TRABAJO TERCER CORTE SEGURIDAD INFORMATICA

LEIDY VANESSA MARTNEZ ALVARADO

INGRID PAOLA RANGEL CONTRERAS

Seguridad Informtica

Presentado a:
Luis Guillermo Oviedo Ochoa
Ingeniero De Sistemas

UNIVERSITARIA DE INVESTIGACION Y DESARROLLO -UDIESCUELA DE ELECTRNICA Y TELECOMUNICACIONES

TECNOLOGA EN ELECTRNICA Y TELECOMUNICACIONES
BARRANCABERMEJA
2013

TRABAJO TERCER CORTE SEGURIDAD INFORMATICA

1. En el establecimiento de la norma a partir de cuales numerales se

deben tener en cuenta para la implementan?
La organizacin debe:
a) formular un plan para el tratamiento de riesgos que identifique la accin de gestin
apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de
seguridad de la informacin (vase el numeral 5);
b) implementar el plan de tratamiento de riesgos para lograr los objetivos de control
identificados, que incluye considerar la financiacin y la asignacin de funciones y
responsabilidades;
c) implementar los controles seleccionados en el numeral 4.2.1, literal g) para cumplir
los objetivos de control;
d) definir cmo medir la eficacia de los controles o grupos de controles seleccionados,
y especificar cmo se van a usar estas mediciones con el fin de valorar la eficacia de
los controles para producir resultados comparables y reproducibles (vase el numeral
4.2.3 literal c));
NOTA La medicin de la eficacia de los controles permite a los gerentes y al personal
determinar la medida en que se cumplen los objetivos de control planificados.
e) implementar programas de formacin y de toma de conciencia, (vase el numeral
5.2.2);
f) gestionar la operacin del SGSI;
g) gestionar los recursos del SGSI (vase el numeral 5.2);
h) implementar procedimientos y otros controles para detectar y dar respuesta
oportuna a los incidentes de seguridad (vase el numeral 4.2.3).

2. Qu puntos deben tener en cuenta la organizacin al establecer la

norma
La organizacin debe:
a) Definir el alcance y lmites del SGSI en trminos de las caractersticas del negocio,
la organizacin, su ubicacin, sus activos, tecnologa, e incluir los detalles y
justificacin de cualquier exclusin del alcance (vase el numeral 1.2).
b) Definir una poltica de SGSI en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, sus activos y tecnologa, que:
1) incluya un marco de referencia para fijar objetivos y establezca un sentido general
de direccin y principios para la accin con relacin a la seguridad de la informacin;
2) tenga en cuenta los requisitos del negocio, los legales o reglamentarios, y las
obligaciones de seguridad contractuales;
3) est alineada con el contexto organizacional estratgico de gestin del riesgo en el
cual tendr lugar el establecimiento y mantenimiento del SGSI;
4) establezca los criterios contra los cuales se evaluar el riesgo. (Vase el numeral
4.2.1, literal c) y;
5) haya sido aprobada por la direccin.
c) Definir el enfoque organizacional para la valoracin del riesgo.

1) Identificar una metodologa de valoracin del riesgo que sea adecuada al

SGSI y a los requisitos reglamentarios, legales y de seguridad de la informacin del
negocio, identificados.
2) Desarrollar criterios para la aceptacin de riesgos, e identificar los niveles de riesgo
aceptables. (Vase el numeral 5.1, literal f).
d) Identificar los riesgos
1) identificar los activos dentro del alcance del SGSI y los propietarios2 de estos
activos.
2) identificar las amenazas a estos activos.
3) identificar las vulnerabilidades que podran ser aprovechadas por las amenazas.
4) Identificar los impactos que la prdida de confidencialidad, integridad y
disponibilidad puede tener sobre estos activos.
e) Analizar y evaluar los riesgos.
1) valorar el impacto de negocios que podra causar una falla en la seguridad, sobre la
organizacin, teniendo en cuenta las consecuencias de la prdida de confidencialidad,
integridad o disponibilidad de los activos.
2) valorar la posibilidad realista de que ocurra una falla en la seguridad, considerando
las amenazas, las vulnerabilidades, los impactos asociados con estos activos, y los
controles implementados actualmente.
3) estimar los niveles de los riesgos.
4) determinar la aceptacin del riesgo o la necesidad de su tratamiento a partir de los
criterios establecidos en el numeral 4.2.1, literal c).
f) Identificar y evaluar las opciones para el tratamiento de los riesgos.
Las posibles acciones incluyen:
1) aplicar los controles apropiados.
2) aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan
claramente la poltica y los criterios de la organizacin para la aceptacin de riesgos
(vase el numeral 4.2.1, literal c));
3) evitar riesgos, y
4) transferir a otras partes los riesgos asociados con el negocio, por ejemplo:
aseguradoras, proveedores, etc.
g) Seleccionar los objetivos de control y los controles para el tratamiento de los
riesgos.
Los objetivos de control y los controles se deben seleccionar e implementar de manera
que cumplan los requisitos identificados en el proceso de valoracin y tratamiento de
riesgos. Esta seleccin debe tener en cuenta los criterios para la aceptacin de riesgos
(vase el numeral 4.2.1. literal c)), al igual que los requisitos legales, reglamentarios y
contractuales.
Los objetivos de control y los controles del Anexo A se deben seleccionar como parte
de este proceso, en tanto sean adecuados para cubrir estos requisitos.
Los objetivos de control y los controles presentados en el Anexo A no son exhaustivos,
por lo que puede ser necesario seleccionar objetivos de control y controles
adicionales.
h) Obtener la aprobacin de la direccin sobre los riesgos residuales propuestos.
i) Obtener autorizacin de la direccin para implementar y operar el SGSI.
j) Elaborar una declaracin de aplicabilidad.
Se debe elaborar una declaracin de aplicabilidad que incluya:

1) Los objetivos de control y los controles, seleccionados en el numeral 4.2.1, literal g)

y las razones para su seleccin.
2) Los objetivos de control y los controles implementados actualmente (vase el
numeral 4.2.1., literal e) 2)), y
3) La exclusin de cualquier objetivo de control y controles enumerados en el
Anexo A y la justificacin para su exclusin.

3. Qu pasa cuando no se definen los alcances y limites del SGSI

La implantacin de un Sistema de Gestin de Seguridad de la Informacin comienza
con su correcto diseo. Para ello deberemos definir cuatro aspectos fundamentales.
Primero, el alcance del sistema. Segundo, la Poltica de Seguridad a seguir. Tercero, la
organizacin de la seguridad. Y cuarto, los programas de concienciacin y formacin
del personal.
El primer paso, consiste en definir el alcance del sistema. Este debe determinar las
partes o procesos de la organizacin que van a ser incluidos dentro del mismo. En
este momento, la empresa debe determinar cules son los procesos crticos para su
organizacin decidiendo qu es lo que quiere proteger y por dnde debe empezar.
Dentro del alcance deben quedar definidas las actividades de la organizacin, las
ubicaciones fsicas que van a verse involucradas, la tecnologa de la organizacin y las
reas que quedarn excluidas en la implantacin del sistema.
Es importante que durante esta fase, se estimen los recursos econmicos y de
personal que se van a dedicar a implantar y mantener el sistema. De nada sirve que la
organizacin realice un esfuerzo importante durante la implantacin si despus no es
capaz de mantenerlo.
Tras la definicin del alcance, el siguiente paso es establecer la Poltica de Seguridad.
Su principal objetivo es recoger las directrices que debe seguir la seguridad de la
informacin de acuerdo a las necesidades de la organizacin y a la legislacin vigente.
Adems, debe establecer las pautas de actuacin en el caso de incidentes y definir las
responsabilidades.
El documento debe delimitar qu se tiene que proteger, de quin y por qu. Debe
explicar qu es lo que est permitido y qu no; determinar los lmites del
comportamiento aceptable y cul es la respuesta si estos se sobrepasan; e identificar
los riesgos a los que est sometida la organizacin

4. Al definir las polticas del SGSI que caractersticas son las ms

relevantes.
Para que la Poltica de Seguridad sea un documento de utilidad en la organizacin y
cumpla con lo establecido en la norma UNE-ISO/IEC 27001 debe cumplir con los
siguientes requisitos.
Debe de ser redactada de una manera accesible para todo el personal de la
organizacin. Por lo tanto debe ser corta, precisa y de fcil comprensin.
Debe ser aprobada por la direccin y publicitada por la misma.
Debe ser de dominio pblico dentro de la organizacin, por lo que debe estar
disponible para su consulta siempre que sea necesario.

Debe ser la referencia para la resolucin de conflictos y otras cuestiones relativas a la

seguridad de la organizacin.
Debe definir responsabilidades teniendo en cuenta que stas van asociadas a la
autoridad dentro de la compaa. En funcin de las responsabilidades se decidir
quin est autorizado a acceder a qu tipo de informacin.
Debe indicar que lo que se protege en la organizacin incluye tanto al personal como
a la informacin, as como su reputacin y continuidad.
Debe ser personalizada totalmente para cada organizacin.
Por ltimo, debe sealar las normas y reglas que va a adoptar la organizacin y las
medidas de seguridad que sern necesarias
En lo que se refiere al contenido, la Poltica de Seguridad debera incluir, al menos, los
siguientes cinco apartados.
Uno. Definicin de la seguridad de la informacin y sus objetivos globales, el alcance
de la seguridad y su importancia como mecanismo de control que permite compartir la
informacin.
Dos. Declaracin por parte de la Direccin apoyando los objetivos y principios de la
seguridad de la informacin.
Tres. Breve explicacin de las polticas
Cuatro. Definicin de responsabilidades generales y especficas, en las que se
incluirn los roles pero nunca a personas concretas dentro de la organizacin.
Cinco. Referencias a documentacin que pueda sustentar la poltica.
La Poltica de Seguridad debe ser un documento completamente actualizado, por lo
que debe ser revisado y modificado anualmente. Adems, existen otros tres casos en
los que es imprescindible su revisin y actualizacin. El primero, despus de grandes
incidentes de seguridad. El segundo, despus de una auditora del sistema sin xito. Y
el tercero, frente a cambios que afectan a la estructura de la organizacin.
La organizacin de la seguridad es el tercer aspecto a desarrollar durante el diseo del
Sistema de Gestin de Seguridad de la Informacin. En este momento, se realiza la
revisin de los aspectos organizativos de la entidad y la asignacin de nuevas
responsabilidades.
Entre estas nuevas responsabilidades hay tres que tienen gran importancia.
El responsable de seguridad, que es la persona que se va a encargar de coordinar
todas las actuaciones en materia de seguridad dentro de la empresa.
El Comit de Direccin que estar formado por los directivos de la empresa y que
tendr las mximas responsabilidades y aprobar las decisiones de alto nivel relativas
al sistema.
Y por ltimo, el Comit de Gestin, que controlar y gestionar las acciones de la
implantacin del sistema colaborando muy estrechamente con el responsable de
seguridad de la entidad. Este comit tendr potestad para asumir decisiones de
seguridad y estar formado por personal de los diferentes departamentos involucrados
en la implantacin del sistema.
Al plantear la nueva organizacin de la seguridad hay que tener en cuenta la relacin
que se mantiene con terceras partes que pueden acceder a la informacin en algn
momento, identificando posibles riesgos y tomando medidas al respecto. Por poner un
ejemplo en el caso de los equipos de limpieza en una oficina, que suelen tener acceso
a todos los despachos, se les podra requerir la firma de acuerdos de confidencialidad.

La ltima fase en el diseo del Sistema de Gestin de Seguridad de la Informacin

consiste en la concienciacin y formacin del personal con el fin de crear en la
empresa una cultura de seguridad.
La concienciacin y la divulgacin consiguen que el personal conozca qu actuaciones
se estn llevando a cabo y por qu se estn realizando. Con ello se concede
transparencia al proceso y se involucra al personal. Por su parte, la formacin logra
que el personal desarrolle las nuevas actividades de acuerdo a la normativa y a los
trminos establecidos

5. Buscar un ejemplo de poltica de seguridad SGSI en el que se apliquen

estas caractersticas
SISTEMA ADMINISTRATIVO NACIONAL DE SEGURIDAD DE LA INFORMACIN
-SANSI
El Modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea, se
apoya en la creacin del Sistema Administrativo Nacional de Seguridad de la
Informacin SANSI, institucin que le da la facultad al Presidente de la Repblica de
conformar la Comisin Nacional de Seguridad de la Informacin para tomar acciones
estratgicas y definir los lineamientos que permitan la implementacin, seguimiento y
mantenimiento de las polticas y controles del Modelo de Seguridad en cada una de
las entidades pblicas de orden nacional y territorial y en las entidades privadas que
pertenezcan a la cadena de prestacin de servicios de Gobierno en Lnea y en las
entidades privadas que provean acceso a Internet a los ciudadanos que ingresen a los
servicios de Gobierno en Lnea. Gracias a mecanismos normativos que se estn
planteando en el marco de esta consultora, se podrn sentar las herramientas para la
creacin del Sistema Administrativo Nacional de Seguridad de la Informacin, lo cual
constituye un paso muy importante para el cumplimiento de los principios definidos en
la Estrategia de Gobierno en Lnea que corresponden a la "Proteccin de la
informacin del individuo" y la "Credibilidad y confianza en el Gobierno en Lnea". En
particular, para lograr el cumplimiento de estos principios, se requiere que tanto los
Servicios de Gobierno en Lnea como la Intranet Gubernamental y las entidades que
participen en la cadena de prestacin de los servicios de Gobierno en Lnea cumplan
con los tres elementos fundamentales de la Seguridad de la Informacin a saber:
disponibilidad de la informacin y los servicios; integridad de la informacin y los datos;
y, confidencialidad de la informacin. Para la correcta administracin de la Seguridad
de la Informacin, se deben establecer y mantener programas y mecanismos que
busquen cumplir con los tres requerimientos mencionados. Es as, como producto de
esta consultora, se propone la creacin del Sistema Administrativo Nacional de
Seguridad de la Informacin (SANSI), cuyo eje central es la Comisin Nacional de
seguridad de la Informacin (CNSI) (ver Ilustracin 4). El SANSI surge, entonces,
como un sistema institucional que rene a todos los actores pblicos, privados, la
academia y la sociedad civil involucrada en la seguridad nacional de la informacin.
As mismo, incorpora el conjunto de reglas y normas que rigen las interacciones entre
estos actores.

En este sentido, el SANSI coordinar las actividades relacionadas con la formulacin,

ejecucin, seguimiento y mantenimiento de las polticas y lineamientos necesarios
para fortalecer la adecuada gestin de la seguridad de la informacin nacional

Finalmente, el Sistema Administrativo Nacional de Seguridad de la Informacin

-SANSI, es el conjunto sistematizado de Lineamientos, Polticas, Normas, Procesos e
Instituciones que proveen y promueven la puesta en marcha, supervisin y control del
modelo de Seguridad de la Informacin para la Estrategia de Gobierno en Lnea.

6. Que mtodos o tcnicas existen en la valoracin de riesgos, de un

ejemplo de ellos
La metodologa seleccionada para valoracin de riesgos debe asegurar que dichas
valoraciones producen resultados comparables y reproducibles.
Ejemplo:
METODOLOGA DE ANLISIS DE RIESGOS SGSI.
A continuacin se presentan la metodologa que se utiliza:
Riesgo = Valor de activos
Impacto de activos y Nivel de aceptacin del Riesgo = Valor de activos Integridad
Confidencial, y viabilidad
Impacto de Activos = Impacto en los procesos de Negocio y Tolerancia al Riesgo =
Probabilidad de Amenaza explotacin de la vulnerabilidad Medida de clculo de
Riesgo: Valor de Activos BIA * Amenaza * Vulnerabilidad = Riesgo Medida. Dnde BIA
Valor de activos es una medida de 0 a 5, donde el propietario de los activos es
necesario para identificar las consecuencias para los negocios de una violacin del
peor caso de la confidencialidad, integridad o disponibilidad. Se visualiza los Riesgos
como la prdida de reputacin, el inters de los medios de comunicacin, la

sensibilidad de los datos, prdida financiera, etc. La amenaza se basa la evaluacin de

la amenaza inicial a una lista de amenazas que se han extrado de la norma ISO / IEC
27001:2005, sus vulnerabilidades asociadas. Escala de 1 a 3 Vulnerabilidad: El control
de la corriente y la vulnerabilidad (riesgo de vulnerabilidad se aproveche) situacin
dentro de la empresa en relacin con la amenaza identificada se evala. Escala de 1 a
5. Esto proporciona una medida de riesgo 0 a 75 con el fin de tomar decisiones sobre
cmo abordar y controla:
El bajo nivel de riesgo no justifica los controles adicionales estn poniendo en
Marcha .No hay actividad an ms necesaria.
Gestin aplicarn su criterio en cuanto a si los riesgos son aceptables. Los controles
se aplicarn, segn proceda.
Administracin, seleccionar los controles adecuados.
- Gestin seleccionar los controles adecuados como una prioridad. En la norma ISO
31000, el control se define como una "medida que est modificando riesgo". La
norma tambin define que "la organizacin debe asegurarse de que haya rendicin de
cuentas, la autoridad y las competencias adecuadas para la gestin de riesgos,
incluyendo la implementacin y el mantenimiento del proceso de gestin de riesgos y
garantizar la adecuacin, efectividad y eficiencia de todos los controles. "Si una
organizacin tiene que implementar de manera eficiente y efectiva lo que la norma
define anteriormente para los controles, cuntos controles se pueden gestionar con
realismo en la organizacin. La experiencia es que no puede haber muchos miles, por
ejemplo, 10.000 ms, ya que una industria se crear dentro de una organizacin, si
tiene que asegurar regularmente la adecuacin, eficacia y eficiencia de los 10.000
controles ms. Si una organizacin capta 10.000 ms controles, pero es solamente
puede garantizar regularmente la adecuacin, eficacia y eficiencia de un pequeo
subconjunto de los controles, entonces hay un punto en la documentacin de todos los
controles? Por qu gastar todo el tiempo tratando de definir / documentar cada
control, cuando no se puede encontrar en cualquier punto dado cuntos de ellos estn
trabajando o no funciona. En el contexto de las grandes organizaciones donde las
decisiones importantes se tienen que hacer en trminos de cuntos controles para
capturar, evaluar y vigilar la aplicacin efectiva de la norma ISO 31000 estndar.
Bastantes de las empresas (hasta 15000 empleados) que tratan de aplicar
herramientas de evaluacin de riesgos como parte de su norma ISO 27001 la
ejecucin del proyecto. El resultado es que por lo general toma mucho tiempo y dinero
con muy poco efecto.

7. Como se pueden o que tcnicas existen para identificar, analizar y

evaluar los riegos
Por ejemplo la MPLEMENTACIN DE SGSI POR MEDIO DE O ISM3.
Como hemos visto antes hay una serie de estndares que se pueden utilizar con base
para implementar la SGSI, la cuestin es cmo llegar a tener un Modelo de Gestin de
la Seguridad Idneo.
O ISM3
Nos da un marco de referencia y consolida las buenas prcticas de TI de:
ITIL
COBIT

CMMI
ISO 27000

8. De qu manera se puede realizar el tratamiento del riesgo

El tratamiento del riesgo es un paso en el proceso de gestin de riesgos que sigue a la
etapa de evaluacin de riesgos, "en la evaluacin de riesgos de todos deben ser
identificados y los riesgos que no son aceptables deben ser seleccionados. La tarea
principal en la etapa de tratamiento de riesgo es para seleccionar una o ms opciones
para tratar cada riesgo inaceptable, es decir, decidir cmo mitigar todos estos riesgos.
Cuatro opciones de tratamiento de riesgo existe (para el proceso completo de gestin
de riesgos, la evaluacin de riesgos y tratamiento en "6 pasos bsicos:1.
Aplicar los controles de seguridad del anexo A para disminuir los riesgos "ver este
articulo ISO27001 Anexo A control.2.
Transferir el riesgo a otra parte "por ejemplo, a una compaa de seguros con la
compra de una pliza de seguro.3.
Evite el riesgo de detener una actividad que es demasiado arriesgado, o por hacerlo
de una manera completamente diferente.4.
Aceptar el riesgo "si, por ejemplo, el costo de mitigar este riesgo sera mayor que el
dao mismo. El tratamiento del riesgo se realiza habitualmente en forma de una hoja
simple, donde se vinculan las opciones de mitigacin y control de cada riesgo
inaceptable, lo que tambin se puede hacer con una herramienta de gestin de
riesgos, si dispone de una. De acuerdo con la norma ISO 27001, se deben
documentar los resultados de los tratamientos de riesgo en el informe de evaluacin
de riesgos, y los resultados son los principales insumos para la redaccin de la
Declaracin de aplicabilidad. Esto significa que los resultados del tratamiento de
riesgos no estn directamente documentados en el Plan de Tratamiento de Riesgos.
Riesgo Plan de Tratamiento As que, dnde est el plan de tratamiento de riesgos en
todo este proceso? La respuesta es: slo se puede escribir despus de la Declaracin
de aplicabilidad est terminado. Por qu es esto as? Para comenzar a pensar acerca
del plan de tratamiento de riesgos, sera ms fcil pensar que es uno de Accin Plan
donde tiene que especificar qu controles de seguridad que necesita para
implementar, que es responsable de ellos, cules son los plazos y los recursos que (es
decir, financieros y humanos) son obligatorios. Pero para escribir un documento,
primero debe decidir qu controles deben aplicarse, y esto se hace (de una manera
muy sistemtica) a travs de la Declaracin de aplicabilidad. La pregunta es "por qu
ISO 27001 requieren los resultados del proceso de tratamiento de riesgos deben
documentarse directamente en el Plan de Tratamiento de Riesgos? Por qu este
paso intermedio necesario, en forma de Declaracin de aplicabilidad? Mi opinin es
que los autores de la norma ISO27001 quiso animar a las empresas a obtener una
imagen completa de la informacin de seguridad "al momento de decidir qu controles
son aplicables en la Declaracin de aplicabilidad y cules no, el resultado del
tratamiento del riesgo no es slo la entrada A "otros insumos son los requisitos legales,
reglamentarios y contractuales, otras necesidades de negocio, etc. En otras palabras,

SOA sirve como una especie de lista de control que tiene una visin global de la
organizacin, y el Plan de Tratamiento del Riesgo estar completo sin dicha inspeccin.

9. Porque es indispensable obtener la aprobacin y autorizacin de la

direccin
para
implementar
y
operar
el
SGSI
Uno de los componentes primordiales en la implantacin exitosa de un Sistema de
Gestin de Seguridad de la Informacin es la implicacin de la direccin. No se trata
de una expresin retrica, sino que debe asumirse desde un principio que un SGSI
afecta fundamentalmente a la gestin del negocio y requiere, por tanto, de decisiones
y acciones que slo puede tomar la gerencia de la organizacin. No se debe caer en el
error de considerar un SGSI una mera cuestin tcnica o tecnolgica relegada
aniveles inferiores del organigrama; se estn gestionando riesgos e impactos de
negocio que son responsabilidad y decisin de la direccin. El trmino Direccin debe
contemplarse siempre desde el punto de vista del alcance del SGSI. Es decir, se
refiere al nivel ms alto de gerencia de la parte de la organizacin afectada por el
SGSI (recurdese que el alcance no tiene por qu ser toda la organizacin).Algunas
de las tareas fundamentales del SGSI que ISO 27001 asigna a la direccin se detallan
en los siguientes puntos:
Compromiso de la direccin
La direccin de la organizacin debe comprometerse con el establecimiento,
implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora del
SGSI. Para ello, debe tomar las siguientes iniciativas:
Establecer una poltica de seguridad de la informacin.
Asegurarse de que se establecen objetivos y planes del SGSI.
Establecer roles y responsabilidades de seguridad de la informacin.
Comunicar a la organizacin tanto la importancia de lograr los objetivos de seguridad
de la informacin y de cumplir con la poltica de seguridad, como sus
responsabilidades legales y la necesidad de mejora continua.
Asignar suficientes recursos al SGSI en todas sus fases.
Decidir los criterios de aceptacin de riesgos y sus correspondientes niveles.

10. A que hace referencia una SOA en el SGSI y porque es tan importante.
Declaracin de aplicabilidad:(SOA -Statement of Applicability-, en sus siglas en ingls);
documento que contiene los objetivos de control y los controles contemplados por el
SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de
riesgos, justificando inclusiones y exclusiones

Un SGSI es un Sistema de Gestin de la Seguridad de la Informacin o ISMS por sus

siglas en ingls
(Information Security Management System). Este sistema consiste de una serie de
actividades de gestin que deben realizarse mediante procesos sistemticos,
documentados y conocidos por una organizacin o entidad.
El propsito de un sistema de gestin de la seguridad de la informacin no es
garantizar la seguridad que nunca podr ser absoluta- sino garantizar que los
riesgos de la seguridad de la informacin son conocidos, asumidos, gestionados y
minimizados por la organizacin de una forma documentada,
sistemtica,
estructurada, continua, repetible, eficiente y adaptada a los cambios que se produzcan
en la organizacin, los riesgos, el entorno y las tecnologas.
El SGSI protege los activos de informacin de una organizacin, independientemente
del medio en que se encuentren; p. ej., correos electrnicos, informes, escritos
relevantes, pginas web, imgenes, documentos, hojas de clculo, faxes,
presentaciones, contratos, registros de clientes, informacin confidencial de
trabajadores y colaboradores, entre otros.

REFERENCIAS

[1]http://programa.gobiernoenlinea.gov.co/apc-aafiles/5854534aee4eee4102f0bd5ca294791f/ModeloSeguridad_SANSI_SGSI.pdf
[2] http://es.scribd.com/doc/115521165/IMPLEMENTACION-DE-UN-SGSI
[3] Norma. NTC-ISO-IEC 27001