Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Cuestionario - semana 01, Ejercicios de Seguridad Informática

Cuestionario - semana 01 / tarea semana s09

Tipo: Ejercicios

2022/2023

Subido el 28/05/2023

gustavo-fernandez-aquino
gustavo-fernandez-aquino 🇵🇪

1 documento

1 / 5

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
UNIVERSIDAD TECNOLÓGICA DEL PERÚ – UTP
SEGURIDAD DE LA INFORMACIÓN
📝 Semana 07 - Tema 01: Tarea - Implementación del
modelo SGSI”
Docente:
JOSE YONY ADRIANZEN MASIAS
Alumno:
Gustavo Jonathan Fernández Aquino
AÑO 2023
Seguridad informática Página 1 de 5
pf3
pf4
pf5

Vista previa parcial del texto

¡Descarga Cuestionario - semana 01 y más Ejercicios en PDF de Seguridad Informática solo en Docsity!

UNIVERSIDAD TECNOLÓGICA DEL PERÚ – UTP

SEGURIDAD DE LA INFORMACIÓN

“📝 Semana 07 - Tema 01: Tarea - Implementación del

modelo SGSI”

Docente:

JOSE YONY ADRIANZEN MASIAS

Alumno:

Gustavo Jonathan Fernández Aquino

AÑO 2023

Yo considero que identificar las consideraciones que se deben tener para implementar un SGSI son mucho más fáciles de explicar si partimos desde el ciclo DEMING del mismo. Así pues, lo explicaré según las fases de PDCA. En la fase de PLANEACIÓN:  Comprensión de la organización: Se debe analizar los factores externos e internos que influyen en el alcance de los objetivos del SGSI.  Determinar el alcance del SGSI.  Liderazgo y compromiso: Los directivos deben mostrarse líderes comprometidos con el éxito del SGSI.  Política de SI: Se debe aplicar un proceso de evaluación de riesgos (criterios de riesgos, identificación de riesgos, análisis de riesgos). En la fase de HACER:  Se debe implementar el plan de tratamiento de seguridad de los riesgos vistos en la fase de planeación.  Se debe documentar los resultados obtenidos de dicha implementación del tratamiento de seguridad de riesgos. En la fase VERIFICAR:  Se debe auditar internamente y periódicamente.  El SGSI debe cumplir con los requisitos propios de la organización.  Cada auditoría debe tener definidos sus criterios y alcance. En la fase de ACTUAR:  Se debe analizar si es necesario revisar la no conformidad a fin de que no vuelva a ocurrir en el futuro. Además, según el material se deben tener en cuenta estas recomendaciones:  La seguridad debe ser inherente a los procesos de información y del negocio.  La concienciación del empleado por la seguridad Principal objetivo a conseguir.  Realización de comités a distintos niveles (Operativos, de dirección, etc.) congestión continua.  La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.  La seguridad no es un producto, es un proceso. Adicional a ello, consultando diversos portales web vi que coincidían en estas consideraciones:

3. Análisis de brecha (GAP) El análisis de brechas o GAP Análisis es un estudio preliminar que permite conocer la forma en la que se desempeña una organización en materia de seguridad de la información, con relación a las mejores prácticas reconocidas en la industria; para ello se utilizan criterios establecidos en normas o estándares. El análisis establece la diferencia entre el desempeño actual y el deseado. Aunque este análisis es aplicable a cualquier estándar certificable, normalmente se lleva a cabo para nuevos esquemas de certificación, que son los que más dudas generan en las organizaciones, debido a su novedad. 4. Análisis de Impacto al Negocio (BIA) El análisis de impacto al negocio (BIA por las siglas en inglés) es un elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún incidente o un desastre. Tiene dos objetivos principales, el primero de ellos consiste en proveer una base para identificar los procesos críticos para la operación de una organización y la priorización de ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad. El BIA está directamente relacionado con los aquellos procesos que poseen un tiempo crítico para su operación, porque si bien, todos los procesos sujetos a un tiempo crítico son demisión crítica, no todos los procesos de misión crítica están relacionados con un tiempo crítico para su ejecución. 5. Recursos: tiempo, dinero y personal Con base en los resultados del análisis de brecha y del impacto al negocio, es posible estimar elementos necesarios para la implementación de ISO/IEC 27001. En caso de tratarse del primer ciclo de operación, el momento sugerido para la implementación de la norma es un periodo con una carga de trabajo menor, que permita una planificación adecuada o, en caso de ser necesario, contratar nuevo personal enfocado a esta tarea. Es recomendable que el tiempo dedicado al sistema de gestión no exceda un periodo mayora un año antes de que se cumpla su primer ciclo, esto debido a distintas razones como los continuos cambios en los riesgos, cambio en las prioridades de la dirección con respecto a la protección de activos, aparición de nuevas amenazas, entre otras.

El análisis también permite estimar los recursos financieros necesarios para alcanzar el estado deseado en materia de seguridad de la información, conforme a ISO 27001. Se debe tener en mente que durante la implementación se deberán destinar recursos para implementar controles técnicos, físicos o administrativos, conforme a los resultados de una evaluación de riesgos. Por otro lado, la organización debe contar con personal idóneo para llevar a cabo las actividades técnicas y administrativas relacionadas con el sistema de gestión, por lo que puede optar por capacitar a miembros de la organización o contratar los servicios de personal externo que colabore para los objetivos planteados en el SGSI.

6. Revisión de los estándares de seguridad Otra actividad útil previa de la implementación del SGSI está relacionada con conocer el contenido y la estructura del estándar ISO/IEC 27001, así como de los estándares que conforman la serie 27000. De manera específica, una tarea necesaria consiste en conocer ISO/IEC 27000, que permite conocer los principios en los cuales se fundamenta la implementación de un SGSI. ISO/IEC 27000 contiene el glosario de todos los términos utilizados en la serie 27000, un resumen general de esta familia de estándares, así como una introducción al SGSI. Este estándar adquiere mayor relevancia, ya que se convierte en la única referencia normativa de la nueva versión de ISO/IEC 27001