Ing.Carmen Lorena Méndez

Plan Estratégico Orientado a la Búsqueda de Políticas de Seguridad en la Información

Para La Corporación Venezolana Agraria

Archivos

Oficios

Informes

Documentos

Gerencia en las TIC`S

Tutora: Ing. Msc. Luzneida Matute

Bienvenidos

Plan

team

ient

o de

l Pro

blem

a

Capítulo I

Avances Tecnológicos

Información

Riesgo

INTERCEPCIÓNAMENAZASALTERACIÓN

Por Quien?

Factor Humano

Contra Quien

?

AusenciaPOLÍTICAS DE SEGURIDAD

Por Qué ?

Control MisiónVisiónObjetivos

Estratégicos

PLAN

IFIC

ACIÓ

N ES

TRAT

ÉGIC

A

MetasIndicadoresCuadro de

Mando

Inte

rroga

ntes

Capítulo I

1

2

¿Cuál es la necesidad de los empleados de la Corporación Venezolana Agraria, en lo que respecta al diseño de un plan estratégico orientado a la búsqueda de políticas de seguridad en la información?

¿Cuáles serán las estrategias más idóneas que debe contener un plan estratégico orientado a la búsqueda de políticas de seguridad en la información para la Corporación Venezolana Agraria?

Obje

tivos

de

la In

vest

igac

ión

Capítulo I

GENERAL: Proponer un plan estratégico que

oriente la búsqueda de políticas de seguridad en la

información para la Corporación

Venezolana Agraria.

ESPECÍFICO: Diagnosticar la

necesidad que tienen los empleados de la

Corporación Venezolana Agraria, en

lo que respecta al diseño de un plan

estratégico orientado a la búsqueda de

políticas de seguridad en la información

ESPECÍFICO: Diseñar un plan

estratégico orientado a la búsqueda de políticas de

seguridad en la información para la

Corporación Venezolana Agraria.

1 32

Just

ifica

ción

y Al

canc

e

Capítulo I

Herramienta TIC

1 •Uso Adecuado de Recursos

2 •Responsabilidad

3 •Concienciación

UsuariosCANAL FORMAL DE ACTUACIÓN

Importancia

POLÍTICAS

Mar

co Te

órico

-

Ante

cede

ntes

Capítulo II

“Diseño e Implementación de un Sistema de Seguridad para el Acceso a Internet de una Empresa de Telecomunicaciones” 2003

“Seguridad en las Redes de Información de una Empresa Comercial”

2004PalmaEscuela Militar de Bolivia“Antonio José de Sucre”

“Desarrollo De una Aplicación para Administración de Firmas y Certificados Digitales Caso: Superintendencia de Telecomunicaciones de Bolivia” 2005

Manuel MújicaUCLA

“Diseño de un plan de seguridad informática para la Universidad Nacional Experimental Politécnica ·Antonio José de Sucre Sede Rectoral”

2007

InvestigaciónCampo

Descriptivo

ProyectoFactible

ProyectoFactible

Población: 20

Aprov. Optimo de

TIC

Base

s Te

órica

s

Capítulo II

TEORÍAS QUE SUSTENTA EL ESTUDIOArgumentos Teóricos de Fayol

(citado por Carrión , 2003)

planificar, organizar, dirigir y controlar

Teoría de la Planificación Estratégica de Corredor (2001)

Orientar sus esfuerzos hacia metas realistas de desempeño

Teoría General de Sistemas (1989)

Comportamiento Sistémico

Teoría Homeostasis del Riesgo (2000)

Conducta Humana

Visión

Metas

ObjetivosFODA

Misión

Proceso de Planificación

• ControlesAuditoria

en Seguridad Informátic

a

• Integridad• Disponibilidad• Integridad

Seguridad

Informática

• Amenazas• Análisis de

Riesgo

El Riesgo en la

Información

Base

s Le

gale

s

Capítulo II

Constitución de la República Bolivariana de Venezuela (1999)

Artículos 108 y 110 en donde establece que el Estado garantizará servicios públicos de radio, televisión y redes de bibliotecas y de informática, con el fin de permitir el acceso universal a la información.

Ley Especial Sobre Delito Informático (2001)

Artículo Nº 1, indica que esta ley tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualquiera de sus componentes.

Decreto 825 (2001)

Uso y promoción de la Internet por parte de los entes y órganos de la Administración Pública.

Ley sobre Datos y Firmas Electrónicas (2001)

Artículo Nº 1 otorga un valor jurídico a la Firma Electrónica, mensaje de datos y a toda información inteligible en formato electrónico.

Ley Orgánica de Ciencia, Tecnología e Innovación (2001)

Estado, establecer políticas orientadas a resguardar la inviolabilidad del carácter privado y confidencial de los datos electrónicos obtenidos en el ejercicio de las funciones de los organismos públicos, (Título 1, Artículo3).

Defin

ición

de

Va

riabl

es

Capítulo II

Conceptualmente definida como la puesta en práctica de un plan estratégico que conlleva a determinar cuales son las directrices en materia de seguridad en la información de la Corporación Venezolana Agraria

Operacionalmente definida cómo el resultado de la evaluación de las respuestas de los sujetos objetos de la investigación, en este sentido, como el resultado que orienta a la organización para establecer políticas de seguridad en la información.

Plan Estratégico Orientado a la Búsqueda de políticas de seguridad en

la Información

Defin

ición

de

Va

riabl

es

Capítulo II

Variables Dimensión Indicadores Items % Res.

Plan Estratégico

Orientado a la Búsqueda de políticas de

seguridad en la Información

Planificación estratégica Plan 1 -7 SI 90%

NO 10 %

Auditoria de seguridad Informática

Control 8 - 10 SI 64 %NO 34 %

Seguridad en la Información

DisponibilidadConfidencialid

adIntegridad

11 – 1415 – 2021 - 23

SI 88 %NO 12 %

Análisis de riesgo

RiesgoAmenazas

24 – 2627 - 31

SI 89 %NO 11 %

PARADIGMACUANTITATIV

O

Mar

co

Met

odol

ógic

o

Capítulo III

PROYECTOESPECIAL

DE CAMPO

•Objetividad

•Hechos reales

trabajos que lleven a creaciones tangibles, susceptibles de ser utilizadas como soluciones a problemas demostrados, o que respondan a necesidades e intereses de tipo cultural (UPEL, 2003)

TIPO DE INVESTIGACIÓN

Mar

co

Met

odol

ógic

o

Capítulo III

DiagnósticaDiseño de la

Propuesta

III

Revisión Bibliográfica

Aplicación del Instrumento

Entrevistas

Sección 1: Diagnostico Institucional

Sección 2: Evaluativa

Sección 3: Estratégica

DISEÑO

Mar

co

Met

odol

ógic

o

Capítulo III

Oficina/Gerencia Población Muestra

Presidencia y Vicepresidencia 8 2Auditoria Interna 2 1Tecnología de la Información 5 2Administración 6 1Planificación y Presupuesto 3 1Recursos Humanos 2 1Control Corporativo 2 1Proyecto 5 1Asistencia Integral y Desarrollo Comunitario. 3 1

Consultoría Jurídica 2 1

Fomento Empresarial 4 1

TOTAL GENERAL 42 13

Mar

co

Met

odol

ógic

o

Capítulo III

TÉCNICAS E INSTRUMENTOS DE RECOLECCIÓN DE DATOS

CONFIABILIDADPRUEBA PILOTO (10

sujetos)Kuder de Richarson0.96 (Muy Alta

Confiabilidad)

El análisis de los datos fueron expresados en frecuencias y porcentajes, representados en cuadros y gráficos

VALIDEZ Juicio de Expertos (3 especialistas)

CUESTIONARIO(Encuesta)

31itemesRespuestas

Cerradas

OBSERVACIÓN DIRECTA

PARTICIPANTERegistro Anecdótico

ENTREVISTA

Anál

isis d

e Re

sulta

dos

Capítulo IV

Dimensión: Planificación Estratégica

Indicador: Plan Ítemes PORCENTAJESI NO

¿Es importante establecer un plan que permita detectar si la información en esta organización es asegurada? 1 100 %

¿Las políticas de seguridad en la organización serán tomadas en cuenta por todos los empleados de la empresa?

5 54 % 46 %

¿La implementación de políticas de seguridad en la información regularán las conductas de los usuarios en la red corporativa de esta institución?

6 77 % 23 %

¿La definición y documentación de las estrategias, normas y procedimientos satisfacen los requisitos de seguridad en la información?

7 100 %

Anál

isis d

e Re

sulta

dos

Capítulo IV

Dimensión: Auditoría en Seguridad en la Información

Indicador: Control Ítemes PORCENTAJESI NO

¿La organización requiere de un control que permita prevenir las incidencias en materia de seguridad en la información?

9 100 %

Anál

isis d

e Re

sulta

dos

Capítulo IV

Dimensión: Seguridad en la Información

Indicador: Disponibilidad Ítemes PORCENTAJESI NO

¿La información debe estar disponible en el momento que lo requiera la organización? 11 100 %

¿En la organización existen mecanismos de seguridad para la transmisión de la información? 12 38 % 62 %

Anál

isis d

e Re

sulta

dos

Capítulo IV

Dimensión: Análisis de Riesgo

Indicador: Amenazas Ítemes PORCENTAJESI NO

¿En ocasiones se extravía la información dentro de la Corporación? 27 62 % 38 %

¿La información es considerada como principal activo de la organización, por ello debe estar protegida de toda amenaza?

28100 % -

Capítulo IV

Escenario Conducta Consecuenci

aObservaciónDirecta

 CVA Central

Manipulación de la Información

La Información solicitada por el Ministerio no era la enviada.

Se desconoce quien realizó tal actividad An

álisi

s de

Resu

ltado

s

Prop

uest

a de

la

In

vest

igac

ión

Capítulo V

MISIÓNVISIÓNOBJETIVOS

ALCANCE

Dar a conocer el plan estratégico orientado a la búsqueda de políticas de seguridad en la información a la empresa Corporación Venezolana Agraria

Servir de modelo en planificación estratégica para aquellas organizaciones que carezcan de instrumentos útiles en el área de seguridad informática al permitir establecer políticas de seguridad en la información a partir de un enfoque estratégico

General: Elaborar un plan estratégico que faciliten la búsqueda de alternativas en materia de seguridad en la información.Específicos: • Realizar un diagnóstico a la organización en

estudio.• Realizar un análisis de riesgo.• Elaborar un conjunto de objetivos

estratégicos.Sección 1 Diagnóstica:Sección 2 Evaluativa:Sección 3 Estratégica:

Prop

uest

a de

la

In

vest

igac

ión

Capítulo V

DIAGNÓSTICA

Sección 1

Prop

uest

a de

la

In

vest

igac

ión

Capítulo V

EVALUATIVA

Listado de Activos de la OrganizaciónImportancia Actual

(1-10)Software de aplicaciones y sistemas de Información institucional (Sistema Administrativo, Gestión de proyectos, otros)

10

Puntos de cuenta, Puntos de información. 10

Memorando Interno y Oficios. 8

Documentos de gestión y seguimiento empresarial de las empresas adscritas y la organización.

9

Gestión de Riesgo

Sección 2

Prop

uest

a de

la

In

vest

igac

ión

Capítulo V

EVALUATIVA

Factores de RiesgoAcceso no autorizado a datos.

Utilización de password negligentemente

Copia no autorizada de un medio de datos

Destrucción negligente de datos

Entrenamiento inadecuado a usuarios

Virus, gusanos y caballo de troya

Huelga, despidos, traslados del personal.

Gestión de Riesgo

Sección 2

Prop

uest

a de

la

In

vest

igac

ión

Capítulo V

EVALUATIVA

NºNombre Del Activo

Nivel deImpor.(1-10)

Factor de Riesgo

Prob. Ocurr.Baja, Media, Alta

% Prob. de Riesgo

NivelVuln.

8

Puntos de Cuenta y Puntos deInformación

10

Acceso no autorizado a Datos 2 10 100Robo de información 2 10 100Falta de cuidado en el manejo de información

3 15 150

Pérdida de confidencialidad o integridad como resultado de un error humano

2 10 100

Huelgas, despidos y traslado del personal

1 5 50

Virus, gusanos y caballos de Troya

1 5 50

--- - - -

Cantidad de Factores de Riesgo: 20 TOTAL 165 1650

Gestión de Riesgo

Sección 2

Prop

uest

a de

la

In

vest

igac

ión

Capítulo V

EVALUATIVA

Activos Críticos Nº∑Riesgo nivel de vulnerab

.Memorando Interno y Oficios. 11 1904,96Documentos de gestión y seguimiento empresarial de las empresas adscritas y la organización. 12 1885,59

Software de aplicaciones y sistemas de Información institucional (Sistema Administrativo, Gestión de proyectos, otros) 1 1750

Gestión de Riesgo

Sección 2

Prop

uest

a de

la

In

vest

igac

ión

EVALUATIVA

Activos CríticosPosible Control

Tipo de Control

Costo del

Control

Memorando Interno y Oficios.

Políticas de protección de la Información.

Preventivo

Mínimo

Documentos de gestión y seguimiento empresarial de las empresas adscritas y la organización.

Software de aplicaciones y sistemas de Información institucional (Sistema Administrativo, Gestión de proyectos, otros)

Capítulo V Gestión de Riesgo

Sección 2

• Participación del MPPCT.

• Necesidad de política y adecuación a la normativa.

• Posible colaboración del MPPAT

Prop

uest

a de

la

In

vest

igac

ión

ESTRATÉGICA

Capítulo V

FORTALEZAS

F

DEBILIDADES

DAMENAZAS

A

• Personal con aptitud laboral positiva.

• Suficiencia y disponibilidad de soporte tecnológico.

• Aceptación por parte de la alta gerencia.

• Recursos Financieros adecuados.

• Existencia de un área de seguridad de datos.

• Falta de interés por parte de la alta gerencia

• Falta de cumplimiento a los valores institucionales.

• Manual de cargos y funciones inexistente.

• Carencia de personal especializado

• Capacitación no adecuada• Inexistencias de planes de

contingencias..

• No participación del MPPAT.

• No participación MPPPP

• Escaso marco legal claro, consistente y estable en materia de seguridad informática a nivel ministerial.

• Escasa gestión de riesgo en la gestión Pública.

Sección 3

Prop

uest

a de

la

In

vest

igac

ión

ESTRATÉGICA

Capítulo V

OBJETIVO ESTRATÉGICO

METAS ACTIVIDADES INDICADORDE

RESULTADO

Nº 1: Inicial

El proceso de seguridad en la información es impredecible, sin control y reactivo, el éxito de la toma de decisiones depende de las personas involucradas.

Documentar la clasificación de los activos de la organización.

•Identificar en forma general los activos de la organización.

•Concientizar al personal de la organización en lo que respecta a la seguridad.

•Dar a conocer a la alta directiva.

•Ver la necesidad de crear un grupo multidisciplinario .

- Cantidad de activos definidos. - Cantidad de vulnerabilidadesDetectadas. - Nº de reuniones realizadas.  

Objetivos Estratégicos e Indicadores

Sección 3

Prop

uest

a de

la

In

vest

igac

ión

OBJETIVO ESTRATÉGICO

METAS ACTIVIDADES INDICADORDE

RESULTADO

Nº 2: Gestionar Ya existe un proceso básico de iniciativa para empezar a elaborar directrices en materia de seguridad.

•Elaborar un plan para divulgar las políticas.

•Documentar los incidentes de seguridad en la información.

•Crear conciencia respecto a la seguridad de la información en los empleados.

•Empezar a definir las políticas de seguridad.

•Establecer en los contratos de personal, servicios y otros, regulaciones.

•Identificar riesgos asociados.

•Elaborar informes de los incidentes de seguridad.

- Cantidad regulaciones a seguir. - Cantidad de vulnerabilidadesDetectadas.

Capítulo V

ESTRATÉGICA

Objetivos Estratégicos e Indicadores

Sección 3

Prop

uest

a de

la

In

vest

igac

ión

OBJETIVO ESTRATÉGICO

META ACTIVIDADES INDICADORDE

RESULTADO

Nº 3: Cuantificar

Cuantitativamente la organización recolecta y utiliza las métricas para reducir el nivel de riesgo y vulnerabilidad.

La organización trabaja continuamente en la conservación de la seguridad de la información a través de revisiones continuas a los controles.

Hacer revisiones periódicas o monitoreos a los activos de la organización.

Utilizar un indicador de cumplimiento para establecer si las políticas y las cláusulas de seguridad establecidas en los contratos de trabajo, están siendo acatadas correctamente.

 - Nº de reuniones y talleres. - Nº de actividades cumplidas. - Nº de revisiones realizadas.

Capítulo V

ESTRATÉGICA

Objetivos Estratégicos e Indicadores

Sección 3

Prop

uest

a de

la

In

vest

igac

ión

OBJETIVO ESTRATÉGICO

META ACTIVIDADES INDICADORDE

RESULTADO

Nº 4: Optimizar

Ya existe una mejora continua en los procesos de seguridad en la información.

Lograr que las políticas de seguridad en la información esté en toda la empresa

Lograr que los empleados apoyen y contribuyan al mejoramiento de la seguridad en la información.

Conocer y aprender continuamente sobre los incidentes de seguridad presentados.

Incluir todas las áreas de la organización (críticas y no críticas) en los planes de respuesta a incidentes (planes de contingencias).

- Nº de atividades cumplidas. - Nº de revisiones realizadas.

Capítulo V

ESTRATÉGICA

Objetivos Estratégicos e Indicadores

Sección 3

Prop

uest

a de

la

In

vest

igac

ión

ESTRATÉGICA

Capítulo VCiclo de Vida

Políticas de Seguridad

Sección 3

Conc

lusi

ones

Capítulo VI

CONCLUSIONES

La Organización Existe

88 %Seguridad en la

Información

Información

alterada

98% Beneficios de Planificación Estratégica

100 %Control en Auditoria

Conc

lusi

ones

Capítulo VI

Asignar ResponsabilidadesSatisfacen los requisitos de seguridad

54 % pueden ser tomadas en cuenta

62 % No existen mecanismo de seguridadAseguran autenticidad e integridad de la información

Normativas•No está en capacidad de adecuase a los cambios tecnológicos

•La información es el principal activo

CONCLUSIONES

Importancia Plan Estratégico

Reco

me

ndac

ion

es

Capítulo VI

RECOMENDACIONES123

Puesta en Marcha del Plan Estratégico Diseñado

Reconocer los beneficios que implica la planificación estratégica en las organizaciones

Realizar una auditoria en Seguridad Informática

4 Conformar un equipo de trabajo

5 Realizar un análisis de riesgo

6 Elaborar un plan de capacitación en seguridad informática

Plan Estratégico Orientado a la Búsqueda de Políticas de Seguridad en la Información

De La Corporación Venezolana Agraria

Preguntas?

Plan Estratégico Orientado a la Búsqueda de Políticas de Seguridad en la Información

Para La Corporación Venezolana Agraria

Archivos

Oficios

Informes

Documentos

Gerencia en las TIC`S

Muchas Gracias