Estudio de la Seguridad de la información bajo la normatividad ISO 27000

Enviado por • 4 de Febrero de 2014 • Examen • 4.092 Palabras (17 Páginas) • 340 Visitas

Página 1 de 17



Estudio de la Seguridad de la información bajo la normatividad ISO 27000 con plan de auditoria, creación de políticas y la implementación SGSI en el departamento TIC de la USTA Tunja

Castillo Huertas, Fredy Alexander

fredy.castilloh@santoto.edu.co.

Universidad Santo Tomas – Facultad de Electrónica

Abstract. In this proposal we want to raise awareness of the information is a resource that like other assets, has value to the university community and therefore must be adequately protected, ensuring continuity of information systems, minimizing the risk of damage and thus contributing to a better management of the University. In this case at first instance in the ICT department.

For these policy principles of information security to be effective, it is necessary to implement a Security Policy Information that is part of the organizational culture of the ICT department of the University, which implies that the manifest must be available commitment of all employees in one way or another related to the management, to contribute to the diffusion, consolidation and compliance with information security.

As a result it has taken the initiative to propose to undertake an internal audit of the information systems in order to implement their own policies for information security based on ISO 27000 and the regulations to implement the first three regulations as it is the 27001 which concerns on safety management system of information. Continuing this we find the parameters responsible for the audit on ISO 27002 and this regulation controls in ISO 27003.

Keywords. ISO 27000, ISO 27001, ISO 27002, ISO 27003, security, management, information, risks, ICT, policies, assets, audit.

Resumen— Con esta propuesta se quiere crear conciencia sobre la información, que es un recurso que como el resto de los activos, tiene valor para la comunidad universitaria y por consiguiente debe ser debidamente protegida, garantizando la continuidad de los sistemas de información, minimizando los riesgos de daño y contribuyendo de esta manera, a una mejor gestión de la Universidad. En este caso en primera instancia en el departamento TIC.

Para que los principios de la Política de Seguridad de la Información sean efectivos, es necesario incluirlos en la cultura organizacional del departamento TIC de la Universidad, lo que implica que debe contarse con el manifiesto compromiso de todos los trabajadores de una manera u otra vinculados a la gestión, para contribuir a la difusión, consolidación y cumplimiento de la seguridad de la información.

Como consecuencia se ha tomado la iniciativa de proponer la realización de una auditoria interna en sistemas de la información con el fin de implementar sus propias políticas de seguridad de la información, basándose en la normatividad ISO 27000 y poder poner en práctica las tres primeras reglamentaciones, como lo es la 27001 que concierne en sistemas de gestión de seguridad de la información. Continua a esta encontramos la encargada de los parámetros de la auditoria en la ISO 27002 y los controles de esta normatividad en la ISO 27003.

Índice de Términos— ISO 27000, ISO 27001, ISO 27002, ISO 27003, seguridad, gestión, información, riesgos, TIC, políticas, activos, auditoria.

I. INTRODUCCIÓN

El presente proyecto se refiere al tema de la seguridad de los sistemas de información, se puede definir como la importancia que tiene la información en toda empresa u organización, esta debe ser una prioridad por lo tanto también los sistemas de gestión de la seguridad de la información (SGSI), ya que la información es una actividad constante en las labores de la Universidad Santo Tomas Tunja y aún más importante en el departamento TIC.

Debido al uso de Internet permanente en que se encuentra toda la institución y su sistema de control de la información interno, cada vez se permite más a los usuarios acceder a todos nuestros sistemas de información. Por lo tanto, es fundamental saber qué recursos de la universidad e inicialmente del departamento TIC necesitan protección para así controlar el acceso al sistema y los derechos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a diferentes y extraños usuarios por medio de Internet.

En este aspecto de los sistemas y el internet, se puede decir que los empleados pueden conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la institución, siendo un aspecto importante para la seguridad de dicha información. Ya que está expuesta a pérdida, manipulación inadecuada y factores de riesgo para la información que solo concierne a la universidad.

Para analizar esta problemática es necesario mencionar sus causas. Una de ellas son los mismos trabajadores, los usuarios, todo personal u organización, que pueda tener contacto con nuestro sistema. Los riesgos, en términos de seguridad, se pueden reducir a las amenazas, que representan el tipo de acción que tiende a ser dañina, mientras que la vulnerabilidad se representa en el grado de exposición a las amenazas en un contexto particular. Finalmente, se debe tener una contramedida que representa todas las acciones que se implementan para prevenir las amenazas.

Las contramedidas se deben implementar, no sólo como soluciones técnicas, sino también reflejan la capacitación y la toma de conciencia por parte de toda persona que pueda tener contacto con el sistema, además de políticas claramente definidas.

El presente proyecto tendrá tres etapas que marcaran su elaboración y sus resultados, como la necesidad de crear una metodología correcta, con el fin de realizar una auditoria interna para poder determinar en que partes se están realizando las cosas bien y en que se tienen falencias dentro del departamento TIC de la Universidad Santo Tomas.

Esta auditoria se debe planificar tomando en consideración el status e importancia de los procesos y el área a ser auditada. En primera instancia definiremos el criterio, alcance, frecuencia y métodos de auditoría. La realización de la auditoría debe asegurar la objetividad e imparcialidad del proceso. En este caso se realizara de forma investigativa para tener una mejora continua.

Como se mencionó anteriormente el siguiente objetivo o etapa será la introducción de unas políticas de seguridad de la información, ya que estás son de vital importancia, porque permiten la documentación adecuada de las directrices a seguir para tener

...

Descargar como (para miembros actualizados) txt (28 Kb)

Leer 16 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

Analisis Y Estudios De La Pena Y Las Medidas De Seguridad En La C.r.b.v Y En El Codigo Penal Venezolano
Objeto de estudio: Semilla de Maíz resistente a la sequia Recursos metodológicos: La encuesta, la observación y Justificación por recurso: Justificación por recurso: La Encuesta

2 Páginas • 1907 Visualizaciones
Estudio de soluciones innovadoras en el ámbito de la seguridad en internet
Internet consume 2% de la energía mundial Se demostró que Internet consume 2% de la energía producida en el mundo, de acuerdo a un estudio

3 Páginas • 460 Visualizaciones
Estudios De Seguridad De Instalaciones
ASPRICC S.A. DE C.V. Proyecto: HOTEL LAS HOJAS RESORT “PLAN DE SEGURIDAD FISICA” 01 de octubre de 2011 Dependencia: Gerencia General Lugar: Hotel Las Hojas

8 Páginas • 1079 Visualizaciones
Manual De Procedimientos De La Empresa. Este Manual Debe Tener El Estudio Previo Que Se Hizo Para Establecer La Base Del Sistema De Seguridad,
________________________________________ ________________________________________ Manual de Seguridad en Redes Introducción En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas y un

123 Páginas • 1122 Visualizaciones
El HSEQ Estudio de seguridad industrial y ambiental para el trabajador
1. ¿QUE SIGNIFICA HSEQ? H.S.E.Q. (Health, Safety, Environment, Quality). H=HIGIENE S=SEGURIDAD E=MEDIO AMBIENTE Q=CALIDAD El HSEQ es un estudio de la seguridad industrial y ambiental

1 Páginas • 702 Visualizaciones
Estudio De Seguridad Modelo C-tpat
C-TPAT Análisis de Riesgos en 5 Pasos Guía de procedimientos Contenido Análisis de riesgos en 5 pasos - Introducción 03 Definición de términos 04 Clasificación

19 Páginas • 1731 Visualizaciones
Guía de estudio de seguridad y salud en el trabajo
TRABAJO DE EMPRENDIMIENTO GUIA NUMERO 1 1. Investigue la significación y aplicación de los términos relacionados en el anexo 1., con relación a la seguridad

2 Páginas • 514 Visualizaciones
Estudios de Seguridad y Salud
Este documento pretende servir de apoyo en la elaboración tanto de Estudios de Seguridad y Salud, como de Estudios Básicos de Seguridad y Salud. Para

6 Páginas • 414 Visualizaciones
Estudio De La Seguridad
Seguridad de instalaciones básicas y estratégicas Fuerza armada nacional Las Fuerzas Armadas Nacionales son una Institución profesional, impersonal y apolítica, al servicio exclusivo de la

6 Páginas • 416 Visualizaciones
Estudio De La Seguridad
Estudio de la seguridad En el Estudio de Seguridad se establecen los procedimientos generales relativos a determinar, todas las debilidades y fortaleza de la entidad

4 Páginas • 430 Visualizaciones