SEGURIDAD de la información

Plan de Trabajo
Definición de Proceso
Definición del Alcance Plan de Trabajo
Crítico

Programa de Concientización
Inventario de Activos de Trazabilidad de la Clasificación de las Activos de
ETAPA 1 Información y soporte Información Información - CIA
Normativa Aplicable

Análisis de Riesgos Análisis de Vulnerabilidades Plan de Tratamiento de

Riesgos

Seguimiento, Medición y
ETAPA 2 Evaluación Implementación SGSI Declaratoria de Aplicabilidad

Revisión por la Dirección Cumplimiento Mejora

ETAPA 3 Continua
 Seguridad de la Información
Definición:
“Preservación de la confidencialidad, la integridad
y la disponibilidad de la información.
Nota: Además, otras propiedades, como la
autenticidad, la rendición de cuentas, el no repudio
y la confiabilidad, también pueden ser
consideradas.” Disponibilidad
Fuente: ISO/IEC 27000:2014

Cualidad de que la información no esté disponible ni sea revelada a individuos,

Confidencialidad entidades o proceso no autorizados.

Integridad Cualidad de exactitud y completitud.

Disponibilidad Cualidad de ser accesible y utilizable bajo demanda de una entidad autorizada.

Autenticidad Cualidad de que una entidad es lo que pretende ser.

Rendición de cuentas Responsabilidad de una entidad por sus acciones y decisiones.

Capacidad de probar la ocurrencia de un evento o acción reclamada y sus
No repudio entidades de origen.

Confiabilidad Cualidad de un comportamiento y resultados previstos y consistentes.

Confidencialidad
• Cualidad de que la información no esté disponible ni sea revelada a
individuos, entidades o proceso no autorizados. (INTE/ISO 27001:2013)
• Cualidad que debe ser conservada mediante controles.

Regla
• Toda la información empresarial del ICE es pública.

Excepción
• Información empresarial confidencial del ICE:
• La información propia de los negocios del ICE para la cual existe
una declaratoria de confidencialidad debidamente motivada, y
con vigencia en el tiempo, por ser secreto industrial, comercial o
económico y que por motivos estratégicos, comerciales y de
competencia, no resulte conveniente su divulgación a terceros.
• La información de los clientes que por disposición legal es
confidencial.
• La información de los socios de negocio bajo acuerdo de
confidencialidad.
• Información de carácter personal de los trabajadores.
 Sistema de Gestión

•“Un conjunto de elementos de una organización relacionados o que interactúan

para establecer políticas y objetivos, y los procesos para alcanzar estos objetivos.”
ISO/IEC 27000:2014

Sistema de Gestión de la Seguridad de la Información (SGSI)

•“Un SGSI consiste en políticas, procedimientos, directrices, recursos y actividades

asociadas, administradas colectivamente por la organización, en la búsqueda de la
protección de sus activos de información. Un SGSI es un enfoque sistemático para
establecer, implementar, operar, dar seguimiento, revisar, mantener y mejorar la
seguridad de la información de una organización para alcanzar los objetivos del
negocio.”
ISO/IEC 27000:2014
 5. Políticas de seguridad de la información

6. Organización de la seguridad de la información

7. Seguridad ligada a los recursos humanos

Cláusulas de control (Dominios)

8. Gestión de activos
ISO/IEC 27002:2013

9. Control de acceso

10. Criptografía

11. Seguridad física y ambiental

12. Seguridad de las operaciones

13. Seguridad de las comunicaciones

14. Adquisición, desarrollo y mantenimiento de sistemas

15. Relaciones con los proveedores

16. Gestión de incidentes de seguridad de la información

17. Aspectos de seguridad de la información en la gestión de la continuidad del negocio

18. Cumplimiento
 Norma ISO/IEC 27001:2013

Control A.8.2. Clasificación de la Información

Objetivo: Asegurar que la información recibe un nivel de protección apropiado, de

acuerdo con su importancia para la organización.

A.8.2.1
Clasificación de la información

A.8.2.2
Etiquetado de la información

A.8.2.3
Manejo de los activos
 Importancia de la Clasificación de la Información para la
Norma ISO/IEC 27001:2013

• Es importante realizar la clasificación de la información por ser la base para

realizar las siguientes etapas

• Clasificación
• Etiquetado
• Manejo de Activos
• Trazabilidad de la Información
• Inventario de Activos de información
• Inventario de Activos de Soporte
• Análisis de Riesgos
• Declaración de Aplicabilidad
• Plan de Tratamiento de Riesgos
 Información Empresarial
Tipos De la De los
De los socios
De los
comerciales/
empresa clientes trabajadores
proveedores

Privada

Pública Confidencial
Clasificación

Información
Empresarial
ROLES EN LA GESTIÓN DE LA INFORMACIÓN
Dueño Usuario
Responsable Custodio

persona física o Encargado de usar la

jurídica que tiene responsable de información y aplicar las
poder de usar y clasificarla y establecer su custodia la información a medidas de seguridad
disponer de la nivel de criticidad y su cargo y controla que se necesarias, acorde a la
disposición final. cumplan los clasificación de la
información dentro de información establecida
la normativa vigente y requerimientos y las
por el responsable del
las leyes medidas de seguridad activo de información.
relacionadas.. acorde a lo informado
por el responsable del
activo de información.
 ERRORES COMUNES

19 14

15
11
2

5 13
9
3
7 8
10 4
18 1

17

12

16
 Gracias!

Toda su fuerza está en la unión, todos

sus peligros está en la discordia.
Henry Wadswoth Longfellow