El presente documento se estructura de la siguiente manera:
El capítulo 2 está destinado a la presentación del marco teórico.
Los capítulos 3, 4, 5 y 6 abordan cada una de las cuatro etapas de desarrollo del proyecto de acuerdo con lo establecido por la sección 1.7.
Conclusiones Bibliografía Anexos
1.8.1. Marco teórico
Como se mencionó anteriormente, el marco teórico es desarrollado por el capítulo 2 y su propósito es brindar, al lector, el conocimiento mínimo necesario que se requiere para comprender el problema del presente proyecto: ¿cómo adaptar la metodología MAGERIT V3 para lograr gestionar los riesgos de la SI en el caso de estudio? El marco teórico tratará los siguientes temas: Gestión de riesgos de la SI, Proceso de planeación de un SGSI y Gestión de riesgos de la SI usando MAGERIT V3.
1.8.2. Desarrollo del proyecto
De acuerdo con lo discutido por la sección 1.7, el desarrollo del proyecto se estructura en 4 etapas: estudio de pre-factibilidad, formulación del proyecto, ejecución del proyecto y validación de la solución, cada una de las cuales es abordada, respectivamente, por los capítulos 3, 4, 5 y 6, tal y como se describe a continuación:
El capítulo 3 trata la primera etapa de desarrollo del proyecto: Estudio de pre- factibilidad, cuyo propósito es analizar el dominio del problema y determinar si se puede continuar con el proyecto. De acuerdo con lo establecido por la sección 1.7, en este capítulo se aborda la primera fase del proceso de planeación de un SGSI ilustrado por la Figura 2.2.
El capítulo 4 trata la segunda etapa de desarrollo del proyecto: Formulación del proyecto, cuyo propósito es analizar los aspectos esenciales relacionados con la construcción de la solución y el aseguramiento de su viabilidad. De acuerdo
32 1. Introducción
con lo establecido por la sección 1.7, en este capítulo se aborda las fases 2 y 3 del proceso de planeación de un SGSI expuesto por la Figura 2.2.
El capítulo 5 trata la tercera etapa de desarrollo del proyecto: Ejecución del proyecto, cuyo propósito es construir la solución del proyecto. Cabe recordar que la solución al problema estudiado por el presente trabajo es: “la adaptación
de la metodología MAGERIT V3 como mecanismo para la gestión de los riesgos de la SI en procedimientos, que como el caso de estudio, sean los encargados de gestionar proyectos de investigación en la Universidad del Cauca”
El capítulo 6 trata la cuarta etapa de desarrollo del proyecto: Validación de la solución, cuyo propósito es ejercitar la solución y corregir los errores que se detecten. De acuerdo con lo establecido por la sección 1.7, en este capítulo se evidencia el uso de la adaptación con el fin de ejecutar la fase 4 del proceso de planeación de un SGSI, con lo cual se logra identificar y corregir cualquier deficiencia en su formulación. De igual manera, este capítulo evidencia cómo la adaptación propuesta es evaluada por expertos y, finalmente, sometida a una encuesta de satisfacción al usuario encaminada a reforzar la validación de la adaptación.
1.8.3. Anexos
Anexo A: Políticas de la SI para el caso de estudio.
En este anexo se define un completo conjunto de políticas encaminadas a brindar soporte y orientación a la gestión de la SI en el caso de estudio.
Anexo B: Plantilla genérica de seguridad.
En este anexo se expone la guía para la implementación de la plantilla genérica como un mecanismo para la comunicación de problemas e incidentes de la SI.
Anexo C: Resultados de la gestión del riesgo
En este anexo se exponen los resultados de usar el MARA, producto de las adaptaciones a la metodología MAGERIT V3, para llevar a cabo la ejecución de la cuarta fase del proceso de planeación de un SGSI.
Anexo D: Evaluación de la solución.
En este anexo se exponen las evidencias de las actividades de evaluación a las que fue sometida la adaptación propuesta
33
Capitulo 2
Marco Teórico
2.1. Gestión de riesgos de la SI
Actualmente, las organizaciones, sin importar su tipo o tamaño, necesitan de sus activos de información para funcionar correctamente y alcanzar sus metas. Los activos de información se caracterizan por ser susceptibles a ataques, errores y vulnerabilidades inherentes a su uso, exponiendo a la organización a un nivel de riesgo que puede afectar la consecución de los objetivos propuestos por la dirección. Por lo anterior, resulta esencial proteger los activos de información a través de la implementación, operación, y mejoramiento de la SI, haciendo posible que la organización cumpla su misión, mantenga el cumplimiento de sus obligaciones legales y mejore su reputación.
Según [16, 17, 18] la SI contempla 3 dimensiones primarias para cada activo de información: confidencialidad, disponibilidad e integridad. Para proteger estas dimensiones, la SI involucra la implementación y gestión de las medidas necesarias para garantizar la continuidad del negocio y minimizar el impacto causado por el amplio rango de amenazas que somete a las organizaciones. Ahora bien, para lograr la SI, se debe implementar un conjunto apropiado de controles que serán seleccionados a través de un proceso formal para la gestión de riesgos.
La gestión de riesgos de la SI es un enfoque sistemático que busca identificar las necesidades de la organización con respecto a los requerimientos de la SI. Con el fin de reducir el riesgo hasta niveles aceptables, este enfoque analiza lo que puede suceder y las consecuencias que de ello se deriven, antes de decidir lo que se debería hacer y cuando hacerlo. Generalmente, la gestión de riesgos de la SI debería contribuir a la: