Business">
Nothing Special   »   [go: up one dir, main page]
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 29 vistas

    S9 Informatica

    Cargado por

    Nigth Black
    El documento describe los pasos del ciclo PDCA (Planificar, Hacer, Verificar, Actuar) para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con ISO 27001. Estos incluyen 1) establecer objetivos y controles, 2) implementar procesos y controles, 3) supervisar y auditar, y 4) mejorar continuamente. También señala factores clave como el respaldo de la alta dirección, un análisis de brechas, el impacto potencial en el negocio,

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    S9 Informatica

    Cargado por

    Nigth Black
    29 vistas4 páginas
    El documento describe los pasos del ciclo PDCA (Planificar, Hacer, Verificar, Actuar) para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con ISO 27001. Estos incluyen 1) establecer objetivos y controles, 2) implementar procesos y controles, 3) supervisar y auditar, y 4) mejorar continuamente. También señala factores clave como el respaldo de la alta dirección, un análisis de brechas, el impacto potencial en el negocio,

    Descripción original:

    Título original

    S9 informatica

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe los pasos del ciclo PDCA (Planificar, Hacer, Verificar, Actuar) para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con ISO 27001. Estos incluyen 1) establecer objetivos y controles, 2) implementar procesos y controles, 3) supervisar y auditar, y 4) mejorar continuamente. También señala factores clave como el respaldo de la alta dirección, un análisis de brechas, el impacto potencial en el negocio,

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    29 vistas4 páginas

    S9 Informatica

    Cargado por

    Nigth Black
    El documento describe los pasos del ciclo PDCA (Planificar, Hacer, Verificar, Actuar) para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con ISO 27001. Estos incluyen 1) establecer objetivos y controles, 2) implementar procesos y controles, 3) supervisar y auditar, y 4) mejorar continuamente. También señala factores clave como el respaldo de la alta dirección, un análisis de brechas, el impacto potencial en el negocio,

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 4

    Para identificar los requisitos que se deben tener para implementar el SGSI

    son mucho más fáciles de explicar si usaremos el ciclo DEMING. Se usa


    las fases de PDCA
    1. Planificar. - Establecer los objetivos y procesos necesarios para
    conseguir los resultados de acuerdo con los requisitos del cliente y las
    políticas de la empresa.

     Iniciar el SGSI.
     Fijar una política de seguridad.
     Identificar, analizar y evaluar los riesgos.
     Diseño de controles y procedimientos.
     Liderazgo y aprobación del proyecto.

    2. Hacer. - En esta fase, se implementan los procesos.

     Gestiones.
     Estructuras de la organización.
     Aplicación de los controles.
     Sensibilidad y capacitación.

    3. Verificar. Realizar el seguimiento y los procesos respecto a políticas,


    objetivos y requisitos del producto e informar los resultados., las cuales
    son:

     Supervisión, medición, análisis y evaluación.


     Auditoría interna.
     Revisión por la dirección.

    4. Actuar. - Tomar acciones para mejorar continuamente el desempeño.

     Tratamiento de no conformidades.
     Mejora continua.
    Además, según el material compartido debemos tener en cuenta las
    siguientes observaciones:
     La seguridad debe ser inseparable a los procedimientos de la
    información y del negocio.
     La seguridad perfecta no existe, solo se trata de reducir el riesgo a
    niveles imperceptibles.
     La seguridad es un proceso.
    También se buscó información en internet que compartían similitudes en
    estas observaciones:
    1. Respaldo y patrocinio

    Lo principal es que se debe tener en cuenta antes de la implementación


    el respaldo de la alta dirección con la implementación de las actividades
    de seguridad informática, en otras palabras, con el proceso de la
    implementación del SGSI.

    Es decir que aunque nuestra idea sea casi perfecta debemos tener el
    respaldo de la alta directiva para su implementación. También es
    imprescindible un comité de seguridad que permita llevar lo demostrado
    a la práctica, es decir, todas aquellas responsabilidades y acciones que
    ejerce la alta dirección en cuanto a la seguridad.

    2. Organización para la toma de decisiones

    Para las actividades de organización de la seguridad, el comité tomará


    podrá tomar decisiones a la implementación y operación del sistema,
    siendo el objetivo de integrar a miembros de la dirección, para
    proporcionar una visión de negocio. Por lo revisado en estas páginas los
    que pueden conformar este foro son el responsable del sistema de
    gestión, jefes de áreas funcionales de la organización y un rol de auditor
    para una evaluación objetiva e imparcial del SGSI.
    3. Análisis de brecha (GAP)

    Es el estudio preliminar que permite conocer la forma en la cual se


    desempeña una organización en materia de seguridad informática en
    relación a las practicas industriales, la cual se usa estándares. Permitirá
    establecer la diferencia entre el actual estado y el que se desea. Esto
    generalmente se lleva a cabo en nuevos esquemas de certificación lo
    cuales generan más dudas debido a la primicia de estos.

    3. Impacto al Negocio (BIA)

    Se usa para un caso hipotético de violación de seguridad y el alcanzara


    de este por el cual afectara a la empresa. Este proceso sigue el criterio
    de cuanto mayor sea el impacto en el caso hipotético mayor prioridad se
    da a este.

    4. Recursos: tiempo, dinero y personal

    Con lo optenido en los análisis de brecha e impacto, es posible estimar


    elementos necesarios para la implementación del ISO 27001. Después
    del primer ciclo de operación se debe innovar el tiempo dedicado al
    sistema antes del año para evitar riesgos. Debemos tener en mente que
    durante la implementación se deberán destinar recursos para
    implementar controles técnicos, físicos o administrativos, conforme a
    los resultados de una evaluación de riesgos. También se debe contar con
    personal idóneo para llevar a cabo las actividades técnicas y
    administrativas relacionadas con el sistema de gestión, para los
    objetivos planteados en el SGSI.

    5. Revisión de los estándares de seguridad

    Revisamos los estándares del ISO 27000 para conocer el contenido y la


    estructura de este, haciendo un resumen, así como una introducción es
    de mayor relevancia ya que nos podemos referir a este para comprender
    mejor la normativa de la nueva versión de ISO 27001

    También podría gustarte