SlideShare una empresa de Scribd logo

Sistema de Gestión para la Seguridad de la Información en la FCICN

Descargar como PPTX, PDF
S
seguinfo2012

Este documento presenta un sistema de gestión para la seguridad de la información para la FCICN. Actualmente no existen procesos definidos para el manejo de la información en la organización. El objetivo general es definir procesos de uso y salvaguarda de la información basados en normas internacionales. Se propone implementar la norma ISO 27001 mediante actividades como capacitación, actualización de equipos, detección de fallas y generación de informes. De implementarse correctamente, el sistema mejoraría el manejo seguro de la información en la FCICN

Educación
1 de 26
Universidad Libre Cali Ingeniería de Sistemas Semestre 1N SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN. CASO: FCICN Presentado por : Carlos Arturo Buitrago Eduardo Rojas Romero
Contenido • Planteamiento del problema • Marco Teórico, Mapa Conceptual • Norma ISO 27002 • Causa-Efecto • Objetivos: – General – Específicos • Metas e Indicadores • Actividades, Diagrama de Gantt • Cuadro de Soluciones, Valoraciones • Estudio Técnico - Económico • Conclusiones y Recomendaciones
Planteamiento del Problema Formulación del Problema No existen procesos ni procedimientos definidos para el manejo de la información en la FCICN.
Planteamiento del Problema Situación Problemática “En la FCICN no hay políticas ni controles efectivos sobre la información de la organización, tampoco existe un plan de procedimientos internos para custodiar los datos, ni planes de acción para dar a entender la importancia del uso y salvaguarda de la información”.
Marco Teórico Seguridad de la información Que la información, servicios y recursos sean accesibles por las entidades autorizadas cuando ellas lo requieran. “Es la preservación de la Información y de los Sistemas que la gestionan en sus dimensiones de Confidencialidad, Integridad y Disponibilidad”.
Marco Teórico Análisis y Gestión del Riesgo Uso sistemático de la información para identificar amenazas y coordinar las actividades para dirigir y controlar una organización con relación al riesgo. Persigue identificar los sectores más vulnerables de la organización y permitir concentrar los esfuerzos de control en los lugares críticos.
Marco Teórico Análisis y Gestión del Riesgo Activo: Cualquier cosa - tangible o no - que tenga valor para la organización. Vulnerabilidad: Debilidad de un activo que puede ser Terminología explotada por una amenaza. Amenaza: Causa potencial de un incidente no deseado, que podría dañar uno o más activos. Control ó Salvaguarda: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales. Riesgo: Combinación de la probabilidad de materialización de una amenaza y el daño que produciría sobre un activo.
Marco Teórico Seguridad de la Información Sistema de Gestión de la Consiste en la planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad
Marco Teórico Metodología que establece las especificaciones Norma ISO/IEC 27001:2005 para un SGSI, con el fin de garantizar que los riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada, sistemática, estructurada, continua, repetible y eficiente. Es un “Código de Buenas Prácticas” para la Seguridad de la Información, que establece cientos de controles y mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la norma ISO/IEC 27001:2005
ISO 27001:2005 Fases
Seguridad de la Información Mapa Conceptual
Causa - Efecto Diagrama
Objetivos Definir los procesos de uso y salvaguarda de la General información de la FCICN con base a las necesidades y capacidades de la organización.
Objetivos 1. Conocer la situación actual de la FCICN en relación al manejo de la Información, evaluando su nivel actual. 2. Determinar la capacidad técnica, operativa y Especificos económica para establecer procesos que mejores el manejo de la Información en la FCICN. 3. Generar informes sobre el tráfico de la información para detectar las fallas que se presentan en el proceso y corregir los errores que se presenten por mal manejo. 4. Implementar procedimientos de manejo de la Información basados en estándares de normas internacionales teniendo en cuenta las necesidades y capacidades de la FCICN.
Metas Meta Objetivo Proceso Magnitud UM Descripción Jul. /12 Ago. Sep. Oct. Especifico /12 /12 /12 1 1 Inventariar 175 Equipo Detalle de los equipos 175 de computo Marco Metodológico existentes 2 2 Instalar y/o Actualizar 175 Equipo Software antivirus y 88 87 S.O. 3 2 Instalar 1 Servidor Dominio control 1 acceso a usuarios en la red. 4 3 Generar 20 Informe Sobre tráfico de 5 5 5 5 información y nivel de buen uso 5 3 Detectar y corregir 120 Días Fallas de seguridad 30 30 30 30 en manejo de la información 4 4 Capacitar 238 Persona Enseñar uso, custodia 60 85 63 30 de la información 5 4 Implementar 4 Acción Norma internacional 1 1 1 1 27001
Indicadores Nombre del Indicador Formula del Indicador Estado Inicial Valor Esperado Periodo % de acciones (# de acciones implementadas/ total 0% no se había hecho antes 100% logrado de implementar 4 meses implementadas de acciones) * 100 implementación de la norma ISO las acciones de la norma Marco Metodológico 27001 % de equipos actualizados (# de equipos actualizados/ total de Se inicia con un 50% de los 100% de los equipos 4 meses equipos) * 100 equipos actualizados actualizados e instalados % de fallas corregidas (# fallas corregidas/ total fallas 0% no se había hecho esta 100% de las fallas importantes 4 meses detectadas) * 100 medición antes sean corregidas % de personas capacitadas (# personas que asisten a 0% no se había realizado estas 100% de las personas de la 4 meses capacitación/ total de personas a capacitaciones nunca antes organización estén capacitar) *100 capacitadas Calificación promedio de la Suma de calificación de las 0 porque es la primera 4 puntos en una escala de 1 a 4 meses evaluación evaluaciones/ # personas evaluación que se va a realizar 5 siendo 1 muy malo y 5 evaluadas excelente % detecciones (# detecciones documentadas/ total 0% no se había realizado reporte 100% de detecciones 4 meses documentadas detecciones) * 100 de detecciones ni su documentadas documentación
Cuadro de Soluciones Marco Metodológico
Estudio Técnico-Económico Componente Unidad Medida Cantidad Costo Unitario Costo Total Marco Metodológico Adecuación Equipos a instalar 175 $41.760 $7’308.000 licencias Administración Soporte Externo 12 $400.000 $4’800.000 mensual por un año Personal de la Capacitación organización y 238 $0 $0 encargados de Esta incluido en el sistemas. soporte y licencias Dotación Mejora de equipos 22 $1’400.000 $30’800.000 obsoletos
Actividades 1. Apropiar el conocimiento en sistemas de gestión de seguridad de la información y de los mecanismos existentes para la detección de Marco Metodológico intrusos. 2. Simular tipos de ataques más frecuentes que pongan en riesgo la seguridad de un sistema o una red a fin de tener mejores fundamentos en la creación de políticas y procedimientos o en la mejora de ellos. 3. Aplicar los controles de la norma ISO que permitan administrar un sistema de detección de fallas dentro de un sistema de gestión de seguridad de la Información. 4. Evaluar las herramientas de software para sistemas gestión de seguridad Informática existentes en el mercado actualmente. 5. Desarrollar módulos de software para la redacción, mejora y almacenamiento persistente de políticas de seguridad de la información. 6. Elaborar la documentación que identifique los fundamentos básicos para el desarrollo de estrategias de seguridad de la información, basado en las normas internacionales y las necesidades de la organización.
Diagrama de Gantt Actividad Julio 2012 Agosto 2012 Septiembre 2012 Octubre 2012 Marco Metodológico semanas 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 5 6
Valoraciones CRITERIO 1 2 3 4 5 Cualitativa y Cuantitativa FISICO TECNICO COSTOS TIEMPO HUMANO TOTAL SOLUCION 4 5 3 4 3 3.8 A 20% 30% 15% 20% 15% 100% 3 5 4 4 3 3.8 B 15% 30% 20% 20% 15% 100% 4 5 3 4 3 3.8 C 20% 30% 10% 20% 20% 100% 5 5 3 3 5 4.2 D 20% 20% 15% 15% 30% 100% Escala de Valoración Cuantitativa: 1 Deficiente 3 Intermedio 5 Superior 2 Bajo 4 Alto
Conclusiones  Actualmente en la sociedad de la información es necesario que todas las organizaciones sin tener en cuenta su tamaño implementen mecanismos que permitan mantenerla segura, donde se usen normas internacionales como un sistema principal basado en procesos que busca garantizar la seguridad de la información.  La metodología de un Sistema de Gestión de Seguridad de la Información SGSI permite descubrir los puntos vulnerables de una organización y provee herramientas valiosas para diseñar procesos y procedimientos de seguridad eficaces.  Es de vital importancia involucrar a todas y cada una de las personas que conforman el recurso humano de la organización en todos los procesos de la implementación del plan de Seguridad de la Información y que conozcan los beneficios del buen manejo y aplicación de ellos en sus labores.  Con una herramienta de análisis y gestión del riego AGR sólida y bien implementada se pueden producir resultados comparables y repetibles en el tiempo para evitar futuras fallas en el sistema de seguridad de la información que se haya adoptado por parte de la organización.
Recomendaciones  Profundizar en el desarrollo de herramientas de análisis y gestión de riesgos AGR utilizando sistemas expertos, estudiando de políticas, metas, indicadores y técnicas para la determinación de la eficacia de los procesos y procedimientos adoptados para el manejo de la información.  Continuar con la realización de las auditorias constantes para hacer el seguimiento al manejo de la información, además de brindar al área de sistemas los recursos necesarios que permitan mantener en un alto nivel de seguridad en la organización en cuanto a informática se refiere.  Continuar con las capacitaciones y la concientización de todas las personas de la organización para que se sientan comprometidos y continúen involucrados con el desarrollo y aplicación de los procesos sugeridos en el plan de seguridad de la información.
Recomendaciones  Se deben tomar acciones inmediatas para gestionar los riesgos que existen en el manejo de la información, además de disponer de planes de contingencia ante incidentes que se presenten fuera de lo previsto ya que todas las acciones deben ser proactivas y no reactivas.  Establecer formalmente un plan propuesto para comenzar a corregir las fallas en el manejo de la información y designar una persona que esté a la cabeza y encargada de la seguridad de la información del FCICN.  Implementar los planes y proyectos para el tratamiento de los riesgos detectados en el manejo de la información, para que una vez ganada la experiencia, no se deje decaer la aplicación en ninguna de las unidades de la organización.
Referencias [1] Network Working Group, “Site Security Handbook” , Request for Comments 2196, Septiembre 1997. [2] Instituto Argentino de Normalización, “Código de práctica para la administración de la seguridad de la información”, IRAM-ISO IEC 17799, Buenos Aires, febrero 2002. [3] Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública Argentina, Manual de Seguridad en Redes. [4] Jesús Herney Cifuentes, César Augusto Narváez, Manual de detección de vulnerabilidades de sistemas operativos UNIX en redes TCP/IP, Universidad del Valle 2004. [5] Charles Davis, Eric Lakin, “Hasta las Pymes son Hacheadas”, Exposición en el Congreso Internacional en Seguridad TI Informática H@cker Halted 2005. [6] Monografías online, “CGI Master”, disponible en: www.ok.cl/cgi/chap0 [7] WOOD,Charles Cresson. Políticas de Seguridad Informática, CISA – CISSP, 2004. Segunda Edición. www.netiq.com IEEE, Norma ISO 17799 versión 2000. [8] ISO27001:2005 “ Information Security Management- Specifications for an ISM” [9] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Estándares de Seguridad, ISACA, IEC/ISO http://www.isaca.org
No existe la seguridad total sino una seguridad gestionada.

Recomendados

ENSA_Module_8.pptx
ENSA_Module_8.pptxENSA_Module_8.pptx
ENSA_Module_8.pptxJoseLopez1854
 
Proyecto de redes lan vpn
Proyecto de redes lan vpnProyecto de redes lan vpn
Proyecto de redes lan vpnChristian Andre Moori
 
Marco teórico descifrado de redes
Marco teórico descifrado de redesMarco teórico descifrado de redes
Marco teórico descifrado de redesSwanny Aquino
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónUniversidad de Los Andes (ULA)
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadJesus Vilchez
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 

Recomendados

ENSA_Module_8.pptx
ENSA_Module_8.pptxENSA_Module_8.pptx
ENSA_Module_8.pptxJoseLopez1854
 
Proyecto de redes lan vpn
Proyecto de redes lan vpnProyecto de redes lan vpn
Proyecto de redes lan vpnChristian Andre Moori
 
Marco teórico descifrado de redes
Marco teórico descifrado de redesMarco teórico descifrado de redes
Marco teórico descifrado de redesSwanny Aquino
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónUniversidad de Los Andes (ULA)
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadJesus Vilchez
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
Iso 27001
Iso 27001Iso 27001
Iso 27001karen figueroa hrderera
 
I S O 27001
I S O 27001I S O 27001
I S O 27001karen figueroa hrderera
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Iso27001
Iso27001Iso27001
Iso27001Gerard Flores
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdfHansel Rodriguez
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgosPrimala Sistema de Gestion
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerForo Global Crossing
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Fabiola_Escoto
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001Hector Chajón
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosDiego Cueva Córdova
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Iso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickIso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickJuan
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticasToli Rozas Cordova
 
Seguridad
SeguridadSeguridad
SeguridadVictorAcan
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxolgakaterin
 

Más contenido relacionado

Similar a Sistema de Gestión para la Seguridad de la Información en la FCICN

Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4jose_calero
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas jgalud
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerForo Global Crossing
 
Iso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickIso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickJuan
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 

Similar a Sistema de Gestión para la Seguridad de la Información en la FCICN (20)

I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Iso27001
Iso27001Iso27001
Iso27001
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Trabajo final módulo 4
Trabajo final módulo 4Trabajo final módulo 4
Trabajo final módulo 4
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Iso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno DickIso27001 Ayrac Moreno Dick
Iso27001 Ayrac Moreno Dick
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
Seguridad
SeguridadSeguridad
Seguridad
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 

Último

Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxolgakaterin
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxlupitavic
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Alejandrino Halire Ccahuana
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...JonathanCovena1
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSYadi Campos
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfAngélica Soledad Vega Ramírez
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxMaritzaRetamozoVera
 

Último (20)

Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptx
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
Lecciones 05 Esc. Sabática. Fe contra todo pronóstico.
 
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdfTema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
Tema 8.- PROTECCION DE LOS SISTEMAS DE INFORMACIÓN.pdf
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...La empresa sostenible: Principales Características, Barreras para su Avance y...
La empresa sostenible: Principales Características, Barreras para su Avance y...
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VSOCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
OCTAVO SEGUNDO PERIODO. EMPRENDIEMIENTO VS
 
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdfSELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
SELECCIÓN DE LA MUESTRA Y MUESTREO EN INVESTIGACIÓN CUALITATIVA.pdf
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
Sesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docxSesión de aprendizaje Planifica Textos argumentativo.docx
Sesión de aprendizaje Planifica Textos argumentativo.docx
 

Sistema de Gestión para la Seguridad de la Información en la FCICN

  • 1. Universidad Libre Cali Ingeniería de Sistemas Semestre 1N SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN. CASO: FCICN Presentado por : Carlos Arturo Buitrago Eduardo Rojas Romero
  • 2. Contenido • Planteamiento del problema • Marco Teórico, Mapa Conceptual • Norma ISO 27002 • Causa-Efecto • Objetivos: – General – Específicos • Metas e Indicadores • Actividades, Diagrama de Gantt • Cuadro de Soluciones, Valoraciones • Estudio Técnico - Económico • Conclusiones y Recomendaciones
  • 3. Planteamiento del Problema Formulación del Problema No existen procesos ni procedimientos definidos para el manejo de la información en la FCICN.
  • 4. Planteamiento del Problema Situación Problemática “En la FCICN no hay políticas ni controles efectivos sobre la información de la organización, tampoco existe un plan de procedimientos internos para custodiar los datos, ni planes de acción para dar a entender la importancia del uso y salvaguarda de la información”.
  • 5. Marco Teórico Seguridad de la información Que la información, servicios y recursos sean accesibles por las entidades autorizadas cuando ellas lo requieran. “Es la preservación de la Información y de los Sistemas que la gestionan en sus dimensiones de Confidencialidad, Integridad y Disponibilidad”.
  • 6. Marco Teórico Análisis y Gestión del Riesgo Uso sistemático de la información para identificar amenazas y coordinar las actividades para dirigir y controlar una organización con relación al riesgo. Persigue identificar los sectores más vulnerables de la organización y permitir concentrar los esfuerzos de control en los lugares críticos.
  • 7. Marco Teórico Análisis y Gestión del Riesgo Activo: Cualquier cosa - tangible o no - que tenga valor para la organización. Vulnerabilidad: Debilidad de un activo que puede ser Terminología explotada por una amenaza. Amenaza: Causa potencial de un incidente no deseado, que podría dañar uno o más activos. Control ó Salvaguarda: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales. Riesgo: Combinación de la probabilidad de materialización de una amenaza y el daño que produciría sobre un activo.
  • 8. Marco Teórico Seguridad de la Información Sistema de Gestión de la Consiste en la planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad
  • 9. Marco Teórico Metodología que establece las especificaciones Norma ISO/IEC 27001:2005 para un SGSI, con el fin de garantizar que los riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada, sistemática, estructurada, continua, repetible y eficiente. Es un “Código de Buenas Prácticas” para la Seguridad de la Información, que establece cientos de controles y mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la norma ISO/IEC 27001:2005
  • 11. Seguridad de la Información Mapa Conceptual
  • 12. Causa - Efecto Diagrama
  • 13. Objetivos Definir los procesos de uso y salvaguarda de la General información de la FCICN con base a las necesidades y capacidades de la organización.
  • 14. Objetivos 1. Conocer la situación actual de la FCICN en relación al manejo de la Información, evaluando su nivel actual. 2. Determinar la capacidad técnica, operativa y Especificos económica para establecer procesos que mejores el manejo de la Información en la FCICN. 3. Generar informes sobre el tráfico de la información para detectar las fallas que se presentan en el proceso y corregir los errores que se presenten por mal manejo. 4. Implementar procedimientos de manejo de la Información basados en estándares de normas internacionales teniendo en cuenta las necesidades y capacidades de la FCICN.
  • 15. Metas Meta Objetivo Proceso Magnitud UM Descripción Jul. /12 Ago. Sep. Oct. Especifico /12 /12 /12 1 1 Inventariar 175 Equipo Detalle de los equipos 175 de computo Marco Metodológico existentes 2 2 Instalar y/o Actualizar 175 Equipo Software antivirus y 88 87 S.O. 3 2 Instalar 1 Servidor Dominio control 1 acceso a usuarios en la red. 4 3 Generar 20 Informe Sobre tráfico de 5 5 5 5 información y nivel de buen uso 5 3 Detectar y corregir 120 Días Fallas de seguridad 30 30 30 30 en manejo de la información 4 4 Capacitar 238 Persona Enseñar uso, custodia 60 85 63 30 de la información 5 4 Implementar 4 Acción Norma internacional 1 1 1 1 27001
  • 16. Indicadores Nombre del Indicador Formula del Indicador Estado Inicial Valor Esperado Periodo % de acciones (# de acciones implementadas/ total 0% no se había hecho antes 100% logrado de implementar 4 meses implementadas de acciones) * 100 implementación de la norma ISO las acciones de la norma Marco Metodológico 27001 % de equipos actualizados (# de equipos actualizados/ total de Se inicia con un 50% de los 100% de los equipos 4 meses equipos) * 100 equipos actualizados actualizados e instalados % de fallas corregidas (# fallas corregidas/ total fallas 0% no se había hecho esta 100% de las fallas importantes 4 meses detectadas) * 100 medición antes sean corregidas % de personas capacitadas (# personas que asisten a 0% no se había realizado estas 100% de las personas de la 4 meses capacitación/ total de personas a capacitaciones nunca antes organización estén capacitar) *100 capacitadas Calificación promedio de la Suma de calificación de las 0 porque es la primera 4 puntos en una escala de 1 a 4 meses evaluación evaluaciones/ # personas evaluación que se va a realizar 5 siendo 1 muy malo y 5 evaluadas excelente % detecciones (# detecciones documentadas/ total 0% no se había realizado reporte 100% de detecciones 4 meses documentadas detecciones) * 100 de detecciones ni su documentadas documentación
  • 17. Cuadro de Soluciones Marco Metodológico
  • 18. Estudio Técnico-Económico Componente Unidad Medida Cantidad Costo Unitario Costo Total Marco Metodológico Adecuación Equipos a instalar 175 $41.760 $7’308.000 licencias Administración Soporte Externo 12 $400.000 $4’800.000 mensual por un año Personal de la Capacitación organización y 238 $0 $0 encargados de Esta incluido en el sistemas. soporte y licencias Dotación Mejora de equipos 22 $1’400.000 $30’800.000 obsoletos
  • 19. Actividades 1. Apropiar el conocimiento en sistemas de gestión de seguridad de la información y de los mecanismos existentes para la detección de Marco Metodológico intrusos. 2. Simular tipos de ataques más frecuentes que pongan en riesgo la seguridad de un sistema o una red a fin de tener mejores fundamentos en la creación de políticas y procedimientos o en la mejora de ellos. 3. Aplicar los controles de la norma ISO que permitan administrar un sistema de detección de fallas dentro de un sistema de gestión de seguridad de la Información. 4. Evaluar las herramientas de software para sistemas gestión de seguridad Informática existentes en el mercado actualmente. 5. Desarrollar módulos de software para la redacción, mejora y almacenamiento persistente de políticas de seguridad de la información. 6. Elaborar la documentación que identifique los fundamentos básicos para el desarrollo de estrategias de seguridad de la información, basado en las normas internacionales y las necesidades de la organización.
  • 20. Diagrama de Gantt Actividad Julio 2012 Agosto 2012 Septiembre 2012 Octubre 2012 Marco Metodológico semanas 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 5 6
  • 21. Valoraciones CRITERIO 1 2 3 4 5 Cualitativa y Cuantitativa FISICO TECNICO COSTOS TIEMPO HUMANO TOTAL SOLUCION 4 5 3 4 3 3.8 A 20% 30% 15% 20% 15% 100% 3 5 4 4 3 3.8 B 15% 30% 20% 20% 15% 100% 4 5 3 4 3 3.8 C 20% 30% 10% 20% 20% 100% 5 5 3 3 5 4.2 D 20% 20% 15% 15% 30% 100% Escala de Valoración Cuantitativa: 1 Deficiente 3 Intermedio 5 Superior 2 Bajo 4 Alto
  • 22. Conclusiones  Actualmente en la sociedad de la información es necesario que todas las organizaciones sin tener en cuenta su tamaño implementen mecanismos que permitan mantenerla segura, donde se usen normas internacionales como un sistema principal basado en procesos que busca garantizar la seguridad de la información.  La metodología de un Sistema de Gestión de Seguridad de la Información SGSI permite descubrir los puntos vulnerables de una organización y provee herramientas valiosas para diseñar procesos y procedimientos de seguridad eficaces.  Es de vital importancia involucrar a todas y cada una de las personas que conforman el recurso humano de la organización en todos los procesos de la implementación del plan de Seguridad de la Información y que conozcan los beneficios del buen manejo y aplicación de ellos en sus labores.  Con una herramienta de análisis y gestión del riego AGR sólida y bien implementada se pueden producir resultados comparables y repetibles en el tiempo para evitar futuras fallas en el sistema de seguridad de la información que se haya adoptado por parte de la organización.
  • 23. Recomendaciones  Profundizar en el desarrollo de herramientas de análisis y gestión de riesgos AGR utilizando sistemas expertos, estudiando de políticas, metas, indicadores y técnicas para la determinación de la eficacia de los procesos y procedimientos adoptados para el manejo de la información.  Continuar con la realización de las auditorias constantes para hacer el seguimiento al manejo de la información, además de brindar al área de sistemas los recursos necesarios que permitan mantener en un alto nivel de seguridad en la organización en cuanto a informática se refiere.  Continuar con las capacitaciones y la concientización de todas las personas de la organización para que se sientan comprometidos y continúen involucrados con el desarrollo y aplicación de los procesos sugeridos en el plan de seguridad de la información.
  • 24. Recomendaciones  Se deben tomar acciones inmediatas para gestionar los riesgos que existen en el manejo de la información, además de disponer de planes de contingencia ante incidentes que se presenten fuera de lo previsto ya que todas las acciones deben ser proactivas y no reactivas.  Establecer formalmente un plan propuesto para comenzar a corregir las fallas en el manejo de la información y designar una persona que esté a la cabeza y encargada de la seguridad de la información del FCICN.  Implementar los planes y proyectos para el tratamiento de los riesgos detectados en el manejo de la información, para que una vez ganada la experiencia, no se deje decaer la aplicación en ninguna de las unidades de la organización.
  • 25. Referencias [1] Network Working Group, “Site Security Handbook” , Request for Comments 2196, Septiembre 1997. [2] Instituto Argentino de Normalización, “Código de práctica para la administración de la seguridad de la información”, IRAM-ISO IEC 17799, Buenos Aires, febrero 2002. [3] Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública Argentina, Manual de Seguridad en Redes. [4] Jesús Herney Cifuentes, César Augusto Narváez, Manual de detección de vulnerabilidades de sistemas operativos UNIX en redes TCP/IP, Universidad del Valle 2004. [5] Charles Davis, Eric Lakin, “Hasta las Pymes son Hacheadas”, Exposición en el Congreso Internacional en Seguridad TI Informática H@cker Halted 2005. [6] Monografías online, “CGI Master”, disponible en: www.ok.cl/cgi/chap0 [7] WOOD,Charles Cresson. Políticas de Seguridad Informática, CISA – CISSP, 2004. Segunda Edición. www.netiq.com IEEE, Norma ISO 17799 versión 2000. [8] ISO27001:2005 “ Information Security Management- Specifications for an ISM” [9] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION Estándares de Seguridad, ISACA, IEC/ISO http://www.isaca.org
  • 26. No existe la seguridad total sino una seguridad gestionada.