SGSI

5.- OBJETIVOS

        5.1 OBJETIVOS GENERALES

Diseñar e implementar un Sistema de Gestión de Seguridad de la Información (SGSI) en la o las empresas u organizaciones, con la finalidad de proteger los activos informáticos y mejorar la prestación de los servicios de red que se ofrece a toda la empresa y/u organización.

Preservar la confidencialidad, integridad y disponibilidad de la información, así como de los sistemas implicados en su tratamiento, dentro de una organización y proteger los activos de TI, mediante la administración de la seguridad. Esto incluye el establecimiento y mantenimiento de roles y responsabilidades de seguridad, políticas, estándares, procedimientos de TI, incluye realizar monitoreo de seguridad y pruebas periódicas según lo establecido en la ISO 27001.

Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de seguridad de la información es, por lo tanto, garantizar que los riesgos minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

5.2 OBJETIVOS ESPECIFICOS

a.- Revisión de la documentación relacionada con: Firewall e IDS, normativas internas e internacionales, vulnerabilidades, amenazas, análisis de riesgo entre otros.

b.- Levantamiento de información de la red de datos de la empresa identificando los activos informáticos que requieran seguridad.

c.- Compara y evaluar las normativas de seguridad para luego proponer en diseño adecuado a los estándares internacionales (ISO 17799 Y 27001).

d.- Evaluar las condiciones actuales de la red, los sistemas de protección, las amenazas y vulnerabilidades de los sistemas con el fin de realizar un análisis de riesgo para poder realizar el diseño de un sistema de gestión de seguridad de la información más apropiado para la empresa u organización.

e.- Analizar las herramientas de seguridad existentes en el mercado, con el fin de evaluar su aplicación en el diseño de un sistema de seguridad de los activos informáticos de la empresa u organización.

f.- Revisar la normativa legal vigente, a fin de estar en sintonía con las nuevas resoluciones relacionadas con la seguridad de la información.

g.-        Definir un esquema global de seguridad para la protección de los activos informáticos, así como la incorporación de controles que permitan minimizar los riesgos presentes en la empresa u organización en lo que a seguridad de la información se refiere.

h.- Definir las políticas, procedimientos y lineamientos de seguridad a ser empleadas en implementación del diseño.

5.3.- MOTIVACIÓN

La seguridad de la información, no es un activo a comprar, ni un fin en si mismo, tampoco un estado a alcanzar haciendo una determinada inversión, debe gestionarse, debe existir una meta concreta, criterios generales de evaluación y de decisión, y debe poder medirse. Es un sistema dinámico en constante evolución que debe ser evaluado y monitoreado, con métricas establecidas que permitan comparar concientemente y lo más objetivamente posible, escenarios diferentes y tomar decisiones con respecto a los riesgos que se afrontan y los recursos disponibles.

En el presente trabajo, abordamos la problemática que se plantea al momento de implantar, operar y mantener de forma evolutiva, un Sistema de Gestión de Seguridad de la Información (SGSI) para una empresa u organización perteneciente a un grupo empresarial, en una relación de subordinación con otra empresa principal. Es decir, existe un orden jerárquico establecido que no será ajeno a la seguridad de la información.

Sin perder generalidad, como Caso de Estudio, y a los efectos de ilustrar los aspectos relevantes de la metodología, se considerará un Proveedor de Servicios de Internet (ISP) integrado verticalmente a una empresa de Telecomunicaciones (TelCo) atendiendo a su estructura de grupo multiempresa y la diversidad en los niveles de seguridad y dominios involucrados.

5.4.- DESARROLLO Y ALCANCE

5.4.1 DESARROLLO

La incorporación de la seguridad de la información es una necesidad real que presentan hoy en día todas las empresas y organizaciones por ende la protección de los datos y sistemas las empresas u organizaciones que son vulnerables a posibles ataques que podrían estar destinados a fraude, saboteo y/o daños.

El desarrollo de este trabajo será realizado siguiendo el modelo de proceso PDCA siglas que son el acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar), utilizada por la norma ISO/IEC 2701. El ciclo PDCA, también conocido como circulo de Deming por Edwards Deming, es una estrategia de mejora continua de procesos (calidad) en cuatro etapas o fases, basada en un concepto ideado por Walter Shewhart. También se denomina el modelo como espiral de mejoras continuas por realizar los procesos en forma constante y en lazo.

Las etapas o fases del modelo PDCA son las siguientes:

• Plan (planificar): establecer el SGSI.
• Do (hacer): implementar y utilizar el SGCI
• Check (Verificar): monitorizar y revisar el SGSI
• Act (actuar): mantener y mejorar el SGSI.

5.4.2 ALCANCE

Por ejemplo, el alcance del SGSI queda cubierto por los procesos de las siguientes áreas:

1. Facility

• Espacio físico; energía eléctrica; aire acondicionado; protección contra incendios; accesos…

1. Administración

• Monitoreo; accesos lógicos; bases de datos; aplicativos…

1. Explotación/Respaldo

• Mallas de procesos;almacenamiento de información…

1. Comunicaciones

• Redes de datos; seguridad lógica; monitoreo equipos de comunicaciones; enlaces…

1. ARP

• Administración de sistemas ERP.

5.5 ESTADO DEL ARTE

Como encargado de seguridad de los sistemas de información de una organización, es necesario contar con algunas herramientas, mitigar los riesgos y mantener la seguridad de los sistemas de información, cada día es más difícil por la gran cantidad de nuevos activos que se utilizan en las empresas y la creciente cantidad de amenazas que todos los días se reproducen.

...