Integrante:
Carlos Ariel Castao Londoo
Especializacin Virtual:
Presentacin Plan de compra de Software
(GESTIN Y SEGURIDAD EN BASE DE DATOS - Ficha: 1310064)
Fecha:
Manizales, Caldas
20-01-2017
Tutor:
Jonathan Quiceno Vargas
Introduccin:
Siguiendo con los puntos de la plantilla ISO 27002 como asesor de la empresa, primero
debemos hacer un inventario de los activos de informacin, para luego saber cul es la
valoracin de los diferentes riesgos a los cuales est expuesto cada uno de los activos
de la empresa y conocer de qu manera se podran aplicar las normas - metodologas
de seguridad informtica.
Vulnerabilidad: Debilidad de un activo que puede ser aprovechada por una amenaza.
Metodologa de Magerit:
Se puede abordar el anlisis de riesgos con varios enfoques dependiendo del grado de
profundidad con el que se quiera o pueda realizar el anlisis:
1. Enfoque de Mnimos:
Se escoge un conjunto mnimo de activos y se hace un anlisis conjunto, de manera
que se emplean una cantidad mnima de recursos, consumiendo poco tiempo y por lo
tanto tiene el coste es menor.
2. Enfoque informal:
Con este enfoque, no se necesita formacin especial para realizarlo ni necesita de
tantos recursos de tiempo y personal como el anlisis detallado.
3. Enfoque detallado:
Con este enfoque se consigue una idea muy exacta y objetiva de los riesgos a los que
se enfrenta la organizacin.
4. Enfoque combinado:
Con un enfoque de alto nivel al principio, permite determinar cules son los activos en
los que habr que invertir ms antes de utilizar muchos recursos en el anlisis.
Identificar amenazas
Una vez identificado los activos de la organizacin podemos definir cules son las
vulnerabilidades de los activos:
Externas: Que son las causadas por alguien (hackers, proveedores, clientes, etc.) o
algo que no pertenece a la organizacin. Ejemplos de amenazas de este tipo son los
virus y las tormentas:
Internas: Estas amenazas son causadas por alguien que pertenece a la organizacin,
por ejemplo, errores de usuario o errores de configuracin.
Lo primero que se debe de hacer es determinar con la junta directiva que la seguridad
informtica de su organizacin debe de hacer parte de sus procesos y procedimientos,
esto aumentara la efectividad del proceso de SGSI determinando que los objetivos
marcados se cumplan y que se minimicen el impacto de los riesgos que pueda correr la
organizacin:
ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000
en las que se renen las mejores prcticas para desarrollar, implementar y mantener
sistemas de gestin de seguridad de informacin.
Los tems que debe aumentar la seguridad con las estrategias son:
Poltica de Seguridad
Documento de la poltica de seguridad de la informacin
Revisin de la poltica de seguridad de la informacin
Conclusin:
Con base en lo anterior podemos es posible utilizar otras metodologas para implantar
un Plan de Mejora en seguridad en la organizacin y que sean implantados con un
buen SGSI, algunos son:
Anlisis holands A&K.
CRAMM.
EBIOS.
IT-GRUNDSCHUTZ (Manual de proteccin bsica de TI)
Manual de Seguridad de TI Austriaco.
MARION MEHARI.
Mtodos ISF para la evaluacin y gestin de riesgos.
Norma ISO/IEC IS 27005.
OCTAVE.
SP800-30 NIST Risk Management Guide for Information Technology Systems.