Desarrollo del Plan Director de Seguridad para la Asociación APSA

Abstract

El presente Trabajo Fin de Máster desarrolla un Plan Director de Seguridad para la asociación APSA en base a la metodología Magerit y la familia de normas ISO 27000. El plan director de seguridad consiste en un análisis y tratamiento de los riesgos que afecta a la asociación. El trabajo empieza con la creación del Inventario de activos que contiene los grupos: Datos/Información, Servicios, Aplicaciones, Equipos informáticos, Redes de comunicaciones, Soportes de información, Equipamiento auxiliar, Instalaciones y Personal. Definidos los activos se los valora en las 5 dimensiones de seguridad: Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad. Entonces, se determina las amenazas que afecta a cada activo y su frecuencia de ocurrencia, esto para calcular el valor del impacto y riesgo potencial. Teniendo los resultados del riesgo potencial se determina que todos los valores mayores a 4 serán riesgos graves, excepto para los Datos/Información, Servicios, Software y Redes de comunicaciones donde su valor de riesgo aceptable es menor. Definiendo los valores mínimos aceptados se caracterizan salvaguardas para mitigar, controlar o eliminar el riesgo de las amenazas. Las salvaguardas tendrán un grado o porcentaje de efectividad sobre las 5 dimensiones de seguridad y sobre la ocurrencia de las amenazas. Este porcentaje ayuda a determinar el impacto y riesgo residuales, obteniendo los resultados deseados de riesgo salvo en pocas excepciones donde exceden su valor mínimo, pero al no ser considerables, los riesgos son asumibles. Finalmente, los resultados se sintetizan con la creación de una herramienta ofimática del análisis de riesgos de la asociación y la elaboración de 5 planes de seguridad que quedan a disposición de APSA para su posterior implementación.