Clase XVIII - 05102018 - Unidad III - Metodología
En la documentación del proyecto Cap. I, se convino alcanzar los sig. objetivos:
Objetivo general
Demostrar que es posible transformar las necesidades de seguridad en una guía de gestión para preservar la confidencialidad, integridad y disponibilidad de la información que maneja la empresa C.E.G. Ltda. en su sistema de información (diseñando procedimientos de gestión de seguridad, tomando como referencia la norma ISO 27002 – Anexo).
Objetivos específicos
OE1. Analizar la situación actual de la entidad, con relación a la gestión de seguridad de la información.
OE2. Determinar el nivel de madurez en el que se encuentra la entidad para su modelo de seguridad de la información.
OE3. Establecer el nivel de cumplimiento frente a los objetivos de control y controles establecidos en la ISO 27002 (Incluir en Anexo copia de los objetivos y puntos de control de la norma) y definir los planes de acción orientados a cerrar las brechas de seguridad encontradas.
OE4. Establecer la estructura organizacional, roles y responsabilidades en cuanto a la seguridad de la información.
OE5. Analizar las necesidades y requerimientos de la empresa con relación a la gestión de seguridad de la información.
OE6. Definir el alcance y objetivos de los procedimientos de gestión de seguridad de la información.
OE7. Clasificar los activos de información, valorar sus riesgos de seguridad y definir los planes de tratamiento de los riesgos encontrados, de acuerdo a la metodología definida.
Y documentar los sgtes. entregables del trabajo:
• Alcance y objetivos de la guía procedimental para la gestión de seguridad de la información.
• Remodelación de los roles y responsabilidades en cuanto a la seguridad de la información. • Análisis de las necesidades y requerimientos de las partes interesadas de la empresa con relación al documento elaborado.
• Inventario de los activos de información resultado de aplicar la metodología de identificación, clasificación y valoración de los activos de información. • Informe de evaluación de riesgos, correspondiente al resultado de aplicar la metodología de análisis y valoración de riesgos de seguridad de la información.
• Plan de tratamiento de riesgos, el cual contendrá las acciones para la gestión de los riesgos de seguridad identificados.
• Diagnóstico del nivel de cumplimiento de la entidad con relación a los objetivos de control y controles establecidos en la norma ISO 27002 (Anexo), y los planes de acción orientados de cerrar las brechas encontradas.
• Manual de procedimientos de seguridad de la información / Procedimientos para la gestión de incidentes de seguridad.
• Estructura del estudio
Para abordar la temática, el proyecto se estructuró en cinco capítulos que a continuación se detallan:
• Capítulo I: Marco Introductorio, donde se aborda al tema analizando el contexto general actual de la seguridad de los sistemas de información en las organizaciones y detallando los problemas hallados en la empresa en estudio, definiendo para su resolución objetivos generales y específicos, alcance y limitaciones. (Entregado y aprobado)
• Capítulo II: Marco teórico, legal, conceptual y referencial, en el cual se definen conceptos relevantes respecto a los SGSI, sus características, principios, teorías, normativas, ventajas y desventajas. (Entregado y aprobado)
• Capítulo III: Marco metodológico, en el que se establecen la metodología, las técnicas y los procedimientos utilizados para llevar a cabo la indagación necesaria para el desarrollo del trabajo.
• Capítulo IV: Exposición y resolución caso de estudio, empresa C.E.G. Ltda. Guía de procedimientos para la gestión de la seguridad de la información, según norma ISO 27002 (código de buenas prácticas – Anexo).
• Capítulo V: Conclusiones y recomendaciones, adonde se exponen los resultados obtenidos a lo largo del proceso de análisis y las sugerencias para aquellos que deseen utilizar este proyecto como marco referencial de posteriores estudios.
Redactar Cap. III respecto a la metodología de desarrollo empleada sobre la muestra (activos seleccionados: archivos digitales, equipos auxiliares - memocolectores y personal) para realizar el análisis y gestión de riesgos.
Detallar información respecto a:
Instrumentos para la recolección de datos
Pasos - fases - etapas de desarrollo
Por cada paso documentar: objetivo, formulas, escalas de valoración, diseño de planillas aplicación (sobre la muestra), resultados obtenidos.
Conclusiones (salvaguardas).
Otras consideraciones de interés.
Material compartido:
Documentación: https://drive.google.com/file/d/12gkBFRnsDPp8M-qIjzRWvYG7xx53wTZK/view?usp=sharing
Planilla de análisis: https://drive.google.com/file/d/133U3DYmwt3yGAIUmHQDB4_K9qoG91iPV/view?usp=sharing
Las actividades desarrolladas responden a la sgte. planificación:
Tareas. Distribución del tiempo estimado.
1- Plan de Tesis. Tiempo estimado: 1 mes. a) Redactar un bosquejo del plan del proyecto b) Revisión por parte del Profesor-Guía a cargo del proyecto. c) Acuerdo y consentimiento del plan de proyecto.
2- Redacción del Marco Teórico – Referencial –Legal – Conceptual. Tiempo estimado: 3 meses. a) Investigación de la bibliografía impresa y digital. b) Análisis. c) Redacción. d) Revisión.
3- Trabajo de Campo. Tiempo estimado: 1 mes. a) Administración y registro de entrevistas y observaciones. b) Análisis y redacción de informe sobre los datos obtenidos.
4- Redacción de la GG (Guía de Gestión) para preservar la confidencialidad, integridad y disponibilidad de la información que maneja la empresa (XX) en su sistema de información. Tiempo estimado: 2 meses. a) Redacción. b) Revisión. c) Impresión.
5- Redacción de conclusiones. Tiempo estimado: 1 mes. a) Redacción. b) Revisión. c) Impresión del trabajo final corregido.
6- Confección de la presentación del proyecto final. Tiempo estimado: 1 mes. a) Diseño. b) Revisión.
7- Reunión con el Profesor-Guía a cargo del proyecto.
Objetivo general
Demostrar que es posible transformar las necesidades de seguridad en una guía de gestión para preservar la confidencialidad, integridad y disponibilidad de la información que maneja la empresa C.E.G. Ltda. en su sistema de información (diseñando procedimientos de gestión de seguridad, tomando como referencia la norma ISO 27002 – Anexo).
Objetivos específicos
OE1. Analizar la situación actual de la entidad, con relación a la gestión de seguridad de la información.
OE2. Determinar el nivel de madurez en el que se encuentra la entidad para su modelo de seguridad de la información.
OE3. Establecer el nivel de cumplimiento frente a los objetivos de control y controles establecidos en la ISO 27002 (Incluir en Anexo copia de los objetivos y puntos de control de la norma) y definir los planes de acción orientados a cerrar las brechas de seguridad encontradas.
OE4. Establecer la estructura organizacional, roles y responsabilidades en cuanto a la seguridad de la información.
OE5. Analizar las necesidades y requerimientos de la empresa con relación a la gestión de seguridad de la información.
OE6. Definir el alcance y objetivos de los procedimientos de gestión de seguridad de la información.
OE7. Clasificar los activos de información, valorar sus riesgos de seguridad y definir los planes de tratamiento de los riesgos encontrados, de acuerdo a la metodología definida.
Y documentar los sgtes. entregables del trabajo:
• Alcance y objetivos de la guía procedimental para la gestión de seguridad de la información.
• Remodelación de los roles y responsabilidades en cuanto a la seguridad de la información. • Análisis de las necesidades y requerimientos de las partes interesadas de la empresa con relación al documento elaborado.
• Inventario de los activos de información resultado de aplicar la metodología de identificación, clasificación y valoración de los activos de información. • Informe de evaluación de riesgos, correspondiente al resultado de aplicar la metodología de análisis y valoración de riesgos de seguridad de la información.
• Plan de tratamiento de riesgos, el cual contendrá las acciones para la gestión de los riesgos de seguridad identificados.
• Diagnóstico del nivel de cumplimiento de la entidad con relación a los objetivos de control y controles establecidos en la norma ISO 27002 (Anexo), y los planes de acción orientados de cerrar las brechas encontradas.
• Manual de procedimientos de seguridad de la información / Procedimientos para la gestión de incidentes de seguridad.
• Estructura del estudio
Para abordar la temática, el proyecto se estructuró en cinco capítulos que a continuación se detallan:
• Capítulo I: Marco Introductorio, donde se aborda al tema analizando el contexto general actual de la seguridad de los sistemas de información en las organizaciones y detallando los problemas hallados en la empresa en estudio, definiendo para su resolución objetivos generales y específicos, alcance y limitaciones. (Entregado y aprobado)
• Capítulo II: Marco teórico, legal, conceptual y referencial, en el cual se definen conceptos relevantes respecto a los SGSI, sus características, principios, teorías, normativas, ventajas y desventajas. (Entregado y aprobado)
• Capítulo III: Marco metodológico, en el que se establecen la metodología, las técnicas y los procedimientos utilizados para llevar a cabo la indagación necesaria para el desarrollo del trabajo.
• Capítulo IV: Exposición y resolución caso de estudio, empresa C.E.G. Ltda. Guía de procedimientos para la gestión de la seguridad de la información, según norma ISO 27002 (código de buenas prácticas – Anexo).
• Capítulo V: Conclusiones y recomendaciones, adonde se exponen los resultados obtenidos a lo largo del proceso de análisis y las sugerencias para aquellos que deseen utilizar este proyecto como marco referencial de posteriores estudios.
Redactar Cap. III respecto a la metodología de desarrollo empleada sobre la muestra (activos seleccionados: archivos digitales, equipos auxiliares - memocolectores y personal) para realizar el análisis y gestión de riesgos.
Detallar información respecto a:
Instrumentos para la recolección de datos
Pasos - fases - etapas de desarrollo
Por cada paso documentar: objetivo, formulas, escalas de valoración, diseño de planillas aplicación (sobre la muestra), resultados obtenidos.
Conclusiones (salvaguardas).
Otras consideraciones de interés.
Material compartido:
Documentación: https://drive.google.com/file/d/12gkBFRnsDPp8M-qIjzRWvYG7xx53wTZK/view?usp=sharing
Planilla de análisis: https://drive.google.com/file/d/133U3DYmwt3yGAIUmHQDB4_K9qoG91iPV/view?usp=sharing
Las actividades desarrolladas responden a la sgte. planificación:
Tareas. Distribución del tiempo estimado.
1- Plan de Tesis. Tiempo estimado: 1 mes. a) Redactar un bosquejo del plan del proyecto b) Revisión por parte del Profesor-Guía a cargo del proyecto. c) Acuerdo y consentimiento del plan de proyecto.
2- Redacción del Marco Teórico – Referencial –Legal – Conceptual. Tiempo estimado: 3 meses. a) Investigación de la bibliografía impresa y digital. b) Análisis. c) Redacción. d) Revisión.
3- Trabajo de Campo. Tiempo estimado: 1 mes. a) Administración y registro de entrevistas y observaciones. b) Análisis y redacción de informe sobre los datos obtenidos.
4- Redacción de la GG (Guía de Gestión) para preservar la confidencialidad, integridad y disponibilidad de la información que maneja la empresa (XX) en su sistema de información. Tiempo estimado: 2 meses. a) Redacción. b) Revisión. c) Impresión.
5- Redacción de conclusiones. Tiempo estimado: 1 mes. a) Redacción. b) Revisión. c) Impresión del trabajo final corregido.
6- Confección de la presentación del proyecto final. Tiempo estimado: 1 mes. a) Diseño. b) Revisión.
7- Reunión con el Profesor-Guía a cargo del proyecto.