Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • 07 Capitulo1

    Загружено:

    Roxana Izquierdo
    6 просмотров4 страницы

    Оригинальное название

    07.Capitulo1

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    6 просмотров4 страницы

    07 Capitulo1

    Загружено:

    Roxana Izquierdo

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 4

    1

    CAPITULO 1. SGSI

    El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto
    central sobre el que se construye ISO 27001.

    La gestin de la seguridad de la informacin debe realizarse mediante un proceso
    sistemtico, documentado y conocido por toda la organizacin. Este proceso es el
    que constituye un SGSI, que podra considerarse, por analoga con una norma tan
    conocida como ISO 9001, como el sistema de calidad para la seguridad de la
    informacin.

    Garantizar un nivel de proteccin total es virtualmente imposible, incluso en el
    caso de disponer de un presupuesto ilimitado. El propsito de un sistema de
    gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos
    de la seguridad de la informacin sean conocidos, asumidos, gestionados y
    minimizados por la organizacin de una forma documentada, sistemtica,
    estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en
    los riesgos, el entorno y las tecnologas.

    SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la
    Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,
    siglas de Information Security Management System.

    En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de
    datos organizados en poder de una entidad que posean valor para la misma,
    independientemente de la forma en que se guarde o transmita (escrita, en
    imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada,
    enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen
    (de la propia organizacin o de fuentes externas) o de la fecha de elaboracin.

    La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de
    su confidencialidad, integridad y disponibilidad, as como de los sistemas
    implicados en su tratamiento, dentro de una organizacin. As pues, estos tres
    trminos constituyen la base sobre la que se cimienta todo el edificio de la
    seguridad de la informacin:

    Confidencialidad: la informacin no se pone a disposicin ni se revela a
    individuos, entidades o procesos no autorizados.
    Integridad: mantenimiento de la exactitud y completitud de la informacin y sus
    mtodos de proceso.
    2

    Disponibilidad: acceso y utilizacin de la informacin y los sistemas de
    tratamiento de la misma por parte de los individuos, entidades o procesos
    autorizados cuando lo requieran.

    Para garantizar que la seguridad de la informacin es gestionada correctamente,
    se debe hacer uso de un proceso sistemtico, documentado y conocido por toda la
    organizacin, desde un enfoque de riesgo empresarial. Este proceso es el que
    constituye un SGSI.



    1.1 POR QUE APLICAR UN SGSI?


    La informacin, junto a los procesos y sistemas que hacen uso de ella, son activos
    muy importantes de una organizacin. La confidencialidad, integridad y
    disponibilidad de informacin sensible pueden llegar a ser esenciales para
    mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen
    empresarial necesarios para lograr los objetivos de la organizacin y asegurar
    beneficios econmicos.

    Las organizaciones y sus sistemas de informacin estn expuestos a un nmero
    cada vez ms elevado de amenazas que, aprovechando cualquiera de las
    vulnerabilidades existentes, pueden someter a activos crticos de informacin a
    diversas formas de fraude, espionaje, sabotaje o vandalismo. Los virus
    informticos, el hacking o los ataques de denegacin de servicio son algunos
    ejemplos comunes y conocidos, pero tambin se deben considerar los riesgos de
    sufrir incidentes de seguridad causados voluntaria o involuntariamente desde
    dentro de la propia organizacin o aquellos provocados accidentalmente por
    catstrofes naturales y fallos tcnicos.

    El cumplimiento de la legalidad, la adaptacin dinmica y puntual a las
    condiciones variables del entorno, la proteccin adecuada de los objetivos de
    negocio para asegurar el mximo beneficio o el aprovechamiento de nuevas
    oportunidades de negocio, son algunos de los aspectos fundamentales en los que
    un SGSI es una herramienta de gran utilidad y de importante ayuda para la gestin
    de las organizaciones.

    El nivel de seguridad alcanzado por medios tcnicos es limitado e insuficiente por
    s mismo. En la gestin efectiva de la seguridad debe tomar parte activa toda la
    organizacin, con la gerencia al frente, tomando en consideracin tambin a
    3

    clientes y proveedores de bienes y servicios. El modelo de gestin de la seguridad
    debe contemplar unos procedimientos adecuados y la planificacin e implantacin
    de controles de seguridad basados en una evaluacin de riesgos y en una
    medicin de la eficacia de los mismos.

    El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a
    establecer estas polticas y procedimientos en relacin a los objetivos de negocio
    de la organizacin, con objeto de mantener un nivel de exposicin siempre menor
    al nivel de riesgo que la propia organizacin ha decidido asumir.

    Con un SGSI, la organizacin conoce los riesgos a los que est sometida su
    informacin y los asume, minimiza, transfiere o controla mediante una sistemtica
    definida, documentada y conocida por todos, que se revisa y mejora
    constantemente.


    1.2 SE INTEGRA UN SGSI CON OTROS SISTEMAS DE GESTIN?

    Un SGSI es, en primera instancia, un sistema de gestin, es decir, una
    herramienta de la que dispone la gerencia para dirigir y controlar un determinado
    mbito, en este caso, la seguridad de la informacin.

    La gestin de las actividades de las organizaciones se realiza, cada vez con ms
    frecuencia, segn sistemas de gestin basados en estndares internacionales: se
    gestiona la calidad segn ISO 9001, el impacto medio-ambiental segn ISO 14001
    o la prevencin de riesgos laborales segn OHSAS 18001. Ahora, se aade ISO
    27001 como estndar de gestin de seguridad de la informacin.

    Las empresas tienen la posibilidad de implantar un nmero variable de estos
    sistemas de gestin para mejorar la organizacin y beneficios sin imponer una
    carga a la organizacin.

    El objetivo ltimo debera ser llegar a un nico sistema de gestin que contemple
    todos los aspectos necesarios para la organizacin, basndose en el ciclo PDCA
    de mejora continua comn a todos estos estndares. Las facilidades para la
    integracin de las normas ISO son evidentes mediante la consulta de sus anexos.

    ISO 27001 detalla en su Anexo C, punto por punto, la correspondencia entre esta
    norma y la ISO 9001 e ISO 14001. Ah se observa la alta correlacin existente y se
    4

    puede intuir la posibilidad de integrar el sistema de gestin de seguridad de la
    informacin en los sistemas de gestin existentes ya en la organizacin. Algunos
    puntos que suponen una novedad en ISO 27001 frente a otros estndares son la
    evaluacin de riesgos y el establecimiento de una declaracin de aplicabilidad
    (SOA), aunque ya se plantea incorporar stos al resto de normas en un futuro.

    Вам также может понравиться