ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

ACTIVIDAD N° 6 IMPLEMENTACIÓN DE NORMAS EN MI ORGANIZACIÓN


Enviado por   •  11 de Octubre de 2016  •  Reseña  •  2.511 Palabras (11 Páginas)  •  265 Visitas

Página 1 de 11

ACTIVIDAD N° 6 IMPLEMENTACIÓN DE NORMAS EN MI ORGANIZACIÓN

Datos de la empresa

Nombre: Empresa Argentina de Navegación Aérea Sociedad Anónima (EANA S.A.)

Actividad principal: Gestión del Servicio Público de Navegación Aérea.

Actividades auxiliares: Gestión del tránsito aéreo (ATM); Servicios de Tránsito Aéreo (ATS); Servicios de Información Aeronáutica (AIS); Servicio de Comunicaciones Aeronáuticas (COM); Servicio de Búsqueda y Salvamento (SAR).

Área de implementación de un SGSI:

  • Gerencia de Sistemas, dependiente de la Gerencia de Área de Asuntos Corporativos, ubicada en Ezeiza, provincia de Buenos Aires.
  • Gerencia de Recursos Humanos, dependiente de la Gerencia General, ubicada en Florida 563 3° piso, CABA.

Cantidad de empleados: 900 personal operativo y 200 personal administrativo.

Desarrollo principal de la tarea: el sistema informático que parte de la filial ubicada en el Aeropuerto Ezeiza, es distribuido a todo el país, con el objeto de brindar información de las aeronaves para que los controladores aéreos realicen el control radar necesario para vectorear a las aeronaves hacia/desde sus destinos y en rutas de vuelo.

[pic 1]

TAREA A DESARROLLAR: Implementar normas de la familia ISO 27k en mi organización

Para la implementación de la ISO/IEC 27003 “Guía para la implementación de un SGSI” se han seguido los pasos correspondientes a la aplicación de dicha norma, a saber:

El  Objetivo  del  ISO 27003  es  proporcionar  orientación práctica en  el  desarrollo  del  plan  de implementación para un Sistema de Gestión de Seguridad de la Información, siguiendo los siguientes pasos:

  1. OBTENCIÓN DE LA APROBACIÓN DE LA DIRECCIÓN PARA LA IMPLEMENTACIÓN DE UN SGSI


Esta parte permitió que la alta gerencia de la empresa entendiera la importancia del proyecto y la necesidad del apoyo del recurso humano, factor vital para el inicio de la fase de recolección de información. Esta fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversión de una forma eficaz, haciéndoles entender que si una organización cumple con la normatividad sobre protección de datos sensibles, privacidad y control de TI, los resultados a futuro mejorarían de forma sustancial el impacto estratégico de la compañía, y aunque represente un gasto considerable, genera a futuro un Retorno de la Inversión (ROI – Return Over Investment) y una ganancia financiera, representados en incidentes o desastres durante el proceso de desarrollo de software.

  1. DEFINIR ALCANCE Y POLÍTICA DE UN SGSI


Por la complejidad de la implementación de la norma, se recomendó definir de manera sistemática el alcance del proyecto, en las áreas de Gerencia de Sistemas y Gerencia de Recursos Humanos de EANA S.A.


Cualquier otro proceso que la organización considere incluir dentro del SGSI es válido, lo que se recomienda es que la decisión de incluir más procesos sea con base en un análisis que en efecto sugiera la importancia de incluir dicho proceso, no se quiere hacer un SGSI muy robusto y poco efectivo, por el contrario, hacerlo lo más simple posible es una buena práctica, más aun cuando la organización empieza desde cero el desarrollo de estos Sistemas.

  1. REALIZAR UN ANÁLISIS DE LA ORGANIZACIÓN

a) Identificación de activos dentro del alcance del SGSI: se sugirió realizar un inventario de los activos para tener un control más riguroso de los mismos. Toda la información y activos asociados a los recursos para el tratamiento de la información, deberían tener un propietario y pertenecer a una parte designada de la Organización. 


Para realizar un análisis de riesgos se parte del inventario de activos. Para determinar cuál era la situación actual de la Organización, se realizó un análisis de GAP, donde se puede apreciar que un 70% de los activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un porcentaje alto.

b) Evaluación de seguridad de la información en relación a los recursos humanos: Tuvo como objetivo evaluar si los empleados, contratistas y usuarios, entienden sus responsabilidades y son aptos para ejercer las funciones para las cuales fueron considerados, con el fin de reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

  1. EVALUACIÓN DEL RIESGO Y SELECCIÓN DE OPCIONES DE TRATAMIENTO DEL RIESGO

Se realizó una evaluación del riesgo sobre el proceso de Sistemas Informáticos y Recursos Humanos. Esta metodología permitió:

  • Identificar los riesgos
  • Analizar y evaluar los riesgos encontrados
  • Definir objetivos de Control y Controles para el tratamiento de riesgos
  • Proponer opciones para el tratamiento de riesgos


Asimismo, se realizó el análisis de las amenazas y vulnerabilidades, lo cual requirió las siguientes actividades:

  • Realizar una lista de las amenazas que puedan presentarse en forma accidental o intencional con relación a los activos de información; diferenciando estas amenazas de las vulnerabilidades de los activos, ya que el análisis debía radicar en las amenazas.
  • Identificar los riesgos internos de los procesos, analizando tanto las actividades que se desarrollan como las amenazas identificadas.
  • Identificar los riesgos externos de los procesos. Es necesario analizar los riesgos que se pueden presentar cuando se subcontrata un servicio o existe personal externo a la organización.
  • Realizar un análisis del ambiente organizacional, el ambiente tecnológico y los aspectos socioculturales que rodean la Organización, para definir las amenazas a las que pueden estar expuestos los activos. 
  1. DISEÑAR EL SGSI

Definir los requisitos de seguridad de la información para el proceso SGSI

  • Identificar los activos dentro de los límites de alcance del SGSI
  • Procesos / activos clasificación
  • Activos identificados
  • Realizar una evaluación de seguridad de la información
  • Estado de seguridad resumida de la organización

El diseño del SGSI, abarca todos los aspectos de planeación y trazado de la ruta a seguir para la implantación del SGSI en la organización, bajo la normativa en estudio. Se tuvieron en cuenta los siguientes aspectos a considerar en la etapa de diseño, según ISO 27003:

  • Diseño de las TIC y la seguridad de la información física
  • Plan de ejecución de los controles relacionados con las TIC y la seguridad física

-         Control del diseño del SGSI seguridad de la información específica

-         Plan de revisiones por la dirección

  • Lista de insumos para realizar revisión de la gestión
  • Procedimiento de revisión por la dirección incluye la auditoría, supervisión, aspectos de medición.
  • Formación sobre la seguridad de información de diseño y programa de educación
  • Materiales de capacitación en seguridad de información
  • Formación de capacitación en seguridad de información, incluidas las funciones y responsabilidades
  • Planes de seguridad de la educación sobre la información y la formación
  • Los registros de educación de seguridad de información y resultados de la formación
  • Producir el plan del proyecto SGSI definitivo
  • Plan de ejecución del proyecto SGSI definitivo.

Respecto a ISO/IEC 27004 “Métricas de seguridad de la información”, aporta la forma de llevar a cabo las mediciones para la implementación de un SGSI, según lo establece la ISO/IEC 27001.

...

Descargar como (para miembros actualizados) txt (17 Kb) pdf (168 Kb) docx (20 Kb)
Leer 10 páginas más »
Disponible sólo en Clubensayos.com