Академический Документы
Профессиональный Документы
Культура Документы
Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestin competente y efectiva de la seguridad de los recursos y datos que gestionan.
eben demostrar que identifican y detectan los riesgos a los que est sometida y que adoptan medidas adecuadas y proporcionadas. Necesario! con"unto estructurado# sistemtico# co$erente y completo de normas a seguir.
En ingl's &S(S (&nformation Security (anagement System) S%S&! proceso sistemtico# documentado y conocido por toda la organizacin para garantizar que la seguridad de la informacin es gestionada correctamente
Normas ISO 2 !!!: )amilia de estndares de &S* (International Organization for Standardization) e &E+ (International Electrotechnical Commission) que proporciona un mar"o #ara la gesti$n de la seguridad +on"unto de normas que especifican los requisitos para establecer# implantar# poner en funcionamieto# controlar# revisar# mantener y me"orar un S%S&
Normas base! ,---.# ,---, Normas complementarias! ,---/# ,---0# ,---1# ...
Seguridad de la in%orma"i$n (seg2n &S* ,3--.)! preservacin de su confidencialidad# integridad y disponibilidad# as4 como la de los sistemas implicados en su tratamiento
Con%iden"ialidad! la informacin no se pone a disposicin ni se revela a individuos# entidades o procesos no autorizados. Integridad! mantenimiento de la e5actitud y completitud de la informacin y sus m'todos de proceso. &is#oni'ilidad: acceso y utilizacin de la informacin y los sistemas de tratamiento de la misma por parte de los individuos# entidades o procesos autorizados cuando lo requieran.
ISO/IEC 2 !!!: define el vocabulario estndar empleado en la familia ,3--- (definicin de trminos y conceptos) ISO/IEC 2 !!(: especifica los requisitos a cumplir para implantar un S%S& certificable conforme a las normas ,3--
efine cmo es el S%S&# cmo se gestiona y c2ales son las resposabilidades de los participantes. Sigue un modelo 6 +7 (6lan8 o8+$ec987ct) 6untos clave! %estin de riesgos : (e"ora cont4nua
;ecomendaciones sobre qu' medidas tomar para asegurar los sistemas de informacin de una organizacin escribe los ob"etivos de control (aspectos a analizar para garantizar la seguridad de la informacin) y especifica los controles recomendables a implantar (medidas a tomar) 7ntes &S* .33<<# basado en estndar =S 33<< (en Espa>a norma ?NE8&S* .33<<)
ISO/IEC 2 !!+: gestin de riesgos de seguridad de la informacin (recomendaciones# m'todos y t'cnicas para evaluacin de riesgos de seguridad) ISO/IEC 2 !!,: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones &S*B&E+ ,3--.
;equisitos para la acreditacin de las entidades de auditoria y certificacin
ISO/IEC 2 !! : gu4a de actuacin para auditar los S%S& conforme a las normas ,3--ISO/IEC 2 !((: gu4a de gestin de seguridad de la informacin espec4fica para telecomunicaciones (en desarrollo)
ISO/IEC 2 !)(: gu4a de continuidad de negocio en lo relativo a tecnolog4as de la informacin y comunicaciones (en desarrollo) ISO/IEC 2 !)2: gu4a relativa a la ciberseguridad (en desarrollo) ISO/IEC 2 !)2: gu4a de seguridad en aplicaciones (en desarrollo) ISO/IEC 2 --: gu4a para implantar &S*B&E+ ,3--, espec4fica para entornos m'dicos
ISO/IEC 2 !!(
Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organizacin. Especifica los requisitos para la implantacin de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas
O'.eti/o: (e"ora continua Se adopta el modelo 6lan8 o8+$ec98 7ct (6 +7 ciclo de eming) para todos los procesos de la organizacin.
ISO/IEC 2 !!(
Fase Plani%i"a"i$n 0Plan1 2esta'le"er el S3SI4! Establecer la pol4tica#ob"etivos# procesos y procedimientos relativos a la gestin del riesgo y me"orar la seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo con las pol4ticas y ob"etivos generales de la organizacin. Fase E.e"u"i$n 0&o1 2im#lementar 5 gestionar el S3SI4! &mplementar y gestionar el S%S& de acuerdo a su pol4tica# controles# procesos y procedimientos. Fase Seguimiento 0C6e"71 2monitori8ar 5 re/isar el S3SI4! (edir y revisar las prestaciones de los procesos del S%S&. )ase 9e.ora 0:"t1 2mantener 5 me.orar el S3SI4! 7doptar acciones correctivas y preventivas basadas en auditor4as y revisiones internas en otra informacin relevante a fin de alcanzar la me"ora cont4nua del S%S&.
ISO/IEC 2 !!(
P>:N: Esta'le"imiento 5 gesti$n del S3SI
definir el alcance del sistema de gestin definir la pol4tica del S%S& definir la metodolog4a para la valoracin del riesgo identificar los riesgos elaborar un anlisis y evaluacin de dic$os riesgos identificar los diferentes tratamientos del riesgo seleccionar los controles y ob"etivos de los mismos que posibilitarn dic$o tratamiento
preparar un plan de tratamiento del riesgo implantar los controles que se $ayan seleccionado medir la eficacia de dic$os controles crear programas de formacin y concienciacin
implantar una serie de procedimientos para el control y la revisin puesta en marc$a de una serie de revisiones regulares sobre la eficacia del S%S&# a partir de los resultados de las auditor4as de seguridad y de las mediciones tomar las medidas correctivas y preventivas
ISO/IEC 2 !!2
+on"unto de recomendaciones sobre qu' medidas tomar en la empresa para asegurar los Sistemas de &nformacin. Los ob"etivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las reas que los agrupa. 6ara conseguir cada uno de estos ob"etivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestin del riesgo analizado. O'.eti/o: efinir los aspectos prcticosBoperativos de la implantacin del S%S&
ISO/IEC 2 !!2
:reas/se""iones sobre las que actuar!
6ol4tica de seguridad 7spectos organizativos para la seguridad +lasificacin y control de activos Seguridad ligada al personal Seguridad f4sica y del entorno %estin de comunicaciones y operaciones +ontrol de accesos esarrollo y mantenimiento de sistemas %estin de incidentes de seguridad de la informacin %estin de continuidad de negocio +onformidad
O'.eti/os de "ontrol: aspectos a asegurar dentro de cada reaBseccin Controles: mecanismos para asegurar los distintos ob"etivos de control (gu4a de buenas prcticas) 6ara cada control se incluye una gu4a para su implantacin
ISO/IEC 2 !!2
>egisla"i$n
Leyes aplicables en relacin con la Seguridad en los Sistemas de &nformacin Ley *rgnica de 6roteccin de atos (>OP&)
Prote""i$n de &atos
Codas las organizaciones que tengan fic$eros con datos personales $an de declararlos a la 7gencia Espa>ola de 6roteccin de atos (DDD.agpd.es) Eay que implantar un documento de seguridad )ic$eros de datos personales clasificados en tres niveles!
@si"o! )ic$eros con informacin personal 9edio! )ic$eros con datos relativos a la comisin de infracciones administrativas# Eacienda 62blica# Servicios financieros# as4 como los fic$eros para la prestacin de servicios de informacin sobre solvencia patrimonial y de cr'dito :lto! )ic$eros con datos sobre ideolog4a# religin# creencias# origen racial# salud o vida se5ual# as4 como los datos recabados para fines policiales sin consentimiento del afectado
Eay que aplicar medidas de seguridad t'cnicas y organizativas en funcin del nivel y seg2n establece el reglamento 7uditor4as bienales para fic$eros de nivel medio y alto
>SSI?CE
Ley /0B,--, de .. de Fulio# de Servicios de la Sociedad de la &nformacin y del +omercio Electrnico G LSS&8+E ( DDD.lssi.es) Establece los criterios de servicios en &nternet# cuando sean parte de actividad econmica. Halidez y regulacin del comercio electrnico
>SSI?CE
(ostrar en la Deb! Nombre# N&)# direccin# correo electrnico atos de inscripcin registral incluyendo nombre del dominio (ostrar precios de los productos y servicios# +ontratacin y tramitacin on8line 7utenticacin mediante certificados y establecer canales seguros SSL