Conceptos fundamentales de la gestión de riesgos en la información y modelo ISO 17799.

...

2. Procedimientos y estándares propuestos en la norma ISO 27001.

Con base en la norma ISO 27001 montaríamos un sistema de gestión de riesgos fuertemente respaldado con documentación clara y detallada del proceso, desde un inicio se plantearía el alcance y los objetivos que el sistema deberá cumplir y a partir de ese punto partiríamos con las acciones necesarias para alcanzarlos, esta norma propone un sistema de trabajo con las siguientes partes principales.

Planear. En esta parte se definen políticas de seguridad, se establece el alcance y se realiza el análisis de riesgos.

Hacer. En esta etapa se implanta el sistema de gestión de riesgos, el SGSI y los controles para cubrir el alcance.

Verificar. En esta etapa se realizan auditorias e inspecciones continuas para comprobar el correcto orden.

Actuar. Por último, se realizan los ajustes para corregir errores o detalles con lo cual se alinean los resultados finales a los resultados planeados.

3. Plan de capacitación.

Se debe controlar el conocimiento que será transmitido a cada integrante de la empresa desde el tipo de conocimiento hasta el garantizar que ha comprendido.

Con ayuda de un plan de estudios que generaríamos, seccionaríamos el conocimiento

de acuerdo a los diferentes departamentos y las funciones compartidas entre departamentos, también el contenido de los cursos se prepararía de acuerdo a los roles específicos dentro del sistema por lo que no se impartirá el mismo curso a administradores que a capturistas o roles inferiores por el estilo.

La capacitación debe de cumplir determinados objetivos los cuales deberán ser medidos para garantizar que cada individuo sepa hacer a la perfección todo lo que respecta a su rol.

Cada que se genere algún cambio importante en el sistema el personal tendrá un curso de actualización y además se montara un sistema de soporte para apoyar en las transiciones.

Preguntas.

a) ¿Qué tipo de sistema de gestión de riesgos es necesario implementar dentro de la organización tomando en cuenta todos los aspectos ya conocidos? ¿Por qué opinan eso?

Elegiremos el sistema de gestión que adopta el modelo PDCA para aplicarlo dentro de la organización, esta decisión se toma por la naturaleza del problema planteado y la gran ayuda que trae este modelo en ese sentido. Se trata de un ciclo de mejora continua que permite la detección de áreas de oportunidad y el proceso para explotarlas y solucionarlas.

b) ¿Cómo van a hacer la valoración de activos de información, con los que se cuentan?

En primer lugar debemos suponer el tipo de tecnologías e información con la que cuenta la empresa, después desde estas suposiciones expandiremos el supuesto a lo que pasaría si estos datos cayeran en manos de competidores o si simplemente se perdiera. Desde este punto podemos estimar el impacto en varios sentidos y así hacer una valuación estimada de cada tipo de activo.

¿Qué opción recomendarían si no hubiese restricciones en adquisición de cursos?

Sugiero la presentación del método SCRUM a los diversos departamentos de la empresa, no solo como una filosofía de desarrollo informático, sino también como una metodología de trabajo en procesos administrativos y de seguridad.

Así mismo, cursos de detección de amenazas como la psicología detrás de ataques para robo de identidad y fraude.

c) ¿Utilizarías una reingeniería de software si las condiciones lo permiten?

Si las condiciones lo permitieran y el software actual no cumpliera con todos los requisitos del negocio sin dudarlo realizaría una reingeniería de todo o gran parte del software, esto principalmente por las ventajas competitivas que generaría la optimización de procesos y automatización del negocio, así como la reducción del error humano.

d) En lo que respecta a la capacitación del personal sobre los nuevos procesos que se implementarán, ¿cuál sería su estrategia de capacitación?

Al generar un nuevo sistema, surgirán cambios en las funciones actuales, así como totalmente nuevas funciones, por lo que yo iniciaría con una lista de las nuevas habilidades requeridas y de así requerirse la nueva filosofía de trabajo. Se debe conocer cada parte de la herramienta con la que trabajara el personal por lo que haría una lista de tareas y les capacitaría en la realización de cada una de ellas, dividiría al personal en grupos de trabajo con base en las tareas similares que realicen, también distribuiría los temas del curso por áreas del negocio y las funciones y tareas las que cada área debe interactuar.

¿cómo definirán los privilegios y atribuciones en cuanto al manejo de los procesos de seguridad dentro del sistema de información implementado?

Suponiendo que las partes del sistema están distribuidas de acuerdo al tipo de operación que se puede realizar con ellas, generaría roles de usuarios acordes a cada puesto existente en la organización y a cada rol le asignaría accesos o restricciones equivalentes a las tareas de cada puesto en específico, por ejemplo si un usuario puede crear y dirigir nuevos proyectos de investigación entones a ese rol de usuario le permitiría acceder a la seccion de creación de nuevos proyectos, si por el contrario otro usuario no puede crear proyectos pero puede participar en ellos entonces no le daría acceso a la función de crear pero si de ver los proyectos ya existentes y así sucesivamente.