capacitacion terminologia seguridad de la informacion definitivo
Post on 08-Aug-2015
18 Views
Preview:
TRANSCRIPT
Área de Riesgos - Analista de Seguridad de la Información
SISTEMA DE GESTIÓN SEGURIDAD DE LA INFORMACIÓN - ASPECTO FUNDAMENTAL EN EL CRECIMIENTO DE LA ORGANIZACIÓN
INTRODUCCIÓN
Área de Riesgos - Analista de Seguridad de la Información
Fundamental dentro de una organización y sus miembros, identificar que es un SGSI1, conocer la terminología que se maneja, las clases de información que se manipula por todos y cada una de las personas que pertenecen a ella.
1 Sistema de Gestión de Seguridad de la Información
Área de Riesgos - Analista de Seguridad de la Información
OBJETIVOS Identificar y conocer cual es el SGSI que se esta
implementando en Opportunity International Colombia S.A.
Conocer la terminología propia de la seguridad de la información, para tener claro cual es la función y finalidad de cada uno de ellos en el manejo de la misma.
Concientizar a todo el personal de la importancia del manejo adecuado de la información, teniendo en cuenta las sugerencias realizadas por el área encargada de su protección, tomando como base que no es una responsabilidad única del área de Tecnología y/o Riesgos, sino de todos y cada uno de los involucrados en el manejo de la misma.
Explicar brevemente la importancia de la protección de la información en todas las actividades desarrolladas en la organización Opportunity International Colombia S.A.
Área de Riesgos - Analista de Seguridad de la Información
QUE ES SISTEMA
Es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Los sistemas reciben (entrada) datos, energía o materia del ambiente y proveen (salida) información, energía o materia
QUE ES INFORMACIÓN
Es un Conjunto organizado y con sentido de datos.
Representación simbólica (numérica, alfabética, etc.) de un atributo de una entidad. Un dato no tiene valor semántico (sentido) en sí mismo, pero al ser procesado puede servir para realizar cálculos o tomar decisiones.
QUE ES DATO
Área de Riesgos - Analista de Seguridad de la Información
QUE ES UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información.
INFORMACIÓN DATOSSon
Agregan
VALOREscrita, Imagen, Oral, Impresa,
Correo, Fax, etc.
Interna Externa Ya sea generada por
áreas
Área de Riesgos - Analista de Seguridad de la Información
QUE ES UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
Un SGSI establece un completo plan de acciones que ayudará a la empresa a solucionar los problemas de seguridad técnicos, organizativos y legislativos mediante el análisis de riesgos, mejorando y manteniendo la seguridad de la información empresarial y garantizando una continuidad de negocio.
Área de Riesgos - Analista de Seguridad de la Información
Manual de seguridad: Documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
ELEMENTOS DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)
Área de Riesgos - Analista de Seguridad de la Información
Procedimientos: Documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.
Instrucciones, Checklist y Formularios: Documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Registros: Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
Área de Riesgos - Analista de Seguridad de la Información
Entre los documentos fundamentales de un SGSI están: Alcance del SGSI
Política y objetivos de seguridad
Procedimientos y mecanismos
de control que soportan al SGSI
Enfoque de evaluación de
riesgos
Informe de evaluación de
riesgos
Plan de tratamiento de riesgos
Procedimientos documentados
Registros
Declaración de aplicabilidad
(SOA)
Área de Riesgos - Analista de Seguridad de la Información
¿PARA QUÉ SIRVE UN SGSI?
Área de Riesgos - Analista de Seguridad de la Información
CONCEPTOS IMPORTANTESCRITERIOS DE SEGURIDAD
Confidencialidad: Hace referencia a la protección de información cuya divulgación no está autorizada.
Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su destrucción.
Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y en el futuro, al igual que los recursos necesarios para su uso.
Autenticidad: El documento, archivo, etc., es realmente el que se envío, en otras palabras, es real.
No Repudio: El no repudio o irrenunciabilidad es un servicio de seguridad estrechamente relacionado con la autenticación y que permite probar la participación de las partes en una comunicación. Esta característica permite garantizar que una persona participo en el envío de datos y no puede negarlo.
Área de Riesgos - Analista de Seguridad de la Información
RELACIÓN EN LOS SERVICIOS DE SEGURIDAD
Área de Riesgos - Analista de Seguridad de la Información
Efectividad: La información relevante debe ser pertinente y su entrega oportuna, correcta y consistente.
Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor manera posible los recursos.
Confiabilidad: La información debe ser la apropiada para la administración de la entidad y el cumplimiento de sus obligaciones.
EFECTIVIDAD EFICIENCIA
CONFIABILIDAD
CALIDAD
CRITERIOS DE CALIDAD
Área de Riesgos - Analista de Seguridad de la Información
Ésta se encuentran en diferentes niveles de clasificación como son:
Restringida, la cual únicamente puede ser consultada por personas autorizadas y de un nivel jerárquico alto en la compañía.
Confidencial, la que solamente puede ser consultada por personas, de acuerdo a las funciones propias del cargo ocupado.
Uso Interno, que es manejada con discreción por el personal que labora en la organización, de acuerdo a las funciones correspondientes a su cargo.
Pública, que es de uso general y todos los clientes pueden consultar en el momento que lo deseen o requieran.
CLASIFICACIÓN DE LA INFORMACIÓN
Área de Riesgos - Analista de Seguridad de la Información
RESPONSABILIDADES EN MATERIA DE SEGURIDAD DE LA INFORMACIÓN COMO FUNCIONARIO DE
Opportunity International Colombia S.A.
Como funcionario de la empresa, debo cumplir con todas las normas y políticas establecidas para la protección de la información y contribuir en el crecimiento de la misma. Mis responsabilidades en materia de seguridad de la información son:
Proteger toda la información a la cual tengo acceso. No dejar información importante al alcance de cualquier
persona. No dejar activas sesiones en equipos cuando tenga que
desplazarme a otro lugar, bloquear el equipo. Manejar contraseñas seguras y no compartirlas con nadie. Atender las recomendaciones y sugerencias realizadas por las
personas que dirigen procesos de seguridad de la información. Informar de forma inmediata cualquier irregularidad o amenaza
detectada que pueda poner en riesgo a la organización y/o afecte a la información.
BENEFICIOS DEL SGSI
Área de Riesgos - Analista de Seguridad de la Información
Un sistema de gestión de la seguridad (SGSI) aporta los siguientes beneficios a la organización: Análisis de riesgos, identificando amenazas,
vulnerabilidades e impactos sobre los activos de información.
Minimiza los riesgos en materia de confidencialidad, integridad y disponibilidad.
Mejora continua de la seguridad de la información, mediante la supervisión, revisión y eficacia de los procesos implantados.
Aporta un valor añadido y/o diferencial a la compañía. Exterioriza una clara vocación del cumplimiento de la
normativa sobre protección de datos. Certifica una especial solvencia técnica en materia de
seguridad de la información.
CONCLUSIONES
Área de Riesgos - Analista de Seguridad de la Información
La Seguridad de la Información es un PROCESO. La Seguridad de la Información se basa en PERSONAS. La Seguridad de la Información debe orientarse al
RIESGO. Un buen SGSI es un sistema RENTABLE para la
organización. NO EXISTE la seguridad absoluta. El SGSI AYUDA a la
gestión. Hay que definir ESTRATEGIAS DE NEGOCIO y huir de
actuaciones puntuales sin criterios de interconexión. Un proyecto SGSI requiere del apoyo y aporte de todos
las personas que forman parte de la organización. La implantación de un SGSI tiene BONDADES
INHERENTES y es un DIFERENCIADOR DE LA COMPETENCIA.
Área de Riesgos - Analista de Seguridad de la Información
Preguntas, Inquietudes, Sugerencias
Muchas Gracias
top related