SlideShare uma empresa Scribd logo

Unidad 4: Gestión de la seguridad.

Transferir como PPTX, PDF
D
dsiticansilleria

En esta unidad veremos cómo funciona un sistemas de gestión de seguridad de la información y su integración con el esquema gubernamental de seguridad de la información.

Tecnologia
1 de 21
MINISTERIO DE RELACIONES EXTERIORES Y MOVILIDAD HUMANA CURSO VIRTUAL DE SEGURIDAD DE LA INFORMACIÓN. DIRECCIÓN DE SEGURIDAD INFORMÁTICA
UNIDAD 4: GESTIÓN DE LA SEGURIDAD
Sistema de Gestión de Seguridad de la Información. El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
¿Qué es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.
En el siguiente contexto, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: • Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. • Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
¿Para qué sirve un SGSI? La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.
¿Para qué sirve un SGSI? La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.
Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.
El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
Esquema Gubernamental de Seguridad de la Información (EGSI). La Gestión de la Seguridad de la Información Gubernamental ha cobrado auge a partir de la promulgación del Acuerdo Ministerial 166 de la Secretaría Nacional de la Administración Pública (SNAP) del 19 de septiembre de 2013. El acuerdo fija las actividades principales que las entidades públicas deben cumplir para implementar el Esquema Gubernamental de Seguridad de la Información promulgado con el acuerdo, entre estas: • La aplicación obligatoria de la familia de Normas Técnicas Ecuatorianas INEN ISO/IEC 27000 para gestión de la Seguridad de la Información por parte de las entidades de la APCDI.
• La implementación del EGSI en base al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de seguridad de la información en las entidades. • El control, seguimiento y coordinación de la implantación del EGSI a cargo de la Secretaría Nacional de la Administración Pública. • La revisión anual del EGSI conforme el cambio de la norma INEN ISO/IEC 27002 o cuando las circunstancias lo ameriten. • El registro, documentación y reporte del cumplimiento del EGSI y la revisión por parte de las autoridades de la institución. • La conformación al interior de cada institución de un Comité de Gestión de Seguridad de la Información y la designación de un Oficial de Seguridad de la Información y a un Responsable de Seguridad de Tecnologías de la Información (TI).
La implementación del EGSI en las entidades de la APCDI está siendo ejecutada y monitoreada por medio del sistema de Gobierno por Resultados (GPR) de la SNAP. En ese sistema, se ha creado un programa institucional que abarca a 180 entidades, las cuales ejecutan proyectos propios de implementación del EGSI alineados al mencionado programa.
Política de Seguridad de la Información. ¿Qué es una política de seguridad informática? Una política de seguridad informática es establecer mecanismos y técnicas para mantener comunicaciones seguras, salvaguardar la información y los recursos de un equipo o de una red de datos de una organización, de daños intencionales o accidentales, destrucción y/o robo de la información, transferencia y/o modificación no autorizada de información, saturación de un sistema, virus y otros programas maliciosos, uso no autorizado de un sistema informático o hasta de intrusiones y/o ataques por simple diversión; por lo que para proteger la integridad de la información se lo debe hacer de forma oportuna, precisa, confiable y completa.
“Una política de seguridad es un enunciado formal de las reglas que los usuarios que acceden a los recursos de la red de una organización deben cumplir”.  Se distinguen tres tipos: • Política de seguridad, desarrollada por la función de seguridad e impulsada por las máximas autoridades. • Políticas de seguridad de la información específicas desarrolladas e impulsadas por la función de seguridad de la información (Ej. Política de control de acceso). • Políticas de otras áreas de la organización que pueden estar relacionadas con la seguridad de la información (Ej. Política de adquisición y desarrollo de software, Política de ventas).
 Debe alinearse con los principios, objetivos, estrategia y disposición al riesgo de la organización.  Debe tener en cuenta el ambiente en el que funciona la organización. Ej. Regulaciones, infraestructura, etc.  Debe ser revisada por otras áreas. Ej. Área legal.  Puede existir como un documento breve con guías de alto nivel y enlaces a políticas más detalladas o como documento completo, con descripciones acabadas de todos los elementos relevantes.  Requisitos de una Política de Seguridad. • Es obligatoria. • Debe prever sanciones por incumplimiento. • Se focaliza en un resultado deseado y no en los medios a emplear (Qué y no cómo). • Se concreta a través de construcciones de menor nivel (políticas específicas, procedimientos). • Su ciclo de vida debe ser gestionado teniendo en cuenta las etapas de desarrollo, difusión y mantenimiento.
 Contenidos mínimos. • Propósito. • Alcance (qué abarca o incluye y qué no). • Roles y responsabilidades. • Consecuencias de incumplimientos. • Autoridades que aprueban el documento y sus cambios. • Fechas: emisión, revisión y futuras revisiones. • Identificación: código, número. • Documentación de los cambios.
La Dirección de Seguridad Informática ha generado políticas de seguridad para el Ministerio de Relaciones Exteriores y Movilidad Humana, éstas políticas se las menciona en la figura siguiente: Las políticas aprobadas se encuentran publicadas en la intranet institucional, en el a de tecnologías de la información.

Recomendados

Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.dsiticansilleria
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCamilo Hernandez
 

Recomendados

Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.dsiticansilleria
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCamilo Hernandez
 
Presentacion en power point
Presentacion en power pointPresentacion en power point
Presentacion en power pointbutterflysunx
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónUniversidad de Los Andes (ULA)
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONseguridad7p
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaPedro Trelles Araujo
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la InformaciónGerson David
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Marco
MarcoMarco
Marcomarco080030557
 
Marco
MarcoMarco
Marcomarco080030557
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Marco Antonio
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Lampiran
LampiranLampiran
LampiranAzizah Arsad
 
Presentación FCB
Presentación FCBPresentación FCB
Presentación FCBNicolas7965
 
01
0101
01jimskim
 

Mais conteúdo relacionado

Mais procurados

Presentacion en power point
Presentacion en power pointPresentacion en power point
Presentacion en power pointbutterflysunx
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasMaurice Frayssinet
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONseguridad7p
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la InformaciónGerson David
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica libra-0123
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Marco Antonio
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONJessicakatherine
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001carlosure07
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionalexaloaiza
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridadGuiro Lin
 

Mais procurados (19)

Presentacion en power point
Presentacion en power pointPresentacion en power point
Presentacion en power point
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologiasSeguridad de la informacion mitos y tecnologias
Seguridad de la informacion mitos y tecnologias
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACIONSEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad de la Información
Seguridad de la InformaciónSeguridad de la Información
Seguridad de la Información
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
politica de seguridad informatica
politica de seguridad informatica politica de seguridad informatica
politica de seguridad informatica
 
Marco
MarcoMarco
Marco
 
Marco
MarcoMarco
Marco
 
Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1Fundamentos Seguridad Informatica Clase 1
Fundamentos Seguridad Informatica Clase 1
 
SSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACIONSSEGURIDAD DE LA INFORMACION
SSEGURIDAD DE LA INFORMACION
 
Normas Iso 27001
Normas Iso 27001Normas Iso 27001
Normas Iso 27001
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Ejemplo Politica de seguridad
Ejemplo Politica de seguridadEjemplo Politica de seguridad
Ejemplo Politica de seguridad
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 

Destaque

Presentación FCB
Presentación FCBPresentación FCB
Presentación FCBNicolas7965
 
Trends in the accountancy market
Trends in the accountancy marketTrends in the accountancy market
Trends in the accountancy marketIRN Research
 
WSB-FinancialFoundation
WSB-FinancialFoundationWSB-FinancialFoundation
WSB-FinancialFoundationJeri Wolf
 
Russian word of the day
Russian word of the dayRussian word of the day
Russian word of the daygloria0369
 
Informatica
InformaticaInformatica
InformaticaNoeacius
 
Pazmiño gabriela ntics_e2
Pazmiño gabriela ntics_e2Pazmiño gabriela ntics_e2
Pazmiño gabriela ntics_e2gabby_29_1994
 
Mexico presentacion
Mexico presentacionMexico presentacion
Mexico presentacionErick845
 

Destaque (15)

Lampiran
LampiranLampiran
Lampiran
 
Presentación FCB
Presentación FCBPresentación FCB
Presentación FCB
 
01
0101
01
 
Verso
VersoVerso
Verso
 
Lupita
LupitaLupita
Lupita
 
Trends in the accountancy market
Trends in the accountancy marketTrends in the accountancy market
Trends in the accountancy market
 
WSB-FinancialFoundation
WSB-FinancialFoundationWSB-FinancialFoundation
WSB-FinancialFoundation
 
Russian word of the day
Russian word of the dayRussian word of the day
Russian word of the day
 
Informatica
InformaticaInformatica
Informatica
 
Relación tecnología sociedad
Relación tecnología sociedadRelación tecnología sociedad
Relación tecnología sociedad
 
Pazmiño gabriela ntics_e2
Pazmiño gabriela ntics_e2Pazmiño gabriela ntics_e2
Pazmiño gabriela ntics_e2
 
06
0606
06
 
Dummytest
DummytestDummytest
Dummytest
 
Mexico presentacion
Mexico presentacionMexico presentacion
Mexico presentacion
 
Normas de control interno
Normas de control internoNormas de control interno
Normas de control interno
 

Semelhante a Unidad 4: Gestión de la seguridad.

Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Kevin Rosales
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónMiguel Diaz
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282yar_mal
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaIsis Licona
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadedwin damian pavon
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 

Semelhante a Unidad 4: Gestión de la seguridad. (20)

Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
Sistemas de gestión de la seguridad de la información (Kevin Rafael Rosales ...
 
Slide de sgsi
Slide de sgsiSlide de sgsi
Slide de sgsi
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Sistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información
Sistema de gestión de seguridad de la información
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
SGSI
SGSISGSI
SGSI
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
 
Guia de ti7
Guia de ti7Guia de ti7
Guia de ti7
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 

Último (15)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 

Unidad 4: Gestión de la seguridad.

  • 1. MINISTERIO DE RELACIONES EXTERIORES Y MOVILIDAD HUMANA CURSO VIRTUAL DE SEGURIDAD DE LA INFORMACIÓN. DIRECCIÓN DE SEGURIDAD INFORMÁTICA
  • 2. UNIDAD 4: GESTIÓN DE LA SEGURIDAD
  • 3. Sistema de Gestión de Seguridad de la Información. El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
  • 4. Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
  • 5. ¿Qué es un SGSI? SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. ISMS es el concepto equivalente en idioma inglés, siglas de Information Security Management System.
  • 6. En el siguiente contexto, se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.
  • 7. La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización. Así pues, estos tres términos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la información: • Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados. • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. • Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.
  • 8. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.
  • 9. ¿Para qué sirve un SGSI? La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.
  • 10. ¿Para qué sirve un SGSI? La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.
  • 11. Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos provocados accidentalmente por catástrofes naturales y fallos técnicos.
  • 12. El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos.
  • 13. El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir. Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
  • 14. Esquema Gubernamental de Seguridad de la Información (EGSI). La Gestión de la Seguridad de la Información Gubernamental ha cobrado auge a partir de la promulgación del Acuerdo Ministerial 166 de la Secretaría Nacional de la Administración Pública (SNAP) del 19 de septiembre de 2013. El acuerdo fija las actividades principales que las entidades públicas deben cumplir para implementar el Esquema Gubernamental de Seguridad de la Información promulgado con el acuerdo, entre estas: • La aplicación obligatoria de la familia de Normas Técnicas Ecuatorianas INEN ISO/IEC 27000 para gestión de la Seguridad de la Información por parte de las entidades de la APCDI.
  • 15. • La implementación del EGSI en base al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de seguridad de la información en las entidades. • El control, seguimiento y coordinación de la implantación del EGSI a cargo de la Secretaría Nacional de la Administración Pública. • La revisión anual del EGSI conforme el cambio de la norma INEN ISO/IEC 27002 o cuando las circunstancias lo ameriten. • El registro, documentación y reporte del cumplimiento del EGSI y la revisión por parte de las autoridades de la institución. • La conformación al interior de cada institución de un Comité de Gestión de Seguridad de la Información y la designación de un Oficial de Seguridad de la Información y a un Responsable de Seguridad de Tecnologías de la Información (TI).
  • 16. La implementación del EGSI en las entidades de la APCDI está siendo ejecutada y monitoreada por medio del sistema de Gobierno por Resultados (GPR) de la SNAP. En ese sistema, se ha creado un programa institucional que abarca a 180 entidades, las cuales ejecutan proyectos propios de implementación del EGSI alineados al mencionado programa.
  • 17. Política de Seguridad de la Información. ¿Qué es una política de seguridad informática? Una política de seguridad informática es establecer mecanismos y técnicas para mantener comunicaciones seguras, salvaguardar la información y los recursos de un equipo o de una red de datos de una organización, de daños intencionales o accidentales, destrucción y/o robo de la información, transferencia y/o modificación no autorizada de información, saturación de un sistema, virus y otros programas maliciosos, uso no autorizado de un sistema informático o hasta de intrusiones y/o ataques por simple diversión; por lo que para proteger la integridad de la información se lo debe hacer de forma oportuna, precisa, confiable y completa.
  • 18. “Una política de seguridad es un enunciado formal de las reglas que los usuarios que acceden a los recursos de la red de una organización deben cumplir”.  Se distinguen tres tipos: • Política de seguridad, desarrollada por la función de seguridad e impulsada por las máximas autoridades. • Políticas de seguridad de la información específicas desarrolladas e impulsadas por la función de seguridad de la información (Ej. Política de control de acceso). • Políticas de otras áreas de la organización que pueden estar relacionadas con la seguridad de la información (Ej. Política de adquisición y desarrollo de software, Política de ventas).
  • 19.  Debe alinearse con los principios, objetivos, estrategia y disposición al riesgo de la organización.  Debe tener en cuenta el ambiente en el que funciona la organización. Ej. Regulaciones, infraestructura, etc.  Debe ser revisada por otras áreas. Ej. Área legal.  Puede existir como un documento breve con guías de alto nivel y enlaces a políticas más detalladas o como documento completo, con descripciones acabadas de todos los elementos relevantes.  Requisitos de una Política de Seguridad. • Es obligatoria. • Debe prever sanciones por incumplimiento. • Se focaliza en un resultado deseado y no en los medios a emplear (Qué y no cómo). • Se concreta a través de construcciones de menor nivel (políticas específicas, procedimientos). • Su ciclo de vida debe ser gestionado teniendo en cuenta las etapas de desarrollo, difusión y mantenimiento.
  • 20.  Contenidos mínimos. • Propósito. • Alcance (qué abarca o incluye y qué no). • Roles y responsabilidades. • Consecuencias de incumplimientos. • Autoridades que aprueban el documento y sus cambios. • Fechas: emisión, revisión y futuras revisiones. • Identificación: código, número. • Documentación de los cambios.
  • 21. La Dirección de Seguridad Informática ha generado políticas de seguridad para el Ministerio de Relaciones Exteriores y Movilidad Humana, éstas políticas se las menciona en la figura siguiente: Las políticas aprobadas se encuentran publicadas en la intranet institucional, en el a de tecnologías de la información.