Tesis Pallas
Páginas: 250 (62455 palabras)
Publicado: 12 de mayo de 2015
Instituto de Computación – Facultad de Ingeniería
Universidad de la República
Tesis de Maestría
en Ingeniería en Computación
Metodología de Implantación de un SGSI
en un grupo empresarial jerárquico
Ing. Gustavo Pallas Mega
Tutor:
Dr. Gustavo Betarte
Tribunal:
Dr. Luis E. Sánchez Crespo
MSc. María Urquhart
MSc. Cristina Mayr
Montevideo, Uruguay
Diciembre 2009
Metodología de Implantaciónde un SGSI en un grupo empresarial jerárquico
Gustavo Pallas Mega
ISSN 1510 7264
Tesis de Maestría en Ingeniería en Computación
Instituto de Computación – Facultad de Ingeniería
Universidad de la República
Montevideo, Uruguay, Diciembre 2009
Agradecimientos:
Al Dr. Gustavo Betarte y la MSc. María Eugenia Corti, por sus aportes en los lineamientos, sus
comentarios y el tiempo dedicado en lalectura de versiones preliminares.
Al Dr. Luis Enrique Sánchez Crespo, en su carácter de revisor internacional del presente
trabajo, por su buena disposición, aportes y comentarios al mismo.
Al personal de Anteldata y de Antel, en especial al Ing. Eduardo Carozo – Gerencia de la
Seguridad de la Información, y al Ing. Carlos Martínez - CSIRT, por la disposición y el tiempo
otorgado en las entrevistas yconsultas realizadas.
A Pati, por el apoyo incondicional y su comprensión.
A mis padres, por haberme dado todo lo necesario para llegar hasta aquí, y mucho más.
iii
Resumen
Es un hecho que los sistemas de gestión y de información están muy arraigados en los procesos
productivos, industriales, de servicios, gubernamentales y casi cualquier sector activo de la
sociedad. Esta dependencia de lossistemas de información en general, requiere dotar de
seguridad a los mismos para preservar la calidad de los servicios y velar por la eficacia y
eficiencia de los procesos de negocio y el valor de sus activos. Ya no es suficiente con
establecer controles en forma aislada ni ad hoc, tampoco es suficiente actuar de modo
meramente reactivo y defensivo, se requiere de un sistema de gestión de seguridadde la
información (SGSI) y un accionar proactivo. Si consideramos un grupo empresarial, donde dos
o más empresas se integran verticalmente, el desafío de gestionar la seguridad de una manera
conveniente es aún mayor.
Existen diferentes estándares que se desarrollaron para gestionar la seguridad de la
información, algunos más generales, algunos centrados en la gestión de riesgos (serie ISO/IEC27.000), y otros incluso tendientes a desarrollar un modelo de madurez de la seguridad de la
información (por ejemplo ISM3); sin embargo, en la especificación de las mismos no se afronta
su aplicación a un grupo empresarial, lo cual requiere consideraciones adicionales.
En este trabajo, se analizan diferentes enfoques de estos estándares, con el fin de proponer una
metodología de implementación,gestión y mejora de un SGSI en un grupo empresarial
jerárquico. Se presentan además diferentes alternativas estratégicas y se discute sobre su
conveniencia o no. Se analizan diferentes métodos conocidos de análisis y gestión de riesgos.
Algunos de ellos promovidos por los gobiernos y/o industria de países de vanguardia y
trayectoria reconocida en la seguridad de la información que han tenido granaceptación.
Se promueve un enfoque sistémico y pragmático, no dogmático, en pro de una metodología
eficaz y sostenible, primando un criterio de conveniencia costo-beneficio. Se enfatiza la
necesidad de su orientación y adecuación a los reales requerimientos de seguridad del negocio.
Se presenta una metodología adecuada a un grupo empresarial, que busca integrar lo mejor de
cada uno de los enfoquesanalizados; se incluye una propuesta de organigrama de Seguridad
que compatibiliza la jerarquía estructural del grupo y las necesidades de un SGSI.
Adicionalmente se incursiona en la aplicación de técnicas de grafos para la valoración de
activos; se formaliza el concepto en términos de propiedades y algoritmia de grafos, y se define
con una visión propia del tema, un algoritmo para el ajuste...
Universidad de la República
Tesis de Maestría
en Ingeniería en Computación
Metodología de Implantación de un SGSI
en un grupo empresarial jerárquico
Ing. Gustavo Pallas Mega
Tutor:
Dr. Gustavo Betarte
Tribunal:
Dr. Luis E. Sánchez Crespo
MSc. María Urquhart
MSc. Cristina Mayr
Montevideo, Uruguay
Diciembre 2009
Metodología de Implantaciónde un SGSI en un grupo empresarial jerárquico
Gustavo Pallas Mega
ISSN 1510 7264
Tesis de Maestría en Ingeniería en Computación
Instituto de Computación – Facultad de Ingeniería
Universidad de la República
Montevideo, Uruguay, Diciembre 2009
Agradecimientos:
Al Dr. Gustavo Betarte y la MSc. María Eugenia Corti, por sus aportes en los lineamientos, sus
comentarios y el tiempo dedicado en lalectura de versiones preliminares.
Al Dr. Luis Enrique Sánchez Crespo, en su carácter de revisor internacional del presente
trabajo, por su buena disposición, aportes y comentarios al mismo.
Al personal de Anteldata y de Antel, en especial al Ing. Eduardo Carozo – Gerencia de la
Seguridad de la Información, y al Ing. Carlos Martínez - CSIRT, por la disposición y el tiempo
otorgado en las entrevistas yconsultas realizadas.
A Pati, por el apoyo incondicional y su comprensión.
A mis padres, por haberme dado todo lo necesario para llegar hasta aquí, y mucho más.
iii
Resumen
Es un hecho que los sistemas de gestión y de información están muy arraigados en los procesos
productivos, industriales, de servicios, gubernamentales y casi cualquier sector activo de la
sociedad. Esta dependencia de lossistemas de información en general, requiere dotar de
seguridad a los mismos para preservar la calidad de los servicios y velar por la eficacia y
eficiencia de los procesos de negocio y el valor de sus activos. Ya no es suficiente con
establecer controles en forma aislada ni ad hoc, tampoco es suficiente actuar de modo
meramente reactivo y defensivo, se requiere de un sistema de gestión de seguridadde la
información (SGSI) y un accionar proactivo. Si consideramos un grupo empresarial, donde dos
o más empresas se integran verticalmente, el desafío de gestionar la seguridad de una manera
conveniente es aún mayor.
Existen diferentes estándares que se desarrollaron para gestionar la seguridad de la
información, algunos más generales, algunos centrados en la gestión de riesgos (serie ISO/IEC27.000), y otros incluso tendientes a desarrollar un modelo de madurez de la seguridad de la
información (por ejemplo ISM3); sin embargo, en la especificación de las mismos no se afronta
su aplicación a un grupo empresarial, lo cual requiere consideraciones adicionales.
En este trabajo, se analizan diferentes enfoques de estos estándares, con el fin de proponer una
metodología de implementación,gestión y mejora de un SGSI en un grupo empresarial
jerárquico. Se presentan además diferentes alternativas estratégicas y se discute sobre su
conveniencia o no. Se analizan diferentes métodos conocidos de análisis y gestión de riesgos.
Algunos de ellos promovidos por los gobiernos y/o industria de países de vanguardia y
trayectoria reconocida en la seguridad de la información que han tenido granaceptación.
Se promueve un enfoque sistémico y pragmático, no dogmático, en pro de una metodología
eficaz y sostenible, primando un criterio de conveniencia costo-beneficio. Se enfatiza la
necesidad de su orientación y adecuación a los reales requerimientos de seguridad del negocio.
Se presenta una metodología adecuada a un grupo empresarial, que busca integrar lo mejor de
cada uno de los enfoquesanalizados; se incluye una propuesta de organigrama de Seguridad
que compatibiliza la jerarquía estructural del grupo y las necesidades de un SGSI.
Adicionalmente se incursiona en la aplicación de técnicas de grafos para la valoración de
activos; se formaliza el concepto en términos de propiedades y algoritmia de grafos, y se define
con una visión propia del tema, un algoritmo para el ajuste...
Leer documento completo
Regístrate para leer el documento completo.