Professional Documents
Culture Documents
Introducción
Objetivos
Fundamentos
Metodología
Servicio e-SGSI
Caso de Estudio
Resultados y Conclusiones
Introducción: Contexto
Gobierno de
Gestión de Seguridad de
Seguridad de la la Información
Información
Seguridad de la
Información
Seguridad de
las TIC’s ¿Dónde se encuentra inmerso
este trabajo de Tesis?
Introducción: Antecedentes
Seguridad de la Información
ISO 27003
Estado de Chile
OCDE
Corfo
Introducción: Motivación
Plataforma
Metodología
Electrónica
e-SGSI
Estado del Arte en Gobierno de
Seguridad de la Información: GRC
Gobernabilidad de Seguridad de la Información GSI
Gobierno
Seguridad http://www.itgi.org/
Información
ISACA Organización de profesionales de Seguridad
http://www.isaca.org/
Gobierno
Cumplimie
Riesgos
nto
Estado del Arte en Gestión de Seguridad
de la Información: SGSI
Gestión
Seguridad
Información
http://www.27000.org/iso-27003.htm http://www.iso27000.es/
Fundamentos
ISO 9001
NCh2909-2004
PPI
Plataforma Comercio Electrónico e-commerce
Metodología: Propuesta
Matriz de Riesgo
PROBABILIDAD
Muy Alta 5 2 3 4 5 5
2 2 4 5 5
Alta 4
1 2 3 4 5
Moderada 3
Baja 2 1 1 3 4 4
1 1 3 4 4
Muy Baja 1
1 2 3 4 5
Insignificante Menor Moderado Mayor Muy Alto
IMPACTO
Metodología: Tratamiento de Riesgos
Lo mínimo de
acuerdo a la ISO
27002
Controles de
Controles prácticas de la
Legislativos seguridad de la
información
Metodología: Evaluación de Controles
Evaluación de
controles
Administración y
Gestión de Evaluación de Evaluación de
Aplicaciones
Comunicaciones y controles basado Controles
Operaciones en ISO 27002 Asociados a las TI
Metodología: Resumen de Evaluación
Resumen de la evaluación de controles basado en ISO 27002 (un Ejemplo)
Objetivo Aplica
Docume Score Fortalez Nivel
Cláusula de Práctica Esperada S/N Tipo Clase
ntos Riesgo a Exposición
Control
A pesar de los mecanismos de
Formación y seguridad que se implanten esta siempre
capacitación recae en último término en los usuarios.
en materia Es necesario establecer programas que
6.2.1 de enseñen a los usuarios que es la Si Si 4 C M 1 3
seguridad seguridad y cómo les protegen los
de la distintos controles existentes, además de
información concienciarles de la necesidad de la
seguridad.
Práctica Esperada: La acción a realizar Clase: Indica la naturaleza del control (M, S, A)
Sección Ámbito
Actividad o Proyecto
ISO Temporal
3 Largo Plazo Proyecto de Implantación de Procedimientos de S.I.
4 Largo Plazo Cooperación con organizaciones externas
Actividad
5 Difusión de Política de Clasificación de la Información
Inmediata
Mediano
5 Efectuar una clasificación de Activos
Plazo
Actividad
6 Charlas de sensibilización a empleados
Inmediata
Metodología: Métricas
POLITICA DE SEGURIDAD
SEGURIDAD ORGANIZACIONAL
CONTROL DE ACCESOS
CUMPLIMIENTO LEGALES
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
INTERCAMBIOS DE INFORMACIÓN Y
SOFTWARE 8.7
MANTENIMIENTO 8.4
1
PLANIFICACIÓN Y APROBACIÓN DE
SISTEMAS 8.2
PROCEDIMIENTOS Y RESPONSABILIDADES
OPERATIVAS 8.1
“El Como”
Aportes de la Metodología
PYME
• Tradicional • e-sgsi
Plataforma e-SGSI: Atributos
• Plataforma e-SGSI
• Toolkit de
Implantación
Caso de Negocios: Descripción
Reducción de riesgos
Gestión de código malicioso;
la activación de Virus en el
interior de la organización
Perdida anual sin Gestión AV
US$25.000 = (5000*5)
Perdida anual con Gestión AV
US$5.000 = (5000*1)
Cumplimiento Legal
Publicación de una política de
cumplimiento del derecho de
propiedad intelectual de
software que defina el uso
legal de productos de
información y de software
Resultados: Costos