Scribd
Cargar
186 vistas10 páginas

Sisalima Morocho Rebeca

La institución educativa privada realizará una pre-auditoría de su Sistema de Gestión de Seguridad de la Información (SGSI) para mejorar sus procesos de protección de datos. El documento describe la empresa, sus sistemas de información y los principales activos a evaluar, como los sistemas académicos, redes y personal. El objetivo es aplicar la norma ISO/IEC 27001 para mitigar riesgos mediante controles, evaluaciones y concientización del personal sobre seguridad de la información.

Cargado por

Rebeca Johanna Sisalima Morocho
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
186 vistas10 páginas

Sisalima Morocho Rebeca

La institución educativa privada realizará una pre-auditoría de su Sistema de Gestión de Seguridad de la Información (SGSI) para mejorar sus procesos de protección de datos. El documento describe la empresa, sus sistemas de información y los principales activos a evaluar, como los sistemas académicos, redes y personal. El objetivo es aplicar la norma ISO/IEC 27001 para mitigar riesgos mediante controles, evaluaciones y concientización del personal sobre seguridad de la información.

Cargado por

Rebeca Johanna Sisalima Morocho
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 10

GESTIÓN DE LASEGURIDAD

Actividad 1: Realizando una pre-auditoria de SGSI

Descripción breve
La empresa a la cual analizaremos, es una institución académica privada la misma maneja
varios sistemas de información, su objetivo es mejorar sus procesos mediante el análisis de
un SGSI.

Rebeca Sisalima
11/01/2022
Contenido
1. Introducción .................................................................................................................................... 2
2. Estándares base .............................................................................................................................. 3
3. Descripción de la empresa .............................................................................................................. 3
4. Descripción del proyecto ................................................................................................................ 4
5. Categorización de activos ............................................................................................................... 4
Tabla N° 1 Detalle de activos ............................................................................................................. 5
6. Análisis de controles ....................................................................................................................... 6
Figura 1 Análisis de riesgo .................................................................................................................. 7
............................................................................................................................................................ 7
Figura 2 Kiviats ................................................................................................................................... 8
7. Análisis del SOA ............................................................................................................................... 8
8. Conclusiones ................................................................................................................................... 9
9. Bibliografía ...................................................................................................................................... 9

4
1. Introducción
En toda organización es de gran importancia, proteger y evaluar todos los procesos
informativos que de una u otra forma involucran el manejo de los datos, este proceso o
evaluación se lleva a cabo de forma rigurosa con la evaluación de un SGSI, el mismo que
permite identificar que procesos o sistemas de información, no cumplen con los requisitos
para la protección de la información.

En este contexto se determina que la institución necesita de una evaluación SGSI que le
permita realizar una correcta gestión para la seguridad de la información la misma que se
compone de una serie de procesos con el objetivo de implementar mantener y mejorar de
forma continua la seguridad de la información , tomando como base todos los riesgos que
pueden afectar a la seguridad de los datos dentro de la institución, ya sean estas amenazas
personas administrativo, ingreso no autorizados de personas externas, clave incorrectas, en
fin.

Esta implementación le permitirá a la institución abordar toda la seguridad de la información


A través de mejoras continuas la misma que permitirá desarrollar una cultura de la seguridad
en la empresa, implementando de forma gradual el control de toda la seguridad de la
información, garantizando el crecimiento y mejora continua de la protección de los datos.

Además, este sistema de gestión permitirá promover el establecimiento de los procesos a de


los posibles riesgos para la seguridad basándolos en situaciones propia de cada organización
y en la correcta adaptación de medidas adecuadas dentro de los parámetros establecidos por
la organización.

2
2. Estándares base

Este análisis de seguridad de la información se basó en la norma SGSI 27001.

3. Descripción de la empresa
Datos de la Empresa

La empresa UE, es una institución educativa particular de tercer nivel, localizada en la ciudad
de Guayaquil, cantón de Samborondón. La organización se encuentra segmentada en
diferentes áreas administrativas como lo son el área Contable, Financiera, TTHH, Admisiones,
Sistemas, secretaria, Facultades, entre otros. El establecimiento cuenta con el rededor de 200
colaboradores, al ser una entidad educativa cada una de las áreas tienen relación con otras.
En el caso Financiero se manejan las mensualidades de los estudiantes, que a su vez se registra
de forma manual en el área Contable, y sistemática en el sistema Financiero, sistema
manipulado por los cajeros, donde dicha información se almacena en un repositorio de la
base de datos, administrada por el Área de Sistemas. Cada docente de Facultad cuenta con
una PC personal en cada uno de sus cubículos, en dichas máquinas se encuentra instalado el
SISTEMA ACADEMICO (SAUE), donde los docentes registran las notas de los alumnos y esto
se registra de forma automática en el mismo SISTEMA ACADEMICO (SAUE) de secretaria
quienes tienen otro permiso para realizar modificaciones, finalmente, dicha información es
almacenada en un repositorio de base de datos. El área de TTHH, a diferencia de las otras
maneja los roles de los empleados y también cuentas con un SISTEMA de registro. En muchas
de las ocasiones los usuarios han dejado abiertas sus sesiones, por lo que la información se
ha visto afectada y manipulada, por terceros. Actualmente la Universidad no cuenta con
normas de protección de seguridad en los datos, y al no haber sanciones para los usuarios, es
un tema que se toma a la ligera. Por ello, el establecimiento considera relevante implementar
medidas de seguridad que protejan sus datos de los mismos usuarios, donde se establezcan
y se detallen reglamentos y políticas a seguir con el objetivo de garantizar la integridad,
confidencialidad y disponibilidad de la información.

3
Alcance

Este análisis SGSI, se llevará a cabo en la sede principal del campus Samborondón, en las áreas
administrativas expuestas en la sección anterior. Con el objetivo de tener un esquema base
para que luego este se pueda tomar como Patrón de implementación en los demás campus.

4. Descripción del proyecto


Este proyecto tiene como objetivo evaluar los riesgos y amenazas entorno a la seguridad de
la información, al aplicar la norma 27001 se logrará que podamos indicar que esta norma es
aplicable a todo tipo de organizaciones donde los datos y la información son los activos más
importantes y que su correcto funcionamiento depende de los objetivos y resultados de la
institución.

En primera instancia se pensaría que las únicas empresas consideradas para aplicar a esta
evaluación sería una del sector tecnológico, sin embargo, la implementación de un sistema
de gestión de la seguridad de la información se puede llevar a cabo en cual empresa que desee
proteger sus datos como lo es en el caso de la institución UE , por ello mediante este proceso
se llevara a cabo para evaluar y mitigar los riesgos que puedan existir dentro de la
organización aplicando procesos, controles y evaluaciones de riesgos, además le permitirá a
la institución conocer las amenazas y realizar planes de contingencia y mejoras mediante la
competencia y concienciación de todo el personal.

5. Categorización de activos

De acuerdo al análisis de activos entre las 16 categorías establecidas en el formato, muchos


de ellos son considerados importantes como lo son los sistemas académicos en general, ya
que estos manejan información muy importante de los estuantes como calificaciones, record
académicos, información personal, entre otros campos manejados dentro de esta sección.

Además de las redes que permiten la comunicación en todo el campus, que los servicios estén
disponibles para los usuarios y sus sistemas. Y otro de los activos importantes y con alto riesgo
es considerado al personal ya que ellos son quienes manipulan o manejan la información.
Estos activos se detallan en la tabla N°1

4
Tabla N° 1 Detalle de activos
Tipo Nombre

[SW] Aplicaciones (software) ASC

[AUX] Equipamiento auxiliar Backup Virtualizados

[SW] Aplicaciones (software) EC_FIN


[SW] Aplicaciones (software) Library

[COM] Redes de comunicaciones Red de Datos


[COM] Redes de comunicaciones Red Inalámbrica

[COM] Redes de comunicaciones Red telefónica

[Media] Soportes de información Reportes Académicos

[SW] Aplicaciones (software) SAUE

[HW] Equipos informáticos (hardware) Servidor Web / Base de datos

[SW] Aplicaciones (software) Sistema de Nomina

[COM] Redes de comunicaciones Switch / Router


[P] Personal Usuario Final

Fuente: Propia

5
6. Análisis de controles

De acuerdo al análisis obtenido en la auditoria se considera que existe un alto riesgo a nivel
de Organización en la seguridad de la información, ya que internamente hace falta
esquematizar correctamente las tareas, mejorando el contacto directo con las autoridades,
el contacto con los grupos de interés especial y mejorar la seguridad de la información en la
gestión de proyectos, implementando mecanismos que permitan acceder a la información
mediante un proceso de autorización y control con el objetivo de generar mejoras y reducir
el riesgo.

Adicionalmente implementar políticas en la seguridad de los dispositivos móviles, como el


detectar servicios o sistemas instalados que afecten de una u otra forma la red de datos, o
incluso encontrar un enfoque que mejor se adapte a la red, referente a la manipulación del
equipo.

También dentro de este análisis se encontró que existe un alto hueco de fragilidad a nivel de
Seguridad Ligada a los recursos humanos, si bien en cierto los recursos humanos son uno de
los activos relativamente más importante dentro de una organización y también considerados
los más vulnerables porque mediante estos pueden surgir diferentes riesgos de seguridad ,
considerado uno de los componentes más críticos al momento de garantizar los 3 pilares de
la seguridad , por lo que es importante implementar o adaptar controles y prácticas que
ayuden a mitigar el impacto de los riesgos, dando a conocer al usuario a través de
capacitaciones como proteger de forma correcta los datos, que es lo que puede o no hacer
dentro de la organización con los datos , etc.

6
Figura 1 Análisis de riesgo

De acuerdo al análisis presentado la institución tiene un riesgo muy elevado en cuanto a la


seguridad ligada a los recursos humanos , si bien es cierto los usuarios son uno de los activos
más importantes dentro de una organización, sin embargo considerado uno de los activos
más peligroso ya que por errores humanos, ocurren la mayor parte de incidentes en la
seguridad de la información poniendo en riesgo los datos, para ello se recomienda
implementar controles de seguridad que abarquen medidas y restricciones referentes al
manejo de la información, Criptografía, en cuanto a los controles que se recomienda a la
institución es que estos procesos se encuentren ligados y enfocados a la protección de los
datos donde terceros o intrusos no puedan tener acceso físico a la información ,
implementando sistemas de cifrado que dificultan de cierta forma el acceso incorrecto a la
confidencialidad e integridad de la información.

7
Figura 2 Kiviats

7. Análisis del SOA


La arquitectura orientada a los servicios tiene como principio fundamental la construcción de
servicios reutilizables que hacen posible aplicar y evaluar la extensión significativa de las
soluciones en base a las eventualidades presentadas.

A través de este análisis se ha percibido en como la institución implementa ciertos parámetros


de seguridad en la empresa y hace que su funcionamiento o evaluación mejoren los procesos
y que se evalúan y mitiguen los riesgos.

8
8. Conclusiones
Si bien es cierto un sistema de evaluación de seguridad permite garantizar la privacidad y
protección de los datos que maneja una organización, este análisis se realiza con el objetivo
de ganar un alto grado de confianza por parte de los usuarios hacia el manejo de los sistemas.,
mediante la reducción de los riesgos, costes, cumplimientos de normativas, etc.

El SGSI permitió que la institución pueda evaluar sus riesgos y definir que aplicaciones de
control y gestión requieren para mitigar los problemas de seguridad, ya que se evaluaron
todos los riegos posibles asociados a manejo de los datos asegurando de esta forma la
protección, confidencialidad integridad y disponibilidad de la información.

9. Bibliografía

Emarisma . (s.f.). EANOR . Obtenido de https://ar.emarisma.com/

También podría gustarte