5 La Seguridad de La Información en Instituciones Educativas. Andrés de Los Reyes G

PROYECTO
“IMPLANTACION Y CERTIFICACION DEL SGSI

DE LA UNIVERSIDAD DEL CAUCA”
SGSI: Sistema de Gestión de la Seguridad de la Información
¿Qué es la Información?
INFORMACIÓN :
Conjunto de DATOS
organizados que
tienen VALOR para
una Organización,
independientemente
de la forma en que se
guarde o transmita.
“Implantación y Certificación del SGSI”

S. Amador, F. Terán
¿En Qué consiste la
Seguridad de la Información?
• Según ISO 27001, dentro de una Organización,
consiste en GARANTIZAR :
1. CIA de la INFORMACION.
» Pilares de la Seguridad de la Información.
2. Protección de los Sistemas implicados

en el tratamiento de la INFORMACION.

¿En Qué consiste la
Seguridad de la Información?

¿Cómo realizar la Gestión
de la Seguridad de la Información?
• Mediante un proceso sistemático, documentado y
conocido por toda la Organización.
• Ese proceso constituye un SGSI:
• “Sistema de Gestión de la Seguridad de la Información”.
• Sistema de Calidad para la Seguridad de la Información.
• Un SISTEMA DE GESTIÓN:
• Es una herramienta de la que dispone la GERENCIA
para dirigir y controlar un determinado ámbito de la
Organización.

¿Qué es un SGSI?
• “Es un proceso sistemático, documentado
y conocido por toda la Organización,
construido desde un enfoque del riesgo
empresarial, para garantizar que la
Seguridad de la Información sea
gestionada correctamente”.

¿Cuál es el Propósito
de un SGSI?
• Garantizar que los riesgos de la Seguridad de

la Información sean conocidos, asumidos,
gestionados y minimizados por la
Organización de una forma sistemática,
documentada, estructurada, cíclica, eficiente y
adaptada a los cambios que se produzcan en
los riesgos, el entorno y las tecnologías.

¿Para qué sirve un SGSI?
• Garantizar CIA a la Información Sensible en una
ORGANIZACIÓN:
• Esencial para mantener los niveles de Competitividad,

Rentabilidad, Conformidad legal e Imagen Institucional.
• Los Sistemas de Información están expuestos a un

elevado número de AMENAZAS que, aprovechando
las VULNERABILIDADES existentes, pueden
someter a la Información Sensible a diversas formas
de fraude, espionaje, sabotaje o vandalismo.

• Considerar los RIESGOS de sufrir INCIDENTES
DE SEGURIDAD causados :
Desde FUERA de la Organización:

» El Malware, el “Hacking”, ataques de DoS.
Desde DENTRO de la Organización:

» Voluntaria o Involuntariamente.
Por Catástrofes Naturales.
Por Fallos Técnicos : Accidentalmente.

• Un SGSI es una herramienta de gran utilidad para la GESTIÓN DE
LA CALIDAD de las Organizaciones.
• En la GSI debe tomar parte activa TODA la ORGANIZACIÓN, con

la GERENCIA al frente, considerando a Clientes y Proveedores
de bienes y servicios.
• Un MODELO de GSI debe contemplar :

• Unos procedimientos adecuados.
• La planificación e implantación de Controles de Seguridad y
una medición de su eficacia :
• Basados en una EVALUACIÓN DE RIESGOS.

¿Qué incluye un SGSI?
• ISO 27001, un SGSI debe incluir los DOCUMENTOS :
1. Alcance del SGSI.

2. Política y Objetivos de Seguridad.
3. Procedimientos y Mecanismos de Control
que soportan al SGSI.
4. Enfoque de Evaluación de Riesgos.
5. Informe de Evaluación de Riesgos.
6. Plan de Tratamiento de Riesgos.
7. Procedimientos Documentados.
8. Registros.
9. Declaración de Aplicabilidad (SOA -Statement of Applicability)

BENEFICIOS
DEL
SGSI

SGSI:
SGSI: Sistema
Sistema de Gestión
de Gestión deSeguridad
de la la Seguridad deInformación
de la la Información S. Amador, F. Terán
Serie ISO/IEC 27000
• Estándares que proporcionan un Marco de Referencia para
la GESTION DE LA SEGURIDAD DE LA INFORMACION.
27000 Términos y Definiciones usados en toda la Serie 27000.

27001 Requisitos de un SGSI.
27002 Objetivos de Control y Controles de Seguridad de la Información.
27003 Guía para implantar un SGSI según el Modelo PDCA y los
requerimientos de sus diferentes fases.
27004 Métricas y Técnicas de Medida para determinar la eficacia de un
SGSI y de los Controles de Seguridad aplicados.
27005 Directrices para la Gestión de Riesgos en la Seguridad de la Inform.
27006 Requisitos para la Acreditación de Entidades de Auditoría y
Certificación de SsGSI.

¿Cómo se implanta un SGSI - 27001?
• Se utiliza el ciclo continuo Deming PDCA, tradicional
en los Sistemas de GESTIÓN DE LA CALIDAD.
PLAN (planificar): Establecer el SGSI.
ACT (actuar): Mantener y

Mejorar DO (hacer): Implementar
el SGSI. y utilizar
el SGSI.
CHECK (verificar): Monitorear y Revisar el SGSI.

Seguridad de la Información
Division de TIC
ING ANDRES DE LOS REYES gadelore@unicauca.edu.co
ING. FABIAN MERA fmera@unicauca.edu.co
www.unicauca.edu.co
PROCESO DE ANALISIS
• Políticas de seguridad de la Información.
• Seguridad Física.
• Seguridad Lógica.
• Los usuarios de los sistemas de

información.
Políticas para la seguridad de la
INFORMACION
•Estándares
•Procedimientos
•Controles
•Documentación
Seguridad FISICA
• Nuevos Controles de Acceso

• Se mejoraron los existentes
• Se implementaron mecanismos de
monitoreo
• Adecuaciones físicas.
• Se implementaron procedimientos y
controles para el acceso
Seguridad FISICA
Seguridad FISICA
Seguridad FISICA
•Sistema de Control
Biométrico Central.
•Mecanismos de
control de acceso
físicos con
cerraduras de
seguridad
Nuevo Edificio TICs
SEGURIDAD DE LA INFORMACIÓN
LOGICA
•Control y registro de Acceso.
•Sistema de respaldo eléctrico.
•Sistema de refrigeración.
•Sistemas Hardware y Software.
•Sistema de Gestión.
LOGICA
•Actualización de la
plataforma de seguridad
existente
•Actualización de los
esquemas de seguridad y
las herramientas
empleadas
LOGICA
USUARIOS
USUARIOS - SPAM
USUARIOS - CADENAS
USUARIOS - FRAUDES
USUARIOS – INGENIERIA SOCIAL
USUARIOS – INGENIERIA SOCIAL
USUARIOS
• Desconocimiento en el manejo de las

tecnologías de la Información.
• Malas practicas para el manejo de la
información.
• Resistencia al cambio
• Falta de compromiso
USUARIOS
Los hace susceptibles de ser victimas de:
•Virus informáticos
•Fraudes Bancarios
•Ataques de ingeniería social
•Etc ….
USUARIOS
Necesitan
• Capacitación constante
• Desarrollar competencias básicas sobre
el manejo sistemas de información
• Inculcar el compromiso con la seguridad
de Información.
GRACIAS !!!

5 La Seguridad de La Información en Instituciones Educativas. Andrés de Los Reyes G

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

5 La Seguridad de La Información en Instituciones Educativas. Andrés de Los Reyes G

Загружено:

Авторское право:

Доступные форматы

PROYECTO

“IMPLANTACION Y CERTIFICACION DEL SGSI

“Implantación y Certificación del SGSI”

2. Protección de los Sistemas implicados

“Implantación y Certificación del SGSI”

“Implantación y Certificación del SGSI”

“Implantación y Certificación del SGSI”

“Implantación y Certificación del SGSI”

• Garantizar que los riesgos de la Seguridad de

“Implantación y Certificación del SGSI”

• Esencial para mantener los niveles de Competitividad,

• Los Sistemas de Información están expuestos a un

“Implantación y Certificación del SGSI”

Desde FUERA de la Organización:

Desde DENTRO de la Organización:

Por Fallos Técnicos : Accidentalmente.

“Implantación y Certificación del SGSI”

• En la GSI debe tomar parte activa TODA la ORGANIZACIÓN, con

• Un MODELO de GSI debe contemplar :

“Implantación y Certificación del SGSI”

1. Alcance del SGSI.

“Implantación y Certificación del SGSI”

“Implantación y Certificación del SGSI”

27000 Términos y Definiciones usados en toda la Serie 27000.

“Implantación y Certificación del SGSI”

ACT (actuar): Mantener y

CHECK (verificar): Monitorear y Revisar el SGSI.

“Implantación y Certificación del SGSI”

• Políticas de seguridad de la Información.

• Los usuarios de los sistemas de

• Nuevos Controles de Acceso

• Desconocimiento en el manejo de las

Los hace susceptibles de ser victimas de:

Вам также может понравиться