ASSESSMENT DE SEGURIDAD DE

LA INFORMACIÓN

GOBIERNO DE LA PROVINCIA DE CÓRDOBA

GAP ANALYSIS – INFORME TECNICO ISO 27001

PROCEDIMIENTO DE IMPLEMENTACION DEL PROYECTO

METODOLOGIA DE EVALUACION DE RIESGOS

PLAN DE ACCION

CAPACITACION Y CONSIENTIZACION

GAP ANALYSIS – INFORME EJECUTIVO ISO 27001

POLITICAS DE SEGURIDAD ARMADO DEL SGSI

i. Cláusulas del sistema de gestión de seguridad de la información

(SGSI)

ii. Observaciones sobre objetivos de control de seguridad de la

información

iii. Recomendaciones

iv. Conclusiones del Análisis

Identificar, en que estado de madurez se encuentra el Gobierno de la

Provincia de Córdoba con respecto al grado de cumplimiento de la gestión

en seguridad de la información a partir de las recomendaciones propuestas

por la Norma ISO 27001 y el esfuerzo que habrá que hacerse para la

definición e implantación de un sistema de gestión de seguridad de la

información.

RESULTADOS DEL GAP ANALISIS

Se estableció un proceso de adecuación de la seguridad de la

provincia, para el armado del sistema de gestión de la seguridad

1. La integración de la seguridad de la información con los objetivos del

negocio y a los distintos sistemas de gestión adoptados por la

organización.

2. La metodología utilizada para mantener la integridad, disponibilidad y

confidencialidad de los datos e información generados por el sector

que será certificado.

3. Los controles para proteger y mantener disponibles los sistemas y

aplicativos.

4. Los controles de acceso y utilización de los ambientes tecnológicos.

5. La metodología para concientizar y capacitar al personal vinculado a

la protección de la información.

6. El compromiso de la Alta Gerencia respecto a la protección de la

información.

BRECHA DE CUMPLIMIENTO

Grafico sobre el nivel de aproximación respecto a los 5 puntos de cumplimiento

que afectan a la eficacia del sistema de gestión de seguridad de la información.

Gráfico que representa el nivel de cumplimientos sobre los controles y la efectividad

del sistema de gestión de seguridad de la información

Grafico donde se destaca el grado de cumplimiento en seguridad de la información y

respecto de la norma y los plazos de tiempos aproximados que se requerirá para la

implementación de un sistema de gestión de seguridad de la información.

Gráfico desarrolla el grado de cumplimiento de parámetros generales y controles

que permiten minimizar riesgos asociados a la protección de los activos de

información y la segurización de los mismos.

EL RESULTADO

13%

46%

87%

41%

Objetivos de Control Aplicados

No aplicados

Procesos no definidos o no

formalizarlos

No se aplica nada de SGSI

Gráfico, refleja el grado de cumplimiento sobre las cláusulas y objetivos de

control de la norma, el tiempo funcional de implementación de la misma y el

proceso de auditoria para la certificación y mejora continua del sistema de

gestión de seguridad de la información.

Considerar a la seguridad como un sistema de gestión de seguridad de la

información.

No enfocar la seguridad solo a soluciones tecnológicas.

Definir formalmente un plan estratégico orientado a la seguridad de la información.

Enfocar el área actual de seguridad informática (netamente técnica), a un área de

seguridad de la información.

Contar con Políticas claras y Procedimientos formales que garanticen un escenario

de trabajo estandarizado con actores orientados a los objetivos y requerimientos de

la organización.

Contar con un proceso formal de atención de incidente relativo a la seguridad.

RECOMENDACIONES

OBJETIVO

Lograr en el Gobierno provincial una cultura interna orientada a la protección de los

activos de la organización y posicionamiento frente a los ciudadanos mediante la

mejora de los servicios en forma permanente.

VALOR DE APLICABILIDAD Y ESCENARIOS

Operar de forma estandarizada, con aplicabilidad de controles efectivos a fin de

minimizar los riesgos y potenciales impactos tanto para los ciudadanos como para

la gestión interna de GOBIERNO DE LA PROVINCIA DE CÓRDOBA.

META

Adecuar el entorno de seguridad informática del GOBIERNO DE LA PROVINCIA

DE CÓRDOBA, desarrollándose e implementándose el sistema de gestión de

seguridad de la información establecido por la norma ISO 17799 / ISO 27001

PLAN DIRECTOR

ETAPA DE DISEÑO, DESARROLLO E IMPLEMENTACIÓN

Para establecer y gerenciar un Sistema de Gestión de la Seguridad de la

Información en base a ISO 27001, en primera instancia se definirá el ciclo

continuo PDCA, tradicional en los sistemas de gestión de la calidad.

Siendo esto:

Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.

Check (verificar): monitorizar y revisar el SGSI.

Act (actuar): mantener y mejorar el SGSI.

Unificado al PDCA se definirá a los integrantes del comité de seguridad y SGSI.

Hecho esto se establecerán las futuras actividades por cada etapa del proceso

ETAPA DE CAPACITACIÓN

Capacitación sobre la norma ISO 27001:2005

Capacitación a la dirección para determinar si las actividades desarrolladas por las

personas y dispositivos tecnológicos para garantizar la seguridad de la información se

desarrollan en relación a lo previsto;

Capacitación a los responsables operativos sobre manuales y procedimientos

adoptados e implementados para la gestión de la seguridad de la información.

Curso a auditores internos para la evaluación del cumplimiento del sistema de

gestión de seguridad de la información y su mejora continua.

ETAPA DE CERTIFICACIÓN

La presente etapa contempla las siguientes actividades:

ISO 27001 – Pre Auditoría (evento opcional) ISO 27001 – Auditoría de Certificación

Fase 1 ISO 27001 – Auditoría de Certificación Fase 2

ISO 27001 – Auditoría de Mantenimiento (auditorías de Mantenimiento con

periodicidad Anual, durante el periodo de tres años.)

VALORACION DE LOS RIESGOS ASOCIADOS

PROBABILIDAD * IMPACTO + ACEPTACION

DISTRIBUCION DEL RIESGO ASOCIADO

Porcentaje de Riesgos a reducir en Equipamiento de Servicios de Mision Critica

25%

65% 20%Servicios de Criticidad Alta

Servicios de Criticidad Media

Servicio de Criticidad Baja

Tener una visión mas clara del estado actual y poder planificar

efectivamente la seguridad de la información.

Detectar los recursos y servicios de misión critica

Mitigación en un 10% de los riesgos mas críticos

Creación de un COMITÉ DE SEGGURIDAD

Elaboración de las políticas generales de uso de la información del

gobierno de la provincia.

CONCLUSIONES GENERALES DEL PROYECTO

MUCHAS GRACIAS!!!