P. 1
Un Modelo Electrónico y una Metodología de un SGSI para PYMES (e-SGSI)

Un Modelo Electrónico y una Metodología de un SGSI para PYMES (e-SGSI)

|Views: 1,677|Likes:

More info:

Published by: Eric Donders Orellana on Jan 09, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

05/12/2014

pdf

text

original

FORMULACIÓN DE UN MODELO ELECTRÓNICO Y UNA METODOLOGÍA QUE PERMITAN DISEÑAR, IMPLANTAR y MANTENER UN PLAN DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

PARA PYMES: e-SGSI eTesis para optar al grado de Magister en Seguridad Informática y Protección de Información UNIVERSIDAD CENTRAL DE CHILE
FACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICAS Eric José Donders Orellana 2010

Profesor Guía: GABRIEL ROSENBERG LEVIT Profesores Informantes: JULIO GODOY DEL CAMPO y PEDRO ESCÁRATE MONETTA

Agenda
Introducción Objetivos Estado del Arte Fundamentos Metodología Servicio e-SGSI Caso de Estudio Resultados y Conclusiones

Introducción: Contexto

Gestión de Seguridad de la Información Seguridad de la Información Seguridad de las TIC’s

Gobierno de Seguridad de la Información

¿Dónde se encuentra inmerso este trabajo de Tesis?

Introducción: Antecedentes Seguridad de la Información ISO 27003 Estado de Chile OCDE Corfo

Introducción: Motivación
Dado experiencias previas de implantación de SGSI en grandes organizaciones Existen desafíos importantes para desarrollarlo en un PYME versus una organización grande Existe una oportunidad de negocio de implantar el SGSI en el Estado

Objetivo: Objetivo General

Disminuir los tiempos y costos de Implementación de un Sistema de Gestión de Seguridad de la información para las PYMES en el mediano plazo, en conformidad con la norma ISO 27001 y dar cumplimiento a las mejores prácticas según lo establecido en la norma ISO 27002

Objetivo: Objetivos Específicos
• Diseño de una Plataforma implantar SGSI en PYMES Electrónica para

• Diseño de una Metodología de Implantación de un SGSI para PYMES • Elaboración de un programa de trabajo para el Levantamiento de los Procesos de PYMES • Generación de un Análisis Diferencial (estudio de brechas) para PYMES • Elaboración de un Programa de Trabajo para implantar y mantener un SGSI para PYMES • •Elaboración de un curso para Capacitación para PYMES. • Generación de un conjunto de Políticas de Seguridad de la Información para PYMES • Elaboración de un informe ejecutivo final para PYMES

Introducción: Trabajo

Metodología

Plataforma Electrónica

e-SGSI

Estado del Arte en Gobierno de Seguridad de la Información: GRC
Gobierno Seguridad Información

Gobernabilidad de Seguridad de la Información GSI http://www.itgi.org/ ISACA Organización de profesionales de Seguridad http://www.isaca.org/

Gobierno

Cumplimie nto

Riesgos

Estado del Arte en Gestión de Seguridad de la Información: SGSI
Gestión Seguridad Información

http://www.27000.org/iso-27003.htm

http://www.iso27000.es/

Fundamentos
ISO 9001 NCh2909-2004 CMM (Capability Maturity Model) COSO y COBIT en el ámbito de la Auditoría Balanced Score Card y Métricas ITIL (IT Infrastructure Library) ISO 20000 Gestión de Servicio TI Serie ISO 27000
(ISO 27001, ISO 27002, ISO 27005, ISO 27003)

e-SGSI

Ciclo de Demming PDCA Gestión de Riesgo PPI Plataforma Comercio Electrónico e-commerce

Tesis

Metodología: Propuesta
Metodología de Implantación de un SGSI

Metodología: Levantamiento de Procesos en una PYME
Metodología para el levantamiento de procesos en la organización

Metodología: Identificación de Activos de Información
Clasificación de activos de la Información Metodología de las Elipses en la Identificación de activos de la Información

Por cada activo se indica su nivel de confidencialidad, integridad y disponibilidad

Cada activo se asigna ranking de 1 (bajo) a 5 (alto) según tabla

Metodología: Análisis y Evaluación de Riesgos
Roles y Responsabilidades Análisis de Amenazas y Vulnerabilidades

Matriz de Riesgo
PROBABILIDAD Muy Alta 5 Alta Moderada Baja Muy Baja 4 3 2 1 2 2 1 1 1
3 4 4 3 5 5 4 4 4 5 5 5 4 4

2 2 1 1

3 3 3 Moderado IMPACTO

1 2 Insignificante Menor

4 Mayor

5 Muy Alto

Metodología: Tratamiento de Riesgos
Flujo de Decisiones del CSI

Metodología: Análisis Diferencial de Seguridad básico
Lo mínimo de acuerdo a la ISO 27002

Controles Legislativos

Controles de prácticas de la seguridad de la información

Metodología: Evaluación de Controles
Evaluación de controles

Administración y Gestión de Comunicaciones y Operaciones

Evaluación de controles basado en ISO 27002

Evaluación de Controles Asociados a las TI

Aplicaciones

Metodología: Resumen de Evaluación
Resumen de la evaluación de controles basado en ISO 27002 (un Ejemplo)
Objetivo Cláusula de Control
Formación y capacitación en materia de seguridad de la información

Práctica Esperada
A pesar de los mecanismos de seguridad que se implanten esta siempre recae en último término en los usuarios. Es necesario establecer programas que enseñen a los usuarios que es la seguridad y cómo les protegen los distintos controles existentes, además de concienciarles de la necesidad de la seguridad.

Docume ntos

Aplica Fortalez Nivel Score S/N Tipo Clase Riesgo a Exposición

6.2.1

Si

Si

4

C

M

1

3

Cláusula: Indica el objetivo específico Objetivo de Control: Establece lo que se debe lograr Práctica Esperada: La acción a realizar Documentos de referencia: Documentos de la organización Aplica S/N: Indica si el control aplica o no

Score de Riesgo: Indica el nivel de riesgo obtenido en la evaluación de riesgos Tipo: Indica el tipo control (P, D, C) Clase: Indica la naturaleza del control (M, S, A) Fortaleza: Tipo*Clase Nivel de Exposición: Indica el nivel de exposición del control

Metodología: Iniciativas y Proyectos
Conjunto estructurado y priorizado con la lista de actividades inmediatas y las propuestas de proyectos de segurización orientados al mediano y largo plazo.

Sección ISO 3 4 5 5 6

Ámbito Temporal Largo Plazo Largo Plazo Actividad Inmediata Mediano Plazo Actividad Inmediata

Actividad o Proyecto Proyecto de Implantación de Procedimientos de S.I. Cooperación con organizaciones externas Difusión de Política de Clasificación de la Información Efectuar una clasificación de Activos Charlas de sensibilización a empleados

Metodología: Métricas
% de cumplimiento por sección de los controles
% de Cumplimiento por Sección según Modelo ISO 17799:2000
POLITICA DE SEGURIDAD SEGURIDAD ORGANIZACIONAL CLASIFICACIÓN Y CONTROL DE ACTIVOS SEGURIDAD DEL PERSONAL SEGURIDAD FÍSICA Y AMBIENTAL GESTIÓN DE COMUNICACIONES Y OPERACIONES CONTROL DE ACCESOS DESARROLLO Y MANTENIMIENTO DE SISTEMAS. ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS CUMPLIMIENTO LEGALES 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Madurez de los controles por área

Detalle del % de cumplimiento por sección de los controles, por ejemplo área de Gestión y Operaciones.
INTERCAMBIOS DE INFORMACIÓN Y SOFTWARE 8.7 ADMINISTRACIÓN Y SEGURIDAD DE LOS MEDIOS DE ALMACENAMIENTO 8.6 ADMINISTRACIÓN DE LA RED 8.5

1

MANTENIMIENTO 8.4

PROTECCIÓN CONTRA SOFTWARE MALICIOSO 8.3 PLANIFICACIÓN Y APROBACIÓN DE SISTEMAS 8.2 PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS 8.1

0%

20%

40%

60%

80%

Metodología: Plan de Implantación SGSI

“El Como”

Aportes de la Metodología
PYME No solo el Que sino el Como con entregables bien definidos Es flexibles a cambios futuros Es aplicable, es una metodología simple

Plataforma e-SGSI: Fuentes de Información
Sitios Web de Seguridad
• ISC2 • CERT/CC

Profesionales de Seguridad y Organización de Seguridad Internacional y Local (Chile)
• ISACA y Capítulo chileno de ISACA • ISSA y Capítulo chileno de ISSA

Consultoría Tradicional versus e-sgsi
• Tradicional • e-sgsi

Plataforma e-SGSI: Atributos
• Atributos de valor de la plataforma e-SGSI – Operación – Adaptación – Reutilización de los procesos de la organización – Adaptación de las cadenas de valor asociadas al SGSI – Posicionamiento como un atributo de calidad – Toma de decisión en tiempo real • Requerimientos de un e-SGSI

Plataforma e-SGSI: Requerimientos y modelo
Uso del modelo electrónico B2B para el e-SGSI Plataforma e-SGSI desarrollado hasta el prototipo

Servicio e-SGSI: Prototipo
• Plataforma e-SGSI • Toolkit de Implantación

Caso de Negocios: Descripción
El sistema de Gestión de la Seguridad de la Información (SGSI) se aplicó a todas las actividades de la Dirección de Presupuesto (DIPRES) establecidas en los sistemas PMG (Programa de Mejoramiento de la Gestión) que se encuentran en proceso de acreditación externa, bajo norma ISO 9001:2000, vale decir: • Servicio Planificación-Control de Gestión • Servicio Capacitación • Servicio de Compras y Abastecimiento • Servicio de Higiene y Seguridad • Servicio de Auditoría Interna http://www.dipres.cl/transparencia/doc/honorarios01/2007/hon01.asp

Caso de Negocios: Actividades y Entregables
“Diagnostico ISO 27001”
Etapa
Inicio del proyecto Definición del SGSI Gestión de Activos Análisis y Evaluación de Riesgos Tratamiento de Riesgos Revisión de fase de planificación

Duración (días)
5 10 10 10 15 10

El caso de negocio permitió validar los entregables de la metodología propuesta y así dar cumplimiento a los objetivos específicos de la tesis
Programa de Trabajo para proyecto de consultoría Material del curso de capacitación Políticas Actuales revisadas Diagramas de Procesos Políticas faltantes Cartera de Proyectos Plan de Implantación

Duración
3 meses (60 días hábiles) Costo Aprox. 300 UF

Resultados con un par de ejemplos
Reducción de riesgos
Gestión de código malicioso; la activación de Virus en el interior de la organización
Perdida anual sin Gestión AV US$25.000 = (5000*5) Perdida anual con Gestión AV US$5.000 = (5000*1)

Cumplimiento Legal
Publicación de una política de cumplimiento del derecho de propiedad intelectual de software que defina el uso legal de productos de información y de software

Resultados: Costos
Costo de Implantación de un SGSI
Fase1: Diagnóstico ISO 27001. Evaluar la condición en que se encuentra el ámbito a ser certificado respecto de los estándares que impone la norma

Costo de Implantación de un SGSI
Fase 1 + Fase2 : Consultoría SGSI. Implantación de la Norma SGSI 27001 en el ámbito que se determine

Conclusiones
La aplicación de la metodología desarrollada en esta tesis mediante la plataforma e-sgsi en el caso de negocio permiten emitir dos conclusiones. La metodología propuesta es aplicable, es decir, permite implantar un SGSI en la PYME El uso de la plataforma e-sgsi en su calidad de prototipo permiten en forma efectiva acortar los tiempos y costos de implantar un SGSI en la PYME

Lo que sigue
Desarrollo de un proyecto CORFO que permita transformar el prototipo en producto final y crear el plan de negocios para su venta Desarrollo de un nuevo PMG (Programa de Mejoramiento de Gestión) de Gobierno para la implantación de un SGSI en el Estado

“Cuando los vientos de cambios soplan, algunos construyen refugios y se ponen a salvo… otros construyen molinos y se hacen ricos” (Claus Möller) Möller)

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->