Este documento propone el establecimiento de un Sistema de Gestión para la Seguridad de la Información (SGSI) para el Centro de Tecnología de Información y Comunicación (CTIC) de acuerdo con la norma ISO/IEC 27001:2005. Se realiza un diagnóstico que muestra la baja madurez del SGSI actual y se identifican riesgos. Se proponen controles de seguridad y un plan de tratamiento de riesgos que podría reducir el nivel de riesgo en un 23%. La implementación de este SGSI mejor
Sesión de aprendizaje Planifica Textos argumentativo.docx
SGSI-CTIC
1. SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN. CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN. Autor : Ing. Rosendo A. Mendoza. Tutor : Msc. Ing. Euvis Piña Duin República Bolivariana de Venezuela Universidad Centroccidental Lisandro Alvarado Decanato de Ciencias y Tecnología Coordinación de Postgrado
2.
3.
4.
5. Planteamiento del Problema “ Un Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición menor al nivel de riesgo que la propia organización ha decidido asumir.” Agustín López. (1) (1): Portal www.iso27000 .es/ sgsi.html Alternativa
6. Planteamiento del Problema La ISO/IEC 27001:2005 es un estándar internacional que proporciona un modelo sólido para implementar los principios y lineamientos de los SGSI. Alternativa
7. Objetivos General Establecer un Sistema de Gestión para la Seguridad de la Información para el Centro de Tecnología de Información y Comunicación del Decanato de Ciencias y Tecnología, de acuerdo al estándar internacional ISO/IEC 27001:2005.
8.
9.
10.
11.
12. Bases Teóricas Análisis y Gestión del Riesgo Metodología Seguridad de la información Serie de Normas 27000
13. Bases Teóricas Seguridad de la información Es la preservación de la Información y de los Sistemas que la gestionan en sus dimensiones de Confidencialidad, Integridad y Disponibilidad.
14. Bases Teóricas Seguridad de la información Que la información no sea accesible por personas, entidades o procesos no autorizados
16. Bases Teóricas Seguridad de la información Que la información, servicios y recursos sean accesibles por las entidades autorizadas cuando ellas lo requieran.
17. Bases Teóricas Análisis y Gestión del Riesgo Uso sistemático de la información para identificar amenazas y coordinar las actividades para dirigir y controlar una organización con relación al riesgo
18. Bases Teóricas Análisis y Gestión del Riesgo Persigue identificar los sectores más vulnerables de la organización y permitir concentrar los esfuerzos de control en los lugares críticos
19. Bases Teóricas Análisis y Gestión del Riesgo Terminología Activo: Cualquier cosa - tangible o no - que tenga valor para la organización. Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza. Amenaza: Causa potencial de un incidente no deseado, que podría dañar uno o más activos. Control ó Salvaguarda: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales. Riesgo: Combinación de la probabilidad de materialización de una amenaza y el daño que produciría sobre un activo.
20. Bases Teóricas Sistema de Gestión de la Seguridad de la Información Consiste en la planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad
21. Bases Teóricas Norma ISO/IEC 27001:2005 Metodología que establece las especificaciones para un SGSI, con el fin de garantizar que los riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada, sistemática, estructurada, continua, repetible y eficiente.
23. Bases Teóricas Norma ISO/IEC 27002:2005 Es un “Código de Buenas Prácticas” para la Seguridad de la Información, que establece cientos de controles y mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la norma ISO/IEC 27001:2005
24.
25.
26.
27. Marco Metodológico Estudio de Proyecto factible, apoyado en la investigación monográfica, documental y de campo. Naturaleza de la investigación
28. Marco Metodológico Evaluar la situación actual del CTIC, en cuanto a Seguridad de la Información, determinando su Nivel de Madurez en base al cumplimiento de las cláusulas de seguridad de la norma ISO/IEC 27002:2005. (7 cláusulas y 43 controles) Objetivos del Diagnóstico
54. Propuesta del Estudio Enunciado de Aplicabilidad Es un documento que tiene como finalidad la observancia de todos los controles de seguridad propuestos en la norma, con la justificación de su inclusión o exclusión, según sea el caso.