Analisis Foda Sgsi1
Analisis Foda Sgsi1
Analisis Foda Sgsi1
SGSI
DOCENTE:
RONALD
CURSO:
SGSI
INTEGRANTES:
ABRIL 2017
RESUMEN EJECUTIVO
INTRODUCCION
MARCO TEORICO
Las polticas y los procedimientos de seguridad informtica surgen como
una herramienta organizacional para concienciar a cada uno de los
miembros de una organizacin sobre la importancia y la sensibilidad de la
informacin que favorecen el desarrollo y el buen funcionamiento de la
organizacin. Deben considerarse como reglas a cumplir que surgen para
evitar problemas y que se establecen para dar soporte a los mecanismos de
seguridad implementados en los sistemas y en las redes de comunicacin
[1]. Un plan de seguridad en una organizacin debe estar soportado por
polticas y procedimientos que definan porque proteger un recurso, que
quiere hacer la organizacin para protegerlo y como debe procederse para
poder lograrlo. 2.1.1 Evaluacin de la vulnerabilidad de la seguridad en los
host y los sistemas operativos [2]. En la sociedad de la informacin cada vez
se torna ms respetable el salvaguardar la informacin, la cual se divide
fundamentalmente en cinco partes: seguridad fsica, seguridad de red,
seguridad de host, seguridad de las aplicaciones y la seguridad de los datos.
Entre ellos la seguridad del host constituye el piso del sistema de
informacin convirtindose en la base fundamental y esencial en todo el
equipo de seguridad de la informacin. Es de opinar que hoy da en las
organizaciones se debe tener presente la seguridad de la informacin como
un pilar trascendente para salvaguardar sus activos, la composicin de la
misma hace que se cubra en gran parte todo lo que tiene que ver con un
sistema completo dentro de cualquier negocio. Como todo proceso debe
estar desde el inicio bien concebido; de ah la importancia de tener primero
presente la seguridad dentro del sistema operativo siendo ello un pilar
fundamental para evitar tanto ataques internos como externos, ya que los
controles dentro del mismo proveen un mecanismo para especificar una
variedad de polticas que hacen que se asegure el proceso de una manera
adecuada. La idea principal concebida en los ltimos aos ha hecho de los
sistemas operativos algo funcional y accesible pero tambin ha generado un
gran aumento en la vulnerabilidad, dado que cada vez ms los usuarios
tienen mayores conocimientos en los mismos y se pueden generar desde
ellos amenazas. Se deben identificar las amenazas potenciales y saber si en
si provienen de fuentes maliciosas o no. 14 La gestin de la seguridad de la
informacin debe realizarse mediante un proceso sistemtico, documentado
y conocido por toda la organizacin. Este proceso es el que constituye un
SGSI, que podra considerarse, por analoga con una norma tan conocida
como ISO 9001, como el sistema de calidad para la seguridad de la
informacin [3]. 2.1.2 Un marco para la evaluacin de la seguridad del
sistema [4]. La evaluacin constante es una habilidad fundamental para
lograr un nivel adecuado de seguridad de TI en los sistemas y las redes de
informacin. En el artculo se desarrolla el objetivo de un marco doble de
clasificacin de mtodos existentes y los enfoques que permiten el clculo
de evaluar los valores de seguridad, que dependen del sistema de entidades
del sistema tcnico. Se puede opinar que cualquier sistema de seguridad en
la informacin requiere de una metodologa a conciencia, que se torne
adecuada para la implementacin del mismo aparte de clasificar en buena
parte los mtodos que se hayan implementado en el pasado y que de una u
otra manera han terminado en fracaso. Cuando se habla de una nueva
implementacin se ve claramente cmo se asocia con nuevas tecnologas,
pero en si se trata de evaluar la informacin de una forma consistente y se
debe tener implcita la base de que los elementos existentes, tambin
hacen parte de la misma la cual se encuentra centralizada y es de tener en
cuenta que esta centralizacin es lo que muestra ms vulnerabilidad
presenta dentro de los activos de informacin. 2.1.3 De la seguridad
informtica a la seguridad de la informacin [5] Cuando una empresa define
la seguridad de la informacin como prioridad, estableciendo medidas que
ayuden a conseguirla, de manera inmediata se plantea la necesidad de
instalar mecanismos, llammosles fsicos, que permitan controlar los riesgos
asociados a la seguridad ms inmediata; mecanismos entre los que se
encuentran desde las medidas fsicas aplicables al espacio en el que se
ubican los sistemas que contienen la informacin, 15 dejando a un lado
aspectos muy relevantes sin los cuales no se puede considerar una buena
gestin de la seguridad. Se puede opinar que bsicamente el artculo quiere
dar a entender que muchas empresas se centran en la aplicacin de una
seguridad informtica, protegiendo los activos fsicos y no en la aplicacin
de una seguridad de la informacin. Garantizar un nivel de proteccin
total es virtualmente imposible, incluso en el caso de disponer de un
presupuesto ilimitado. El propsito de un sistema de gestin de la seguridad
de la informacin es, por tanto, garantizar que los riesgos de la seguridad
de la informacin sean conocidos, asumidos, gestionados y minimizados por
la organizacin de una forma documentada, sistemtica, estructurada,
repetible, eficiente y adaptada a los cambios que se produzcan en los
riesgos, el entorno y las tecnologas. 2.1.4 Proyecto de un sistema
preventivo de seguridad [6]. Los espectaculares avances en la informtica y
la tecnologa de las comunicaciones, en los ltimos aos han reorientado el
enfoque del procesamiento del centro de computacin para los terminales
de las distintas oficinas o los hogares de datos. El resultado es que los
integrantes de TI de hoy deben controlar la seguridad a un nivel ms amplio
y establecer cada vez controles ms precisos, por tanto se defini el diseo
Prism1 el cual tiene como objetivo desarrollar e implementar un sistema de
gestin de seguridad de la informacin, con capacidades de prevencin de
intrusos que sea garante del adecuado manejo de los procesos de deteccin
de riesgos. Cada vez se hace ms difcil realizar el control de los terminales
o equipos de usuario final dentro de la organizacin, los avances
tecnolgicos y el conocimiento creciente de los usuarios hacen de este
control uno de los trabajos ms dispendiosos para cualquier administrador
de TI 2. La importancia que tiene que en los equipos solamente se instalen
los programas permitidos por TI, es una regla que debe ser impartida a los
usuarios desde el momento mismo en que ingresan a la empresa y
peridicamente hay que hacer las verificaciones y los controles en cada uno
de ellos para evitar tanto descargas indeseadas como instalacin de
programas no solo maliciosos sino que no se encuentren licenciados para
fines que no sean netamente laborales. 1 Gestin preventiva de la
seguridad de la informacin 2 Tecnologas de la Informacin 16 La seguridad
de la informacin, segn ISO 27001, consiste en la preservacin de su
confidencialidad, integridad y disponibilidad, as como de los sistemas
implicados en su tratamiento, dentro de una organizacin [7]. 2.1.5 Diseo
de un SGSI para una compaa de seguros [8] La Superintendencia de
Banca, Seguros y AFP, en el 2009, elabor la circular G140, que estipula que
todas las empresas peruanas que son reguladas por este organismo deben
contar con un plan de seguridad de informacin. La presente tesis busca
disear un sistema de gestin de seguridad de informacin para una
compaa de seguros que cubra lo que pide la circular para evitar problemas
regulatorios con este organismo. Cabe resaltar que muchas compaas a
nivel mundial, sin importar el nicho del mercado al cual estn suscritas
deben tener un sistema de gestin de seguridad de la informacin, para
poder salvaguardar el activo ms importante con el que trabajan, que es la
informacin. En esta tesis disean un SGSI para poder tener una base que
se pueda implementar en cualquier compaa de seguros. Cabe resaltar que
se hace bajo estndares y buenas prcticas que indican qu es lo que se
debe realizar, pero no especifican cmo se deben implementar los controles.
Estos van a depender de la necesidad de la empresa y de la inversin que
desee realizar en temas de seguridad, con lo que se puede afirmar que lo
expuesto en la tesis es una forma de cmo se puede disear un SGSI. En el
contexto aqu tratado, se entiende por informacin todo aquel conjunto de
datos organizados en poder de una entidad que posean valor para la misma,
independientemente de la forma en que se guarde o transmita (escrita, en
imgenes, oral, impresa en papel, almacenada electrnicamente,
proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones,
etc.), de su origen (de la propia organizacin o de fuentes externas) o de la
fecha de elaboracin. 2.1.6 Metodologa de Implantacin de un SGSI en
grupos empresariales de relacin jerrquica [9] Un Sistema de Gestin de la
Seguridad de la Informacin (SGSI), definido por la norma ISO/IEC 27001, no
slo debe considerarse contexto de la industria y 17 caractersticas
culturales de la Organizacin, sino que tambin debe ser sostenible en el
tiempo, con capacidad de incorporar mejoras de forma incremental y
continua, con un beneficio comprobable para la Organizacin. Para ello se
requiere de una metodologa bien definida que acompae el dinamismo
necesario de la empresa/Organizacin y de la industria y a su vez respete
las estrategias empresariales y vinculacin estructural. Este artculo
describe lineamientos metodolgicos, de aplicacin sistemtica para el
diseo, implantacin, mantenimiento, gestin, monitoreo y evolucin de un
SGSI para una empresa o grupo empresarial atendiendo a su estructura de
grupo multiempresa y diversidad en los niveles y dominios de seguridad
requeridos. Para establecer y gestionar un Sistema de Gestin de la
Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo
PDCA, tradicional en los sistemas de gestin de la calidad. Definir el alcance
del SGSI en trminos del negocio, la organizacin, su localizacin, activos y
tecnologas, incluyendo detalles y justificacin de cualquier exclusin.
Definir una poltica de seguridad que: incluya el marco general y los
objetivos de seguridad de la informacin de la organizacin; considere
requerimientos legales o contractuales relativos a la seguridad de la
informacin; est alineada con el contexto estratgico de gestin de
riesgos de la organizacin en el que se establecer y mantendr el SGSI;
establezca los criterios con los que se va a evaluar el riesgo; est
aprobada por la direccin. 2.1.6.1 Implementacin de un SGSI en la
comunidad nuestra seora de gracia, alineado tecnolgicamente con la
norma ISO 27001 [10] El trabajo descrito en el presente artculo fue
desarrollado en la Comunidad Nuestra Seora de Gracia, de la ciudad de
Bogot, a la cual se realiz un proceso de diagnstico, a partir del cual se
determin que no posea los mecanismos, ni los procesos idneos para
proteger su informacin. Con base en esta situacin, se decidi realizar un
plan piloto para implementar polticas 18 que se ajustaran a la norma
ISO/IEC 27001, adems de disear e implementar un sistema de
informacin web que ayudara al equipo de stakeholders1 al levantamiento
inicial de informacin, al anlisis de brechas y de gap2; y que ayudara al
auditor de la comunidad al seguimiento y gestin de cada uno de los
procesos de la norma. Es de opinar que este artculo es el resultado de un
proyecto de investigacin, adelantado por un grupo de estudiantes de
ingeniera de sistemas con el fin de implementar un SGSI en la Comunidad
Nuestra Seora de Gracia. Este sistema se basa en las directrices indicadas
en la norma ISO/IEC 27001, y en el marco del mismo se gener un anlisis
de gap2 , que permiti evidenciar un nivel de brechas significativo en la
mencionada Comunidad, con base en el cual se establecieron polticas y
controles de mejoramiento de los procesos de seguridad de la informacin y
se definieron las declaraciones de aplicabilidad que fortalecieron todo el
anlisis de riesgos efectuado.1 Es importante resaltar que el trmino
stakeholders representa aquellas personas o colectivos que tienen algn
tipo de inters sobre la empresa con un fin en particular, generando
diversos efectos en el mejoramiento de los procesos de negocios 2 Un
anlisis de gap, permite comparar los procesos actuales que tiene la
organizacin con los lineamientos de cumplimiento de la norma ISO/IEC
27001 y establecer en qu reas o procesos se debe priorizar y enfocar el
esfuerzo para permitir incrementar la seguridad de la informacin. (Fuente:
http://www.gapanalisis.com/) 19 2.1.7 Deteccin de fallos y Mitigacin en
Redes Kirchhoff [11]. En el artculo se cita la deteccin de fallos y la
mitigacin en redes para verificar que las mismas cumplan con los
estndares de la ley de voltaje de Kirchhoff, se da una caracterizacin a los
fallos y se evala que puedan ser insertados por una persona maliciosa
dentro de la empresa o fuera de ella. Cabe resaltar que la importancia de
tener control total sobre cualquier cosa que suceda dentro de la
organizacin, genera la motivacin de contar con un sistema de gestin de
seguridad de la informacin, las vulnerabilidades ms comunes nacen desde
las propias redes y es all precisamente donde se debe generar un control y
donde es clave tener un software de monitoreo en la red, no solo para saber
la eficacia de la misma, sino para tener en cuenta cualquier cambio
provocado, y como evitar que suceda, esto hace parte de una buena
parametrizacin de los riesgos, as como el blindaje a externos al rea de TI
a la misma. 2.1.8 Un sistema tolerante a intrusiones para mejorar la
disponibilidad de centros de control de red inteligente [12]. Se propone un
sistema de seguridad tolerante a la intrusin de los componentes cruciales
en los sistemas SCADA1 y en los centros de control de red inteligente.
Debido a todas las fallas y efectos sociales que se pueden presentar en caso
tal de probables ataques cibernticos, se especifica el uso de un vigilante,
que aunque no solo se considera suficiente para la operacin crtica de la
red inteligente le da un enfoque tolerante a la intrusin y constituye un
papel importante para el endurecimiento de la red. El fortalecimiento en las
redes de informacin mediante mecanismos de deteccin de intrusos
genera un gran alivio para un sistema de gestin de seguridad de la
informacin, ante todo para garantizar la disponibilidad del servicio y poder
tener gran tolerancia a fallos. En ambientes donde se est trabajando
siempre con informacin crtica es fundamental manejar una tcnica de
tolerancia a fallos demostrada, y que sea comprobable que est haciendo
copias certeras de dicha informacin.
DEBILIDADES FORTALEZAS
1. Inexistencia de control de 1. Cuentan con tecnologa de
validacin de la vanguardia.
documentacin solicitada, 2. Aplicacin cuenta con diseo
para fase de registro. responsive. (verificar si
2. Tiempo de respuesta de cuenta)
solicitud, mayores a lo 3. Uso correcto de los recursos
esperado. informticos.
3. Costos elevados al aplicar 4. Contenido apropiado y
los controles de seguridad relevante.
apropiados. 5. Reuniones peridicas del
4. Altas dependencia de equipo de servicio.
decisiones internas. 6. Personal calificado para
5. Falta de difusin del llevar a cabo el proceso
proceso. 7. Servicio al cliente.
8. Proceso bien definido para
cumplir con la misin y
visin de la Institucin.
AMENAZAS OPORTUNIDADES
1. Falsificacin de 1. Necesidad del producto.
documentos a presentar. 2. Regulacin a favor del
2. Alta dependencia en la proveedor del producto.
documentacin solicitada 3. Aparicin de nuevas
para el proceso. tecnologas que mejoren la
3. Actores hostiles que experiencia del usuario.
desean acceder a la
infraestructura
tecnolgica para robar
informacin.
4. Actualizacin de software
de los navegadores.
Nosotros
Con la promulgacin de la Ley N 27153, "Ley que regula la explotacin de los Juegos
de Casino y Mquinas Tragamonedas", efectuada el 09 de Julio de 1999, modificada por
Ley N 27796 promulgada el 26 de Julio del 2002 y su Reglamento aprobado mediante
D.S. N 009-2002-MINCETUR del 13 de Noviembre del 2002, se establece en el Per
un tratamiento normativo integral y uniforme aplicable a estas actividades.
Objetivos
a) Garantizar que los Juegos de Casino y Mquinas Tragamonedas sean conducidos con
honestidad, transparencia y trato igualitario;
Funciones
20. Realizar en coordinacin con la UIF Per, las visitas de supervisin o inspeccin
a las salas de juego de casino y mquina tragamonedas para la prevencin del
lavado de activos y financiamiento del terrorismo y aplicar, cuando corresponda,
las sanciones previstas en la ley;
Misin
Somos el Ente Rector del Sector Comercio Exterior y Turismo que define, dirige,
ejecuta, coordina y supervisa la poltica del Sector. Tenemos la responsabilidad en
materia de las negociaciones comerciales internacionales, as como de la promocin,
orientacin y regulacin del comercio exterior, el turismo y la artesana, para lograr el
desarrollo sostenible del Sector.
Objetivos
Objetivo General 1
Estrategias
Estrategias
1.2.1 Desarrollar una oferta exportable diversificada con mayor valor agregado y alta
calidad en cada una de las regiones.
1.2.4 Desarrollar una cultura exportadora con visin global y estratgica que fomente
capacidades de emprendimiento y buenas prcticas comerciales basadas en valores.
Estrategias
1.3.2 Contribuir a que las empresas, gremios y otros esquemas asociativos obtengan las
capacidades necesarias para alcanzar una mayor competitividad en los mercados
internacionales.
Objetivo General 2
Hacer del Turismo una actividad econmica competitiva, socialmente inclusiva y
ambientalmente responsable, a fin de que se convierta en herramienta de desarrollo
sostenible para el pas.
Estrategias
2.1.3 Desarrollar formas de turismo que promuevan la inclusin social: turismo rural
comunitario, ecoturismo.
2.1.5 Promover el uso sostenible del patrimonio natural y cultural que forma parte de la
oferta turstica.
Estrategias
Estrategias
2.3.1 Promocionar el destino turstico peruano, consolidando la imagen turstica del
Per como destino favorito de su pblico objetivo y uno de los ms valorados a nivel
mundial, a fin de contribuir al incremento descentralizado y sostenido de divisas.