Want to create interactive content? It’s easy in Genially!

Get started free

Situación de Aprendizaje

IVAN BERMUDEZ

Created on November 8, 2024

Start designing with a free template

Discover more than 1500 professional designs like these:

January School Calendar

Genial Calendar 2026

School Calendar 2026

January Higher Education Academic Calendar

School Year Calendar January

Academic Calendar January

Comic Flipcards

Explore all templates

Transcript

Administracion de recursos informaticos

GUIA SGSI

Empezar

ELABORO: IVAN BERMUDEZ PATRICIO

Ciclo de mejora continua

1.CONTEXTO DE LA ORGANIZACION:

Para iniciar la implementación de un SGSI, se debe definir el alcance específico del sistema, analizar los requisitos y el entorno de la organización y sus partes interesadas. Es fundamental considerar el contexto organizacional para adaptar las medidas de seguridad a las necesidades específicas y garantizar su efectividad. Según ISO/IEC 27001, las organizaciones deben incorporar este análisis en su planificación de seguridad de la información para asegurar una implementación ajustada y eficaz. • Contexto Externo: Es el entorno externo en el que la organización busca alcanzar sus objetivos • Contexto Interno: Es el entorno interno, en el que la organización busca alcanzar sus objetivos

Analisis del entorno:

El análisis del entorno busca integrar el SGSI en el contexto general de la organización. Para ello, se deben identificar y describir las interfaces organizativas y técnicas relevantes, así como las condiciones típicas de la industria y la ubicación. Este análisis considera el entorno interno, incluyendo otros sistemas de gestión (como ISO 9001 e ISO 22301) y la interacción con áreas clave, como gestión de riesgos, recursos humanos, protección de datos, instalaciones, auditoría y asuntos legales, incluso si no están dentro del alcance actual. También se debe evaluar el entorno externo, incluyendo proveedores clave, socios estratégicos y otras organizaciones relevantes.

Analisis de requerimientos:

Los responsables del sistema de gestión deben obtener una visión clara sobre las partes interesadas y definir sus requisitos para la organización y el SGSI. Estos requisitos pueden incluir obligaciones legales y oficiales (como el RGPD de la UE, UWG, TMG, o regulaciones de autoridades), así como compromisos contractuales. Además, es importante considerar la influencia de la propia organización o de una entidad jerárquicamente superior en la toma de decisiones y dirección, asegurando que sus requerimientos estén debidamente incorporados en el SGSI.

Comprensión de las Necesidades y Expectativas de las Partes Interesadas

La organización debe determinar: a) Las partes interesadas que son relevantes para el sistema de gestión de la seguridad de la información b) Los requisitos de estas partes interesadas que son relevantes para la seguridad de la información NOTA: Los requisitos de las partes interesadas pueden incluir requisitos legales y regulatorios, así como obligaciones contractuales.

Determinación del Alcance

La organización debe determinar los límites y la aplicabilidad del sistema de gestión de la seguridad de la información para establecer su alcance. Cuando se determina este alcance, la organización debe considerar: a) Las cuestiones externas e internas b) Los requisitos obtenidos en el contexto de la organizacion c) Las interfaces y dependencias entre las actividades realizadas por la organización y las que se llevan a cabo por otras organizaciones

Tips a considerar:

Para el alcance es relevante tener en cuenta los siguientes aspectos: • Los resultados del contexto. • Los resultados del análisis de brechas. • Los Sistemas de Gestión existentes en la organización. • Las áreas de aplicación que dan valor a las partes interesadas. • Los requisitos legales, regulatorios, contractuales. • Los objetivos de la Organización. • Los límites organizacionales. • Los límites de los sistemas de información. • Los límites físicos. Un documento de definición de alcance podría considerar lo siguiente: • Definición del Alcance. • Características de la organización. • Procesos de la organización. • Funciones y responsabilidades. • Activos de Información. • Sistemas de Información. • Ubicación geográfica.

2. Liderazgo y compromiso

El patrocinador proporcionará la dirección estratégica, la financiación y los recursos necesarios para que el SGSI tenga éxito. Sin él, me temo que estará luchando por una causa perdida, así que, aunque tenga que redactar casos de negocio y otros documentos y presentárselos ante sus narices para que los aprueben, eso es lo que se necesita. La alta dirección debe demostrar liderazgo y compromiso con el SGSI:

  • Asegúrese de que el SGSI logre los resultados previstos.
  • Asegúrese de que los recursos estén disponibles.
  • Comunicar la importancia de una gestión eficaz de la seguridad de la información y el cumplimiento de los requisitos del SGSI.
  • Asegúrese de que el SGSI esté integrado en los procesos de la organización.
  • Promover la mejora continua.

POLITICA:

Como parte de la implementación, es importante preparar el terreno y dejar que todos sepan qué se espera de ellos. Esto se hace principalmente a través de dos mecanismos: políticas y capacitación. Debe tener una política de seguridad de la información general. Esta política "principal" puede indicar a los lectores políticas secundarias más específicas, como una política de desarrollo seguro, una política de "traiga su propio dispositivo" o la famosa política de uso aceptable.

  • Establecer una política de seguridad de la información.
  • Asegúrese de que la política sea apropiada al propósito de la organización.
  • Incluir objetivos de seguridad de la información o proporcionar un marco para establecer objetivos.
  • Incluir un compromiso para satisfacer los requisitos aplicables y la mejora continua.
  • Asegúrese de que la política esté documentada, comunicada y disponible para las partes interesadas.

Roles, responsabilidades y autoridades organizacionales

  • Asignar y comunicar roles, responsabilidades y autoridades para la seguridad de la información.
  • Asegúrese de que estos roles estén bien definidos y comprendidos dentro de la organización.
  • Asignar responsabilidad y autoridad para garantizar que el SGSI se ajuste al estándar e informe sobre su desempeño.

3. PLANIFICACION

  • Considere las cuestiones internas y externas (Cláusula 1) y los requisitos de las partes interesadas (Cláusula 2) al planificar el SGSI.
  • Determinar los riesgos y oportunidades que deben abordarse para:
  • Asegúrese de que el SGSI logre los resultados previstos.
  • Prevenir o reducir efectos no deseados.
  • Lograr una mejora continua.
  • Planifique acciones para abordar estos riesgos y oportunidades.
  • Integrar e implementar estas acciones en los procesos del SGSI.
  • Evaluar la efectividad de estas acciones.

Evaluación de riesgos de seguridad de la información

Al planificar el SGSI, la organización debe:

  • Identificar cuestiones relevantes y requisitos necesarios.
  • Determinar los riesgos y oportunidades a tratar para:
  • Asegurar los resultados esperados del SGSI.
  • Prevenir o reducir efectos indeseados.
  • Promover la mejora continua.
  • Para gestionar estos riesgos y oportunidades, la organización debe:
  • Planificar acciones específicas para tratarlos.
  • Integrar e implementar estas acciones en los procesos del SGSI.
  • Evaluar la eficacia de las acciones tomadas.

Apreciación de los Riesgos de Seguridad de la Información

La organización debe definir y aplicar un proceso de apreciación de riesgos que incluya:

  • Criterios de riesgo: establecer criterios de aceptación de riesgos y criterios para realizar las apreciaciones.
  • Consistencia en los resultados: asegurar que las apreciaciones sean válidas y comparables.
  • Identificación de riesgos:
  • Realizar apreciaciones de riesgos asociados a la pérdida de confidencialidad, integridad y disponibilidad de la información.
  • Identificar a los dueños de cada riesgo.
  • Definición de Riesgo y Nivel de Riesgo
  • Riesgo: Efecto de la incertidumbre en los objetivos, pudiendo tener consecuencias positivas (oportunidades) o negativas (amenazas).
  • Nivel de riesgo: Combinación de la probabilidad de que ocurra un evento y sus consecuencias.

Objetivos de seguridad de la información y planificación para alcanzarlos

El plan/objetivos no necesitan ser complicados, pero deben resumir lo que se logrará en el próximo período y qué recursos serán necesarios para lograrlo. Los objetivos de seguridad de la información deben: a) Ser coherentes con la política de seguridad de la información b) Ser medibles (si es posible) c) Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la apreciación y del tratamiento de los riesgos d) Ser monitoreados e) Ser comunicados f) Ser actualizados, según sea apropiado g) La organización debe conservar información documentada sobre los objetivos de seguridad de la información.

Planificación de cambios:

Cuando la organización determine la necesidad de realizar cambios en el sistema de gestión de la seguridad de la información, dichos cambios se llevarán a cabo de forma planificada.

  • Determinar la necesidad de realizar cambios al SGSI.
  • Planificar los cambios de manera sistemática.
  • Asegúrese de que los cambios se lleven a cabo de forma controlada.
  • Considere el propósito de los cambios y sus posibles consecuencias.
  • Mantener la integridad del SGSI durante y después de los cambios.

4. SOPORTE

La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de la seguridad de la información. Concienciación: Las personas que trabajan bajo el control de la organización deben ser conscientes de: a) La política de la seguridad de la información b) Su contribución a la eficacia del sistema de gestión de la seguridad de la información, incluyendo los beneficios de una mejora del desempeño en seguridad de la información c) Las implicaciones de no cumplir con los requisitos del sistema de gestión de la seguridad de la información

5. OPERACION:

La organización debe efectuar apreciaciones de riesgos de seguridad de la información a intervalos planificados, y cuando se propongan o se produzcan modificaciones importantes

Tratamiento de los Riesgos de Seguridad de la Información Evaluación y Tratamiento de Riesgos

La organización debe implementar el plan de tratamiento de los riesgos de seguridad de la información. La organización debe conservar información documentada de los resultados del tratamiento de los riesgos de seguridad de la información.

6. EVALUACION DE DESEMPEÑO

La organización debe evaluar el desempeño y eficacia del Sistema de Gestión de Seguridad de la Información (SGSI) mediante:

  • Determinación de qué medir y seguir, enfocándose en procesos y controles de seguridad.
  • Definición de métodos de seguimiento y medición que aseguren resultados válidos, comparables y reproducibles.
  • Establecimiento de tiempos para realizar el seguimiento y medición.
  • Asignación de responsabilidades para realizar el seguimiento, análisis y evaluación de resultados.
  • Conservación de evidencia documentada de los resultados obtenidos.
9.2 Auditoría Interna
  • La organización debe realizar auditorías internas periódicamente para:
  • Verificar cumplimiento con los requisitos propios del SGSI y los de la norma ISO 27001.
  • Evaluar la efectividad de la implementación y mantenimiento del SGSI.

7. MEJORA

7.1 Mejora Continua La organización debe mejorar de manera continua la adecuación, mantenimiento y efectividad del Sistema de Gestión de Seguridad de la Información (SGSI). 7.2 No Conformidad y Acciones Correctivas Cuando se detecta una no conformidad, la organización debe: Reaccionar ante la no conformidad: controlarla, corregirla y abordar sus consecuencias. Evaluar la necesidad de acciones preventivas para eliminar la causa y evitar recurrencias, revisando la no conformidad, identificando causas y verificando si existen problemas similares. Implementar y revisar la eficacia de las acciones correctivas. Realizar cambios en el SGSI, si es necesario.

  • La organización debe documentar:
  • La naturaleza de las no conformidades y las acciones tomadas.
  • Los resultados de las acciones correctivas.

VIDEO DE AYUDA:

ejemplo con mayor detalle:

continuacion un ejemplo mas detallado:

¡FIN!

Planificar

En esta fase se analizará el entorno de la compañía, incluyendo la información que maneja, sus directivas corporativas y los requisitos legales. La empresa deberá diseñar un procedimiento formal para identificar y evaluar riesgos continuamente, además de seleccionar objetivos de control y los controles necesarios para gestionarlos.

Mejorar

La implementación de un SGSI requiere acciones constantes para mantener y mejorar el sistema. Al detectar amenazas, vulnerabilidades y riesgos, se deben aplicar medidas correctivas y preventivas para asegurar la protección de la información de la empresa.

Hacer

En esta fase, se desarrollará e implementará un plan a medio y largo plazo para prevenir o reducir riesgos de seguridad de la información. Además, se capacitará e informará al personal para asegurar la correcta implementación del SGSI.

Comprobar

La implementación del SGSI requiere seguimiento y revisión de los controles mediante auditorías internas y externas para evaluar su eficacia y eficiencia, e identificar amenazas, vulnerabilidades y riesgos del sistema.