Want to create interactive content? It’s easy in Genially!

Get started free

GUIA SGSI

Camila Reyes Conzuelo

Created on November 12, 2024

Start designing with a free template

Discover more than 1500 professional designs like these:

Vaporwave presentation

Animated Sketch Presentation

Memories Presentation

Pechakucha Presentation

Decades Presentation

Color and Shapes Presentation

Historical Presentation

Explore all templates

Transcript

GUÍA SGSI

MINERVA BERENICE MARTINEZ ROSALES CAMILA REYES CONZUELO JOSE MANUEL SOTO ROJAS

¿Qué es SGSI?

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un conjunto de políticas, procedimientos y controles establecidos por una organización para gestionar y proteger su información de manera efectiva. Su objetivo principal es salvaguardar la confidencialidad, integridad y disponibilidad de los datos.

Componentes clave de un SGSI

Componentes Clave

  • Capacitación y Concienciación: Forma al personal sobre la importancia de la seguridad de la información y las prácticas adecuadas para mantenerla.
  • Monitoreo y Revisión: Supervisa y evalúa continuamente la eficacia del SGSI, realizando auditorías internas y revisiones para identificar áreas de mejora.
  • Mejora Continua: Implementa acciones correctivas y preventivas basadas en los resultados del monitoreo y las auditorías para fortalecer el SGSI.
  • Política de Seguridad de la Información: Establece el compromiso de la organización con la seguridad y define los objetivos y directrices generales.
  • Evaluación de Riesgos: Identifica y analiza las amenazas y vulnerabilidades que podrían afectar la información, permitiendo priorizar y gestionar los riesgos de manera efectiva.
  • Controles de Seguridad: Implementa medidas técnicas, administrativas y físicas para mitigar los riesgos identificados y proteger los activos de información.

Norma ISO

Otras referencias:
  • La norma internacional ISO/IEC 27001 proporciona un marco reconocido para establecer, implementar, mantener y mejorar un SGSI, ayudando a las organizaciones a gestionar de manera sistemática los riesgos relacionados con la seguridad de la información.

¿Que es un SGSI?

Guía Completa del SGSI

Sistema de Gestión de Seguridad de la Información (SGSI)

Guía para Implementar un SGSI en una PyME de Comercio Electrónico

+ Info

1. Establecer el Contexto y Alcance del SGSI

  • Acción: Identificar qué áreas y procesos deben protegerse.
    • Caso real: La empresa define que el SGSI abarca:
      • El sitio web de comercio electrónico.
      • La base de datos de clientes.
      • El servidor donde se almacenan las transacciones.
      • Los correos electrónicos corporativos.
    • Formato sugerido:
      • Alcance del SGSI:
      • Incluye: Servidores web, bases de datos, aplicaciones, red interna.
      • Excluye: Equipos personales de empleados fuera de las oficinas.

2. Realizar un Análisis de Riesgos

  • Acción: Crear un inventario de activos y evaluar riesgos.
    • Caso real: Identifican sus activos principales:
    • Servidor web.
    • Base de datos de clientes.
    • Red de oficina.
    • Sistema de pagos en línea.
  • Formato sugerido:

3. Definir Políticas de Seguridad de la Información

  • Acción: Redactar las reglas para proteger la información.
    • Caso real: La empresa crea una política que incluye:
      • Todos los datos de clientes deben ser cifrados.
      • El acceso a la base de datos está restringido al administrador de TI.
      • Contraseñas deben renovarse cada 90 días.

Conceptos del SGSI

4. Diseñar un Plan de Seguridad Informática

  • Acción: Especificar las medidas para cada riesgo.
    • Caso real:
      • Instalar un sistema de monitoreo de red (IDS/IPS).
      • Implementar actualizaciones automáticas de software.
      • Realizar copias de seguridad diarias en la nube.
      • Contratar servicios de prueba de penetración cada seis meses.

5. Crear un Inventario de Recursos de Información

  • Acción: Registrar todos los activos.
    • Caso real:
      • Servidor web: Utilizado para el sitio e-commerce.
      • Base de datos: Almacena información de clientes.
      • Correo electrónico corporativo: Para comunicación interna y externa.

6. Implementar Controles de Acceso

  • Acción: Definir cómo se autentican los usuarios.
    • Caso real:
      • Sistema: Sistema biométrico en la oficina con huella digital.
      • Acceso remoto: Autenticación multifactor (MFA) para empleados.
      • Control físico: Puerta con cerradura electrónica.

¿Quieres saber mas? te recomendamos este video titulado "Controles y estándares para el manejo de la seguridad de la información"

7. Establecer un Programa de Capacitación

  • Acción: Capacitar a los empleados en seguridad de la información.
    • Caso real: Realizar talleres trimestrales sobre:
      • Identificación de correos maliciosos.
      • Uso de contraseñas seguras.
      • Procedimientos en caso de incidentes.

8. Gestionar Incidentes de Seguridad

  • Acción: Definir cómo se reportan y solucionan los incidentes.
    • Caso real:
      • Procedimiento:
      • Registrar el incidente en un formato estándar.
      • Notificar al equipo de TI.
      • Realizar análisis forense.
      • Implementar acciones correctivas.
    • Formato sugerido:

9. Monitorear y Auditar el SGSI

  • Acción: Establecer un calendario de auditorías internas.
    • Caso real: Realizar auditorías semestrales para revisar:
      • Configuraciones de firewall.
      • Registros de acceso.
      • Uso de contraseñas seguras.

10. Realizar la Mejora Continua

  • Acción: Ajustar las medidas según nuevos riesgos y auditorías.
    • Caso real: Después de una auditoría, se decide:
      • Actualizar el sistema de pagos con encriptación avanzada.
      • Implementar una herramienta de gestión de contraseñas.

Conclusión

A través de un enfoque estructurado y acciones concretas, como el análisis de riesgos, el diseño de políticas claras, la implementación de controles de acceso y la capacitación de empleados, la empresa puede gestionar eficazmente amenazas y vulnerabilidades. Además, la monitorización continua y la mejora constante aseguran que el SGSI evolucione con las necesidades del negocio y el panorama cambiante de la ciberseguridad.

Referencias

¡Gracias!

Sabias que...?

Implementar un SGSI no solo protege la información de la organización, sino que también mejora la eficiencia operativa y la confianza de las partes interesadas.

Referencias

  • International Organization for Standardization. (2013). ISO/IEC 27001:2013 - Information security management systems — Requirements. Geneva, Switzerland: ISO.
  • Calder, A., & Watkins, S. (2019). IT Governance: An International Guide to Data Security and ISO27001/ISO27002 (6th ed.). Kogan Page.
  • Krutz, R. L., & Vines, R. D. (2010). The CISSP and CAP Prep Guide: Platinum Edition. Wiley.
  • Whitman, M. E., & Mattord, H. J. (2021). Principles of Information Security (7th ed.). Cengage Learning.
  • Tipton, H. F., & Nozaki, M. (2007). Information Security Management Handbook (6th ed.). CRC Press.
  • Instituto Nacional de Ciberseguridad. (2018). Guía para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI). INCIBE. Recuperado de https://www.incibe.es