Teoria DE LA Seguridad PDF

Title	Teoria DE LA Seguridad
Course	Elementos de la Teoría de la Computación
Institution	Politécnico Grancolombiano
Pages	7
File Size	344.8 KB
File Type	PDF
Total Downloads	77
Total Views	271

Preview

CLICK TO PREVIEW PDF

Summary

Description

TEORIA DE LA SEGURIDAD

LA POLÍTICA DE SEGURIDAD DEL PAPEL A LA ACCIÓN

PROFESOR: IGNACIO BLANCO

INTEGRANTES DEL GRUPO: PAEZ GODOY JORGE LUIS (CÓDIGO: 1521025341)

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRANCOLOMBIANO

PLANTEAMIENTO DEL PROBLEMA Datalatina es una firma latinoamericana dedicada al aseguramiento, gestión de riesgos, calidad y seguridad de sistemas de información. El personal de consultores y docentes de esta firma cuenta con las principales certificaciones internacionales asociadas al alcance de sus tareas, las cuales han sido emitidas por prestigiosas organizaciones académicas, como ISACA, PMI, DRI, entre otras. Esto, sumado a la vasta experiencia generada a través de más de 30 años de compromiso con el cliente, hace de Datalatina una empresa líder en las soluciones que ofrece. Las tres líneas de negocio de Datalatina son: soluciones, software y capacitación. Línea de soluciones: provee consultoría y capacitación sobre buen gobierno corporativo, con referentes como COSO y gobierno de TI con COBIT; gestión integral de riesgo y auditoría; gestión de riesgos de lavado de activos y financiamiento terrorista; gestión de seguridad de la información; gestión de continuidad del negocio, tomando como referencia la norma ISO 22301; hacking ético; cumplimiento y legislación; y soluciones personalizadas. Línea de software: Datalatina utiliza el software Meycor; ha desarrollado aplicaciones para el gobierno de TI con Cobit, seguridad de la información ISO 27001 y gestión de riesgo corporativo alineado con la Norma ISO 3100. Línea de capacitación: es un centro autorizado por ISACA para la capacitación y certificación en ISA, CISM, CGEIT, CRISC, CISSP y DRI. Datalatina es certifcada ISO/IEC 27001, lo cual asegura la calidad en términos de seguridad según dicho estándar y cuenta con importantes clientes a nivel mundial, además, trabaja a través de representantes en diferentes países.

Política de seguridad de la información de Datalatina La dirección de la firma reconoce la importancia de identificar y proteger sus activos de información evitando la destrucción, la divulgación, modificación y utilización no autorizada de toda información relacionada con clientes, empleados, precios, bases de conocimiento, manuales, casos de estudio, códigos fuente, estrategia, gestión, y otros conceptos; además, comprometiéndose a desarrollar, implantar, mantener y mejorar continuamente el Sistema de Gestión de Seguridad de la Información (SGSI).

La seguridad de la información se caracteriza por la preservación de: a) Su confidencialidad, asegurando que solo quienes estén autorizados pueden acceder a la información. b) Su integridad, asegurando que la información y sus métodos de proceso son exactos y completos. c) Su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. La seguridad de la información se consigue implantando un conjunto adecuado de controles, tales como políticas, prácticas, procedimientos, estructuras organizativas y funciones de software. Estos controles han sido establecidos para garantizar que se cumplen los objetivos específicos de seguridad de la empresa.

Es política de Datalatina que

1. Se establezcan anualmente objetivos en relación con la seguridad de la información. 2. Se desarrolle un proceso de análisis del riesgo y, de acuerdo con su resultado, se implementen las acciones correspondientes con el fin de tratar los riesgos que se consideren inaceptables, según los criterios establecidos en el Manual de Gestión. 3. Se establezcan los objetivos de control y los controles correspondientes, en virtud de las necesidades que en materia de riesgos surjan del proceso de análisis de riesgos manejado. 4. Se cumpla con los requisitos del negocio, legales o reglamentarios, y las obligaciones contractuales de seguridad. 5. Se brinde concientización y entrenamiento en materia de seguridad de la información a todo el personal. 6. Se establezcan los medios necesarios para garantizar la continuidad del negocio de la empresa. 7. Se sancione cualquier violación a esta política y a cualquier política o procedimiento del SGSI. 8. Todo empleado es responsable de registrar y reportar las violaciones a la seguridad, confirmadas sospechadas. 9. Todo empleado es responsable de preservar la confidencialidad, integridad y disponibilidad de los activos de información en cumplimiento de la presente política y de las políticas y procedimientos inherentes al sistema de gestión de la seguridad de la información. 10. El jefe de seguridad de la información es responsable directo del mantenimiento de esta política a través de brindar consejo y guía para su implementación, así como también de investigar toda violación reportada por el personal.

PLANTEAMIENTODE LA ACTIVIDAD 1) Defina la política de seguridad para Datalatina, según la estructura vista en el Escenario 5.

Política de seguridad de la información 1. Resumen de la política: La información cualquiera que sea su forma de ser compartida, comunicada o almacenada debe ser siempre protegida y resguardada. 2. Introducción: 1. La información existe en diversas formas: Física (escrita o impresa en papel), Digital (almacenada electrónicamente, enviada a través de correo Electrónico o medios magnéticos, o en forma oral en las conversaciones. 2. La seguridad de la información es la protección de la información contra cualquier amenaza con el fin de garantizar la continuidad del negocio, minimizando los riesgos empresariales y maximizando el retorno de las inversiones. 3. Alcance: 1. Esta política complementa la política general del Sistema de Gestión de Seguridad de la Información de la Compañía. 2. Esta política es de conocimiento y aplicación por parte de todos los miembros de la compañía. 4. Objetivos de seguridad de la información: 1. Entender y relacionar los riesgos operacionales y estratégicos en seguridad de la información para que subsistan en niveles aceptables para la compañía. 2. El amparo de la confidencialidad de la información relacionada con los clientes y con planes de desarrollo. 3. La preservación de la entereza de los registros contables. 4. Los servicios Web de acceso público y las redes internas cumplen con las descripciones de disponibilidad requeridas. 5. Comprender y dar cobertura a las necesidades de todas las partes interesadas. 5. Principios de seguridad de la información: 1. Esta compañía enfrenta la toma de riesgos y soporta aquellos que, en base a la información disponible, son claros, controlados y manejados cuando es necesario. Los detalles de la metodología adoptada para la evaluación del riesgo y su tratamiento se encuentran descritos en la política del SGSI. 2. Todo el personal será conocedor y responsable de la seguridad de la información, según sea selecta para el desempeño de su trabajo. 3. Se tendrá financiación para la gestión operativa de las vigilancias relacionadas con la seguridad de la información y en los métodos de gestión para su implantación y mantenimiento. 4. Se tendrán en cuenta aquellos eventos de fraude relacionado con el uso ilegal de los sistemas de información dentro de la gestión global de los sistemas de información. 5. Los peligros en seguridad de la información serán objeto de seguimiento y se acogerán medidas notables cuando existan cambios que impliquen un nivel de riesgo no aceptable. 6. Los criterios para la categorización y aceptación del riesgo se encuentran referenciados en la política del SGSI. 7. Los eventos que puedan exponer a la compañía a la violación de las leyes y normas legales no serán consentidos. 6. Responsabilidades: 1. El equipo directivo es el responsable de asegurar que la seguridad de la información se gestiona adecuadamente en toda la compañía.

2. Cada administrador es responsable de garantizar que las personas que trabajan bajo su control resguardan la información de acuerdo con las normas establecidas por la compañía. 3. El director de seguridad asesora al equipo directivo, suministra apoyo especializado al personal de la compañía y certifica que los informes sobre la situación de la seguridad de la información están disponibles. 4. Cada miembro del personal tiene el compromiso de conservar la seguridad de información dentro de las actividades relacionadas con su trabajo. 7. Indicadores clave: 1. Los incidentes en seguridad de la información no se traducirán en costes graves e inesperados, o en una grave perturbación de los servicios y actividades comerciales. 2. Las pérdidas por fraude serán detectadas y permanecerán dentro de unos niveles aceptables. 3. La aceptación del cliente de los productos o servicios no se verá afectada negativamente por aspectos relacionados con la seguridad de la información. 8. Políticas relacionadas: A continuación, se detallan aquellas políticas que proporcionan principios y guía en aspectos específicos de la seguridad de la información: 1. Política del Sistema de Gestión de Seguridad de la Información (SGSI). 2. Política de control de acceso físico. 3. Política de software no autorizado. 4. Política de descarga de ficheros (red externa/interna). 5. Política de copias de seguridad. 6. Política de intercambio de información con otras organizaciones. 7. Política de retención de registros. 8. Política de protección de datos y privacidad.

2) Proponga un plan de implementación y desarrollo de política que contenga lo siguiente: a) Objetivos del SGSI b) Definición de alto nivel del alcance y marco de referencia para el SGSI c) Procedimientos y controles que apoyan la política d) Definición de roles y responsabilidades e) Indicación de alto nivel de alcance y límite a nivel físico de TICS y de compañia.

Dentro del Sistema de Gestión de Seguridad de la Información y de la Gestión del Servicio, basado en los modelos ISO 27001 e ISO 20000-1, la Alta Gerencia de DATALATINA considera que tanto la Seguridad de la Información, Ciberseguridad y la Gestión del Servicio, deben contar con el total compromiso para su implementación, mantenimiento y mejora, por esta razón define las siguientes políticas:

POLITICA SEGURIDAD DE LA INFORMACIÓN Y CIBERSEGURIDAD DATALATINA reconoce que información es un activo fundamental para la prestación de sus servicios y la toma de decisiones, con base a ello define implementar las medidas necesarias para conservarla y protegerla, dar cumplimiento al Core de su negocio y asegurar el normal desempeño de sus actividades y servicios. Para esto se

cuenta con el compromiso expreso de la Alta Gerencia en proporcionar los recursos necesarios para el mejoramiento continuo del sistema de gestión Integrado de Seguridad de la Información, Ciberseguridad y del Servicio. La política de Seguridad de la Información y Ciberseguridad tiene por objetivo la protección de los activos de información que dependen o usan las tecnologías de la información y las comunicaciones en DATALATINA y a la prestación de servicio para sus clientes. Aplica a toda la compañia, clientes, a sus recursos tecnológicos y humanos, a la totalidad de los procesos internos, a los proveedores que de alguna forman reciban, transmitan o procesen información de DATALATINA Por lo tanto, DATALATINA está comprometida con la protección, preservación y aseguramiento de la Confidencialidad, Integridad, y Disponibilidad de los activos de información, define las directrices, políticas y/o procedimientos que regirán y deberán ser de obligatorio cumplimiento de los funcionarios, proveedores y otras partes interesadas. De igual forma, se compromete con la construcción y mejora de la cultura de la Seguridad de la Información y Ciberseguridad. DATALATINA implementa un modelo de gestión de seguridad de la información y Ciberseguridad alineado con las mejores prácticas con el fin de identificar y minimizar los riesgos a los cuales se expone la información, establece una cultura de seguridad y garantiza el cumplimiento de los requerimientos legales y contractuales. Los propósitos de la Seguridad de la información y Ciberseguridad en DATALATINA son: ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓

Cumplir con los principios de seguridad de la información y ciberseguridad. Mantener la confianza de sus clientes, aliados y empleados. Apoyar a la innovación tecnológica y transformación digital. Implementar el sistema de gestión de Seguridad de la Información ajustado a las necesidades y dimensión de la compañia. Proteger los activos tecnológicos. Identificar y mitigar los riesgos tecnológicos a los que pueda estar expuesta la compañia. Generar una cultura frente a seguridad y manejo de la información. Atender, reportar y gestionar los incidentes relacionados con la seguridad de la información y Ciberseguridad. Garantizar la adecuada gestión de riesgos de Seguridad de la información y Ciberseguridad. Ejecutar las estrategias de acuerdo con los planes de Continuidad ante los escenarios de Seguridad de la información y Ciberseguridad.

La presente política es conocida y suscrita por todo el personal de DATALATINA contemplado en el alcance, conforme a las exigencias de la Gerencia. Esta política será revisada con una periodicidad máxima anual y sus cambios deben ser aprobados por la Presidencia de la compañia.

POLÍTICA GESTIÓN DE SERVICIO La Alta Gerencia de DATALATINA considera que la provisión de servicios a sus clientes es una parte fundamental de su negocio y, por ello la Gestión de los Servicios ocupa un lugar destacado dentro de sus objetivos, razón por

la cual se compromete a velar por su adecuada gestión con el fin de brindar a todos sus grupos de interés las mayores garantías en cuanto a la calidad de los servicios ofertados.

Para desarrollar ésta política, ASIC se compromete a establecer, mantener y mejorar un sistema de gestión del servicio SGS basado en la norma NTC.-ISO/IEC 20000-1 integrado con el SGSI (ISO27001), que cubra de forma adecuada todos los requisitos necesarios para garantizar los servicios SOLUTIONWAY contemplados en el alcance, ofreciendo y gestionando los niveles de calidad requeridos por sus destinatarios de acuerdo a las exigencias contempladas en dicha norma y a las particulares de sus clientes.

DATALATINA para el cumplimiento de los requisitos y la mejora continua establece los siguientes lineamientos:

✓ Asegurar que los servicios estén alineados con las necesidades de sus clientes y usuarios. ✓ Cumplir con todos los requisitos legales, normativos, reglamentarios y contractuales aplicables. ✓ Disponer de personal técnicamente competente y debidamente capacitado para llevar a cabo las tareas con las garantías de calidad exigibles. ✓ Destinar los recursos y medios necesarios para desarrollar los servicios con los niveles de calidad exigidos por sus destinatarios, manteniendo un adecuado balance entre costo y beneficio. ✓ Mantener una buena comunicación entre el personal que participa en la prestación de servicios, los clientes y los usuarios de dichos servicios. ✓ Mejorar la eficacia y eficiencia de los procesos internos de prestación de los servicios. ✓ Establecer un plan de formación y toma de conciencia en materia de gestión de servicios, que ayude a todo el personal relacionado a conocer y cumplir las actividades de gestión de los servicios. (ITIL-ISO 20000-1, PROCESOS y documentación general del SGS) ✓ Asegurar que los requisitos acordados mediante acuerdos de niveles de servicio (SLA’s) con los clientes se cumplan y se mantengan. ✓ Garantizar la eficiencia en la resolución de incidencias reportadas por los clientes y así lograr una alta satisfacción.

La presente política es conocida y suscrita por todo el personal de DATALATINA contemplado en el alcance, conforme a las exigencias de la Presidencia. Esta política será revisada con una periodicidad máxima anual y sus cambios deben ser aprobados por la Presidencia de la Compañia....