Plan de Mejora en Seguridad Empresa: Sigma Ingeniería S.A.
Integrante: Carlos Ariel Castaño Londoño
Especialización Virtual: Presentación Plan de compra de Softare !"ES#I$% & SE"'(I)A) E% *ASE )E )A#+S )A#+S , -ica: /0/11234
Fecha: Mani5ales6 Caldas 71,1/,71/8
#utor: Jonathan Quiceno Vargas Vargas
Introducción: En el siguiente plan de trabajo se ilustrarán con la metodóloga de magerit cuáles son los diferentes riesgos que inciden en los actios de la organización! además! de la estimación del grado de e"posición a que una amenaza se materialice en uno a más actios#
Cuerpo del tra9ajo: Informe: Anlisis plantilla IS+ 78117 $iguiendo con los puntos de la plantilla I$% &'((& como asesor de la empresa! primero debemos hacer un inentario de los actios de información! para luego saber cuál es la aloración de los diferentes riesgos a los cuales está e"puesto cada uno de los actios de la empresa ) conocer de qu* manera se podr+an aplicar las normas , metodolog+as de seguridad informática#
Para ello6 realice lo siguiente: -a norma I$% &'((& es una gu+a de buenas prácticas de seguridad de la información que no solo contempla la seguridad de sistemas de .I! sino que tambi*n considera los riesgos organizacionales! operacionales ) f+sicos de una empresa con todo lo que esto implica# Esta norma hace recomendaciones sobre el uso de /00 controles de seguridad diferentes aplicados en // áreas de control e"puestas en el archio 12lantilla3iso&'((&4# En el desarrollo! usted como administrador 567 deberá leer! analizar ) diligenciar la plantilla asignando alores de tal forma que reflejen la aplicación de los criterios e"puestos en la tabla / 18esultados de la auditor+a 1asumiendo que son los resultados e"tra+dos de una auditor+a realizada a la mencionada empresa:
.abla /: 8esultados de la auditoria
9na ez tenga diligenciada la plantilla! estudie la situación actual de la organización haciendo un análisis objetio donde e"ponga un plan de mejora enfatizando en aquellos dominios que considere son claes ) redundan en el cumplimiento de sus tareas como administrador de bases de datos# En lo posible seleccione una empresa que pueda isitar ) donde le permitan conocer de cerca la realidad en el manejo de los procesos#
Solución: 5. Política de seguridad 9. Seguridad física y del entorno 13. Gestión de incidentes de seguridad de la información 14. Gestión de la continuidad del negocio
35 63,84 5 6!
Medio Medio Medio Medio
.eniendo en cuanta los actios de información mencionados en el anterior plan de trabajo! seleccionaremos puntos clae en los cuales se enfatizarán sobre t*cnicas ) procesos para mejorar la seguridad; 2rimero amos a conocer los conceptos relacionados con el
Amena5a: Es la causa potencial de un da>o a un actio# ;ulnera9ilidad: 5ebilidad de un actio que puede ser aproechada por una amenaza# Impacto: consecuencias de que la amenaza ocurra# (iesgo intrínseco: cálculo del da>o probable a un actio si se encontrara desprotegido# Sal
Metodología de Magerit: ?agerit es una metodolog+a de análisis ) gestión de riesgos de los $istemas de Información elaborada por el @onsejo $uperior de 7dministración Electrónica para minimizar los riesgos de la implantación ) uso de las .ecnolog+as de la Información# @on base en eso podemos mencionar los siguientes actios de la información en la organización:
In
2ara realizar este tipo de inentarios podemos utilizar herramientas como 2I-78! los cuales contienen interfaces agiles! fáciles de utilizar ) proporcionar capacidades Atiles en nomas )a establecidas:
;aloración cuantitati
0# Enfoque detallado: @on este enfoque se consigue una idea mu) e"acta ) objetia de los riesgos a los que se enfrenta la organización# # Enfoque combinado: @on un enfoque de alto niel al principio! permite determinar cuáles son los actios en los que habrá que inertir más antes de utilizar muchos recursos en el análisis#
Identificar amena5as 9na ez identificado los actios de la organización podemos definir cuáles son las ulnerabilidades de los actios: 7tendiendo a su origen! e"isten dos tipos de amenazas:
E=ternas: Que son las causadas por alguien BhacCers! proeedores! clientes! etc#D o algo que no pertenece a la organización# Ejemplos de amenazas de este tipo son los irus ) las tormentas:
Internas: Estas amenazas son causadas por alguien que pertenece a la organización! por ejemplo! errores de usuario o errores de configuración#
@ualesquiera de estas amenazas ulnerar+an los puntos donde más se necesita control: 5. Política de seguridad 9. Seguridad física y del entorno 13. Gestión de incidentes de seguridad de la información 14. Gestión de la continuidad del negocio
35 63,84 5 6!
Medio Medio Medio Medio
%ormati
IS+ 78117 hace parte del conjunto de normas que conforman la serie I$%IE@ &'((( en las que se reAnen las mejores prácticas para desarrollar! implementar ) mantener sistemas de gestión de seguridad de información# -a norma I$% &'((& se compone de // dominios Bdel G al /GD! 0H objetios de control ) /00 controles; que están distribuidos como se obsera en la siguiente estructura:
7dmitiendo de esta forma certificar a la empresa en el cumplimiento de sus caracter+sticas marcadas en la norma# -os +tems que debe aumentar la seguridad con las estrategias son: Política de Seguridad
5ocumento de la pol+tica de seguridad de la información 8eisión de la pol+tica de seguridad de la información Seguridad física y del entorno
2er+metro de seguridad f+sica @ontroles de acceso f+sico $eguridad de oficinas! recintos e instalaciones 2rotección contra amenazas e"ternas ) ambientales .rabajo de áreas seguras reas de carga! entrega ) áreas pAblicas Gestión de incidentes de la seguridad de l a información
8eportando eentos de seguridad de la información 8eportando debilidades de seguridad 2rocedimientos ) responsabilidades -ecciones aprendidas 8ecolección de eidencia Gestión de la continuidad del negocio
Inclusión de seguridad de la información en el proceso de gestión de la continuidad del negocio @ontinuidad del negocio ) análisis del riesgo 5esarrollo e implementación de planes de continuidad inclu)endo seguridad de la información ?arco para la planeación de la continuidad del negocio 2rueba! mantenimiento ) reealuación de los planes de continuidad del negocio
Conclusión: Identificando los diferentes actios de la información ) analizando el impacto que tienen las diferentes amenazas segAn la categorización de la plantilla podemos determinar el impacto que puede generar en la organización si es riesgo llega a consumirse# @on base en lo anterior podemos es posible utilizar otras metodolog+as para implantar un <2lan de ?ejora en seguridad= en la organización ) que sean implantados con un buen $$I! algunos son:
• • • • • • • • • •
7nálisis holand*s 7K# @87??# E6I%$# I.,[email protected] B?anual de protección básica de .ID ?anual de $eguridad de .I 7ustriaco# ?78I%L O ?EM78I# ?*todos I$F para la ealuación ) gestión de riesgos# Lorma I$%IE@ I$ &'((G# %@.7VE# $2P((,0( LI$. 8isC ?anagement uide for Information .echnolog) $)stems#