ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

PROGRAMA: SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN


Enviado por   •  2 de Julio de 2019  •  Apuntes  •  1.350 Palabras (6 Páginas)  •  291 Visitas

Página 1 de 6

[pic 1][pic 2]

Escuela de Posgrado y Estudios Continuos

PROGRAMA: SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA DE SISTEMAS DE INFORMACIÓN

 

Sistemas de Gestión de Seguridad de la Información

    Trabajo Final

Integrantes:

  • Alcántara Gastañaduí, César Leonidas.
  • Desulovich Chunga, Eberhard Enrique.
  • Horna Vallejos, Jael Noemí.
  • Morales Ruzi , Juan Carlos.
  • Terry Lujan, César Alonso.

Profesor: Dr. Ronal Santos Paredes Vargas

Trujillo, Agosto 2016

Resumen

Introducción

La continua evolución, crecimiento y sofisticación de la tecnología, trae consigo la aparición de nuevos riesgos. Los virus informáticos y ataques de intrusión o de negación de servicios se están volviendo cada vez más comunes, ambiciosos y sofisticados. Para proteger a nuestras organizaciones de todas estas amenazas es necesario conocerlas y afrontarlas de una manera adecuada. La seguridad de la información protege a las organizaciones de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar sus daños y maximizar el retorno de las inversiones y las oportunidades de negocio. Dicha seguridad se consigue implementando un conjunto adecuado de controles, los que necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización.

Un Sistema de Gestión de Seguridad de la Información - SGSI - es un conjunto de políticas y procedimientos cuyo objetivo es administrar la Seguridad de la Información de una Organización, proporcionando una metodología sistemática, documentada y fuertemente enfocada en los riesgos que pueda enfrentar una organización. La norma estándar internacional ISO/IEC 27001:2013 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información en una organización. Dicha norma, establece los procedimientos adecuados, así como la implementación de controles de seguridad basados en la evaluación de los riesgos y en una medición de su eficacia.

El presente trabajo de investigación tiene por finalidad el desarrollo del proceso de implementación del Sistema de Gestión de Seguridad de la Información dentro de una entidad financiera, para lo cual se está considerando uno de sus procesos principales como son las Operaciones en línea.

Sistema de Seguridad de la información

Marco Teórico

  • La ISO y sus principios de gestión

Es una federación mundial de organismos nacionales de Normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos, tienen al menos 19,000 estándares publicados desde 1947 (creación), 1951 (publicación)  trabaja en función a 8 principios de gestión:

1. Orientación al cliente.

2. Liderazgo.

3. Participación del personal.

4. Enfoque de procesos.

5. Enfoque de sistemas de gestión.

6. Mejora Continua.

7. Enfoque de mejora continua.

8. Relación mutuamente beneficiosa con el proveedor.

 

Incremento de la demanda en las empresas por implementar un sistema de gestión en estándares, Los estándares ISO son aplicables a cualquier tipo y tamaño de empresa.

Los negocios exitosos entienden el valor de la información oportuna y precisa, de las buenas comunicaciones y de la discreción. La seguridad de la información se trata tanto de explotar las oportunidades de nuestro mundo interconectado así como de la gestión de riesgos. Es por ello que las organizaciones necesitan una gestión robusta de seguridad de la información.

  • Comparando ISO/IEC 27001:2013 con ISO/IEC 27001:2005

ISO/IEC 27001:2013 es la primera revisión de ISO/IEC 27001. En primer lugar y ante todo la revisión ha tomado en cuenta la experiencia práctica del uso del estándar: actualmente hay 17,000 certificados en el mundo. Sin embargo, ha habido otras dos influencias mayores en la revisión. La primera es un requerimiento de ISO que todo estándar nuevo o revisado debe ajustarse a la estructura de alto nivel y debe tener el texto central idéntico definido en el Anexo SL de la Parte 1 de las Directrices de ISO/IEC. Conforme a estos requerimientos se tendrá una tendencia para hacer que todos los estándares de sistemas de gestión luzcan igual, con la intención de que los requerimientos del sistema de gestión que no son una disciplina específica sean redactados de la misma manera en todos los estándares de sistemas de gestión. Estas son buenas noticias para todas las organizaciones que operan sistemas de gestión integrados, por ejemplo los sistemas de gestión que conforman varios estándares, como ISO 9001 (calidad), ISO 22301 (continuidad del negocio) así como ISO/IEC 27001.

Implementación

Análisis FODA

Se ha desarrollado este análisis con el objetivo de indicar el balance estratégico que tendría el diseño de un SGSI para una financiera. Esto implica las fortalezas, debilidades, oportunidades y amenazas que presentamos a continuación:

FORTALEZA

DEBILIDAD

  • Contratar personal calificado
  • Contar con tecnología de punta
  • Capacitación continua del personal
  • Altas medidas de control de acceso para los diferentes tipos de activos
  • Uso correcto de los recursos informáticos.
  • Reducción de riesgos que afectan la integridad, confidencialidad y disponibilidad de la información
  • Uso consciente de la información

  • Costos elevados de implementación de controles de seguridad
  • Falta de apoyo por parte de la Gerencia Central Mancomunada
  • Baja performance o rendimiento de las operaciones.
  • Análisis de consecuencias previo a la implementación de un nuevo control

OPORTUNIDAD

AMENAZA

  • Obtener la certificación ISO/TEC 27001:2013 31000
  • Alinear la tecnología de información con el modelo del negocio.
  • Mejora de la calidad dentro de la organización.

  • Fuga de información por rotación del personal clave.
  • Oposición interna al aplicar los controles o mecanismos de seguridad apropiados.
  • Servicios online es más propenso a ataques cibernéticos

Requisitos

  • La empresa establecerá medios de comunicación seguros para personal interno y externo (por supervisión o por proveer servicios)
  • Todo el personal que ingresa a la empresa debe tener buen historial crediticio, buen antecedente policial, buen antecedente judicial (por manejar información sensible de la empresa)
  • Acceso a la información de manera controlada (acceso por perfiles de usuario o por horarios de trabajo)
  • Almacenar información sensible y/o clasificada de trabajadores y clientes (ley de protección de datos)
  • Asegurar la integridad, confidencialidad y disponibilidad de las operaciones y de los datos del cliente

Requisitos de seguridad de las partes interesadas tanto internos y externos.

[pic 3]

Determinación del Alcance


[pic 4]

Política del Sistema de Gestión de Seguridad de la Información

Financiera ABC, está comprometida con la implementación y el monitoreo de controles de seguridad física y tecnológica que contribuye a mantener la confidencialidad, integridad y disponibilidad de sus activos de información apoyando el cumplimiento de su misión y cumpliendo con los requisitos aplicables y gestionando los riesgos de acuerdo con la clasificación de la información y con el medio de almacenamiento o trasporte de los activos de información. De igual manera, promueve una cultura en seguridad para evitar y gestionar incidentes contribuyendo a la mejora continua. 

...

Descargar como (para miembros actualizados) txt (11 Kb) pdf (376 Kb) docx (746 Kb)
Leer 5 páginas más »
Disponible sólo en Clubensayos.com