MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
MODELO DE SEGURIDAD - Gobierno en línea.
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
INFORME FINAL – <strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA<br />
INFORMACIÓN – SISTEMA SANSI - SGSI<br />
<strong>MO<strong>DE</strong>LO</strong> <strong>DE</strong> <strong>SEGURIDAD</strong> <strong>DE</strong> LA INFORMACIÓN PARA LA<br />
ESTRATEGIA <strong>DE</strong> GOBIERNO EN LÍNEA<br />
realizará la <strong>en</strong>tidad <strong>en</strong> la herrami<strong>en</strong>ta seleccionando <strong>en</strong> un rango de 1 a 5 donde 1 es una<br />
criticidad muy baja, 2 criticidad baja, 3 criticidad media, 4 criticidad alta y 5 criticidad muy alta.<br />
4. Realizar la evaluación del riesgo <strong>en</strong> seguridad: Una vez el levantami<strong>en</strong>to de información de los<br />
activos parte del alcance del SGSI está realizado, se debe hacer la evaluación del riesgo<br />
asociado a dichos activos, especificando las áreas de preocupación, am<strong>en</strong>azas, vulnerabilidades,<br />
esc<strong>en</strong>arios de riesgo, probabilidad de ocurr<strong>en</strong>cia de la am<strong>en</strong>aza e impacto si llega a<br />
materializarse la am<strong>en</strong>aza a los activos que soportan los sistemas de información, aplicaciones y<br />
<strong>en</strong> consecu<strong>en</strong>cia, los procesos de negocio o áreas parte del alcance. La <strong>en</strong>tidad puede hacer uso<br />
de cualquier metodología de gestión, evaluación y análisis del riesgo que considere conv<strong>en</strong>i<strong>en</strong>te,<br />
no hay necesidad de usar una específica, lo importante es que t<strong>en</strong>ga los elem<strong>en</strong>tos<br />
recom<strong>en</strong>dados <strong>en</strong> la norma ISO27001. Como parte de la pres<strong>en</strong>te consultoría, se <strong>en</strong>trega un<br />
docum<strong>en</strong>to con la metodología de evaluación del riesgo propuesta. Ver docum<strong>en</strong>to “Entregable<br />
4 - Anexo 2: Metodología de gestión del riesgo”. De igual forma, exist<strong>en</strong> metodologías de<br />
gestión del riesgo recom<strong>en</strong>dadas como la AS/NZ4360, la ISO27005:2008 y la SP800-30 (del<br />
instituto NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf).<br />
5.a. Preparar y elaborar la Declaración de Aplicabilidad (o <strong>en</strong> sus términos <strong>en</strong> inglés: Statem<strong>en</strong>t of<br />
Agreem<strong>en</strong>t –SOA): Cada <strong>en</strong>tidad, según su naturaleza, y objetivos de negocio, seleccionará cuales<br />
de los dominios y objetivos de control de las normas ISO27001/27002 aplican y no aplican para su<br />
<strong>en</strong>tidad. Para los seleccionados como “No Aplica”, la <strong>en</strong>tidad deberá justificar detalladam<strong>en</strong>te la<br />
exclusión; además, deberá t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta:<br />
• Los objetivos de control y controles seleccionados y los motivos para su elección;<br />
• Los objetivos de control y controles que actualm<strong>en</strong>te ya están implantados;<br />
• La exclusión de cualquier objetivo de control y controles deberán estar<br />
justificados apropiadam<strong>en</strong>te.<br />
El modelo de Seguridad para la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea, propone un listado de políticas,<br />
objetivos de control y controles, producto de un análisis detallado de las normas internacionales<br />
recom<strong>en</strong>dadas como la (ISO27001/27002, CobIT, NIST, AS/NZ4360) 12 y que <strong>en</strong> un mayor grado,<br />
apoyan los objetivos de la Estrategia de <strong>Gobierno</strong> <strong>en</strong> Línea. Ver numeral 6.5. de este docum<strong>en</strong>to<br />
para mayor información.<br />
Por medio de la Herrami<strong>en</strong>ta de Auto-evaluación, el usuario designado por cada <strong>en</strong>tidad revisará los<br />
dominios y objetivos de control propuestos <strong>en</strong> la interfaz de la herrami<strong>en</strong>ta para que luego de un<br />
análisis interno con la Alta Dirección de su Entidad, seleccione cuales aplica y cuáles no. Para los<br />
que excluya, deberá digitar y adjuntar (la herrami<strong>en</strong>ta podrá permitir ingresar anexos) toda la<br />
12 Para mayor información ver numeral 3.5.2. de este docum<strong>en</strong>to.<br />
Página 41 de 207