Análisis de Seguridad de la información y alineamiento estratégico del SGSI

Universidad Don Bosco

Centro de estudios de Postgrado.

Fundamentos de la Seguridad de la Información.

Tema:

Análisis de Seguridad de la información y alineamiento estratégico del SGSI

Materia:

Fundamentos de la Seguridad Informática

Antiguo Cuscatlán, 27 de febrero de 2015

Contenido

Introducción i

Delimitación del tema 2

Justificación del proyecto 2

Objetivos del Proyecto 3

Objetivo general 3

Objetivos específicos 3

Marco de la investigación 3

Metodologías para evaluación de Seguridad Informática 3

CBK 3

Likert 4

SGSI basado en BMIS (Business Model for Information Security) 4

Evaluación de los 10 Dominios de la Seguridad Informática basado en Likert y BMIS 6

Mapa de Procesos 10

Procesos Estratégicos 11

Procesos Operativos 11

Procesos de Apoyo 12

Fichas de Procesos 12

Gestión de Proveedores - Proceso Estratégico 12

Monitoreo de Seguridad de la Base de Datos - Proceso Operativo 13

Gestión de Talento Humano - Proceso de Apoyo 14

Organigrama de Departamento de Seguridad Informática 16

Conclusión 17

Bibliografía 17

Introducción

La alta dirección en las organizaciones está evidenciando las graves repercusiones que puede tener la falta de una eficaz estrategia de seguridad de la información, ya que es un punto clave entre el fracaso o el éxito de la empresa. Es por esto que se necesita tener una mayor comprensión de la forma en que operan las tecnologías de la información y de cómo éstas ayudan a salvaguardar los activos más críticos de la empresa, aumentando la probabilidad de éxito en las empresas competitivas de una manera eficiente y segura.

La dirección ejecutiva, necesita ampliar el gobierno corporativo a TI y proporcionar el liderazgo, las estructuras organizativas y los procesos que garanticen que la seguridad de la información sostiene y propaga los objetivos de la empresa.

La seguridad de la información no es una disciplina aislada, sino debe ser parte integral del gobierno corporativo de la empresa. Los accionistas y las principales partes interesadas en la administración del negocio conforman un grupo cada vez más asertivo preocupado por la buena gestión de sus intereses, esto ha dado lugar a la aparición de los principios para el gobierno corporativo de las empresas.

Un sistema de gestión de la seguridad de la información basado en procesos y enfocado en el negocio es fundamental para el desarrollo de prácticas saludables de control y mecanismos para la supervisión y revisión de la administración de la seguridad.

Planteamiento del problema

En esta época de globalización en donde el acceso a la información está al alcance casi de cualquier persona, la gestión de Seguridad de los Sistemas de Información que nos permita resguardar la información sensible y los activos primordiales que dan la continuidad al negocio, es actualmente una de las principales preocupaciones de cualquier empresa u organización.

El proceso de implementación de un sistema de gestión de la información, es clave para que una organización sea competitiva y confiable ante sus clientes, proveedores, los empleados mismos de la empresa, etc. Para cualquier empresa, la única forma de mantenerse de manera competitiva, es ofrecer un compromiso serio con la calidad de sus procesos y con el manejo de la información tratando siempre de mantener la integridad confidencialidad y disponibilidad de la información. De hecho, cualquier organización, sin importar su tamaño o sector industrial, puede hacerse de un futuro efectivo en el mercado, utilizando un sistema de gestión de la información bien planeado y documentado.

Para que todos estos procesos se puedan realizar dentro de una empresa, las altas gerencias deben reconocer que el activo más preciado de sus instituciones está expuesto ante miles de amenazas que de un momento a otro pueden llegar a atacar sus vulnerabilidades si estas no están identificadas y protegidas. Si al materializarse un ataque debido a que no se logró visualizar con anticipación y mucho menos se logró crear una estrategia de gestión para manejar esos riesgos , la empresa perderá sin lugar a dudas el control de la información , su información estará expuesta ante cualquier ente que pueda hacer mal uso de ella y con esto dejaría de cumplir los principios antes mencionado de la información , algo que se convertirá en un costo monetario que la empresa deberá asumir , un impacto en su imagen , una pérdida de la continuidad de su negocio , en fin.

Hoy en día, una empresa que trabaje con cualquier tipo de entorno informático, desde pequeñas empresas con negocios no relacionados directamente con las nuevas tecnologías hasta grandes de ámbito internacional, está o debería estar preocupada por su seguridad. Y no es para menos pues si tomamos en cuenta el número de amenazas a los entornos informáticos y de comunicaciones crece casi exponencialmente año tras año alcanzando niveles inimaginables hace apenas un tiempo atrás.

Por todo lo anterior se debe reconocer la problemática de seguridad y la necesidad de la implementación de un sistema que nos ayude a gestionar la información en las empresas, estos esfuerzos deben ser reconocidos y apoyados por las altas gerencias en fin de encaminar políticas , inversiones , análisis de riesgos que abonen a garantizar la seguridad de la información. El objetivo de estas propuestas no es otro que el de ayudar a los directivos de las empresas a orientar, desde un punto de vista estratégico, la gestión en materia de Seguridad de la Información. Este nuevo enfoque permite, tal y como señalan los técnicos, planificar con antelación la protección de la empresa, entender las consecuencias y el coste económico de cada decisión y, sobretodo, poder afrontar las inversiones de forma comprensible y justificada.

Finalmente, para gestionar eficientemente la seguridad de la información se requiere que todos los miembros de la empresa como alta gerencia, administración del talento, operaciones y empleados en general tomen conciencia de la importancia de la seguridad de la información y su papel que juega en generar aportes de calidad y eficacia en los servicios críticos de la empresa.

Delimitación del tema

En el siguiente caso de estudio, se estructurará una alineación estratégica como primer elemento para la gobernanza de la seguridad de la información (SI), con lo cual nos dirigimos a una administración de la seguridad eficiente en todos los servicios y actividades; además, brindar valor al negocio al ser estratégicamente alineado con la visión de la empresa.

El gobierno corporativo es un conjunto de responsabilidades y las prácticas ejercidas por el equipo directivo y la gerencia ejecutiva, apoyará el gobierno SI con el propósito de ayudar a la dirección estratégica de la empresa a alcanzar los objetivos, verificará que los riesgos se están gestionando correctamente y que utilizan los sistemas con eficacia.

Justificación del proyecto

El Gobierno de Seguridad Informática es una parte del Gobierno Corporativo de las Organizaciones, esto es debido a que los aspectos de gobernanza de TI son transversales a toda la organización. En el entorno existen múltiples normas, estándares y mejores prácticas con propuestas relativas a la ejecución de gobierno de TI, el problema es que tanta disparidad de información con un elevado número de amenazas crecientes hace complicado tener una imagen simple de las fortalezas y debilidades de las organizaciones así como de los planes de acción estratégicos a ejecutar.

Por ello, el partir de las directrices estratégicas (Gobierno de SI), ayudará a determinar y seleccionar los métodos y estándares de Seguridad más aplicables para llevar a cabo la gestión y la operación de la Seguridad de TI en función de las necesidades de la organización. No entender los requerimientos claves de seguridad de la organización y empezar a implantar medidas de mucho detalle, conllevara costes elevados y resultados cuestionados.

Objetivos del Proyecto

Objetivo general

Establecer los principios y directrices que permitan diseñar un sistema de gestión de la seguridad basado en procesos, tomando en cuenta los 10 dominios de la seguridad (CBK) y el modelo de negocio para la Seguridad de la Información (BMIS), buscando la participación activa de todas las partes interesadas en el negocio.

Objetivos específicos

● Definir las estructuras necesarias para la implementación de un gobierno de la seguridad de la información.

● Generar una guía de autoanálisis sobre los 10 dominios de la seguridad de la información, que sea aplicable a los procesos de la empresa que abarcan los activos de información que se busca proteger.

● Definir los procesos utilizados para la gestión de la seguridad de la información en un mapa de procesos, clasificándolos según su relevancia para la organización.

Marco de la investigación

Metodologías para evaluación de Seguridad Informática

A fin de identificar los diferentes riesgos

...