Este documento propone el establecimiento de un Sistema de Gestión para la Seguridad de la Información (SGSI) para el Centro de Tecnología de Información y Comunicación (CTIC) de acuerdo con la norma ISO/IEC 27001:2005. Se realiza un diagnóstico que muestra la baja madurez del SGSI actual y se identifican riesgos. Se proponen controles de seguridad y un plan de tratamiento de riesgos que podría reducir el nivel de riesgo en un 23%. La implementación de este SGSI mejor

1. SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN. CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN. Autor : Ing. Rosendo A. Mendoza. Tutor : Msc. Ing. Euvis Piña Duin República Bolivariana de Venezuela Universidad Centroccidental Lisandro Alvarado Decanato de Ciencias y Tecnología Coordinación de Postgrado

5. Planteamiento del Problema “ Un Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición menor al nivel de riesgo que la propia organización ha decidido asumir.” Agustín López. (1) (1): Portal www.iso27000 .es/ sgsi.html Alternativa

6. Planteamiento del Problema La ISO/IEC 27001:2005 es un estándar internacional que proporciona un modelo sólido para implementar los principios y lineamientos de los SGSI. Alternativa

7. Objetivos General Establecer un Sistema de Gestión para la Seguridad de la Información para el Centro de Tecnología de Información y Comunicación del Decanato de Ciencias y Tecnología, de acuerdo al estándar internacional ISO/IEC 27001:2005.

12. Bases Teóricas Análisis y Gestión del Riesgo Metodología Seguridad de la información Serie de Normas 27000

13. Bases Teóricas Seguridad de la información Es la preservación de la Información y de los Sistemas que la gestionan en sus dimensiones de Confidencialidad, Integridad y Disponibilidad.

14. Bases Teóricas Seguridad de la información Que la información no sea accesible por personas, entidades o procesos no autorizados

15. Bases Teóricas Seguridad de la información Que la información sea exacta y completa

16. Bases Teóricas Seguridad de la información Que la información, servicios y recursos sean accesibles por las entidades autorizadas cuando ellas lo requieran.

17. Bases Teóricas Análisis y Gestión del Riesgo Uso sistemático de la información para identificar amenazas y coordinar las actividades para dirigir y controlar una organización con relación al riesgo

18. Bases Teóricas Análisis y Gestión del Riesgo Persigue identificar los sectores más vulnerables de la organización y permitir concentrar los esfuerzos de control en los lugares críticos

19. Bases Teóricas Análisis y Gestión del Riesgo Terminología Activo: Cualquier cosa - tangible o no - que tenga valor para la organización. Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza. Amenaza: Causa potencial de un incidente no deseado, que podría dañar uno o más activos. Control ó Salvaguarda: Medios para manejar el riesgo; incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales. Riesgo: Combinación de la probabilidad de materialización de una amenaza y el daño que produciría sobre un activo.

20. Bases Teóricas Sistema de Gestión de la Seguridad de la Información Consiste en la planificación, ejecución, verificación y mejora continua de un conjunto de controles que permitan reducir el riesgo de sufrir incidentes de seguridad

21. Bases Teóricas Norma ISO/IEC 27001:2005 Metodología que establece las especificaciones para un SGSI, con el fin de garantizar que los riesgos son conocidos, asumidos, gestionados y minimizados, de una forma documentada, sistemática, estructurada, continua, repetible y eficiente.

22. ISO 27001: Fases

23. Bases Teóricas Norma ISO/IEC 27002:2005 Es un “Código de Buenas Prácticas” para la Seguridad de la Información, que establece cientos de controles y mecanismos de control, los cuales pueden ser implementados y posteriormente chequeados por la norma ISO/IEC 27001:2005

27. Marco Metodológico Estudio de Proyecto factible, apoyado en la investigación monográfica, documental y de campo. Naturaleza de la investigación

28. Marco Metodológico Evaluar la situación actual del CTIC, en cuanto a Seguridad de la Información, determinando su Nivel de Madurez en base al cumplimiento de las cláusulas de seguridad de la norma ISO/IEC 27002:2005. (7 cláusulas y 43 controles) Objetivos del Diagnóstico

29. Marco Metodológico Resultados del Diagnóstico

30. Marco Metodológico Resultados del Diagnóstico Fuente: López, F. y otros (2006).

36. Definición del Alcance del SGSI.

37. Definición de la Política del SGSI.

38. Identificación de Riesgos Identificación de Activos

41. Propuesta del Estudio Identificación de Riesgos Valor propio del Activo Fuente: ISO27001 Security home. www.iso27001security.com

42. Identificación de Riesgos Valor acumulado del Activo

43. Identificación de Riesgos Catálogo de Activos

44. Identificación de Riesgos Identificación de Amenazas Fuente: Metodología MAGERIT

45. Propuesta del Estudio Identificación de Riesgos Determinación del Riesgo Activo/Vulnerabilidad Amenaza/Frecuencia Activo degradado RIESGO Riesgo = Valor_Activo x Degradación x Frecuencia Fuente: ISO27001 Security home. www.iso27001security.com

46. Tablas de valor para Degradación y Frecuencia Fuente: ISO27001 Security home. www.iso27001security.com

48. Tablas de valor para Gestión del Riesgo Fuente: ISO27001 Security home. www.iso27001security.com

49. Documento completo: Tabla de amenazas: Catálogo de activos: Tablas de Valor:

52. Propuesta del Estudio Selección de Controles Para cada Riesgo identificado se proponen uno o más controles de la Norma ISO/IEC 27002:2005.

53. Enlace al documento completo:

54. Propuesta del Estudio Enunciado de Aplicabilidad Es un documento que tiene como finalidad la observancia de todos los controles de seguridad propuestos en la norma, con la justificación de su inclusión o exclusión, según sea el caso.

55. Enlace al documento completo:

60. No hay seguridad total sino seguridad gestionada. GRACIAS Ing. Rosendo Mendoza