Estudio de la Seguridad de la información bajo la normatividad ISO 27000
Enviado por • 4 de Febrero de 2014 • Examen • 4.092 Palabras (17 Páginas) • 356 Visitas
Estudio de la Seguridad de la información bajo la normatividad ISO 27000 con plan de auditoria, creación de políticas y la implementación SGSI en el departamento TIC de la USTA Tunja
Castillo Huertas, Fredy Alexander
fredy.castilloh@santoto.edu.co.
Universidad Santo Tomas – Facultad de Electrónica
Abstract. In this proposal we want to raise awareness of the information is a resource that like other assets, has value to the university community and therefore must be adequately protected, ensuring continuity of information systems, minimizing the risk of damage and thus contributing to a better management of the University. In this case at first instance in the ICT department.
For these policy principles of information security to be effective, it is necessary to implement a Security Policy Information that is part of the organizational culture of the ICT department of the University, which implies that the manifest must be available commitment of all employees in one way or another related to the management, to contribute to the diffusion, consolidation and compliance with information security.
As a result it has taken the initiative to propose to undertake an internal audit of the information systems in order to implement their own policies for information security based on ISO 27000 and the regulations to implement the first three regulations as it is the 27001 which concerns on safety management system of information. Continuing this we find the parameters responsible for the audit on ISO 27002 and this regulation controls in ISO 27003.
Keywords. ISO 27000, ISO 27001, ISO 27002, ISO 27003, security, management, information, risks, ICT, policies, assets, audit.
Resumen— Con esta propuesta se quiere crear conciencia sobre la información, que es un recurso que como el resto de los activos, tiene valor para la comunidad universitaria y por consiguiente debe ser debidamente protegida, garantizando la continuidad de los sistemas de información, minimizando los riesgos de daño y contribuyendo de esta manera, a una mejor gestión de la Universidad. En este caso en primera instancia en el departamento TIC.
Para que los principios de la Política de Seguridad de la Información sean efectivos, es necesario incluirlos en la cultura organizacional del departamento TIC de la Universidad, lo que implica que debe contarse con el manifiesto compromiso de todos los trabajadores de una manera u otra vinculados a la gestión, para contribuir a la difusión, consolidación y cumplimiento de la seguridad de la información.
Como consecuencia se ha tomado la iniciativa de proponer la realización de una auditoria interna en sistemas de la información con el fin de implementar sus propias políticas de seguridad de la información, basándose en la normatividad ISO 27000 y poder poner en práctica las tres primeras reglamentaciones, como lo es la 27001 que concierne en sistemas de gestión de seguridad de la información. Continua a esta encontramos la encargada de los parámetros de la auditoria en la ISO 27002 y los controles de esta normatividad en la ISO 27003.
Índice de Términos— ISO 27000, ISO 27001, ISO 27002, ISO 27003, seguridad, gestión, información, riesgos, TIC, políticas, activos, auditoria.
I. INTRODUCCIÓN
El presente proyecto se refiere al tema de la seguridad de los sistemas de información, se puede definir como la importancia que tiene la información en toda empresa u organización, esta debe ser una prioridad por lo tanto también los sistemas de gestión de la seguridad de la información (SGSI), ya que la información es una actividad constante en las labores de la Universidad Santo Tomas Tunja y aún más importante en el departamento TIC.
Debido al uso de Internet permanente en que se encuentra toda la institución y su sistema de control de la información interno, cada vez se permite más a los usuarios acceder a todos nuestros sistemas de información. Por lo tanto, es fundamental saber qué recursos de la universidad e inicialmente del departamento TIC necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a diferentes y extraños usuarios por medio de Internet.
En este aspecto de los sistemas y el internet, se puede decir que los empleados pueden conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la institución, siendo un aspecto importante para la seguridad de dicha información. Ya que está expuesta a pérdida, manipulación inadecuada y factores de riesgo para la información que solo concierne a la universidad.
Para analizar esta problemática es necesario mencionar sus causas. Una de ellas son los mismos trabajadores, los usuarios, todo personal u organización, que pueda tener contacto con nuestro sistema. Los riesgos, en términos de seguridad, se pueden reducir a las amenazas, que representan el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad se representa en el grado de exposición a las amenazas en un contexto particular. Finalmente, se debe tener una contramedida que representa todas las acciones que se implementan para prevenir las amenazas.
Las contramedidas se deben implementar, no sólo como soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte de toda persona que pueda tener contacto con el sistema, además de políticas claramente definidas.
El presente proyecto tendrá tres etapas que marcaran su elaboración y sus resultados, como la necesidad de crear una metodología correcta, con el fin de realizar una auditoria interna para poder determinar en que partes se están realizando las cosas bien y en que se tienen falencias dentro del departamento TIC de la Universidad Santo Tomas.
Esta auditoria se debe planificar tomando en consideración el status e importancia de los procesos y el área a ser auditada. En primera instancia definiremos el criterio, alcance, frecuencia y métodos de auditoría. La realización de la auditoría debe asegurar la objetividad e imparcialidad del proceso. En este caso se realizara de forma investigativa para tener una mejora continua.
Como se mencionó anteriormente el siguiente objetivo o etapa será la introducción de unas políticas de seguridad de la información, ya que estás son de vital importancia, porque permiten la documentación adecuada de las directrices a seguir para tener
...