SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Para establecer y gestionar un sistema de gestion de la seguridad se utiliza un ciclo PDCA

PLAN:establecer el SGSI

Definir el alcance en terminos del negocio

Incluya marco general y objetivos de seguridad

Establecer criterios,para evaluar el riesgo

Identificar los riesgos, y amenzas en relacion a los activos

Evaluar el impacto de negocio en un fallo de seguridad,contra la perdidad de confidencialidad

Identificar los diferentes tratamientos de riesgos como aplicar controles adecuados,transferir el riesgo a terceros.

Do:implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos

Implantar el plan de tratamientos de riesgos

Implementar los controles

Sistema de metricas que permita obtener resultados

Check:monitorizar y revisar el SGSI

Detectar a tiempo los errores

Identificar brechas e incidentes de seguridad

Detectar y prevenir eventos

Medir la efectividad de los controles

Actualizar los planes de seguridad y regsitrar acciones y eventos

Act :mantener y mejorar el SGSI

Implantar mejoras identificadas

Realizar acciones preventivas y correctivasComunicar acciones y mejoras

Asegurar los objetivos previstos

Subtema

COMPROMISO DE LA DIRECCION

Establecer una politica de seguridad de la informacion

ASIGNACION DE RECURSO

Establecer,implementar,operar,mantener y mejorar el SGSI

FORMACION Y CONCIENCIACION

Realizar tareas en aplicaciones SGSI

REVISION DEL SGSI

Se le realiza una revision al año para asegurar su continuidad y eficienia.

Herramienta que dispone la gerencia poara dirigir y controlar un determinado ambito

Tiene la posibilidadde mejorar la organizacion y beneficios de una organizacion.

EN INGLES INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMACION: TODO AQUEL CONJUNTO DE DATOS ORGANIZADOS EN PODER DE UNA ENTIDAD.

CONSISTE EN LA PRESERVACION DE SU CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD .

CONFIDENCIALIDAD:La informacion no se dispone a disposicion de otros individuos.

DISPONIBILIDAD:Acceso y utilizacion de la informacion.

INTEGRIDAD:Mnatenimiento de la exactitud de la informacion y sus metodos de proceso.

El cumplimiento de la legalidad,la adaptacion dinamica y puntual a las condiciones variables del entorno.

La proteccion aqdecuada de los objetivos de negocio para asegurar el maximo beneficio.

Debe contemplar unos procedimientos adecuados,basados en una evaluacion de riesgos y en una medicion de la eficacia de los mismo.

Siempre se ha mostrado la documentacion con una piramide de cuatro niveles que son:

Documentos de nivel 1:Manual de Seguridad :El que inspira y dirige todo el sistema,determina las intenciones,alcances,objetivos.

Documentos de nivel 2:Procedimientos:Aseguran que se realizen la planificacion,operacion y control eficaz.

Documento de nivel 3:Instrucciones,checklists y formularios:Describen como se realizan las tareas con la seguridad de la información.

Documentos de nivel 4:Registros:evidencian objetivamente el cumplimiento de los requisitos.

1.Alcance de sgsi

2.Politica y objetivos de seguridad

3.procedimientos y mecanismo de control que soporta la sistema sgsi

4.Enfoque de evaluacion de riesgos.

5.Informe de evaluacion de riesgos

6.Plan de tratamientos de riesgos

7.Procedimientos documentados

8.Registros

9.Declaracion de aplicabilidad