Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Interrogantes
Alternativa
procedimientos en relación a los objetivos de
negocio de la organización, con objeto de mantener
un nivel de exposición menor al nivel de riesgo que
la propia organización ha decidido asumir.”
Alternativa
La ISO/IEC 27001:2005 es un estándar
internacional que proporciona un modelo sólido
para implementar los principios y lineamientos de los
SGSI.
Objetivos
General
Específicos
1. Diagnosticar la situación actual del CTIC en
relación a la Seguridad de la Información.
2. Determinar la factibilidad técnica, operativa y
económica del Establecimiento de un SGSI
para el CTIC, de acuerdo a la norma ISO/IEC
27001:2005.
3. Diseñar un SGSI para el CTIC, basado en la
norma ISO/IEC 27001:2005.
Alcance y
Limitaciones
Seguridad de la información
Es la preservación de la Información y de los
Sistemas que la gestionan en sus
dimensiones de Confidencialidad, Integridad y
Disponibilidad.
Bases Teóricas
Seguridad de la información
Que la información no sea accesible por
personas, entidades o procesos no
autorizados
Bases Teóricas
Seguridad de la información
Que la información sea exacta y completa
Bases Teóricas
Seguridad de la información
Que la información, servicios y recursos sean
accesibles por las entidades autorizadas
cuando ellas lo requieran.
Bases Teóricas
Terminología
Amenaza: Causa potencial de un incidente no deseado,
que podría dañar uno o más activos.
Control ó Salvaguarda: Medios para manejar el riesgo;
incluyendo políticas, procedimientos, lineamientos,
prácticas o estructuras organizacionales.
Riesgo: Combinación de la probabilidad de materialización
de una amenaza y el daño que produciría sobre un activo.
Bases Teóricas
Seguridad de la Información
Sistema de Gestión de la
Consiste en la planificación, ejecución,
verificación y mejora continua de un conjunto
de controles que permitan reducir el riesgo de
sufrir incidentes de seguridad
Bases Teóricas
Metodología MAGERIT
1. Desarrollada por el Ministerio de Administración Pública
de España.
2. Método sistemático para el análisis de riesgos, que
facilita su evaluación y tratamiento, con el objeto de
mantenerlo bajo control.
Bases Teóricas
• Definición del Alcance del SGSI.
Metodología MAGERIT
• Definición de una Política SGSI.
• Definición del enfoque de Evaluación de
Riesgos.
• Identificación de Riesgos.
• Análisis y Evaluación del Riesgo.
• Opciones para el Tratamiento del Riesgo.
• Selección de Objetivos de Control y Controles.
• Aprobación para los riesgos residuales.
• Autorización para implementar y operar el SGSI.
• Preparación del enunciado de aplicabilidad
(SOA).
Marco Metodológico
Naturaleza de la investigación
Estudio de Proyecto factible, apoyado en la
investigación monográfica, documental y de
campo.
Marco Metodológico
Factibilidad Operativa
1. Existe una muy buena disposición, por parte de la
Jefatura del Centro, para mejorar la Seguridad del
CTIC.
2. Tanto el personal del CTIC como sus usuarios,
tienen experiencia en el área de computación y
están familiarizados con los aspectos de la
seguridad tecnológica.
Marco Metodológico
Factibilidad Técnica
1. La norma ISO/IEC 27001:2005 es un modelo deta-
llado, el cual especifica las etapas que se deben
cumplir para la implantación de un SGSI.
2. El Decanato de Ciencias y Tecnología cuenta con
personal capacitado para liderar el proyecto.
3. El CTIC cuenta con el equipo informático adecua-
do para el desarrollo del proyecto.
Marco Metodológico
Factibilidad Económica
1. Programas de ayuda económica que apoyan los
desarrollos tecnológicos, tales como el CDCHT y
los proyectos LOCTI.
2. Existencia de metodologías y herramientas gratui-
tas para llevar a cabo la instalación y operación
de un SGSI, como por ejemplo: EBIOS, MAGERIT
e ISO27001.
Propuesta del Estudio
Riesgo
propuesto en la metodología MAGERIT.
2. Riesgo Inicial aceptado: 15%
Propuesta del Estudio
Identificación de Riesgos
Clasificación de Activos
• Servicios.
• Datos e Información.
Categoría
• Equipamiento.
• Aplicaciones.
• Soporte de Información.
• Equipamiento Auxiliar.
• Instalaciones.
• Personal
Identificación de Riesgos
Valor propio del Activo
Fuente: ISO27001 Security home. www.iso27001security.com
Identificación de Riesgos
Valor acumulado del Activo
Identificación de Riesgos
Catálogo de Activos
Identificación de Riesgos
Identificación de Amenazas
Fuente: Metodología MAGERIT
Propuesta del Estudio
Identificación de Riesgos
Determinación del Riesgo
Activo degradado
Activo/Vulnerabilidad Amenaza/Frecuencia
RIESGO
Documento completo:
Propuesta del Estudio
Análisis y Evaluación
Resumen:
del Riesgos
• Total de Amenazas y Riesgos Detectados: 64
• Total de Riesgos con NPR en ROJO: 3
• Total de Riesgos con NPR en AMARILLO: 12
• Total de Riesgos con NPR en VERDE: 7
• Total de Riesgos con NPR en GRIS: 42
Propuesta del Estudio
del Riesgo
• Aceptar el riesgo con NPR de hasta 15%
• Aplicar controles para los riesgos no
aceptados
Propuesta del Estudio
Selección de Controles
Para cada Riesgo identificado se
proponen uno o más controles de
la Norma ISO/IEC 27002:2005.
Enlace al documento completo:
Presentación de
Propuesta del Estudio
Enunciado de Aplicabilidad
Es un documento que tiene como finalidad la
observancia de todos los controles de
seguridad propuestos en la norma, con la
justificación de su inclusión o exclusión,
según sea el caso.
Enlace al documento completo:
Presentación de
Conclusiones