ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller

3,349 views

Published on

Presentación de M. Koller en el Foro Global Crossing de tecnología y negocios, Argentina, 2008.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,349
On SlideShare
0
From Embeds
0
Number of Embeds
44
Actions
Shares
0
Downloads
107
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller

  1. 1. GOBIERNO DE LA PROVINCIA DE CÓRDOBA ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN
  2. 2. PROCEDIMIENTO DE IMPLEMENTACION DEL PROYECTO GAP ANALYSIS – INFORME TECNICO ISO 27001 GAP ANALYSIS – INFORME EJECUTIVO ISO 27001 METODOLOGIA DE EVALUACION DE RIESGOS PLAN DE ACCION POLITICAS DE SEGURIDAD ARMADO DEL SGSI CAPACITACION Y CONSIENTIZACION
  3. 3. RESULTADOS DEL GAP ANALISIS i. Cláusulas del sistema de gestión de seguridad de la información (SGSI) ii. Observaciones sobre objetivos de control de seguridad de la información iii. Recomendaciones iv. Conclusiones del Análisis Identificar, en que estado de madurez se encuentra el Gobierno de la Provincia de Córdoba con respecto al grado de cumplimiento de la gestión en seguridad de la información a partir de las recomendaciones propuestas por la Norma ISO 27001 y el esfuerzo que habrá que hacerse para la definición e implantación de un sistema de gestión de seguridad de la información.
  4. 4. Se estableció un proceso de adecuación de la seguridad de la provincia, para el armado del sistema de gestión de la seguridad 1. La integración de la seguridad de la información con los objetivos del negocio y a los distintos sistemas de gestión adoptados por la organización. 2. La metodología utilizada para mantener la integridad, disponibilidad y confidencialidad de los datos e información generados por el sector que será certificado. 3. Los controles para proteger y mantener disponibles los sistemas y aplicativos. 4. Los controles de acceso y utilización de los ambientes tecnológicos. 5. La metodología para concientizar y capacitar al personal vinculado a la protección de la información. 6. El compromiso de la Alta Gerencia respecto a la protección de la información.
  5. 5. BRECHA DE CUMPLIMIENTO Grafico sobre el nivel de aproximación respecto a los 5 puntos de cumplimiento que afectan a la eficacia del sistema de gestión de seguridad de la información.
  6. 6. Gráfico que representa el nivel de cumplimientos sobre los controles y la efectividad del sistema de gestión de seguridad de la información
  7. 7. Grafico donde se destaca el grado de cumplimiento en seguridad de la información y respecto de la norma y los plazos de tiempos aproximados que se requerirá para la implementación de un sistema de gestión de seguridad de la información.
  8. 8. Gráfico desarrolla el grado de cumplimiento de parámetros generales y controles que permiten minimizar riesgos asociados a la protección de los activos de información y la segurización de los mismos.
  9. 9. EL RESULTADO Objetivos de Control Aplicados 41% No aplicados 13% 87% Procesos no definidos o no formalizarlos 46% No se aplica nada de SGSI Gráfico, refleja el grado de cumplimiento sobre las cláusulas y objetivos de control de la norma, el tiempo funcional de implementación de la misma y el proceso de auditoria para la certificación y mejora continua del sistema de gestión de seguridad de la información.
  10. 10. RECOMENDACIONES Considerar a la seguridad como un sistema de gestión de seguridad de la información. No enfocar la seguridad solo a soluciones tecnológicas. Definir formalmente un plan estratégico orientado a la seguridad de la información. Enfocar el área actual de seguridad informática (netamente técnica), a un área de seguridad de la información. Contar con Políticas claras y Procedimientos formales que garanticen un escenario de trabajo estandarizado con actores orientados a los objetivos y requerimientos de la organización. Contar con un proceso formal de atención de incidente relativo a la seguridad.
  11. 11. PLAN DIRECTOR OBJETIVO Lograr en el Gobierno provincial una cultura interna orientada a la protección de los activos de la organización y posicionamiento frente a los ciudadanos mediante la mejora de los servicios en forma permanente. VALOR DE APLICABILIDAD Y ESCENARIOS Operar de forma estandarizada, con aplicabilidad de controles efectivos a fin de minimizar los riesgos y potenciales impactos tanto para los ciudadanos como para la gestión interna de GOBIERNO DE LA PROVINCIA DE CÓRDOBA. META Adecuar el entorno de seguridad informática del GOBIERNO DE LA PROVINCIA DE CÓRDOBA, desarrollándose e implementándose el sistema de gestión de seguridad de la información establecido por la norma ISO 17799 / ISO 27001
  12. 12. ETAPA DE DISEÑO, DESARROLLO E IMPLEMENTACIÓN Para establecer y gerenciar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, en primera instancia se definirá el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad. Siendo esto: Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI. Unificado al PDCA se definirá a los integrantes del comité de seguridad y SGSI. Hecho esto se establecerán las futuras actividades por cada etapa del proceso
  13. 13. ETAPA DE CAPACITACIÓN Capacitación sobre la norma ISO 27001:2005 Capacitación a la dirección para determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto; Capacitación a los responsables operativos sobre manuales y procedimientos adoptados e implementados para la gestión de la seguridad de la información. Curso a auditores internos para la evaluación del cumplimiento del sistema de gestión de seguridad de la información y su mejora continua. ETAPA DE CERTIFICACIÓN La presente etapa contempla las siguientes actividades: ISO 27001 – Pre Auditoría (evento opcional) ISO 27001 – Auditoría de Certificación Fase 1 ISO 27001 – Auditoría de Certificación Fase 2 ISO 27001 – Auditoría de Mantenimiento (auditorías de Mantenimiento con periodicidad Anual, durante el periodo de tres años.)
  14. 14. VALORACION DE LOS RIESGOS ASOCIADOS PROBABILIDAD * IMPACTO + ACEPTACION
  15. 15. DISTRIBUCION DEL RIESGO ASOCIADO Porcentaje de Riesgos a reducir en Equipamiento de Servicios de Mision Critica 65% 20% Servicios de Criticidad Alta Servicios de Criticidad Media Servicio de Criticidad Baja 25%
  16. 16. CONCLUSIONES GENERALES DEL PROYECTO Tener una visión mas clara del estado actual y poder planificar efectivamente la seguridad de la información. Detectar los recursos y servicios de misión critica Mitigación en un 10% de los riesgos mas críticos Creación de un COMITÉ DE SEGGURIDAD Elaboración de las políticas generales de uso de la información del gobierno de la provincia.
  17. 17. MUCHAS GRACIAS!!!

×