Clase Modelo Seguridad de La Información

UNIVERSIDAD PERUANA DEL ORIENTE
UPO 1
Curso: Seguridad de la Información
Tema: Sistema de Gestión de Seguridad de la Información

Docente: Brigs Fasabi Vázquez
Ingeniero de Sistemas e Informática con estudios de maestría en:
Gestión Pública en la USMP y Tecnologías de Información en la UCV.
Correo: bfasabi@hotmail.com
Celular: 999-402127
Normas de convivencia
• Puntualidad
• Uso de dispositivos electrónicos sólo para los temas de clase
• Trabajar con materiales del curso solicitados (lecturas, trabajos, etc.)
Objetivo del Curso
Determinar que la arquitectura de seguridad (políticas,
estándares, procedimientos y controles) garantiza la
confidencialidad, integridad y disponibilidad de los activos de
información de una organización.
Logro de la sesión
El estudiante comprende qué es un Sistema de Gestión de
Seguridad de la Información (SGSI), entiende los beneficios
de implementar un SGSI para una organización y conoce la
familia de normas ISO 27000.
3
Saberes Previos
¿Qué entiende por

¿Qué entiende por ¿Qué entiende por
Sistema de Gestión
Tecnología de Seguridad de la
de Seguridad de la
Información? Información?
Información?
4
¿Qué es TI, Seguridad de la Información y SGSI?
• TI, conjunto de ciencias relacionadas con los Sistemas y la
Informática que constituyen el elemento indispensable para el
desarrollo de la humanidad y la generación sostenida de puestos
de trabajo.
• SI, es proteger los recursos informáticos valiosos de la
organización: Información, Hw y Sw, y que el acceso allí contenida,
así como su modificación, sólo sea posible a las personas que se
encuentren acreditadas y dentro de los límites de su autorización.
• Un SGSI es un enfoque sistemático para la gestión de la
información sensible de la compañía, de tal forma que ésta
permanezca segura. Esto incluye personas, procesos y sistemas de
TI aplicando un proceso de administración de riesgos.
• Puede ayudar a las pequeñas, medianas y grandes empresas en
cualquier sector mantener los activos de información segura.
Motivos para implantar un SGSI
 Requisito legal: En Perú, obligatorio para entidades del estado.
 Requisito corporativo: Ej. Puede ser obligatorio implementarlo por
estándar de la oficina principal.
 Práctica adquirida de la industria: Ej. Los principales competidores
están acreditados, no estarlo se vuelve en una desventaja
 Obtener ventaja estratégica: Ej. Buscar mejorar imagen ante
accionistas
 Para asegurarse de implementar mejores prácticas en Seguridad
 Etc…
Beneficios SGSI: https://www.youtube.com/watch?v=6EspTMCxTgM
https://www.youtube.com/watch?v=FgenDtaUhsQ
¿Por qué implantar un SGSI?
Beneficios de implementar un SGSI
• Reducción de Riesgos
• Reducción de costos
• Optimizar recursos e inversiones
• La seguridad pasa a ser un sistema convirtiéndose en una actividad
de gestión, ciclo de vida metódico y controlado.
• Protección del Negocio
• Mejora de la competitividad (eficacia / eficiencia)
• Cumplimiento Legal y Regulatorio
• Mejora Imagen Corporativa
Beneficios de implementar un SGSI
• Demuestra que la alta gerencia está comprometida con la seguridad

de la organización, incluyendo la información de sus clientes.
• Enfocada en reducir los riesgos de la información que es valiosa
para la organización.
• Operaciones optimizadas en la organización dadas las
responsabilidades y procesos claramente definidos.
• Construye una cultura de seguridad.
ISO / IEC 27001 – Gestión de la Seguridad de la
Información
• La familia de estándares ISO 27000 ayuda a las organizaciones a
mantener seguros los activos de información.
• Ayuda a las organizaciones a gestionar la seguridad de los activos, tales

como: información financiera, propiedad intelectual, información de los
empleados o información confiada a la organización por terceros.
• ISO/IEC 27001 provee los requerimientos para un sistema de gestión de

seguridad de la información (SGSI).
Fuente: http://www.iso.org
Familia de Normas ISO / IEC 27000
Familia ISO 27000: https://www.youtube.com/watch?v=vWAV0bdWvtI

Familia de Normas ISO / IEC 27000
ISO / IEC Descripción
27000 Vocabulario Estándar empleado en la familia 27000
27001 Requisitos a cumplir para implantar un SGSI certificable
27002 Código de Buenas Prácticas para la Gestión de la Seguridad
27003 Guía de Implementación
27004 Métricas
27005 Gestión de los Riesgos de Seguridad de la Información
27006 Requisitos a cumplir por organizaciones encargadas de emitir certificaciones
27007 Guía para Auditar los SGSI
27011 Guía de gestión de la Seguridad de la Información específica para Telecomunicaciones
27015 Guía de gestión de la Seguridad de la Información en servicios Financieros
https://www.youtube.com/watch?v=zV2sfyvfqik
27017 Código de práctica para controles de Seguridad de la Información para cloud services
27031 Guía de Continuidad de Negocio en lo relativo a TI y Comunicaciones
27032 Guía relativa a la Ciberseguridad
Mantener la certificación también genera:
Recursos requeridos para:
• Auditoría externa anual (costo de auditor, viáticos, personal de la compañía
dedicado durante la auditoría, etc.)
• Auditoría de re-certificación trianual
• Actualización permanente de la documentación (procedimientos, normas,
evidencia de actividades, registros, etc.)
• Operación de procedimientos y actividades definidas por el SGSI
• Recursos para la auditoría Interna requerida por el SGSI
• Actualización de herramientas empleadas y costo asociado
• Entrenamiento del personal incluido en el alcance (tiempo y costos)
• Etc...
Ejercicio
Discuta en grupos por qué sería beneficioso para las siguientes
organizaciones implementar y certificar un SGSI ISO 27001 (elija una del
grupo según color):
 Entidad que brinda servicios de Hosting de Servidores / Administración
de seguridad de la información
 Entidad que brinda servicio de archivo de documentos
 Entidad que brinda servicios de reparto de documentos
 Entidad que brinda servicios de salud (Ej. Clínica, hospital)
 Entidad que brinda servicios de asesoría legal
 Entidad financiera
 Empresa de telecomunicaciones
Certificación en ISO/IEC 27001
• Al igual que los otros estándares de sistemas de gestión ISO, la
certificación en ISO/IEC 27001 es posible pero no obligatoria. Algunas
organizaciones eligirán implementar el estándar para beneficiarse con
las mejores prácticas que él contiene, mientras que otras, decidirán
que además quieren certificarse para asegurar a los clientes (internos y
externos) que sus recomendaciones han sido seguidas.
• La organización ISO no brinda la certificación. La certificación es

brindada por organismos externos de certificación.
¿Quiénes son los organismos externos de
certificación?
• El Comité de Evaluación de la Conformidad de ISO (CASCO por sus
siglas en inglés) ha producido una serie de estándares relacionados al
proceso de certificación, los cuales son empleados por los organismos
externos de certificación.
• Cuando se elige a un organismo de certificación se debe:
√ Analizar y comparar varios organismos de certificación
√ Verificar si el organismo emplea los estándares CASCO relevantes
√ Verificar si está acreditado. La acreditación no es obligatoria y no estar
acreditado no significa necesariamente que el organismo no es bueno; sin
embargo la acreditación provee una confirmación independiente de su
competencia. Para encontrar un organismo acreditado se puede consultar en el
International Accreditation Forum (IAF)
Secciones de la Norma ISO 27001:2013
Repasemos
¿Qué es un SGSI?
¿Cuáles son los beneficios de implementar un SGSI?
¿Qué es la familia de normas ISO 27000?
¿Qué se requiere para mantener la certificación?

Clase Modelo Seguridad de La Información

Cargado por

Copyright:

Formatos disponibles

Clase Modelo Seguridad de La Información

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Clase Modelo Seguridad de La Información

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD PERUANA DEL ORIENTE

Curso: Seguridad de la Información

Tema: Sistema de Gestión de Seguridad de la Información

¿Qué entiende por

• Demuestra que la alta gerencia está comprometida con la seguridad

• Ayuda a las organizaciones a gestionar la seguridad de los activos, tales

• ISO/IEC 27001 provee los requerimientos para un sistema de gestión de

Familia ISO 27000: https://www.youtube.com/watch?v=vWAV0bdWvtI

• La organización ISO no brinda la certificación. La certificación es

¿Cuáles son los beneficios de implementar un SGSI?

¿Qué es la familia de normas ISO 27000?

¿Qué se requiere para mantener la certificación?

También podría gustarte