Conceptos fundamentales de la gestión de riesgos en la información y modelo ISO 17799.

OBJETIVOS:

I.        Implementar un proyecto de cambio y mejora de procesos y protocolos de seguridad.

II.        Destacar los detalles importantes del proyecto y solucionarlos de forma ordenada con base en las mejores prácticas y estándares de la industria.

III.        Generar una transición ordenada y eficiente hacia los nuevos procesos.

PROCEDIMIENTO:

I.        Leer y comprender toda la teoría del curso modulo #1.

II.        Descargar los detalles de la evidencia #1 y ordenarlos en el presente reporte.

III.        De ser necesario investigare en fuentes confiables los temas que requieran mayor detalle y de no ser requerido hare referencia únicamente a la bibliografía del curso.

IV.        Comprender y resolver las actividades presentadas.

V.        Llenar el presente reporte y generar una conclusión de lo aprendido.

RESULTADOS:

Riesgos de seguridad de la información.

1.        Análisis de riesgos.

Riesgos de acceso. Ya que el modelo actual no cuenta con roles de usuario claramente establecidos, se pueden presentar violaciones de privacidad, ya que con un usuario y contraseña se tiene acceso a todos los módulos del sistema.

Riesgos de integridad. Al estar desarrollando un nuevo sistema informático se debe de garantizar la correcta migración desde el sistema previo hasta el nuevo sistema, para que los datos heredados sean identificados y tratados correctamente y de esta forma la base de datos no termine dañada o inservible.

2.         Herramientas de control de riesgos

Sistema de Gestión de riesgos PDCA. - nos permite establecer objetivos y definir el alcance de cada uno de ellos, implementa las acciones a tomar para obtener los resultados planteados, verifica constantemente que los resultados obtenidos estén alineados con los resultados esperados y por ultimo adopta acciones correctivas para garantizar la obtención de resultados esperados. De esta forma se inicia un ciclo de mejora continua.

Políticas. - La definición de políticas nos ayuda a transmitir como esperamos que se hagan las cosas para lograr el resultado deseado.

Estándares. - El establecimiento de estándares nos permite hacer saber el grado mínimo de calidad con el cual se aceptará un producto o servicio.

3.         Valoración de riesgos.

Para la siguiente valoración de riesgos deberemos desglosar el tipo y cantidad de activos con los que cuenta la empresa en cuestión, ya que se trata de una productora de equipo tecnológico supongo que se cuenta con maquinaria de última generación, software a la medida y secretos industriales de gran peso, así como personal altamente capacitado para la realización de pruebas y creación de nuevos productos.

Hardware. -

•        Equipo de cómputo de alto Performance. (Valuado en USD$5,000 cada estación de trabajo)

•        Nave de resguardo de información conformada por bahías de servidores (Valuado en USD$10,000 cada rack)

•        Maquinaria de manufactura para partes.

•        Laboratorios de investigación, desarrollo y pruebas.

•        Aviones de pruebas y centros de capacitación.

Software. -

•        Programas de seguridad, encriptación y prevención de robos.

•        Sistemas biométricos para seguridad de acceso físico.

•        Sistemas modeladores de información meteorológica y geográfica.

Datos. -

Siendo esta empresa una desarrolladora de tecnología la información que genera es del más alto valor, sería equivalente a la receta secreta de Coca-Cola.

•        Especificaciones de parte, medidas, pesos, materiales, etc.

•        Algoritmos de mapeo meteorológico y geográfico.

•        Tecnologías de identificación de cuerpos.

•        Bases de datos y experiencia obtenida a lo largo de la vida del negocio.

•        Proyectos nuevos.

Valoración cuantitativa. -

Obviamente reponer los equipos físicos de tecnología sería un esfuerzo enorme en cuanto a costos se refiere, obviamente no tengo idea ni de la magnitud ni de los requisitos que una empresa como esta requiere, por lo que me es imposible calcular el valor de este elemento, pero, sin saber el valor real de una instalación como esta creo firmemente en que sería de mayor valor monetario la perdida, robo, o destrucción de la información que genera una empresa de este tipo, no solo por las tecnologías y secretos industriales si no por la ventaja

competitiva que lleva desarrollar investigaciones propias. La pérdida de estos elementos podría llevar a la quiebra y desaparición de esta empresa, por lo que es de vital importancia mantenerlos resguardados e íntegros.

Valoración cualitativa. -

La pérdida de la ventaja competitiva sobre otras marcas podría provocar la incapacidad de desarrollar o mejora los productos de la empresa, volviéndose obsoleta e irrelevante.

La distribución de secretos industriales podría provocar el desarrollo de productos rivales de características similares, pero a menores precios por lo que se perdería participación en el mercado.

Al revelar estos mismos secretos se podría deducir el tipo de tecnología empleada en la detección de cuerpos y podrían surgir nuevos materiales o tecnologías para contrarrestarlos.

Norma ISO /IEC 27001 y 17799.

1.        Procedimientos y estándares propuestos en la norma ISO 17799.

Esta norma contempla 12 áreas específicas que la empresa deberá de observar para alcanzar un nivel de seguridad deseado, dentro de las acciones necesarios se encuentra el ASUMIR los riesgos actuales y clasificarlos de acuerdo al nivel de riesgo que representan, después, se deben de CONTROLAR estableciendo medidas o acciones para reducir el riesgo al mínimo, en este punto se busca ELIMINAR las amenazas cancelando u optimizando los procesos actuales que pudieran generar o permitir que se exploten estas amenazas y por último se TRANSFIERE la responsabilidad a un tercero especializado para reducir las oportunidades de error.

...