Gestión de Seguridad de Información según Norma ISO 27000 en

La norma internacional ISO 27000 no establece un nivel estándar. Es por eso que los intervalos encargados de concluir si las alcaldías cumplen con los requisitos establecidos por la norma ISO 27000, determinando si pueden o no acercarse a una certificación, se miden a través de una escala de medición de intervalos.

• Presentar un informe donde se dé a conocer el análisis y resultados correspondientes a las alcaldías de la zona sur del Departamento de Nariño.

Con los resultados obtenidos, se puede decir que lo que se planteó en la HO se ha confirmado:

“El estado de gestión de seguridad de la información en las alcaldías de la zona sur del Departamento de Nariño, no cumplen con los requerimientos mínimos establecidos en la norma ISO 27000.”

Comparación de los puntajes obtenidos por la alcaldía de Ipiales y Puerres.

• Conocer el grado o cumplimiento de la norma ISO 27000 en las alcaldías de la zona sur del departamento de Nariño.

DAA: se mide a través de los controles referentes a la norma para evaluar los procesos claves de las alcaldías.

La fórmula encargada de calcular el estado actual de una alcaldía, es la siguiente:

• Implementar la herramienta software para el diagnóstico de la norma ISO 27000 para una futura certificación.

Los intervalos encargados de concluir el estado de seguridad de la alcaldía, se miden a través del nivel de madurez, utilizando para este propósito la escala definida por el estándar COBIT.

Se realizó una encuesta con 66 preguntas agrupadas en 12 secciones.

Escala de valoración del nivel de madurez.

Estado actual de las 14 alcaldías.

Nivel de madurez Inicial:

Puerres, Gualmatán, Cuaspud, Iles, Córdoba, Aldana.

Potosí, Ipiales, Cumbal, Funes, Imués, Pupiales, Guachucal, El Contadero.

Nivel de madurez Repetible:

RECOMENDACIONES

• Dar una capacitación acerca de la norma ISO 27000, con la cual se logre optimizar un buen desempeño en las alcaldías.

• Implantar un SGSI en las alcaldías, realizándolo mediante un proceso sistemático, documentado y conocido por toda la organización.

• Continuar con el proyecto, ya que las alcaldías están interesadas en certificarse bajo la norma ISO 27000 y así tener un mejor control en la seguridad de la información.

• Implementen mecanismos que permitan mantenerlas seguras, donde se aplique la norma ISO/IEC 27001 como un sistema basado en procesos que busque garantizar la seguridad de la información, siguiendo una serie de pautas y controles que aplicados, minimizan los riesgos a los cuales están expuestas.

• Establezcan una política de seguridad de la información donde se encuentren definidos los objetivos y la importancia de la seguridad. Esta política debe ser publicada, comunicada, revisada y actualizada periódicamente.

METODOLOGÍA

Paradigma:

Positivista.

Cuantitativo.

Enfoque:

Método:

Científico.

Tipo de Investigación:

Descriptivo.

No experimental y transversal.

Diseño de Investigación:

CONCLUSIONES

DELIMITACIÓN

• Se pudo evidenciar que hay una mínima cultura en el tema de seguridad de información, carecen de políticas y normas, no hay responsables en seguridad, tampoco hay un control de inventarios de activos y hay una capacidad limitada para proteger la información.

CONCLUSIONES

• Las alcaldías de Puerres, Gualmatán, Cuaspud, Iles, Córdoba, Aldana se encuentran en un nivel de madurez Inicial y las alcaldías de Potosí, Ipiales, Cumbal, Funes, Imués, Pupiales, Guachucal, El Contadero, se encuentran en un nivel de madurez Repetible.

RECOMENDACIONES

• Las alcaldías no cuentan con un sistema de seguridad de la información, lo que conlleva a que no se realice una adecuada monitorización de los incidentes que pueden presentarse en ella.

RECOMENDACIONES

• Se debe evitar accesos no autorizados, daños e interferencias a las instalaciones y a la información de las alcaldías para así, impedir pérdidas, robos, daños o comprometer los activos.

• Se debe asegurar la operación correcta y segura de los recursos de tratamiento de información, minimizar el riesgo de fallos en los sistemas. Proteger la integridad del software y de la información.

• La certificación bajo la norma ISO/IEC 27001 contribuye a fomentar las actividades y procesos de protección de la información dentro de las organizaciones, mejorando su imagen y generando confianza ante terceros.

• Norma ISO 27000.
• Los municipios de:

Aldana El Contadero

Córdoba Cuaspud

Cumbal Funes

Guachucal Gualmatán

Iles Imués

Potosí Ipiales

Puerres Pupiales

• Para la herramienta LimeSurvey:

Las alcaldías de Ipiales y Puerres.

• Asignar funciones de seguridad, definiendo claramente las responsabilidades para la protección de activos y para la ejecución de procesos específicos. Promover eficazmente la educación, la formación y concienciación de la seguridad.

• Lograr y mantener la protección adecuada de los activos de las alcaldías, asegurando que la información reciba el nivel de protección adecuado.

CONCLUSIONES

• El promover la cultura organizacional en seguridad de la información es un trabajo continuo y de seguimiento total, debido a la innovación tecnológica y a las amenazas que conlleva a utilizarla.

• Las alcaldías de la zona sur del departamento de Nariño no están preparadas para obtener la certificación bajo la norma ISO 27000.

OBJETIVOS DE LA INVESTIGACIÓN

Objetivo General.

Objetivos Específicos

Seguridad de la Información.

Es un conjunto de reglas, planes y acciones que permiten asegurar la información manteniendo las propiedades de confidencialidad, integridad y disponibilidad.

SGSI.

El propósito es garantizar que los riesgos de seguridad de la información sean conocidos, asumidos, gestionados y minimizados de una forma documentada, sistemática, eficiente y adaptada a los cambios que se produzcan en el entorno y

las tecnologías.

Determinar el estado de gestión de seguridad de la información en las alcaldías de la zona sur del departamento de Nariño.

• Documentar la base teórica para el desarrollo de la investigación.

Objetivos Específicos

Norma ISO 27000. Conjunto de estándares desarrollados -o en fase de desarrollo- por ISO, que proporcionan un marco de gestión de la seguridad de la información

• Documentar la base teórica para el desarrollo de la investigación.

• Recolectar información en las alcaldías de la zona sur del departamento de Nariño.

• Analizar y medir la información recolectada en las alcaldías de la zona sur del departamento de Nariño.

• Conocer el grado o cumplimiento de la norma ISO 27000 en las alcaldías de la zona sur del departamento de Nariño.

• Implementar la herramienta software para el diagnóstico de la norma ISO 27000 para una futura certificación.

• Presentar un informe donde se dé a conocer el análisis y resultados correspondientes a las alcaldías de la zona sur del Departamento de Nariño.

Gestión de Seguridad de Información según Norma ISO 27000 en las Alcaldías de la Zona Sur del Departamento de Nariño.

Daniela De La Cruz Bolaños -

Gloria Mercedes López Risueño.

GRACIAS!!!

Pregunta #21.

La alcaldía realiza los debidos procedimientos después de un incidente de seguridad de información como:

FORMULACIÓN DEL PROBLEMA

¿Diagnosticar el estado de gestión de seguridad de la información en las alcaldías de la zona sur del departamento de Nariño?

Pregunta #6.

El tipo de acceso a la información por parte de personal externo es:

• Analizar y medir la información recolectada en las alcaldías de la zona sur del departamento de Nariño.

GESTIÓN DE LOS INCIDENTES

DE SEGURIDAD DE LA INFORMACIÓN.

Pregunta #19.

POLÍTICA DE SEGURIDAD.

Pregunta #4.

¿En la alcaldía de su municipio existe alguna política de manejo y seguridad de la información?

¿Se lleva control de reportes generados a los eventos y debilidades de la seguridad de la información asociados con los sistemas de información?

Pregunta #13.

¿Qué aplicaciones se les restringe a los usuarios a través de la red?

Política de manejo de seguridad de la información.

• Recolectar información en las alcaldías de la zona sur del departamento de Nariño.

Cuestionario de 25 preguntas que abarca todos los ítems de la norma ISO 27002.