Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
ELABORACION DE UN PLAN DE SEGURIDAD DE LA INFORMACION
AUTOR: Ruth Aguilar Escobar CONSULTOR: Arsenio tortajada gallego
AREA DEL TRABAJO FINAL: Sistema de GesCón de la Seguridad de la Información FECHA PRESENTACION: 06/2017
Postgrado en Ges>ón y Auditoria de la Seguridad
CONTENIDO
• OBJETIVO DEL PROYECTO • JUSTIFICACION • DESARROLLO DEL PROYECTO • CONCLUSIONES
06/2017 RUA 2
Elaborar un plan director de seguridad de la Información de la Empresa A2 à la guía corporaCva para la implantación de las medidas de seguridad de la información y los sistemas de información
à de la mano con los objeCvos de la empresa
06/2017 RUA 3
OBJETIVO
-‐ Especifica los requisitos para establecer, implementar, mantener y mejorar de manera conCnua el sistema de gesCón de la seguridad de la información dentro del contexto de una organización.
-‐ Los requisitos son genéricos y son aplicables a todo Cpo de organizaciones, independientemente tamaño o naturaleza.
-‐ Es una norma cerCficable
06/2017 RUA 4
NORMA DE REFERENCIA ISO/IEC 27001:2013
Los acCvos más importantes a proteger son: -‐ la información y -‐ los sistemas que manejan la información à Es importante para las empresas garanCzar un manejo seguro de la información.
06/2017 RUA 5
JUSTIFICACION
Fase 1: Situación Actual Fase 2: Sistema de GesCón Documental Fase 3: Análisis de Riesgos Fase 4: Propuestas de Proyectos Fase 5: Auditoria de cumplimiento Fase 6: Presentación de Resultados y entrega de Informes
06/2017 RUA 6
DESARROLLO DEL PROYECTO
La empresa A2 es una empresa líder en la provisión de soluciones financieras y de pensiones à El éxito comercial esta relacionado con la integridad y la confidencialidad
à es de mucha importancia un manejo seguro de la información
FASE 1: SITUACION ACTUAL
06/2017 RUA 7
• Aplicaciones de contabilidad propias de la empresa.
• Aplicaciones para la gesCón de recursos humanos
• Aplicaciones para la gesCón de los productos (vida, vida empresas, vida independientes, grupo, pensión, saldo restante, …)
06/2017 RUA 8
Contexto …
• Crear y promover la cultura de seguridad dentro de la empresa • IdenCficar el nivel de seguridad existente en los sistemas, servicios y
aplicaciones • Definir los roles, las responsabilidades en materia de seguridad • IdenCficar los riesgos a los cuales están expuestos los acCvos de la
empresa • Definir los controles necesarios • Definir y planificar los planes de acción a realizar • Definir directrices en materia de la seguridad de la información • Implantar y hacer un seguimiento del plan de seguridad definido àGaranCzar la confidencialidad, integridad, disponibilidad y confiabilidad de la información y los sistemas de información que maneja la empresa
06/2017 RUA 9
ObjeCvos especificos del Plan
06/2017 RUA 10
Estado actual de la seguridad
06/2017 RUA 11
• PolíCca de Seguridad • Procedimiento de auditorias internas • GesCón de Indicadores • Declaración de aplicabilidad • Procedimiento Revisión por la Dirección • GesCón de Roles y Responsabilidades • Metodología de análisis de Riesgo
FASE 2: SISTEMA DE GESTION DOCUMENTAL SGSI
06/2017 RUA 12
• Inventario de AcCvos • Valoración de AcCvos • Análisis de Amenazas • Impacto potencial • Impacto de Riesgo Aceptable y riesgo Residual
FASE 3: ANALISIS DE RIESGOS
06/2017 RUA 13
INVENTARIO DE ACTIVOS
06/2017 RUA 14
06/2017 RUA 15
INVENTARIO DE ACTIVOS
VALORACION DE ACTIVOS
06/2017 RUA 16
06/2017 RUA 17
VALORACION DE ACTIVOS
ANALISIS DE AMENAZAS
06/2017 RUA 18
06/2017 RUA 19
ANALISIS DEVULNERABILIDADES Y AMENAZAS
IMPACTO POTENCIAL
06/2017 RUA 20
NIVEL DE RIESGO ACEPTABLE Y RIESGO RESIDUAL
06/2017 RUA 21
06/2017 RUA 22
06/2017 RUA 23
IMPACTO DE RIESGO ACEPTABLE Y RIESGO RESIDUAL
FASE 4: PROPUESTAS DE PROYECTOS
06/2017 RUA 24
FASE 4: PROPUESTAS DE PROYECTOS
06/2017 RUA 25
06/2017 RUA 26
CUMPLIMIENTO DESPUES DE LA IMPLEMENTACION DE PROYECTOS
06/2017 RUA 27
06/2017 RUA 28
EVOLUCION DE LOS DOMINIOS
Se evalúa el nivel de cumplimiento con las buenas prácCcas en materia de seguridad. Marco de referencia à ISO/IEC 27002:2013 11 dominios y 114 objeCvos de control
FASE 5: AUDITORIA DE CUMPLIMIENTO
06/2017 RUA 29
• Evaluación al cumplimiento de cada uno de los controles de la norma ISO / IEC 27002: 2013 uClizando Modelo de Madurez de la Capacidad (CMM).
06/2017 RUA 30
Metodologia
-‐ Fase 1: Recolección de la Información -‐ Fase 2: Ejecución de pruebas documentadas -‐ Fase3: Análisis de la información
à a parCr de este análisis que se puede concluir la efecCvidad de los controles implementados.
-‐ Fase 4: Elaboración y presentación del Reporte de la Auditoria
FASES
06/2017 RUA 31
FASE 5: AUDITORIA DE CUMPLIMIENTO
06/2017 RUA 32
06/2017 RUA 33
FASE 5: AUDITORIA DE CUMPLIMIENTO
06/2017 RUA 34
FASE 5: AUDITORIA DE CUMPLIMIENTO
06/2017 RUA 35
FASE 5: AUDITORIA DE CUMPLIMIENTO
06/2017 RUA 36
06/2017 RUA 37
FASE 5: AUDITORIA DE CUMPLIMIENTO
INFORME DE AUDITORIA
06/2017 RUA 38
-‐ ObjeCvo -‐ Alcance -‐ Metodología -‐ Hallazgos o No conformidades o Punto fuertes o Oportunidades de mejora
• Memoria • Informe EjecuCvo • Presentacion (video)
FASE 6 : PRESENTACION DE RESULTADOS
06/2017 RUA 39
• La implementación de un Plan de Seguridad de la Información es un proceso conCnuo
• La implementación de este plan ha mejorado el nivel de seguridad de la información en la empresa.
• Requiere de la parCcipación y del compromiso de todos los miembros del personal y principalmente de la Dirección.
• Se ha creado una estructura interna con responsabilidad directa sobre la seguridad de la información. Se han definido los roles y las responsabilidades.
• Este plan consCtuye la única guía corporaCva que implementa de las medidas de seguridad de la información y los sistemas de información dentro de la organización.
• El proceso de formación/concienCzación es fundamental para la evolución exitosa de este plan. Si bien se ha logrado mejorar los niveles de concienCzación del personal, se recomienda que el proceso de formación sea conCnua
CONCLUSIONES DEL PROYECTO
06/2017 RUA 40