Beruflich Dokumente
Kultur Dokumente
Aplicacin del Estndar ISO/IEC 27002 en la Gestin de los Procesos de Seguridad de Informacin en la Unidad de Abastecimientos de la UAC Tesista: Bach. Manuel Marroqun Zapata. Docente Asesor: Ing. Luis Alberto Sota Orellana.
CUSCO 12 DE ABRIL DEL 2012
INTRODUCCION
La Informacin es un Activo vital. Es necesario implantar un sistema que aborde esta tarea. En la actualidad la Unidad Neurlgica de la Direccin General de Administracin de la Universidad Andina del Cusco es la Unidad de Abastecimientos. Direccin General de Administracin (DIGA), Vicerrectorado Administrativo (VRAD) y la Direccin de Planificacin (DIPLA). Unidad de Contabilidad, Unidad de Tesorera, Almacn, Unidad de Patrimonio y a la Direccin de Recursos Humanos La ejecucin de un tem del Operativo Institucional (POI) Manual de Organizacin y Funciones (MOF) ha quedado desfasado.
2
70% y hasta el 80% desconoce si existe algn tipo de seguridad para proteger tanto el hardware como el software de su unidad. En la actualidad se trabaja con ms de dos software para hacer una sola labor.
FIGURA 1.2: DIAGRAMA DE PAQUETES DEL DIGA FUENTE: ELABORACIN DEL ESTUDIO.
Polticas de seguridad del nuevo sistema integrado no estn claramente definidas. Confidencialidad: Que tan solo un 20% de los encuestados usa contraseas de forma adecuada para el acceso. Disponibilidad: Cada del Sistema (Reinicios intempestivos de los Servidores) representa el 60% total de las fallas . Integridad: El 80% del personal Administrativo encuestado indica que la informacin que utiliza cotidianamente en sus labores en algn momento fue afectada o daada.
5
De qu manera la Aplicacin del Estndar ISO/IEC 27002 afectara en la Gestin de los Procesos de Seguridad de Informacin en la Unidad de Abastecimientos de la Universidad Andina del Cusco? Se necesita garantizar la Gestin de los Procesos de Seguridad de Informacin. El ISO provee herramientas que especifican los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de Seguridad de la Informacin
6
DELIMITACION DE LA INVESTIGACION
El ISO 27002 Consta de 11 Dominios, 38 Objetivos de Control y 133 Controles, por lo cual se delimita a solo poder aplicar ciertos controles importantes para el desarrollo de la tesis
OBJETIVOS DE LA INVESTIGACION
OBJETIVO GENERAL . Optimizar la Gestin de los Procesos de Seguridad de Informacin en la Unidad de Abastecimientos aplicando el Estndar ISO/IEC 27002 OBJETIVOS ESPECFICOS . Evaluar la seguridad de la Informacin . Especificar Requisitos . Establecer una metodologa de gestin de la seguridad de la informacin . Identificar amenazas y vulnerabilidades . Reducir el riesgo de prdida.
8
10
BENEFICIOS
11
12
FIGURA 2.4 MODELO PDCA APLICADO A LOS PROCESOS SGSI FUENTE: WWW.ISO27000.ES
13
UNIDAD DE CONTABILIDAD
UNIDAD DE TESORERIA
Jefe de Unidad
N=20 n=9.95
UNIDAD DE PATRIMONIO
UNIDAD DE ALMACEN
Jefe de Unidad
15
16
Pagar Serv icios Pagar Alquiler de Locales extend extend Atender por Tarifas Pblicas Ej ecutar mantenimiento de v ehiculos Jefe de Unidad
extend
Tcnico
Secretaria
Contratar Obras
Cotizador
Asignar Viaticos
17
FIG. 4.2: DIAGRAMA DE CASOS DE USO DE LA UNIDAD DE ABASTECIMIENTOS FUENTE: ELABORACIN DEL ESTUDIO.
18
19
20
21
CAPITULO V: PROPUESTA DE DISEO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA LA UNIDAD DE ABASTECIMIENTOS
REQUERIMIENTOS Y EXPECTATIVAS DE SEGURIDAD DE LA INFORMACION PROCESO PARA EL DISEO DEL SGSI Criptografa. Lgica. Autenticacin.
ESTABLECIMIENTO DEL SGSI. SGSI - DOCUMENTO A.1 SGSI - DOCUMENTO A.2 SGSI - DOCUMENTO A.3
22
ACTIVOS DE LA INFORMACION
NIVEL 1 ACTIVOS DE INFORMACION FACTOR DE CONFIDENCIALIDAD (Conf) CATEGORIA DESCRIPCION Bajo Puede ser revelado o proporcionado. Si su contenido fuera revelado, las consecuencias en la entrega de los servicios podran ser imperceptibles. Moderado Puede ser revelado o proporcionado nicamente a personal de la Universidad. Si su contenido fuera revelado, las consecuencias en la entrega de los servicios podran ser moderadas. Alto Puede ser revelado o proporcionado nicamente al personal de Unidad de Abastecimientos. Si su contenido fuera revelado, las consecuencias en la entrega de los servicios podran ser altas. Muy Alto Puede ser revelado o proporcionado nicamente al personal de la Unidad de Abastecimientos de la Universidad Andina del Cusco, que autorice el Gerente Nacional de dicho departamento. Si su contenido fuera revelado, las consecuencias en la entrega de los servicios podran ser fatales.
23
ACTIVOS DE LA INFORMACION
ACTIVOS DE INFORMACION FACTOR INTEGRIDAD (Int) DESCRIPCION NIVEL CATEGORIA 1 Bajo La modificacin de su contenido no afectara en los procesos. 2 Moderado La modificacin de su contenido afectara de manera moderada en los procesos. 3 Alto La modificacin de su contenido afectara considerablemente en los procesos. 4 Muy Alto La modificacin de su contenido afectara de manera muy relevante en los procesos.
24
ACTIVOS DE LA INFORMACION
ACTIVOS DE INFORMACION FACTOR DISPONIBILIDAD (Disp) CATEGORIA DESCRIPCION Bajo Si su contenido no estuviera disponible, las consecuencias en los procesos podran ser reducidas. Moderado Si su contenido no estuviera disponible, las consecuencias en la entrega de los servicios podran ser moderadas. Alto Si su contenido no estuviera disponible, las consecuencias en la entrega de los servicios podran ser altas. Muy Alto Si su contenido no estuviera disponible, las consecuencias en la entrega de los servicios podran ser fatales.
NIVEL 1
25
26
NIVEL 1
Leve
Moderado
Mayor
Catastrfico
ACTIVO Mantenimiento de vehculos Pago por servicio de contrato Mantenimiento y reparacin de bienes muebles e inmuebles. Otorgar bienes y suministros Adquisiciones de bienes y servicios
CONF INT 1 2 2 3 4 2 1 2 1 2 2 2 2 3 3 2 2 2 1 2
DISP NI 1 3 2 4 4 3 2 2 1 2 2 12 4 36 48 12 4 8 1 8
de ocurrencia, impacto y costo que podra tener al presentarse. Su ocurrencia implicara imperceptible de una la
prdida
prcticamente
seguridad de la informacin en la prestacin de los servicios. 16-35 Bajo El riesgo es bajo, considerando la probabilidad
Pago por otros servicios Atencin por tarifas pblicas Pago por servicios de vigilancia y limpieza Compra de pasajes areos Pago de alquiler de locales
de ocurrencia, impacto y costo que podra tener al presentarse. Su ocurrencia implicara una
prdida leve de la seguridad de la informacin en la prestacin de los servicios. 36-60 Moderado El riesgo es moderado, considerando la
impacto
presentarse.
implicara una prdida moderada de la seguridad de la informacin en la prestacin de los servicios. 64-90 Alto El riesgo es alto, considerando la probabilidad de ocurrencia, impacto y costo que podra tener al presentarse. alta de la Su ocurrencia implicara una prdida de la informacin en la
seguridad
prestacin de los servicios. 91-125 Extremo El riesgo es extremo, considerando la probabilidad de ocurrencia, impacto y costo que podra tener al presentarse. Su ocurrencia implicara la prdida total de la seguridad de la informacin en la
5 Muy Alto
En caso de
presentarse cierta
amenaza, su
costo sera muy alto. Se estima como costo muy alto a valores superiores a S/.30.000.
28
ANALISIS Y EVALUACION
29
ANALISIS Y EVALUACION
30
ANALISIS Y EVALUACION
31
32
CONTROLES PROPUESTOS
Una vez obtenido el tratamiento de riesgo para cada amenaza identificada, se procede a seleccionar los objetivos de control y controles ms adecuados de la Norma ISO 27002. A continuacin se presentan los objetivos de control y controles seleccionados:
33
34
35
36
37
38
39
40
41
42
43
44
45
MUCHAS GRACIAS
46