Sistema de Gestión de Seguridad de la Información
Enviado por jorgebetas • 23 de Marzo de 2019 • Apuntes • 1.014 Palabras (5 Páginas) • 45 Visitas
Referencias Bibliográficas
Kosutic Dejan, Lista de apoyo para implementación de ISO 27001, Disponible en:
https://advisera.com/27001academy/es/knowledgebase/lista-de-apoyo-para-implementacion-de-iso-27001/
https://es.calameo.com/read/004537384ad30fc3621b4
METODOLOGÍA APLICADA
1. APOYO DE LA DIRECCIÓN
Uno de los principios fundamentales para iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección del Área de Administración del Portal Web. No sólo por ser un punto esencial contemplado en la norma sino porque el cambio de cultura y la concienciación que genera el proceso hacen necesario el impulso constante de la Dirección.
2. PLAN DE RECOLECCIÓN DE INFORMACIÓN
Una vez avalado el trabajo por parte de la Dirección, se procede con la recolección de toda la información necesaria para la consecución del trabajo.
Al final se conforma un inventario de activos actualizado y clasificado:
Administración Portal Web: Inventario conformado por 14 activos de información a proteger, entre los que se encuentran el servidor DELL al cual la administradora tiene acceso por FTP y SSH, ya que en este servidor está alojada la página web y demás portales de las diferentes dependencias y programas de la empresa PRAGMA S.A. que son de su responsabilidad. También se listan los equipos de escritorio, sus respectivos sistemas operativos y la oficina asignada para llevar a cabo las actividades de esta área.
3. ANÁLISIS Y EVALUACIÓN DE RIESGOS
Existen muchas metodologías de análisis y evaluación de riesgos aceptadas internacionalmente; la organización puede optar por una de ellas, hacer una combinación de varias o crear la propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cómo definirla.
Por lo tanto, la metodología que se utilizó fue MAGERIT ya que estando alineada con los estándares más conocidos para la gestión de riesgos como lo son ISO 27001 e ISO 31000, ofrece un método sistemático para analizar los riesgos derivados del uso de las Tecnologías de Información y Comunicaciones (TIC’s), para así implementar los controles adecuados que permitan a una organización mitigarlos.
Esta metodología permite determinar el impacto sobre un activo de información, con la pérdida de confidencialidad, integridad y disponibilidad derivado de la materialización de las amenazas junto con las vulnerabilidades que pueden ser explotadas por esas amenazas, se determina la probabilidad de ocurrencia de dichas amenazas, se calcula el riesgo actual frente a las amenazas, y se determina el riesgo residual, resultante luego de que se implementen los controles.
Es necesario precisar que para efectos de este trabajo se determina el riesgo residual esperado, ya que la implementación del Sistema de Gestión de Seguridad de la Información es decisión y responsabilidad de la Dirección del Área.
El análisis de riesgos es una aproximación sistemática para determinar el riesgo siguiendo unos pasos:
3.1 Definición y valoración de Activos de Información. Por medio de un inventario conformado por los Activos de Información a proteger y cuyas dimensiones de valoración para cada uno de estos son: Confidencialidad, integridad y disponibilidad.
3.2 Identificación de amenazas a que están expuestos los activos de información. Aquí se identifican y evalúan las amenazas que sufren los activos de información de la unidad. Se realizó la identificación de amenazas basándose en la clasificación de MAGERIT.
...