Herramientas de usuario
master_cs:gsi:tm2
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:gsi:tm2 [2025/09/22 16:42] – thejuanvisu | master_cs:gsi:tm2 [2025/09/22 18:16] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 30: | Línea 30: | ||
| ==== Perspectivas ==== | ==== Perspectivas ==== | ||
| * Riesgo: Requisitos de protección y exposición al riesgo de los activos de la empresa y los istemas informáticos | * Riesgo: Requisitos de protección y exposición al riesgo de los activos de la empresa y los istemas informáticos | ||
| + | * Entorno = Riesgos: Reconocer los diferentes riesgos y metodologías para su gestión | ||
| * Cumplimiento: | * Cumplimiento: | ||
| * Regulaciones externas establecidas por leyes, regulaciones y estándares. | * Regulaciones externas establecidas por leyes, regulaciones y estándares. | ||
| * Obligaciones contractuales | * Obligaciones contractuales | ||
| * Gobernanza: Alinear los objetivos de TI y seguridad de la información derivados de los objetivos generales de la empresa. | * Gobernanza: Alinear los objetivos de TI y seguridad de la información derivados de los objetivos generales de la empresa. | ||
| + | |||
| + | ==== Fundamentos ==== | ||
| + | * La seguridad total no existe | ||
| + | * La seguridad que se debe implementar depende de la organización y su entorno. | ||
| + | * La seguridad deja de ser solo una cuestión técnica para ser parte del plan de negocio. | ||
| + | * Se aplica a todos los niveles de la organización. | ||
| + | * Se introduce el análisis de Riesgo y un sistema de gestión orientado a la protección de la información | ||
| + | * Se define un conjunto de controles que no dejan nada al azar (ISO 27002) | ||
| + | * Asocia la gobernabilidad con la seguridad de la información. | ||
| + | |||
| + | ==== Evolución ==== | ||
| + | Comenzó a finales de los 90 con normas nacionales, tomándose como referencia la norma británica BS 7799-2 y fue evolucionando con los años: | ||
| + | * ISO/IEC 27001:2005 | ||
| + | * ISO/IEC 27001:2013 | ||
| + | * ISO/IEC 27001:2022 (Versión actual) | ||
| + | |||
| + | ==== Estructura ==== | ||
| + | - Ámbitos de la norma | ||
| + | - Alcance | ||
| + | - Términos y definiciones de la norma 27001 | ||
| + | - contexto organizacional y de las partes interesadas | ||
| + | - Liderazgo en seguridad de la información y apoyo de alto nivel para la política | ||
| + | - Planificación de un sistema de gestión de seguridad de la información: | ||
| + | - Apoyar un sistema de gestión de seguridad de la información | ||
| + | - Hacerun sistema de gestión de la seguridad de la información | ||
| + | - Revisar el funcionamiento del sistema | ||
| + | - Acciones correctivas | ||
| + | - Anexo A: Lista de los controles y sus objetivos. | ||
| + | |||
| + | ==== ISO 27001 y el Ciclo Deming (PDCA) ==== | ||
| + | * Planificar (Establecer el SGSI) | ||
| + | * DO (Hacer) | ||
| + | * Check | ||
| + | * Act | ||
| + | |||
| + | ==== 1. Alcance ==== | ||
| + | Este documento establece los requisitos para elaborar un sistema de gestión de la información, | ||
| + | |||
| + | ==== 2. Referencias normativas ==== | ||
| + | Se referencian las normativas usadas como la 27001. | ||
| + | |||
| + | ==== 3. Términos y definiciones ==== | ||
| + | |||
| + | Terminos y definiciones relevantes en el contexto | ||
| + | |||
| + | ==== 4. Contexto de la organiación ==== | ||
| + | Cubre varios puntos: | ||
| + | * 4.1 Organización: | ||
| + | * 4.2 Partes interesadas: | ||
| + | * Clientes | ||
| + | * Empleados | ||
| + | * Proveedores | ||
| + | * Accionistas | ||
| + | * 4.3 Determinación de alcance del SGSI | ||
| + | * Las cuestiones internas y externas del 4.1 | ||
| + | * Los requisitos del 4.2 | ||
| + | * Las interfaces y dependencias entre actividades realizadas por la organización y las realizadas por otras organizaciones. | ||
| + | * 4.4 SGSI | ||
| + | * La organización debería establecer, implementar, | ||
| + | |||
| + | ==== 5. Liderazgo ==== | ||
| + | * 5.1. Liderazgo y compromiso: | ||
| + | * La alta dirección debe demostrar liderazgo y compromiso con respecto al SGSI | ||
| + | * 5.2 Política | ||
| + | * La alta dirección define una política de seguridad de la información que: | ||
| + | * Sea apropiada para el propósito de la organización | ||
| + | * Incluya información de los objetivos de seguridad da la información | ||
| + | * Compromiso de mejora contínua | ||
| + | * Compromiso para satisfacer los requisitos | ||
| + | * La política de seguridad de la información debe: | ||
| + | * Estar disponible como información documentada | ||
| + | * Ser comunicada dentro de la organización | ||
| + | * Estar disponible para las partes interesadas | ||
| + | * 5.3 Funciones, responsabilidades y autoridades de la organización | ||
| + | * Es responsabilidad de la alta dirección garantizar que las funciones, responsabilidades y autoridades se deleguen y comuniquen de manera efectiva. | ||
| + | * La alta dirección debe asignar la responsabilidad para: | ||
| + | * Asegurar que la SGSI es conforme con los requisitos de la ISO 27001 | ||
| + | * Informar sobre los resultados del SGSI a la alta dirección | ||
| + | |||
| + | ==== 6. Plan ==== | ||
| + | === 6.1 Acciones para abordar riesgos y oportunidades === | ||
| + | * 6.1.1 General: | ||
| + | * La organización debe planear: | ||
| + | * Las acciones para abordar los riesgos y oportunidades | ||
| + | * Como integrar e implementar las acciones en procesos del SGSI | ||
| + | * Evaluar la eficacia de dichas acciones | ||
| + | * 6.1.2 Evaluación de reisgos de seguridad de la información | ||
| + | * Establezca y mantenga criterios de riesgo incluyendo: | ||
| + | * El criterio de aceptación de riesgo | ||
| + | * Criterios para realizar evaluaciones de riesgos de seguridad de la información | ||
| + | * Asegura la reproducibilidad de las evaluaciones con resultados consistentes, | ||
| + | * Identifique los riesgos de seguridad de la información y alos propietarios de los riesgos | ||
| + | * Analice los riesgos de seguridad de la información, | ||
| + | * Un análisis de riesgos puede ser desarrollado con cualquier tipo de metodología siempre y cuando sea completa y metódica, siendo el resultado final: | ||
| + | * Clara identificación, | ||
| + | * | ||
| + | * Evalue los riesgos de seguridad de la información, | ||
| + | * 6.1.3 Tratamiento de riesgos de seguridad de la información | ||
| + | * Selecciona las opciones de tratamiento de riesgo | ||
| + | * Determinar todos los controles necesarios para implementar las opciones de tratamiento | ||
| + | * Comparar los controles determinados con los disponibles en el "Anexo A" y verificar que no se han omitido riesgos necesarios. | ||
| + | * Reproducir la declaración de aplicailidad (SOA) | ||
| + | * Controles necesarios | ||
| + | * Justifiación de su inclusión | ||
| + | * Si los controles necesarios están o no implementados | ||
| + | * La justificación de su exclusión. | ||
| + | * Formular el plan de tratamiento de riesgos (RTP) | ||
| + | * Obtener la aprobación del propietario de riesgo para el RTP y aceptación de riesgos residuales | ||
| + | |||
| + | === 6.2 Objetivos de seguridad de la información y planificación para alcanzarlos === | ||
| + | |||
| + | === 6.3 Planificación de los cambios === | ||
| + | Cuando la orgnaización determine la necesidad de los cambios en el SGSI... INCOMPLETO | ||
| + | |||
| + | ==== 7. Soporte ==== | ||
| + | * 7.1 Recursos | ||
| + | * 7.2 Compentencia | ||
| + | * 7.3 Conocimiento | ||
| + | * 7.4 Comunicación | ||
| + | * 7.5 Información documentada | ||
| ===== ISO/IEC 27002 ===== | ===== ISO/IEC 27002 ===== | ||
master_cs/gsi/tm2.1758559331.txt.gz · Última modificación: 2025/09/22 16:42 por thejuanvisu
Herramientas de la página
