Las Empresas deben ser conscientes de la importancia que tiene para su negocio un de sus principales Activos, la Información.
Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI): La implementación de un SGSI, es una opción fundamental cuando se trata de proteger la información, ya que este tiene como objetivo esencial proteger los activos, a través de controles y políticas de seguridad, que deben ser aplicadas en una organización. La norma ISO 27002 es un estándar para la seguridad de la información que ha publicado la organización internacional de normalización y la comisión electrotécnica internacional. La versión más reciente de la norma ISO 27002:2013.
Plan Director de Seguridad:
Un Plan Director de Seguridad consiste en la definición y priorización de un conjunto de proyectos en materia de seguridad de la información con el objetivo de reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables, a partir de un análisis de la situación inicial.
Perfil del Responsable de Seguridad:
Uno de los perfiles más importantes en la implantación de un SGSI es el responsable de seguridad de la información.
La Dirección de la entidad debe comprometerse con la implementación, establecimiento, operación, monitorización, mantenimiento, revisión y mejora del Sistema de Gestión de Seguridad de la Información.
Hoja de Ruta:
La falta de coordinación y gestión “hoja de ruta” de los esfuerzos para gestionar la seguridad tienen un efecto negativo en el negocio y reducen la eficiencia de las operaciones y del personal técnico.
Planificación del Trabajo:
FASE 1 - Situación Actual:Contextualización, objetivos y análisis diferencial. FASE 2 - Sistema de Gestión Documental.
FASE 3 - Análisis de Riesgos. FASE 4 - Propuestas de Proyectos. FASE 5 - Auditoría de Cumplimiento.
_____________________________________________________________________________________________ Javier Benítez Kaskajares 88
Contextualización - Empresa AABBDDEE A.S.:
AABBDDEE A.S. Empresa ficticia objeto de este Trabajo, es una Empresa dedicada a los suministros industriales para las empresas de automoción.
Estructura y Jerarquía de la Organización:
_____________________________________________________________________________________________ Javier Benítez Kaskajares 89
Objetivos de la Seguridad de la Información:
El objetivo general es diseñar e implementar un sistema de gestión de seguridad de la información bajo la norma ISO/IEC 27001 en la Empresa AABBDDEE A.S., enfocado en los procesos de las áreas necesarias de la empresa, que permita establecer políticas de seguridad y disminuir el riesgo de la información ante un eventual ataque.
En la implantación del SGSI en la Empresa objeto de este trabajo es importante el estudio del
PDCA
(Plan - Do - Check - Act ) bajo la norma ISO/IEC 27001.Análisis diferencial:
En el análisis GAP en relación a los apartados 4 al 10 identificados en la Norma ISO 27001, hemos obtenido los siguientes resultados:
En el análisis GAP en relación a los controles de seguridad, con respecto a la norma ISO/IEC 27002, hemos obtenido los siguientes resultados:
_____________________________________________________________________________________________ Javier Benítez Kaskajares 90
Sistema de Gestión Documental:
En este plan de trabajo y para la Gestión Documental de la Empresa AABBDDEE A.S. nos centraremos en la realización de los siguientes DOCUMENTOS, exigidos en la implantación de un Sistema de Gestión de Seguridad de la Información, bajo la norma ISO 27001:2013:
Política de seguridad de la información.
Procedimiento de Auditorías Internas.
Gestión de Indicadores.
Procedimiento Revisión por Dirección.
Roles y Responsabilidades.
Metodología de Análisis de Riesgos: La metodología seleccionada para la
evaluación de riesgos es MAGERIT.
Declaración de Aplicabilidad.
Análisis de Riesgos:
Inventario de los Activos.
Valor de los Activos.
Amenazas.
Vulnerabilidades.
Probabilidad que se materialicen las Amenazas.
Establecimiento de Impactos en la Organización de la materialización de las
Amenazas.
Riesgo Residual.
Cálculo del nivel de riesgo.
Propuestas de Proyectos:
Se deberá identificar los proyectos que se deben llevar a adelante para implementar las salvaguardas necesarias para tratar los Riesgos identificados en el proceso de análisis de Riegos en la Empresa.
Una vez conocido el nivel de riesgo actual en la organización se debe determinar el denominado umbral de riesgo.
En función de las necesidades para la implementación de los Proyectos decididos para la mitigación de los Riesgos detectados, se ha definido la siguiente clasificación de Acciones:
Definir nuevas reglas
o Reglas que se encuentran documentadas mediante planes o Reglas que se encuentran documentadas mediante políticas
_____________________________________________________________________________________________ Javier Benítez Kaskajares 91
o Reglas que se encuentran documentadas mediante instrucciones
Aplicar las nuevas tecnologías
o Ubicaciones de recuperación de desastres para los centros de datos o Sistemas de copia de seguridad
o Sustitución de Hardware
Cambio en la estructura de la organización o Introducir una nueva función de trabajo
o Cambiar la responsabilidad de una posición existente
Planificación de los Plazos de Consecución de los Proyectos:
Verificación de la Implementación de los Puntos de Control:
Siguiendo normativas de buenas prácticas y en el cumplimiento de un correcto plan de implementación de un Sistema de Gestión de Seguridad de la Información, se introducen en este estudio, puntos de control para hacer un seguimiento de la correcta implantación, funcionamiento y conocimiento de los proyectos o acciones a realizar:
_____________________________________________________________________________________________ Javier Benítez Kaskajares 92
Auditoría de Cumplimiento:
Madurez CMM de los controles ISO: El objetivo de este proceso es determinar si el nivel de madurez que ha establecido la Empresa, es adecuado en función de lo analizado y comprobado durante la auditoria, en lo que respecta a los diferentes dominios de control y los 114 controles planteados por la ISO/IEC 27002:2013.
_____________________________________________________________________________________________ Javier Benítez Kaskajares 93
Nivel de cumplimiento de los requisitos de la ISO 27001 que vienen definidos entre los apartados 4 al 10:
Cumplimiento Actual:
_____________________________________________________________________________________________ Javier Benítez Kaskajares 94
Nivel de cumplimiento de los requisitos de la ISO 27001 que vienen definidos en el Anexo A:
Cumplimiento Actual:
_____________________________________________________________________________________________ Javier Benítez Kaskajares 95
8 - Referencias.
https://www.pmg-ssi.com https://www.pmg-ssi.com/2016/06/la-norma-iso-27002-complemento-para-la-iso-27001/ https://www.incibe.es https://www.incibe.es/protege-tu-empresa/que-te-interesa/plan-director-seguridad https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan-director- seguridad.pdf https://www.pmg-ssi.com https://www.pmg-ssi.com/2017/08/norma-iso-27002-politica-seguridad/ www.uoc.edu http://cv.uoc.edu/webapps/xwiki/wiki/matm1709/view/Main/Análisis+diferencial#Attach ments http://cv.uoc.edu/webapps/xwiki/wiki/matm1709/view/Main/Análisis+y+gestión+de+riesg os https://elperiodicodelaenergia.com https://elperiodicodelaenergia.com/la-china-catl-construira-una-fabrica-de-celulas-de- baterias-para-vehiculos-electricos-en-alemania/ https://www.itdigitalsecurity.es https://www.itdigitalsecurity.es/actualidad/2018/01/la-cifra-de-ciberataques-a-empresas- en-2017-podria-superar-los-350000
_____________________________________________________________________________________________ Javier Benítez Kaskajares 96 https://administracionelectronica.gob.es https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog /pae_Magerit.html#.W74gtvZuJQ8 https://www.google.es/search?q=imagenes+etapas+PDCA&tbm=isch&source=iu&ictx=1&fi r=9oNkADoKt50eFM%253A%252CuTxbhNGEwJ_yoM%252C_&usg=AI4_- kSVebsnGDmxfG5rF9egxXZTrzEomw&sa=X&ved=2ahUKEwiZxfy5rYjeAhVIJ8AKHSL5C_cQ9Q EwB3oECAYQEg#imgrc=9oNkADoKt50eFM: https://www.sigea.es https://www.sigea.es/isabes-cuantos-apartados-tiene-la-nueva-iso-27001/ https://www.sigea.es/wp-content/uploads/2013/09/iso270012013.png http://www.iso27000.es http://www.iso27000.es/sgsi_implantar.html http://www.iso27000.es/download/doc_sgsi_all.pdf http://www.hackplayers.com http://www.hackplayers.com/2013/12/principales-certificaciones-seguridad- hacking.html?m=1 Seguridad de la Información https://cursos.com/seguridad-informacion-profesion-futuro/
ISO 27001: El papel de la alta dirección en un SGSI
_____________________________________________________________________________________________ Javier Benítez Kaskajares 97
Seguridad y privacidad de la información
https://www.mintic.gov.co/gestionti/615/articles-5482_G7_Gestion_Riesgos.pdf
Metodologías Para el Análisis de Riesgos en los SGSi
http://hemeroteca.unad.edu.co/index.php/publicaciones-e- investigacion/article/view/1435/1874 Auditoria Informática https://es.slideshare.net/simondavila/clase-riesgosamenazasvulnerabilidades shd.gov.co www.shd.gov.co 27001 Academy https://advisera.com/27001academy/es/knowledgebase/lista-de-documentos-obligatorios- exigidos-por-la-norma-iso-27001-revision-2013/ http://www.iso27000.es http://www.iso27000.es/sgsi_implantar.html
Metodologías Para el Análisis de Riesgos en los SGSi
http://hemeroteca.unad.edu.co/index.php/publicaciones-e- investigacion/article/view/1435/1874 ISO TooLS https://www.pmg-ssi.com/norma-27001/ Metodologia-Magerit http://metodologia-magerit.blogspot.com/
_____________________________________________________________________________________________ Javier Benítez Kaskajares 98
9 - Anexos.
Organigrama funcional de la Empresa AABBDDEE A.S. Pág. 19. Diagrama de Red de la Infraestructura Tecnológica. Pág.21. Análisis diferencial apartados 4-10. Pág.29.
Análisis diferencial Controles de Seguridad. Pág.31. Política de Seguridad de la Información. Pág.38. Plantilla del modelo de Informe de Auditoría. Pág.39.
Plantilla del modelo de Registro de Revisión de la Dirección. Pág.41. Esquema Roles y Responsabilidades del SGSI en la Empresa. Pág. 42. Plantilla del documento de Declaración de Aplicabilidad. Pág.48.
Análisis de Inventario de Activos-Valoración-Amenazas-Impacto-Riesgo-Tratamiento Pág.50.
Diagrama de Gantt de la Planificación de ejecución de Proyectos. Pág.73. Diagrama de radar antes de la realización de los Proyectos. Pág.77. Diagrama de radar después de la realización de los Proyectos. Pág.78. Diagrama de Madurez CMM de los controles ISO. Pág.81.