Plan de mejora en seguridad la Norma ISO-27002

[pic 1][pic 2]

[pic 3]

SERVICIO NACIONAL DE APRENDIZAJE SENA

ESPECIALIZACION

Gestión Y Seguridad En Base De Datos

Actividad

AA1-5 verificación de la Norma ISO-27002

PLAN DE MEJORA

Tutor

Diana María Rico

Presentado por:

Angel Maria Bello Perez

Fecha junio de 2019

INTRODUCCION

En toda organización pública o privada, comercial o sin ánimo de lucro donde sus procesos involucres un sistema informático con infraestructura física grande o básica debe estar protegida ante amenazas como catástrofes naturales o intencionales tanto internas como externas, es por esto que se hace necesario diseñar e implantar un sistema de gestión de calidad en seguridad informática que permita mitigar y controlas  los impactos ante eventos que pongan en riesgo el activo valioso de la información.

Ante los resultados de la auditoría realizada se hace necesario evaluar rediseñar la actual política de seguridad encontrada en E.E.S Empresa Estatal SENA con la cual permitirá elevar un nivel se seguridad alto para contrarrestar los ataques al sistema y lograr la seguridad, confidencialidad y resguardo del activo de la información e infraestructura informática de la institución E.E.S Empresa Estatal SENA.

Planteamiento del problema

la institución E.E.S Empresa Estatal SENA como resultado de la auditoria tiene o presenta un sistema de seguridad informática con falencia donde las políticas actuales no están optimas en la protección de la información, el manejo adecuado y control de seguridad. Es un sistema vulnerable ante las amenazas como daños físicos, control de acceso a los activos de la información, infección de Virus Informáticos, hackers entre otros ataques.

Las amenazas a los sistemas informático cada día evolucionan al ritmo de avance tecnológico debido a esto los sistemas de gestión de calidad de seguridad informática deben de estar enfocados a contrarrestar estos peligros y salvaguardar el activo valioso de la información en la institución educativa.  

Formulación del problema

¿Al rediseñar las políticas de seguridad acatando las pautas y directrices de la normativa ISO- 27002 se obtendrá un sistema de seguridad informática fiable, seguro donde se controlen, mitiguen las amenazas?

Objetivos

Objetivos generales

Rediseñar la de política de seguridad de la información en la institución E.E.S Empresa Estatal SENA   para el control, protección y aseguramiento de los activos de la información.

Objetivos específicos

• Evaluación de los controles actuales y rediseño de estos para aseguramiento de las políticas de seguridad basado en la normativa ISO-27002.
• Clasificación de las amenazas a las políticas de seguridad.
• Clasificación de los activos tangible e intangibles del sistema de seguridad en la institución.
• Establecer nuevas pautas en la política de seguridad en base a la normativa ISO-27002 para fortalecer la infraestructura tecnológica de la institución educativa.
• Diseñar nuevas directrices

Como propuesta a la mejora de la política de seguridad en la institución E.E.S Empresa Estatal SENA una vez evaluado los resultados de la auditoria Tabla 1 y archivo hoja de cálculo se propones las siguientes recomendaciones según la norma ISO-27002 para consolidar un sistema de seguridad con políticas sólidas para controlar, proteger y salvaguardar los activos de la información.

Se analizan   los siguientes dominios y se proponen directrices:

1. Dominio 5 Políticas de seguridad:

Define que se deben constituir las políticas de seguridad donde se documenten los procedimientos internos de la organización, reflejando las expectativas en materia de seguridad, las cuales deben servir de soporte para el comité de seguridad que revisa y actualiza dichos procedimientos.

Evaluación: Nivel Bajo no presenta documentación de tallada completa de los procedimientos internos dejando evidentes las fallas en materia de seguridad.

Directrices Propuesta: Elaboración de formato detallando los procedimientos internos para la seguridad informática. Con lo cual da el soporte a la gestión de calidad y seguridad informática.

Esta elaboración debe realizarse de manera que se establezcan por niveles de seguridad verificables tanto internos como externos y el uso de los controles deben ser de carácter obligatorios para los actores del sistema.

1. Dominio 6 Estructura Organizativa de la Seguridad

Define que se deben constituir las políticas de seguridad donde se documenten los procedimientos internos de la organización, reflejando las expectativas en materia de seguridad, las cuales deben servir de soporte para el comité de seguridad que revisa y actualiza dichos procedimientos.

Evaluación: Nivel Bajo   no establece niveles de control con la asignación de roles en las políticas de seguridad esto no se encuentran establecidos de manera que la responsabilidad y aseguramiento del activo de información no se lleve estructuradamente.

Directrices propuestas:  

• Restructurar comité de seguridad de la información con personal competente y responsable, comprometida por los intereses de la institución en materias de seguridad.
• Definir actores con disposiciones legales para soporte a la política de seguridad
• Definir vínculos con autoridades competentes.
• Establecer mecanismos de control ante terceros los riesgos expuestos y sus niveles de responsabilidades anta la política de seguridad.

1. Dominio 7 Clasificación y Control de los activos

Define: Se debe elaborar un inventario de activos relacionados con los recursos de información, para asegurar un nivel de protección adecuado a estos con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.

Evaluación: Nivel Medio  no se cuenta con inventario actualizado de los activos de la institución y una clasificación acorde a las normativas de políticas de seguridad.

Directrices propuestas:

Requiere implementar un proceso de gestión de activos con  conciencian y apoderamiento   esta gestión debe ser parte de las actividades del día a día de los procesos de la entidad educativa. Con la cual debe de arrojar resultados  del inventario, valoración, clasificación y definición del manejo de los activos de información de los procesos.

• Elaboración de un inventario total de los activos.
• Clasificación de estos activos
• Etiquetado de los activos.
• Definir responsabilidades ante los activos.
• Definir control de uso adecuado.
• Definir movilidad o tratamiento  del activo.

1. Dominio 7 seguridades del personal  se define como las acciones del personal control que opera con los  activos  de  información. El objetivo contempla establecer un plan que permita informar a los empleados sobre como operar con los activos de información en materia de seguridad y confidencialidad.

Evaluación: Nivel Medio   No cuenta con los niveles de control de seguridad adecuados para el personal tanto interno como externo que tiene acceso a los activos de la institución educativa los roles no están sentados sobre la política de seguridad dando vulnerabilidad al sistema.

Directrices propuestas: Diseñar estrategia para asignación de roles en lo referente a las responsabilidades del personal tanto interno y externo que estén en contacto con los activos de la institución.

• Responsabilidades ante los activos de la institución
• Capacitación ante el buen uso de los activos
• Fortalecer los controles ante los procesos disciplinarios
• Controles en la asignación de activos, durante el uso y devolución de los activos asignados.

1. Dominio 9 Seguridad física y del entorno   se cómo los controles de equipos físicos y software, transferencias de información accesos a las áreas, perímetros de seguridad, protección ante riesgos y desastres naturales.

Evaluación: Nivel Medio   actualmente la institución educativa posee un entorno de seguridad física baja debido a que las condiciones locativas no brindad una protección adecuada al equipo y la seguridad física debe de ser reorganizada, los controles de accesos deben más estrictos cumplimento con la normativa de seguridad.

...