![PROTEGER LA INFORMACION DE QUE?
AMENAZA:
(Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual
puede causar el daño a un sistema o la organización. (ISO27001)
ESTAS AMENAZAS pueden EXPLOTAR VULNERABILIDADES (Inglés: Vulnerability).
Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza
afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser
explotado por una amenaza. (www.iso27001.es)](https://image.slidesharecdn.com/presentacion-sgsi-130605201559-phpapp02/85/Presentacion-SGSI-5-320.jpg)
![¿CUAL ES EL RIESGO? (Inglés: Risk).
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una pérdida o daño en un activo de información.
Según [ISO Guía73:2002]: combinación de la probabilidad de un evento
y sus consecuencias. (www.iso27001.es)](https://image.slidesharecdn.com/presentacion-sgsi-130605201559-phpapp02/85/Presentacion-SGSI-7-320.jpg)
![ALGUNOS INCIDENTES DE SEGURIDAD
Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la información
inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del
negocio y amenazar la seguridad de la información. (www.iso27001.es)
Puede ser causado por:
• Una falta en algún mecanismo de seguridad.
• Un intento o amenaza (concreta o no) de romper mecanismos de seguridad, etc.
Interceptación → afecta CONFIDENCIALIDAD
DdoS
AFECTA A LA DIPOSNIBILIDAD
INCIDENTE DE SEGURIDAD](https://image.slidesharecdn.com/presentacion-sgsi-130605201559-phpapp02/85/Presentacion-SGSI-8-320.jpg)
![SGSI = “SISTEMA DE GESTION PARA LA SEGURIDAD DE LA INFORMACION”(Inglés: ISMS).
Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]: la parte de un sistema
global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa,
mantiene y mejora la seguridad
de la información. (Nota: el sistema de gestión incluye una estructura de organización, políticas,
planificación de actividades, responsabilidades, procedimientos, procesos y recursos.)
Tomado de http://www.iso27000.es
¿QUE ES UN SISTEMA DE GESTION DE SEGURIDAD?](https://image.slidesharecdn.com/presentacion-sgsi-130605201559-phpapp02/85/Presentacion-SGSI-10-320.jpg)
Presentacion SGSI
- 4. La información es un activo que como otros activos tiene valor y requiere de una protección adecuada. • La información puede estar: • Impresa • En tableros acrílicos • Digitalmente • Transmitida a través de medios electrónicos como el correo • Hablada • Videos OBJETIVOS DE LA SEGURIDAD: • CONFIDENCIALIDAD. • DISPONIBILIDAD. • INTEGRIDAD DE LA INFORMACIÓN.
- 5. PROTEGER LA INFORMACION DE QUE? AMENAZA: (Inglés: Threat). Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización. (ISO27001) ESTAS AMENAZAS pueden EXPLOTAR VULNERABILIDADES (Inglés: Vulnerability). Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo. Según [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. (www.iso27001.es)
- 6. • Inadecuado compromiso de la dirección. • Personal inadecuadamente capacitado y concienciado. • Inadecuada asignación de responsabilidades. • Ausencia de políticas / procedimientos. • Ausencia de controles Físicos / lógicos Disuasivos / preventivos / detectivos / correctivos • Ausencia de reportes de incidentes y vulnerabilidades. • Inadecuado seguimiento y monitoreo de los controles Por mencionar algunas vulnerabilidades
- 7. ¿CUAL ES EL RIESGO? (Inglés: Risk). Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Según [ISO Guía73:2002]: combinación de la probabilidad de un evento y sus consecuencias. (www.iso27001.es)
- 8. ALGUNOS INCIDENTES DE SEGURIDAD Según [ISO/IEC TR 18044:2004]: Evento único o serie de eventos de seguridad de la información inesperados o no deseados que poseen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información. (www.iso27001.es) Puede ser causado por: • Una falta en algún mecanismo de seguridad. • Un intento o amenaza (concreta o no) de romper mecanismos de seguridad, etc. Interceptación → afecta CONFIDENCIALIDAD DdoS AFECTA A LA DIPOSNIBILIDAD INCIDENTE DE SEGURIDAD
- 9. MODIFICACION INFORMACION: ATENTA CONTRA LA INTEGRIDAD
- 10. SGSI = “SISTEMA DE GESTION PARA LA SEGURIDAD DE LA INFORMACION”(Inglés: ISMS). Sistema de Gestión de la Seguridad de la Información. Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión que, basado en el análisis de riesgos, establece, implementa, opera, monitoriza, revisa, mantiene y mejora la seguridad de la información. (Nota: el sistema de gestión incluye una estructura de organización, políticas, planificación de actividades, responsabilidades, procedimientos, procesos y recursos.) Tomado de http://www.iso27000.es ¿QUE ES UN SISTEMA DE GESTION DE SEGURIDAD?
- 11. CUALES SON LOS BENEFICIOS DE TENER UN SGSI? 1) Permite definir una política interna que fije metas u objetivos y el compromiso de lograr un alto nivel de desempeño, cumpliendo con todos los requisitos legales, encaminados a la mejora continua, tendiendo a proveer los recursos adecuados y apropiados para implementarla política trazada. 2) Incorpora el concepto de “competencia” y se establece la necesidad de evaluar la efectividad y eficiencia del personal para las tareas asignadas. 3) Induce y fomenta la formación y capacitación del personal en su área. 4) Concienciar al personal de la relevancia e importancia de sus actividades y de cómo esta contribuye a la consecución de los objetivos de la organización. 5) Obliga a la ejecución de programas y planificación de las actividades por período, como también la verificación y seguimiento de las mismas, permitiendo definir recursos necesarios, económicos y de RRHH de manera clara. 6) Permite una clara comunicación tanto entre las diferentes unidades de negocio como con los clientes y proveedores. 7) Permite el seguimiento o trazabilidad de la información y del trabajo elaborado. Debiendo establecer los métodos para obtener y utilizar dicha información. 8 ) Permite medir los objetivos trazados, mediante indicadores previamente definidos. 9) Todo cambio dentro de la organización, procedimiento o proceso involucra un ciclo de mejora continua.
- 12. ¿POR QUÉ ISO 27001? Porque es un estándar internacional para la gestión de la seguridad de la información y CERTIFICABLE para las compañías. Cada vez más las organizaciones de clase mundial están incluyendo en sus agendas corporativas la seguridad de la información como estrategia de negocios que genera valor para sus clientes, ya que su pérdida ocasiona un impacto en la organización que puede ser de tipo económico, legal, financiero o de reputación.
- 13. TECNOOUTSOURCING diseña e implementa modelos de seguridad adaptados a sus necesidades mediante estándares internacionales y la inclusión de buenas prácticas de T.I. CONTACTO: Ing. Gloria Stella Viveros Muriel e-mail: [email protected] www.tecnooutsourcing.co blog.tecnooutsourcing.co Tel. (571) 80678 75 Cel. 3112674069 Bogotá, D.C - Colombia