Plan de mejora en seguridad la Norma ISO-27002

[pic 1][pic 2]

[pic 3]

SERVICIO NACIONAL DE APRENDIZAJE SENA

ESPECIALIZACION

Gestión Y Seguridad En Base De Datos

Actividad

AA1-5 verificación de la Norma ISO-27002

PLAN DE MEJORA

Tutor

Diana María Rico

Presentado por:

Angel Maria Bello Perez

Fecha junio de 2019

INTRODUCCION

En toda organización pública o privada, comercial o sin ánimo de lucro donde sus procesos involucres un sistema informático con infraestructura física grande o básica debe estar protegida ante amenazas como catástrofes naturales o intencionales tanto internas como externas, es por esto que se hace necesario diseñar e implantar un sistema de gestión de calidad en seguridad informática que permita mitigar y controlas  los impactos ante eventos que pongan en riesgo el activo valioso de la información.

Ante los resultados de la auditoría realizada se hace necesario evaluar rediseñar la actual política de seguridad encontrada en E.E.S Empresa Estatal SENA con la cual permitirá elevar un nivel se seguridad alto para contrarrestar los ataques al sistema y lograr la seguridad, confidencialidad y resguardo del activo de la información e infraestructura informática de la institución E.E.S Empresa Estatal SENA.

Planteamiento del problema

la institución E.E.S Empresa Estatal SENA como resultado de la auditoria tiene o presenta un sistema de seguridad informática con falencia donde las políticas actuales no están optimas en la protección de la información, el manejo adecuado y control de seguridad. Es un sistema vulnerable ante las amenazas como daños físicos, control de acceso a los activos de la información, infección de Virus Informáticos, hackers entre otros ataques.

Las amenazas a los sistemas informático cada día evolucionan al ritmo de avance tecnológico debido a esto los sistemas de gestión de calidad de seguridad informática deben de estar enfocados a contrarrestar estos peligros y salvaguardar el activo valioso de la información en la institución educativa.  

Formulación del problema

¿Al rediseñar las políticas de seguridad acatando las pautas y directrices de la normativa ISO- 27002 se obtendrá un sistema de seguridad informática fiable, seguro donde se controlen, mitiguen las amenazas?

Objetivos

Objetivos generales

Rediseñar la de política de seguridad de la información en la institución E.E.S Empresa Estatal SENA   para el control, protección y aseguramiento de los activos de la información.

Objetivos específicos

• Evaluación de los controles actuales y rediseño de estos para aseguramiento de las políticas de seguridad basado en la normativa ISO-27002.
• Clasificación de las amenazas a las políticas de seguridad.
• Clasificación de los activos tangible e intangibles del sistema de seguridad en la institución.
• Establecer nuevas pautas en la política de seguridad en base a la normativa ISO-27002 para fortalecer la infraestructura tecnológica de la institución educativa.
• Diseñar nuevas directrices

Como propuesta a la mejora de la política de seguridad en la institución E.E.S Empresa Estatal SENA una vez evaluado los resultados de la auditoria Tabla 1 y archivo hoja de cálculo se propones las siguientes recomendaciones según la norma ISO-27002 para consolidar un sistema de seguridad con políticas sólidas para controlar, proteger y salvaguardar los activos de la información.

Se analizan   los siguientes dominios y se proponen directrices:

1. Dominio 5 Políticas de seguridad:

Define que se deben constituir las políticas de seguridad donde se documenten los procedimientos internos de la organización, reflejando las expectativas en materia de seguridad, las cuales deben servir de soporte para el comité de seguridad que revisa y actualiza dichos procedimientos.

Evaluación: Nivel Bajo no presenta documentación de tallada completa de los procedimientos internos dejando evidentes las fallas en materia de seguridad.

Directrices Propuesta: Elaboración de formato detallando los procedimientos internos para la seguridad informática. Con lo cual da el soporte a la gestión de calidad y seguridad informática.

Esta elaboración debe realizarse de manera que se establezcan por niveles de seguridad verificables tanto internos como externos y el uso de los controles deben ser de carácter obligatorios para los actores del sistema.

1. Dominio 6 Estructura Organizativa de la Seguridad

Define que se deben constituir las políticas de seguridad donde se documenten los procedimientos internos de la organización, reflejando las expectativas en materia de seguridad, las cuales deben servir de soporte para el comité de seguridad que revisa y actualiza dichos procedimientos.

Evaluación: Nivel Bajo   no establece niveles de control con la asignación de roles en las políticas de seguridad esto no se encuentran establecidos de manera que la responsabilidad y aseguramiento del activo de información no se lleve estructuradamente.

Directrices propuestas:  

• Restructurar comité de seguridad de la información con personal competente y responsable, comprometida por los intereses de la institución en materias de seguridad.
• Definir actores con disposiciones legales para soporte a la política de seguridad
• Definir vínculos con autoridades competentes.
• Establecer mecanismos de control ante terceros los riesgos expuestos y sus niveles de responsabilidades anta la política de seguridad.

1. Dominio 7 Clasificación y Control de los activos

Define: Se debe elaborar un inventario de activos relacionados con los recursos de información, para asegurar un nivel de protección adecuado a estos con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.

...