“Implementación de un SGSI en la empresa EUREKA estudio gráfico, bajo la norma ISO 27001”
Enviado por Byron Bravo • 26 de Agosto de 2018 • Informe • 1.724 Palabras (7 Páginas) • 261 Visitas
“Implementación de un SGSI en la empresa EUREKA estudio gráfico, bajo la norma ISO 27001”
RESUMEN
El presente artículo es el resultado de un estudio investigativo sobre la seguridad de la información en la Empresa EUREKA estudio gráfico de la Ciudad de Riobamba. En la institución se realizó una serie de etapas investigativas que abarcan desde el Análisis Diferencial que establece un indicador sobre la situación inicial en cuanto a seguridad de la información que arroja un resultado del 31% de controles establecidos. A continuación se implementa un sistema de gestión de la seguridad de la información (SGSI) utilizando la metodología PDCA (plan, do, check, actua) el cual aborda algunos temas que la empresa necesariamente debe implementar para mejorar su seguridad informática; al final del proceso nos brinda un resultado positivo del 62%. El efecto obtenido indica que la aplicación de las herramientas planificadas mejora significativamente la seguridad en la empresa, además de brindar confiabilidad, disponibilidad e integridad.
Palabras clave: PDCA, seguridad informática, calidad, metodología, SGSI.
ABSTRACT
This article is the result of a research study on the security of information in the EUREKA Enterprise graphic study of the City of Riobamba. In the institution, a series of investigative stages were carried out, ranging from the Differential Analysis that establishes an indicator about the initial situation in terms of information security that yields a result of 31% of established controls. Next, an information security management system (SGSI) is implemented using the PDCA methodology (plan, do, check, act) which addresses some issues that the company must necessarily implement to improve its computer security; At the end of the process, it gives us a positive result of 62%. The obtained effect indicates that the application of the planned tools significantly improves the security in the company, in addition to providing reliability, availability and integrity.
Key words: PDCA, computer security, quality, methodology,
- INTRODUCCIÓN
Partiendo de una definición general de lo que es seguridad informática podemos considerar que es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema.
EUREKA estudio gráfico, es una microempresa privada que se dedica al diseño y desarrollo de plataformas web e infraestructuras informáticas. Es importante entender que la seguridad de la información, se refiere a la protección de los activos de información fundamentales para el éxito de cualquier organización; por tal razón es imprescindible que EUREKA estudio gráfico posea este tipo de sistemas que garanticen la confidencialidad, integridad y disponibilidad de su información.
- ANÁLISIS DIFERENCIAL
El análisis de situación de la empresa respecto a la norma no es obligatorio según la ISO 27001 pero si aconsejable para entender dónde nos encontramos. El análisis diferencial nos permitirá evaluar el grado de cumplimiento de la norma y nos permitirá tener una versión preliminar de la declaración de aplicabilidad
- PLANIFICACION DEL SGSI
- Alcance del SGSI
El alcance es para todos los sistemas dirigidos al manejo de la información del proceso de diseño y desarrollo de los sistemas informáticos.
- Políticas de Seguridad
- La política de seguridad es un conjunto de normas y procedimientos de obligado cumplimiento para el tratamiento de los riesgos de seguridad empresariales.
- EUREKA estudio gráfico, dentro de su estructura organizacional establece un comité de seguridad de la información conformado por un grupo interdisciplinario de colaboradores responsables de todas las acciones referidas a la seguridad de la información de la empresa, controles y procedimientos según sus requerimientos, mismo que es aprobado por el directorio principal de la Empresa.
- Implantar responsabilidades, roles y funciones para el sistema de seguridad de la información.
- Revisar el SGSI con planificación o en el caso que se produzcan cambios significativos para asegurar la idoneidad, adecuación y la eficacia de la continuidad.
- La información debe estar clasificada según su valor, requisitos legales y criticidad para la organización
- Todos los empleados deberán recibir una formación adecuada y actualizada referente a las políticas y procedimientos de seguridad.
- Procedimiento de registro formal de usuarios para conceder y revocar accesos a todos los sistemas.
- Metodología de evaluación de Riesgos
- La evaluación de riesgos se gestiona bajo las siguientes normas:
- Construir objetivos de la evaluación
- Plantear el alcance de cada evaluación
- Definir los criterios para seleccionar el equipo evaluador o validar las competencias de los evaluadores o aspectos éticos y morales.
- Documentar y registrar las actividades realizadas
- Identificar herramientas y procedimientos a utilizar en la evaluación
- Testear las competencias del personal de la empresa.
- Identificar amenazas y vulnerabilidades
- Identificamos las amenazas que pueden afectar y vulnerar nuestros sistemas informáticos desde cualquier acción o acontecimiento que orientadas a la seguridad informática.
- En nuestro caso nos enfocaremos en el control de acceso a las cuentas de usuarios en nuestros sistemas informáticos.
- Identificar impactos
- Acceso indebido a información no asignada al usuario o mal uso de la información
- Pérdida, manipulación de la información o daño en los equipos informáticos
- Análisis y evaluación de riesgos
- El uso incorrecto de contraseñas en las cuentas de usuario implica que la información no esté segura y se pueda provocar un acceso indebido a la misma, especialmente en los archivos que corresponden a la creación de las plataformas informáticas.
- Los accesos no autorizados generan escenarios que provocan un sistema vulnerable e inseguro.
- IMPLEMENTACION DEL SGSI
A continuación establecemos los parámetros del cómo se implementarán los controles del documento de aplicabilidad, se designarán responsables y los recursos.
...