Successfully reported this slideshow.
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN.   CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN. Autor ...
Contenido <ul><li>Planteamiento del problema </li></ul><ul><li>Objetivos:  </li></ul><ul><ul><li>General  </li></ul></ul><...
Planteamiento del Problema <ul><li>Carencia de políticas de seguridad. </li></ul><ul><li>Falta de un control de acceso efe...
Planteamiento del Problema <ul><li>¿Qué es lo que sucede en el CTIC en materia de Seguridad de la Información?  </li></ul>...
Planteamiento del Problema “ Un Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer políticas y...
Planteamiento del Problema La ISO/IEC 27001:2005 es un  estándar internacional  que proporciona un modelo sólido para impl...
Objetivos General Establecer un Sistema de Gestión para la Seguridad de la Información para el Centro de Tecnología de Inf...
Objetivos Específicos <ul><li>Diagnosticar la situación actual del CTIC en relación a la Seguridad de la Información. </li...
Alcance y Limitaciones <ul><li>Análisis de la situación actual de la Seguridad de la Información en base a 43 controles de...
Antecedentes <ul><li>Gutiérrez, Y (2003) :   Proyecto Integral de Reacondi-cionamiento de áreas, servicios y seguridad del...
Antecedentes <ul><li>Mujica, M. (2006):  Diseño de un Plan de Seguridad Informática para la Universidad Nacional Experimen...
Bases Teóricas Análisis y Gestión del Riesgo Metodología Seguridad de la información Serie de Normas 27000
Bases Teóricas Seguridad de la información Es la preservación de la Información y de los Sistemas que la gestionan en sus ...
Bases Teóricas Seguridad de la información Que la información no sea accesible por personas, entidades o procesos no autor...
Bases Teóricas Seguridad de la información Que la información sea exacta y completa
Bases Teóricas Seguridad de la información Que la información, servicios y recursos sean accesibles por las entidades auto...
Bases Teóricas Análisis y Gestión del Riesgo Uso sistemático de la información para identificar amenazas y coordinar las a...
Bases Teóricas Análisis y Gestión del Riesgo Persigue identificar los sectores más vulnerables de la organización y permit...
Bases Teóricas Análisis y Gestión del Riesgo Terminología Activo:  Cualquier cosa - tangible o no - que tenga valor para l...
Bases Teóricas Sistema de Gestión de la Seguridad de la Información Consiste en la planificación, ejecución, verificación ...
Bases Teóricas Norma ISO/IEC 27001:2005 Metodología que establece las especificaciones para un SGSI, con el fin de garanti...
ISO 27001: Fases
Bases Teóricas Norma ISO/IEC 27002:2005 Es un “Código de Buenas Prácticas” para la Seguridad de la Información, que establ...
 
Bases Teóricas Metodología MAGERIT <ul><li>Desarrollada por el Ministerio de Administración Pública de España. </li></ul><...
Bases Teóricas <ul><li>Definición del Alcance del SGSI. </li></ul><ul><li>Definición de una Política SGSI. </li></ul><ul><...
Marco Metodológico Estudio de Proyecto factible, apoyado en la investigación monográfica, documental y de campo. Naturalez...
Marco Metodológico Evaluar la  situación actual del CTIC, en cuanto a Seguridad de la Información, determinando su  Nivel ...
Marco Metodológico Resultados del Diagnóstico
Marco Metodológico Resultados del Diagnóstico Fuente:  López, F. y otros (2006).
Marco Metodológico Conclusiones del Diagnóstico <ul><li>Los controles existen, pero no se gestionan.  </li></ul><ul><li>El...
Marco Metodológico Factibilidad Operativa <ul><li>Existe una muy buena disposición, por parte de la Jefatura del Centro, p...
Marco Metodológico Factibilidad Técnica <ul><li>La norma ISO/IEC 27001:2005 es un modelo  deta-llado, el cual especifica l...
Marco Metodológico Factibilidad Económica <ul><li>Programas de ayuda económica que apoyan los desarrollos tecnológicos, ta...
Propuesta del Estudio <ul><li>Establecimiento del SGSI para el CTIC en base a la norma internacional ISO/IEC 27001:2005 </...
Definición del Alcance del SGSI.
Definición de la Política del SGSI.
Identificación de Riesgos Identificación de Activos
Propuesta de Estudio Enfoque de Evaluación del Riesgo <ul><li>Modelo Cualitativo de Evaluación de Riesgos propuesto en la ...
Propuesta del Estudio Identificación de Riesgos Clasificación de Activos Categoría <ul><li>Servicios. </li></ul><ul><li>Da...
Propuesta del Estudio Identificación de Riesgos Valor propio del Activo Fuente:  ISO27001 Security home. www.iso27001secur...
Identificación de Riesgos Valor acumulado del Activo
Identificación de Riesgos Catálogo de Activos
Identificación de Riesgos Identificación de Amenazas Fuente:  Metodología MAGERIT
Propuesta del Estudio Identificación de Riesgos Determinación del Riesgo Activo/Vulnerabilidad Amenaza/Frecuencia Activo d...
Tablas de valor para Degradación y Frecuencia Fuente:  ISO27001 Security home. www.iso27001security.com
Bases Teóricas Determinación del Riesgo  Nivel de Probabilidad de Riesgo <ul><li>Herramienta que facilita las tareas de An...
Tablas de valor para Gestión del Riesgo Fuente:  ISO27001 Security home. www.iso27001security.com
Documento completo: Tabla de amenazas: Catálogo de activos: Tablas de Valor:
Propuesta del Estudio Análisis y Evaluación  del Riesgos <ul><li>Total de Amenazas y Riesgos  Detectados :  64 </li></ul><...
Propuesta del Estudio Opciones para el Tratamiento del Riesgo <ul><li>Aceptar el riesgo con NPR de hasta 15% </li></ul><ul...
Propuesta del Estudio Selección de Controles Para cada Riesgo identificado se proponen uno o más controles de la Norma ISO...
Enlace al documento completo:
Propuesta del Estudio Enunciado de Aplicabilidad Es un documento que tiene como finalidad la observancia de todos los cont...
Enlace al documento completo:
Conclusiones <ul><li>Madurez del SGSI actual del CTIC:  Nivel  L1 (Inicial). </li></ul><ul><li>Cumplimiento de los control...
Conclusiones <ul><li>Una metodología SGSI permite descubrir los puntos vulnerables de un Sistema de Información. </li></ul...
Recomendaciones <ul><li>Tomar acciones inmediatas para gestionar los Riesgos con un NPR en  ROJO . </li></ul><ul><li>Estab...
Recomendaciones <ul><li>Profundizar en el desarrollo de la herramienta AGR utilizando Sistemas Expertos. </li></ul><ul><li...
No hay seguridad total sino seguridad gestionada.   GRACIAS Ing. Rosendo Mendoza
Upcoming SlideShare
Loading in …5
×

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN DEL DECANATO DE CIENCIAS Y TECNOLOGÍA - UCLA

25,974 views

Published on

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN DEL DECANATO DE CIENCIAS Y TECNOLOGÍA - UCLA

Published in: Education

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN DEL DECANATO DE CIENCIAS Y TECNOLOGÍA - UCLA

  1. 1. SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN. CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN. Autor : Ing. Rosendo A. Mendoza. Tutor : Msc. Ing. Euvis Piña Duin República Bolivariana de Venezuela Universidad Centroccidental Lisandro Alvarado Decanato de Ciencias y Tecnología Coordinación de Postgrado
  2. 2. Contenido <ul><li>Planteamiento del problema </li></ul><ul><li>Objetivos: </li></ul><ul><ul><li>General </li></ul></ul><ul><ul><li>Específicos </li></ul></ul><ul><li>Alcance y limitaciones </li></ul><ul><li>Antecedentes </li></ul><ul><li>Bases Teóricas </li></ul><ul><li>Marco Metodológico </li></ul><ul><li>Descripción de la Propuesta </li></ul><ul><li>Conclusiones y Recomendaciones </li></ul>
  3. 3. Planteamiento del Problema <ul><li>Carencia de políticas de seguridad. </li></ul><ul><li>Falta de un control de acceso efectivo a las instalaciones. </li></ul><ul><li>Hurto de bienes. </li></ul><ul><li>Ausencia de un manual de funciones y procedimientos. </li></ul><ul><li>Inexistencia de planes de capacitación. </li></ul><ul><li>No continuidad en los planes de crecimiento. </li></ul>Carencia de un Sistema Integral de Seguridad de la Información en el Centro de Tecnología de Informa-ción y Comunicación del DCyT, manifestado en las siguientes situaciones:
  4. 4. Planteamiento del Problema <ul><li>¿Qué es lo que sucede en el CTIC en materia de Seguridad de la Información? </li></ul><ul><li>¿Es viable técnica, operativa y económicamen-te el mejoramiento de la Seguridad de la Infor-mación en el CTIC? </li></ul><ul><li>¿Cómo podría mejorarse la Seguridad de la Información que se maneja en el centro? </li></ul>Interrogantes
  5. 5. Planteamiento del Problema “ Un Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición menor al nivel de riesgo que la propia organización ha decidido asumir.” Agustín López. (1) (1): Portal www.iso27000 .es/ sgsi.html Alternativa
  6. 6. Planteamiento del Problema La ISO/IEC 27001:2005 es un estándar internacional que proporciona un modelo sólido para implementar los principios y lineamientos de los SGSI. Alternativa
  7. 7. Objetivos General Establecer un Sistema de Gestión para la Seguridad de la Información para el Centro de Tecnología de Información y Comunicación del Decanato de Ciencias y Tecnología, de acuerdo al estándar internacional ISO/IEC 27001:2005.
  8. 8. Objetivos Específicos <ul><li>Diagnosticar la situación actual del CTIC en relación a la Seguridad de la Información. </li></ul><ul><li>Determinar la factibilidad técnica, operativa y económica del Establecimiento de un SGSI para el CTIC, de acuerdo a la norma ISO/IEC 27001:2005. </li></ul><ul><li>Diseñar un SGSI para el CTIC, basado en la norma ISO/IEC 27001:2005. </li></ul>
  9. 9. Alcance y Limitaciones <ul><li>Análisis de la situación actual de la Seguridad de la Información en base a 43 controles de la norma ISO/IEC 27002:2005. </li></ul><ul><li>Desarrollo de la propuesta hasta la fase de Planeación de la norma ISO/IEC 27001:2005. </li></ul><ul><li>Estimación de los resultados esperados por la implementación de un subconjunto de contro-les de la norma ISO/IEC 27002:2005 </li></ul>
  10. 10. Antecedentes <ul><li>Gutiérrez, Y (2003) : Proyecto Integral de Reacondi-cionamiento de áreas, servicios y seguridad del Centro de Computación como solución al problema de funcionalidad del mismo. </li></ul><ul><li>Angeli, J. (2005): L as Normas de Seguridad Informá-tica y de Telecomunicaciones de la Universidad Centroccidental Lisandro Alvarado. </li></ul><ul><li>Corti, M. (2006): Análisis y Automatización de la Implantación de SGSI en Empresas Uruguayas. </li></ul>
  11. 11. Antecedentes <ul><li>Mujica, M. (2006): Diseño de un Plan de Seguridad Informática para la Universidad Nacional Experimen-tal Politécnica Antonio José de Sucre, Sede Rectoral. </li></ul><ul><li>Tersek, Y. (2007): Sistema de Gestión de Seguridad de la Información para un sistema de información. Caso de estudio: Sistema Administrativo Integrado SAI en la Red de datos de la UNEXPO – Puerto Ordaz. </li></ul>
  12. 12. Bases Teóricas Análisis y Gestión del Riesgo Metodología Seguridad de la información Serie de Normas 27000
  13. 13. Bases Teóricas Seguridad de la información Es la preservación de la Información y de los Sistemas que la gestionan en sus dimensiones de Confidencialidad, Integridad y Disponibilidad.
  14. 14. Bases Teóricas Seguridad de la información Que la información no sea accesible por personas, entidades o procesos no autorizados
  15. 15. Bases Teóricas Seguridad de la información Que la información sea exacta y completa
  16. 16. Bases Teóricas Seguridad de la información Que la información, servicios y recursos sean accesibles por las entidades autorizadas cuando ellas lo requieran.
  17. 17. Bases Teóricas Análisis y Gestión del Riesgo Uso sistemático de la información para identificar amenazas y coordinar las actividades para dirigir y controlar una organización con relación al riesgo
  18. 18. Bases Teóricas Análisis y Gestión del Riesgo Persigue identificar los sectores más vulnerables de la organización y permitir concentrar los esfuerzos de control en los lugares críticos
  19. 19. Bases Teóricas Análisis y Gestión del Riesgo Terminología Activo: Cualquier cosa - tangible o no - que tenga valor para la organización. Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza. Amenaza: Causa potencial de un incidente no deseado, que podría dañar uno o más activos. Control ó Salvaguarda: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales. Riesgo: Combinación de la probabilidad de materialización de una amenaza y el daño que produciría sobre un activo.
  20. 20. Bases Teóricas Sistema de Gestión de la Seguridad de la Información Consiste en la planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad
  21. 21. Bases Teóricas Norma ISO/IEC 27001:2005 Metodología que establece las especificaciones para un SGSI, con el fin de garantizar que los riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada, sistemática, estructurada, continua, repetible y eficiente.
  22. 22. ISO 27001: Fases
  23. 23. Bases Teóricas Norma ISO/IEC 27002:2005 Es un “Código de Buenas Prácticas” para la Seguridad de la Información, que establece cientos de controles y mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la norma ISO/IEC 27001:2005
  24. 25. Bases Teóricas Metodología MAGERIT <ul><li>Desarrollada por el Ministerio de Administración Pública de España. </li></ul><ul><li>Método sistemático para el análisis de riesgos, que facilita su evaluación y tratamiento, con el objeto de mantenerlo bajo control. </li></ul>
  25. 26. Bases Teóricas <ul><li>Definición del Alcance del SGSI. </li></ul><ul><li>Definición de una Política SGSI. </li></ul><ul><li>Definición del enfoque de Evaluación de Riesgos. </li></ul><ul><li>Identificación de Riesgos. </li></ul><ul><li>Análisis y Evaluación del Riesgo. </li></ul><ul><li>Opciones para el Tratamiento del Riesgo. </li></ul><ul><li>Selección de Objetivos de Control y Controles. </li></ul><ul><li>Aprobación para los riesgos residuales. </li></ul><ul><li>Autorización para implementar y operar el SGSI. </li></ul><ul><li>Preparación del enunciado de aplicabilidad (SOA). </li></ul>Metodología MAGERIT
  26. 27. Marco Metodológico Estudio de Proyecto factible, apoyado en la investigación monográfica, documental y de campo. Naturaleza de la investigación
  27. 28. Marco Metodológico Evaluar la situación actual del CTIC, en cuanto a Seguridad de la Información, determinando su Nivel de Madurez en base al cumplimiento de las cláusulas de seguridad de la norma ISO/IEC 27002:2005. (7 cláusulas y 43 controles) Objetivos del Diagnóstico
  28. 29. Marco Metodológico Resultados del Diagnóstico
  29. 30. Marco Metodológico Resultados del Diagnóstico Fuente: López, F. y otros (2006).
  30. 31. Marco Metodológico Conclusiones del Diagnóstico <ul><li>Los controles existen, pero no se gestionan. </li></ul><ul><li>El éxito es una cuestión de azar. </li></ul><ul><li>Se exceden con frecuencia el presupuesto y el tiempo de respuesta. </li></ul><ul><li>El éxito depende de personal de alta calidad. </li></ul>El Plan de Seguridad de la Información del CTIC no es eficaz en el control de Incidentes de Seguridad
  31. 32. Marco Metodológico Factibilidad Operativa <ul><li>Existe una muy buena disposición, por parte de la Jefatura del Centro, para mejorar la Seguridad del CTIC. </li></ul><ul><li>Tanto el personal del CTIC como sus usuarios, tienen experiencia en el área de computación y están familiarizados con los aspectos de la seguridad tecnológica. </li></ul>
  32. 33. Marco Metodológico Factibilidad Técnica <ul><li>La norma ISO/IEC 27001:2005 es un modelo deta-llado, el cual especifica las etapas que se deben cumplir para la implantación de un SGSI. </li></ul><ul><li>El Decanato de Ciencias y Tecnología cuenta con personal capacitado para liderar el proyecto. </li></ul><ul><li>El CTIC cuenta con el equipo informático adecua-do para el desarrollo del proyecto. </li></ul>
  33. 34. Marco Metodológico Factibilidad Económica <ul><li>Programas de ayuda económica que apoyan los desarrollos tecnológicos, tales como el CDCHT y los proyectos LOCTI. </li></ul><ul><li>Existencia de metodologías y herramientas gratui-tas para llevar a cabo la instalación y operación de un SGSI, como por ejemplo: EBIOS, MAGERIT e ISO27001. </li></ul>
  34. 35. Propuesta del Estudio <ul><li>Establecimiento del SGSI para el CTIC en base a la norma internacional ISO/IEC 27001:2005 </li></ul>
  35. 36. Definición del Alcance del SGSI.
  36. 37. Definición de la Política del SGSI.
  37. 38. Identificación de Riesgos Identificación de Activos
  38. 39. Propuesta de Estudio Enfoque de Evaluación del Riesgo <ul><li>Modelo Cualitativo de Evaluación de Riesgos propuesto en la metodología MAGERIT. </li></ul><ul><li>Riesgo Inicial aceptado: 15% </li></ul>
  39. 40. Propuesta del Estudio Identificación de Riesgos Clasificación de Activos Categoría <ul><li>Servicios. </li></ul><ul><li>Datos e Información. </li></ul><ul><li>Equipamiento. </li></ul><ul><li>Aplicaciones. </li></ul><ul><li>Soporte de Información. </li></ul><ul><li>Equipamiento Auxiliar. </li></ul><ul><li>Instalaciones. </li></ul><ul><li>Personal </li></ul>Fuente: Metodología MAGERIT
  40. 41. Propuesta del Estudio Identificación de Riesgos Valor propio del Activo Fuente: ISO27001 Security home. www.iso27001security.com
  41. 42. Identificación de Riesgos Valor acumulado del Activo
  42. 43. Identificación de Riesgos Catálogo de Activos
  43. 44. Identificación de Riesgos Identificación de Amenazas Fuente: Metodología MAGERIT
  44. 45. Propuesta del Estudio Identificación de Riesgos Determinación del Riesgo Activo/Vulnerabilidad Amenaza/Frecuencia Activo degradado RIESGO Riesgo = Valor_Activo x Degradación x Frecuencia Fuente: ISO27001 Security home. www.iso27001security.com
  45. 46. Tablas de valor para Degradación y Frecuencia Fuente: ISO27001 Security home. www.iso27001security.com
  46. 47. Bases Teóricas Determinación del Riesgo Nivel de Probabilidad de Riesgo <ul><li>Herramienta que facilita las tareas de Análisis y Gestión del Riesgo. </li></ul><ul><li>Desarrollada por especialistas en la materia. </li></ul><ul><li>Configurada como una hoja de cálculo. </li></ul>NPR = Riesgo x Probabilidad_Gestión Fuente: ISO27001 Security home. www.iso27001security.com
  47. 48. Tablas de valor para Gestión del Riesgo Fuente: ISO27001 Security home. www.iso27001security.com
  48. 49. Documento completo: Tabla de amenazas: Catálogo de activos: Tablas de Valor:
  49. 50. Propuesta del Estudio Análisis y Evaluación del Riesgos <ul><li>Total de Amenazas y Riesgos Detectados : 64 </li></ul><ul><li>Total de Riesgos con NPR en ROJO : 3 </li></ul><ul><li>Total de Riesgos con NPR en AMARILLO : 12 </li></ul><ul><li>Total de Riesgos con NPR en VERDE : 7 </li></ul><ul><li>Total de Riesgos con NPR en GRIS : 42 </li></ul>Resumen:
  50. 51. Propuesta del Estudio Opciones para el Tratamiento del Riesgo <ul><li>Aceptar el riesgo con NPR de hasta 15% </li></ul><ul><li>Aplicar controles para los riesgos no aceptados </li></ul>Se seleccionan:
  51. 52. Propuesta del Estudio Selección de Controles Para cada Riesgo identificado se proponen uno o más controles de la Norma ISO/IEC 27002:2005.
  52. 53. Enlace al documento completo:
  53. 54. Propuesta del Estudio Enunciado de Aplicabilidad Es un documento que tiene como finalidad la observancia de todos los controles de seguridad propuestos en la norma, con la justificación de su inclusión o exclusión, según sea el caso.
  54. 55. Enlace al documento completo:
  55. 56. Conclusiones <ul><li>Madurez del SGSI actual del CTIC: Nivel L1 (Inicial). </li></ul><ul><li>Cumplimiento de los controles propuestos en la norma ISO/IEC 27002 : 42.69 % </li></ul><ul><li>Reducción del Nivel de Riesgo al implantar los controles propuestos: Menor a 23 puntos. </li></ul>
  56. 57. Conclusiones <ul><li>Una metodología SGSI permite descubrir los puntos vulnerables de un Sistema de Información. </li></ul><ul><li>Es relevante involucrar a todo el personal en la Seguridad de la Información. </li></ul><ul><li>Una herramienta AGR sólida permite producir resultados comparables y repetibles en el tiempo. </li></ul>
  57. 58. Recomendaciones <ul><li>Tomar acciones inmediatas para gestionar los Riesgos con un NPR en ROJO . </li></ul><ul><li>Establecer formalmente el SGSI propuesto. </li></ul><ul><li>Designar una persona encargada para la Seguridad de la Información del CTIC </li></ul><ul><li>Implementar el Plan propuesto para el Tratamiento de los Riesgos detectados. </li></ul><ul><li>Una vez ganada experiencia, aplicarlo a otras unidades de la universidad. </li></ul>
  58. 59. Recomendaciones <ul><li>Profundizar en el desarrollo de la herramienta AGR utilizando Sistemas Expertos. </li></ul><ul><li>Profundizar el estudio de métricas y técnicas para la determinación de la eficacia de un SGSI. </li></ul><ul><li>Promover la cátedra de Seguridad de la Información en el programa de Ingeniería en Informática. </li></ul><ul><li>Confeccionar una metodología SGSI para la universidad. </li></ul>
  59. 60. No hay seguridad total sino seguridad gestionada. GRACIAS Ing. Rosendo Mendoza

×