[go: up one dir, main page]
Scribd
Cargar
268 vistas3 páginas

Casos de Estudio Norma ISO 27005

1) El documento analiza la gestión de riesgos en el sistema de información de la biblioteca de la Universidad de La Salle y propone una metodología para mejorar la gestión de riesgos en el repositorio institucional RIUS. 2) Identifica casos de vulnerabilidad en el sistema de información y compara la estructura actual de gestión de riesgos con estándares internacionales para encontrar debilidades. 3) Diseña una propuesta metodológica para minimizar riesgos en el sistema atendiendo las debilidades encontradas según las normas.

Cargado por

Greet Anderson Sosa Purisaca
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
268 vistas3 páginas

Casos de Estudio Norma ISO 27005

1) El documento analiza la gestión de riesgos en el sistema de información de la biblioteca de la Universidad de La Salle y propone una metodología para mejorar la gestión de riesgos en el repositorio institucional RIUS. 2) Identifica casos de vulnerabilidad en el sistema de información y compara la estructura actual de gestión de riesgos con estándares internacionales para encontrar debilidades. 3) Diseña una propuesta metodológica para minimizar riesgos en el sistema atendiendo las debilidades encontradas según las normas.

Cargado por

Greet Anderson Sosa Purisaca
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 3

Caso 01: GESTIÓN DEL RIESGO EN SEGURIDAD DE LA INFORMACIÓN: CASO DE ESTUDIO EN EL

REPOSITORIO INSTITUCIONAL UNISALLE – RIUS

Objetivo: Analizar la práctica y gestión del riesgo en el sistema de información de biblioteca de


la Universidad, con base en las normas de seguridad de la información internacionales ISO
27005, ISO 31000 y OCTAVE, obteniendo como producto una propuesta metodológica de
gestión del riesgo enfocado al Repositorio RIUS – Colección TEGRA.

Objetivos específicos:

- Identificar y evaluar los casos de susceptibilidad y vulnerabilidad de la información de


alto impacto para la universidad, que han sido detectados en el sistema de información
de la biblioteca, con el ánimo de saber qué falló.
- -Comparar la estructura de gestión del riesgo, diseñada para el sistema de información,
con la definida por los estándares internacionales ISO 27005, ISO 31000 y OCTAVE, para
hallar los puntos débiles de la estructura.
- Diseñar una propuesta metodológica que permita minimizar los riesgos del sistema de
información, atendiendo las debilidades halladas a la luz de las normas internacionales.

Etapas en el desarrollo de una política de seguridad Luego de haber revisado el concepto de


política de seguridad de la información, es pertinente mencionar que la proyección de una
política requiere de un proceso previo para su desarrollo y puesta en marcha (ilustración 9),
la Universidad Nacional de Colombia, propone el siguiente modelo para la elaboración de la
política de seguridad: Fase de desarrollo: creación, revisión y aprobación, esta fase consiste
en realizar la planificación junto con la investigación del por qué se requiere, su objetivo y
alcance para la redacción del documento, para su posterior revisión y aprobación por la
dirección. Fase de implementación: comunicación, cumplimiento y excepciones, en esta
etapa la política es divulgada a la organización para implementarla; sin embargo, por temas
de operación es necesario revisar aquellas situaciones por las cuales la política no puede ser
cumplida, es decir las excepciones a las cuales debe realizarse seguimiento y evaluación.
Fase de mantenimiento: concienciación, monitoreo, garantía de cumplimiento y
mantenimiento, en esta etapa se evidencian la unión de esfuerzos en pro del conocimiento,
seguimiento, reportes de cumplimiento, la vigencia y actualización de la política mediante
el control de las versiones. Fase de eliminación: hace referencia al ciclo de vida de la política,
es decir, cuando es necesario prescindir de esta por agentes inherentes a la organización
como reemplazos u otros asociados, aquí cabe decir que se debe documentar la decisión,
así como sus responsables. El desarrollo de la política contempla cada uno de estos pasos
para garantizar su cumplimiento, así mismo estas fases no son estáticas, es inevitable
realizar un proceso cíclico para su medición y ejecución.

EVALUACIÓN DEL RIESGO En esta fase se prioriza y toman acciones respecto al tratamiento
de riesgos, para tal efecto, en un listado se registran niveles de valor asignado para luego
tomar decisiones tendientes al control e impacto sobre costos y beneficios. Las decisiones
deben estar articuladas con las propiedades de seguridad, procesos de negocio y actividades
sustentadas por un activo particular o conjunto de activos; este proceso es surtido por la
alta gerencia con el objetivo de evidenciar revisión por parte de la dirección.

Caso 02: DISEÑO DE UNA METODOLOGIA PARA LA IMPLEMENTACIÓN DEL SISTEMA DE


GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN - SGSI, EN EL SECTOR DE LABORATORIOS DE
ANALISIS MICROBIOLOGICOS, BASADO EN ISO 27001.
Objetivo general: Diseñar una metodología de implementación del sistema de gestión de
seguridad de la información para empresas del sector de laboratorios de análisis
microbiológicos de control de calidad, basado en la ISO 27001.

Objetivos específicos:

- Hacer de este documento una guía práctica para el lector en la que se expliquen los
lineamientos de las normas que enmarcan la seguridad de la información, aclarando
los requisitos y contextualizándolos en el sector de laboratorios de análisis
microbiológico.
- Diseñar una metodología para la implementación y mantenimiento de la norma
ISO27001 que involucre fase de planificación, implementación, revisión,
mantenimiento y mejora.
- Proponer herramientas que faciliten la implementación de la norma IS0 27001 en cada
una de sus etapas.

IDENTIFICACION DEL RIESGO:

Amenaza: una causa potencial de un incidente no deseado, el cual puede resultar en daño
a un sistema u organización4.

Ejemplo: acceso no autorizado, código malicioso, spam, hackers, hurto por empleados o no
empleados, mal uso de los sistemas de procesamiento 32 de la información, fraude, falla
del sistema, negación del servicio, errores del usuario, desastres, etc.

Vulnerabilidad: la debilidad de un activo o grupo de activos que puede ser explotada por
una o más amenazas.

Ejemplo: Falta de concientización, Falta de responsabilidades claras, Clasificación errónea


de la información, Incapacidad de proporcionar evidencia, Falta de control de cambio o
versión, Falta de mantenimiento, Identificación y autenticación inapropiada, Falta de
seguridad de los medios, Falta de protección física, etc.

En el análisis de las amenazas y vulnerabilidades se requiere: ü Realizar una lista de las


amenazas que puedan presentarse en forma accidental o intencional en la Empresa con
relación a los activos de información. Diferenciar estas amenazas de las vulnerabilidades
de los activos ya que el análisis debe radicar en las amenazas. ü Identificar los riesgos
internos de los procesos analizando tanto las actividades que se desarrollan como las
amenazas identificadas. ü Identificar los riesgos externos de los procesos.

Es necesario analizar los riesgos que se pueden presentar cuando se subcontrata un


servicio o existe personal externo a la organización.

Realizar un análisis del entorno en los fenómenos naturales, el ambiente geopolítico, el


ambiente tecnológico, el ambiente ecológico y los aspectos socioculturales que rodea la
Organización para definir las amenazas a las que pueden estar expuestos los activos.
Bibliografía:

http://repository.lasalle.edu.co/bitstream/handle/10185/18057/T33.14%20T789g.pdf?seq
uence=1

https://repository.ean.edu.co/bitstream/handle/10882/2692/MurilloCarol2012.pdf?seque
nce=1

También podría gustarte