Saludos a todos los cofrades de perutops

Nuevamente me tienen por aca, quien diria jaja, en fin esta vez me trae algo particular y que ojala espero alguno de ustedes conosca.

Actualmente estoy en la universidad y bueno me pareció oportuno presentar como parte de un trabajo serio, el tema "Implantación del Plan de Seguridad de la Información aplicando la NTP/ISO IEC-17799:2007 EDI en el área de Informática de una Entidad Estatal". A raíz esto se ha suscitado casi todo un debate y la verdad no ha sido tan fácil como esperaba, por una parte resaltaba el hecho de porque no aplicar algo mas actual como la ISO 27001 y lo que ya se viene o me parece que ya esta 27002, en fin eso por una parte. Quizá mi mayor argumento y apoyo a la hora de defenderme es que la implantación de esta Norma en las Instituciones Estatales basándome en una resolución ministerial ha aprobado su uso obligatorio en las entidades integrantes del sistema nacional de informática.

Estoy totalmente de acuerdo que el trabajo en esta parte de implantación es necesario tiempo y conocimiento ya que es una labor muy ardua en el cual me quiero involucrar, aunque aquí viene algo que deseo preguntarles. Siempre escucho decir y leer claro esta... Implementación de un Plan de Seguridad…., y por ahí no se como leí Implantación. No quiero entrar en un juego de términos pero a lo poco que he llegado a saber una implementación esta dirigido a la implementación de un programa (desarrollo de del proyecto), pero una implantación se trata de implantar, introducir por así decirlo una norma. Es por ello que el titulo de tema expuesto no es Implementación porque no veo por algún lado implementaciones que realizare pero claro que deben hacerse las implementaciones para alcanzar niveles adecuados de seguridad definitivamente, lo que voy hacer es implantar si es que estoy en lo correcto claro. Es aquí donde pido una aclaración de alguno de ustedes por su parte.

Continuando con el desarrollo de tema se me exige presentar un cronograma de actividades sobre el tema a realizar. Por lo que entiendo tendría que inicialmente realizar un análisis de riesgos de la institución para poder así de esta manera enfocarme en los aspectos más necesarios (prioritarios), seguidamente realizar un proceso de análisis del estado institucional (estado actual) que garantiza la seguridad de la información. No estaría de más realizar una auditoria primero antes de nada ¿?, de contrastar con un Estándar ¿? En mi caso NTP ISO 17799. Aunque muchas veces creo que la mejor manera de iniciar la implantación de la seguridad de la información es con la educación, primero educar y concientizar desde la cabeza de la institución hasta el último de su estructura, considero aquí una de las principales brechas y es que muchas veces la alta dirección no lo ven como algo estratégico estar al cuidado y respaldo de la información. ¿Como demostrar lo contrario? Tendría acaso que infiltrarme en sus sistemas para poder demostrarles jaja jaja. A su experiencia cual sería la mejor forma o modo de que sea aceptado dentro de una Institución Estatal claro está.

Definitivamente ya estoy en camino y bueno le escribía todo para poder informarle mi modo de proceder aun soy estudiante claro, espero de su parte una aclaración, sugerencias, modos de actuar, herramientas de cuales servirme, y aquí algo importante a mi parecer la planificación de las actividades, como empezar ¿? (con educación, todo un plan auditoria, etc.) si es posible agradecería algún modelo en esto ultimo.

Ufss creo que estuve muy inspirado no me he percatado de la cantidad de texto que escrito... disculpen si infringo en alguna norma lo unico que buscar era expresarme ...

Espero algunas respuesta y porsupuesto espero a los cofrades manifestarse al respecto yo seguire visitando perutops a ver si alguna Kine sabe de buenas practicas ja ja ja