Este documento presenta la propuesta de diseñar el proceso para la sistematización de la gestión de riesgos de seguridad de la información en la red de la Universidad Centroccidental “Lisandro Alvarado”. El diseño del proceso se basa en las normas ISO 27001 e ISO 27005 y consta de 7 fases: determinar el contexto, identificar, analizar, evaluar, tratar, monitorear y revisar, y comunicar y consultar. El objetivo es definir el proceso de gestión de riesgos, describir sus fases y present
5. CAUSA
DEL PROBLEMA
PLANTEAMIENTO
Políticas quepermita controlar el uso o implementación delos
sistemas y servicios apoyados enla red.
Mecanismos para la adecuada gestión deriesgos deseguridad de la
información.
7. DISEÑO
COMPONENTES
PROCESO
INTERROGANTES
¿Cuál esel proceso actual de la Gestión de Riesgos de Seguridad de la
Informaciónen laRedUCLA?
1
¿Cuálesson los componentes necesariospara diseñarel proceso de
Sistematización de la Gestión de Riesgos de Seguridad de la Informaciónen la
RedUCLA?
¿Cómoseráel diseño del procesode sistematización?
2
3
8. Sistematizar la Gestión de Riesgos de
Seguridad de la información en la Red dela
Universidad Centroccidental “Lisandro
Alvarado”
GENERALDE LA INVESTIGACIÓN
OBJETIVO
9. 2
1
3
ESPECÍFICOS
OBJETIVOS
El procesoactualdela Gestión deRiesgosdeSeguridaddela Informaciónen la ReddelaUniversidad
Centroccidental“LisandroAlvarado”
DIAGNOSTICAR
Loscomponentesparadiseñarel procesoparalaSistematización de laGestión deRiesgosde
SeguridaddelaInformaciónen laReddela Universidad Centroccidental“LisandroAlvarado”
IDENTIFICAR
PRESENTAR
El diseñodel procesoparalaSistematizaciónde laGestión de Riesgos de Seguridadde la
Informaciónen la Redde la UniversidadCentroccidental“LisandroAlvarado”
12. ALCANCE
Presentar el diseño de la Sistematizaciónde la Gestión
de Riesgos de Seguridadde la Informaciónen la Red de
la Universidad“Lisandro Alvarado”
18. 11
5
MUESTRA POBLACIONAL
METODOLÓGICO
MARCO
Todos los empleados dela Universidad dela
Dirección de Telecomunicaciones
Profesoresexpertos en elárea de seguridad de la
información adscritoal DCYT-UCLA
MUESTRA INTENCIONAL
22. ANALÍSIS
Normasde SeguridadInformáticayde telecomunicacionesde la UCLAbasadaenla ISO/IEC
17799.
Lanorma contemplaregulaciónde losriesgos a nivel lógico.
ENTREVISTAS
Losplanes decontingenciasse basanen lasexperiencias delos administradores.
Los usuarios desconocenlos riesgos quepuedanimplicarel uso inadecuadode los servicios de la
red.
PERSONALDIRECTIVO
DE RESULTADOS
24. Item 6 Item 7 Item 8
57 %
86 % 86 %
43 %
14% 14 %
SI NO
ANALÍSIS
Activosde informática:
CUESTIONARIOS
DE RESULTADOS
25. % siempre % casi siempre % algunas veces % casi nunca % nunca
42 %
29 % 29 %
86 %
14 %
71 %
29 %
57 %
29 %
14 %
Infección por virus
Informático
Acceso no autorizado
Sustraccion de
informacion por
terceros
Perdida de información
por accidente
Negacion de servicio
ANALÍSIS
Incidentes deSeguridad:
CUESTIONARIOS
DE RESULTADOS
26. Base de datos Servidor de
base de datos
Servidor DNS Servidor
Proxy
Servidor de
Correo
Servidor Web Swiches Router Firewall Red de
comunicación
Telefonía
% Muy Bajo % Bajo % Medio % Alto % Muy Alto
ANALÍSIS
Disponibilidad:
CUESTIONARIOS
DE RESULTADOS
27. POLITICAS DE SEGURIDAD
GESTIÓN DE RIESGO
CONCLUSIONES
Las políticas de seguridad de la información sonde vital importancia para el
funcionamiento de la estructurade seguridad de las Organizaciones.
El análisis y gestión de riesgos, proporciona información de donde residen
los problemas actuales de seguridad de la información..
28. APLICAR TECNICAS
SEGURIDAD DE INFORMACIÓN
CONCLUSIONES
Las metodologías para el análisis de riesgos conllevan de unamanera
sistemática, a aplicar técnicas y métodos adecuados.
La seguridad de la información protege a la información desde tresaspectos
importantes: confidencialidad, integridad y disponibilidad.
29. IDENTIFICAR AMEZAS
MEDIDAS DE SEGURIDAD
CONCLUSIONES
Las medidas de seguridad para proteger la información deben serlógicas,
físicas, legales, organizativas.
Las valoraciones de riesgo permite identificar las amenazasque pueden
comprometer los activos.
36. PROPUESTA
OBJETIVO DE LA
PROPUESTA
2
General:
Diseñar el proceso para la sistematización de la gestión de
riesgos de seguridad de la información en la redde la
Universidad Centroccidental “Lisandro Alvarado”
DISEÑO DE LA
37. PROPUESTA
OBJETIVO DE LA
PROPUESTA
2
Específicos:
1.Definir el proceso degestión deriesgos deseguridad delainformación.
2.Describir lasfasesparael proceso de gestiónde riesgos de seguridadde lainformación
3. Presentar la Sistematización de la gestión de riesgos de seguridad de la información en la
red de laUniversidadCentroccidental “Lisandro Alvarado.
DISEÑO DE LA
38. PROPUESTA
DISEÑO DE LA
DESARROLLO DE LA
PROPUESTA
3
Fases delproceso degestión
deriesgos deseguridad de la
información
Gestión de Riesgos
39. PROPUESTA
FASESDE LA
4
Determinar el Contexto
Identificar
Analizar
Evaluar
Tratar
Monitorear y Revisar
Comunicary Consultar
FaseI:
FaseII:
FaseIII:
Fase IV:
FaseV:
FaseVI:
FaseVII:
40. IDENTIFICAR ANALIZAR EVALUAR TRATARDETERMINAR
EL CONTEXTO
FASE II FASE III FASE IV FASE VFASE I
PROPUESTA
DISEÑO DE LA
Definir
Alcance
Objetivos
Metodologías
41. ANALIZAR EVALUAR TRATARDETERMINAR
EL CONTEXTO
FASE III FASE IV FASE VFASE I
IDENTIFICAR
FASE II
PROPUESTA
DISEÑO DE LA
Identificación
Activos
Amenazas
Vulnerabilidades
42. IDENTIFICAR EVALUAR TRATARDETERMINAR
EL CONTEXTO
FASE II FASE IV FASE VFASE I
ANALIZAR
FASE III
PROPUESTA
DISEÑO DE LA
Valoración
Activos
Amenazas
Vulnerabilidades
45. PROPUESTA
DISEÑO DE LA
MONITOREAR Y REVISAR TODO EL PROCESO
ValoraciónDefinir
Alcance
Objetivos
Metodologías
Identificación
Vulnerabilidades Activos Amenazas
Decidir
Tratamiento
Tratar
Mitigar
Asumir
Transferir
Eliminar
COMUNICAR Y CONSULTAR
FASE VI
FASE VII
46. IDENTIFICAR ANALIZAR EVALUAR TRATARDETERMINAR
EL CONTEXTO
RIESGO
MONITOREAR Y REVISAR TODO EL PROCESO
ValoraciónDefinir
Alcance
Objetivos
Metodologías
Identificación
Vulnerabilidades Activos Amenazas
Decidir
Tratamiento
Tratar
Mitigar
Asumir
Transferir
Eliminar
COMUNICAR Y CONSULTAR
FASE II FASE III FASE IV FASE VFASE I
FASE VI
PROPUESTA
DISEÑO DE LA
FASE VII