1: Nuestrauniversidad desea implementarunsistema de Gestión de Seguridad de la Información. ¿Cómo realizaría estaimplementación?¿Existe software que pueda apoyar en esta labor?

Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

Un Sistema de Gestión de Seguridad de la Información, basado en la norma UNE-ISO/IEC 27001, es una herramienta o metodología sencilla y de bajo coste que cualquier PYME puede utilizar. La norma le permite establecer políticas, procedimientos y controles con objeto de disminuir los riesgos de su organización.

ALCANCES

Facility

• Espacio físico; energía eléctrica; aire acondicionado; protección contra incendios; accesos…

Administración

• Monitoreo; accesos lógicos; bases de datos; aplicativos…

Explotación/Respaldo

• Mallas de procesos; almacenamiento de información…

Comunicaciones

• Redes de datos; seguridad lógica; monitoreo equipos de

comunicaciones; enlaces…

SAP

• Administración de sistemas SAP.

SOFTWARE QUE AYUDAN AL SGSI

METODO MAGUERIT:

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de que la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de su misión.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.

PILAR - Herramienta para Análisis y Gestión de Riesgos

“Análisis y Gestión de Riesgos”

La Gestión de riesgos (traducción del inglés Risk management / Manejo de riesgos) es un enfoque estructurado para manejar la incertidumbre relativa a una amenaza, a través de una secuencia de actividades humanas que incluyen evaluación de riesgo, estrategias de desarrollo para manejarlo y mitigación del riesgo utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo a otra parte, evadir el riesgo, reducir los efectos negativos del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular.

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

6. CUALES SON LOS ELEMENTOS DE LAS POLITICAS DE SEGURIDAD?

¿Qué son las políticas de seguridad informática (PSI)?

Una política de seguridad informática es una forma de comunicarse con los usuarios y losgerentes. Las PSI establecen el canal formal de actuación del personal, en relación con losrecursos y servicios informáticos, importantes de la organización.No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legalque involucre sanciones a conductas de los empleados. Es más bien una descripción de los quedeseamos proteger y el por qué de ello.Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos yservicios informáticos críticos de la compañía.

Elementos de una política de seguridad informática

Una PSI debe orientar las decisiones que se toman en relación con la seguridad. Por tanto,requiere de una disposición por parte de cada uno de los miembros de la empresa para lograruna visión conjunta de lo que se considera importante.

Las PSI deben considerar entre otros, los siguientes elementos:

• Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición.

• Objetivos de la política y descripción clara de los elementos involucrados en su definición.

• Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.

• Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política.

• Definición de violaciones y de las consecuencias del no cumplimiento de la política.

• Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.