Objetivo General:

Diseñar el sistema de gestión de seguridad de la información para la universidad basado en la norma ISO 27003. 

 Objetivos Específicos:

·         Identificar el contexto y propósito de la organización.

·         Determinar las necesidades y expectativas de la universidad.

·         Determinar el alcance del SGSI.

·         Diseñar una política de seguridad de la información en conjunto con la dirección de la institución.

·         Analizar riesgos actuales de seguridad referentes al monitoreo de la infraestructura tecnológica y vulnerabilidades de los servidores.

·         Definir objetivos y planes de seguridad de la información que la institución debe cumplir.

·         Determinar los recursos necesarios para llevar a cabo el SGSI en sus diferentes etapas (establecer, implementar, mantener y mejora continua)

·         Implementar un prototipo de la herramienta de monitoreo para la infraestructura tecnológica alojada en el datacenter.

Antecedentes del Problema

La universidad no cuenta con un área o grupo para el manejo de incidentes. A pesar de que existe un grupo operando la seguridad de la red, los incidentes no son documentados y no hay un correcto manejo de estos para solventarlos. En el año 2019 la universidad realizó una auditoría externa para identificar vulnerabilidades en las estaciones de trabajo (computadores de escritorio y portátiles) y la identificación de Malware que pudiera estar presente en los equipos. Como resultado de la auditoria, La universidad decidió implementar un controlador de dominio que permitiera centralizar el acceso a los recursos y tener un control de identidad para reducir las vulnerabilidades.

Debido a que la universidad no ha tenido acercamiento con las normas ISO 27000 se creará un sistema de gestión de seguridad de la información, de igual forma se entregará un prototipo para el monitoreo de la infraestructura alojada en el datacenter y una herramienta de análisis de vulnerabilidades, estos prototipos nos permitirán evidenciar el estado actual de la organización en cuanto a seguridad, y al compararlos, se evidencia un enfoque desalineado con los controles y políticas de la institución actuales. Con el fin de evidenciar el cambio en la organización y poder medir la efectividad del diseño propuesto, se realizarán los correspondientes indicadores de gestión y de implementación que nos darán el antes y el después, dando la posibilidad de observar el valor agregado que como proyecto y objetivo del mismo se desea conseguir, evidenciando el cambio en la organización y posterior contribución a la mejora de los procesos e impacto real positivo organizacional.

Con relación a la problemática descrita, se ha propuesto como solución realizar el diseño del Sistema de Gestión de Seguridad de la Información en la universidad, el cual tiene como propósito la implementación del SGSI en fases posteriores.

DESARROLLO

PROTOTIPO DE LA IMPLEMENTACIÓN 

Con el fin de obtener un entregable de valor para la universidad, dentro del diseño del SGSI y más específicamente acotándolo a las etapas del Ciclo PHVA, llegamos a la etapa del Hacer, dado que en esta fase se implementa la selección de controles adecuados para medir los riesgos, y nosotros hemos determinado el monitoreo como uno de esos pilares de control para la organización, con esta fase iniciamos la de implementación del SGSI.

Dentro del roadmap herramental propuesto para robustecer la seguridad de la universidad, basamos los esfuerzos en tres principales:

·         Como piloto principal desarrollado dentro de la universidad se llevó a cabo el despliegue e implementación de la herramienta de monitoreo de infraestructura de servidores.

·         Como herramientas complementarias para llevar acabo el análisis de riesgos y revisar principales vulnerabilidades se llevó a cabo el despliegue e implementación de una versión gratuita de Nessus Tenable de escaneo de vulnerabilidades de infraestructura.

·         Con respecto al roadmap propuesto, continuamos con el despliegue de la solución Elastic Security SIEM y analítica de seguridad, la cual complementará las dos anteriores, teniendo la capacidad de correlacionar los eventos y dando la oportunidad de visualizar comportamientos anómalos para detección de posibles incidentes de seguridad.