The Internet belongs to everyone. Let’s keep it that way.

Protect Net Neutrality
Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Proyecto de seguridad informatica

presentacion para gerencia
by

Daniela Aquino

on 14 March 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Proyecto de seguridad informatica

Objetivo del SGSI



El propósito de un SGSI es garantizar que los riesgos a los que se expone la información son conocidos, asumidos y gestionados por la organización. Ello debe realizarse de una forma documentada, sistemática, estructurada, continua, repetible, eficiente, y adaptada a los cambios de la organización, los riesgos, el entorno, y las tecnologías.

El SGSI debe actuar como canal formal de actuación del personal en relación con los recursos y servicios informáticos y como herramienta de concientización acerca de la importancia de la información y los servicios críticos. Alcance
Se entiende como incluida dentro del SGSI, toda la información relacionada con la gestión de la organización y que esté soportada por la Tecnologías de la Información y la Comunicación (TICs). Asimismo se entiende como parte de este alcance a todo el equipamiento y activos relacionados con la gestión de la información mencionada.
Esta definición es aplicable a todas las personas y entidades relacionadas con la empresa, que hagan uso de Tecnologías de la Información y la Comunicación. PROYECTO DE SEGURIDAD INFORMATICA AVANCE IMPLEMENTACION SGSI

Actividad


1 ETAPA I

1.1 Definición del Alcance del SGSI

1.2 Definición de aquellos procesos considerados como criticos.

2 ETAPA II

2.1 Nombrar gerente del proyecto y Equipo de trabajo

2.2 Conocer la documentacion de los procesos de la empresa

2.3 Definir Roles y Responsables

2.4 Definir Cronograma de trabajo

2.5 Definir Politica, Mandatos y Directrices del SGSI

2.5.1 Documentar y oficializar la Politica del SGSI

3 ETAPA III

Detalle de Activos de Información

3.1 Realizar Diagnóstico de la Seguridad

3.2 Analizar el grado de cumplimiento de los controles en la empresa

3.3 Análisis de Riesgos de Seguridad

3.3.1 Identificación / caracterización de Activos de Información

3.3.2 Identificacion de Amenazas

3.3.3 Identificación de Vulnerabilidades

3.3.4 Análisis y Evaluación del Riesgo (Matriz de Riesgo )

3.3.5 Valoración del Riesgo (Existencia y efectivdad de controles para los Activos de Información)

3.3.6 Documentación Resultado Analisis de Riesgos

3.4 Gestion de Riesgos

3.4.1 Plan de tratamiento de Riesgos

3.4.2 Implementación del tratamiento de Riesgos

3.5 Desarrollo del modelo de Seguridad según el estándar ISO/IEC 27001

3.5.1 Definición y elaboración de las Politicas de Seguridad

3.5.2 Desarrollo y elaboración de procedimientos de la Gestión de la Seguridad de la Información

4 ETAPA IV

4.1 Plan de Concientización en Seguridad de la Información

5 ETAPA V

5.1 Monitoreo y Control del SGSI IMPLEMENTACION DEL SGSI
El procedimiento para la implementación y mantenimiento del SGSI es independiente del tipo de organización, debe seguir un ciclo de mejora continua. El método más adecuado para la implementación de un SGSI es el que propone una estrategia de mejora continua en 4 pasos: Planear, hacer verificar y actuar. Las fases que a continuación se describen, permiten entender todo el procedimiento de implementación del SGSI: Etapa1: Definición del Alcance del SGSI

El alcance de un SGSI dependerá de la identificación de aquellos procesos considerados críticos y sobre los cuales se implementará el SGSI, al momento de definir el alcance del SGSI, se deben tener claros los siguientes aspectos:

• Las características del negocio. Tipos de productos y/o servicios ofrecidos, y clientes objetivo.

• Modelo de organización. Por procesos, por productos o por funciones.

• Ubicación y área de cubrimiento. Presencia nacional y/o internacional.

• Clasificación de todos los activos

De acuerdo con la Organización Internacional de Estándares dentro del estándar ISO/IEC 27001:2005, para definir el alcance se incluyen:

• Todas las interfaces que operan en la organización

• Todas las áreas involucradas en los procesos

• Todos aquellos proveedores que incidan en el SGSI Etapa2: Planeación de un SGSI
Gran parte de los proyectos que se llevan a cabo en las organizaciones fracasan antes de concluir por la falta de una planeación apropiada. La buena planeación, concentrada en el modelado del futuro, junto con la supervisión y el control de los procesos, son la clave para el éxito en un proyecto.

En la planeación entonces, se incluirán todas aquellas actividades que ayudarán a lograr la implementación exitosa del SGSI. En esta fase se deben tener identificados os siguientes aspectos:

• Definir un objetivo y el alcance del proyecto.

• Establecer el presupuesto necesario para ejecutar el proyecto.

• Nombrar un gerente del proyecto.

• Nombrar un equipo de trabajo quien asumirá diferentes responsabilidades referentes al proyecto.

• Conocer toda la documentación relativa a los procesos de negocio para los cuales se implementará el SGSI y las Políticas de Seguridad existentes en la Organización.

• Definir y documentar roles, responsabilidades y dedicación en tiempo de los integrantes del equipo de trabajo para garantizar una selección idónea.

• Estructurar el plan detallado de actividades para el alcance definido.

• Desarrollar un cronograma de actividades que contenga tiempos, responsables, presupuesto y fecha de entrega para la implementación del SGSI. Etapa3: Estructuración del SGSI

Luego de determinar el alcance y todas aquellas actividades propias de la planeación, se da inicio al proceso de definición del SGSI a través de una serie de actividades de recolección de información y de análisis de la misma para la toma de decisiones.

1) Realizar un Diagnóstico de la Seguridad

2) Analizar el grado de Cumplimiento de los controles de seguridad de la empresa

3) Estudio de Riesgos de Seguridad

a. Identificación y caracterización de Activos Críticos de Información

b. Identificación de Amenazas

c. Identificación de Vulnerabilidades

d. Procedimiento para el Análisis y evaluación de Riesgos (Matriz de Riesgos)

e. Valoración del Riesgo

f. Documentación del resultado del Análisis de Riesgos

4) Gestión de Riesgos

a. Plan de tratamiento de Riesgos

b. Implementación del plan

5) Desarrollo del modelo de Seguridad según el estándar internacional ISO/IEC 27001

a. Definición de las políticas de Seguridad

b. Desarrollo de procedimientos para la Gestión de la Seguridad de la Información (11 dominios ISO) Etapa4: Plan de concientización en seguridad de la Información

Esta fase comprende las actividades necesarias, para establecer la estrategia de sensibilización y divulgación de políticas y procedimientos para la Gestión de la Seguridad de la Información, con el propósito de establecer al interior de la organización un grado de compromiso y concientización con respecto al SGSI. Etapa5: Monitoreo y Control al SGSI

El rápido avance en el desarrollo de la tecnología impacta los planes de seguridad de la información en cualquier organización y ello hace que los mecanismos de seguridad implementados puedan deteriorase con el paso del tiempo. Un plan de monitoreo ayudará a revelar el nivel de deterioro en el que se encuentra el SGSI y a definir las acciones correctivas necesarias. ¡MUCHAS GRACIAS!
Full transcript