|
Grado en Ingeniería Informática |
TRABAJOS FIN DE GRADO curso: 2017-18
Análisis de la UNE-EN ISO/IEC 27001:2017 para implantar sistemas de ciberseguridad en el marco de una Planificación de un Sistema de Información |
Tecnologías Específicas
Tecnologías de la Información
Descripcion y Objetivos
Cada vez más, la gestión de los sistemas de información de una organización debe contemplar el control autorizado del acceso a datos y el mantenimiento de la operatividad del sistema ante ataques maliciosos.
Lamentablemente, se están conociendo un mayor número de casos donde la seguridad de la información o de los sistemas ha sido quebrantada con importantes consecuencias. Ni las grandes organizaciones con todos sus recursos están libres de ataques. Para ello, basta con leer las listas de los principales incidentes de ciberseguridad publicadas por el Instituto Nacional de Seguridad (INCIBE), dependiente del ministerio de Energía (Instituto Nacional de Seguridad (INCIBE), 2017). Su análisis muestra no solo las pérdidas económicas directas (robos: como el intento de sustraer más de 1000 millones del banco de Bangladés) e indirectas (pérdida de clientes y de cotización; como el de Bitfinex con una caída del 23%) sino también una pérdida de credibilidad, imagen y confianza que pueden llevar a la ruina a una entidad.
El director general del Instituto Nacional de Ciberseguridad (INCIBE), Alberto Hernández, durante la Jornada Empresarial Ciberseguridad 'Las empresas frente al incremento de los ciberataques', desveló que hasta octubre del 2017 se habían detectado 113.000 incidentes de seguridad (casi los mismos que todo el 2016) (El economista, 2017). Entre las propuestas de trabajo para luchar contra los ciberataques se proponen "trabajar con los fabricantes para que desarrollen productos seguros" y "trabajar en la regulación", de forma que se incida en "la obligatoriedad de las empresas de mantener unos estándares mínimos de seguridad". Todo esto conlleva que a corto o medio plazo las organizaciones deben contemplan en sus Planificaciones de sus Sistemas de Información (PSI), la gestión de la seguridad. Esto supone un incremento de la oferta laboral y de la actividad económica en el sector de la seguridad. Lamentablemente, la urgencia e inmediatez está focalizando la atención en el aspecto tecnológico. Algo similar a lo que ocurrió con la incorporación de los primeros sistemas informáticos a las organizaciones y sus subsiguientes problemas de integridad, mantenibilidad, gestión, mantenimiento, etc. Sólo con la incorporación de una Gestión de los sistemas de información, sustentada en planificaciones previas acordes a los objetivos y necesidades de la organización, se subsanaron los problemas dando paso a una etapa madura y un crecimiento programado.
Un ejemplo del carácter multidisciplinar de la gestión de la seguridad viene de las distintas propuestas formativas de postgrado, como el máster en ciberseguridad del Instituto Superior de Derecho y Economía (ISDE), en colaboración con Georgetown University y Deloitte. En él incorporan a las técnicas de seguridad aspectos jurídicos para su gestión (Instituto Superior de Derecho y Economía (ISDE), 2017).
Con este TFG, se pretende estudiar los estándares y metodologías propuestas para la implantación y gestión de los sistemas de seguridad de una organización. Además, se estudiará los aspectos relacionados con tratamiento de las incidencias en seguridad, cubriendo los distintos aspectos: técnico, jurídico, económico, etc. Como caso práctico, se pretende adaptar la propuesta UNE-EN ISO/IEC 27001:2017 para la implantación de un sistema de seguridad en el laboratorio SIDIS del I3A de la UCLM.
Metodología y Competencias
Dado que la envergadura del proceso de planificación de la implantación de un sistema de seguridad en una organización excede el alcance de un TFG, se pretende una reducción que suponga una adaptación de la norma (AENOR, 2017) al caso práctico propuesto, pero que permita demostrar la capacidad del alumno para llevar a cabo este tipo de gestión.
El trabajo será desarrollado en las siguientes fases:
• Revisión de la normativa y estándares sobre las mejores prácticas en la implantación de sistemas de seguridad de la información.
• Identificación de los elementos claves en el proceso de implantación de un Sistema de Gestión de Seguridad de la Información (SGSI)
• Adaptación de la UNE-EN ISO/IEC 27001:2017 para la implantación de un sistema de seguridad en el laboratorio SIDIS del I3A de la UCLM
• Ejecutar y analizar el proceso de Implantación al caso práctico.
Medios a utilizar
Para el estudio, adaptación y redacción del TFG se utilizarán los recursos disponibles en el laboratorio SIDIS del I3A.
Para el caso práctico se evaluarán las opciones de implantación para el propio laboratorio SIDIS y el RAC de servidores que SIDIS dispone en la sala RAC de la Escuela Superior de Ingeniería Informática de Albacete.
En la medida de lo posible se utilizará software libre, ofertado en el marco de la UCLM, o disponible para usos académicos.
Bibliografía
Estas son las referencias iniciales que se han consultado para la elaboración de la propuesta. En ningún caso, se considera que esta vaya a ser toda la bibliografía consultada a lo largo del TFG.
• AENOR. (24 de 5 de 2017). Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos. (ISO/IEC 27001:2013 incluyendo Cor 1:2014 y Cor 2:2015). (AENOR, Ed.) Recuperado el 30 de 11 de 2017, de http://www.aenor.es/aenor/normas/normas/fichanorma.asp?tipo=N&codigo=N0058428#.Wh_4Anlry70
• Dirección General de Modernización Administrativa, Procedimientos e Impulso de la Administración Electrónica. (10 de 2012). MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. . (M. d. Información, Ed.) Recuperado el 30 de 11 de 2017, de https://www.ccn-cert.cni.es/documentos-publicos/1789-magerit-libro-i-metodo/file.html
• El economista. (28 de 11 de 2017). eleconomista. Recuperado el 30 de 11 de 2017, de http://www.eleconomista.es/tecnologia-internet/noticias/8774691/11/17/Espana-registrara-el-mayor-numero-de-ciberataques-de-su-historia-en-2017.html
• Instituto Nacional de Seguridad (INCIBE). (13 de 02 de 2017). INCIBE. Recuperado el 30 de 11 de 2017, de https://www.incibe.es/sala-prensa/notas-prensa/incibe-publica-el-ranking-los-10-principales-incidentes-ciberseguridad
• Instituto Nacional de Tecnologías de la Comunicación (INTECO). (s.f.). Implantación de un SGSI en la empresa. Recuperado el 30 de 11 de 2017, de https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf
• Instituto Superior de Derecho y Economía (ISDE). (2017). Global Master in Cybersecurity. Recuperado el 30 de 11 de 2017, de https://www.isdemasters.com/en/global-master-cybersecurity/academic-program
• ISO, ISO/IEC 27000, Information technology - Security techniques - information security management systems - Overview and vocabulary, 2008.
• ISO, ISO/IEC 27001, Information technology - Security techniques - Information security management systems, 2005.
• ISO, ISO/IEC 27002, Information technology - Security techniques - Code of practice for information security management (Redesignation of ISO/IEC 17799:2005), 2005.
• ISO, ISO/IEC 27005, Information technology - Security techniques - Information security risk management, 2008.
• ISO, ISO/IEC 27006, Information technology - Security techniques - Requirements for bodies providing audit and certification of Information Security Management Systems, 2007.
• Martín, M. M. (6 de 2015). Guía de implantación de un SGSI basado en la norma UNE-ISO/IEC 27001. Trabajo Fin de Carrera. Universitat Oberta de Catalunya. Recuperado el 30 de 11 de 2017, de http://openaccess.uoc.edu/webapps/o2/bitstream/10609/42965/7/mmanozTFC0615memoria.pdf
• Valencia Duque, F. a.-A. (2017). Metodología para la implementación de un Sistema de Gestión de Seguridad de la Información basado en la familia de normas ISO/IEC 27000. RISTI - Revista Iberica de Sistemas e Tecnologias de Informacao, 73-88.
Tutor GARCIA-CONSUEGRA BLEDA, JESUS DAMIAN | Alumno MORENO BUITRAGO, CARLOS |
| |