Scribd Logo
Hochladen

Willkommen bei Scribd!

  • 01 Gobierno Seguridad

    Hochgeladen von

    John Alvarado Godoy
    57 Ansichten24 Seiten
    Este documento describe los principios del gobierno de la seguridad de la información y la aplicación de estándares internacionales. Explica que el gobierno de la seguridad de la información comienza con la identificación de riesgos y la mitigación de los mismos a través de políticas, estándares y procedimientos. También cubre varios estándares y marcos internacionales como ISO 27001, NIST y COBIT. El documento concluye que el gobierno de la seguridad de la información es un proceso de mejora continua y

    Originalbeschreibung:

    Originaltitel

    01-gobierno-seguridad

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden
    Este documento describe los principios del gobierno de la seguridad de la información y la aplicación de estándares internacionales. Explica que el gobierno de la seguridad de la información comienza con la identificación de riesgos y la mitigación de los mismos a través de políticas, estándares y procedimientos. También cubre varios estándares y marcos internacionales como ISO 27001, NIST y COBIT. El documento concluye que el gobierno de la seguridad de la información es un proceso de mejora continua y

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    57 Ansichten24 Seiten

    01 Gobierno Seguridad

    Hochgeladen von

    John Alvarado Godoy
    Este documento describe los principios del gobierno de la seguridad de la información y la aplicación de estándares internacionales. Explica que el gobierno de la seguridad de la información comienza con la identificación de riesgos y la mitigación de los mismos a través de políticas, estándares y procedimientos. También cubre varios estándares y marcos internacionales como ISO 27001, NIST y COBIT. El documento concluye que el gobierno de la seguridad de la información es un proceso de mejora continua y

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 24

    Gobierno de la seguridad de informacin aplicando estndares internacionales

    Oficina Nacional de Gobierno Electrnico e Informtico Presidencia del Consejo de Ministros 9 de Julio de 2009

    Algunas definiciones
    Estndar: Que sirve como tipo, modelo, norma, patrn o referencia. Seguridad: Cualidad de Seguro; Libre y exento de todo peligro, dao o riesgo. Cierto, indubitable y en cierta manera infalible. Firme, constante y que no est en peligro de faltar o caerse. No sospechoso. Certeza, confianza. Lugar o sitio libre de todo peligro. Informacin: Comunicacin o adquisicin de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada. Datos: Antecedente necesario para llegar al conocimiento exacto de algo o para deducir las consecuencias legtimas de un hecho.

    Page 2

    Gobierno de seguridad de informacin


    Importancia La seguridad de informacin (Infosec) abarca todos los procesos de informacin, tanto fsicos como electrnicos, independientemente si involucran personas y tecnologa o relaciones con socios de negocio, clientes o terceros. A la seguridad de informacin le conciernen todos los aspectos vinculados con los datos empleados en la empresa y su proteccin en todos los procesos en los que se generan o consultan dentro de la organizacin.

    Page 3

    Normas o referencias - seguridad


    ISO 27001: Sistema de Gestin de Seguridad de Informacin (http://www.iso.org/). ISO 27002: Cdigo de Prctica de Seguridad de Informacin (http://www.iso.org/). (NTP ISO/IEC 17799:2007) NIST: Computer Security Resource Center (http://csrc.nist.gov/). ISF: Information Security Forum (https://www.securityforum.org/). OCTAVE: Information Security Risk Evaluation (http://www.cert.org/octave/). COBIT: Control Objectives for Information Technology (http://www.isaca.org/ ). BSI: Bundes Security Information (http://www.bsi.bund.de/english/index.htm).

    Page 4

    Gobierno de seguridad de informacin

    Plan de Gestin de Riesgo

    Estrategia de Seguridad del Negocio

    Plan de Seguridad del Negocio

    Polticas y Procedimientos

    Acciones en Unidades de Negocio

    Page 5

    Caractersticas
    Alineacin estratgica Alinear la seguridad de informacin con la estrategia de negocio. Administracin del riesgo Administrar y ejecutar medidas apropiadas para mitigar los riesgos. Entrega de valor optimizar las inversiones en seguridad. Administracin de recursos Utiliza los conocimientos y la infraestructura de seguridad de informacin de manera eficiente y efectiva. Medicin del desempeo Medir, monitorear y reportar sobre los procesos de seguridad de informacin. Integracin de procesos integracin de la administracin de los procesos de aseguramiento de la seguridad.

    Page 6

    Programa de seguridad de informacin

    Page 7

    Modelo de madurez

    Page 8

    El valor de la seguridad de informacin


    Una seguridad de informacin efectiva puede agregar valor a la organizacin:

    Suministrando mayor confianza en las transacciones con clientes y terceros. Mejorando la confianza en las relaciones con los clientes. Protegiendo la reputacin de la organizacin. Permitiendo nuevas y mejores formas de procesar las transacciones electrnicas.

    Page 9

    Gobierno efectivo de seguridad de informacin


    Para lograr un gobierno efectivo de seguridad de informacin, la gerencia debe establecer y mantener un marco para guiar el desarrollo y administracin de un programa completo de seguridad de informacin que soporte los objetivos del negocio. Este marco a su vez provee la base para el desarrollo de un programa eficiente en costo de seguridad de informacin que soporta las metas de negocio de la organizacin

    Page 10

    Modelo de Seguridad de Informacin

    Page 11

    Perspectiva de gestin y tcnica


    La seguridad de la tecnologa de informacin no se resuelve nicamente desde una perspectiva tcnica, requiere necesariamente de una dimensin de gestin.
    GESTION Estrategia de seguridad Identificacin de activos de informacin Identificacin de riesgos y amenazas Esquemas de seguridad fsica Esquemas de seguridad lgica Esquema de controles Polticas, estndares y precedimientos Herramientas de seguridad Criterios de medicin y evaluacin Planes de contingencia y continuidad TECNICO

    Page 12

    Informacin vs Seguridad
    INFORMACION SEGURIDAD

    CONFIDENCIAL

    DIRECTORES

    ESTRICTO

    RESTRINGIDA

    EMPLEADOS

    SUFICIENTE

    PBLICA
    COMUNIDAD INFORMACIN USUARIOS

    MNIMO

    QU?

    QUIN?

    CMO? ADMINISTRADOR DE SEGURIDAD

    PROPIETARIOS DE DATOS O PROCESOS


    Page 13

    Elementos en la evaluacin de riesgos


    Disponibilidad: Disponibilidad est la informacin lista para ser usada cuando se le necesita? Utilidad: Utilidad la informacin es til para el desarrollo del trabajo? Integridad: Integridad est la informacin completa? Autenticidad: Autenticidad es la informacin veraz, genuina y exacta? Confidencialidad: Confidencialidad qu clasificacin de seguridad requiere la informacin? Posesin: Posesin quin tiene la informacin? Cantidad: Cantidad cuanta informacin es necesario proteger? Ubicacin: Ubicacin donde recide la informacin? Cronologa: Cronologa tiene la informacin valor en el tiempo, cuando caduca? Sujeto: Sujeto de qu tema trata la informacin? Significado: Significado cul es la intencin o propsito de la informacin? Proteccin Legal qu tipo de proteccin legal se le brinda a la informacin? Legal:

    Page 14

    OCTAVE

    Page 15

    ISO / IEC 27001

    Page 16

    ISO / IEC 27002

    Page 17

    NIST

    Page 18

    ISF

    Page 19

    COBIT

    Page 20

    BSI

    Page 21

    Gobierno de seguridad de informacin

    Plan de Gestin de Riesgo

    Estrategia de Seguridad del Negocio

    Plan de Seguridad del Negocio

    Polticas y Procedimientos

    Acciones en Unidades de Negocio

    Page 22

    Conclusin
    El Gobierno de Seguridad de Informacin (GSI) en una empresa empieza por determinar los riesgos y la forma como se pueden mitigar. Apoya el GSI las polticas, estndares y procedimientos que se pongan en prctica en la empresa. El GSI es un proceso de mejora continua. Las medidas de seguridad de informacin deben ser prcticas. Los estndares internacionales proporcionan una gua general. No son recetas, son en principio generales no entran en detalles. Los detalles se deben definir en cada empresa caso por caso. La empresa debe seleccionar los estndares que mejor le aplican.

    Page 23

    Gobierno de la seguridad de informacin aplicando estndares internacionales


    Oficina Nacional de Gobierno Electrnico e Informtico Presidencia del Consejo de Ministros 9 de Julio de 2009

    Das könnte Ihnen auch gefallen