La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Universidad de las Fuerzas Armadas

Publicada porJoaquín Villalba Quintana Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Universidad de las Fuerzas Armadas"— Transcripción de la presentación:

1 Universidad de las Fuerzas Armadas
MEVAST Plan de Seguridad de la Información para la ESPE sede Matriz Ing. Rafael Salgado Corrales Ing. Santiago Tapia Yerovi

2 Agenda Antecedentes Problema Objetivos Marco Teórico
Metodología de la Investigación Análisis e Identificación de Activos Análisis de Riesgos Análisis de Controles Madurez Conclusiones Recomendaciones

3 Antecedentes Siendo la Universidad de las Fuerzas Armadas una institución pública de educación superior, cuyo fin es brindar educación de calidad a la población ecuatoriana y apoyar a la gestión investigativa en el país, el presente proyecto de tesis, haciendo uso de buenas prácticas y marcos referenciales actuales para gestión y gobierno de TI, así como seguridad de la información (COBIT v5, ISO 27000:2013, etc.), junto con la normativa gubernamental vigente (Acuerdo Ministerial 166, EGSI), enfoca sus esfuerzos en dicha institución como medio de fortalecer y apoyar los procesos internos de TI que la ESPE posee para llevar a cabo sus objetivos institucionales de gestión de la información.

4 Problema Con el desarrollo del presente proyecto de tesis, se busca dar respuesta a las siguientes interrogantes que surgen del análisis de la situación actual de la Universidad de las Fuerzas Armadas. ¿Cuál es la situación actual de la institución referente a seguridad de la información? ¿Cuáles son las necesidades de protección de la información que posee la institución? ¿Cómo se podría mitigar los riesgos asociados al uso de los sistemas informáticos de la Universidad de las Fuerzas Armadas sede principal?

5 Objetivos GENERAL Elaborar el Plan de Seguridad de la Información de la Universidad de las Fuerzas Armadas (sede Principal), alineándolo a los objetivos estratégicos de la institución mediante el uso de marcos referenciales, estándares internacionalmente aceptados y normativa gubernamental vigente. ESPECIFICOS Evaluar la situación actual de la institución en referencia al tratamiento que la misma da a la información. Determinar las necesidades de protección de los sistemas informáticos que la institución posee. Realizar el Análisis de riesgos e impactos utilizando las normas Técnicas ecuatorianas: ISO IEC y la ISO/EC Elaborar las políticas de seguridad de la información de la Universidad de las Fuerzas Armadas, aplicadas a un plan de seguridad de la información mediante el uso de la familia de normas técnicas ecuatorianas: NTE ISO/IEC y el Acuerdo No 166: EGSI.

6 Marco Teórico FAMILIA ISO 27000 Marco referencial Normativa Legal
NTE ISO/IEC 27001 NTE ISO/IEC 27002 NTE ISO/IEC 27003 NTE ISO/IEC 27005 Marco referencial COBIT V5 Normativa Legal Acuerdo 166

7 Metodología de la Investigación
Metodología Plan de Seguridad de la Información ESPE (sede Matriz) Pasos Descripción 1 Proceso de Análisis e identificación de activos en la ESPE (sede Matriz) 2 Metodología de clasificación de activos en la ESPE (sede Matriz) 3 Análisis de riesgos (ISO 27005) en la ESPE (sede Matriz) 4 Metodología de riesgos (ISO 27005) en la ESPE (sede Matriz) 5 Análisis de controles (ISO 27002) en la ESPE (sede Matriz) 6 Reporte de análisis de controles (ISO 27002) en la ESPE (sede Matriz) 7 Análisis requerimientos según ISO en la ESPE (sede Matriz) 8 Reporte requerimientos según ISO en la ESPE (sede Matriz) 9 Análisis requerimientos ISO en la ESPE (sede Matriz) 10 Reporte análisis de requerimientos ISO en la ESPE (sede Matriz)

8 Análisis e identificación de activos.
Describe e identifica los principales activos de información de la ESPE (sede Matriz) que se hallan involucrados en el procesamiento de la información que la institución maneja. Considérese a un activo para el plan de Seguridad de la Información a: Hardware, Software, Recurso Humano, datos etc.

9 Análisis de riesgos Un SGSI inicia con la valoración del riesgo ya que las medidas de seguridad que se apliquen, deben apuntarse hacia los riesgos más relevantes para la organización. Para valorar el riesgo, se emplea el estándar ISO ya que la misma propone varios ejemplos de escenarios donde se pueda realizar la mencionada valorización del riesgo; dicho estándar en su anexo C del mencionado estándar propone adicionalmente ejemplos de amenazas comunes a las organizaciones que sirven de guía a la tipificación del presente proyecto.

10 Análisis de riesgos Resultados

11 Análisis de riesgos

12 Análisis de controles Basado en la norma NTE ISO/IEC 27002:2005

13 Análisis de controles Basado en la norma NTE ISO/IEC 27002:2005

14 Requerimientos ISO 27003

15 Requerimientos ISO 27001 Basado en la norma NTE ISO/IEC 27001

16 Madurez ISO 27002 Basado en la norma NTE ISO/IEC 27001

17 ISO vs EGSI

18 Conclusiones La situación actual de la ESPE en su sede Matriz, referente a Seguridad de la información evidencia que existen procesos que no están debidamente formalizados en este tema, lo cual revela la urgencia con que el tema de seguridad debería ser implementando en rangos aceptables en la institución. La investigación del presente trabajo evidencia que aspectos tácitos a la Seguridad de la información tales como: Gestión de Riesgos, gestión de Activos, Políticas de seguridad, etc., no están desarrollados en niveles aceptables, lo cual deja en claro la necesidad urgente de la implementación de lineamientos que brinden niveles de seguridad aceptables sobre la información que maneja la universidad. Un aspecto básico de seguridad de las instituciones públicas es el cumplimiento de la normativa legal vigente (para este caso, el EGSI, Acuerdo 166), y la investigación ha evidenciado que faltan puntos por cubrir de los lineamientos de dicha norma, por tanto es necesario que la institución genere un plan de implementación de dicho acuerdo.

19 Recomendaciones Seguir los lineamientos establecidos en el Plan de Seguridad de la Información expresado como Anexo I del presente documento; dicho documento propone metodología tanto para la gestión, análisis y clasificación de activos, así como para la gestión de Riesgos. Se recomienda la implementación y alineamiento de los procesos institucionales a buenas prácticas internacionalmente aceptadas de seguridad, específicamente hablamos de la familia de ISOS 27000; así mismo, se recomiendo cumplimiento a la normativa legal vigente en relación a temas de seguridad, específicamente se hace referencia al Esquema Gubernamental de Seguridad de la Información, EGSI. Se recomienda crear un comité de seguridad en la institución que formalice las políticas de seguridad trasversalmente a toda la institución y que revise, verifique, valide, mejore y socialice las políticas de seguridad de la institución.

Descargar ppt "Universidad de las Fuerzas Armadas"

Presentaciones similares

1 David Adrián Gómez Diciembre 2013 Trabajo Final de Grado Alumno David Adrián Gómez Carrera Licenciatura en Sistemas y Gestión Profesor Tutor Diego Esteve.

1 David Adrián Gómez Diciembre 2013 Trabajo Final de Grado Alumno David Adrián Gómez Carrera Licenciatura en Sistemas y Gestión Profesor Tutor Diego Esteve.
ANÁLISIS Y DIAGNÓSTICO SOBRE LA DIRECCIÓN ESTRATÉGICA UNIVERSITARIA EN COLOMBIA Octubre 7 al 9 de 2009 Barranquilla - Colombia.

ANÁLISIS Y DIAGNÓSTICO SOBRE LA DIRECCIÓN ESTRATÉGICA UNIVERSITARIA EN COLOMBIA Octubre 7 al 9 de 2009 Barranquilla - Colombia.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
Plan Institucional de Desarrollo Universidad Autónoma de San Luis Potosí Construcción de los PLANES de ACCIÓN (PLAC´s) DEPENDENCIAS.

Plan Institucional de Desarrollo Universidad Autónoma de San Luis Potosí Construcción de los PLANES de ACCIÓN (PLAC´s) DEPENDENCIAS.
MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.

MANUALES DE PROCEDIMIENTOS ¿¿Que son los manuales ?? Manuales de procedimientos.
Auditoría Coordinada de Pasivos Ambientales

Auditoría Coordinada de Pasivos Ambientales
Programa de Escritura para la Comunidad Universitaria del CEDILE-PUCMM

Programa de Escritura para la Comunidad Universitaria del CEDILE-PUCMM
Fecha: 07/08/16 Ámbito de RSE: Medio Ambiente Tema de RSE:

Fecha: 07/08/16 Ámbito de RSE: Medio Ambiente Tema de RSE:
Unidad de Comunicación e Imagen

Unidad de Comunicación e Imagen
DEPARTAMENTO DE CIENCIAS ECONÓMICAS ADMINISTRATIVAS Y DE COMERCIO

DEPARTAMENTO DE CIENCIAS ECONÓMICAS ADMINISTRATIVAS Y DE COMERCIO
“GESTIÓN INTEGRADA DEL RIESGO ORGANIZACIONAL” (GIR)

“GESTIÓN INTEGRADA DEL RIESGO ORGANIZACIONAL” (GIR)
UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE VICERRECTORADO DE INVESTIGACIÓN INNOVACIÓN Y TRANSFERENCIA TECNOLÓGICA ESTUDIO PROSPECTIVO DE LAS POLÍTICAS.

UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE VICERRECTORADO DE INVESTIGACIÓN INNOVACIÓN Y TRANSFERENCIA TECNOLÓGICA ESTUDIO PROSPECTIVO DE LAS POLÍTICAS.
ING. ÍTALO GERARDO ESPÍN RUIZ ING. DIEGO OSWALDO PULE LÓPEZ

ING. ÍTALO GERARDO ESPÍN RUIZ ING. DIEGO OSWALDO PULE LÓPEZ
UNIDAD DE GESTIÓN DE POSTGRADOS

UNIDAD DE GESTIÓN DE POSTGRADOS
Grupo regional de INSARAG en las Américas

Grupo regional de INSARAG en las Américas
Línea de Educación Comunitaria en la Gestión del Riesgo Escolar

Línea de Educación Comunitaria en la Gestión del Riesgo Escolar
Seminario de Informática en Salud

Seminario de Informática en Salud
Fase 1 Fase 1.

Fase 1 Fase 1.
TRABAJO FIN DE MASTER: IMPLEMENTACION ISO SARA CUERVO

TRABAJO FIN DE MASTER: IMPLEMENTACION ISO SARA CUERVO
TESIS PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS TEMA: DESARROLLO DE UN MODELO DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

TESIS PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS TEMA: DESARROLLO DE UN MODELO DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Presentaciones similares

Anuncios Google