DISEÑO DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN

Este manual cubre el vacío generado por la falta de un método documentado sobre cómo proceder a implantar en cualquier empresa un sistema de gestión de seguridad de información (SGSI), que les permita a las organizaciones minimizar los riesgos y asegurar una continuidad en sus operaciones. Contiene un método completo para instaurar en cualquier firma un SGSI basado en la norma ISO 27001: 2005. las fases y las actividades de la metodología sirven de guía a los profesionales encargados de manejar proyectos de implantación.

Al instaurar un SGSI, usualmente no se sabe con precisión cómo se procede a documentar el modelo. ¨Con qué cláusula se debe iniciar la documentación? ¨Cómo se documenta un procedimiento par que sea amigable y sea una herramienta de trabajo? En el libro se resuelven con la debida profundidad estas preguntas y en él se presenta la estructura piramidal de la documentación del modelo ISO 27001: 2005 y él método de los 13 pasos para documentar un SGSI, el cual debe convertirse en una gran asistencia para los responsables de documentar los sistemas. Concreta y detalladamente, se describen las fases y los pasos de la "metodología para diseñar un Plan de Continuidad del Negocio (PCN)". No existe un SGSI si no se tiene instaurado un PCN. En el capítulo 4 se aborda con detalle metodológico el proceso de elaboración de un PCN. Esta metodología debe ser una lectura obligada de todo profesional interesado en elaborar planes de continuidad del negocio para cualquier empresa.

Con sencillez, se le presentan al lector o lectora los distintos pasos para realizar, dentro de la óptica de la norma ISO 27001: 2005, el "análisis y la evaluación del riesgo de activos de información". Así entenderá cómo se establecen las opciones de tratamiento del riesgo y se procede a elaborar un plan de tratamiento del riesgo, para una empresa determinada.

Este texto deberá utilizarse en los programas de pre y posgrado en carreras de tecnología de información y administración de empresas, y por profesionales dedicados a la auditoria de SGSI; y considerado un manual de gran por los consultores de empresas.

Agradecimientos
Sobre el autor
Prólogo

Capítulo 1
Sistema de gestión de seguridad de información

Introducción
Evolución de la norma
Familia ISO 27000
Naturaleza de un SGSI
Referencias bibliográficas

Capítulo 2
Naturaleza de la norma ISO 27001: 2005 y las cláusulas globales

Introducción
Alcance del modelo
Aplicación
Términos y definiciones
Sistema de gestión de seguridad de información
Naturaleza del estándar
Conclusiones Referencias Bibliográficas

Capítulo 3
Establecimientos de un sistema de gestión de seguridad de información

Introducción
Alcance de un SGSI
Ilustraciones para definir un alcance
Política de un SGSI
Enfoque para la gestión del riesgo
Valuación del riesgo
Aspectos a contemplar al efectuar el análisis del riesgo
Vulnerabilidades
Aspectos a contemplar al efectuar la evaluación del riesgo
Estrategias posibles para el tratamiento del riesgo
Riesgo residual
Conclusiones
Referencias bibliográficas

Capítulo 4
Gestión de la continuidad del negocio

Naturaleza de un plan de gestión de continuidad del negocio
El plan de continuidad del negocio
El plan de continuidad del negocio y otros enfoques
El proceso de plan de continuidad del negocio
Fase I Business Impact Analysis (BIA)
Fase II Gestión del riesgo
Fase III Desarrollo de estrategias para la continuidad del negocio
Fase IV Desarrollo del plan de continuidad del negocio
Fase V Ensayo del plan de continuidad del negocio
Fase IV Mantenimiento del plan de continuidad del negocio
Conclusiones
Referencias bibliográficas

Capítulo 5
Metodología para documentar un sistema de gestión de seguridad en información

Introducción
Pirámide documental del ISO 27001: 2005
Conclusiones
Referencias bibliográficas

Capítulo 6
Implantación de un sistema de gestión de seguridad de información bajo la óptica ISO 27001: 2005

Ciclo metodológica para la implantación del modelo ISO 27001: 2005
Conclusiones
Referencias bibliográficas

Apéndice 1
Norma Venezolana

FONDONORMA
ISO/IEC 27001: 2006
ISO/IEC 27001: 2005
Tecnología de la información
Técnicas de seguridad
Sistemas de gestión de seguridad de la información
Requisitos

Prólogo
0. Introducción
1. Objeto
2. Referencias normativas
3. Términos y definiciones
4. Sistema de gestión de seguridad de la información
5. Responsabilidad de la dirección
6. Auditorias internas de SGSI
7. Revisión por la dirección del SGSI
8. Mejora SGSI

Anexo A
Anexo B
Anexo C

Bibliografía

Apéndice 2
Registros para la revisión gerencial ISO 27001: 2005

Apéndice 3
Documentos exigidos por el ISO 27001: 2005

Epílogo
Índice de gráficos
Índice de tablas
Índice temático