SlideShare una empresa de Scribd logo

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI para la empresa “Exportadora Pacas”

David Eliseo Martinez Castellanos
David Eliseo Martinez Castellanos

Este documento presenta el diseño de una herramienta de evaluación y un mapa de procesos de seguridad de la información para la empresa Exportadora Pacas. Se elaboró un cuestionario basado en los 10 dominios de seguridad y el Modelo de Negocios para la Seguridad de la Información para evaluar el estado actual de la seguridad de la empresa. Adicionalmente, se diseñó un mapa de procesos de seguridad de la información y se definieron fichas para tres procesos clave. El objetivo es diagnosticar la situación de la seguridad

Tecnología
1 de 12
Descargar para leer sin conexión
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 1 Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI para la empresa “Exportadora Pacas” Yanira Elizabeth Ascencio García e-mail: ascencio80@gmail.com Cecilia Verónica Cáceres Contreras e-mail: cecivec9@gmail.com Celenia Evelyn González de Alvarenga e-mail: cegalvarenga@gmail.com David Eliseo Martínez Castellanos e-mail: eliseo.martinez@gmail.com Boris Alexander Martínez Díaz e-mail: bmartinezdiaz@gmail.com Luis Ernesto Pérez Figueroa e-mail: lepf_luis@msn.com RESUMEN: Este es un caso de estudio el cual se elaboró para la “Exportadora Pacas” usando el modelo del BMIS y los diez dominios para la seguridad en base a estos métodos se efectuó una evaluación diagnostica de la seguridad de la empresa el cual nos demostró el porcentaje obtenido en su seguridad e identificar aquellas que algún déficit con el fin de trabajarlas y mejorar su calidad. También fue elaborado el mapa de proceso basado en seguridad con el fin de poder documentar el proceso de la organización en seguridad así como el organigrama de esta PALABRAS CLAVE: BMIS, Dominio de seguridad, procesos y fichas. 1 INTRODUCCIÓN El presente trabajo comprende el diseño de una herramienta de evaluación diagnostica del estado de la seguridad en la empresa “Exportadora Pacas” y el diseño de un mapa de procesos para la implementación de un Sistema de Gestión de la Seguridad de La Información. Ambas herramientas se basan en la integración de conceptos de seguridad provenientes de los 10 Dominios de Seguridad del CBK y del Modelo de Negocio para la Seguridad de la Información (BMIS, por sus siglas en inglés). Se incluye la especificación de 3 procesos a través de sus respectivas fichas de proceso y el resultado de la aplicación de la herramienta de evaluación. Todos estos aspectos mencionados son muy importantes para la organización ya que en la seguridad de la información se debe de tener la integridad, disponibilidad y confidencialidad. 2 PROBLEMA 2.1 DELIMITACIÓN Y PLANTEAMIENTO DEL PROBLEMA Con la presente investigación se pretende definir procesos de seguridad, a través de un mapa de procesos, el cual es una forma gráfica de visualizar la gestión de la seguridad de la información en la Exportadora Pacas. El mapa de procesos permite obtener una vista simplificada de cómo fluye la información a través de todas las áreas funcionales de la empresa identificando los puntos más críticos y vulnerables de la misma. Gracias a esto se pueden empezar a definir estrategias y planes de contingencia que vayan encaminadas salvaguardar la información cuidando sus principios básicos como son: Integridad, Disponibilidad y Confidencialidad. Ficha de proceso Para el presente estudio se han tomado 3 procesos que consideramos claves para elaborar un detalle de los mismos con el fin de identificar más a fondo los riesgos inherentes concernientes a la seguridad de la información. Se presentaran tres fichas de procesos las cuales son: - Gestión de la Documentación - Monitorear el Registro de Datos - Auditoria de la información Cuestionario de evaluación. También elaboraremos una guía metodológica basada en las 10 preguntas de Dominio para identificar el estado actual de la seguridad de la información de nuestra empresa de estudio. Exportadora PACAS se dedican al cultivo y procesamiento del café y su exportación fue fundada en 1991 y ha tenido un crecimiento constante desde esa fecha hasta la actualidad, debido a este crecimiento se ha tomado conciencia cada vez más, de lo importante que es
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 2 mantener una adecuada gestión de la información ya que es una activo valioso que hoy por hoy, no están resguardando de la mejor forma basado en estándares y mejores prácticas reconocidas internacionalmente. La empresa está invirtiendo en tecnología, pero al crecer y querer convertirse en la mejor exportadora de café, identifican que uno de sus Activos más valiosos que es la Información no se ha efectuado el tratamiento adecuado en cuanto a Seguridad. Por lo cual se considera oportuno contratar un servicio de consultoría de Gestión de la Seguridad de la Información para que le ayude a minimizar riesgos potenciales, identificar y mitigar vulnerabilidades y establece procesos y procedimientos para el adecuado tratamiento de la información. 2.2 JUSTIFICACIÓN DEL PROYECTO Para determinar el grado de madurez de la Gestión de la Seguridad de la Información (GSI), en la organización analizada “Exportadora Pacas” en el caso de estudio, se ha realizado un análisis. Se ha utilizado como herramientas los 10 dominios de CBK por sus siglas en Ingles (Common Body of Knowledge) y BMIS por sus siglas en inglés (Business Model for Information Security) para elaborar una guía de autoevaluación. Este documento permitirá identificar más claramente de forma cuantitativa y cualitativamente la madurez de la organización en cuanto la GSI con la tabulación de los resultados de la guía de autoevaluación y la elaboración de un mapa de procesos de las actividades que involucran a la GSI además de un organigrama propuesto para el área GSI dentro de la organización sujeta de estudio. 2.3 OBJETIVOS 2.3.1 Objetivo General Desarrollar un diagnóstico de la situación actual de la Gestión de la Seguridad de la Información basada en los dominios, tabular los resultados y cuantificarlos; así como elaborar un mapa de procesos referente a cómo debe estar enfocado un adecuado manejo de la información para la empresa Exportadora Pacas. 2.3.2 Objetivos Específicos 1) Elaborar una matriz de dominio de la información con al menos 5 preguntas por dominio y ponderar cada posible respuesta. 2) Luego de elaborar la matriz de domino, se deberá pasara a cada una de las personas que tienen que ver con el tema de la seguridad de la información, para que anoten sus consideraciones respecto del tema. 3) Obtener un resultado cuantificable de las respuestas de los encuestados, lo cual determinará de una forma clara y objetiva la situación actual se seguridad de la información vista desde dentro de la organización. 4) Elaborar un diagrama de mapa de procesos, en el cual se identifiquen los procesos y/o sub-procesos Críticos, Operacionales y de Apoyo correspondientes a la seguridad de la información y presentar a la Dirección de la empresa para tomar medidas de acción. 5) Con base a los procesos definidos o identificados de seguridad de la información, preparar las fichas correspondientes de los principales procesos. 3 MARCO TEORICO DE LA INVESTIGACIÓN 3.1 Dominios de la Seguridad Informática 1. Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías. 2. Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad. 3. Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información. 4. Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información. 5. Seguridad de las Operaciones: Usado para identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso. 6. Criptografía: Los principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad. 7. Seguridad Física: Técnicas de protección de instalaciones, incluyendo los recursos de los sistemas de información. 8. Seguridad en Internet, Redes y Telecomunicaciones: Incluye los dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación. 9. Recuperación ante Desastres y Planificación de la Continuidad del Negocio: Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones. 10. Leyes, investigaciones y Ética: Engloba las leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 3 3.2 Modelo de Negocios Para la Seguridad Informática Los cuatro elementos del modelo son: 1. Diseño organizacional y estrategia: Una organización es una red de personas, bienes y procesos interactuando entre sí con un rol definido y trabajando por una meta común. La estrategia de una empresa especifica sus metas y objetivos así como los valores y misiones a perseguir. Es su fórmula empresarial para el éxito. La estrategia debe adaptarse a factores internos como externos. El diseño establece cómo la organización implementa su estrategia. 2. Personas: Este elemento representa el recurso humano y los problemas de seguridad que los rodean. 3. Procesos: Incluye los mecanismos formales e informales de realizar el trabajo y provee un enlace vital a todas las interconexiones dinámicas. 4. Tecnología: El elemento de tecnología está compuesto por las herramientas, aplicaciones e infraestructura que hacen que los procesos sean más eficientes. Las interconexiones dinámicas son: 1. Gobernanza: Gobernanza es la dirección de la empresa y demanda liderazgo estratégico, se asegura que los objetivos de la empresa son determinados y definidos, asegurándose que los riesgos son manejados apropiadamente y asegurándose que los recursos empresariales son utilizados responsablemente. 2. Cultura: Es un patrón de comportamientos, creencias, asunciones, actitudes y formas de hacer las cosas. La cultura influye considerablemente en qué se considera información, cómo es interpretada y qué se hará con ella. 3. Habilitación y Soporte: Interconecta los elementos de tecnología y proceso. Políticas, estándares y guías deben diseñarse para soportar las necesidades de negocio reduciendo o eliminando los conflictos de interés, permaneciendo flexibles a cambios en los objetivos de negocio y siendo aceptables y fáciles de seguir para las personas. 4. Surgimiento: Se refiere a los patrones que surgen en la vida de la empresa y que aparentemente no tienen una causa obvia y cuyos efectos parecen imposibles de predecir y controlar. 5. Factor humano: Representa la interacción y la brecha entre tecnología y personas y como tal, es crítico a un programa de seguridad de la información. 6. Arquitectura: La infraestructura de seguridad es una encapsulación comprensiva y formal de las personas, procesos, políticas y tecnología que conforman las prácticas de seguridad empresariales. 4 DESARROLLO DEL CASO 4.1 Diseño de la Herramienta de Autoevaluación La herramienta de autoevaluación se diseñó sobre la base de los 10 dominios de la Seguridad Informática, los elementos e interconexiones dinámicas del Modelo de Negocios para la Seguridad Informática (BMIS). El resultado fue un cuestionario que implementa la escala Likert para evaluaciones psicométricas. La Tabla 1 muestra las preguntas que conforman el cuestionario diseñado No. Pregunta Sistemas y metodologías para el control de acceso 1 En nuestra empresa el acceso a personas no autorizadas está restringido. 2 En nuestra empresa las áreas restringidas están debidamente señalizadas. 3 En nuestra empresa se lleva un registro del ingreso de los visitantes. 4 El diseño organizacional de la empresa considera metodologías de control de acceso. 5 El control de acceso es parte de la cultura organizacional de la empresa. 6 Los procesos de la empresa se realizan de forma óptima a pesar de los controles de acceso. Seguridad de las telecomunicaciones y redes 7 La empresa posee una cultura de confidencialidad en las comunicaciones. 8 Los empleados se encuentran comprometidos con la confidencialidad de la información de la empresa. 9 La empresa cuenta con tecnología de comunicaciones seguras. 10 La empresa cuenta con políticas normalizadas de telecomunicaciones y redes. 11 Los usuarios de los servicios de red conocen las normas de telecomunicaciones y redes.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 4 12 La empresa cuenta con adecuados mecanismos de recuperación en caso de fallas en los servicios de comunicaciones y redes. Prácticas de administración de seguridad 13 Las políticas de seguridad esta divulgadas y son respetadas por nuestros empleados cumpliendo con nuestro valor de integridad. 14 la empresa tiene estratificada las áreas de acceso con medidas de seguridad que impiden que personal no autorizado ingrese a dichas áreas. 15 la seguridad de la organización es debidamente promovida a los empleados . 16 Todos los usuarios cambian las contraseñas de red por lo menos 1 vez al mes. 17 se hacen respaldos de los sistemas críticos todos de la compañía todos los días incremental y una vez a la semana completo. 18 Siempre se hacen pruebas de restauración de cada respaldo. Seguridad en el desarrollo de aplicaciones y sistemas 19 Se considera que existe concientización al personal sobre el cumplimiento de los procesos de desarrollo asignados. 20 Se puede afirmar que los procesos de desarrollo de aplicaciones apoyan la estrategia de la empresa. 21 Se considera que los programadores muestran un comportamiento y actitudes de acuerdo con los valores de la empresa. 22 Se garantiza que la empresa aplica una adecuada metodología para el desarrollo de aplicaciones y sistemas. 23 En nuestra empresa antes de poner en producción un aplicativo o sistema se ha realizado un exhaustivo control de calidad del mismo con base a las mejores prácticas. 24 En la empresa únicamente los programadores asignados tienen acceso a los programas fuentes respectivas. Criptografía 25 La información más crítica de la empresa se asegura con métodos especiales (criptográficos) para protegerla de amenazas. 26 Se utilizan técnicas especiales para salvaguardar los documentos críticos de la empresa, tales como formulas, recetas, planes de contingencia, experiencias, etc. 27 La información que se trasmite entre las diferentes fincas viaja de forma segura, aplicando métodos y técnicas de encriptación. 28 La empresa utiliza algún tipo de encriptación para proteger su información. 29 El tipo de encriptación que se usa para proteger la telefonía IP es el más adecuado. 30 La empresa utiliza el tipo de encriptación asimétrica para proteger sus archivos. Arquitectura y modelos de seguridad 31 El modelo de seguridad de la empresa (planes de evacuación, áreas señalizas, divulgación del comité de emergencia, etc.) está vinculado a la visión y misión de la empresa. 32 El comité de emergencia actúa según la misión y la visión de la empresa. 33 Hay capacitaciones programadas para el mejoramiento de la seguridad de la organización. 34 Equipos semanalmente actualizados con las últimas definiciones disponibles. 35 Los documentos son clasificados en función de la sensibilidad de su información. 36 Los controles de monitoreo están debidamente aplicados a la seguridad de la red establecidos según la organización. Seguridad de las operaciones 37 Todos los empleados cuentan con el equipo y herramientas adecuadas necesarias para realizar sus tareas dentro de la empresa de forma segura.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 5 38 Se cuenta con toda la documentación de los procesos y manuales de funciones actualizadas. 39 Todo el empleado nuevo que se incorporan a la empresa pasa por un adecuado y proceso de inducción. 40 Todos los usuarios tienen un rol bien definido en el sistema. 41 Se cuenta con un correcto manejo de transacciones y nunca quedan transacciones inconsistentes o incompletas. 42 se garantiza que cada usuario tiene acceso únicamente a los sistema, módulos y opciones a los cuales tienen derechos en virtud de sus funciones dentro de la empresa. Planeamiento de continuidad del negocio 43 Los empleados cuentan con el empoderamiento necesario para tomar decisiones ante eventos que afecten al continuidad del negocio. 44 Los empleados están comprometidos. 45 Los empleados están comprometidos a adquirir nuevos conocimientos para hacer crecer la organización. 46 La empresa cuenta con planes de recuperación que garanticen la continuidad del negocio ante eventos extremos (Terremoto, Incendio, Inundación, etc.). 47 Los empleados conocen el plan de continuidad del negocio y saben cómo actuar ante un evento extremo (Terremoto, Incendio, Inundación, etc.). 48 Los procesos de la empresa que requieren alta disponibilidad están claramente identificados. Leyes, investigaciones y ética 49 La organización está comprometida a cuidar del medio ambiente y cuenta con certificaciones que la avalan. 50 Se promueven los valores en la empresa para mejor la calidad de vida de las personas. 51 Se innova en métodos y/o sistemas para mejorar la productividad. 52 Estamos seguros que la información no es divulgada ni filtrada bajo algún medio de la organización. 53 Las leyes establecidas para la organización están cumplidas debidamente. 54 El software utilizado por la empresa está debidamente licenciado. Seguridad física 55 Los empleados se sienten seguros en las instalaciones de la compañía. 56 Los empleados pueden realizar su trabajo sin que esto dañe o afecte su salud. 57 En la empresa se posee una cultura de seguridad física tanto para el empleado como para la información. 58 Cuenta la empresa con una infraestructura adecuada para el DataCenter. 59 Actualizaciones recientes instaladas frecuentemente a los servidores. 60 Ce cumplen los niveles temperatura establecidos según la organización para el DataCenter. Tabla 1. Cuestionario de Evaluación Situación de la Seguridad en Exportadora Pacas. 4.2 Aplicación de la Herramienta El cuestionario elaborado fue aplicado utilizando la escala Likert y puntajes siguientes: Muy de acuerdo = 5 puntos Algo de acuerdo = 4 puntos Ni en acuerdo ni en desacuerdo = 3 puntos Algo en desacuerdo = 2 Muy en desacuerdo = 1 Luego de realizar la evaluación, los resultados por dominio de seguridad de información se resumen en la tabla 2.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 6 Dominio Puntaje Obtenido Porcentaje con respecto al puntaje máximo Sistemas y metodologías para el control de acceso 26 87% Seguridad de las telecomunicaciones y redes 25 83% Prácticas de administración de seguridad 26 87% Seguridad en el desarrollo de aplicaciones y sistemas 24 80% Criptografía 18 60% Arquitectura y modelos de seguridad 26 87% Seguridad de las operaciones 27 90% Planeamiento de continuidad del negocio 22 73% Leyes, investigaciones y ética 23 77% Seguridad física 26 87% Total 243 81% Tabla 2. Resultados de la evaluación por dominio de seguridad de la información. Los resultados se muestran gráficamente en la figura 2. Se observa el menor puntaje en el dominio de Criptografía y el mejor puntaje en el dominio de Seguridad de las Operaciones Figura 2. Gráfico de los resultados obtenidos.
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 7 5 ORGANIGRAMAS 5.1 Organigrama de la Organización 5.2 Organigrama de la Gerencia de Seguridad de la Información
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 8 5.3 Mapa de procesos SGSI 5.4 Fichas de Procesos 5.4.1 Proceso Estratégico Nombre del Proceso: Gestión de la Documentación Ficha de proceso. Ficha ID: PE0001____ Tipo de proceso: Estratégico Apoyo Operativo Indicador del Proceso: Archivos almacenados Descripción : Se encarga de garantizar que todos los documentos que se manejan en los procesos se traten de la manera más segura posible, para evitar errores o fugas de información en su flujo de negocio. Responsable Técnico/ingeniero agrícola; Clientes del Proceso: - Dirección - Compras - Inventarios
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 9 Objetivo del proceso: Garantizar que los archivos electrónicos se almacenen de forma segura, que solo los usuarios autorizados tengan acceso, que se cuente con políticas de respaldo adecuadas, que se garantice la disponibilidad de los mismos, que no haya fugas de información o alteraciones de los mismos. Proveedores. Nombre Teléfono de contacto SLA (Si / No) <nombre del proveedor de licencias de Microsoft Excel> XXXX-XXXX Si Auditoria. Fecha de Creación. Fecha de Verificación. Fecha de Aprobación. 26-02-2015 26-02-2015 f/nombre: Boris Martínez 5.4.2 Proceso Operativo Nombre del Proceso: Monitoreo de Registro de los Datos. Ficha de proceso. Ficha ID: PO0001____ Tipo de proceso: Estratégico Apoyo Operativo Indicador del Proceso: Descripción : Proceso utilizado para evaluar los registros que el receptor recibe del técnico del campo, el cual sirve para evaluar activos y tomas de decisiones. Responsable Clientes del Proceso:
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 10 Objetivo del proceso: Es el monitoreo de los datos es el cuadre de la información digitada por el receptor versus la documentación manual del técnico de campo que recopila en rondas de la finca. Proveedores. Nombre Teléfono de contacto SLA (Si / No) Aldemaro Gonzalez + 503 7790-0990 Si Auditoria. Fecha de Creación. Fecha de Verificación. Fecha de Aprobación. 26-02-2015 26-02-2015 f/nombre:Luis Perez Figueroa 5.4.3 Proceso de Apoyo Nombre del Proceso: Auditoria de la Seguridad de la Información Ficha de proceso. Ficha ID: PA0001______ Tipo de proceso: Estratégico Apoyo Operativo Indicador del Proceso: Informes presentados. Descripción : Realizar evaluaciones trimestrales y cuando sea requerido por la alta Dirección a efecto de identificar riesgos, vulnerabilidades y la efectividad de la gestión de la seguridad de la información, utilizando herramientas previamente definidas, por lo que deberá realizar el programa de la Auditoria, plan de Auditoria, inicio de la Auditoria, revisión de la documentación, actividades de auditoría in situ, así como la preparación, aprobación y distribución del informe resultado de la visita y los respectivos seguimientos. Verificar la efectividad y eficiencia de los controles establecidos para asegurar la confidencialidad, disponibilidad e integridad de la información de la empresa Pacas, que incluye listas de control de acceso, bitácoras, configuraciones, procedimientos de respaldos y custodia de la información, planes de contingencia, controles de seguridad física,
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 11 autenticación, acceso, entre otros, teniendo como referencias la ISO 19011 Auditoria basada en procesos y la ISO/IEC 27002 controles de Gestión de la seguridad de la información. Herramientas: - Entrevistas - Cuestionarios - Software para análisis de vulnerabilidades - otros Características del Informe de auditoría: - Completo, conciso y claro. - Definir el objetivo de la auditoría - Definir el alcance - Fechas y lugares donde se realizó la auditoría - Metodología aplicada en la Auditoría - Hallazgos identificando conformidades y no conformidades - Conclusiones de la Auditoría. Responsable Ing. Celenia Evelyn Gonzalez Clientes del Proceso: Presidencia, Organización. Objetivo del proceso: Identificar debilidades, huecos de seguridad, que posibles atacantes puedan aprovechar para acceder a información poniendo en riesgo la confidencialidad, disponibilidad e integridad y comprometiendo económica y legalmente a la organización. Proveedores. Nombre Teléfono de contacto SLA (Si / No) Auditoria. Fecha de Creación. Fecha de Verificación. Fecha de Aprobación. 21-Febrero-2015 21-Febrero-2015 21-Febrero-2015 f/nombre: Ing. Eliseo Martínez
Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 12 6 CONCLUSIONES Luego del ejercicio de evaluación de la empresa Exportadora Pacas observamos un resultado mejor de lo que originalmente esperábamos en cuanto al nivel de madurez en seguridad de la información. La percepción original que tuvimos sobre el nivel de madurez de la empresa se basó principalmente en la falta de documentación al respecto, sin embargo observamos que muchas medidas de seguridad han sido implementadas y que existe conciencia sobre el tema de seguridad, por lo que la recomendación de mejora es realizar la documentación apropiada de todas las acciones que ya han sido realizadas para mejorar la seguridad de la información 7 BIBLIOGRAFIA  An Introduction to the Business Model for Information Security ISACA www.isaca.org  Los 10 dominios del (ISC)² CISSP CBK INFORC ECUADOR http://www.inforc.ec/los-10-dominios-del- isc%C2%B2-cissp-cbk/  Certificaciones Profesionales en Seguridad de la Información Ing. Reynaldo C. de la Fuente http://agesic.gub.uy/innovaportal/file/1065/1/Cer tificaciones_Profesionales_en_Seguridad_de_l a_Informacion.pdf  Certified Information Systems Security Professional Wikipedia http://es.wikipedia.org/wiki/Certified_Information _Systems_Security_Professional

Recomendados

Cobit
CobitCobit
CobitTu Bendicion
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Pame Andrade
 
Manual de luz redes
Manual de luz redesManual de luz redes
Manual de luz redesmaryluz54
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBITCarlos Chavez Monzón
 
La importancia del factor humano
La importancia del factor humanoLa importancia del factor humano
La importancia del factor humanoFabián Descalzo
 
Gestion riesgos mintic
Gestion riesgos minticGestion riesgos mintic
Gestion riesgos minticCristian Renne
 
Planificación de Sistemas de Información
Planificación de Sistemas de InformaciónPlanificación de Sistemas de Información
Planificación de Sistemas de InformaciónEnrique Barreiro
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)joselynf
 

Recomendados

Cobit
CobitCobit
CobitTu Bendicion
 
Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Auditoria informatica cobit 4.0
Auditoria informatica cobit 4.0Pame Andrade
 
Manual de luz redes
Manual de luz redesManual de luz redes
Manual de luz redesmaryluz54
 
Aplicaci{on COBIT
Aplicaci{on COBITAplicaci{on COBIT
Aplicaci{on COBITCarlos Chavez Monzón
 
La importancia del factor humano
La importancia del factor humanoLa importancia del factor humano
La importancia del factor humanoFabián Descalzo
 
Gestion riesgos mintic
Gestion riesgos minticGestion riesgos mintic
Gestion riesgos minticCristian Renne
 
Planificación de Sistemas de Información
Planificación de Sistemas de InformaciónPlanificación de Sistemas de Información
Planificación de Sistemas de InformaciónEnrique Barreiro
 
Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)Mag parte viii auditoria informatica (1)
Mag parte viii auditoria informatica (1)joselynf
 
gestión de procesos industriales
gestión de procesos industriales gestión de procesos industriales
gestión de procesos industriales Lili Borbor
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesosliliana_freire
 
Mapa de procesos liceo de los andes 2014
Mapa de procesos liceo de los andes 2014Mapa de procesos liceo de los andes 2014
Mapa de procesos liceo de los andes 2014Jose Rodriguez
 
Actividad nro 2 mapa de procesos
Actividad nro 2 mapa de procesosActividad nro 2 mapa de procesos
Actividad nro 2 mapa de procesos20donatozg
 
Diagrama mapa de procesos articulación con la media
Diagrama mapa de procesos articulación con la mediaDiagrama mapa de procesos articulación con la media
Diagrama mapa de procesos articulación con la mediayamogra
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesosUniversidad Tecnológica del Peru
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónUniversidad de Los Andes (ULA)
 
Mapa procesos version 3
Mapa procesos version 3Mapa procesos version 3
Mapa procesos version 3Jose Aldemar Marín Londoño
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Mapa Procesos
Mapa ProcesosMapa Procesos
Mapa ProcesosIvan Sanchez
 
Logística y Distribución
Logística y DistribuciónLogística y Distribución
Logística y DistribuciónJuan Carlos Fernández
 
Organización de Procesos y Procedimiento
Organización de Procesos y ProcedimientoOrganización de Procesos y Procedimiento
Organización de Procesos y ProcedimientoLenin Quilisimba
 
MAPA DE PROCESOS
MAPA DE PROCESOSMAPA DE PROCESOS
MAPA DE PROCESOSsamespinosa
 
Mapa de procesos logístico
Mapa de procesos logístico Mapa de procesos logístico
Mapa de procesos logístico Aleksis Pérez Torres
 
Guía para realizar mapa de Procesos
Guía para realizar mapa de ProcesosGuía para realizar mapa de Procesos
Guía para realizar mapa de ProcesosDaniel Remondegui
 
EJEMPLOS MAPA DE PROCESOS
EJEMPLOS MAPA DE PROCESOSEJEMPLOS MAPA DE PROCESOS
EJEMPLOS MAPA DE PROCESOSEdison Dominguez
 
Importancia de la Seguridad Informática
Importancia de la Seguridad InformáticaImportancia de la Seguridad Informática
Importancia de la Seguridad InformáticaTita Mazorra Granja
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesososcarreyesnova
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesosIsrael Rey
 
Logistica y Distribucion
Logistica y DistribucionLogistica y Distribucion
Logistica y DistribucionJessySanchez
 
Barrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticaBarrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticayustinos
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 

Más contenido relacionado

Destacado

gestión de procesos industriales
gestión de procesos industriales gestión de procesos industriales
gestión de procesos industriales Lili Borbor
 
Mapa de procesos liceo de los andes 2014
Mapa de procesos liceo de los andes 2014Mapa de procesos liceo de los andes 2014
Mapa de procesos liceo de los andes 2014Jose Rodriguez
 
Actividad nro 2 mapa de procesos
Actividad nro 2 mapa de procesosActividad nro 2 mapa de procesos
Actividad nro 2 mapa de procesos20donatozg
 
Diagrama mapa de procesos articulación con la media
Diagrama mapa de procesos articulación con la mediaDiagrama mapa de procesos articulación con la media
Diagrama mapa de procesos articulación con la mediayamogra
 
Organización de Procesos y Procedimiento
Organización de Procesos y ProcedimientoOrganización de Procesos y Procedimiento
Organización de Procesos y ProcedimientoLenin Quilisimba
 
MAPA DE PROCESOS
MAPA DE PROCESOSMAPA DE PROCESOS
MAPA DE PROCESOSsamespinosa
 
Guía para realizar mapa de Procesos
Guía para realizar mapa de ProcesosGuía para realizar mapa de Procesos
Guía para realizar mapa de ProcesosDaniel Remondegui
 
Importancia de la Seguridad Informática
Importancia de la Seguridad InformáticaImportancia de la Seguridad Informática
Importancia de la Seguridad InformáticaTita Mazorra Granja
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesosIsrael Rey
 
Logistica y Distribucion
Logistica y DistribucionLogistica y Distribucion
Logistica y DistribucionJessySanchez
 

Destacado (20)

gestión de procesos industriales
gestión de procesos industriales gestión de procesos industriales
gestión de procesos industriales
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesos
 
Mapa de procesos liceo de los andes 2014
Mapa de procesos liceo de los andes 2014Mapa de procesos liceo de los andes 2014
Mapa de procesos liceo de los andes 2014
 
Actividad nro 2 mapa de procesos
Actividad nro 2 mapa de procesosActividad nro 2 mapa de procesos
Actividad nro 2 mapa de procesos
 
Diagrama mapa de procesos articulación con la media
Diagrama mapa de procesos articulación con la mediaDiagrama mapa de procesos articulación con la media
Diagrama mapa de procesos articulación con la media
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesos
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Mapa procesos version 3
Mapa procesos version 3Mapa procesos version 3
Mapa procesos version 3
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Mapa Procesos
Mapa ProcesosMapa Procesos
Mapa Procesos
 
Logística y Distribución
Logística y DistribuciónLogística y Distribución
Logística y Distribución
 
Organización de Procesos y Procedimiento
Organización de Procesos y ProcedimientoOrganización de Procesos y Procedimiento
Organización de Procesos y Procedimiento
 
MAPA DE PROCESOS
MAPA DE PROCESOSMAPA DE PROCESOS
MAPA DE PROCESOS
 
Mapa de procesos logístico
Mapa de procesos logístico Mapa de procesos logístico
Mapa de procesos logístico
 
Guía para realizar mapa de Procesos
Guía para realizar mapa de ProcesosGuía para realizar mapa de Procesos
Guía para realizar mapa de Procesos
 
EJEMPLOS MAPA DE PROCESOS
EJEMPLOS MAPA DE PROCESOSEJEMPLOS MAPA DE PROCESOS
EJEMPLOS MAPA DE PROCESOS
 
Importancia de la Seguridad Informática
Importancia de la Seguridad InformáticaImportancia de la Seguridad Informática
Importancia de la Seguridad Informática
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesos
 
Mapa de procesos
Mapa de procesosMapa de procesos
Mapa de procesos
 
Logistica y Distribucion
Logistica y DistribucionLogistica y Distribucion
Logistica y Distribucion
 

Similar a Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI para la empresa “Exportadora Pacas”

Barrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticaBarrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticayustinos
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridadLilian Ramirez
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en RedesBrian Piragauta
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoriakicwua
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La OrganizacionFabián Descalzo
 
Auditoria de Sistemas de Información 1.pptx
Auditoria de Sistemas de Información 1.pptxAuditoria de Sistemas de Información 1.pptx
Auditoria de Sistemas de Información 1.pptxEduardoManosalvas1
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacionislenagarcia
 

Similar a Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI para la empresa “Exportadora Pacas” (20)

Barrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticaBarrantes sistemas de gestion informatica
Barrantes sistemas de gestion informatica
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Politicas de seguridad
Politicas de seguridadPoliticas de seguridad
Politicas de seguridad
 
Proyecto Seguridad en Redes
Proyecto Seguridad en RedesProyecto Seguridad en Redes
Proyecto Seguridad en Redes
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Nancyauditoria
NancyauditoriaNancyauditoria
Nancyauditoria
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion
 
Auditoria de Sistemas de Información 1.pptx
Auditoria de Sistemas de Información 1.pptxAuditoria de Sistemas de Información 1.pptx
Auditoria de Sistemas de Información 1.pptx
 
Taller 3
Taller 3Taller 3
Taller 3
 
Taller 3
Taller 3Taller 3
Taller 3
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Angelica_Ojeda-Tarea1.docx
Angelica_Ojeda-Tarea1.docxAngelica_Ojeda-Tarea1.docx
Angelica_Ojeda-Tarea1.docx
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacion
 

Más de David Eliseo Martinez Castellanos

2015 en Desarrollo de Aplicaciones Móviles haciendo uso de Criptografía
2015 en Desarrollo de Aplicaciones Móviles haciendo uso de Criptografía2015 en Desarrollo de Aplicaciones Móviles haciendo uso de Criptografía
2015 en Desarrollo de Aplicaciones Móviles haciendo uso de CriptografíaDavid Eliseo Martinez Castellanos
 
GIS Services development using CloudEO platform data and Tools
GIS Services development using CloudEO platform data and ToolsGIS Services development using CloudEO platform data and Tools
GIS Services development using CloudEO platform data and ToolsDavid Eliseo Martinez Castellanos
 
Implementación de Algoritmos Criptográficos y de Digestión de Mensajes
Implementación de Algoritmos Criptográficos y de Digestión de MensajesImplementación de Algoritmos Criptográficos y de Digestión de Mensajes
Implementación de Algoritmos Criptográficos y de Digestión de MensajesDavid Eliseo Martinez Castellanos
 
Sistema de Control Escolar con Firma Digital de Calificaciones y Verificación...
Sistema de Control Escolar con Firma Digital de Calificaciones y Verificación...Sistema de Control Escolar con Firma Digital de Calificaciones y Verificación...
Sistema de Control Escolar con Firma Digital de Calificaciones y Verificación...David Eliseo Martinez Castellanos
 
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...David Eliseo Martinez Castellanos
 
ArcGIS Add-in Development In Python and C# for LIDAR Product Quality Control
ArcGIS Add-in Development In Python and C# for LIDAR Product Quality ControlArcGIS Add-in Development In Python and C# for LIDAR Product Quality Control
ArcGIS Add-in Development In Python and C# for LIDAR Product Quality ControlDavid Eliseo Martinez Castellanos
 
Desarrollo de la Estación de Trabajo para el Monitoreo Ambiental y Monitoreo ...
Desarrollo de la Estación de Trabajo para el Monitoreo Ambiental y Monitoreo ...Desarrollo de la Estación de Trabajo para el Monitoreo Ambiental y Monitoreo ...
Desarrollo de la Estación de Trabajo para el Monitoreo Ambiental y Monitoreo ...David Eliseo Martinez Castellanos
 
MARN Experience on the Development of Notification & Alert Systems
MARN Experience on the Development of Notification & Alert SystemsMARN Experience on the Development of Notification & Alert Systems
MARN Experience on the Development of Notification & Alert SystemsDavid Eliseo Martinez Castellanos
 

Más de David Eliseo Martinez Castellanos (15)

2015 en Desarrollo de Aplicaciones Móviles haciendo uso de Criptografía
2015 en Desarrollo de Aplicaciones Móviles haciendo uso de Criptografía2015 en Desarrollo de Aplicaciones Móviles haciendo uso de Criptografía
2015 en Desarrollo de Aplicaciones Móviles haciendo uso de Criptografía
 
2015 on Spatial Development (Personal Projects)
2015 on Spatial Development (Personal Projects)2015 on Spatial Development (Personal Projects)
2015 on Spatial Development (Personal Projects)
 
GIS Services development using CloudEO platform data and Tools
GIS Services development using CloudEO platform data and ToolsGIS Services development using CloudEO platform data and Tools
GIS Services development using CloudEO platform data and Tools
 
Air Quality Map
Air Quality MapAir Quality Map
Air Quality Map
 
Implementación de Algoritmos Criptográficos y de Digestión de Mensajes
Implementación de Algoritmos Criptográficos y de Digestión de MensajesImplementación de Algoritmos Criptográficos y de Digestión de Mensajes
Implementación de Algoritmos Criptográficos y de Digestión de Mensajes
 
Sistema de Control Escolar con Firma Digital de Calificaciones y Verificación...
Sistema de Control Escolar con Firma Digital de Calificaciones y Verificación...Sistema de Control Escolar con Firma Digital de Calificaciones y Verificación...
Sistema de Control Escolar con Firma Digital de Calificaciones y Verificación...
 
My Showcase
My ShowcaseMy Showcase
My Showcase
 
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
CRITERIOS DE SEGURIDAD EN UNA EMPRESA DE SERVICIOS DE VENTAS REGIONALES DE ED...
 
Monitoreo VSM - Apache Cordova Development
Monitoreo VSM - Apache Cordova DevelopmentMonitoreo VSM - Apache Cordova Development
Monitoreo VSM - Apache Cordova Development
 
Alertas @MARN.SV V2.0 Android App
Alertas @MARN.SV V2.0 Android AppAlertas @MARN.SV V2.0 Android App
Alertas @MARN.SV V2.0 Android App
 
ArcGIS Add-in Development In Python and C# for LIDAR Product Quality Control
ArcGIS Add-in Development In Python and C# for LIDAR Product Quality ControlArcGIS Add-in Development In Python and C# for LIDAR Product Quality Control
ArcGIS Add-in Development In Python and C# for LIDAR Product Quality Control
 
Desarrollo de la Estación de Trabajo para el Monitoreo Ambiental y Monitoreo ...
Desarrollo de la Estación de Trabajo para el Monitoreo Ambiental y Monitoreo ...Desarrollo de la Estación de Trabajo para el Monitoreo Ambiental y Monitoreo ...
Desarrollo de la Estación de Trabajo para el Monitoreo Ambiental y Monitoreo ...
 
Towards A Drought Monitoring System for El Salvador
Towards A Drought Monitoring System for El SalvadorTowards A Drought Monitoring System for El Salvador
Towards A Drought Monitoring System for El Salvador
 
Weather Hazard Mobile Application
Weather Hazard Mobile ApplicationWeather Hazard Mobile Application
Weather Hazard Mobile Application
 
MARN Experience on the Development of Notification & Alert Systems
MARN Experience on the Development of Notification & Alert SystemsMARN Experience on the Development of Notification & Alert Systems
MARN Experience on the Development of Notification & Alert Systems
 

Último

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 

Último (20)

El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 

Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI para la empresa “Exportadora Pacas”

  • 1. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 1 Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI para la empresa “Exportadora Pacas” Yanira Elizabeth Ascencio García e-mail: ascencio80@gmail.com Cecilia Verónica Cáceres Contreras e-mail: cecivec9@gmail.com Celenia Evelyn González de Alvarenga e-mail: cegalvarenga@gmail.com David Eliseo Martínez Castellanos e-mail: eliseo.martinez@gmail.com Boris Alexander Martínez Díaz e-mail: bmartinezdiaz@gmail.com Luis Ernesto Pérez Figueroa e-mail: lepf_luis@msn.com RESUMEN: Este es un caso de estudio el cual se elaboró para la “Exportadora Pacas” usando el modelo del BMIS y los diez dominios para la seguridad en base a estos métodos se efectuó una evaluación diagnostica de la seguridad de la empresa el cual nos demostró el porcentaje obtenido en su seguridad e identificar aquellas que algún déficit con el fin de trabajarlas y mejorar su calidad. También fue elaborado el mapa de proceso basado en seguridad con el fin de poder documentar el proceso de la organización en seguridad así como el organigrama de esta PALABRAS CLAVE: BMIS, Dominio de seguridad, procesos y fichas. 1 INTRODUCCIÓN El presente trabajo comprende el diseño de una herramienta de evaluación diagnostica del estado de la seguridad en la empresa “Exportadora Pacas” y el diseño de un mapa de procesos para la implementación de un Sistema de Gestión de la Seguridad de La Información. Ambas herramientas se basan en la integración de conceptos de seguridad provenientes de los 10 Dominios de Seguridad del CBK y del Modelo de Negocio para la Seguridad de la Información (BMIS, por sus siglas en inglés). Se incluye la especificación de 3 procesos a través de sus respectivas fichas de proceso y el resultado de la aplicación de la herramienta de evaluación. Todos estos aspectos mencionados son muy importantes para la organización ya que en la seguridad de la información se debe de tener la integridad, disponibilidad y confidencialidad. 2 PROBLEMA 2.1 DELIMITACIÓN Y PLANTEAMIENTO DEL PROBLEMA Con la presente investigación se pretende definir procesos de seguridad, a través de un mapa de procesos, el cual es una forma gráfica de visualizar la gestión de la seguridad de la información en la Exportadora Pacas. El mapa de procesos permite obtener una vista simplificada de cómo fluye la información a través de todas las áreas funcionales de la empresa identificando los puntos más críticos y vulnerables de la misma. Gracias a esto se pueden empezar a definir estrategias y planes de contingencia que vayan encaminadas salvaguardar la información cuidando sus principios básicos como son: Integridad, Disponibilidad y Confidencialidad. Ficha de proceso Para el presente estudio se han tomado 3 procesos que consideramos claves para elaborar un detalle de los mismos con el fin de identificar más a fondo los riesgos inherentes concernientes a la seguridad de la información. Se presentaran tres fichas de procesos las cuales son: - Gestión de la Documentación - Monitorear el Registro de Datos - Auditoria de la información Cuestionario de evaluación. También elaboraremos una guía metodológica basada en las 10 preguntas de Dominio para identificar el estado actual de la seguridad de la información de nuestra empresa de estudio. Exportadora PACAS se dedican al cultivo y procesamiento del café y su exportación fue fundada en 1991 y ha tenido un crecimiento constante desde esa fecha hasta la actualidad, debido a este crecimiento se ha tomado conciencia cada vez más, de lo importante que es
  • 2. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 2 mantener una adecuada gestión de la información ya que es una activo valioso que hoy por hoy, no están resguardando de la mejor forma basado en estándares y mejores prácticas reconocidas internacionalmente. La empresa está invirtiendo en tecnología, pero al crecer y querer convertirse en la mejor exportadora de café, identifican que uno de sus Activos más valiosos que es la Información no se ha efectuado el tratamiento adecuado en cuanto a Seguridad. Por lo cual se considera oportuno contratar un servicio de consultoría de Gestión de la Seguridad de la Información para que le ayude a minimizar riesgos potenciales, identificar y mitigar vulnerabilidades y establece procesos y procedimientos para el adecuado tratamiento de la información. 2.2 JUSTIFICACIÓN DEL PROYECTO Para determinar el grado de madurez de la Gestión de la Seguridad de la Información (GSI), en la organización analizada “Exportadora Pacas” en el caso de estudio, se ha realizado un análisis. Se ha utilizado como herramientas los 10 dominios de CBK por sus siglas en Ingles (Common Body of Knowledge) y BMIS por sus siglas en inglés (Business Model for Information Security) para elaborar una guía de autoevaluación. Este documento permitirá identificar más claramente de forma cuantitativa y cualitativamente la madurez de la organización en cuanto la GSI con la tabulación de los resultados de la guía de autoevaluación y la elaboración de un mapa de procesos de las actividades que involucran a la GSI además de un organigrama propuesto para el área GSI dentro de la organización sujeta de estudio. 2.3 OBJETIVOS 2.3.1 Objetivo General Desarrollar un diagnóstico de la situación actual de la Gestión de la Seguridad de la Información basada en los dominios, tabular los resultados y cuantificarlos; así como elaborar un mapa de procesos referente a cómo debe estar enfocado un adecuado manejo de la información para la empresa Exportadora Pacas. 2.3.2 Objetivos Específicos 1) Elaborar una matriz de dominio de la información con al menos 5 preguntas por dominio y ponderar cada posible respuesta. 2) Luego de elaborar la matriz de domino, se deberá pasara a cada una de las personas que tienen que ver con el tema de la seguridad de la información, para que anoten sus consideraciones respecto del tema. 3) Obtener un resultado cuantificable de las respuestas de los encuestados, lo cual determinará de una forma clara y objetiva la situación actual se seguridad de la información vista desde dentro de la organización. 4) Elaborar un diagrama de mapa de procesos, en el cual se identifiquen los procesos y/o sub-procesos Críticos, Operacionales y de Apoyo correspondientes a la seguridad de la información y presentar a la Dirección de la empresa para tomar medidas de acción. 5) Con base a los procesos definidos o identificados de seguridad de la información, preparar las fichas correspondientes de los principales procesos. 3 MARCO TEORICO DE LA INVESTIGACIÓN 3.1 Dominios de la Seguridad Informática 1. Prácticas de Gestión de la Seguridad: Identificación de los activos de una organización y desarrollo, documentación e implementación de políticas, estándares, procedimientos y guías. 2. Arquitectura y Modelos de Seguridad: Conceptos, principios, estructuras y estándares empleados para diseñar, monitorizar y asegurar sistemas, equipos, redes, aplicaciones y controles usados para reforzar los diversos niveles de la disponibilidad, integridad y confidencialidad. 3. Sistemas y Metodología de Control de Acceso: Conjunto de mecanismos que permiten crear una arquitectura segura para proteger los activos de los sistemas de información. 4. Seguridad en el Desarrollo de Aplicaciones y Sistemas: Define el entorno donde se diseña y desarrolla el software y engloba la importancia crítica del software dentro de la seguridad de los sistemas de información. 5. Seguridad de las Operaciones: Usado para identificar los controles sobre el hardware, medios y los operadores y administrador con privilegios de acceso a algún tipo de recurso. 6. Criptografía: Los principios, medios y métodos de protección de la información para asegurar su integridad, confidencialidad y autenticidad. 7. Seguridad Física: Técnicas de protección de instalaciones, incluyendo los recursos de los sistemas de información. 8. Seguridad en Internet, Redes y Telecomunicaciones: Incluye los dispositivos de la red, los métodos de transmisión, formatos de transporte, medidas de seguridad y autenticación. 9. Recuperación ante Desastres y Planificación de la Continuidad del Negocio: Dirige la preservación del negocio en el caso de producirse situaciones de parada para la restauración de las operaciones. 10. Leyes, investigaciones y Ética: Engloba las leyes y regulaciones de los crímenes informáticos, las técnicas y medidas de investigación, recuperación de evidencias y códigos éticos.
  • 3. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 3 3.2 Modelo de Negocios Para la Seguridad Informática Los cuatro elementos del modelo son: 1. Diseño organizacional y estrategia: Una organización es una red de personas, bienes y procesos interactuando entre sí con un rol definido y trabajando por una meta común. La estrategia de una empresa especifica sus metas y objetivos así como los valores y misiones a perseguir. Es su fórmula empresarial para el éxito. La estrategia debe adaptarse a factores internos como externos. El diseño establece cómo la organización implementa su estrategia. 2. Personas: Este elemento representa el recurso humano y los problemas de seguridad que los rodean. 3. Procesos: Incluye los mecanismos formales e informales de realizar el trabajo y provee un enlace vital a todas las interconexiones dinámicas. 4. Tecnología: El elemento de tecnología está compuesto por las herramientas, aplicaciones e infraestructura que hacen que los procesos sean más eficientes. Las interconexiones dinámicas son: 1. Gobernanza: Gobernanza es la dirección de la empresa y demanda liderazgo estratégico, se asegura que los objetivos de la empresa son determinados y definidos, asegurándose que los riesgos son manejados apropiadamente y asegurándose que los recursos empresariales son utilizados responsablemente. 2. Cultura: Es un patrón de comportamientos, creencias, asunciones, actitudes y formas de hacer las cosas. La cultura influye considerablemente en qué se considera información, cómo es interpretada y qué se hará con ella. 3. Habilitación y Soporte: Interconecta los elementos de tecnología y proceso. Políticas, estándares y guías deben diseñarse para soportar las necesidades de negocio reduciendo o eliminando los conflictos de interés, permaneciendo flexibles a cambios en los objetivos de negocio y siendo aceptables y fáciles de seguir para las personas. 4. Surgimiento: Se refiere a los patrones que surgen en la vida de la empresa y que aparentemente no tienen una causa obvia y cuyos efectos parecen imposibles de predecir y controlar. 5. Factor humano: Representa la interacción y la brecha entre tecnología y personas y como tal, es crítico a un programa de seguridad de la información. 6. Arquitectura: La infraestructura de seguridad es una encapsulación comprensiva y formal de las personas, procesos, políticas y tecnología que conforman las prácticas de seguridad empresariales. 4 DESARROLLO DEL CASO 4.1 Diseño de la Herramienta de Autoevaluación La herramienta de autoevaluación se diseñó sobre la base de los 10 dominios de la Seguridad Informática, los elementos e interconexiones dinámicas del Modelo de Negocios para la Seguridad Informática (BMIS). El resultado fue un cuestionario que implementa la escala Likert para evaluaciones psicométricas. La Tabla 1 muestra las preguntas que conforman el cuestionario diseñado No. Pregunta Sistemas y metodologías para el control de acceso 1 En nuestra empresa el acceso a personas no autorizadas está restringido. 2 En nuestra empresa las áreas restringidas están debidamente señalizadas. 3 En nuestra empresa se lleva un registro del ingreso de los visitantes. 4 El diseño organizacional de la empresa considera metodologías de control de acceso. 5 El control de acceso es parte de la cultura organizacional de la empresa. 6 Los procesos de la empresa se realizan de forma óptima a pesar de los controles de acceso. Seguridad de las telecomunicaciones y redes 7 La empresa posee una cultura de confidencialidad en las comunicaciones. 8 Los empleados se encuentran comprometidos con la confidencialidad de la información de la empresa. 9 La empresa cuenta con tecnología de comunicaciones seguras. 10 La empresa cuenta con políticas normalizadas de telecomunicaciones y redes. 11 Los usuarios de los servicios de red conocen las normas de telecomunicaciones y redes.
  • 4. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 4 12 La empresa cuenta con adecuados mecanismos de recuperación en caso de fallas en los servicios de comunicaciones y redes. Prácticas de administración de seguridad 13 Las políticas de seguridad esta divulgadas y son respetadas por nuestros empleados cumpliendo con nuestro valor de integridad. 14 la empresa tiene estratificada las áreas de acceso con medidas de seguridad que impiden que personal no autorizado ingrese a dichas áreas. 15 la seguridad de la organización es debidamente promovida a los empleados . 16 Todos los usuarios cambian las contraseñas de red por lo menos 1 vez al mes. 17 se hacen respaldos de los sistemas críticos todos de la compañía todos los días incremental y una vez a la semana completo. 18 Siempre se hacen pruebas de restauración de cada respaldo. Seguridad en el desarrollo de aplicaciones y sistemas 19 Se considera que existe concientización al personal sobre el cumplimiento de los procesos de desarrollo asignados. 20 Se puede afirmar que los procesos de desarrollo de aplicaciones apoyan la estrategia de la empresa. 21 Se considera que los programadores muestran un comportamiento y actitudes de acuerdo con los valores de la empresa. 22 Se garantiza que la empresa aplica una adecuada metodología para el desarrollo de aplicaciones y sistemas. 23 En nuestra empresa antes de poner en producción un aplicativo o sistema se ha realizado un exhaustivo control de calidad del mismo con base a las mejores prácticas. 24 En la empresa únicamente los programadores asignados tienen acceso a los programas fuentes respectivas. Criptografía 25 La información más crítica de la empresa se asegura con métodos especiales (criptográficos) para protegerla de amenazas. 26 Se utilizan técnicas especiales para salvaguardar los documentos críticos de la empresa, tales como formulas, recetas, planes de contingencia, experiencias, etc. 27 La información que se trasmite entre las diferentes fincas viaja de forma segura, aplicando métodos y técnicas de encriptación. 28 La empresa utiliza algún tipo de encriptación para proteger su información. 29 El tipo de encriptación que se usa para proteger la telefonía IP es el más adecuado. 30 La empresa utiliza el tipo de encriptación asimétrica para proteger sus archivos. Arquitectura y modelos de seguridad 31 El modelo de seguridad de la empresa (planes de evacuación, áreas señalizas, divulgación del comité de emergencia, etc.) está vinculado a la visión y misión de la empresa. 32 El comité de emergencia actúa según la misión y la visión de la empresa. 33 Hay capacitaciones programadas para el mejoramiento de la seguridad de la organización. 34 Equipos semanalmente actualizados con las últimas definiciones disponibles. 35 Los documentos son clasificados en función de la sensibilidad de su información. 36 Los controles de monitoreo están debidamente aplicados a la seguridad de la red establecidos según la organización. Seguridad de las operaciones 37 Todos los empleados cuentan con el equipo y herramientas adecuadas necesarias para realizar sus tareas dentro de la empresa de forma segura.
  • 5. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 5 38 Se cuenta con toda la documentación de los procesos y manuales de funciones actualizadas. 39 Todo el empleado nuevo que se incorporan a la empresa pasa por un adecuado y proceso de inducción. 40 Todos los usuarios tienen un rol bien definido en el sistema. 41 Se cuenta con un correcto manejo de transacciones y nunca quedan transacciones inconsistentes o incompletas. 42 se garantiza que cada usuario tiene acceso únicamente a los sistema, módulos y opciones a los cuales tienen derechos en virtud de sus funciones dentro de la empresa. Planeamiento de continuidad del negocio 43 Los empleados cuentan con el empoderamiento necesario para tomar decisiones ante eventos que afecten al continuidad del negocio. 44 Los empleados están comprometidos. 45 Los empleados están comprometidos a adquirir nuevos conocimientos para hacer crecer la organización. 46 La empresa cuenta con planes de recuperación que garanticen la continuidad del negocio ante eventos extremos (Terremoto, Incendio, Inundación, etc.). 47 Los empleados conocen el plan de continuidad del negocio y saben cómo actuar ante un evento extremo (Terremoto, Incendio, Inundación, etc.). 48 Los procesos de la empresa que requieren alta disponibilidad están claramente identificados. Leyes, investigaciones y ética 49 La organización está comprometida a cuidar del medio ambiente y cuenta con certificaciones que la avalan. 50 Se promueven los valores en la empresa para mejor la calidad de vida de las personas. 51 Se innova en métodos y/o sistemas para mejorar la productividad. 52 Estamos seguros que la información no es divulgada ni filtrada bajo algún medio de la organización. 53 Las leyes establecidas para la organización están cumplidas debidamente. 54 El software utilizado por la empresa está debidamente licenciado. Seguridad física 55 Los empleados se sienten seguros en las instalaciones de la compañía. 56 Los empleados pueden realizar su trabajo sin que esto dañe o afecte su salud. 57 En la empresa se posee una cultura de seguridad física tanto para el empleado como para la información. 58 Cuenta la empresa con una infraestructura adecuada para el DataCenter. 59 Actualizaciones recientes instaladas frecuentemente a los servidores. 60 Ce cumplen los niveles temperatura establecidos según la organización para el DataCenter. Tabla 1. Cuestionario de Evaluación Situación de la Seguridad en Exportadora Pacas. 4.2 Aplicación de la Herramienta El cuestionario elaborado fue aplicado utilizando la escala Likert y puntajes siguientes: Muy de acuerdo = 5 puntos Algo de acuerdo = 4 puntos Ni en acuerdo ni en desacuerdo = 3 puntos Algo en desacuerdo = 2 Muy en desacuerdo = 1 Luego de realizar la evaluación, los resultados por dominio de seguridad de información se resumen en la tabla 2.
  • 6. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 6 Dominio Puntaje Obtenido Porcentaje con respecto al puntaje máximo Sistemas y metodologías para el control de acceso 26 87% Seguridad de las telecomunicaciones y redes 25 83% Prácticas de administración de seguridad 26 87% Seguridad en el desarrollo de aplicaciones y sistemas 24 80% Criptografía 18 60% Arquitectura y modelos de seguridad 26 87% Seguridad de las operaciones 27 90% Planeamiento de continuidad del negocio 22 73% Leyes, investigaciones y ética 23 77% Seguridad física 26 87% Total 243 81% Tabla 2. Resultados de la evaluación por dominio de seguridad de la información. Los resultados se muestran gráficamente en la figura 2. Se observa el menor puntaje en el dominio de Criptografía y el mejor puntaje en el dominio de Seguridad de las Operaciones Figura 2. Gráfico de los resultados obtenidos.
  • 7. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 7 5 ORGANIGRAMAS 5.1 Organigrama de la Organización 5.2 Organigrama de la Gerencia de Seguridad de la Información
  • 8. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 8 5.3 Mapa de procesos SGSI 5.4 Fichas de Procesos 5.4.1 Proceso Estratégico Nombre del Proceso: Gestión de la Documentación Ficha de proceso. Ficha ID: PE0001____ Tipo de proceso: Estratégico Apoyo Operativo Indicador del Proceso: Archivos almacenados Descripción : Se encarga de garantizar que todos los documentos que se manejan en los procesos se traten de la manera más segura posible, para evitar errores o fugas de información en su flujo de negocio. Responsable Técnico/ingeniero agrícola; Clientes del Proceso: - Dirección - Compras - Inventarios
  • 9. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 9 Objetivo del proceso: Garantizar que los archivos electrónicos se almacenen de forma segura, que solo los usuarios autorizados tengan acceso, que se cuente con políticas de respaldo adecuadas, que se garantice la disponibilidad de los mismos, que no haya fugas de información o alteraciones de los mismos. Proveedores. Nombre Teléfono de contacto SLA (Si / No) <nombre del proveedor de licencias de Microsoft Excel> XXXX-XXXX Si Auditoria. Fecha de Creación. Fecha de Verificación. Fecha de Aprobación. 26-02-2015 26-02-2015 f/nombre: Boris Martínez 5.4.2 Proceso Operativo Nombre del Proceso: Monitoreo de Registro de los Datos. Ficha de proceso. Ficha ID: PO0001____ Tipo de proceso: Estratégico Apoyo Operativo Indicador del Proceso: Descripción : Proceso utilizado para evaluar los registros que el receptor recibe del técnico del campo, el cual sirve para evaluar activos y tomas de decisiones. Responsable Clientes del Proceso:
  • 10. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 10 Objetivo del proceso: Es el monitoreo de los datos es el cuadre de la información digitada por el receptor versus la documentación manual del técnico de campo que recopila en rondas de la finca. Proveedores. Nombre Teléfono de contacto SLA (Si / No) Aldemaro Gonzalez + 503 7790-0990 Si Auditoria. Fecha de Creación. Fecha de Verificación. Fecha de Aprobación. 26-02-2015 26-02-2015 f/nombre:Luis Perez Figueroa 5.4.3 Proceso de Apoyo Nombre del Proceso: Auditoria de la Seguridad de la Información Ficha de proceso. Ficha ID: PA0001______ Tipo de proceso: Estratégico Apoyo Operativo Indicador del Proceso: Informes presentados. Descripción : Realizar evaluaciones trimestrales y cuando sea requerido por la alta Dirección a efecto de identificar riesgos, vulnerabilidades y la efectividad de la gestión de la seguridad de la información, utilizando herramientas previamente definidas, por lo que deberá realizar el programa de la Auditoria, plan de Auditoria, inicio de la Auditoria, revisión de la documentación, actividades de auditoría in situ, así como la preparación, aprobación y distribución del informe resultado de la visita y los respectivos seguimientos. Verificar la efectividad y eficiencia de los controles establecidos para asegurar la confidencialidad, disponibilidad e integridad de la información de la empresa Pacas, que incluye listas de control de acceso, bitácoras, configuraciones, procedimientos de respaldos y custodia de la información, planes de contingencia, controles de seguridad física,
  • 11. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 11 autenticación, acceso, entre otros, teniendo como referencias la ISO 19011 Auditoria basada en procesos y la ISO/IEC 27002 controles de Gestión de la seguridad de la información. Herramientas: - Entrevistas - Cuestionarios - Software para análisis de vulnerabilidades - otros Características del Informe de auditoría: - Completo, conciso y claro. - Definir el objetivo de la auditoría - Definir el alcance - Fechas y lugares donde se realizó la auditoría - Metodología aplicada en la Auditoría - Hallazgos identificando conformidades y no conformidades - Conclusiones de la Auditoría. Responsable Ing. Celenia Evelyn Gonzalez Clientes del Proceso: Presidencia, Organización. Objetivo del proceso: Identificar debilidades, huecos de seguridad, que posibles atacantes puedan aprovechar para acceder a información poniendo en riesgo la confidencialidad, disponibilidad e integridad y comprometiendo económica y legalmente a la organización. Proveedores. Nombre Teléfono de contacto SLA (Si / No) Auditoria. Fecha de Creación. Fecha de Verificación. Fecha de Aprobación. 21-Febrero-2015 21-Febrero-2015 21-Febrero-2015 f/nombre: Ing. Eliseo Martínez
  • 12. Diseño de herramienta de evaluación de la seguridad de la información y mapa de procesos de SGSI. . 12 6 CONCLUSIONES Luego del ejercicio de evaluación de la empresa Exportadora Pacas observamos un resultado mejor de lo que originalmente esperábamos en cuanto al nivel de madurez en seguridad de la información. La percepción original que tuvimos sobre el nivel de madurez de la empresa se basó principalmente en la falta de documentación al respecto, sin embargo observamos que muchas medidas de seguridad han sido implementadas y que existe conciencia sobre el tema de seguridad, por lo que la recomendación de mejora es realizar la documentación apropiada de todas las acciones que ya han sido realizadas para mejorar la seguridad de la información 7 BIBLIOGRAFIA  An Introduction to the Business Model for Information Security ISACA www.isaca.org  Los 10 dominios del (ISC)² CISSP CBK INFORC ECUADOR http://www.inforc.ec/los-10-dominios-del- isc%C2%B2-cissp-cbk/  Certificaciones Profesionales en Seguridad de la Información Ing. Reynaldo C. de la Fuente http://agesic.gub.uy/innovaportal/file/1065/1/Cer tificaciones_Profesionales_en_Seguridad_de_l a_Informacion.pdf  Certified Information Systems Security Professional Wikipedia http://es.wikipedia.org/wiki/Certified_Information _Systems_Security_Professional