DEFINICIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA

1.-Descripción de los elementos de protección

Para ésta institución creemos que es conveniente utilizar el modelo ISM3, ya que gestiona la seguridad de la información, estableciendo medidas de seguridad a emplear y los recursos que han de dedicarse a éstas.

El estándar más eficiente para INEGI es BS 17799, ya que se orienta a preservar principios de la seguridad informática como la confidencialidad, integridad y disponibilidad.

2.-Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido

Nuestro objetivo es llegar al máximo nivel de madurez (5) en ISM3 basándose en procesos que impliquen la creación y simplificación de mecanismos explícitos que garanticen tener la seguridad deseada de nuestra información, también mediante planeaciones a corto, mediano y largo plazo. Todo ésto se deberá cumplir en un tiempo aproximado de 4 años.

 Así mismo para llegar al máximo nivel de madurez de BS 17799 se llevará una guía de implementación del sistema para preservar todos los principios en un periodo de 4 años.

3.-Definición de políticas

-De acceso físico a equipos

Unicámente personas autorizadas para dar mantenimiento preventivo y correctivo a los equipos de cómputo, tendrán derecho a manipular dichos objetos, de lo contrario resivirán una sanción.

-De acceso lógico a equipos

Para acceder a la información resguardada en ésta institución, el usuario debe contar con características específicas: tener un cargo de jefe, programador o administrador de datos, contar con un gaffete destinado al área de trabajo correspondiente, sin olvidar que está prohibido el acceso con USB o cualquier otra unidad de almacenamiento y se identificará la huella digital.

-Para la creación de cuentas de usuario

La persona autorizada para hacer cuentas de usurio únicamente será el jefe junto con los supervisores de área.

Para ser acreedor de una cuenta de usuario debe tener el cargo de administrador y contar con 1 año de antigüedad dentro de la institución, demostrando que su desempeño es competente y de gran confianza para el resguardo de la información almacenada.

-Para el manejo de bitácoras

Es necesario que los supervisores de cada área vayan realizando una bitácora de acuerdo al desempeño de trabajo diario de sus empleados contando con los siguientes requerimientos para asi llevar un buen control de las actividades diarias:

-De protección de red (firewall)

Se creará un firewall el cual está diseñado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas.

Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el tráfico entre los diferentes ámbitos sobre la base de un conjunto de normas y otros criterios.

-Para la administración de software de seguridad

Sólo el área de redes y telecomunicaciones o el de ingeniería de sotware podrán manipular la seguridad en cualquiera de los software instalados dentros de los equipos de cómputo de la empresa.

-Para la gestión de actualizaciones de control de cambios

Los administradores de la información serán los únicos autorizados para hacer actualizaciones en cuanto a los cambios del sistema e información, llevando así un buen control.

-De almacenamiento

Lo dispositivos a utilizar para almacenar la informacion seran discos duros, CD, DVD, discos duros externos, micro SD, USB, entre otros.

-Para archivos compartidos

Los archivos a compartir serán las bitácoras, planeaciones y documentos de trabajo pero únicamente entre las áreas relacionadas a la administración de la información.

-De respaldo

Se llevará un control en cuanto a la informacion. Para esto se respaldará toda la información que maneja la empresa mediante copias de seguridad.

Cada área deberá realizar un respaldo en cuanto a su información.

Habrá un sólo encargado que almacenará todas las copias de seguridad realizadas.

ANALIZA ESTÁNDARES INTERNACIONALES DE SEGURIDAD INFORMÁTICA

BS 17799

La BS 17799 es una guía de buenas prácticas de seguridad informática que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcandotodas las funcionalidades de una organización en cuanto a que puedan ser afectadas por la seguridad informática.

 La BS 17799 sólo hace recomendaciones sobre el uso de controles de seguridad. No establece requisitos cuyo cumplimiento pudiere certificarse.

El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática:

Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información.

Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas.

Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.

Estos principios en la protección de los activos de información constituyen las normas básicas deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.

Serie ISO 27000

ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a grandes rasgos por:

·                     ISMS(Information Security Management System).

·                     Valoración de Riesgo.

·                     Controles.

A semejanza de otras normas ISO, la 27000 es realmente una serie de estándares. 

·                     ISO 27000: En fase de desarrollo. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma será gratuita, a diferencia de las demás de la serie, que tendrán un coste.

·                     ISO 27001: Es la norma principal de requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual se certifican por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habiéndose establecido unas condiciones de transición para aquellas empresas certificadas en esta última.

·                        ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por laComisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995. En este documento se habla específicamente del Estándar internacional ISO/IEC 27002, el cual trata específicamente sobre aspectos de seguridad en las tecnologías de información.

·                     Objetivos:                                                                                                                        

Objetivo general

"Conocer qué es y para qué sirve el Estándar Internacional ISO/IEC 27002."

Objetivos específicos

·                     Estudiar qué son las normas ISO.

·                     Conocer qué es el comité IEC.

·                     Comprender qué es y para qué fue creado el ISO/IEC JTC1.

·                     Analizar y comprender cada uno de los capítulos que componen el documento del Estándar Internacional ISO/IEC JTC1.

ISO 20000

La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las organizaciones.

ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y a sus clientes. La esperada publicación de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento internacional y el desarrollo de la certificación de ITSM.

Hoy en día la aparición de la norma ISO 20000 está causando un aumento considerable del interés en aquellas organizaciones interesadas en implementar ITSM. Estudios revelan como dicho anhelo crecerá internacionalmente tomando como base la reconocida certificación ISO 20000.

La norma ISO/IEC 20000 está formada por tres partes bajo el mismo título “Tecnología de la información. Gestión del servicio:

·                     ISO 20000-1: Especificaciones

Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para diseñar, implementar y mantener la gestión de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.

·                     ISO 20000-2: Código de buenas prácticas

Describe las mejoras prácticas adoptadas por la industria en relación con los procesos de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos acordados, así como asumir un riesgo entendido y aceptable.

·                     ISO 20000-3: Guía sobre la defición del alcance y aplicabilidad de la norma ISO/IEC 20000-1

Proporciona orientación sobre la definición del alcance, aplicabilidad y la demostración de la conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, así como los proveedores de servicios que están planeando mejoras en el servicio con la intención de utilizar la norma como un objetivo de negocio.

¿Por qué ISO 20000?

·  Cumplimiento de un estándar internacional para los servicios de gestión de TI

·  Reducción de costes en cuanto al conocimiento y resolución de los incidentes de TI

·  Gestión efectiva de los suministradores entre el servicio provisto y cualquiera de las terceras partes del servicio en sí mismo

·  Asegurar y demostrar el cumplimiento de la función de TI en la entrega de servicios de acuerdo con las mejores practicas de la industria mundialmente aceptadas

·  Justificar el coste de la calidad del servicio

·  Proporcionar servicios que se adecuen a las necesidades del negocio, del cliente y del usuario