Diseñar estrategias complementarias para mejorar la seguridad informática y de la información en la compañía QWERTY S.A. utilizando la norma ISO 27001

Abstract

En el presente proyecto aplicado se realiza una auditoría a los sistemas de información de la entidad QWERTY S.A. se descubre que tienen un sistema de seguridad ya implementado, pero no cumple con los estándares de seguridad de la información. Para la implementación de los mecanismos de seguridad y configuración correcta de los distintos dispositivos de seguridad se utiliza la norma ISO 27001.

Como primer paso se crea un plan de ejecución donde se determina los tiempos de implementación de la auditoría y los documentos a generar. Se realiza el plan de seguridad donde se define los activos más importantes, la situación actual de la entidad, donde se da un breve reconocimiento a la organización, las personas responsables de la parte administrativa, oficina de sistemas y a que se dedica cada área. De igual manera, se crea el alcance del plan de ejecución que abarca toda la empresa.

Para la identificación de todos los activos y los riesgos, se emplea la metodología MAGERIT, la cual es compatible con la norma ISO 27001; de igual manera, da una guía para la valoración y calificación de las amenazas. Al momento de la valoración final se determina la importancia y alta ocurrencia de las amenazas, por ende, se implementa los controles que se encuentra en la metodología y son pertenecientes a la norma ISO 27002 y el objetivo es minimizar la ocurrencia de dichas vulnerabilidades en los sistemas de información. Al obtener los resultados se evidencia que casi el 98% de los activos presentan probabilidades altas de que ocurra una amenaza a la seguridad, esto quiere decir que ninguno de los métodos que se encuentran ejecutados funciona correctamente o no están configurados.

Se debe determinar que controles son actos para minimizar los riesgos y se crea el plan de tratamiento donde se tiene en cuenta cada control que existe en la norma ISO 27002, esto con el objetivo de verificar que riesgos minimizan correctamente y a que activos se pueden aplicar sin inconvenientes, de igual manera puede ayudar la metodología MAGERIT que en su libro número 3 se encuentran categorizados los tipos de activos con su debido control. Al aplicar correctamente el control es indispensable realizar las debidas configuraciones a los mecanismos de seguridad, e implementar los dispositivos adicionales, es de suma importancia la capacitación a todo el personal para que se enteren de los procedimientos que se deben seguir para que la seguridad sea efectiva, además, hay que informar a los empleados los métodos que pueden existir para obtener información y como identificar ataques cibernéticos para la obtención de información, puesto que el personal es el principal objetivo para la obtención de información.

Una vez implementado el plan de tratamiento y las políticas de seguridad se evalúan los distintos controles, esto con el objetivo de verificar si cumplen con los objetivos propuestos y aseguran correctamente los activos de información. Como primer paso se ejecuta de nuevo la metodología MAGERIT; para la verificación de los activos y los controles, esto para determinar si hay nuevas vulnerabilidades o se realizaron correctamente las configuraciones. Por último, se realiza una valoración de los controles para verificar si es óptimo, si el resultado de la valoración y verificación no son óptimos se debe verificar el problema y corregir el inconveniente, sino es posible se debe cambiar el control, estos cambios se deben registrar y llevar un acta de cambio, esto para tener todo debidamente documentado y registrado, se deben crear un acta firmar.

Se recomienda evaluar periódicamente los controles teniendo en cuenta los procedimientos descriptos en la norma ISO 27001, puesto que da los parámetros para la mejora continua de los procedimientos enfocados en la automatización y seguridad de la información, todos los cambios pertinentes se deben documentar en las políticas de seguridad y anexar los cambios realizados.