Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

PROPUESTA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.CASO: CENTRO NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN

Trabajo de grado presentado ante el Decanato de Investigación y Post-Grado como requisito para optar al título de Magíster en Gerencia de las Tecnologías de Información y Comunicación. UNEFA
by

Jose Troconis

on 10 September 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of PROPUESTA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.CASO: CENTRO NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN

PROPUESTA DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN.
CASO: CENTRO NACIONAL DE TECNOLOGÍAS DE INFORMACIÓN (CNTI).

Conclusiones
GRACIAS POR SU ATENCIÓN
Recomendaciones
CONTENIDO
PLANTEAMIENTO DEL PROBLEMA
Planteamiento del Problema.
Objetivos de la Investigación.
Definiciones Técnicas.
Aspectos Metodológicos.
Análisis de Resultados.
Propuesta.
Conclusiones.
Recomendaciones.
OBJETIVOS DE LA INVESTIGACIÓN
INFORMACIÓN
CLIENTES
INVERSIONES
PROYECTOS
PRODUCTOS Y SERVICIOS
PLATAFORMA TECNOLOGICA
EMPLEADOS
AMENAZAS
DESINFORMACIÓN
MAL USO DE LOS RECURSOS
VIRUS INFORMATICOS
FRAUDES
SABOTAJE
ATAQUES INFORMATICOS (HACKING)
ORGANIZACIONALES
CONTROL DE ACCESO
RESPALDOS
FALTA DE MANTENIMIENTOS
NORMAS Y PROCEDIMIENTOS
RIESGOS
PLANTEAMIENTO DEL PROBLEMA
Sistemas de
Seguridad
Plataforma
Tecnológica
Institucional
Servicios
Internos
Servicios
Públicos
Empleados
Usuario
Administrador
Auditorías
RRHH
BIENES
FINANZAS
TECNICAS
Normas
PLANTEAMIENTO DEL PROBLEMA
PLANTEAMIENTO DEL PROBLEMA
Diseñar una propuesta de sistema de gestión de seguridad de la información para el Centro Nacional de Tecnologías de Información.
MARCO TEÓRICO
ISO 27000
Serie de normas ISO 27000.

GARANTIZAR la seguridad y protección de la información de Organizaciones.

Utiliza una arquitectura de gestión de la seguridad:
QUE PERMITA identificar y evaluar los riesgos que afectan al negocio.

CON EL FIN de implantar contramedidas, procesos y procedimientos para su control y mejora contínua.
Guía de buenas prácticas.

Describe objetivos de control y controles recomendables de seguridad de la información.

No es certificable.

Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
MARCO TEÓRICO
Cobit DS5: Garantizar la seguridad de los sistemas
Mantener la seguridad de los activos de información

Minimizar impacto de incidentes de seguridad.
Satisfacer los
Requisitos
Enfocándose
Definición de políticas, normas y procedimientos

Monitoreo, reporte y resolución de incidentes de seguridad.
Se logra
Entendimiento de vulnerabilidades y amenazas de seguridad.

Administración de identidades y autorizaciones de usuarios.

Pruebas de seguridad de forma regular.
El número de:
Incidentes.
Sistemas no seguros.
Violaciones en la segregación de tareas.
Se Mide
MARCO TEÓRICO
COBIT
Objetivos de Control para la Información y la Tecnología relacionada COBIT
(En ingles, Control OBjectives for Information and related Technology)

Buenas Practicas a través de un marco de trabajo de dominios y procesos.
TIPO Y DISEÑO DE LA INVESTIGACIÓN
Proyectiva y de campo.
Enfoque cuantitativo.
Investigación Documental de Estándares y Mejores Practicas.
Aplicación de Instrumentos.
Análisis de Resultados.
Evaluación de Activos.
Análisis de Riesgos.
Análisis Estratégico.
Diseño de Modelo.
Plan de Acción.
TIPO
DISEÑO
Fase Diagnóstico
Fase Evaluación
Fase Estratégica
POBLACIÓN Y MUESTRA
TÉCNICAS DE RECOLECCIÓN DE DATOS
Observación Directa.

Revisión Documental y Bibliográfico.

La Entrevista.

El Cuestionario.
Muestra Total = 20 Personas
Población = 320 Personas
SISTEMAS DE VARIABLES
Operacionalización de Variables
ANÁLISIS DE RESULTADOS
Normas y procedimientos actuales del CNTI
VARIABLE
Políticas y Organización
DIMENSIONES
Gestión de Seguridad de la Información actual del CNTI
Garantías
Evaluación de riesgos en la plataforma tecnológica del CNTI
Riesgos
Se requiere clasificar la información y aplicar de controles de seguridad.
Compromiso de la institución en aplicar un SGSI.
Positivos
Negativos
No se conocen:
CONTROLES ni normas de seguridad.
Asignación de ROLES y responsabilidades establecidas.
Control de acceso en la manipulación de la información.
Planes de contingencia ni recuperacion de desastres.
Auditorías de seguridad a la plataforma tecnologica de la institución.

No existe divulgación para la CONCIENTIZAR al personal en materia de seguridad de la información.

Personal insuficiente en la Oficina de Seguridad.

Ausencia de PLANES DE ADIESTRAMIENTO en el área de seguridad de la información.
Existen Algunos sistemas de seguridad en la plataforma tecnológica.
Gran parte de la información en la institución se considera pública.
La institución posee mecanismos de firmas digitales. PKI (No repudio).
No se garantiza la Disponibilidad, Integridad y Confidencialidad de la información.
Se conocen de sabotajes y ataques electronicos que afectaron la información.
Algunos sistemas de servicios públicos son vulnerables.
No se usan los mecanismos que garantizan el NO REPUDIO.
Negativos
Positivos
Existen una oficina de seguridad de la información que se encarga de mitigar las vulnerabilidades de la plataforma.
Conducta y filosofia humana enfocada en la libertad de la información son principales amenazas.

Plataforma técnologica no preparada para una contingencia de gran impacto.

Se conocen amenazas latentes en la institución.
Negativos
Positivos
PROPUESTA
Políticas
Normas
Procedimientos
Sistema de Gestión de Seguridad de la Información (SGSI)
Centro Nacional de Tecnologías de Información (CNTI)
Compuesto por un marco normativo de tres (3) documentos. Se elaboró completamente el manual de Politicas.
Serán de uso interno para la institución.
La metodologia pueden ser publicados para su uso en la Administración Pública Nacional (APN).
ESTRUCTURA DEL SGSI
Mayor Rango
1.- PROTECCIÓN DE LOS ACTIVOS DE INFORMACIÓN

2.- CLASIFICACIÓN Y CONTROL DE LOS ACTIVOS DE INFORMACIÓN

3.- CONTROL DE ACCESO A LA INFORMACIÓN Y SISTEMAS

4.- MODIFICACIÓN E INTERCAMBIO DE LA INFORMACIÓN

5.- ADQUISICIÓN Y MANTENIMIENTO DE APLICACIONES

6.- DESARROLLO Y EVALUACIÓN DE APLICACIONES

7.- CONTROL DE SEGURIDAD EN SISTEMAS FINANCIEROS

8.- SEGURIDAD DE INFRAESTRUCTURA TECNOLÓGICA

9.- CONSIDERACIONES RELACIONADAS CON LAS INSTALACIONES

10.- ASPECTOS DE SEGURIDAD RELACIONADOS CON EL PERSONAL

11.- MONITOREO, INCIDENTES Y AUDITORIA

12.- CONTINUIDAD DE LAS OPERACIONES DE LA INSTITUCIÓN

13.- CONTROL DE CAMBIOS
Descripción
Estructúra
Manual de
Procedimientos
Politicas de
de Seguridad
Manual de
Normas
Controles
Sistemas de
Seguridad
Plataforma
Tecnológica
Institucional
Servicios
Internos
Servicios
Públicos
Empleados
Usuario
Administrador
Auditorías
RRHH
BIENES
FINANZAS
TECNICAS
Normas Administrativas
Relación
Cobit define las actividades de TI en un modelo de 34 procesos genéricos agrupados en 4 dominios:
ESTRUCTURA
Identificar los procesos actuales de gestión de seguridad de la información en la Institución, para tener una visión general y actualizada de la plataforma tecnológica y sus sistemas de seguridad.

Describir la situación actual de normas y procedimientos existentes en la Institución, los cuales se utilizaran como base para el desarrollo del nuevo sistema de gestión.

Analizar la situación actual de riesgos en la plataforma tecnológica de la Institución, para determinar las vulnerabilidades y posibles amenazas que puedan atentar contra la información.

Establecer el diseño de la propuesta del modelo de sistema de gestión de seguridad de la información para el Centro Nacional de Tecnologías de Información.
Objetivo General
Objetivos Específicos
Documentos
Manual de Políticas de Seguridad de Información del Centro Nacional de Tecnologías de Información (PSICNTI)
ESTABLECE los requisitos y criterios de protección de activos de información.

Abarca cada NIVEL ORGANIZATIVO.

Busca conseguir una SEGURIDAD EFICAZ.

ALINEADO con la misión y visión de la Institución

DIRIGE la gestión de la seguridad de la información.
DEFINICIÓN de la seguridad de la información y sus objetivos.

Los OBJETIVOS de las política en línea con la misión y visión de la Institución.

Valoración y gestión del RIESGO.

RESPONSABILIDADES generales y específicas para la gestión.

REFERENCIAS a documentación de la Institución.
Manual de Normas de Seguridad de Información del Centro Nacional de Tecnologías de Información (NSICNTI)
Se BASA en el Manual de Políticas de Seguridad.

DEFINE lo que se debe proteger y los niveles de protección.

ABARCA la protección de todos los elementos de la plataforma tecnológica.

CUMPLIR cada objetivo de seguridad establecidos en la política.
OBJETIVO: Relacionados con la política que se intentan satisfacer.

DEFINICIONES: Términos que aparezcan en la norma.

RESPONSABLES: velarán por el cumplimiento de la norma.

INCUMPLIMIENTO: establecer las sanciones.
Manual de Procedimientos de Seguridad de Información del Centro Nacional de Tecnologías de Información (PrSICNTI)
ESPECIFICA el cómo, dónde y cuando realizar tareas operativas específicas.

Se BASA en las políticas y normas de seguridad.

SON CREADOS por la oficina de operaciones.

Son AVALADO por la Gerencia de Tecnología y Oficina de Seguridad de la Información.
OBJETIVO: Relacionados con la política que se intentan satisfacer.

DEFINICIONES: Términos que aparezcan en la norma.

ALCANCES: Limites donde el proceso es vinculante.

DESARROLLO DEL PROCESO: Actividades realizar en la ejecución del proceso:
Responsable del control.
Controles aplicados y cómo se realizarán.
Lugar dónde se ejecutará el procedimiento.
Fecha, frecuencia y plazo.
Explicación técnica extensa.
Estructura del Manual de Políticas de Seguridad de Información
Funciones
Declaraciones Relativas
Estructura
Funciones


Funciones
Estructura
Clausulas de Seguridad
Relación entre los manuales y la Organización
CONCLUSIONES
RECOMENDACIONES
¿PREGUNTAS?
ISO 27002
ISO 27001
Norma PRINCIPAL de la serie.

Contiene los REQUISITOS del Sistema de Gestión de Seguridad de la Información.

Es CERTIFICABLE por auditores externos a las Organizaciones.


Planificación y organización. (11)

Adquisición e implementación. (16)

Prestación y soporte. (13)

Monitoreo. (4)
Garantizar la seguridad de sistemas. (DS.5)
PO.1 hasta PO.11

AI.1 hasta AI.16

DS.1 hasta DS.13

M.1 hasta M.4
DOMINIOS
PROCESOS
Lineas Estrategicas:

1. Potenciar el uso de las TI en el sector Gobierno y las comunidades organizadas.

2. Impulsar el desarrollo y fortalecimiento de la capacidad nacional del sector de las Tecnologías de Información Libres.
¿Cual es la situación Real de Riesgos en los Sistemas Informáticos del CNTI?
HUMANAS
ELECTRONICAS
ESPIONAJE
CATASTROFES NATURALES
VULNERABILIDADES
¿La gestíon actual de seguridad informatica del CNTI es eficiente?
¿Es necesario implantar un Sistema de Gestión que garantice la Seguridad de la plataforma tecnológica y de la información en el CNTI?
Elementos Críticos Relacionados
Sistemas de A/A
Anti-incendios
Respaldos Electricos
Almacenamiento
MARCO TEÓRICO
La propuesta se basó en los soportes teóricos y practicos de estandares y buenas prácticas
Centro de Datos
Activo de Informacion Crítico
Full transcript