Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Anuncio 
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DEL
PROCESO DE GESTION DE COMUNICACIONES Y RELACIONES
EXTERNASDE LA UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
RAUL ANTONIO MORA
CODIGO 0152677
CARLOS EDUARDO CARVAJAL
CODIGO 0152834
Presentado a
Ing. JEAN POLO CEQUEDA
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
FACULTAD DE INGENIERÍAS
INGENIERÍA DE SISTEMAS
CÚCUTA
2013
1. ESTABLECIMIENTO DEL CONTEXTO
Consideraciones Generales
El propósito de la gestión del riesgo en la seguridad de la información es preparar
un plan de respuestas a incidentes q se podrían presentar debido a un grupo de
amenazas y riesgos a evaluar y clasificar, que atentan contra la integridad de la
información, ya que esto afecta a la correcta ejecución de diversos procesos de la
Universidad Francisco de Paula Santander y en particular al proceso de Gestión
de la Comunicación y Relaciones Externas.
Alcance y Limites
Este documento forma parte dela Gestión del Riesgo en la Seguridad de la
Información del Proceso de Gestión de Comunicacionesy Relaciones Externas de
la Universidad Francisco de Paula Santander, y describe los procesos y las
actividades realizadas por esta División en el marco del Plan de Gestión de
Riesgos.
El alcance de la aplicación de la norma ISO 27005:2008 serán aquellas
actividades que se llevan a cabo en el proceso de Gestión de Comunicación y
Relaciones Externas, ya que será critico proteger las actividades que dan forma y
cuerpo a dicho proceso. Los limites se marcarán dentro del ámbito legal
competente en el marco jurídico nacional.
Organización para la Gestión del Riesgo
La organización a quienes se dirigirán las responsabilidades de la gestión del
riesgo será compuesto por Raúl Mora y Carlos Carvajal, quienes deberán definir
las funciones y responsabilidades de todas las partes, tanto internas como
externas; el modo de escalar las rutas para la toma de decisiones y especificar los
registros que se deben conservar. Esta organización fue aprobada por el señor
rector Hector Parra.
Miembros del equipo de la organización para la gestión del riesgo
Miembros del equipo
Directores Comité de Seguridad
Raúl Mora
Carlos Carvajal
Rector UFPS
Héctor Miguel Parra López
Lider Proceso Gestion de
Comunicación y Relaciones
Externas
Janeth Celis Quintero
Otros
Todos los involucrados que hacen
uso de los activos disponibles, como
docentes, administrativos y
estudiantes de la UFPS.
Descripción de Actividades
Procesos de Comunicación:

Determinar necesidades del proceso.

.Determinar las líneas de producción radial, impresos, audiovisuales, como
forma de apoyo a los procesos misionales.

Priorización de líneas de producción radial, impresos y audiovisuales.

Determinar las necesidades del plan.

Diseñar estrategias de comunicación a nivel externo e interno.

Ejecutar Plan general de Comunicación.

Ejecutar Plan de líneas de Producción.

Ejecutar el plan educativo.

Ejecutar el plan de protocolo rectoral.

Elaborar el plan de estrategias.
Direccionamiento estratégico:

Proponer el plan general de comunicación que incluye plan de medios.
Gestion de bienes educativos, gestión estudiantil, investigación y procesos de
comunicacion

Proponer planes educativos diversificados a través de los medios y
herramientas de comunicación.
Gestion Control Interno

Aplicar indicadores de eficacia, eficiencia y efectividad.
Para esto, se implementará la herramienta PILAR para realizar el análisis y la
gestión de riesgos, basado en la norma ISO 27001 que nos permita lograr cada
uno de los siguientes objetivos:

Delimitar claramente los requisitos de seguridad, definiendo los objetivos y
la política de seguridad.

Evaluar los riesgos de modo sistemático mediante:
1. Identificación y valoración de activos.
2. Identificación y valoración de amenazas y vulnerabilidades asociándolas a
los activos.
3. Cálculo del riesgo.
4. Identificación de la opción de tratamiento de riesgo.
5. Selección de controles para reducir los riesgos a nivel aceptable.
Definir, implementar y supervisar los controles que permiten hacer un seguimiento
de la evolución de los riesgos.

Supervisar y verificar la eficiencia del SGSI implementado.

Adoptar de un sistema de mejora continua para mantener el SGSI
actualizado y acorde con la evolución de las necesidades de la
organización.
2. EVALUACION DEL RIESGO
Políticas De Seguridad
Debido a que la información que gestiona el Proceso de Gestion de Comunicación
y Relaciones Externas de la Universidad es muy importante y delicada, es
fundamental para la UFPS ofrecer a sus empleados y administrativos mantener la
seguridad y eficiencia de sus datos, la infraestructura y los recursos humanos.
Esto hace que sea fundamental disponer de un sistema de gestión de seguridad
de la Información que cuente con la certificación ISO 27005 por parte de una
entidad auditora facultada por ISO y el objetivo es conseguirlo en un plazo de 1
año.

La UFPS es una institución pública de educación superior, orientada al
mejoramiento continuo y la calidad en los procesos de docencia
investigación y extensión, cuyo propósito fundamental es la formación
integral de profesionales, comprometidos con la solución de problemas del
entorno, en busca del desarrollo sostenible de la región. Conscientes de la
importancia que la seguridad de la información tiene para el desarrollo de
esta formación se ha decidido implantar un plan de respuesta a incidentes.

El proceso de Gestion de Comunicaciones y relaciones exteriores
establece, define y revisa unos objetivos dentro de su sistema de gestión de
seguridad de la Información encaminados a mejorar su seguridad,
entendiéndola como la conservación de la confidencialidad, disponibilidad e
integridad de su información así como de los sistemas que la soportan,
aumentando la confianza de nuestros alumnos, empleados y otras partes
interesadas; junto con el cumplimiento de todos los requisitos legales,
reglamentarios y contractuales que le sean de aplicación.

Promover el uso de las mejores prácticas de seguridad informática en el
trabajo, para que los usuarios colaboren con la protección de la información
y recursos institucionales y proponer los mecanismos de seguridad lógica,
en el ambiente informático de modo que se contribuya con la
confidencialidad, integridad y disponibilidad de la información.

La UFPS se compromete a la implantación, mantenimiento y mejora del
SGSI dotándolo de aquellos medios y recursos que sean necesarios e
instando a todo el personal para que asuma este compromiso. Para ello la
UFPS
implantará
las
medidas
requeridas
para
la
formación
y
concienciación del personal con la seguridad de la información. A su vez,
cuando los trabajadores incumplan las políticas de seguridad la Dirección
se reserva el derecho de aplicar las medidas disciplinarias acordes al
convenio de los trabajadores y dentro del marco legal aplicable, y
dimensionadas al impacto que tengan sobre la organización.

La responsabilidad general de la seguridad de la información recaerá sobre
el responsable del SGSI, siendo la Rectoría de la UFPS la máxima
responsable de éste.

Todo lo definido en esta política se concretará y desarrollará en normativas
y procedimientos del SGSI, las cuales se integrarán en la medida de lo
posible con otros sistemas de gestión de la organización compartiendo
aquellos recursos en pro de la optimización y buscando la mejora continua
de la eficiencia y eficacia de la gestión de los procesos.

La presente política será de aplicación a todo el personal y recursos que se
encuentran dentro del alcance del SGSI, se pone en su conocimiento y es
comunicada a todas las partes interesadas.

Corresponde al área de soporte técnico dar a conocer la lista de personas
que pueden tener acceso a los equipos y brindar servicios de
mantenimiento básico.

La reubicación del equipo de cómputo se realizara procedimientos que el
área de Seguridad informática emita para ello.

En caso de existir personal técnico de apoyo este notificará de los cambios
tanto físicos como de software que realice. Dando aviso a la oficina de
seguridad informática y notificando los cambios de los equipos para
adjuntarlos al inventario.

El acceso del personal se llevará a cabo de acuerdo a las normas y
procedimientos que dicta la oficina de Seguridad Informática

En concordancia con la política de la institución y debido a la naturaleza de
estas se llevara un registro permanente del tráfico de personal.

La oficina de Seguridad Informática deberá proveer de la infraestructura de
seguridad requerida en base a los requerimientos específicos de cada área.

Todos y cada uno de los equipos son asignado s a un responsable, por lo
que es de su competencia hacer buen uso de los mismos.

La oficina de Seguridad Informática es la responsable de proporcionar el
servicio de acceso remoto y las normas de acceso a los recursos
informáticos disponibles.

Para el caso especial de los recursos de SERVIDORES a terceros deberán
ser autorizados por la Dirección de Seguridad Informática.

El usuario de estos servicios deberá sujetarse al Reglamento de uso de la
Red de la UFPS y en concordancia con los lineamientos generales de uso
de Internet.
Política De Uso Adecuado De Estaciones De Trabajo.

Los equipos de su uso son parte del patrimonio Institucional, y por tanto se
debe buscar la mejor forma de utilizarlos, tomando en cuenta aspectos de
seguridad físicos y lógicos para su protección.
Políticas De Uso Para El Uso Adecuado De La Red De Datos

El proceso de Gestion de la Comunicaciones y relaciones externas de la
UFPS asigna a cada funcionario en apoyo al cumplimiento de sus labores,
una cuenta de acceso a la red de datos institucional, con la cual el dueño
puede accesar diferentes elementos que la componen como: servidores de
archivos, servidores de bases de datos, impresoras, archivos compartidos
en otras estaciones de trabajo, sistemas y aplicaciones Institucionales,
entre otros. Dicha cuenta es otorgada para facilitar las labores de los
funcionarios mediante el uso de tecnología informática. Por lo anterior, los
usuarios deben hacer uso de la red y de los servicios relacionados con
esta, estrictamente en cumplimiento de las labores institucionales, tomando
en consideración la privacidad de otros usuarios y la no saturación de la red
por uso indebido del ancho de banda, entre otros argumentos.
Política Para El Uso De Equipos Portátiles

Los funcionarios que tengan asignado cualquier equipo tipo portátil, deben
hacer correcto uso de los mismos y de la información que contienen,
porque dadas las características de ese tipo de tecnología, se presentan
más vulnerabilidades de seguridad, por las facilidades de conectarse
diferentes ambientes informáticos, en los cuales la institución no tiene
control, y adicionalmente son más susceptibles a robo o pérdida.
Política Para Uso De Unidades De Respaldo De La Información

Toda unidad que cuente con dispositivos para la realización de respaldos
(computadoras de escritorio, portátiles y servidores) debe velar porque se
haga un uso adecuado de esos recursos, utilizándolos únicamente para
cumplir con los intereses de la institución, y tomando en cuenta las
funcionalidades operativas del equipo. Adicionalmente debe resguardarse
las copias de la información que se reproduce en ellos garantizando que las
mismas sean almacenadas de manera segura.

la Institución deben elaborar un plan de recuperación y respaldo de
información, donde los respaldos deberán realizarse periódicamente
conforme las características de los equipos, las aplicaciones y los datos
asociados. El plan de recuperación y respaldo de la información debe
contemplar la realización de pruebas continuas para asegurarse que los
respaldos estén correctamente ejecutados y deben almacenarse en un
lugar seguro y lejano de la fuente de información original.
Análisis De Riesgos
Metodología para la clasificación de Riesgos Seleccionada: PILAR/EAR
Las herramientas EAR soportan el análisis y la gestión de riesgos de un sistema
de información siguiendo la metodología que para el caso de estudio se
implementará en conjunto con la norma ISO 27005.
Los activos están expuestos a amenazas que, cuando se materializan, degradan
el activo, produciendo un impacto. Si estimamos la frecuencia con que se
materializan las amenazas, podemos deducir el riesgo al que está expuesto el
sistema. Degradación y frecuencia califican la vulnerabilidad del sistema.
PILAR conjuga los activos TIC de un sistema con las amenazas posibles, calcula
los riesgos y nos permite incorporar salvaguardas para reducir el riesgo a valores
residuales aceptables. Esto nos permite fundamentar la confianza en el SGSI de la
Institución.
La Universidad como Institución pública depende de forma creciente de las
tecnologías de la información y comunicaciones (TIC) para la consecución de sus
objetivos de servicio. La razón de ser de PILAR está directamente relacionada con
la generalización del uso de los medios electrónicos, informáticos y telemáticos,
que supone unos beneficios evidentes para la comunidad Universitaria; pero
también da lugar a ciertos riesgos que deben minimizarse con medidas de
seguridad que generen confianza en el uso de tales medios.
Los objetivos perseguidos por la Herramienta PILAR son:

Realizar el análisis de riesgos según la metodología ISO/IEC 27005:2008

Diseño del plan de mejora de la seguridad.
Análisis Cualitativo
Identificación de Activos: Los activos pueden agruparse en las siguientes
categorías:
Activos
Activos fisicos
Centros de datos
Servidores
Equipos de Produccion de television
Equipos de escritorio
Equipos móviles
Teléfonos móviles
Software de aplicación de servidor
Software de aplicación de usuario final
Enrutadores
Conmutadores de red
Equipos de fax
PBX
Medios extraíbles (por ejemplo, cintas, disquetes,
CD-ROM, DVD, discos duros portátiles, dispositivos
de almacenamiento PC Card, dispositivos de
almacenamiento USB, etc.)
Fuentes de alimentación
Sistemas de alimentación ininterrumpida
Sistemas contra incendios
Sistemas de aire acondicionado
Sistemas de filtrado de aire
Otros sistemas de control medioambiental
Activos de
informacion
Código fuente
Datos del proceso
Contraseñas de empleados
Claves de cifrado privadas de empleado
Claves de cifrado de sistema informático
Propiedad intelectual
Datos de requisitos normativos
Formatos
Actas
Planes estratégicos
Cartas
Diseño de infraestructura de red
Sitios Web internos
Cronogramas
Claves de cifrado públicas
Materiales de cursos
Personal


DIRCOM
Jefe de Prensa
Comunicadores Sociales

Corresponsales de prensa


Secretaria

Productores de televisión

Productores radiales

Camarografo

Dieñador grafico

Web master
Identificación del valor relativo de los activos:
Activos
Activos de
Información
Valor
Centros de datos
10
Servidores
10
Equipos de producción de television
10
Equipos de escritorio
5
Equipos móviles
3
Teléfonos móviles
3
Software de aplicación de servidor
3
Software de aplicación de usuario final
4
Enrutadores
3
Conmutadores de red
4
Equipos de fax
6
PBX
7
Medios extraíbles (por ejemplo, cintas, disquetes,
CD-ROM, DVD, discos duros portátiles,
dispositivos de almacenamiento PC Card,
dispositivos de almacenamiento USB, etc.)
Fuentes de alimentación
5
Sistemas de alimentación ininterrumpida
4
Sistemas contra incendios
Sistemas de aire acondicionado
4
Sistemas de filtrado de aire
6
Otos sistemas de control medioambiental
4
Activos de
Software
Código fuente
8
Datos recursos humanos
9
Datos financieros
9
Contraseñas de empleados
9
Claves de cifrado privadas de empleado
9
Claves de cifrado de sistema informático
9
Propiedad intelectual
9
Datos de requisitos normativos
6
Cartas
9
Actas
6
Planes estratégicos
9
Cronogramas
9
Personal
Diseño de infraestructura de red
6
Sitios Web internos
7
Claves de cifrado públicas
8
Materiales de cursos
4


DIRCOM
Jefe de Prensa
Comunicadores Sociales

Corresponsales de prensa

Secretaria

Productores de televisión

Productores radiales

Camarografo

Dieñador grafico

Web master

7
7
7
7
6
8
8
7
7
7
3. Tratamiento del Riesgo
Identificación de amenazas y vulnerabilidades de los activos
Activo
Amenaza
Probabilidad
Ocurrencia
Vulnerabilidad
Potencial
Facilidad
Frecuencia
Alternativas Posibles
Centros de datos
Puertas sin cerrojo
A
Falta de seguridad
L
M
1 AÑO
Gestionar puerta de seguridad
Servidores
Acceso no protegido
a las instalaciones
informáticas
M
Software
desactualizado
M
M
1 AÑO
Actualizar software y poner
vigilancia
Equipos de
producción de tv.
Equipos de escritorio
Obsolescencia en
los equipos
B
Incendios,
terremotos etc.
B
Posibles robos
B
Equipos móviles
Software de aplicación
de servidor
Falta de
conocimiento
Sistemas contra
incendios
insuficientes
S
D
1 MES
M
M
1 AÑO
M
F
1 MES
Informarse en las novedades
del mercado
Evitar el acceso físico no
autorizado
Evitar la pérdida de activos e
interrupción del servicio
Falta de seguridad.
M
Desactualización o
intrusión.
B
Inseguridad,
mantenimientos
inadecuados
F
1 MES
Crear responsabilidades en el
usuario y usar software de
seguridad
intrusión o mal uso.
Software de aplicación
de usuario final
Enrutadores
Materiales
inflamables
empleados en el
acabado
B
Conmutadores de red
contraseñas poco
seguras
M
M
control
B
M
instalaciones
inadecuadas
Ventanas sin cerrojo
Equipos de fax
PBX
Medios extraíbles (por
ejemplo, cintas,
disquetes, CD-ROM,
DVD, discos duros
portátiles, dispositivos
de almacenamiento
PC Card, dispositivos
de almacenamiento
USB, etc.)
Paredes que se
pueden asaltar
físicamente
Instalación situada
sobre una línea de
error
Instalación situada
en una zona de
inundaciones
B
B
B
B
Faltan revisiones
Fuentes de
alimentación
Sistemas de
alimentación
ininterrumpida
Sistemas
configurados
incorrectamente
Sistemas sin
proteger
B
M
ausencia de
equipos de
seguridad
Controlar el acceso a la
información
1 AÑO
Controlar el acceso a la
computadora
B
M
1 AÑO
B
F
1 AÑO
B
M
1 AÑO
cableados
desordenados y
expuestos
falta de
identificación de
personas, equipos
y áreas
físicamente
M
Sistemas contra
incendios
Sistemas de aire
acondicionado
Sistemas de filtrado
de aire
Otros sistemas de
control
medioambiental
Código fuente
Software antivirus
obsoleto
Datos del proceso
M
Falta de UPS
M
M
M
Software
desactualizado
S
F
Faltan revisiones
Datos financieros
Contraseñas de
empleados
Claves de cifrado
privadas de empleado
M
B
Falta de
conocimiento
M
B
Sistemas operativos
mal configurados
una vez al
año
cada mes
S
F
M
M
cada mes
Falta de seguridad.
Correos maliciosos
Claves de cifrado de
sistema informático
F
Falta de
conocimiento
Aplicaciones escritas
deficientemente
Errores de
configuración
S
una vez al
año
una vez al
año
Implantar planes para
mantener y recuperar las
operaciones
Proporcionar direccionalidad
en la seguridad de la
información
Propiedad intelectual
Datos de requisitos
normativos
Formatos
Actas
Planes estrategicos
Cartas
Diseño de
infraestructura de red
Sitios Web internos
Cronogramas
Claves de cifrado
públicas
Navegadores de
internet
B
B
Puertas traseras del
proveedor para la
administración o la
recuperación del
sistema
Programas espía
como aplicaciones
de captura de
teclado
Sistemas no
auditados
Sistemas no
protegidos
Sistemas no
supervisados
B
M
M
M
M
Materiales de cursos
Personal
virus,
M
Falta de UPS
M
M
uso inadecuado del
sistema,
B
Software
S
F
una vez al
año
Concientización y capacitación
del usuario
una vez al
Contratación directa
desactualizado
Errores humanos,
seguridad física.
B
año
S
F
Falta de
conocimiento
cada mes
cada mes
B
Falta de
conocimiento
M
S
F
M
M
una vez al
año
Falta de seguridad.
Gestión de Riesgos
La implantacióndel riesgo significa convertir todos los planes (especialmente de gestión de riesgo) diseñados en acciones. Esta tarea básicamente
implantará los siguientes elementos:

Políticas de seguridad

Procedimientos y normas

Nuevos productos de seguridad

Mejoras de los recursos actuales
Como por ejemplo aplicación de parches, nuevas versiones de software etc.
Documentos relacionados
1 de 4 OBJETIVO: Verificar la existencia de los elementos de control
1 de 4 OBJETIVO: Verificar la existencia de los elementos de control
Edición 01-2015
Edición 01-2015
Descargar
Anuncio
Anuncio