sgsi y mas implantación en el m.h.. ¿quÉ es la seguridad de la informaciÓn? la seguridad de la...
TRANSCRIPT
SGSI y MAS
Implantación en el M.H.
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
La seguridad de la información es preservar su:
Información:
Sistemas automatizados:Soportes Magnéticos
Sistemas manualesSoportes físicos (papel)
Sistema de Gestión de Seguridad de la Información (SGSI)
Comprende la Política, el Manual, la Estructura Organizativa, los Procesos y los recursos necesarios para implantar la gestión de la Seguridad de la Información
Jerarquía Documental
NTCI (Corte de Cuentas)NTCIE (Corte de Cuentas – MH)
MAPO (Capítulo 7) SGSI el cual contiene:
Manual de Seguridad (MAS) Procedimientos Normativos (PRSN) Procedimientos Operativos (PRSO) Fichas de Proceso Otros documentos (Metodologías, guías, etc.)
Codificación Utilizada en algunos documentos SGSI: Sistema de Gestión de Seguridad de la
Información MAS: Manual de Seguridad de la Información PRSN: Procedimiento Normativo de Seguridad PRSO: Procedimiento Operativo de Seguridad GTS: Guías de Trabajo de Seguridad FDPS: Fichas de Proceso de Seguridad
Adopción de Estándares Internacionales ISO/IEC 27001:2005
“Especificaciones para los Sistemas de Gestión de Seguridad de la Información”
ISO/IEC 17799:2005
“Código de Buenas Practicas para la Gestión de la Seguridad de la Información”
CICLO DE DESARROLLO, MANTENIMIENTO Y MEJORA DEL SGSI
Rol de la DINAFI•Definir el alcance del SGSI•Definir la política del SGSI•Identificar los riesgos•Gestionar los riesgos•Seleccionar los controles•Preparar la relación de controles
Rol de la DINAFI y DIRECCIONES•Definir plan de gestión de riesgos•Implantar plan de gestión de riesgos•Implantar controles seleccionados
Rol de la UGC y DINAFI•Desarrollar procedimientos de monitoreo•Revisar regularmente el SGSI•Revisar los niveles de riesgo•Auditar internamente el SGSI
->
Rol de las Unidades Organizativas del MH •Implantar las mejoras•Adoptar acciones preventivas y correctivas•Comunicar acciones y resultados•Verificar que las mejoras cumplen su objetivo
Establecer el SGSI
Implantar y operar el SGSI
Mantener y mejorar el SGSI
Monitorear y revisar el SGSI
planificar
verificar
haceractuar
Manual de Seguridad de la Información del MH Secciones 1 - 8: Requisitos del SGSI
según estándar ISO/IEC 27001:2005 Sección 9: Controles seleccionados del
estándar ISO/IEC 17799:2005 Sección 10: Sanciones Sección 11: Correspondencia con Calidad
Sección 1: Introducción y Alcance del SGSI Introducción Objetivos Base legal Alcance Proceso de Seguridad
Sección 2
Referencias
Sección 3
Términos y Definiciones
Sección 4: SGSI
Requisitos Generales Establecimiento y Gestión del SGSI
(FASES) Requisitos de la Documentación (Control
de Documentos y Registros)
Sección 5: Responsabilidades
Compromiso de la Dirección Titulares DINAFI Directores Encargados de Seguridad Propietarios, Custodios y Usuarios
Gestión de los Recursos Provisión de Recursos Formación, Concientización y Competencia
Sección 6: Auditorias del SGSI
Se realizarán para todo el SGSI por la Unidad de Gestión de la Calidad de SEDE
Sección 7: Revisión del SGSI
Información para la revisión:Resultado de auditorias y monitoreoEstado de las acciones preventivas y
correctivas Resultados de la revisión
Mejorar los procesosActualización del Análisis de RiesgosLas necesidades de recursos
Sección 8: Mejora Continua
Acciones CorrectivasEliminar las causas de las no conformidades
detectadas y evitar su repetición. Acciones Preventivas
Identificar y eliminar las causas de No conformidades Potenciales detectadas y prevenir que ocurran.
Sección 9: Lineamientos
1. Organización de la Seguridad de la Información2. Gestión de Activos3. Seguridad de los Recursos Humanos4. Seguridad Física y Ambiental5. Gestión de Comunicaciones y Operaciones6. Control de Accesos7. Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información8. Gestión de Incidentes de Seguridad de la Información9. Gestión de Continuidad del Negocio10. Conformidad
9.1 Organización de la Seguridad
Controles para facilitar la gestión de la seguridad de la información en el seno de la Institución.
Recursos y funciones definidas. Trato con terceros
9.2 Gestión de Activos
Controles para catalogar los activos y protegerlos eficazmente.
Identificar, clasificar y marcar la información¿Qué es lo que tengo?¿Es confidencial o no?¿Se maneja adecuadamente?
9.3 Seguridad de los Recursos Humanos
Controles para reducir los riesgos de error humano, robo, fraude y utilización abusiva de los activos o equipos.
Capacitación y conocimiento sobre seguridad.
9.4 Seguridad Física y Ambiental
Controles para impedir la violación, el deterioro y la perturbación de las instalaciones y datos¿Está mi información o los equipos protegidos
contra accesos no autorizados y desastres (fuego, inundación, etc)
¿Poseo mantenimientos correctivos o preventivos de mis equipos?
9.5 Gestión de Comunicaciones y Operaciones
Controles para garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información
9.6 Control de Accesos
La autenticación, autorización y el registro del acceso a la información.¿Quién es?¿Tiene los privilegios para el acceso?¿Qué hizo?
9.7 Adquisición, Desarrollo y Mantenimiento de Sistemas
Controles para garantizar que la seguridad esté incorporada a los sistemas de información
9.8 Gestión de Incidentes de Seguridad Controles para gestionar las incidencias
que afectan a la seguridad de la información.¿Qué sucedió?¿Cuántas veces ha sucedido?¿Fue grave o no?¿Se toman las acciones para evitar que
suceda nuevamente?
9.9 Gestión de Continuidad del Negocio
Controles para reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra averías y siniestros mayores.
9.10 Conformidad
Controles para prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y de las exigencias de seguridad
Acciones requeridas por dirección a mediano - largo plazo Inventario y gestión de activos de los sistemas
de información Análisis de riesgo Plan de Seguridad de la Información Plan de contingencia y continuidad Clasificación de la información Elaboración de Procedimientos Operativos Monitoreo
Acciones requeridas por dirección a corto plazo
Se requiere que los encargados de Seguridad divulguen el SGSI y el MAS al interior de cada Dirección, presentando a más tardar una copia de los formularios de inducción completados, el 1 de Noviembre.
Documentos del SGSI
Disponibles a través de la Intranet del M.H. en http://mhserver o http://webadmin/sgsi
Área de Seguridad de la Información Salvador E. Monterrosa Ext. 3144, email:
[email protected] David Edgardo Sandoval Ext. 3167, email:
[email protected] Carlos Eduardo Delgado Ext. 3167, email:
GRACIAS POR SU ATENCIÓN