Post on 20-Jun-2015
description
Ing.Carmen Lorena Méndez
Plan Estratégico Orientado a la Búsqueda de Políticas de Seguridad en la Información
Para La Corporación Venezolana Agraria
Archivos
Oficios
Informes
Documentos
Gerencia en las TIC`S
Tutora: Ing. Msc. Luzneida Matute
Bienvenidos
Pla
nte
am
ien
to d
el Pro
ble
ma
Capítulo I
Avances Tecnológicos
Información
Riesgo
INTERCEPCIÓNAMENAZASALTERACIÓN
Por Quien?
Factor Humano
Contra
Quien?
AusenciaPOLÍTICAS DE SEGURIDAD
Por Qué ?
Control Misión
VisiónObjetivos
Estratégicos
PLA
NIF
ICACIÓ
N E
STRATÉG
ICA
Metas
IndicadoresCuadro de
Mando
Inte
rrog
an
tes
Capítulo I
1
2
¿Cuál es la necesidad de los empleados de la Corporación Venezolana Agraria, en lo que respecta al diseño de un plan estratégico orientado a la búsqueda de políticas de seguridad en la información?
¿Cuáles serán las estrategias más idóneas que debe contener un plan estratégico orientado a la búsqueda de políticas de seguridad en la información para la Corporación Venezolana Agraria?
Obje
tivos
de la In
vest
igaci
ón
Capítulo I
GENERAL: Proponer un plan estratégico que
oriente la búsqueda de políticas de seguridad en la
información para la Corporación
Venezolana Agraria.
ESPECÍFICO: Diagnosticar la
necesidad que tienen los empleados de la
Corporación Venezolana Agraria, en
lo que respecta al diseño de un plan
estratégico orientado a la búsqueda de
políticas de seguridad en la información
ESPECÍFICO: Diseñar un plan
estratégico orientado a la búsqueda de políticas de
seguridad en la información para la
Corporación Venezolana Agraria.
1 32
Just
ific
aci
ón
y A
lcan
ce
Capítulo I
Herramienta TIC
1 •Uso Adecuado de Recursos
2 •Responsabilidad
3 •Concienciación
Usuarios
CANAL FORMAL DE ACTUACIÓN
ImportanciaImportancia
POLÍTICAS
Marc
o T
eóri
co -
A
nte
ced
en
tes
Capítulo II
“Diseño e Implementación de un Sistema de Seguridad para el Acceso a Internet de una Empresa de Telecomunicaciones” 2003
“Seguridad en las Redes de Información de una Empresa Comercial”
2004
PalmaEscuela Militar de Bolivia“Antonio José de Sucre”
“Desarrollo De una Aplicación para Administración de Firmas y Certificados Digitales Caso: Superintendencia de Telecomunicaciones de Bolivia”
2005
Manuel MújicaUCLA
“Diseño de un plan de seguridad informática para la Universidad Nacional Experimental Politécnica ·Antonio José de Sucre Sede Rectoral”
2007
Investigación
Campo
Descriptivo
Proyecto
Factible
Proyecto
Factible
Población: 20
Aprov. Optimo de
TIC
Base
s Te
óri
cas
Capítulo II
TEORÍAS QUE SUSTENTA EL ESTUDIOArgumentos Teóricos de Fayol
(citado por Carrión , 2003)
planificar, organizar, dirigir y controlar
Teoría de la Planificación Estratégica de Corredor (2001)
Orientar sus esfuerzos hacia metas realistas de
desempeño
Teoría General de Sistemas (1989)
Comportamiento Sistémico
Teoría Homeostasis del Riesgo (2000)
Conducta Humana
Visión
Metas
ObjetivosFODA
Misión
Proceso de Planificación
• Controles
Auditoria en
Seguridad Informátic
a
• Integridad• Disponibilidad• Integridad
Seguridad
Informática
• Amenazas• Análisis de
Riesgo
El Riesgo en la
Información
Base
s Le
gale
s
Capítulo II
Constitución de la República Bolivariana de Venezuela (1999)
Artículos 108 y 110 en donde establece que el Estado garantizará servicios públicos de radio, televisión y redes de bibliotecas y de informática, con el fin de permitir el acceso universal a la información.
Ley Especial Sobre Delito Informático (2001)
Artículo Nº 1, indica que esta ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes.
Decreto 825 (2001)
Uso y promoción de la Internet por parte de los entes y órganos de la Administración Pública.
Ley sobre Datos y Firmas Electrónicas (2001)
Artículo Nº 1 otorga un valor jurídico a la Firma Electrónica, mensaje de datos y a toda información inteligible en formato electrónico.
Ley Orgánica de Ciencia, Tecnología e Innovación (2001)
Estado, establecer políticas orientadas a resguardar la inviolabilidad del carácter privado y confidencial de los datos electrónicos obtenidos en el ejercicio de las funciones de los organismos públicos, (Título 1, Artículo3).
Defin
ició
n
de
Vari
ab
les
Capítulo II
Conceptualmente definida como la puesta en práctica de un plan estratégico que conlleva a determinar cuales son las directrices en materia de seguridad en la información de la Corporación Venezolana Agraria
Operacionalmente definida cómo el resultado de la evaluación de las respuestas de los sujetos objetos de la investigación, en este sentido, como el resultado que orienta a la organización para establecer políticas de seguridad en la información.
Plan Estratégico Orientado a la Búsqueda de políticas de seguridad en
la Información
Defin
ició
n
de
Vari
ab
les
Capítulo II
Variables Dimensión Indicadores Items % Res.
Plan Estratégico
Orientado a la Búsqueda de políticas de
seguridad en la Información
Planificación estratégica Plan 1 -7 SI 90%
NO 10 %
Auditoria de seguridad Informática
Control 8 - 10 SI 64 %NO 34 %
Seguridad en la Información
DisponibilidadConfidencialid
adIntegridad
11 – 1415 – 2021 - 23
SI 88 %NO 12 %
Análisis de riesgo
RiesgoAmenazas
24 – 2627 - 31
SI 89 %NO 11 %
PARADIGMACUANTITATIV
O
Marc
o
Meto
doló
gic
o
Capítulo III
PROYECTOESPECIAL
DE CAMPO
•Objetividad
•Hechos reales
trabajos que lleven a creaciones tangibles, susceptibles de ser utilizadas como soluciones a problemas demostrados, o que respondan a necesidades e intereses de tipo cultural (UPEL, 2003)
TIPO DE INVESTIGACIÓN
Marc
o
Meto
doló
gic
o
Capítulo III
Diagnóstica
Diseño de la Propuesta
III
Revisión Bibliográfica
Aplicación del Instrumento
Entrevistas
Sección 1: Diagnostico Institucional
Sección 2: Evaluativa
Sección 3: Estratégica
DISEÑO
Marc
o
Meto
doló
gic
o
Capítulo III
Oficina/Gerencia Población Muestra
Presidencia y Vicepresidencia 8 2
Auditoria Interna 2 1
Tecnología de la Información 5 2
Administración 6 1
Planificación y Presupuesto 3 1
Recursos Humanos 2 1
Control Corporativo 2 1
Proyecto 5 1Asistencia Integral y Desarrollo Comunitario.
3 1
Consultoría Jurídica 2 1
Fomento Empresarial 4 1
TOTAL GENERAL 42 13
Marc
o
Meto
doló
gic
o
Capítulo III
TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS
CONFIABILIDADPRUEBA PILOTO (10
sujetos)Kuder de Richarson
0.96 (Muy Alta Confiabilidad)
El análisis de los datos fueron expresados en frecuencias y porcentajes, representados en cuadros y gráficos
VALIDEZ Juicio de Expertos (3 especialistas)
CUESTIONARIO(Encuesta)
31itemesRespuestas
Cerradas
OBSERVACIÓN DIRECTA
PARTICIPANTERegistro Anecdótico
ENTREVISTA
An
ális
is d
e
Resu
ltad
os
Capítulo IV
Dimensión: Planificación Estratégica
Indicador: Plan ÍtemesPORCENTAJE
SI NO¿Es importante establecer un plan que permita detectar si la información en esta organización es asegurada?
1 100 %
¿Las políticas de seguridad en la organización serán tomadas en cuenta por todos los empleados de la empresa?
5 54 % 46 %
¿La implementación de políticas de seguridad en la información regularán las conductas de los usuarios en la red corporativa de esta institución?
6 77 % 23 %
¿La definición y documentación de las estrategias, normas y procedimientos satisfacen los requisitos de seguridad en la información?
7 100 %
An
ális
is d
e
Resu
ltad
os
Capítulo IV
Dimensión: Auditoría en Seguridad en la Información
Indicador: Control ÍtemesPORCENTAJE
SI NO
¿La organización requiere de un control que permita prevenir las incidencias en materia de seguridad en la información?
9 100 %
An
ális
is d
e
Resu
ltad
os
Capítulo IV
Dimensión: Seguridad en la Información
Indicador: Disponibilidad ÍtemesPORCENTAJE
SI NO
¿La información debe estar disponible en el momento que lo requiera la organización?
11 100 %
¿En la organización existen mecanismos de seguridad para la transmisión de la información?
12 38 % 62 %
An
ális
is d
e
Resu
ltad
os
Capítulo IV
Dimensión: Análisis de Riesgo
Indicador: Amenazas ÍtemesPORCENTAJE
SI NO¿En ocasiones se extravía la información dentro de la Corporación?
27 62 % 38 %
¿La información es considerada como principal activo de la organización, por ello debe estar protegida de toda amenaza?
28100 % -
Capítulo IV
Escenario Conducta Consecuenci
aObservaciónDirecta
CVA Central
Manipulación de la Información
La Información solicitada por el Ministerio no era la enviada.
Se desconoce quien realizó tal actividad
An
ális
is d
e
Resu
ltad
os
Pro
puest
a d
e
la
Invest
igaci
ón
Capítulo V
MISIÓN
VISIÓNOBJETIVOS
ALCANCE
Dar a conocer el plan estratégico orientado a la búsqueda de políticas de seguridad en la información a la empresa Corporación Venezolana Agraria
Servir de modelo en planificación estratégica para aquellas organizaciones que carezcan de instrumentos útiles en el área de seguridad informática al permitir establecer políticas de seguridad en la información a partir de un enfoque estratégico
General: Elaborar un plan estratégico que faciliten la búsqueda de alternativas en materia de seguridad en la información.Específicos: • Realizar un diagnóstico a la organización en
estudio.• Realizar un análisis de riesgo.• Elaborar un conjunto de objetivos
estratégicos.
Sección 1 Diagnóstica:Sección 2 Evaluativa:Sección 3 Estratégica:
Pro
puest
a d
e
la
Invest
igaci
ón
Capítulo V
DIAGNÓSTICA
Sección 1
Pro
puest
a d
e
la
Invest
igaci
ón
Capítulo V
EVALUATIVA
Listado de Activos de la OrganizaciónImportancia Actual
(1-10)
Software de aplicaciones y sistemas de Información institucional (Sistema Administrativo, Gestión de proyectos, otros)
10
Puntos de cuenta, Puntos de información. 10
Memorando Interno y Oficios. 8
Documentos de gestión y seguimiento empresarial de las empresas adscritas y la organización.
9
Gestión de Riesgo
Sección 2
Pro
puest
a d
e
la
Invest
igaci
ón
Capítulo V
EVALUATIVA
Factores de Riesgo
Acceso no autorizado a datos.
Utilización de password negligentemente
Copia no autorizada de un medio de datos
Destrucción negligente de datos
Entrenamiento inadecuado a usuarios
Virus, gusanos y caballo de troya
Huelga, despidos, traslados del personal.
Gestión de Riesgo
Sección 2
Pro
puest
a d
e
la
Invest
igaci
ón
Capítulo V
EVALUATIVA
NºNombre Del Activo
Nivel deImpor.(1-10)
Factor de Riesgo
Prob. Ocurr.Baja, Media, Alta
% Prob. de Riesgo
NivelVuln.
8
Puntos de Cuenta y Puntos deInformación
10
Acceso no autorizado a Datos 2 10 100Robo de información 2 10 100Falta de cuidado en el manejo de información
3 15 150
Pérdida de confidencialidad o integridad como resultado de un error humano
2 10 100
Huelgas, despidos y traslado del personal
1 5 50
Virus, gusanos y caballos de Troya
1 5 50
--- - - -
Cantidad de Factores de Riesgo: 20 TOTAL 165 1650
Gestión de Riesgo
Sección 2
Pro
puest
a d
e
la
Invest
igaci
ón
Capítulo V
EVALUATIVA
Activos Críticos Nº
∑Riesgo nivel de vulnerab
.
Memorando Interno y Oficios. 11 1904,96
Documentos de gestión y seguimiento empresarial de las empresas adscritas y la organización. 12 1885,59
Software de aplicaciones y sistemas de Información institucional (Sistema Administrativo, Gestión de proyectos, otros) 1 1750
Gestión de Riesgo
Sección 2
Pro
puest
a d
e
la
Invest
igaci
ón
EVALUATIVA
Activos CríticosPosible
Control
Tipo de Control
Costo del
Control
Memorando Interno y Oficios.
Políticas de protección de la Información.
Preventivo
Mínimo
Documentos de gestión y seguimiento empresarial de las empresas adscritas y la organización.
Software de aplicaciones y sistemas de Información institucional (Sistema Administrativo, Gestión de proyectos, otros)
Capítulo V Gestión de Riesgo
Sección 2
• Participación del MPPCT.
• Necesidad de política y adecuación a la normativa.
• Posible colaboración del MPPAT
Pro
puest
a d
e
la
Invest
igaci
ón
ESTRATÉGICA
Capítulo V
FORTALEZAS
F
DEBILIDADES
DAMENAZAS
A
• Personal con aptitud laboral positiva.
• Suficiencia y disponibilidad de soporte tecnológico.
• Aceptación por parte de la alta gerencia.
• Recursos Financieros adecuados.
• Existencia de un área de seguridad de datos.
• Falta de interés por parte de la alta gerencia
• Falta de cumplimiento a los valores institucionales.
• Manual de cargos y funciones inexistente.
• Carencia de personal especializado
• Capacitación no adecuada• Inexistencias de planes de
contingencias..
• No participación del MPPAT.
• No participación MPPPP
• Escaso marco legal claro, consistente y estable en materia de seguridad informática a nivel ministerial.
• Escasa gestión de riesgo en la gestión Pública.
Sección 3
Pro
puest
a d
e
la
Invest
igaci
ón
ESTRATÉGICA
Capítulo V
OBJETIVO ESTRATÉGICO
METAS ACTIVIDADES INDICADORDE
RESULTADO
Nº 1: Inicial
El proceso de seguridad en la información es impredecible, sin control y reactivo, el éxito de la toma de decisiones depende de las personas involucradas.
Documentar la clasificación de los activos de la organización.
•Identificar en forma general los activos de la organización.
•Concientizar al personal de la organización en lo que respecta a la seguridad.
•Dar a conocer a la alta directiva.
•Ver la necesidad de crear un grupo multidisciplinario .
- Cantidad de activos definidos. - Cantidad de vulnerabilidadesDetectadas. - Nº de reuniones realizadas.
Objetivos Estratégicos e Indicadores
Sección 3
Pro
puest
a d
e
la
Invest
igaci
ón
OBJETIVO ESTRATÉGICO
METAS ACTIVIDADES INDICADORDE
RESULTADO
Nº 2: Gestionar Ya existe un proceso básico de iniciativa para empezar a elaborar directrices en materia de seguridad.
•Elaborar un plan para divulgar las políticas.
•Documentar los incidentes de seguridad en la información.
•Crear conciencia respecto a la seguridad de la información en los empleados.
•Empezar a definir las políticas de seguridad.
•Establecer en los contratos de personal, servicios y otros, regulaciones.
•Identificar riesgos asociados.
•Elaborar informes de los incidentes de seguridad.
- Cantidad regulaciones a seguir. - Cantidad de vulnerabilidadesDetectadas.
Capítulo V
ESTRATÉGICA
Objetivos Estratégicos e Indicadores
Sección 3
Pro
puest
a d
e
la
Invest
igaci
ón
OBJETIVO ESTRATÉGICO
META ACTIVIDADES INDICADORDE
RESULTADO
Nº 3: Cuantificar
Cuantitativamente la organización recolecta y utiliza las métricas para reducir el nivel de riesgo y vulnerabilidad.
La organización trabaja continuamente en la conservación de la seguridad de la información a través de revisiones continuas a los controles.
Hacer revisiones periódicas o monitoreos a los activos de la organización.
Utilizar un indicador de cumplimiento para establecer si las políticas y las cláusulas de seguridad establecidas en los contratos de trabajo, están siendo acatadas correctamente.
- Nº de reuniones y talleres. - Nº de actividades cumplidas. - Nº de revisiones realizadas.
Capítulo V
ESTRATÉGICA
Objetivos Estratégicos e Indicadores
Sección 3
Pro
puest
a d
e
la
Invest
igaci
ón
OBJETIVO ESTRATÉGICO
META ACTIVIDADES INDICADORDE
RESULTADO
Nº 4: Optimizar
Ya existe una mejora continua en los procesos de seguridad en la información.
Lograr que las políticas de seguridad en la información esté en toda la empresa
Lograr que los empleados apoyen y contribuyan al mejoramiento de la seguridad en la información.
Conocer y aprender continuamente sobre los incidentes de seguridad presentados.
Incluir todas las áreas de la organización (críticas y no críticas) en los planes de respuesta a incidentes (planes de contingencias).
- Nº de atividades cumplidas. - Nº de revisiones realizadas.
Capítulo V
ESTRATÉGICA
Objetivos Estratégicos e Indicadores
Sección 3
Pro
puest
a d
e
la
Invest
igaci
ón
ESTRATÉGICA
Capítulo VCiclo de Vida
Políticas de Seguridad
Sección 3
Con
clu
sion
es
Capítulo VI
CONCLUSIONES
La Organización Existe
88 %Seguridad en la
Información
Información
alterada
98% Beneficios de Planificación Estratégica
100 %Control en Auditoria
Con
clu
sion
es
Capítulo VI
Asignar Responsabilidades
Satisfacen los requisitos de seguridad
54 % pueden ser tomadas en cuenta
62 % No existen mecanismo de seguridad
Aseguran autenticidad e integridad de la información
Normativas•No está en capacidad de adecuase a los cambios tecnológicos
•La información es el principal activo
CONCLUSIONES
Importancia Plan Estratégico
Reco
me
ndaci
on
es
Capítulo VI
RECOMENDACIONES
12
3
Puesta en Marcha del Plan Estratégico Diseñado
Reconocer los beneficios que implica la planificación estratégica en las organizaciones
Realizar una auditoria en Seguridad Informática
4 Conformar un equipo de trabajo
5 Realizar un análisis de riesgo
6 Elaborar un plan de capacitación en seguridad informática
Plan Estratégico Orientado a la Búsqueda de Políticas de Seguridad en la Información
De La Corporación Venezolana Agraria
Preguntas?
Plan Estratégico Orientado a la Búsqueda de Políticas de Seguridad en la Información
Para La Corporación Venezolana Agraria
Archivos
Oficios
Informes
Documentos
Gerencia en las TIC`S
Muchas Gracias