ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
-
Upload
foro-global-crossing -
Category
Technology
-
view
2.457 -
download
1
description
Transcript of ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE
LA INFORMACIÓN
GOBIERNO DE LA PROVINCIA DE CÓRDOBA
GAP ANALYSIS – INFORME TECNICO ISO 27001
PROCEDIMIENTO DE IMPLEMENTACION DEL PROYECTO
METODOLOGIA DE EVALUACION DE RIESGOS
PLAN DE ACCION
CAPACITACION Y CONSIENTIZACION
GAP ANALYSIS – INFORME EJECUTIVO ISO 27001
POLITICAS DE SEGURIDAD ARMADO DEL SGSI
i. Cláusulas del sistema de gestión de seguridad de la información
(SGSI)
ii. Observaciones sobre objetivos de control de seguridad de la
información
iii. Recomendaciones
iv. Conclusiones del Análisis
Identificar, en que estado de madurez se encuentra el Gobierno de la
Provincia de Córdoba con respecto al grado de cumplimiento de la gestión
en seguridad de la información a partir de las recomendaciones propuestas
por la Norma ISO 27001 y el esfuerzo que habrá que hacerse para la
definición e implantación de un sistema de gestión de seguridad de la
información.
RESULTADOS DEL GAP ANALISIS
Se estableció un proceso de adecuación de la seguridad de la
provincia, para el armado del sistema de gestión de la seguridad
1. La integración de la seguridad de la información con los objetivos del
negocio y a los distintos sistemas de gestión adoptados por la
organización.
2. La metodología utilizada para mantener la integridad, disponibilidad y
confidencialidad de los datos e información generados por el sector
que será certificado.
3. Los controles para proteger y mantener disponibles los sistemas y
aplicativos.
4. Los controles de acceso y utilización de los ambientes tecnológicos.
5. La metodología para concientizar y capacitar al personal vinculado a
la protección de la información.
6. El compromiso de la Alta Gerencia respecto a la protección de la
información.
BRECHA DE CUMPLIMIENTO
Grafico sobre el nivel de aproximación respecto a los 5 puntos de cumplimiento
que afectan a la eficacia del sistema de gestión de seguridad de la información.
Gráfico que representa el nivel de cumplimientos sobre los controles y la efectividad
del sistema de gestión de seguridad de la información
Grafico donde se destaca el grado de cumplimiento en seguridad de la información y
respecto de la norma y los plazos de tiempos aproximados que se requerirá para la
implementación de un sistema de gestión de seguridad de la información.
Gráfico desarrolla el grado de cumplimiento de parámetros generales y controles
que permiten minimizar riesgos asociados a la protección de los activos de
información y la segurización de los mismos.
EL RESULTADO
13%
46%
87%
41%
Objetivos de Control Aplicados
No aplicados
Procesos no definidos o no
formalizarlos
No se aplica nada de SGSI
Gráfico, refleja el grado de cumplimiento sobre las cláusulas y objetivos de
control de la norma, el tiempo funcional de implementación de la misma y el
proceso de auditoria para la certificación y mejora continua del sistema de
gestión de seguridad de la información.
Considerar a la seguridad como un sistema de gestión de seguridad de la
información.
No enfocar la seguridad solo a soluciones tecnológicas.
Definir formalmente un plan estratégico orientado a la seguridad de la información.
Enfocar el área actual de seguridad informática (netamente técnica), a un área de
seguridad de la información.
Contar con Políticas claras y Procedimientos formales que garanticen un escenario
de trabajo estandarizado con actores orientados a los objetivos y requerimientos de
la organización.
Contar con un proceso formal de atención de incidente relativo a la seguridad.
RECOMENDACIONES
OBJETIVO
Lograr en el Gobierno provincial una cultura interna orientada a la protección de los
activos de la organización y posicionamiento frente a los ciudadanos mediante la
mejora de los servicios en forma permanente.
VALOR DE APLICABILIDAD Y ESCENARIOS
Operar de forma estandarizada, con aplicabilidad de controles efectivos a fin de
minimizar los riesgos y potenciales impactos tanto para los ciudadanos como para
la gestión interna de GOBIERNO DE LA PROVINCIA DE CÓRDOBA.
META
Adecuar el entorno de seguridad informática del GOBIERNO DE LA PROVINCIA
DE CÓRDOBA, desarrollándose e implementándose el sistema de gestión de
seguridad de la información establecido por la norma ISO 17799 / ISO 27001
PLAN DIRECTOR
ETAPA DE DISEÑO, DESARROLLO E IMPLEMENTACIÓN
Para establecer y gerenciar un Sistema de Gestión de la Seguridad de la
Información en base a ISO 27001, en primera instancia se definirá el ciclo
continuo PDCA, tradicional en los sistemas de gestión de la calidad.
Siendo esto:
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
Unificado al PDCA se definirá a los integrantes del comité de seguridad y SGSI.
Hecho esto se establecerán las futuras actividades por cada etapa del proceso
ETAPA DE CAPACITACIÓN
Capacitación sobre la norma ISO 27001:2005
Capacitación a la dirección para determinar si las actividades desarrolladas por las
personas y dispositivos tecnológicos para garantizar la seguridad de la información se
desarrollan en relación a lo previsto;
Capacitación a los responsables operativos sobre manuales y procedimientos
adoptados e implementados para la gestión de la seguridad de la información.
Curso a auditores internos para la evaluación del cumplimiento del sistema de
gestión de seguridad de la información y su mejora continua.
ETAPA DE CERTIFICACIÓN
La presente etapa contempla las siguientes actividades:
ISO 27001 – Pre Auditoría (evento opcional) ISO 27001 – Auditoría de Certificación
Fase 1 ISO 27001 – Auditoría de Certificación Fase 2
ISO 27001 – Auditoría de Mantenimiento (auditorías de Mantenimiento con
periodicidad Anual, durante el periodo de tres años.)
VALORACION DE LOS RIESGOS ASOCIADOS
PROBABILIDAD * IMPACTO + ACEPTACION
DISTRIBUCION DEL RIESGO ASOCIADO
Porcentaje de Riesgos a reducir en Equipamiento de Servicios de Mision Critica
25%
65% 20%Servicios de Criticidad Alta
Servicios de Criticidad Media
Servicio de Criticidad Baja
Tener una visión mas clara del estado actual y poder planificar
efectivamente la seguridad de la información.
Detectar los recursos y servicios de misión critica
Mitigación en un 10% de los riesgos mas críticos
Creación de un COMITÉ DE SEGGURIDAD
Elaboración de las políticas generales de uso de la información del
gobierno de la provincia.
CONCLUSIONES GENERALES DEL PROYECTO
MUCHAS GRACIAS!!!