Introducción a los sistemas de gestión de seguridad

Introducción a los sistemas de gestión de seguridad

• 1.
  Introducción a losSistemas de Gestión de Seguridad de la Información (SGSI)
• 2.
  Definición:  Un Sistemade Gestión de Seguridad de la Información (SGSI), según la Norma UNE-ISO/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.  Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar el control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización.
• 3.
  El ciclo demejora continua:  Para establecer y gestionar un sistema de gestión de la seguridad de la información se utiliza el ciclo PDCA (conocido también como ciclo Deming), tradicional en los sistemas de gestión de la calidad.  El ciclo PDCA es un concepto ideado originalmente por Shewhart, pero adaptado a lo largo del tiempo por algunos de los más sobresalientes personajes del mundo de la calidad.  Esta metodología ha demostrado su aplicabilidad y ha permitido establecer la mejora continua en organizaciones de todas clases.  El modelo PDCA o “Planificar-Hacer-Verificar-Actuar” (Plan-Do-Check-Act, de sus siglas en inglés)
• 4.
  La aceptación deeste primer SGSI es un factor de éxito fundamental. Permitirá a la organización ir mejorando su seguridad paulatinamente y con escaso esfuerzo.
• 5.
  La Norma UNE-ISO/IEC27001  Origen: ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, el denominado ISO/IEC JTC 1 (Joint Technical Committee 1). Actualmente, tanto la norma ISO/IEC 27001 como la ISO/IEC 27002 están en proceso de revisión internacional, y se espera que se publiquen las nuevas versiones a lo largo del año 2013.
• 6.
  Objeto y campode aplicación de la norma  La Norma UNE-ISO/IEC 27001, como el resto de las normas aplicables a los sistemas de gestión, está pensada para que se emplee en todo tipo de organizaciones (empresas privadas y públicas, entidades sin ánimo de lucro, etc.), sin importar el tamaño o la actividad.  Esta norma especifica los requisitos para la creación, implementación, funcionamiento, supervisión, revisión, mantenimiento y mejora de un SGSI documentado, teniendo en cuenta los riesgos empresariales generales de la organización. Es decir, explica cómo diseñar un SGSI y establecer los controles de seguridad, de acuerdo con las necesidades de una organización o de partes de la misma, pero no aclara mediante qué procedimientos se ponen en práctica
• 7.
  La Norma UNE-ISO/IEC27002  La Norma UNE-ISO/IEC 27002 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, ha sido elaborada por el AEN/CTN 71/SC 27 Técnicas de seguridad que pertenece al comité técnico conjunto ISO/IEC JTC 1/SC 27 Tecnología de la información.  Esta norma se está desarrollando dentro de una familia de normas internacionales sobre Sistemas de Gestión de la Seguridad de la Información (SGSI). Tal familia incluye normas internacionales sobre requisitos, gestión del riesgo, métricas y mediciones, así como una guía de implementación de los sistemas de gestión de la seguridad de la información.
• 8.
  Objeto y campode aplicación  La Norma UNE-ISO/IEC 27002 establece las directrices y principios generales para el comienzo, la implementación, el mantenimiento y la mejora de la gestión de la seguridad de la información en una organización.  Los objetivos de control y los controles de esta norma internacional tienen como fin servir de guía para el desarrollo de pautas de seguridad internas y prácticas efectivas de gestión de la seguridad
• 9.
  El Esquema Nacionalde Seguridad (ENS)  Origen : La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos está siendo el motor y la guía de la administración electrónica. Esta ley ha dado paso a una nueva etapa en la gestión de la Administración Pública, impulsando la adopción de los medios tecnológicos actualmente disponibles para realizar tareas de gestión y facilitando a los ciudadanos el acceso a la Administración Pública en contextos más adecuados a la realidad social.
• 10.
  Objeto y campode aplicación  El objeto del ENS es garantizar la seguridad de los servicios prestados mediante medios electrónicos, de manera que los ciudadanos puedan realizar cualquier trá- mite con la confianza de que va a tener validez jurídica plena y que sus datos van a ser tratados de manera segura.  Su ámbito de aplicación son los sistemas de información, los datos, las comunicaciones y los servicios electrónicos, que permitan a los ciudadanos y a las Administraciones Públicas el ejercicio de derechos y el cumplimiento de deberes a través de medios electrónicos