El resultado es una suerte de mini-proyecto de seguridad de la información, que incluye los controles de la ISO 27002 referidos a dichas reglamentaciones o directivas.

La ISO 27001 aparece también como la norma idónea para medir la porción de seguridad de la información en los riesgos operacionales que los bancos deben considerar además de los tradicionales riesgos crediticios, a la luz de los Acuerdos de Capitales Basilea II/III.

Por su parte las normas ISO 27002 e ISO 27001 encuentran su aplicación también para un BCP (Pan de Continuidad de Negocios) como parte de un BCM de la ISO 22301, así como también para medir la efectividad de las medidas para dar cumplimiento a la Sección 404 (a) de la Ley Sarbanes-Oxley,

La norma ISO/IEC 27002:2005 es una herramienta sencilla que permitirá establecer políticas, y controles bajo el objetivo de disminuir los riesgos que tienen los activos de la organización. En primer lugar, obtenemos una reducción de riesgos debido al establecimiento y seguimiento de controles sobre ellos. Con ello lograremos reducir las amenazas hasta alcanzar un nivel asumible por nuestra organización.
De este modo si se produce una incidencia, los daños se minimizan y la continuidad del negocio está asegurada. En segundo lugar se produce un ahorro de costes derivado de una racionalización de los recursos.
Se eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos. En tercer lugar, la seguridad se considera y se convierte en una actividad de gestión. La seguridad deja de ser un conjunto de actividades más o menos organizadas y pasa a transformarse en un ciclo de vida metódico y controlado, en el participa toda la organización.
En cuarto lugar, la organización se asegura del cumplimiento de la legislación vigente y se evitan riesgos y costes innecesarios. La entidad se asegura del cumplimiento del marco legal que protege a la empresa de aspectos que probablemente no se habían tenido en cuenta anteriormente.

Por último, pero no por ello menos importante, la certificación del sistema de gestión de seguridad de la información contribuye a mejorar la competitividad en el mercado, diferenciando a las empresas que lo han conseguido y haciéndoles más fiables e incrementando su prestigio.

Desarrollo de Políticas de Seguridad de la Información

El desarrollo de las políticas de Seguridad de la Información realizada en el departamento de sistemas de la Universidad Politécnica Salesiana sede Guayaquil, proviene de la recopilación de información, hallazgos y análisis de la situación actual del departamento basándonos en los controles de la ISO 27002 correspondientes a los once dominios de la norma:

Política de seguridad (1)
Aspectos Organizativos de la Seguridad Informática (2)
Gestión de Activos (2)
Seguridad ligada a los recursos humanos (3)
Seguridad física y del entorno (2)
Gestión de comunicaciones y operaciones (10)
Control de acceso (7)
Adquisición, desarrollo y mantenimiento de sistemas de información (6)
Gestión de incidentes en la seguridad de la información (2)
Gestión de la continuidad del negocio (1)
Cumplimiento (3)


Las Políticas creadas en el desarrollo del presente proyecto no serán incluidas ya que son de carácter confidencial, por lo tanto el manual de políticas de Seguridad de la Información será custodiado por el Departamento de Sistemas.

Política de seguridad

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN.

 Documento de políticas de seguridad de la información.

Control

“Se debe definir claramente todas las responsabilidades en cuanto a seguridad de la información.

Lista de chequeo para implantación de políticas


 Verificar que para todos los cargos concernientes a Seguridad de la Información, existan roles y responsabilidades.

La universidad politécnica salesiana posee un documento formal el cual detalla los roles y responsabilidades, según el organigrama la Universidad Politécnica Salesiana no posee un departamento de seguridad de la información.

Revisar en los manuales de políticas y procedimientos que no existan inconsistencias, en cuanto a la asignación de responsabilidades concernientes a seguridad de la información.

Para el caso revisado de la universidad politécnica salesiana Guayaquil tienen las asignaciones de responsabilidades correctamente, los roles de seguridad se los desempeñan según la especialidad de cada área. Además cuentan con Funciones de los Departamentos de TI.

Servicios para la docencia

Las áreas de TI deben asegurar a los estudiantes y docentes de la Universidad el uso confiable de los equipos de TI. Brindará asistencia técnica en la adquisición de hardware y software que ayuden al desenvolvimiento de la academia.

Servicios para la administración

Las áreas de TI, una vez recibido los requerimientos de las diferentes áreas técnicas o administrativas; analizarán, diseñarán y desarrollarán los programas necesarios para la gestión.

Servicios institucionales


Los departamentos de TI deberán promover la automatización de los servicios académicos y administrativos de la Universidad Politécnica Salesiana, así como el uso de las tecnologías de información y comunicación.

Detalle los códigos de los procedimientos revisados.

Estructura Orgánica Funcional y de Responsabilidades para las Áreas de Información.

Detalle las debilidades detectadas en la lista de chequeo


Se evidencia que no se cuentan con segregación de responsabilidades en cuanto a seguridad de la información.