Anda di halaman 1dari 10

Plan de Mejora en Seguridad

Empresa: Sigma Ingeniera S.A.

Integrante:
Carlos Ariel Castao Londoo

Especializacin Virtual:
Presentacin Plan de compra de Software
(GESTIN Y SEGURIDAD EN BASE DE DATOS - Ficha: 1310064)

Fecha:
Manizales, Caldas
20-01-2017

Tutor:
Jonathan Quiceno Vargas
Introduccin:

En el siguiente plan de trabajo se ilustrarn con la metodloga de magerit cules son


los diferentes riesgos que inciden en los activos de la organizacin, adems, de la
estimacin del grado de exposicin a que una amenaza se materialice en uno a ms
activos.
Cuerpo del trabajo:

Informe: Anlisis plantilla ISO 27002

Siguiendo con los puntos de la plantilla ISO 27002 como asesor de la empresa, primero
debemos hacer un inventario de los activos de informacin, para luego saber cul es la
valoracin de los diferentes riesgos a los cuales est expuesto cada uno de los activos
de la empresa y conocer de qu manera se podran aplicar las normas - metodologas
de seguridad informtica.

Para ello, realice lo siguiente:


La norma ISO 27002 es una gua de buenas prcticas de seguridad de la informacin
que no solo contempla la seguridad de sistemas de TI, sino que tambin considera los
riesgos organizacionales, operacionales y fsicos de una empresa con todo lo que esto
implica. Esta norma hace recomendaciones sobre el uso de 133 controles de seguridad
diferentes aplicados en 11 reas de control expuestas en el archivo Plantilla_iso27002.
En el desarrollo, usted como administrador DBA deber leer, analizar y diligenciar la
plantilla asignando valores de tal forma que reflejen la aplicacin de los criterios
expuestos en la tabla 1 Resultados de la auditora asumiendo que son los resultados
extrados de una auditora realizada a la mencionada empresa:

Tabla 1: Resultados de la auditoria

Una vez tenga diligenciada la plantilla, estudie la situacin actual de la organizacin


haciendo un anlisis objetivo donde exponga un plan de mejora enfatizando en aquellos
dominios que considere son claves y redundan en el cumplimiento de sus tareas como
administrador de bases de datos. En lo posible seleccione una empresa que pueda
visitar y donde le permitan conocer de cerca la realidad en el manejo de los procesos.
Solucin:

5. Poltica de seguridad 35 Medio


9. Seguridad fsica y del entorno 63,84 Medio
13. Gestin de incidentes de seguridad de la
Medio
informacin 57
14. Gestin de la continuidad del negocio 60 Medio

Teniendo en cuanta los activos de informacin mencionados en el anterior plan de


trabajo, seleccionaremos 4 puntos clave en los cuales se enfatizarn sobre tcnicas y
procesos para mejorar la seguridad; Primero vamos a conocer los conceptos
relacionados con el anlisis de riesgos y la seguridad en la informacin:

Amenaza: Es la causa potencial de un dao a un activo.

Vulnerabilidad: Debilidad de un activo que puede ser aprovechada por una amenaza.

Impacto: consecuencias de que la amenaza ocurra.

Riesgo intrnseco: clculo del dao probable a un activo si se encontrara


desprotegido.

Salvaguarda: Medida tcnica u organizativa que ayuda a disminuir el riesgo.

Riesgo residual: Riesgo remanente tras la aplicacin de salvaguardas

Inventario de la organizacin mencionado en el siguiente punto:

Metodologa de Magerit:

Magerit es una metodologa de anlisis y gestin de riesgos de los Sistemas de


Informacin elaborada por el Consejo Superior de Administracin Electrnica para
minimizar los riesgos de la implantacin y uso de las Tecnologas de la Informacin.
Con base en eso podemos mencionar los siguientes activos de la informacin en la
organizacin:
Inventario de activos de la Organizacin Tomada:
Para realizar este tipo de inventarios podemos utilizar herramientas como PILAR, los
cuales contienen interfaces agiles, fciles de utilizar y proporcionar capacidades tiles
en nomas ya establecidas:

Valoracin cuantitativa: Dinero

Valoracin cualitativa: bajo, Medio, Alto o de 0 a 10. Basados en un criterio se puede


utilizar caractersticas principales de la informacin: Integridad, Confidencialidad y
disponibilidad.

Existen muchas formas de valorar activos: La entrevista y La encuesta son los ms


utilizados, seleccionando un muestreo del personal de la organizacin.

Se puede abordar el anlisis de riesgos con varios enfoques dependiendo del grado de
profundidad con el que se quiera o pueda realizar el anlisis:

1. Enfoque de Mnimos:
Se escoge un conjunto mnimo de activos y se hace un anlisis conjunto, de manera
que se emplean una cantidad mnima de recursos, consumiendo poco tiempo y por lo
tanto tiene el coste es menor.

2. Enfoque informal:
Con este enfoque, no se necesita formacin especial para realizarlo ni necesita de
tantos recursos de tiempo y personal como el anlisis detallado.
3. Enfoque detallado:
Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a los que
se enfrenta la organizacin.

4. Enfoque combinado:
Con un enfoque de alto nivel al principio, permite determinar cules son los activos en
los que habr que invertir ms antes de utilizar muchos recursos en el anlisis.

Identificar amenazas

Una vez identificado los activos de la organizacin podemos definir cules son las
vulnerabilidades de los activos:

Atendiendo a su origen, existen dos tipos de amenazas:

Externas: Que son las causadas por alguien (hackers, proveedores, clientes, etc.) o
algo que no pertenece a la organizacin. Ejemplos de amenazas de este tipo son los
virus y las tormentas:

Internas: Estas amenazas son causadas por alguien que pertenece a la organizacin,
por ejemplo, errores de usuario o errores de configuracin.

Cualesquiera de estas amenazas vulneraran los puntos donde ms se necesita control:

5. Poltica de seguridad 35 Medio


9. Seguridad fsica y del entorno 63,84 Medio
13. Gestin de incidentes de seguridad de la
Medio
informacin 57
14. Gestin de la continuidad del negocio 60 Medio
Normatividad de la seguridad informtica en la organizacin:

Lo primero que se debe de hacer es determinar con la junta directiva que la seguridad
informtica de su organizacin debe de hacer parte de sus procesos y procedimientos,
esto aumentara la efectividad del proceso de SGSI determinando que los objetivos
marcados se cumplan y que se minimicen el impacto de los riesgos que pueda correr la
organizacin:

Como norma a implantar tenemos:

ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000
en las que se renen las mejores prcticas para desarrollar, implementar y mantener
sistemas de gestin de seguridad de informacin.

La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y


133 controles; que estn distribuidos como se observa en la siguiente estructura:

Admitiendo de esta forma certificar a la empresa en el cumplimiento de sus


caractersticas marcadas en la norma.

Los tems que debe aumentar la seguridad con las estrategias son:

Poltica de Seguridad
Documento de la poltica de seguridad de la informacin
Revisin de la poltica de seguridad de la informacin

Seguridad fsica y del entorno


Permetro de seguridad fsica
Controles de acceso fsico
Seguridad de oficinas, recintos e instalaciones
Proteccin contra amenazas externas y ambientales
Trabajo de reas seguras
reas de carga, entrega y reas pblicas

Gestin de incidentes de la seguridad de la informacin


Reportando eventos de seguridad de la informacin
Reportando debilidades de seguridad
Procedimientos y responsabilidades
Lecciones aprendidas
Recoleccin de evidencia

Gestin de la continuidad del negocio


Inclusin de seguridad de la informacin en el proceso de gestin de la continuidad del negocio
Continuidad del negocio y anlisis del riesgo
Desarrollo e implementacin de planes de continuidad incluyendo seguridad de la informacin
Marco para la planeacin de la continuidad del negocio
Prueba, mantenimiento y reevaluacin de los planes de continuidad del negocio

Conclusin:

Identificando los diferentes activos de la informacin y analizando el impacto que tienen


las diferentes amenazas segn la categorizacin de la plantilla podemos determinar el
impacto que puede generar en la organizacin si es riesgo llega a consumirse.

Con base en lo anterior podemos es posible utilizar otras metodologas para implantar
un Plan de Mejora en seguridad en la organizacin y que sean implantados con un
buen SGSI, algunos son:
Anlisis holands A&K.
CRAMM.
EBIOS.
IT-GRUNDSCHUTZ (Manual de proteccin bsica de TI)
Manual de Seguridad de TI Austriaco.
MARION MEHARI.
Mtodos ISF para la evaluacin y gestin de riesgos.
Norma ISO/IEC IS 27005.
OCTAVE.
SP800-30 NIST Risk Management Guide for Information Technology Systems.

Anda mungkin juga menyukai