Scribd
Cargar
64 vistas5 páginas

Ejemplo SGSI

El documento presenta una propuesta metodológica para establecer un Sistema de Gestión de Seguridad de la Información (SGSI) para la empresa "XYZ" de acuerdo con la norma ISO 27001. La propuesta incluye determinar el alcance del SGSI, definir un enfoque de evaluación de riesgos, identificar los activos y los procesos clave de la empresa, y analizar y evaluar los riesgos asociados con cada activo. El objetivo es proteger los activos y procesos críticos para los objetivos del negocio

Cargado por

John Oswaldo Lomas Delgado
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
64 vistas5 páginas

Ejemplo SGSI

El documento presenta una propuesta metodológica para establecer un Sistema de Gestión de Seguridad de la Información (SGSI) para la empresa "XYZ" de acuerdo con la norma ISO 27001. La propuesta incluye determinar el alcance del SGSI, definir un enfoque de evaluación de riesgos, identificar los activos y los procesos clave de la empresa, y analizar y evaluar los riesgos asociados con cada activo. El objetivo es proteger los activos y procesos críticos para los objetivos del negocio

Cargado por

John Oswaldo Lomas Delgado
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 5

Una empresa XYZ dedicada a la creacin y venta de pginas web, necesita de un

ingeniero para la elaboracin de un SGSI para explorar las distintas vulnerabilidades que
posee dicha empresa.
PROPUESTA METODOLGICA PARA ESTABLECER EL SGSI PARA XYZ
BASADO EN LA NORMA ISO 27001

Determinacin del Alcance
El presente proyecto pretende establecer un Sistema de Gestin de Seguridad de la
Informacin para la empresa XYZ., cuyo alcance abarque los procesos y actividades
principales de la empresa, estos procesos y actividades se han seleccionado en base a
las preocupaciones presentadas por la gerencia, se busca de esta manera que la gestin
de la seguridad est alineada con los objetivos del negocio y as proteger aquello que
para la organizacin es el punto central de sus actividades.













Definir un enfoque de evaluacin de riesgo de la organizacin
Las metodologas de anlisis de riesgos difieren esencialmente en la manera de
estimar la probabilidad de ocurrencia de una amenaza y en la forma de determinar
el impacto en la organizacin. La metodologa a utilizar es la cualitativa
(Qualitative risk analysis), en la cul se usa una escala de puntuaciones para
situar la gravedad del impacto, dando una caracterizacin de alta/media/baja, la
escala de puntuacin queda establecida de la siguiente manera:


PROCESOS ESTRATGICOS
Mantenimiento de Tablas
Marketing
PROCESOS OPERATIVOS
Pedidos a Clientes
Entrega
PROCESOS ESTRATGICOS
o Gestin de RRHH

1 = Caracterizacin de Baja
2 = Caracterizacin de Media
3 = Caracterizacin de Alta

El valor del riesgo ser resultado del promedio entre el valor del activo y la
posibilidad de ocurrencia de amenaza y vulnerabilidad, una vez realizados los
promedios, los resultados se ponderarn del modo siguiente:


Identificacin de Riesgos
Identificar los activos dentro del alcance
Para cada proceso se identifica los activos involucrados.
Proceso: Mantenimiento de Tablas
Hardware Computador
Software de Informacin MS SQL Server
Informacin
Clientes
Producto
Personas
Vendedores
Clientes
Programador

Proceso: Pedidos a Clientes
Hardware Computador
Software de Informacin SISCOGIR
Informacin
Clientes
Vendedores
Personas Vendedores


Tasacin de activos
Proceso: Mantenimiento de Tablas
Activos
Tasacin
Confidencialidad Integridad Disponibilidad Total
Computador 3 3 3 3
MS SQL
Server
3 3 2 2.33
Clientes 3 3 2 2.33
Vendedores 3 3 2 2.33
Clientes 3 3 3 3
Programador 3 3 3 3

Proceso: Pedidos a Clientes
Activos
Tasacin
Confidencialidad Integridad Disponibilidad Total
Computador 3 3 1 2.33
SISCOGIR 3 3 3 3
Clientes 1 3 2 2
Producto 3 3 3 3
Vendedores 3 3 2 2.33
Vendedores 3 3 3 3

Analizar y Evaluar el Riesgo
Proceso Mantenimiento de Tablas:


Activos Amenazas
Posibilida
d de
Ocurrenci
a
Amenaza
Vulnerabil
idad
Posibilidad
Que la
amenaza
Explote la
Vulnerabilidad
Valor
del
Activo
Posibilidad
Ocurrencia
de Amenaza
y
vulnerabilida
d
T
o
t
a
l

C
r
i
t
i
c
i
d
a
d

computador
Virus
Informtico

Falla
elctrica
3


1
Licencia
de
Antivirus
caduca

Sistema
de
Respaldo
defectuo
so
1


1
3 1.5 2.3

MS SQL
Server
Errores de
Usuario





Errores de
sentencias
2








1
No
capacitac
in a los
usuarios
del
gestor



Mal
codificaci
n de las
sentencia
s SQL
3







1

2.33

1.75

2

Informacin
de los
Clientes
Datos
alterados











Invencin
3











3
Politica
de
seleccin
de
personal
poco
eficiente





Politica
de
seleccin
de
personal
poco
eficiente





2











2

2.33

2.5

2.4

Vendedores


Invencin




3



Capacit
acin
pobre



2


2.33 2.5 2.4


Ilegibilida
d de los
datos



3

Polticas
de
selecci
n
fallosas



2
Clientes
Programador

También podría gustarte