ACTIVIDAD N° 6 IMPLEMENTACIÓN DE NORMAS EN MI ORGANIZACIÓN
Enviado por Stella • 11 de Abril de 2018 • 2.358 Palabras (10 Páginas) • 431 Visitas
...
El establecimiento de métricas con las que conocer el estado de la seguridad de EANA S.A., resulta fundamental en la implantación y mantenimiento de un SGSI, debiendo aparecer a la vez que se produce la implantación de éste. Este conocimiento del estado de la seguridad es importante en la toma de decisiones.
La publicación de la norma ISO 27004 es la prueba de que la medición y evolución del estado son elementos vitales que se comienzan a tener en cuenta. A día de hoy, es un aspecto poco desarrollado en la gestión y mejora de los SGSI.
Las métricas para ser efectivas deben:
- Medir evolución de seguridad en el tiempo.
- Estar asociadas con impactos financieros, y ser coherentes con los objetivos de seguridad implantados.
- Ser objetivas e imparciales.
- Ser predictivas, consistentes y relevantes para Organización y toma de decisiones.
- Ser fuertes, confiables, defendibles y justificables.
- Poder derivar acciones, ser fáciles de recolectar, definir, implementar e interpretar, y ser reproducibles.
- Estar ligadas a los objetivos de negocio.
- Estar expresadas en números cardinales o porcentajes, y detalladas con unidades de medida.
Beneficios y ventajas en el uso de métricas:
- Mejor comprensión de riesgos y debilidades.
- Medición del desempeño de los controles.
- Apoyo a la toma de decisiones.
- Control de la situación real de la seguridad de la información.
- Apoyo a la racionalización de costes.
- Mayor eficacia de los procesos y actividades de seguridad de la información, y actualización de tecnologías.
- Identificación de problemas emergentes.
- Verificación del cumplimiento de políticas y normativas.
- Mostrar la evolución de la cultura de seguridad de la información.
Alcance inicial:
- Ámbitos de aplicación:
- Windows 2010 Server (Radares)
- Sistema Indra S.A. (Fajas de progreso de vuelo)
- Programa Sistema Meteorológico
- Limitaciones:
- Funcionales: No todos los objetivos de control pueden ser automatizados.
- Temporales: El número de objetivos de control que es posible automatizar en el margen temporal marcado es de diez.
Luego falta desarrollar (no lo realizo en este caso, ya que entiendo que no es el sentido del presente curso. Además, me resulta muy complicado realizarlo ya que me faltan datos para completar el trabajo):
- Proceso de medición: el coste de implantación de una métrica debe ser proporcional al beneficio obtenido.
- Cálculo del nivel de securización de la empresa
- Clasificación del riesgo
- Definición de controles: de acuerdo al ámbito de aplicación
- Niveles de valoración
- Establecer las herramientas de medición: en concordancia con los objetivos de control.
- Resultados obtenidos
- Conclusiones
-
Respecto a la ISO/IEC 27005 “Directrices para la gestión de riesgos de seguridad de la información”, implica el análisis de los riesgos asociados a nuestros activos de información. La importancia del Análisis de Riesgos deriva en que es la herramienta que nos va a permitir identificar las amenazas a las que se encuentran expuestos dichos activos, estimar la frecuencia de materialización de tales amenazas y valorar el impacto que supondría en nuestra Organización esa materialización.
Realización:
- Establecimiento del contexto: El análisis de riesgos se realiza en el marco de la gestión integral del riesgo institucional. En el ámbito del SGSI, el alcance del análisis de riesgos es el del SGSI, es decir, un conjunto de activos de información (Ai), que asisten a los procesos institucionales (Pk), que constituyen el alcance del SGSI. En este proceso, el riesgo se determina en forma cualitativa, a partir de la Probabilidad, de que se materialice una amenaza, por el Impacto, que ocasione en la institución, a través de los procesos que asiste. La valoración de los dos factores se realiza con base en escalas de 5 valores, consignados en la Tabla 1 y Tabla 2. El riesgo resultante se clasifica en 4 niveles.
- Nivel de aceptación o tolerancia al riesgo: Con base en el resultado del análisis de riesgos y lo consignado en la Tabla 3, los activos con riesgo extremo e intolerable deben ser llevados por lo menos al nivel tolerable, y aquellos activos críticos con nivel de riesgo tolerable deben ser llevados al nivel aceptable.
2. Identificación de riesgos: Comprende la identificación de los riesgos de los activos de información, por lo que demanda del inventario de estos activos, incluyendo su valor, determinado a partir de sus tres dimensiones de seguridad (Disponibilidad, Integridad y Confidencialidad) como mínimo. Para este proceso, los activos son agrupados en categorías, consignados en la Tabla 4.
Tabla 1. Valoración de la probabilidad
PROBABILIDAD
VALOR
GRADO
DESCRIPCIÓN
1
Raro
Puede ocurrir una vez cada dos años
2
Muy baja
Al año
3
Baja
En seis meses
...