Sistema de la Seguridad de La Informacion

Mapa Conceptual de SGSI UTPL

Comienza Ya. Es Gratis
ó regístrate con tu dirección de correo electrónico
Sistema de la Seguridad de La Informacion por Mind Map: Sistema de la Seguridad de La Informacion

1. Planificar

1.1. IDENTIFICAR

1.1.1. Riesgos

1.1.1.1. como: activos que están dentro del alcance del SGSI y a sus responsables directos, amenazas en relación a los activos, vulnerabilidades que puedan ser aprovechadas por dichas amenazas e impactos en la confidencialidad, integridad y disponibilidad de los activos.

1.1.1.2. Analizar y Evaluar

1.1.1.2.1. como: impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información; forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados; estimar los niveles de riesgo; determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

1.1.1.2.2. las distintas opciones de tratamiento de los riesgos para: aplicar controles adecuados; aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos

1.2. DEFINIR

1.2.1. alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.

1.2.2. una política de seguridad que permita: incluir el marco general y los objetivos de seguridad de la información de la organización, considerar requerimientos legales o contractuales relativos a la seguridad de la información, estar alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI, establecer los criterios con los que se va a evaluar el riesgo y estar aprobada por la dirección.

1.2.3. metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles.

1.2.4. declaración de aplicabilidad que incluya: los objetivos de control y controles seleccionados y los motivos para su elección; los objetivos de control y controles que actualmente ya están implantados; los objetivos de control y controles excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.

2. Hacer

2.1. Definir

2.1.1. lan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información

2.1.2. sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles

2.2. Implementar

2.2.1. el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades

2.2.2. los controles anteriormente seleccionados

2.2.3. procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.

2.3. Gestionar

2.3.1. las operaciones del SGSI.

2.3.2. los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.

3. Verifricar

3.1. Ejecutar

3.1.1. procedimientos de monitorización y revisión para: detectar a tiempo los errores en los resultados generados por el procesamiento de la información, identificar brechas e incidentes de seguridad, ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto, detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores y determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

3.2. Revisar

3.2.1. regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.

3.2.2. regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.

3.3. Actualizar

3.3.1. los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.

3.4. Medir

3.4.1. la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.

3.5. Registrar

3.5.1. acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI

4. Actuar

4.1. Implementar

4.1.1. en el SGSI las mejoras identificadas

4.2. Realiazar

4.2.1. las acciones preventivas y correctivas adecuadas en relación a la clausula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.

4.3. Comunicar

4.3.1. las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.

4.4. Aegurarse

4.4.1. las mejoras introducidas alcanzan los objetivos previstos