Diagnostico del ambiente de Tecnologías de la información para el apoyo de los procesos operativos
estuardochaMonografía23 de Junio de 2019
4.789 Palabras (20 Páginas)105 Visitas
Diagnostico del ambiente de Tecnologías de la información para el apoyo de los procesos operativos
En primera instancia se desarrolla un diagnóstico del ambiente de Tecnologías de la información puesto que la mayoría de los procesos, todos los sistemas, ambiente de control automatizados y seguridad informática descansan tanto en la infraestructura tecnología como en las actividades de gobierno y control del área de informática. De esa cuenta vamos se realiza lo siguiente
- Considerar las mejores prácticas y adopción de estándares de seguridad informática que sirvan de fundamento para el desarrollo tanto del diagnóstico inicial como posterior de la implementación de la estrategia.
- Posterior al fundamento el desarrollo del diagnóstico se realizará en base a lo que se ha denominado Evaluación Continua del Riesgo, el cual considera en su fundamento como ya se ha mencionado las mejores prácticas y así también la evaluación de la madurez de los procesos. Esta evaluación se realiza conforme a lo descrito en los antecedentes del proyecto.
Adopción de Estándares de Seguridad Informática
A continuación, se presenta lo relacionado a considerar metodología y mejores prácticas que serán utilizadas no solamente para el desarrollo del diagnóstico inicial, sino que también en base a ellas y los resultados proponer la estrategia de mejora y remediación.
En relación con la adopción de estándares de Seguridad para el tratamiento de la información se realiza un análisis de las normas ISO Vigentes y aplicables
[pic 1]
ISO 27005 | |
Valores de 0 débil a 10 fuerte | |
Riesgo | 10 |
Amenazas | 6 |
vulnerabilidades | 5 |
Activos | 7 |
Impactos | 7 |
Circulo de Deming | 10 |
SGSI | 8 |
Personas | 10 |
Procesos | 9 |
Datos | 10 |
Objetos | 9 |
prevenir | 6 |
Detectar | 6 |
Responder | 7 |
Predecir | 6 |
Enlaces de Internet | 8 |
Perímetro de Red | 6 |
Red Interna | 7 |
Definir plan de gestión del Riesgo | 8 |
establecimiento del contexto | 10 |
Identificación del Riesgo | 10 |
Estimación del Riesgo | 10 |
Evaluación del Riesgo | 10 |
Tratamiento del Riesgo | 10 |
Aceptación del Riesgo | 10 |
Monitoreo y Revisión del Riesgo | 10 |
La gestión de los riesgos tecnológicos es importante porque las organizaciones al usar tecnología en su actividad diaria y como parte de sus procesos de negocio se encuentran expuestas a este tipo de riesgos. Por ello pueden afectar su actividad y ser fuentes de pérdidas y daños considerables. De lo anterior los planes de seguridad deben enfatizar en crear conciencia en seguridad para prevenir riesgos y buscar estrategias para obtener el apoyo de la alta dirección con el fin de cumplir con los objetivos y asegurar la información crítica, adicional la gestión adecuada de los riesgos permite evitar en gran medida la ocurrencia de incidentes y con ello evitar la activación de planes de continuidad.
- Seguridad de las Comunicaciones: Protección contra una amenaza a la infraestructura técnica de un sistema cibernético que pueda conducir a una alteración de sus características para llevar a cabo actividades no previstas por sus propietarios, diseñadores o usuarios.[pic 2]
- Seguridad de las operaciones: Protección contra la corrupción prevista de procedimientos o flujos de trabajo que tendrán resultados que no fueron intencionados por sus propietarios, diseñadores o usuarios.
- Seguridad de la Información: Protección contra la amenaza de robo, sustitución o alteración de los datos almacenados a transmitidos dentro de un Ciberespacio.
- Seguridad Física: Protección contra amenazas físicas que pueden afectar o influir nuestro sistema en el Ciberespacio, por ejemplo Acceso físico a los servidores, colocar hardware malicioso en la red.
- Seguridad Pública / Nacional: Protección contra una amenaza de Ciberespacio, para amenazar los bienes físicos o Cibernéticos con un beneficio político o estratégico para el atacante, por ejemplo, sistemas financieros, comunicaciones o infraestructuras públicas.
Los controles técnicos definidos en la Norma ISO27032 se basan en que las empresas cuentan con un buen conocimiento de las buenas prácticas de Ciberseguridad. El ISO 27032 introduce como complemento a los controles ya definidos los siguientes controles técnicos de Ciberseguridad:[pic 3]
- Ataques de ingeniería social.
- Hacking.
- Software malicioso (malware)
- Spyware.
- Otros programas no deseados.
[pic 4]
ISO 27035 explica un enfoque de mejores prácticas destinado a la gestión de la información de incidentes de la seguridad. Los controles de la seguridad de la información no son perfectos debido a que pueden fallar, pueden trabajar solo parcialmente o incluso a veces no están en funcionamiento. Debido a esto, los incidentes pasan porque los controles de prevención no son totalmente eficaces o fiables.
La gestión de incidentes permite que existan controles de detección y corrección que están destinados a reducir los impactos desfavorables aprendiendo las lecciones de las mejoras del SGSI. La norma proporciona un enfoque estructurado para:
- Identificar, comunicar y evaluar los incidentes de la seguridad de la información.
- Contestar, gestionando los incidentes de la seguridad de la información.
- Identificar, examinando y gestionando las vulnerabilidades de la seguridad de la información.
- Aumentar, la mejora continua de la seguridad de la información y también de la gestinon de los incidentes para responder a la seguridad de la información y de las vulnerabilidades.
[pic 5]
Lo bueno de la orientación de la seguridad de la información en ISO 27035 se puede aplicar a todas las organizaciones, ya sean pequeñas, medianas o grandes, además se da la orientación de forma especifica para las empresas que prestan o se dedican a los incidentes de la seguridad de la información.
ISO 27035 se basa en un proceso de 5 pasos o etapas importantes:
1. Prepararse a los incidentes.
2. Reconocer los incidentes de se seguridad de la información.
3. Examinar los incidentes y tomar la decisiones sobre la forma en que se a llevado las cosas.
4. Dar respuesta a los incidentes, lo que quiere decir, investigarlos y resolverlos.
5. La más importante Aprender de las lecciones o eventos.
[pic 6]
ISO/IEC 27005. Se definió para la administración de riesgos informáticos, y se encuentra alineada a la ISO 31000, la cual se desarrolló para la administración de riesgos en cualquier área de una organización y como otras normas ISO, tiene como metodología de implementación y mejora continua PHVA
(Planear-Hacer-Verificar-Actuar) o ciclo de Deming. Las etapas de la ISO 27005 son:
- Establecimiento de plan de comunicación interno y externo.
- Definición del contexto organizacional interno y externo.
- Valoración de riesgos tecnológicos.
- Tratamiento de riesgos tecnológicos.
- Monitoreo y mejora continua del proceso de gestión.
Esta metodología al tratar los lineamientos de la gestión de riesgos bajo el esquema presentado de organización total, permite su acción en la gestión de continuidad denegocios como fase de apoyo, en lo respectivo a la identificación de dependencias claves,activos y procesos críticos, amenazas existentes y futuras. Erróneamente la gestiónde continuidad es tomada como tratamiento de riesgos de lsa información (Norma ISO 27035) pero es importante notar que esta última sirve de soporte para la definición de impactos que puedan producir no disponibilidad en la organización.
...