Scribd Logo
Importer

Bienvenue sur Scribd !

  • MAGERIT Didactica

    Transféré par

    Juan Carlos Carrillo
    57 vues56 pages

    Titre original

    MAGERIT didactica

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    57 vues56 pages

    MAGERIT Didactica

    Transféré par

    Juan Carlos Carrillo

    Droits d'auteur :

    Attribution Non-Commercial (BY-NC)
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 56

    SISTEMA DE GESTIN PARA LA SEGURIDAD DE LA INFORMACIN.

    CASO: CENTRO DE TECNOLOGA DE INFORMACIN Y COMUNICACIN.

    Contenido
    Planteamiento del problema Objetivos:
    General Especficos

    Alcance y limitaciones Antecedentes Bases Tericas Marco Metodolgico Descripcin de la Propuesta Conclusiones y Recomendaciones

    Planteamiento del Problema


    Carencia de un Sistema Integral de Seguridad de la Informacin en el Centro de Tecnologa de Informacin y Comunicacin del DCyT, manifestado en las siguientes situaciones:
    Carencia de polticas de seguridad. Falta de un control de acceso efectivo a las instalaciones. Hurto de bienes. Ausencia de un manual de funciones y procedimientos. Inexistencia de planes de capacitacin. No continuidad en los planes de crecimiento.

    Planteamiento del Problema


    Interrogantes
    Qu es lo que sucede en el CTIC en materia de Seguridad de la Informacin? Es viable tcnica, operativa y econmicamente el mejoramiento de la Seguridad de la Informacin en el CTIC? Cmo podra mejorarse la Seguridad de la Informacin que se maneja en el centro?

    Planteamiento del Problema


    Un Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin menor al nivel de riesgo que la propia organizacin ha decidido asumir. Agustn Lpez. (1)

    Alternativa

    (1): Portal www.iso27000.es/sgsi.html

    Planteamiento del Problema

    Alternativa

    La ISO/IEC 27001:2005 es un estndar internacional que proporciona un modelo slido para implementar los principios y lineamientos de los SGSI.

    Objetivos
    General
    Establecer un Sistema de Gestin para la Seguridad de la Informacin para el Centro de Tecnologa de Informacin y Comunicacin del Decanato de Ciencias y Tecnologa, de acuerdo al estndar internacional ISO/IEC 27001:2005.

    Objetivos
    Especficos
    1. Diagnosticar la situacin actual del CTIC en relacin a la Seguridad de la Informacin.
    2. Determinar la factibilidad tcnica, operativa y econmica del Establecimiento de un SGSI para el CTIC, de acuerdo a la norma ISO/IEC 27001:2005. 3. Disear un SGSI para el CTIC, basado en la norma ISO/IEC 27001:2005.

    Alcance y Limitaciones
    1. Anlisis de la situacin actual de la Seguridad de la Informacin en base a 43 controles de la norma ISO/IEC 27002:2005. 2. Desarrollo de la propuesta hasta la fase de Planeacin de la norma ISO/IEC 27001:2005. 3. Estimacin de los resultados esperados por la implementacin de un subconjunto de controles de la norma ISO/IEC 27002:2005

    Bases Tericas

    Seguridad de la informacin

    Anlisis y Gestin del Riesgo

    Serie de Normas 27000

    Metodologa

    Bases Tericas
    Seguridad de la informacin

    Es la preservacin de la Informacin y de los Sistemas que la gestionan en sus dimensiones de Confidencialidad, Integridad y Disponibilidad.

    Bases Tericas
    Seguridad de la informacin

    Que la informacin no sea accesible por personas, entidades o procesos no autorizados

    Bases Tericas
    Seguridad de la informacin

    Que la informacin sea exacta y completa

    Bases Tericas
    Seguridad de la informacin

    Que la informacin, servicios y recursos sean accesibles por las entidades autorizadas cuando ellas lo requieran.

    Bases Tericas
    Anlisis y Gestin del Riesgo

    Uso sistemtico de la informacin para identificar amenazas y coordinar las actividades para dirigir y controlar una organizacin con relacin al riesgo

    Bases Tericas
    Anlisis y Gestin del Riesgo

    Persigue identificar los sectores ms vulnerables de la organizacin y permitir concentrar los esfuerzos de control en los lugares crticos

    Bases Tericas
    Anlisis y Gestin del Riesgo
    Activo: Cualquier cosa - tangible o no - que tenga valor para la organizacin. Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza. Amenaza: Causa potencial de un incidente no deseado, que podra daar uno o ms activos. Control Salvaguarda: Medios para manejar el riesgo; incluyendo polticas, procedimientos, lineamientos, prcticas o estructuras organizacionales. Riesgo: Combinacin de la probabilidad de materializacin de una amenaza y el dao que producira sobre un activo.

    Terminologa

    Bases Tericas
    Sistema de Gestin de la Seguridad de la Informacin

    Consiste en la planificacin, ejecucin, verificacin y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad

    Bases Tericas
    Norma ISO/IEC 27001:2005

    Metodologa que establece las especificaciones para un SGSI, con el fin de garantizar que los riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada, sistemtica, estructurada, continua, repetible y eficiente.

    ISO 27001: Fases

    Bases Tericas
    Norma ISO/IEC 27002:2005

    Es un Cdigo de Buenas Prcticas para la Seguridad de la Informacin, que establece cientos de controles y mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la norma ISO/IEC 27001:2005

    Bases Tericas
    Metodologa MAGERIT

    1. Desarrollada por el Ministerio de Administracin Pblica de Espaa. 2. Mtodo sistemtico para el anlisis de riesgos, que facilita su evaluacin y tratamiento, con el objeto de mantenerlo bajo control.

    Marco Metodolgico
    Naturaleza de la investigacin

    Estudio de Proyecto factible, apoyado en la investigacin monogrfica, documental y de campo.

    Marco Metodolgico
    Objetivos del Diagnstico

    Evaluar la situacin actual del CTIC, en cuanto a Seguridad de la Informacin, determinando su Nivel de Madurez en base al cumplimiento de las clusulas de seguridad de la norma ISO/IEC 27002:2005.
    (7 clusulas y 43 controles)

    Marco Metodolgico
    Conclusiones del Diagnstico
    1. Los controles existen, pero no se gestionan. 2. El xito es una cuestin de azar. 3. Se exceden con frecuencia el presupuesto y el tiempo de respuesta. 4. El xito depende de personal de alta calidad.

    El Plan de Seguridad de la Informacin del CTIC no es eficaz en el control de Incidentes de Seguridad

    Marco Metodolgico
    Factibilidad Operativa

    1. Existe una muy buena disposicin, por parte de la Jefatura del Centro, para mejorar la Seguridad del CTIC.

    2. Tanto el personal del CTIC como sus usuarios, tienen experiencia en el rea de computacin y estn familiarizados con los aspectos de la seguridad tecnolgica.

    Marco Metodolgico
    Factibilidad Tcnica

    1. La norma ISO/IEC 27001:2005 es un modelo detallado, el cual especifica las etapas que se deben cumplir para la implantacin de un SGSI. 2. El Decanato de Ciencias y Tecnologa cuenta con personal capacitado para liderar el proyecto. 3. El CTIC cuenta con el equipo informtico adecuado para el desarrollo del proyecto.

    Marco Metodolgico
    Factibilidad Econmica

    1. Programas de ayuda econmica que apoyan los desarrollos tecnolgicos, tales como el CDCHT y los proyectos LOCTI. 2. Existencia de metodologas y herramientas gratuitas para llevar a cabo la instalacin y operacin de un SGSI, como por ejemplo: EBIOS, MAGERIT e ISO27001.

    Propuesta del Estudio


    Establecimiento del SGSI para el CTIC en base a la norma internacional ISO/IEC 27001:2005

    Bases Tericas

    Definicin del Alcance del SGSI. Definicin de una Poltica SGSI. Definicin del enfoque de Evaluacin de Riesgos. Identificacin de Riesgos. Anlisis y Evaluacin del Riesgo. Opciones para el Tratamiento del Riesgo. Seleccin de Objetivos de Control y Controles. Aprobacin para los riesgos residuales. Autorizacin para implementar y operar el SGSI. Preparacin del enunciado de aplicabilidad (SOA).

    Metodologa

    Resultados del Diagnstico

    Marco Metodolgico

    Resultados del Diagnstico

    Marco Metodolgico

    Definicin del Alcance del SGSI.

    Definicin de la Poltica del SGSI.

    Identificacin de Riesgos
    Identificacin de Activos

    Propuesta de Estudio
    Enfoque de Evaluacin del Riesgo

    1. Riesgo Inicial aceptado: 15%

    Propuesta del Estudio


    Identificacin de Riesgos
    Clasificacin de Activos

    Servicios. Datos e Informacin. Equipamiento. Aplicaciones. Soporte de Informacin. Equipamiento Auxiliar. Instalaciones. Personal

    Categora

    Identificacin de Riesgos
    Valor propio del Activo

    Propuesta del Estudio

    Identificacin de Riesgos
    Catlogo de Activos

    Identificacin de Riesgos
    Identificacin de Amenazas

    Propuesta del Estudio


    Identificacin de Riesgos

    Determinacin del Riesgo

    Activo degradado

    Activo/Vulnerabilidad

    Amenaza/Frecuencia

    RIESGO

    Riesgo = Valor_Activo x Degradacin x Frecuencia

    Tablas de valor para Degradacin y Frecuencia

    Bases Tericas
    Determinacin del Riesgo
    Nivel de Probabilidad de Riesgo

    Herramienta que facilita las tareas de Anlisis y Gestin del Riesgo.


    Desarrollada por especialistas en la materia. Configurada como una hoja de clculo.

    NPR = Riesgo x Probabilidad_Gestin

    TABLAS DE VALOR

    Propuesta del Estudio


    Anlisis y Evaluacin del Riesgos

    Resumen:
    1. Total de Amenazas y Riesgos Detectados: 64 2. Total de Riesgos con NPR en ROJO: 3 3. Total de Riesgos con NPR en AMARILLO: 12 4. Total de Riesgos con NPR en VERDE: 7 5. Total de Riesgos con NPR en GRIS: 42

    Propuesta del Estudio


    Opciones para el Tratamiento del Riesgo

    Se seleccionan:
    Aceptar el riesgo con NPR de hasta 15% Aplicar controles para los riesgos no aceptados

    Propuesta del Estudio


    Seleccin de Controles

    Para cada Riesgo identificado se proponen uno o ms controles de la Norma ISO/IEC 27002:2005.

    Propuesta del Estudio


    Enunciado de Aplicabilidad

    Es un documento que tiene como finalidad la observancia de todos los controles de seguridad propuestos en la norma, con la justificacin de su inclusin o exclusin, segn sea el caso.

    Conclusiones
    Madurez del SGSI actual del CTIC: Nivel L1 (Inicial). Cumplimiento de los controles propuestos en la norma ISO/IEC 27002 : 42.69 % Reduccin del Nivel de Riesgo al implantar los controles propuestos: Menor a 23 puntos.

    Recomendaciones
    Tomar acciones inmediatas para gestionar los Riesgos con un NPR en ROJO. Establecer formalmente el SGSI propuesto. Designar una persona encargada para la Seguridad de la Informacin del CTIC Implementar el Plan propuesto para el Tratamiento de los Riesgos detectados. Una vez ganada experiencia, aplicarlo a otras unidades de la universidad.

    Recomendaciones

    Profundizar en el desarrollo de la herramienta AGR utilizando Sistemas Expertos. Profundizar el estudio de mtricas y tcnicas para la determinacin de la eficacia de un SGSI. Promover la ctedra de Seguridad de la Informacin en el programa de Ingeniera en Informtica. Confeccionar una metodologa SGSI para la universidad.

    No hay seguridad total sino seguridad gestionada.

    Vous aimerez peut-être aussi