
soportes, como papel o medios digitales. Además, es necesario considerar el ciclo de vida de la
información, ya que lo que hoy puede ser crítico para nuestro negocio puede dejar de tener
importancia con el tiempo.
Como hemos visto con anterioridad, para garantizar la seguridad de toda esta información podemos
contar con la ayuda de un Sistema de Gestión de Seguridad de la Información.
Esta metodología nos va a permitir, en primer lugar, analizar y ordenar la estructura de los sistemas
de información.
En segundo lugar, nos facilitará la definición de procedimientos de trabajo para mantener su
seguridad.
Y por último, nos ofrecerá la posibilidad de disponer de controles que permitan medir la eficacia de
las medidas tomadas.
Estas acciones van a proteger a nuestra organización frente a amenazas y riesgos que puedan poner
en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios
para alcanzar los objetivos de negocio.
De esta manera conseguiremos mantener el riesgo para nuestra información por debajo del nivel
asumible por la propia organización.
La gestión de los riesgos a través de un Sistema de Gestión de Seguridad de la Información nos va a
permitir preservar la confidencialidad, integridad y disponibilidad de la misma, en el interior de la
empresa, ante nuestros clientes y ante las distintas partes interesadas en nuestro negocio.
La confidencialidad implica el acceso a la información por parte únicamente de quienes están
autorizados.
La integridad conlleva el mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso.
Y la disponibilidad entraña el acceso a la información y los sistemas de tratamiento de la misma por
parte de los usuarios autorizados en el momento que lo requieran.
El acrónimo utilizado para hablar de estos parámetros básicos de la seguridad de la información es
CID en español y CIA en inglés.
Implantación de un SGSI en la empresa
Con el fin de proporcionar un marco de Gestión de la Seguridad de la Información utilizable por
cualquier tipo de organización se ha creado un conjunto de estándares bajo el nombre de ISO/IEC
27000.
Estas normas nos van a permitir disminuir de forma significativa el impacto de los riesgos sin
necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de
personal.
Más adelante analizaremos con detalle estas normas.
Implantación de un SGSI en la empresa
CAPÍTULO 2 – La seguridad y su justificación desde el punto
de vista del negocio.
La información es un valioso activo del que depende el buen funcionamiento de una organización.
Mantener su integridad, confidencialidad y disponibilidad es esencial para alcanzar los objetivos de
negocio.
Por esa razón, desde tiempos inmemorables las organizaciones han puesto los medios necesarios
para evitar el robo y manipulación de sus datos confidenciales.
En la actualidad, el desarrollo de las nuevas tecnologías ha dado un giro radical a la forma de hacer
negocios, a la vez que ha aumentado los riesgos para las empresas que se exponen a nuevas
amenazas.
Desafortunadamente, es relativamente fácil tener acceso a las herramientas que permiten a personas
no autorizadas llegar hasta la información protegida, con poco esfuerzo y conocimientos, causando
graves perjuicios para la empresa.
La mayor parte de la información reside en equipos informáticos, soportes de almacenamiento y
redes de datos, englobados dentro de lo que se conoce como sistemas de información.
Estos sistemas de información están sujetos a riesgos y amenazas que pueden generarse desde
dentro de la propia organización o desde el exterior.
Existen riesgos físicos como incendios, inundaciones, terremotos o vandalismo que pueden afectar la
disponibilidad de nuestra información y recursos, haciendo inviable la continuidad de nuestro negocio
si no estamos preparados para afrontarlos.
Por otra parte, se encuentran los riesgos lógicos relacionados con la propia tecnología y, que como
hemos dicho, aumentan día a día. Hackers, robos de identidad, spam, virus, robos de información y
espionaje industrial, por nombrar algunos, pueden acabar con la confianza de nuestros clientes y
nuestra imagen en el mercado.
Para proteger a nuestras organizaciones de todas estas amenazas es necesario conocerlas y
afrontarlas de una manera adecuada. Para ello debemos establecer unos procedimientos adecuados e
implementar controles de seguridad basados en la evaluación de los riesgos y en una medición de su
eficacia.
Implantación de un SGSI en la empresa
Un Sistema de Gestión de Seguridad de la Información, basado en la norma UNE-ISO/IEC 27001, es
una herramienta o metodología sencilla y de bajo coste que cualquier PYME puede utilizar. La norma
le permite est
Crear cuenta
Comentarios de: Implantación de un SGSI en la empresa (0)
No hay comentarios