ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Actividad Implementación de normas en mi organización

dfbdiegoArgReseña11 de Octubre de 2016

2.511 Palabras (11 Páginas)308 Visitas

Página 1 de 11

ACTIVIDAD N° 6 IMPLEMENTACIÓN DE NORMAS EN MI ORGANIZACIÓN

Datos de la empresa

Nombre: Empresa Argentina de Navegación Aérea Sociedad Anónima (EANA S.A.)

Actividad principal: Gestión del Servicio Público de Navegación Aérea.

Actividades auxiliares: Gestión del tránsito aéreo (ATM); Servicios de Tránsito Aéreo (ATS); Servicios de Información Aeronáutica (AIS); Servicio de Comunicaciones Aeronáuticas (COM); Servicio de Búsqueda y Salvamento (SAR).

Área de implementación de un SGSI:

  • Gerencia de Sistemas, dependiente de la Gerencia de Área de Asuntos Corporativos, ubicada en Ezeiza, provincia de Buenos Aires.
  • Gerencia de Recursos Humanos, dependiente de la Gerencia General, ubicada en Florida 563 3° piso, CABA.

Cantidad de empleados: 900 personal operativo y 200 personal administrativo.

Desarrollo principal de la tarea: el sistema informático que parte de la filial ubicada en el Aeropuerto Ezeiza, es distribuido a todo el país, con el objeto de brindar información de las aeronaves para que los controladores aéreos realicen el control radar necesario para vectorear a las aeronaves hacia/desde sus destinos y en rutas de vuelo.

[pic 1]

TAREA A DESARROLLAR: Implementar normas de la familia ISO 27k en mi organización

Para la implementación de la ISO/IEC 27003 “Guía para la implementación de un SGSI” se han seguido los pasos correspondientes a la aplicación de dicha norma, a saber:

El  Objetivo  del  ISO 27003  es  proporcionar  orientación práctica en  el  desarrollo  del  plan  de implementación para un Sistema de Gestión de Seguridad de la Información, siguiendo los siguientes pasos:

  1. OBTENCIÓN DE LA APROBACIÓN DE LA DIRECCIÓN PARA LA IMPLEMENTACIÓN DE UN SGSI


Esta parte permitió que la alta gerencia de la empresa entendiera la importancia del proyecto y la necesidad del apoyo del recurso humano, factor vital para el inicio de la fase de recolección de información. Esta fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversión de una forma eficaz, haciéndoles entender que si una organización cumple con la normatividad sobre protección de datos sensibles, privacidad y control de TI, los resultados a futuro mejorarían de forma sustancial el impacto estratégico de la compañía, y aunque represente un gasto considerable, genera a futuro un Retorno de la Inversión (ROI – Return Over Investment) y una ganancia financiera, representados en incidentes o desastres durante el proceso de desarrollo de software.

  1. DEFINIR ALCANCE Y POLÍTICA DE UN SGSI


Por la complejidad de la implementación de la norma, se recomendó definir de manera sistemática el alcance del proyecto, en las áreas de Gerencia de Sistemas y Gerencia de Recursos Humanos de EANA S.A.


Cualquier otro proceso que la organización considere incluir dentro del SGSI es válido, lo que se recomienda es que la decisión de incluir más procesos sea con base en un análisis que en efecto sugiera la importancia de incluir dicho proceso, no se quiere hacer un SGSI muy robusto y poco efectivo, por el contrario, hacerlo lo más simple posible es una buena práctica, más aun cuando la organización empieza desde cero el desarrollo de estos Sistemas.

  1. REALIZAR UN ANÁLISIS DE LA ORGANIZACIÓN

a) Identificación de activos dentro del alcance del SGSI: se sugirió realizar un inventario de los activos para tener un control más riguroso de los mismos. Toda la información y activos asociados a los recursos para el tratamiento de la información, deberían tener un propietario y pertenecer a una parte designada de la Organización. 


Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar cuál era la situación actual de la Organización, se realizó un análisis de GAP, donde se puede apreciar que un 70% de los activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un porcentaje alto.

b) Evaluación de seguridad de la información en relación a los recursos humanos: Tuvo como objetivo evaluar si los empleados, contratistas y usuarios, entienden sus responsabilidades y son aptos para ejercer las funciones para las cuales fueron considerados, con el fin de reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

  1. EVALUACIÓN DEL RIESGO Y SELECCIÓN DE OPCIONES DE TRATAMIENTO DEL RIESGO

Se realizó una evaluación del riesgo sobre el proceso de Sistemas Informáticos y Recursos Humanos. Esta metodología permitió:

  • Identificar los riesgos
  • Analizar y evaluar los riesgos encontrados
  • Definir objetivos de Control y Controles para el tratamiento de riesgos
  • Proponer opciones para el tratamiento de riesgos


Asimismo, se realizó el análisis de las amenazas y vulnerabilidades, lo cual requirió las siguientes actividades:

  • Realizar una lista de las amenazas que puedan presentarse en forma accidental o intencional con relación a los activos de información; diferenciando estas amenazas de las vulnerabilidades de los activos, ya que el análisis debía radicar en las amenazas.
  • Identificar los riesgos internos de los procesos, analizando tanto las actividades que se desarrollan como las amenazas identificadas.
  • Identificar los riesgos externos de los procesos. Es necesario analizar los riesgos que se pueden presentar cuando se subcontrata un servicio o existe personal externo a la organización.
  • Realizar un análisis del ambiente organizacional, el ambiente tecnológico y los aspectos socioculturales que rodean la Organización, para definir las amenazas a las que pueden estar expuestos los activos. 
  1. DISEÑAR EL SGSI

Definir los requisitos de seguridad de la información para el proceso SGSI

  • Identificar los activos dentro de los límites de alcance del SGSI
  • Procesos / activos clasificación
  • Activos identificados
  • Realizar una evaluación de seguridad de la información
  • Estado de seguridad resumida de la organización

El diseño del SGSI, abarca todos los aspectos de planeación y trazado de la ruta a seguir para la implantación del SGSI en la organización, bajo la normativa en estudio. Se tuvieron en cuenta los siguientes aspectos a considerar en la etapa de diseño, según ISO 27003:

  • Diseño de las TIC y la seguridad de la información física
  • Plan de ejecución de los controles relacionados con las TIC y la seguridad física

-         Control del diseño del SGSI seguridad de la información específica

-         Plan de revisiones por la dirección

  • Lista de insumos para realizar revisión de la gestión
  • Procedimiento de revisión por la dirección incluye la auditoría, supervisión, aspectos de medición.
  • Formación sobre la seguridad de información de diseño y programa de educación
  • Materiales de capacitación en seguridad de información
  • Formación de capacitación en seguridad de información, incluidas las funciones y responsabilidades
  • Planes de seguridad de la educación sobre la información y la formación
  • Los registros de educación de seguridad de información y resultados de la formación
  • Producir el plan del proyecto SGSI definitivo
  • Plan de ejecución del proyecto SGSI definitivo.

Respecto a ISO/IEC 27004 “Métricas de seguridad de la información”, aporta la forma de llevar a cabo las mediciones para la implementación de un SGSI, según lo establece la ISO/IEC 27001.

El establecimiento de métricas con las que conocer el estado de la seguridad de EANA S.A., resulta fundamental en la implantación y mantenimiento de un SGSI, debiendo aparecer a la vez que se produce la implantación de éste. Este conocimiento del estado de la seguridad es importante en la toma de decisiones.

La publicación de la norma ISO 27004 es la prueba de que la medición y evolución del estado son elementos vitales que se comienzan a tener en cuenta. A día de hoy, es un aspecto poco desarrollado en la gestión y mejora de los SGSI.

Las métricas para ser efectivas deben:

  • Medir evolución de seguridad en el tiempo.
  • Estar asociadas con impactos financieros, y ser coherentes con los objetivos de seguridad implantados.
  • Ser objetivas e imparciales.
  • Ser predictivas, consistentes y relevantes para Organización y toma de decisiones.
  • Ser fuertes, confiables, defendibles y justificables.
  • Poder derivar acciones, ser fáciles de recolectar, definir, implementar e interpretar, y ser reproducibles.
  • Estar ligadas a los objetivos de negocio.
  • Estar expresadas en números cardinales o porcentajes, y detalladas con unidades de medida.

Beneficios y ventajas en el uso de métricas:

  • Mejor comprensión de riesgos y debilidades.
  • Medición del desempeño de los controles.
  • Apoyo a la toma de decisiones.
  • Control de la situación real de la seguridad de la información.
  • Apoyo a la racionalización de costes.
  • Mayor eficacia de los procesos y actividades de seguridad de la información, y actualización de tecnologías.
  • Identificación de problemas emergentes.
  • Verificación del cumplimiento de políticas y normativas.
  • Mostrar la evolución de la cultura de seguridad de la información.        

Alcance inicial:

  1. Ámbitos de aplicación:

  • Windows 2010 Server (Radares)
  • Sistema Indra S.A. (Fajas de progreso de vuelo)
  • Programa Sistema Meteorológico

 

  1. Limitaciones:

  • Funcionales: No todos los objetivos de control pueden ser automatizados.
  • Temporales: El número de objetivos de control que es posible automatizar en el margen temporal marcado es de diez.

Luego falta desarrollar (no lo realizo en este caso, ya que entiendo que no es el sentido del presente curso. Además, me resulta muy complicado realizarlo ya que me faltan datos para completar el trabajo):

  • Proceso de medición: el coste de implantación de una métrica debe ser proporcional al beneficio obtenido.
  • Cálculo del nivel de securización de la empresa
  • Clasificación del riesgo
  • Definición de controles: de acuerdo al ámbito de aplicación
  • Niveles de valoración
  • Establecer las herramientas de medición: en concordancia con los objetivos de control.
  • Resultados obtenidos
  • Conclusiones

Respecto a la ISO/IEC 27005 “Directrices para la gestión de riesgos de seguridad de la información”, implica el análisis de los riesgos asociados a nuestros activos de información. La importancia del Análisis de Riesgos deriva en que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.

...

Descargar como (para miembros actualizados) txt (17 Kb) pdf (168 Kb) docx (20 Kb)
Leer 10 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com