Actualizado el 21 de Marzo del 2018 (Publicado el 9 de Noviembre del 2017)
961 visualizaciones desde el 9 de Noviembre del 2017
1,0 MB
119 paginas
Creado hace 9a (04/08/2014)
Universidad de Buenos Aires
Facultades de Ciencias Económicas,
Ciencias Exactas y Naturales e Ingeniería
Maestría en Seguridad Informática
Tesis
Modelo de Evaluación de Madurez para la Gestión
de la Seguridad de la Información Integrada en
los Procesos de Negocio
Autor
Marcia L. Maggiore
Director de Tesis
Dr. Raúl Saroka
Año 2014
Cohorte 2009
Declaración Jurada de origen de los contenidos
Por medio de la presente, el autor manifiesta conocer y aceptar el
Reglamento de Tesis vigente y que se hace responsable que la totalidad de
los contenidos del presente documento son originales y de su creación
exclusiva, o bien pertenecen a terceros u otras fuentes, que han sido
adecuadamente referenciados y cuya inclusión no infringe la legislación
Nacional e Internacional de Propiedad Intelectual
FIRMADO
Marcia Liliana Maggiore
DNI 6.223.111
i
Resumen
En virtud del avance tecnológico y la criticidad de la información que
procesan las organizaciones, éstas afrontan la problemática de evaluar si la
gestión de la seguridad de la información que llevan adelante es efectiva y
forma parte de un proceso de mejora continua.
Una manera de realizar dicha evaluación es utilizando un modelo de
madurez que establezca las metas a lograr para avanzar a través de los
diferentes niveles que conforman la escala de valoración.
Ahora bien, los estándares vigentes establecen la necesidad de
diseñar un plan de seguridad de la información para proteger a ésta de su
divulgación o modificación no autorizada, así como para
lograr su
disponibilidad permanente; el cual se obtendrá como resultado de la gestión
de los riesgos asociados. Es decir que, para realizar la evaluación
mencionada en el primer párrafo, será necesario contar con un modelo de
madurez que no sólo permita evaluar los procesos involucrados en la gestión
de la seguridad de la información, sino también aquellos asociados a la
gestión de los riesgos vinculados al tratamiento de la información en todas
sus fases, ya que de ello depende un adecuado plan de seguridad de la
información, así como los asociados a la implementación del plan/programa
de seguridad.
El presente trabajo entonces, encarará la selección de un modelo de
madurez para la evaluación de la gestión de riesgos, de la gestión de
seguridad de la información y del plan/programa de seguridad de la
información, integrados en el negocio1. Esta selección y la aplicación del
modelo en cuestión se basarán en las premisas establecidas por las
asociaciones profesionales, autores y estándares internacionales respecto
del Sistema de Gestión de Seguridad de la Información, la gestión del riesgo,
la integración de las tecnologías de información y las comunicaciones (TIC)
en los procesos de negocio, así como la gestión de calidad.
1 El término negocio se usa aquí en un sentido amplio haciendo referencia tanto a
actividades comerciales, industriales como de gobierno.
ii
Palabras Clave
Gestión de riesgos, gestión de seguridad de la información, modelo
de madurez, mejora continua, objetivo de control, implementación de
controles, formalización de buenas prácticas, integración de procesos de
tecnología de la información, procesos de negocio.
iii
Índice
INTRODUCCIÓN ........................................................................................... 1
CAPÍTULO I - UNA BREVE RESEÑA HISTÓRICA ...................................... 5
CAPÍTULO II – LA INTEGRACIÓN COMO PARTE DE LA NUEVA VISIÓN 7
CAPÍTULO III – DEL PLAN DE SEGURIDAD HACIA EL PLAN DE
TRATAMIENTO DE RIESGOS .................................................................... 14
CAPÍTULO IV – ¿CUÁL DEBIERA SER EL ENFOQUE DE LOS RIESGOS
DE SEGURIDAD DE LA INFORMACIÓN? ................................................. 21
CAPÍTULO V – MECANISMOS/HERRAMIENTAS UTILIZADOS EN LA
EVALUACIÓN DE UN SISTEMA DE GESTIÓN ......................................... 29
SERIE DE ESTÁNDARES ISO 9000 ........................................................................ 30
MODELO DE CAPACIDAD Y MADUREZ ................................................................... 30
ESTÁNDAR ISO/IEC 15504 .................................................................................. 32
ESTÁNDAR ISO/IEC 21827:2008 ......................................................................... 34
ESTÁNDAR ISO/IEC 27001 .................................................................................. 34
RELACIÓN ENTRE LOS ESTÁNDARES ISO/IEC 27001, ISO 9001 Y EL MODELO CMMI
.......................................................................................................................... 35
CAPÍTULO VI – ¿QUÉ ES EL “MODELO DE MADUREZ” Y POR QUÉ
USARLO?.................................................................................................... 37
CAPITULO VII - PERO…. ¿QUÉ DEBEMOS EVALUAR? Y ¿CON QUÉ
HERRAMIENTA? ........................................................................................ 44
CAPITULO VIII – Y AHORA... ¿CÓMO LO IMPLEMENTAMOS? .............. 53
CONCLUSIONES ........................................................................................ 69
ANEXO I – CONCEPTOS COMPLEMENTARIOS ...................................... 74
ANEXO II – ALGUNOS MODELOS ............................................................ 79
MODELO DE MADUREZ Y CAPACIDAD O CAPABILITY MATURITY MODEL (CMM) ...... 79
SYSTEMS SECURITY ENGINEERING CAPABILITY MATURITY MODEL (SSE-CMM)..... 80
INFORMATION SECURITY MANAGEMENT MATURITY MODEL (ISM3) ........................ 81
ANEXO III – BREVE DESCRIPCIÓN DE LOS CMMI, SUS COMPONENTES
Y CARACTERÍSTICAS ............................................................................... 82
SOBRE LOS MODELOS DE CAPACIDAD Y MADUREZ ................................................. 82
iv
COMPRENDIENDO LOS NIVELES ............................................................................ 83
ENTENDIENDO EL MODELO DE CAPACIDAD ............................................................ 84
ENTENDIENDO EL MODELO DE MADUREZ ............................................................... 85
DESCRIPCIÓN DE NIVELES POR MODELO ............................................................... 86
RESUMEN DE METAS Y PRÁCTICAS GENÉRICAS ..................................................... 90
RESUMEN DE METAS Y PRÁCTICAS ESPECÍFICAS POR ÁREA DE PROCESO. .............. 91
ANEXO IV – PROCESOS A GESTIONAR .................................................. 98
FUNCIONES, ESTRUCTURA ORGANIZACIONAL, PUESTOS DE TRABAJO, PERFILES –
CICLO DE VIDA ..................................................................................................... 98
RECURSOS HUMANOS – CICLO DE VIDA ............................................................... 99
CAPACITACIÓN ...................................................................................................100
PATRIMONIO, INVENTARIO, RESPONSABILIDADES – CICLO DE VIDA ........................101
UTILIZACIÓN DE LA INFORMACIÓN EN LOS PROCESOS ORGANIZACIONALES - TÁCTICOS
(DISEÑO Y DESARROLLO DE PRODUCTOS, GENERACIÓN DE
Y OPERATIVOS
SATISFACCIÓN DE DEMANDA, GESTIÓN DEL CAMBIO INTERNO Y EXTERNO, GESTIÓN DE
LAS COMUNICACIONES INTERNAS Y EXTERNAS) – CICLO DE VIDA DE LA INFORMACIÓN
.........................................................................................................................102
ACCESOS DE TERCEROS (ASPECTOS FÍSICOS Y LÓGICOS) .....................................104
GESTIÓN DE AUTORIZACIÓN ................................................................................104
GESTIÓN DE SEGURIDAD FÍSICA ...........................................................................104
GESTIÓN LEGAL .................................................................................................105
FUNCIONES MÁS CLASIFICACIÓN .........................................................................105
ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE APLICACIONES ........................105
GESTIÓN DE INFRAESTRUCTURA EDILICIA ............................................................106
GESTIÓN DE HARDWARE Y SOFTWARE .................................................................106
GESTIÓN DEL CAMBIO (URGENCIAS - ACTIVIDADES AD-HOC)..................................106
NECESIDAD DE ESTABLECER PROCESOS DE INVESTIGACIÓN .................................106
BIBLIOGRAFÍA GENERAL ....................................................................... 108
ISM3 CONSORTIUM, INFORMATION SECURITY MANAGEMENT MATURITY MODEL
(ISM3), ACTUALMENTE ES IMPULSADO POR EL OPEN GROUP, RAZÓN POR LA CUAL SU
SIGLA ES O-ISM3, 2011 .....................................................................................108
CMMI® FOR ACQUISITION, VERSION 1.3 ......................................................108
CMMI® FOR DEVELOPMENT, VERSION 1.3 ...................................................108
SYSTEMS SECURITY ENGINEERING CAPABILITY MATURITY MODEL (SSE-CMM)
108
BIBLIOGRAFÍA ESPECÍFICA ................................................................... 108
v
Prólogo
Si bien la presentación de este trabajo culmina un esfuerzo personal
importante, creo que no hubiera sido posible sin la formación, los
conocimientos y la experiencia aportada, abierta y desinteresadament
Comentarios de: Modelo de Evaluación de Madurez para la Gestión de la Seguridad de la Información Integrada en los Procesos de Negocio (0)
No hay comentarios