PLAN DE SEGURIDAD INFORMÁTICA UNIVERSIDAD DE LAS FUERZAS ARMADAS ESPE-LATACUNGA Mayo 2015

Agenda 1. Objetivos 2. Antecedentes 3. Metodología de Implementación 4. Resultados del análisis 5. Recomendaciones

1. Objetivos General Específicos Realizar el Plan de Seguridad Informática aplicable para la Universidad de las Fuerzas Armadas ESPE extensión Latacunga, mediante la utilización del Marco de referencia COBIT 5, COBIT para la Seguridad de la Información y la normas técnicas ecuatorianas NTE INEN-ISO/IEC 27000 para la gestión de seguridad de la información. General Realizar el análisis de la situación actual de la Universidad de las Fuerzas Armadas ESPE extensión Latacunga en base a la normas NTE INEN-ISO/ IEC 27000 en cuanto a la seguridad de información. Presentar el plan de Seguridad de Informática en base a los riesgos y el nivel de madurez identificados en los dominios de la norma NTE INEN-ISO/ IEC 27000. Específicos

NTE INEN-ISO/IEC 27000 Series (SGSI) 2. Antecedentes NTE INEN-ISO/IEC 27000 Series (SGSI) “Acuerdo 166 de la Secretaria de Administración Pública SNAP” (EGSI) Valor Agregado a los estudiantes comunidad en general. CEMAI.- Centro de Aprendizaje Industrial en donde capacitan al personal en ramas técnicas: Mecánica automotriz, oficios metalúrgicos, mecánica industrial y electricidad (ITSFA), formando a tecnólogos militares y civiles por primera vez en 4 profesiones: Mecánica Automotriz, Control Automático, Telecomunicaciones y Electromecánica. Ejército (I.T.S.E), manteniendo las 4 tecnologías e implementando un área de sistemas para obtener el título de Tecnólogo Analista de Sistemas Mision.-proporcionar e implementar alternativas de solución a los problemas del país, acordes con el Plan Nacional de Desarrollo VISIÓN  Al 2016, líder en la gestión del conocimiento y la tecnología en el Sistema de Educación Superior, con prestigio internacional y referente de práctica de valores éticos, cívicos y de servicio a la sociedad.

Problemas Específicos Problemática Cómo se pueden identificar los activos de información de la ESPE extensión Latacunga? ¿Cómo se puede valorizar el nivel de impacto de los activos de información según su nivel de confiabilidad, integridad y disponibilidad? Problemas Específicos ¿Cuáles son los niveles de efectividad, eficiencia, cumplimiento y confiabilidad de los servicios actuales; de acuerdo al grado de madurez de los procesos y al uso de los datos, sistemas de aplicaciones, tecnología, instalaciones y personal como recursos de TI? Problema General ¿Cómo podría mitigar los riesgos asociados a los activos de la información dentro de la Espe extensión Latacunga y a su vez apegarse al Acuerdo 166 de la Secretaria de Administración Pública SNAP?

¿QUÉ ES El SISTEMA DE SEGURIDAD DE LA INFORMACIÓN (SGSI)? Marco teórico “Es una herramienta que permite gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información”. Fuente: Norma ISO 27000 ¿QUÉ ES El SISTEMA DE SEGURIDAD DE LA INFORMACIÓN (SGSI)? Activo de Información ” Conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.” Fuente: Norma ISO 27001

QUÉ El ESQUEMA DE SEGURIDAD DE LA INFORMACIÓN (EGSI)? Marco teórico QUÉ El ESQUEMA DE SEGURIDAD DE LA INFORMACIÓN (EGSI)? Es un esquema creado mediante el Acuerdo 166 emitido por la Secretaria Nacional de Administración Pública, SNAP publicado en Registro Oficial Nº 88 -- Miércoles 25 de septiembre de 2013 “Las entidades de la Administración Pública Central, Institucional y que dependen de la Función Ejecutiva el uso obligatorio de las Normas Técnicas Ecuatorianas NTE INENISO/ IEC 27000 para la Gestión de Seguridad de la Información”. disposiciones o normas marcadas como prioritarias en dicho esquema, las cuales se implementarán en (6) meses desde la emisión del presente Acuerdo. El seguimiento y control a la implementación de la EGSI se realizará mediante el Sistema de Gestión por resultados (GPR) Las entidades de la Administración Pública implementarán en un plazo de dieciocho (18) meses el Esquema Gubernamental de Seguridad de la Información (EGSI). Es responsabilidad de la máxima autoridad de cada entidad mantener la documentación de la implementación del EGSI debidamente organizada y registrada

Marco teórico EGSI ISO/IEC 27000 Vocabulario ISO/IEC 27001 Certificación ISO/IEC 27002 Buenas prácticas, Controles ISO/IEC 27003 Directrices para un SGSI ISO/IEC 27004  Métricas  ISO/IEC 27005 Gestión de riesgos  ISO/IEC 27006 Acreditación de entidades de auditoría y certificación ISO/IEC 27007 Auditar al SGSI EGSI Acuerdo 166 Elaborado por: Cristian Aguirre

Marco teórico COBIT 5 provee un marco de referencia para asistir a las empresas y organizaciones a que alcancen sus objetivos de negocio y entregar valor a través de un gobierno eficiente y una buena gestión de sus tecnologías de información

Estructura organizacional ISO 27000 series Universidad Nacional de Ciencia y Tecnología de Taiwán Universidad Libre de Bozen/Bolzano Italia

3. Metodología de Implementación NTE ISO/IEC 27005 NTE ISO/IEC 27002 NTE ISO/IEC 27003 NTE ISO/IEC 27001

4. Resultado de Análisis (1)

4. Resultado de Análisis (2) Estado general de implementación ISO 27003 por dominios de su anexo A

4. Resultado de Análisis (3) Análisis de requerimientos ISO 27001 y Dominios ISO 27002

4. Resultado de Análisis (4) Análisis de requerimientos ISO 27001 y Dominios ISO 27002

4. Resultado de Análisis (5) Madurez de Seguridad Dominios ISO 27002

Conclusiones En la ESPE extensión Latacunga no hay un adecuado Manejo con respecto a la seguridad de información tomando como referencia la Iso “27000, partiendo de que existe deficiencia en la seguridad de los procesos y la en la documentación de la mismos Existe la implementación del SGSI/EGSI en la Espe extensión Latacunga de un 16% No existe metodología de clasificación de Activos , ni de mitigación de riesgos No existe un Comité de Seguridad de la Información

5 Recomendaciones (PSI) Metodología de riesgos activos información Metodología de clasificación de activos 1 2 Implementación de un SGSI Comité de Seguridad de la Información Política de Seguridad y derivadas 3 4 Declaración aplicabilidad y proyectos propuestos

Metodología de Implementación Establecer política, objetivos, procesos y procedimientos SGSI PLANIFICAR Implementar y operar la política, controles, procesos y procedimientos SGSI. HACER ACTUAR Evaluar y, donde sea aplicable, medir el desempeño del proceso en comparación con la política, objetivos y experiencias prácticas SGSI CHECAR Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoria interna SGSI

1. Estructura organizacional Sr. Director de Extensión Estructura organizativa SGSI Designar delegado, de ser el caso. Aprobar Comité de seguridad de la Información Proponer, ajustar Aprobar Acuerdo 166: El Oficial de Seguridad no pertenecerá al área de Tecnología y reportará a la máxima autoridad Crear unidad o responsable Acuerdo 166 Unidad de Seguridad de la Información Implementar, apoyar SGSI Unidades organizativas ESPE-L

2. Hoja de ruta en ejecución– Establecer el contexto Plan de Seguridad de la Información Priorización de controles normativos en base al riesgo Requerimientos legales Controles 227 días 40 días Plan de Seguridad Implementación de controles normativos priorizados 33 días febrero marzo abril mayo junio julio agosto septiembre octubre noviembre diciembre 2015 60 días 31 días Hoy 60 días La seguridad de la información es valorable en una empresa solamente cuando está suficientemente adaptada a la situación única en la que esa empresa existe y opera. Asegurar la continuidad de las funciones inherentes a la misión de la Superintendencia de Economía de Popular y Solidaria, minimizando los riesgos previniendo incidentes de seguridad y reduciendo su potencial impacto.   Asegurar que dentro de la Institución, la información estará protegida contra su divulgación a usuarios no autorizados (confidencialidad), modificación inadecuada (integridad) y su falta de acceso cuando se la necesita (disponibilidad). Enfocarse en los procesos clave de la Superintendencia, plantear estrategias basadas en riesgo y promover un comportamiento responsable en Seguridad de la Información. 187 días Concepción SGSI Confidencialidad Integridad Disponibilidad Basado en Riesgo/Negocio Controles 2015 Proceso (s) de Negocio (s) ESPE Agregara Valor

¡Muchas gracias!