Académique Documents
Professionnel Documents
Culture Documents
Contenido
Planteamiento del problema Objetivos:
General Especficos
Alcance y limitaciones Antecedentes Bases Tericas Marco Metodolgico Descripcin de la Propuesta Conclusiones y Recomendaciones
Alternativa
Alternativa
La ISO/IEC 27001:2005 es un estndar internacional que proporciona un modelo slido para implementar los principios y lineamientos de los SGSI.
Objetivos
General
Establecer un Sistema de Gestin para la Seguridad de la Informacin para el Centro de Tecnologa de Informacin y Comunicacin del Decanato de Ciencias y Tecnologa, de acuerdo al estndar internacional ISO/IEC 27001:2005.
Objetivos
Especficos
1. Diagnosticar la situacin actual del CTIC en relacin a la Seguridad de la Informacin.
2. Determinar la factibilidad tcnica, operativa y econmica del Establecimiento de un SGSI para el CTIC, de acuerdo a la norma ISO/IEC 27001:2005. 3. Disear un SGSI para el CTIC, basado en la norma ISO/IEC 27001:2005.
Alcance y Limitaciones
1. Anlisis de la situacin actual de la Seguridad de la Informacin en base a 43 controles de la norma ISO/IEC 27002:2005. 2. Desarrollo de la propuesta hasta la fase de Planeacin de la norma ISO/IEC 27001:2005. 3. Estimacin de los resultados esperados por la implementacin de un subconjunto de controles de la norma ISO/IEC 27002:2005
Bases Tericas
Seguridad de la informacin
Metodologa
Bases Tericas
Seguridad de la informacin
Es la preservacin de la Informacin y de los Sistemas que la gestionan en sus dimensiones de Confidencialidad, Integridad y Disponibilidad.
Bases Tericas
Seguridad de la informacin
Bases Tericas
Seguridad de la informacin
Bases Tericas
Seguridad de la informacin
Que la informacin, servicios y recursos sean accesibles por las entidades autorizadas cuando ellas lo requieran.
Bases Tericas
Anlisis y Gestin del Riesgo
Uso sistemtico de la informacin para identificar amenazas y coordinar las actividades para dirigir y controlar una organizacin con relacin al riesgo
Bases Tericas
Anlisis y Gestin del Riesgo
Persigue identificar los sectores ms vulnerables de la organizacin y permitir concentrar los esfuerzos de control en los lugares crticos
Bases Tericas
Anlisis y Gestin del Riesgo
Activo: Cualquier cosa - tangible o no - que tenga valor para la organizacin. Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza. Amenaza: Causa potencial de un incidente no deseado, que podra daar uno o ms activos. Control Salvaguarda: Medios para manejar el riesgo; incluyendo polticas, procedimientos, lineamientos, prcticas o estructuras organizacionales. Riesgo: Combinacin de la probabilidad de materializacin de una amenaza y el dao que producira sobre un activo.
Terminologa
Bases Tericas
Sistema de Gestin de la Seguridad de la Informacin
Consiste en la planificacin, ejecucin, verificacin y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad
Bases Tericas
Norma ISO/IEC 27001:2005
Metodologa que establece las especificaciones para un SGSI, con el fin de garantizar que los riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada, sistemtica, estructurada, continua, repetible y eficiente.
Bases Tericas
Norma ISO/IEC 27002:2005
Es un Cdigo de Buenas Prcticas para la Seguridad de la Informacin, que establece cientos de controles y mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la norma ISO/IEC 27001:2005
Bases Tericas
Metodologa MAGERIT
1. Desarrollada por el Ministerio de Administracin Pblica de Espaa. 2. Mtodo sistemtico para el anlisis de riesgos, que facilita su evaluacin y tratamiento, con el objeto de mantenerlo bajo control.
Marco Metodolgico
Naturaleza de la investigacin
Marco Metodolgico
Objetivos del Diagnstico
Evaluar la situacin actual del CTIC, en cuanto a Seguridad de la Informacin, determinando su Nivel de Madurez en base al cumplimiento de las clusulas de seguridad de la norma ISO/IEC 27002:2005.
(7 clusulas y 43 controles)
Marco Metodolgico
Conclusiones del Diagnstico
1. Los controles existen, pero no se gestionan. 2. El xito es una cuestin de azar. 3. Se exceden con frecuencia el presupuesto y el tiempo de respuesta. 4. El xito depende de personal de alta calidad.
Marco Metodolgico
Factibilidad Operativa
1. Existe una muy buena disposicin, por parte de la Jefatura del Centro, para mejorar la Seguridad del CTIC.
2. Tanto el personal del CTIC como sus usuarios, tienen experiencia en el rea de computacin y estn familiarizados con los aspectos de la seguridad tecnolgica.
Marco Metodolgico
Factibilidad Tcnica
1. La norma ISO/IEC 27001:2005 es un modelo detallado, el cual especifica las etapas que se deben cumplir para la implantacin de un SGSI. 2. El Decanato de Ciencias y Tecnologa cuenta con personal capacitado para liderar el proyecto. 3. El CTIC cuenta con el equipo informtico adecuado para el desarrollo del proyecto.
Marco Metodolgico
Factibilidad Econmica
1. Programas de ayuda econmica que apoyan los desarrollos tecnolgicos, tales como el CDCHT y los proyectos LOCTI. 2. Existencia de metodologas y herramientas gratuitas para llevar a cabo la instalacin y operacin de un SGSI, como por ejemplo: EBIOS, MAGERIT e ISO27001.
Bases Tericas
Definicin del Alcance del SGSI. Definicin de una Poltica SGSI. Definicin del enfoque de Evaluacin de Riesgos. Identificacin de Riesgos. Anlisis y Evaluacin del Riesgo. Opciones para el Tratamiento del Riesgo. Seleccin de Objetivos de Control y Controles. Aprobacin para los riesgos residuales. Autorizacin para implementar y operar el SGSI. Preparacin del enunciado de aplicabilidad (SOA).
Metodologa
Marco Metodolgico
Marco Metodolgico
Identificacin de Riesgos
Identificacin de Activos
Propuesta de Estudio
Enfoque de Evaluacin del Riesgo
Servicios. Datos e Informacin. Equipamiento. Aplicaciones. Soporte de Informacin. Equipamiento Auxiliar. Instalaciones. Personal
Categora
Identificacin de Riesgos
Valor propio del Activo
Identificacin de Riesgos
Catlogo de Activos
Identificacin de Riesgos
Identificacin de Amenazas
Activo degradado
Activo/Vulnerabilidad
Amenaza/Frecuencia
RIESGO
Bases Tericas
Determinacin del Riesgo
Nivel de Probabilidad de Riesgo
TABLAS DE VALOR
Resumen:
1. Total de Amenazas y Riesgos Detectados: 64 2. Total de Riesgos con NPR en ROJO: 3 3. Total de Riesgos con NPR en AMARILLO: 12 4. Total de Riesgos con NPR en VERDE: 7 5. Total de Riesgos con NPR en GRIS: 42
Se seleccionan:
Aceptar el riesgo con NPR de hasta 15% Aplicar controles para los riesgos no aceptados
Para cada Riesgo identificado se proponen uno o ms controles de la Norma ISO/IEC 27002:2005.
Es un documento que tiene como finalidad la observancia de todos los controles de seguridad propuestos en la norma, con la justificacin de su inclusin o exclusin, segn sea el caso.
Conclusiones
Madurez del SGSI actual del CTIC: Nivel L1 (Inicial). Cumplimiento de los controles propuestos en la norma ISO/IEC 27002 : 42.69 % Reduccin del Nivel de Riesgo al implantar los controles propuestos: Menor a 23 puntos.
Recomendaciones
Tomar acciones inmediatas para gestionar los Riesgos con un NPR en ROJO. Establecer formalmente el SGSI propuesto. Designar una persona encargada para la Seguridad de la Informacin del CTIC Implementar el Plan propuesto para el Tratamiento de los Riesgos detectados. Una vez ganada experiencia, aplicarlo a otras unidades de la universidad.
Recomendaciones
Profundizar en el desarrollo de la herramienta AGR utilizando Sistemas Expertos. Profundizar el estudio de mtricas y tcnicas para la determinacin de la eficacia de un SGSI. Promover la ctedra de Seguridad de la Informacin en el programa de Ingeniera en Informtica. Confeccionar una metodologa SGSI para la universidad.