sistema de gestiÓn para la seguridad de la informaciÓn caso: centro de tecnologÍa de informaciÓn...

SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN.

CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN.

República Bolivariana de VenezuelaUniversidad Centroccidental Lisandro Alvarado

Decanato de Ciencias y TecnologíaCoordinación de Postgrado

Autor : Ing. Rosendo A. Mendoza.

Tutor : Msc. Ing. Euvis Piña Duin

Contenido

• Planteamiento del problema• Objetivos:

– General – Específicos

• Alcance y limitaciones• Antecedentes• Bases Teóricas• Marco Metodológico• Descripción de la Propuesta• Conclusiones y Recomendaciones

Planteamiento del Problema

• Carencia de políticas de seguridad.• Falta de un control de acceso efectivo a las instalaciones.• Hurto de bienes.• Ausencia de un manual de funciones y procedimientos.• Inexistencia de planes de capacitación.• No continuidad en los planes de crecimiento.

Carencia de un Sistema Integral de Seguridad de la Información en el Centro de Tecnología de Informa-ción y Comunicación del DCyT, manifestado en las siguientes situaciones:


• ¿Qué es lo que sucede en el CTIC en materia de Seguridad de la Información?

• ¿Es viable técnica, operativa y económicamen-te el mejoramiento de la Seguridad de la Infor-mación en el CTIC?

• ¿Cómo podría mejorarse la Seguridad de la Información que se maneja en el centro?

Interrogantes


“Un Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer políticas y

procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición menor al nivel de riesgo que

la propia organización ha decidido asumir.”

Agustín López. (1)

(1): Portal(1): Portal www.iso27000.es/sgsi.html

Altern

ativa

http://www.iso27000.es/sgsi.html




La ISO/IEC 27001:2005 es un estándar internacional que proporciona un modelo sólido

para implementar los principios y lineamientos de los SGSI.

Altern

ativa

Objetivos

General

Establecer un Sistema de Gestión para la Seguridad de la Información para el Centro de Tecnología de

Información y Comunicación del Decanato de Ciencias y Tecnología, de acuerdo al estándar

internacional ISO/IEC 27001:2005.

Objetivos

Específicos

1. Diagnosticar la situación actual del CTIC en relación a la Seguridad de la Información.

2. Determinar la factibilidad técnica, operativa y económica del Establecimiento de un SGSI para el CTIC, de acuerdo a la norma ISO/IEC 27001:2005.

3. Diseñar un SGSI para el CTIC, basado en la norma ISO/IEC 27001:2005.

Alcance y Limitaciones

1. Análisis de la situación actual de la Seguridad de la Información en base a 43 controles de la norma ISO/IEC 27002:2005.

2. Desarrollo de la propuesta hasta la fase de Planeación de la norma ISO/IEC 27001:2005.

3. Estimación de los resultados esperados por la implementación de un subconjunto de contro-les de la norma ISO/IEC 27002:2005

Antecedentes

1. Gutiérrez, Y (2003) : Proyecto Integral de Reacondi-cionamiento de áreas, servicios y seguridad del Centro de Computación como solución al problema de funcionalidad del mismo.

2. Angeli, J. (2005): Las Normas de Seguridad Informá-tica y de Telecomunicaciones de la Universidad Centroccidental Lisandro Alvarado.

3. Corti, M. (2006): Análisis y Automatización de la Implantación de SGSI en Empresas Uruguayas.

Antecedentes

4. Mujica, M. (2006): Diseño de un Plan de Seguridad Informática para la Universidad Nacional Experimen-tal Politécnica Antonio José de Sucre, Sede Rectoral.

5. Tersek, Y. (2007): Sistema de Gestión de Seguridad de la Información para un sistema de información. Caso de estudio: Sistema Administrativo Integrado SAI en la Red de datos de la UNEXPO – Puerto Ordaz.

Bases Teóricas

Análisis y Gestión del

Riesgo

Metodología

Seguridad de la información

Serie de Normas 27000

Bases TeóricasS

egu

ridad

de la in

form

ación

Es la preservación de la Información y de los Sistemas que la gestionan en sus

dimensiones de Confidencialidad, Integridad y Disponibilidad.

Bases TeóricasS

egu

ridad

de la in

form

ación

Que la información no sea accesible por personas, entidades o procesos no

autorizados

Bases TeóricasS

egu

ridad

de la in

form

ación

Que la información sea exacta y completa

Bases TeóricasS

egu

ridad

de la in

form

ación

Que la información, servicios y recursos sean accesibles por las entidades autorizadas

cuando ellas lo requieran.

Bases TeóricasA

nálisis y G

estión

del R

iesgo

Uso sistemático de la información para identificar amenazas y coordinar las

actividades para dirigir y controlar una organización con relación al riesgo

Bases TeóricasA

nálisis y G

estión

del R

iesgo

Persigue identificar los sectores más vulnerables de la organización y permitir

concentrar los esfuerzos de control en los lugares críticos

Bases TeóricasA

nálisis y G

estión

del R

iesgo

Te

rmin

olo

gía

Activo: Cualquier cosa - tangible o no - que tenga valor para la organización.

Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza.

Amenaza: Causa potencial de un incidente no deseado, que podría dañar uno o más activos.

Control ó Salvaguarda: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales.

Riesgo: Combinación de la probabilidad de materialización de una amenaza y el daño que produciría sobre un activo.

Bases TeóricasS

istema d

e Gestió

n d

e la S

egu

ridad

de la In

form

ación

Consiste en la planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de

sufrir incidentes de seguridad

Bases TeóricasN

orm

a ISO

/IEC

27001:2005

Metodología que establece las especificaciones para un SGSI, con el fin de garantizar que los

riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada,

sistemática, estructurada, continua, repetible y eficiente.

ISO 27001: FasesISO 27001: Fases

Bases TeóricasN

orm

a ISO

/IEC

27002:2005

Es un “Código de Buenas Prácticas” para la Seguridad de la Información, que establece cientos de controles y

mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la

norma ISO/IEC 27001:2005

Bases TeóricasM

etod

olo

gía M

AG

ER

IT

1. Desarrollada por el Ministerio de Administración Pública de España.

2. Método sistemático para el análisis de riesgos, que facilita su evaluación y tratamiento, con el objeto de mantenerlo bajo control.

Bases Teóricas

• Definición del Alcance del SGSI.• Definición de una Política SGSI.• Definición del enfoque de Evaluación de

Riesgos.• Identificación de Riesgos.• Análisis y Evaluación del Riesgo.• Opciones para el Tratamiento del Riesgo.• Selección de Objetivos de Control y Controles.• Aprobación para los riesgos residuales.• Autorización para implementar y operar el SGSI.• Preparación del enunciado de aplicabilidad

(SOA).

Meto

do

log

ía MA

GE

RIT

Marco Metodológico

Estudio de Proyecto factible, apoyado en la investigación monográfica, documental y de

campo.

Natu

raleza de la in

vestigació

n

Marco Metodológico

Evaluar la situación actual del CTIC, en cuanto a Seguridad de la Información,

determinando su Nivel de Madurez en base al cumplimiento de las cláusulas de seguridad

de la norma ISO/IEC 27002:2005.(7 cláusulas y 43 controles)

Ob

jetivos d

el Diag

nó

stico

Marco MetodológicoR

esultad

os d

el Diag

nó

stico

Marco MetodológicoR

esultad

os d

el Diag

nó

stico

Fuente: Fuente: López, F. y otros (2006).López, F. y otros (2006).

Marco MetodológicoC

on

clusio

nes d

el Diag

nó

stico

1. Los controles existen, pero no se gestionan.

2. El éxito es una cuestión de azar.

3. Se exceden con frecuencia el presupuesto y el tiempo de respuesta.

4. El éxito depende de personal de alta calidad.

El Plan de Seguridad de la Información del CTIC no es eficaz en el control de Incidentes de

Seguridad

Marco MetodológicoF

actibilid

ad O

perativa

1. Existe una muy buena disposición, por parte de la Jefatura del Centro, para mejorar la Seguridad del CTIC.

2. Tanto el personal del CTIC como sus usuarios, tienen experiencia en el área de computación y están familiarizados con los aspectos de la seguridad tecnológica.


actibilid

ad T

écnica

1. La norma ISO/IEC 27001:2005 es un modelo deta-llado, el cual especifica las etapas que se deben cumplir para la implantación de un SGSI.

2. El Decanato de Ciencias y Tecnología cuenta con personal capacitado para liderar el proyecto.

3. El CTIC cuenta con el equipo informático adecua-do para el desarrollo del proyecto.


actibilid

ad E

con

óm

ica

1. Programas de ayuda económica que apoyan los desarrollos tecnológicos, tales como el CDCHT y los proyectos LOCTI.

2. Existencia de metodologías y herramientas gratui-tas para llevar a cabo la instalación y operación de un SGSI, como por ejemplo: EBIOS, MAGERIT e ISO27001.

Propuesta del Estudio

Establecimiento del SGSI para el CTIC en base a la norma internacional

ISO/IEC 27001:2005

Defin

ición

del A

lcance

del S

GS

I.

Defin

ición

de la P

olítica

del S

GS

I.

Iden

tificación

de R

iesgo

sId

entifica

ció

n d

e Ac

tivos

Propuesta de EstudioE

nfo

qu

e de E

valuació

n d

el R

iesgo

1. Modelo Cualitativo de Evaluación de Riesgos propuesto en la metodología MAGERIT.

2. Riesgo Inicial aceptado: 15%

Propuesta del EstudioId

entificació

n d

e Riesg

os

Cla

sificac

ión

de

Activ

os

Cate

gorí

a

• Servicios.• Datos e Información.• Equipamiento.• Aplicaciones.• Soporte de Información.• Equipamiento Auxiliar.• Instalaciones. • Personal

Fuente: Fuente: Metodología Metodología MAGERITMAGERIT


entificació

n d

e Riesg

os

Va

lor p

rop

io d

el Ac

tivo

Fuente: Fuente: ISO27001 Security home. ISO27001 Security home. www.iso27001security.comwww.iso27001security.com

Euvis Piña

Citar la fuente

Iden

tificación

de R

iesgo

sV

alo

r acu

mu

lad

o d

el A

ctivo

Iden

tificación

de R

iesgo

sC

atá

log

o d

e A

ctivo

s

Iden

tificación

de R

iesgo

sId

entifica

ció

n d

e Am

en

azas

Fuente: Fuente: Metodología MAGERITMetodología MAGERIT


entificació

n d

e Riesg

os

Determ

inació

n d

el Riesg

o

Activo/Vulnerabilidad

Amenaza/Frecuencia

Activo degradado

RIESGO

Riesgo = Valor_Activo x Degradación x Frecuencia

Fuente: Fuente: ISO27001 Security home. www.iso27001security.comISO27001 Security home. www.iso27001security.com


Tablas de valor para Degradación y Tablas de valor para Degradación y FrecuenciaFrecuencia

Bases TeóricasD

etermin

ación

del R

iesgo

N

ivel de P

rob

abilid

ad d

e Riesg

o

• Herramienta que facilita las tareas de Análisis y Gestión del Riesgo.

• Desarrollada por especialistas en la materia.

• Configurada como una hoja de cálculo.

NPR = Riesgo x Probabilidad_Gestión



Tablas de valor para Gestión del Tablas de valor para Gestión del RiesgoRiesgo

Documento completo:Presentación de

Microsoft PowerPoint

Presentación de Microsoft PowerPoint

Tabla de amenazas:Presentación de


Catálogo de activos: Presentación de


Tablas de Valor:

Propuesta del EstudioA

nálisis y E

valuació

n

del R

iesgo

s

1.1. Total de Amenazas y RiesgosTotal de Amenazas y Riesgos Detectados Detectados:: 64 642.2. Total de Riesgos con NPR en Total de Riesgos con NPR en ROJOROJO: : 333.3. Total de Riesgos con NPR en Total de Riesgos con NPR en AMARILLOAMARILLO: : 12124.4. Total de Riesgos con NPR en Total de Riesgos con NPR en VERDEVERDE: : 775.5. Total de Riesgos con NPR en Total de Riesgos con NPR en GRISGRIS: : 4242

Resumen:

Propuesta del EstudioO

pcio

nes p

ara el Tratam

iento

d

el Riesg

o

• Aceptar el riesgo con NPR de hasta 15%Aceptar el riesgo con NPR de hasta 15%• Aplicar controles para los riesgos no Aplicar controles para los riesgos no

aceptadosaceptados

Se seleccionan:

Propuesta del EstudioS

elección

de C

on

troles

Para cada Riesgo identificado se Para cada Riesgo identificado se proponen uno o más controles de proponen uno o más controles de

la Norma ISO/IEC 27002:2005.la Norma ISO/IEC 27002:2005.

Enlace al documento completo:Presentación de


Propuesta del EstudioE

nu

nciad

o d

e Ap

licabilid

ad

Es un documento que tiene como finalidad la observancia de todos los controles de

seguridad propuestos en la norma, con la justificación de su inclusión o exclusión,

según sea el caso.

Enlace al documento completo:Presentación de


Conclusiones

• Madurez del SGSI actual del CTIC: Nivel Madurez del SGSI actual del CTIC: Nivel L1 (Inicial).L1 (Inicial).

• Cumplimiento de los controles Cumplimiento de los controles propuestos en la norma ISO/IEC 27002 : propuestos en la norma ISO/IEC 27002 : 42.69 %42.69 %

• Reducción del Nivel de Riesgo al Reducción del Nivel de Riesgo al implantar los controles propuestos: implantar los controles propuestos: Menor a 23 puntos.Menor a 23 puntos.

Conclusiones

• Una metodología SGSI permite descubrir Una metodología SGSI permite descubrir los puntos vulnerables de un Sistema de los puntos vulnerables de un Sistema de Información.Información.

• Es relevante involucrar a todo el personal Es relevante involucrar a todo el personal en la Seguridad de la Información.en la Seguridad de la Información.

• Una herramienta AGR sólida permite Una herramienta AGR sólida permite producir resultados comparables y producir resultados comparables y repetibles en el tiempo.repetibles en el tiempo.

Recomendaciones

• Tomar acciones inmediatas para gestionar Tomar acciones inmediatas para gestionar los Riesgos con un NPR en los Riesgos con un NPR en ROJOROJO..

• Establecer formalmente el SGSI propuesto.Establecer formalmente el SGSI propuesto.• Designar una persona encargada para la Designar una persona encargada para la

Seguridad de la Información del CTICSeguridad de la Información del CTIC• Implementar el Plan propuesto para el Implementar el Plan propuesto para el

Tratamiento de los Riesgos detectados.Tratamiento de los Riesgos detectados.• Una vez ganada experiencia, aplicarlo a Una vez ganada experiencia, aplicarlo a

otras unidades de la universidad.otras unidades de la universidad.

Recomendaciones

• Profundizar en el desarrollo de la Profundizar en el desarrollo de la herramienta AGR utilizando Sistemas herramienta AGR utilizando Sistemas Expertos.Expertos.

• Profundizar el estudio de métricas y Profundizar el estudio de métricas y técnicas para la determinación de la técnicas para la determinación de la eficacia de un SGSI.eficacia de un SGSI.

• Promover la cátedra de Seguridad de la Promover la cátedra de Seguridad de la Información en el programa de Ingeniería en Información en el programa de Ingeniería en Informática.Informática.

• Confeccionar una metodología SGSI para la Confeccionar una metodología SGSI para la universidad. universidad.

No hay seguridad total sino seguridad gestionada.

Ing. Rosendo Mendoza

sistema de gestiÓn para la seguridad de la informaciÓn caso: centro de tecnologÍa de informaciÓn...

Education