PI-17181-4

Sistema de Gestión de Seguridad de la Información

Objetivo

Diseñar un Sistema de Gestión de Seguridad de la Información en la Facultad de Ingeniería en base a la norma ISO/IEC 27001:2013, para llevar a cabo una clasificación de los riesgos y amenazas de los equipos informáticos de la Facultad. Elaborar un documento de las Políticas de Seguridad de los usuarios, así como diseñar un Plan de Continuidad del Negocio que mantenga los servicios críticos en funcionamiento.

Descripción

Los sistemas de gestión son procesos en mejoramiento continuo, que se desarrollan por fases. La fase de diseño se considera un punto inicial para una posterior implementación del Sistema de Gestión de la Seguridad de la Información basado en el estándar ISO 27001:2013 lo cual permitirá que la División de Informática de la UASLP, identifique y mitigue los riesgos potenciales sobre los activos informáticos mediante un enfoque metodológico, cumpla con los requerimientos de la norma y de las regulaciones legales vigentes.

Justificación

La certificación ISO 27001:2013 es un estándar para los requisitos de seguridad de la información, y ha sido aprobada por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC). Desarrollar un Sistema de Gestión de Seguridad de la Información en esta norma muestra a la sociedad que la Facultad de Ingeniería de la UASLP, identifica, analiza y trata todos los aspectos y riesgos asociados a la seguridad de la información que se manejan.

En México, son pocas las instituciones educativas que cuentan con un Sistema de Gestión de Seguridad de la Información, lo que se traduce, en un reflejo de la labor de la organización en el cumplimiento de los estándares de seguridad de la información relativa a las formaciones y títulos que imparte.

Llevar a cabo este ejercicio en la Facultad de Ingeniería es un modelo que se pretende extender a toda la Universidad. La UASLP ha sido una institución a la vanguardia fomentando la calidad de sus procesos académicos y de gestión institucional. El Sistema de Gestión de Seguridad de la Información, como lo recomienda la norma ISO 27001:2013, permitirá que la División de Informática de la UASLP, emplee prácticas adecuadas de seguridad de la información, concientizando a sus usuarios sobre los riesgos y amenazas actuales a través de prácticas, procedimientos, guías y lineamientos documentados y liderados por la alta gerencia. Lo anterior conlleva naturalmente, a un impacto positivo en la reducción de costos y optimización de procesos.

Conocimientos

  1. Aspectos básicos de Seguridad de la Información.
  2. Trabajo en equipo.
  3. Inglés, nivel medio.

Integrantes

5 integrantes.

Alcance

  1. Definición del alcance del Sistema de Gestión de la Seguridad de la Información.
  2. Política de Seguridad de la Información.
  3. Plan de Tratamiento de Riesgos donde se describen los controles de seguridad a implementar. Documento de clasificación de los activos informáticos para establecer los niveles de riesgos en base a la metodología seleccionada.
  4. Plan de Continuidad del Negocio donde se describen los procesos y servicios críticos en la institución y su activación ante situaciones de emergencia.

Entregables

  1. Análisis de riesgos
  2. Políticas de seguridad
  3. Plan de continuidad del negocio

Datos del Investigador

Dra. Silva Trujillo Alejandra Guadalupe

Edificio T, Facultad de Ingeniería, UASLP

Co-asesoría

No especificados

Costos, infraestructura y financiamiento

No. Este ejercicio permitirá al estudiante contar con las bases de capacitación si desea iniciar en el área de Consultoría de Seguridad de la Información.

Tiempos estimados

No especificado