Sistema de Gestin de la

Seguridad de la
Informacin (SGSI)

Definicin de la poltica,
organizacin, alcance y
gestin y concienciacin

Implantacin de un SGSI
Qu es?

Para que sirve?

Estndares de la
Seguridad de la
Informacin

Marco legal y juridico

Caracteristicas
deseables
Herremienta que permite
gestionar y minimizar los
riesgos que atentan
contra la seguridad de la
informacion

Facilita el mantenimiento
de la seguridad ademas
de disponer controles
para medir su eficiencia

Ayuda a preservar la
confidencialidad,
integridad y
disponibilidad de la
informacin.

Elaboradas por
Para que sirve?

Qu protege?

Esta decisin estratgica

debe involucrar a la
organizacin,
departamentos o reas

Su diseo debe ser

acorde los objetivos,
necesidades y estructura
de la empresa

La implantacin de SGSI
requiere de diferente
documentacin

Aspectos fundamentales
de su diseo

Se divide en
Permite evitar amenazas
externas legales

Seguridad de la
Informacin

Permite respetar los

derechos de clientes y
proveedores

Protege a todo aquel que

utiliza las TI , de delitos
informticos

Evitara infracciones

Qu es un delito
informatico?

Se refiere a la proteccin
de la infraestructura de las
TI que soporta el negocio.

Normas de
Productos

RDL 1/1996 de propiedad

intelectual

Ley orgnica 15/99

proteccin de datos
personales.

Ley 59/2003 de firma

electrnica.

Ley 17/2001 de
propiedad industrial
marcas y nombres
comerciales.

Ley 34/2002 de servicios

de la sociedad de la
infromacion y el
comercio electronico

Ley 32/2003 de
telecomunicaciones

Delito que implique la

utilizacin de cualquier
medio de tecnologa
informtica

Ley 11/2007 de acceso

electrnico a los servicios
pblicos

Comisin Electrtecnica
Internacional
(IEC)

La empresa debe contar

con una estructura
organizativa

Ejemplo:
Electrodomsticos,
calzado, alimentacin,
juguetes

Normas de
Servicios

Normas de
Tecnologas

Ejemplo:

Ejemplo:

Telefona mvil o la
seguridad de la
informacion

Hoteles, asilos,
transporte publico

Normas
ISO/IEC
27000

Normas de
Gestin

Normas de acreditacin
de entidades de
certificacin

Ejemplo:

Cede los derechos de

propiedad al autor por el
simple hecho de crear la
obra.

Regula la eficacia jurdica

y prestacin de servicios
de certificacin.

Regula el funcionamiento
de prestadores de
servicios de la
informacin

Fomenta la competencia
efectiva de los mercados
de telecomunicaciones.

Delitos relativos al
contenido

Delitos economicos

Ejemplo

Difusin de contenidos
ilegales en la red

Ejemplo

Fraude, sabotaje o
falsificacin por medio
del acceso a Sistemas de
Informacion

Ejemplo

Mejoran la seguridad y la
calidad de los productos
y servicios

Planificacion

Norma ISO/IEC 27000

Norma ISO/IEC 27001

Ejecucion

Pornografia

Alcance del sistema

Polticas de seguridad
(documentacion)

Aparecen detalles
tcnicos y concreta como
seguir los objetivos
expuestos en las politicas

Constituyen el desarrollo
de los procedimientos

Suplantacin de
identidad bancaria

Determina las partes y

procesos de la
organizacin que quiere
proteger y por donde
empezar

Evidencias de la efectiva
implantacin del sistema
y el cumplimiento de los
requisitos (indicadores y
metricas)

Contenido

Directrices que debe

seguir la seguridad de la
informacin de acuerdo a
las necesidades de la
organizacin y legislacin
vigente

Se deben definir los

siguientes aspectos

Actividades de la
organizacion

Ubicaciones fsicas
involucradas

Tecnologa de la
organizacin

reas excluidas en la
implantacin del sistema

Recursos econmicos y
de personal dedicados a
implantar y mantener el
sistema

Seguimiento

Organizacin de la
seguridad

Concienciacin y
formacin

Revisin de aspectos
organizativos de la
entidad y asignacin de
nuevas responsabilidades

Consiste en la
concienciacion y
formacion del personal
con el fin de crear en la
empresa una cultura de
seguridad.

Ejemplo

Recoge los trminos y

definiciones empleados
en el resto de las normas

Explicacin de que esta

permitido y que no
Se compone por el

El contenido debe estar

basado en la norma UNE/
ISO/IEC 27001

Caractersticas a contener
basado en la norma

Mejora

Proteccin de software,
BD y derechos de autor.

Establece, implementa,
opera, supervisa, revisa,
mantiene y mejora la
SGSI

Pautas de actuacin en
caso de accidentes y
definir responsabilidades

Norma ISO/IEC 27002

Estudio de la
organizacin desde el
punto de vista de la
seguridad para la
implantacin de medidas

Gua de buenas practicas,

recomendaciones sobre
medidas a tomar en
Sistemas de Informacin
en las organizaciones

Implantacin de los
controles de seguridad

Se compone por

Venta de datos

Registros

Delitos contra propiedad

intelectua
Facilita el entendimiento
entre pases y
organizaciones

Manipulacin de datos
personales de manera
ilegal

Sientan las bases de la

seguridad, y lneas
generales para conseguir
los objetivos de la
organizacin

Derivaciones de la norma
ISO/IEC 27000

Regula el uso de las Ti en

actividades
administrativas para los
ciudadanos.
Delitos contra la
intimidad

Instrucciones

Se divide en 4 fases
Para que se utilizan?

Concede los derechos de

propiedad al tutor de
cualquier uso ajeno sin
autorizacin el mismo

Procedimientos

Se utiliza para la
implantacion de un SGSI

Normas para certificacin

de sistemas
correctamente
implantados

Facilitan la implantacin
de SGSI

ISO 9001
ISO 14001

Modelo PDCA
(Plan,do,check,act)
(Planificacin, Ejecucin,
Seguimiento y Mejora)

Clasificacion
Protege todos los datos
de carcter personal para
que no sean manipulados
sin consentimiento del
titular

Politicas

Tipos de normas
voluntarias
Realizadas por las
instituciones

Seguridad Informatica

Ejemplo de
Normas
existentes
Se refiere a la proteccin
de los activos de la
informacin
(documentos,bd,contratos
etc.)

Organizacin
Internacional de
Normalizacin
(ISO)

Mediante

Evala la eficacia y el
xito de controles
implantados

Labores de
mantenimiento del
sistema

Mediante

Mediante

Registros e indicadores
que provengan de los
controles

Medidas correctoras,
medidas preventivas y
medidas de mejora

Redaccin clara, corta

precisa y de fcil
comprensin

Debe ser referenciada

para la resolucion de
conflictos y cuestiones
relativas a la seguridad

Debe ser de dominio

Publico para su consulta
dentro de la organizacion

Debe ser personalizada,

sealar normas y reglas a
adoptar en la
organizacion

Debe sealar normas y

reglas de seguridad

Debe indicar que protege

la organizacion

Piratera de informatica

Analisis

Gestion

Controles

Valora los activos de la

informacion y
vulnerabilidades
expuestas

Ayuda a reducir los

riesgos

Controles para la
minimizacin de los
riesgos

Controles tcnicos y
documentacin necesaria

Concienciacin y
formacin para dar a
conocer que se esta
haciendo y el porque al
personal de la empresa

Apartados de la poltica
de seguridad

Definicin de la SI y sus
objetivos globales,
alcance y su importancia

Declaracin de objetivos
y principios de la SI

Explicacin de politicas

Definicin de
responsabilidades
generales y especificas

Responsable de
seguridad

Comit de direccion

Persona encargada de
coordinar las actuaciones
dentro de la empresa

Formado por directivos

que tendr las mximas
responsabilidades y
aprobara las decisiones
del sistema

Comit de gestion

Controla y gestiona las

acciones de implantacin
del sistema.