Transcription of IMPLEMENTACION DE UN SISTEMA DE GESTIÓN …
1 1 IMPLEMENTACION DE UN SISTEMA DE GESTI N DE SEGURIDAD DE LA INFORMACI N (SGSI) EN LA COMUNIDAD NUESTRA SE ORA DE GRACIA, ALINEADO TECNOL GICAMENTE CON la norma ISO 27001 Andr s Fabi n D az, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz1, Gustavo Adolfo Herazo P rez Resumen ste art culo es el resultado de un proyecto de investigaci n, adelantado por un grupo de estudiantes de ingenier a de sistemas con el fin de implementar un SGSI2 en la Comunidad Nuestra Se ora de Gracia. Este SISTEMA se basa en las directrices indicadas en la norma ISO/IEC 27001, y en el marco del mismo se gener un an lisis de gap3, que permiti evidenciar un nivel de brechas significativo en la mencionada Comunidad, con base en el cual se establecieron pol ticas y controles de mejoramiento de los procesos de seguridad de la informaci n y se definieron las declaraciones de aplicabilidad que fortalecieron todo el an lisis de riesgos efectuado.
2 Ndice de T rminos IEC: International Electrotechnical Commission. SOA: Declaraci n de aplicabilidad. I. INTRODUCCI N La cantidad y la complejidad de la informaci n siguen teniendo un aumento considerable y los profesionales de TI4 se enfrentan cada d a a retos inimaginables para abordar las amenazas que persisten en la sociedad actual y que no muestran signos de desaceleraci n. Amenazas representativas, tales como el troyano Hydraq5, se pueden seguir presentando indefinidamente en los mbitos computacionales, causando p rdidas econ micas significativas. [1] 2 SISTEMA de Informaci n para el Control de Gesti n de Seguridad de la Informaci n 3 Un an lisis de gap, permite comparar los procesos actuales que tiene la organizaci n con los lineamientos de cumplimiento de la norma ISO/IEC 27001 y establecer en qu reas o procesos se debe priorizar y enfocar el esfuerzo para permitir incrementar la seguridad de la informaci n.
3 (Fuente: ) 4 Technology Information, Tecnolog a de Informaci n 5 Reportes de Symantec, uno de los principales representantes de soluciones para la seguridad de la informaci n. Acerca de Hydraq disponible en: 2 Debido a esto, las empresas necesitan proteger y reforzar su activo m s valioso: la informaci n . Esta necesidad se ve agravada, debido a que los datos de una empresa y su complejidad de an lisis crecen exponencialmente, raz n por la cual se requiere establecer una disciplina de seguridad que determine un per metro para las debilidades del negocio6 [2]. Es claro que las organizaciones han sido conscientes que la certificaci n representa un instrumento para demostrar que sus organizaciones poseen un SGSI con el fin de asegurar y controlar sus procesos de negocios y de misi n cr tica7.
4 El trabajo descrito en el presente art culo fue desarrollado en la Comunidad Nuestra Se ora de Gracia, de la ciudad de Bogot , a la cual se realiz un proceso de diagn stico, a partir del cual se determin que no pose a los mecanismos, ni los procesos id neos para proteger su informaci n. Con base en esta situaci n, se decidi realizar un plan piloto para implementar pol ticas que se ajustaran a la norma ISO/IEC 27001, adem s de dise ar e implementar un SISTEMA de informaci n web que ayudara al equipo de stakeholders8 al levantamiento inicial de informaci n, al an lisis de brechas y de gap; y que ayudara al auditor de la comunidad al seguimiento y gesti n de cada uno de los procesos de la norma .
5 II. METODO Desde el inicio del proyecto se utiliz una serie de pasos que permitieron una adecuada ejecuci n del SGSI y un resultado exitoso del mismo, los cuales se describen a continuaci n9. 1. Programaci n del proyecto con el personal de la direcci n de la Comunidad. Este proceso permiti que la alta gerencia de la Comunidad entendiera la importancia del proyecto piloto y la necesidad del apoyo del recurso humano, factor vital para el 6 METODOLOG A PARA LA INCORPORACI N DE MEDIDAS DE SEGURIDAD EN SISTEMAS DE INFORMACI N DE GRAN IMPLANTACI N Disponible en: 7 ENTREGABLES 3, 4, 5 y 6: INFORME FINAL MODELO DE SEGURIDAD DE LA INFORMACI N SISTEMA SANSI - SGSI - MODELO DE SEGURIDAD DE LA INFORMACI N PARA LA ESTRATEGIA DE GOBIERNO EN L NEA.
6 8 Es importante resaltar que el t rmino stakeholders representa aquellas personas o colectivos que tienen alg n tipo de inter s sobre la empresa con un fin en particular, generando diversos efectos en el mejoramiento de los procesos de negocios 9 CHECKLIST DE IMPLEMENTACI N DE ISO 27001. 3 inicio de la fase de levantamiento de informaci n. Esta fase fue exitosa gracias a que se mostraron puntos tales como: cumplimiento y rendimiento de la inversi n de una forma eficaz, haci ndoles entender que si una organizaci n cumple con la normatividad sobre protecci n de datos sensibles, privacidad y control de TI, los resultados a futuro mejorar an de forma sustancial el impacto estrat gico de la compa a, y aunque represente un gasto considerable, genera as mismo a futuro un ROI10 y una ganancia financiera representados en incidentes o desastres inform ticos.
7 2. Definir el alcance. Por la complejidad de la implementaci n de la norma , se recomend a la Comunidad definir de manera sistem tica el alcance del proyecto, en las reas de CONTROL DE ACTIVOS y SEGURIDAD DE RECURSOS HUMANOS. a) Control de activos: para este punto se sugiri realizar un inventario de los activos para tener un control m s riguroso de los mismos. Toda la informaci n y activos asociados a los recursos para el tratamiento de la informaci n, deber an tener un propietario y pertenecer a una parte designada de la Comunidad11. Para realizar un an lisis de riesgos se parte del inventario de activos.
8 Para determinar cu l era la situaci n actual de la Comunidad, se realiz un an lisis de gap, cuyos resultados se muestran en la figura 1, donde se puede apreciar que un 20% de los activos de la Comunidad no tienen un procedimiento implantado, lo cual representa un porcentaje bastante alto. Figura 1. An lisis gesti n de activos 10 Retorno de la Inversi n 11 De acuerdo con la norma ISO/IEC 27001. 4 b) Seguridad de los recursos humanos: Tuvo como objetivo asegurar que los empleados, contratistas y usuarios de terceras partes, entienden sus responsabilidades y son aptos para ejercer las funciones para las cuales est n siendo considerados, con el fin reducir el riesgo de hurto, fraude o uso inadecuado de las instalaciones.
9 Para el an lisis del control de activos y de la seguridad de los recursos humanos se trabaj con la metodolog a MAGERIT12y13 [2]. En la Comunidad se aplicaron los siguientes pasos de MAGERIT: Concientizar a los responsables de los SI14 respecto a la existencia de riesgos Ofrecer un m todo sistem tico para analizar los riesgos a los que se ve expuesta la informaci n. Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Preparar a la organizaci n para procesos de evaluaci n15 Siguiendo con el alcance del proyecto, adicionalmente se trabajaron las siguientes capitulaciones: c) An lisis de vulnerabilidades a nivel de acceso l gico: La seguridad l gica concentra sus objetivos en la aplicaci n de procedimientos que resguarden el acceso a los datos y permisos a las personas autorizadas16.
10 Los procesos de esta capitulaci n se desarrollaron en el siguiente orden: Realizar un an lisis de brechas con el fin de definir la declaraci n de aplicabilidad (SOA)17. 12 Metodolog a de An lisis y Gesti n de Riesgos de los Sistemas de Informaci n, que est directamente relacionada con la generalizaci n del uso de las tecnolog as de la informaci n y que supone unos beneficios evidentes para los ciudadanos; pero tambi n da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.(Fuente: ) 13 Directamente relacionada con el uso de los medios electr nicos, inform ticos y telem ticos 14 SI: sistemas de informaci n 15 Auditor a, certificaci n o acreditaci n, seg n corresponda en cada caso.
