Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
Descargar como docx, pdf o txt
Está en la página 1/ 9
Foro analítico o argumentativo - Escenario 5 y 6
Politécnico Grancolombiano Ingeniería de Software Teoría de Seguridad de la
Información
2024
Introduccion 1.Defina la política de seguridad para Datalatina, según la estructura vista en el Escenario 5 Datalatina tiene la obligación de proteger toda la información adquirida a través de sus procesos y la que es proporcionada por sus usuarios con total confidencialidad, la empresa debe administrar los riesgos identificados mediante la creación de lineamientos y procesos que abarcan a todas las áreas incluyendo a sus empleados, practicantes y cualquier persona autorizada para tener acceso a información. También incluye la responsabilidad sobre la utilización de equipos, plataformas o sistemas utilizados para gestionar y resguardar la información de una manera segura. 2. Proponga un plan de implementación y desarrollo de política que contenga lo siguiente: a. Objetivos del SGSI Establecer e implementar políticas, normativas y procedimientos, que permitan resguardar y proteger la información de Datalatina y sus clientes. Proteger los activos tecnológicos de la Institución. Evaluar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI), con el fin de lograr la eficiencia, la mejora continua y el cumplimiento de los requisitos de las regulaciones o leyes vigentes. Asegurar la identificación y gestión de los riegos a los cuales se expone los activos de información del Instituto. b. Definición de alto nivel del alcance y marco de referencia para el SGSI Esta política aplica a las áreas de negocio de soluciones, software y capacitación de Datalatina, asegurando los tres pilares clave de la seguridad de la información tales como confidencialidad, integridad y disponibilidad, abarcando a todos los involucrados, incluyendo directivos, consultores, docentes, proveedores, contratistas, y cualquier persona que tenga acceso a los activos de información de la empresa o de sus clientes, de esta manera se garantiza la correcta protección de los activos dentro de la organización. Para la construcción del Sistema de Gestión Seguridad de la Información de Datalatina se basado en las siguientes normas: NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC colombiana 27001:20013. 2013- 12-11. Tecnologías de la Información. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información. Requisitos su anexo NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC Colombiana31000:2009 Gestión del Riesgo, Principios y Directrices NORMA TÉCNICA COLOMBIANA NTC-ISO/IEC Colombiana9001:2015 Sistema de Gestión de Calidad Identificar y dar solución a todos los problemas de vulnerabilidad de la información en los procesos tecnológicos y físicos de la institución
c. Procedimientos y controles que apoyan la política
Procedimientos 1. Implementación de Vpn para tener un control sobre las personas que entran a nuestra información 2. Archivo de control de riesgos de seguridad registrados por parte de los empleados para así poder un esquema claro de vulnerabilidad y dar soluciones 3. Procedimiento de análisis de riesgos de la empresa para poder mitigar posibles violaciones a la información Controles 1. Archivos de riesgos registrados 2. Reporte de ingresos a la información Vpn 3. Archivo de soluciones de posibles riesgos d. Definición de roles y responsabilidades Roles y Responsabilidades 1. Administrador: Encargado de dar acceso a la información y de controlar las posibles soluciones propuestas 2. SST-SGI: Persona encargada de buscar e implementar procesos que nos permitan la mitigación de riesgos en la seguridad 3. Docentes y consultores: Cumplimiento de si contrato con la cláusula de confidencialidad para que así no violen los debidos procesos de la seguridad de la información 3. Definir un plan de sensibilización para la implementación de la política de seguridad. La base para la implementación de la política de seguridad se debe centrar en el resguardo de la información de los clientes y la información de la institución, la que le es entregada en total confidencialidad a sus usuarios dentro de los procesos de los trabajos de la empresa, conociendo y solucionando los riesgos encontrados mediante la definición de lineamientos y procesos al alcance de todos los empleados de la institución. Introduccion Este plan de sensibilización se enfoca en enseñar cómo proteger la información confidencial de los clientes y la información crítica de la institución. Su propósito es garantizar el manejo adecuado de los datos sensibles, estableciendo medidas para resguardar la información en todas las funciones y procesos de la empresa. De esta manera se busca prevenir riesgos y proteger a la organización y a sus usuarios. Objetivo Presentar de manera clara y concisa la política de seguridad de la información de la institución Política Se establece la obligación de proteger la información obtenida en todos los procesos y funciones de la empresa. La información proporcionada por los usuarios debe ser manejada y controlada con total confidencialidad, se reconocen y gestionan todos los riesgos asociados a la seguridad de la información mediante la definición de lineamientos y procesos específicos que permitan administrar los datos de manera adecuada y eficiente. La política asegura que se tomen medidas preventivas para proteger la información y minimizar posibles vulnerabilidades. Alcance A todos los integrantes que hagan parte de la institución. Roles Y Responsabilidades Administrador: Es el encargado de dar acceso a la información y de controlar las posibles soluciones propuestas. SST-SGI: Persona encargada de ejecutar los diferentes procesos que permitan la mitigación de riesgos en la seguridad. Docentes y consultores: Cumplimiento de si contrato con la cláusula de confidencialidad para que así no violen los debidos procesos de la seguridad de la información Metas Lograr conciencientizar y capacitar a todos los integrantes de la institucion garantizando asi el cumplimiento de laspoliticas de la seguridad de la informacion. Definición de Audiencia Nuestra Audiencia principal son nuestros empleados, terceros y personas involucradas con el tratamiento de a la información de la institución. Definición de Temática la información que es obtenida en todos sus procesos o funciones, la que le es entregada en total confidencialidad a sus usuarios dentro de los procesos de los trabajos de la empresa Actividades de Sensibilización Presentación de Política de seguridad de la información el encargado será el SST-SGI y tendrá una duración de 2 horas Materiales Y Recursos Presentación de power point con la política de la seguridad. Duración de 2 horas Definición de Evaluación Se evaluará a traves de una evaluación web la cual sera desarrollada al finalizar la capacitación. Conclusiones Espera de resultados para concluir el tema
Planificar, diseñar e implementar, el SGSI de la organización, sus políticas,
lineamientos ycontroles conforme a las directrices del Comité de Gerencia, los requerimientos legales ybuenas prácticas de normas técnicas. Desarrollar todas las actividades de coordinación de la Seguridad de la Información y seguridad Informática de la organización.Establecer normas y controles apropiados, y dirigir en el establecimiento y aplicaciones de las políticas y procedimientos relacionadas con la Seguridad de la Información y la SeguridadInformática. Salvaguardar los activos de información de la organización, la propiedad intelectual y el cumplimiento normativo. Hacer, en conjunto con los Líderes de procesos, la identificación, valoración y clasificación de los activos de información. Establecer, revisar, aprobar y mantener actualizada, junto con el Comité Primario la Política y las responsabilidades generales en materia de Seguridad de la Información.
Operador del SGSI
Debe implementar las normas y controles, debe segurar que las políticas y procedimientos relacionados con la Seguridad de la Información y la Seguridad Informática se ejecuten tal como se planearon en cada proceso de la organización, de igual manera debe velar por el aseguramiento y apropiación de la Política de Seguridad de la información, al interior de cada proceso. Apoyar los planes de sensibilización y concientización para los empleados, contratistas y terceros frente a la cultura de seguridad de la Información en toda la organización. Ejecutar la actualización de políticas, normas, procedimientos y estándares definidos en el SGSI. Emitir conceptos técnicos, frente a las nuevas soluciones o plataformas tecnológicas. Apoyar a los procesos en la ejecución de pruebas de contingencia y continuidad de seguridad de la información. Alimentar las herramientas que se adopten para gestionar el SGSI. Establecer controles de acceso a la información de la organización, a personal externo e interno manteniendo los pilares fundamentales de la seguridad de la información. Apoyar o supervisar los planes de trabajo (control de cambios) que impacten la seguridad dela información. debe tener alcance Roles Y Responsabilidades Administrador: Encargado de dar acceso a la información y de controlar las posibles soluciones propuestas SST- SGI: Persona encargada de buscar e implementar procesos que nos permitan la mitigación de riesgos en la seguridad Docentes y consultores: Cumplimiento de si contrato con la cláusula de confidencialidad para que así no violen los debidos procesos de la seguridad de la información Metas Dejar clara la política de seguridad de la institución para que así todos los empleados puedan ejecutarla a le perfección Definición de Audiencia Nuestra Audiencia principal son nuestros empleados o personas más involucradas con el tratamiento de a la información importante de a la institución Definición de Temática la información que es obtenida en todos sus procesos o funciones, la que le es entregada en total confidencialidad a sus usuarios dentro de los procesos de los trabajos de la empresa Actividades de Sensibilización Presentación de Política de seguridad de la información el encargado será el SST-SGI y tendrá una duración de 2 horas Materiales Y Recursos Presentación de power point con la política de la seguridad especificada Duración 2 horas Definición de Evaluación Se evaluará mediante una evaluación web la cual tendrá cabida al terminar la capacitación Conclusiones Espera de resultados para concluir el tema Plan de Mejora Dependiendo de la respuestas de la evaluación se tendrá un plan para poder clara la política
