Este documento presenta el resumen de un proyecto de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en un laboratorio universitario. Incluye la identificación de los estudiantes a cargo, un análisis de alternativas de solución como equipo interno, externo o cosourcing, eligiendo esta última opción. También describe la metodología de desarrollo e implementación iterativa e incremental, y la propuesta de valor a corto, mediano y largo plazo del proyecto para la organización.
Este documento presenta el resumen de un proyecto de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en un laboratorio universitario. Incluye la identificación de los estudiantes a cargo, un análisis de alternativas de solución como equipo interno, externo o cosourcing, eligiendo esta última opción. También describe la metodología de desarrollo e implementación iterativa e incremental, y la propuesta de valor a corto, mediano y largo plazo del proyecto para la organización.
Este documento presenta el resumen de un proyecto de implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) en un laboratorio universitario. Incluye la identificación de los estudiantes a cargo, un análisis de alternativas de solución como equipo interno, externo o cosourcing, eligiendo esta última opción. También describe la metodología de desarrollo e implementación iterativa e incremental, y la propuesta de valor a corto, mediano y largo plazo del proyecto para la organización.
Gestin de la Seguridad Informtica Nombre Robinson Castillo G. Profesin Ingeniero de Ejecucin en Informtica Institucin Pontificia Universidad Catlica de Valparaso Ciudad - Pas Villa Alemana Chile Correo electrnico rcastillo.info@gmail.com Nombre Pablo Maldonado B. Profesin Ingeniero de Ejecucin en Informtica Institucin Pontificia Universidad Catlica de Valparaso Ciudad - Pas Via del Mar, Chile Correo electrnico pablo.maldonado@gmail.com Nombre Jonathan Seplveda R. Profesin Ingeniero de Ejecucin en Informtica Institucin Instituto Profesional Duoc UC Ciudad - Pas Valparaso, Chile Correo electrnico jsepruz@gmail.com Introduccin Teniendo presentes los objetivos detectados en la primera etapa de implementacin del proyecto SGSI en el Laboratorio de Computadores de la Facultad de Ingeniera de la Universidad Nacional, ser necesario realizar un anlisis con la finalidad de disear y comparar distintas soluciones que permitan alcanzar dichos objetivos. Para ello, debern estudiarse sus caractersticas individuales, determinar las ventajas y desventajas que presenta cada una de ellas y, a partir de esto, decidir cul es la mejor opcin a elegir y justificar el por qu de su eleccin.
Posteriormente, se evaluar si es conveniente o adecuado el uso de alguna metodologa para el desarrollo y la gestin del proyecto, considerando la naturaleza particular de este proyecto y las necesidades que debern ser cubiertas tras su implementacin.
Para finalizar, ser necesario promover la implantacin del proyecto a los altos directivos de la organizacin, con la finalidad de que comprendan los beneficios que el proyecto les entregar y, por ende, realicen la inversin necesaria para su ejecucin. Para esto, ser necesario realizar una evaluacin del proyecto desde el punto de vista de la propuesta de valor entregada por la implementacin de ste tanto a corto, mediano, como a largo plazo, donde se demuestre la ganancia que genera a la organizacin. Contextualizacin Luego de dos procesos de auditora, se detect que la seguridad informtica del Laboratorio debe ser revisada debido a que no cumple con los actuales estndares de seguridad. Por este motivo, se ha decidido implementar un Sistema de Gestin de Seguridad de la Informacin, con el fin de conocer, gestionar y minimizar los posibles riesgos que puedan existir.
Se han definido medidas de tratamiento para cada una de stas y se han identificado a los funcionarios que sern los responsables del cumplimiento de estas medidas.
Se estableci el alcance del proyecto de implantacin del SGSI, determinando cules seran las reas donde se enfocara el proyecto y de qu forma stas seran abordadas para solucionar las debilidades identificadas. Para determinar el xito de la implementacin, se establecieron las mtricas necesarias que permitieran evaluar si las mejoras aplicadas han sido satisfactorias.
En la ltima etapa del proyecto, resta elegir la alternativa de solucin ms adecuada y definir la propuesta del valor del proyecto, con la finalidad de que los ejecutivos capten la importancia y los beneficios del proyecto y, por consiguiente, aprueben y apoyen su implantacin.
Alternativas de Solucin Equipo Interno Una de las alternativas es designar un grupo de trabajo interno que dedique sus esfuerzos a realizar dicha tarea, es decir, que aporten un enfoque sistemtico y disciplinado para evaluar y mejorar la efectividad de la gestin de riesgos, controles y procesos, para as permitir a la organizacin alcanzar sus objetivos especficos paulatinamente hasta lograr el objetivo general.
Equipo Externo La segunda alternativa a analizar, por contraparte, considera una solucin tercerizada, consistente en la contratacin de un servicio de outsourcing que entregue un equipo externo especializado e independiente, el cual estar encargado de llevar a cabo las labores asociadas a la implementacin de las normativas.
Cosourcing Por ltimo, la tercera alternativa a analizar apunta hacia el cosourcing, el cual consiste en el trabajo colaborativo entre recursos humanos internos y de personal externo, los cuales realizarn en conjunto las tareas de aplicacin de las normativas, generando una relacin win-win con una empresa competente que agregue valor a la organizacin.
Comparacin de Alternativas
Caractersticas Alternativas de Solucin
Interna Externa Cosourcing Conocimiento de la organizacin y los procesos crticos de sta Alto Medio Alto Proporcin de validez Bajo Alto Alto Deteccin de errores Medio Alto Alto Educacin de la organizacin Bajo Alto Alto Flexibilidad para el manejo de recursos Medio Medio Alto Dependencia con la organizacin Alto Bajo Alto Adaptacin al cumplimiento de la planificacin Bajo Medio Medio Aplicacin de normas y principios estndares Bajo Alto Alto Responsabilidad frente a terceros Bajo Alto Alto Frecuencia de control sobre los procesos Alto Bajo Alto Adaptacin a la cultura interna y a las interacciones informales dentro de los grupos de trabajo Alto Medio Alto Grado de especializacin Bajo Alto Alto Asesoramiento o recomendacin ante deteccin de mejoras y/o debilidades. Medio Bajo Medio Control de costos asociados Medio Bajo Alto Justificacin de la solucin escogida Se ha decidido escoger el cosourcing como la alternativa ms beneficiosa para la implementacin del proyecto, debido a que entrega un enfoque mucho ms flexible para el apoyo de las reas y el control de los procesos, permitiendo que el equipo interno de la organizacin mantenga el control y la responsabilidad de las funciones, mientras que la empresa que colabora con el equipo externo aporta recursos on- demand.
Esta alternativa "fusiona" las dos primeras opciones evaluadas, es decir, el trabajo con equipo interno y con equipo externo. A partir de esto, se puede extraer lo mejor de cada una de estas para generar una alternativa lo suficientemente ptima.
Metodologa de Trabajo
La metodologa de desarrollo definida es la iterativa e incremental, debido a que bajo sta podemos:
Agrupar tareas en pequeas etapas repetitivas: El proyecto ser planificado en bloques temporales llamados iteraciones, a travs de estas es posible dividir el proyecto en conjuntos de tareas que tienen como resultado entregas parciales de los temas que aborda el proyecto.
Incrementar el producto final en cada iteracin: Nuestro producto final es la implementacin de la normativa, la cual implica una serie de pasos o tareas a cumplir en la organizacin, para lograr lo anterior esta metodologa nos proporciona una forma de trabajo en donde en cada iteracin se ir evolucionando en la implementacin hasta llegar a completarla.
Metodologa de Gestin La metodologa de gestin de proyecto a utilizar se basara en la gua PMBOK, la cual cuenta con un conjunto de mejores prcticas en la administracin de proyectos, las etapas del proyecto se dividirn en:
Inicio Planificacin Ejecucin Seguimiento y Control Cierre Propuesta de Valor
Propuesta de Valor (Corto Plazo) El primer ao se disminuirn los gastos en un 70% por concepto de horas gastadas por el personal del laboratorio en resolver distintos incidentes asociados a la seguridad de la informacin del mismo:
Propuesta de Valor (Mediano Plazo) El segundo ao se suma la correccin de los controles que actualmente se estn llevando a cabo, debido a la eficacia que podrn obtener el SGSI producto de la maduracin de la seguridad de la informacin en el laboratorio se ahorraran en un 80% los gastos asociados a la reposicin de insumos:
Propuesta de Valor (Largo Plazo) Ya a largo plazo se podrn obtener factores como la evaluacin de la evolucin de la cultura de seguridad de la informacin en el tiempo dentro de la organizacin, realizar mejora continua de los procesos y generar conocimiento del nivel de madurez que han alcanzado los controles. Con lo anterior se generara una madurez tal que permita reducir an ms los costos antes mencionados por resolucin de incidentes, ya pasando de un 70% de disminucin de gastos por este concepto a un 90%,lo mismo se ve aplicado para la reposicin de insumos que de un 80% de ahorro pasa a un 95%,a continuacin el detalle:
Propuesta de Valor (Justificacin) Propuesta Valor a corto plazo: Capacitacin interna para los integrantes del proyecto al trabajar con consultores expertos, el conocimiento se queda en la organizacin. Generar informacin relevante respecto a los controles que sirva como entrada para el plan de anlisis y tratamiento de riesgos. Generar informacin objetiva para la toma de decisiones de la gerencia respecto a la seguridad de la informacin y los objetivos del negocio.
Propuesta Valor a mediano plazo: Evitar invertir dinero en controles que no funcionaran correctamente Generar procesos de mejoras continuas en base a los resultados de los controles Comunicar valores de seguridad de la informacin a la organizacin Identificacin de problemas emergentes
Propuesta Valor a largo plazo: Evaluar la evolucin de la cultura de seguridad de la informacin en el tiempo dentro de la organizacin. Conocer el nivel de madurez que han alcanzado los controles. Verificar el cumplimiento de polticas y normativas Conclusiones Se analizaron diversas alternativas de solucin para la implementacin del proyecto SGSI dentro de ste, determinando que la ms apropiada y beneficiosa para la organizacin es la designacin de un equipo de trabajo en modalidad de cosourcing, con objeto de aprovechar las ventajas que entregan tanto los equipos de trabajo interno, como los equipos de trabajo de outsourcing.
Fue necesario tambin escoger las metodologas que se adecen a la ejecucin de ste de la mejor manera posible. La eleccin concluy con la seleccin de una metodologa de desarrollo iterativa e incremental con la finalidad de agrupar tareas en pequeas etapas repetitivas e incrementar el producto final en cada iteracin. Como modelo de gestin, se escogi el estndar PMBOK como el ms apropiado, puesto que entrega un conjunto de conocimientos y de prcticas que pueden ser aplicadas a cualquier situacin que requiera formular, las cuales han sido concebidas luego de la evaluacin y el consenso entre profesionales, respecto sobre su valor y utilidad.
Se defini la propuesta de valor a partir de la alternativa de solucin escogida, que entregara un retorno lo suficientemente atractivo y beneficioso como para que su implementacin sea aprobada. Referencias
[1] "Implantacin de un Sistema de Gestin de Seguridad de la Informacin Aplicada al Dominio Gestin de Activos para La Empresa Plsticos Internacionales Plasinca C.A.", Escuela Superior Politcnica del Litoral, 2011 http://www.dspace.espol.edu.ec/bitstream/123456789/21624/1/Manual%20SGSI%20Aplicada%2 0a%20la%20Gestion%20de%20Activos.pdf
[2] ISO 27000 http://www.iso27000.es/sgsi.html
[3] "PMBOK Guide and Standards" http://www.pmi.org/PMBOK-Guide-and-Standards.aspx
Ciberseguridad: Una Simple Guía para Principiantes sobre Ciberseguridad, Redes Informáticas y Cómo Protegerse del Hacking en Forma de Phishing, Malware, Ransomware e Ingeniería Social
Guía De Hacking De Computadora Para Principiantes: Cómo Hackear Una Red Inalámbrica Seguridad Básica Y Pruebas De Penetración Kali Linux Su Primer Hack