Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Proyecto de implementación del SGSI

No description
by

oswaldo suarez

on 23 August 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Proyecto de implementación del SGSI

El entorno actual desafía constantemente a las organizaciónes del mundo
La situación actual sólo posibilita la supervivencia de aquellos que protegen su información
Gracias
SGSI
Conocimiento del negocio
Análisis de brecha
Entrenamiento
Alcance
Política
Objetivos
Procedimientos requeridos
Inventario de activos
Toma de conciencia
Valoración de riesgos (estimación y análisis)
Formular e implementar un plan de tratamiento de riesgos
Definir métricas de eficacia a controles
Implementar procedimiento de gestión de incidentes
Implementar demás procedimientos de operación del SGSI
Medir eficacia
Auditoría interna del SGSI
Realizar revisión por la dirección
Emprender acciones correctivas y preventivas
Comunicar las acciones y mejoras a las partes interesadas
Abuso de privilegios
Virus
Ingeniería social
Escaneo de puertos
Fuga de información
Fraude informático
Destrucción de soportes documentales
Robo de dispositivos
móviles
Denegación del servicio
Hombre en el medio
Explotación de vulnerabilidades
Áreas de control de la seguridad de la información
Política de seguridad
Organización de la seguridad
Gestión de activos
Seguridad de los recursos humanos
Seguridad física y del entorno
Comunicaciones y operaciones
Control de acceso
Sistemas de información
Incidentes de seguridad
Continuidad del negocio
Cumplimiento
Identificar y evaluar riesgos
Identificar activos de información
Tratar los riesgos
Establecer criterios de aceptación
Definir Metodología
Gestión de riesgos en el SGSI
Con el apoyo de:
Proyecto de
Implementación de
SGSI

¿Seguridad de la información?
Disponibilidad
Confidencialidad
Integridad
Es toda aquella información que tiene valor para la organización y que por ende, debe ser protegida.

Todo elemento que almacene información valiosa, la genere, la procese o la transmita, también adquiere el carácter de activo de información.
Activo de información
SGSI - Sistema de Gestión de Seguridad de la Información
Conjunto de
Procesos
Controles
Iniciativas
Documentos
Estructuras Organizacionales
Roles y responsables
Políticas
Para dirigir y administrar
La Seguridad de la Información
27001:2005
En el SGSI se basa en dos procesos fundamentales
Gestionar
Riesgos de seguridad de la información
Gestionar
los incidentes de seguridad de la información
¿Cómo lo voy a hacer?
¿En qué basaré mis decisiones?
¿Qué debo proteger?
¿Que puede pasarle a mis activos?
¿Qué haré?
Mitigar
Transferir
Evitar
Aceptar
Alineada a la metodología de
riesgo operacional
Los riesgos a los que se expone la información no son sólo técnicos
¡El SGSI es un esfuerzo interdisciplinario!
Veamos
En 2011 datalossbd.com detectó 1017 casos de pérdida de dátos (sólo los conocidos públicamente) el compromiso de los datos iba desde 100 hasta 77 millones de registros.
El 94% de las empresas norteamericanas atendidas por Mandiant, desconocían que habían sido objeto de ataques informáticos.
Los datos de una investigación de 1 billón de dólares fueron robados por piratas informáticos Chinos. El FBI se refirió a este caso como "la más grande transferencia de riqueza en la historia"
Según Symantec, el 78% de las compañías sufrió ataques de seguridad en 2011

De confianza de clientes, aliados, y demás partes interesadas.
De gestión de la seguridad de la información de forma mantenida y perdurable en el tiempo
Ventajas
Apoyo al cumplimiento de los objetivos de negocio
Cumplimiento de requerimientos legales, regulatorios, contractuales asociados a la seguridad de la información
Aplicación de controles:
Adecuados a la magnitud de los riesgos.
De forma coherente con los criterios de aceptación de riesgos.
Verificando su eficacia.
Buscando la relación ideal de costo del control y beneficio optenido.
Consecución:
A pesar del análisis de riesgos
Los incidentes llegan a materializarse
Gestión de incidentes de seguridad de la información
Definir procesos
Establecer equipo de reacción
Alertar personas de la Compañía
Medir y mejorar
Mantener cadena de custodia
El proyecto
Manteniendo el compromiso con las actividades del proyecto.
Promoviendo el cumplimiento de las políticas de seguridad de la información (por emitirse).
Identificando condiciones o situaciones en los procesos bajo su responsabilidad que puedan estar comprometiendo la información.
Avance general: 50 %
Fases actuales: Planear-Hacer
Planear: Avance de 91%; en ejecución la última actividad del hito "Concientización".
Hacer: Se avanza actualmente en las actividades de continuidad de negocio y evaluación de riesgos.


Su apoyo es importante
En la implementación del SGSI se logra el cumplimiento del requerimiento 3.1.2 de la circular 042 de 2012 (antigua circular 052 de 2007):
"Gestionar la seguridad de la información, para lo cual podrán tener como referencia el estándar ISO 27000, o el que lo sustituya"
Full transcript