






Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
Este es un ejercicio del ramo seguridad informática para la universidad Inacap
Tipo: Tesis
1 / 11
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!







Área Informática y Telecomunicaciones Asignatura: Seguridad y Auditoría Informática Sección: 921 - 7V Nombre del académico: Sebastián Doll Larenas Nombre de los integrantes del grupo: Rodrigo Manríquez González Luis Méndez Méndez 25 de mayo de 201 9
La empresa JETBLACK Ltda. se compromete a mantener y mejorar la seguridad de la información junto con la continuidad de sus servicios, de esta forma alinearse con los objetivos estratégicos de la organización y garantizar una actividad ininterrumpida de sus procesos. La política de seguridad de la información de JETBLACK Ltda. se enfoca en asegurar el resguardo de los activos de información y la tecnología utilizada para su procesamiento, de amenazas tanto internas como externas, de orígenes intencionados como accidentales, con el fin de garantizar la integridad, disponibilidad y confidencialidad acorde al marco legislativo vigente. Para respaldar las políticas, la organización incorpora el “Plan de Seguridad de la Información” cuyo enfoque sistemático tiene como fin la disminución y control de los riesgos relacionados con la seguridad de la información, el cual se deberá comunicar y difundir a todas las partes involucradas.
El objetivo de esta gestión es abordar de manera efectiva la protección de la información, para ello es fundamental generar una estrategia de aborde la clasificación e identificación de activos, análisis de los riegos, capacitación del personal y la incorporación de marcos de políticas, estándares y procedimientos para la organización.
Para determinar los activos de información de manera adecuada se aplica el marco metodológico de Magerit 3.0, el cual brinda pautas y elementos estándares para la determinación de activos de la organización. Esta guía facilita la tarea de clasificación y catastro, bajo pautas que respaldan el trabajo a realizar y de esta manera obtener resultados homogéneos aplicado al criterio de activos de la información, los resultados de este análisis se pueden consultar en el Anexo A.
En base a la identificación de activos realizada en el punto anterior, se confecciona una matriz de riesgos a la cual luego de valorizar los activos y determinar el imparto y la probabilidad de consecuencia se determina la magnitud del riesgo en una escala de 1 a 9, el análisis y los resultados correspondientes en el Anexo A.
Todo personal directo de la organización como de cualquier entidad externa que se relacione con activos afectos a riesgos se tiene que considerar dentro de un plan de capacitación. Esta estrategia debe considerar todos los aspectos referentes a sensibilización, capacitación y comunicación de las políticas de seguridad de la información. Para ello se llevará a cabo un programa de tres niveles; sensibilización, entrenamiento y educación, cuyo objetivo es entregar las herramientas necesarias para un óptimo entendimiento y difusión de las políticas.
Para un correcto despliegue de las políticas de seguridad de la información, se adopta como base lo estipulado en la norma estándar NCh-ISO/IEC 27001:2013, la cual permite “proporcionar los requisitos para establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información” (INN, 2013). Cabe señalar el uso de otros marcos de referencia junto a un conjunto de normativas existentes relacionadas con la anterior, con el fin de complementar y establecer los fundamentos en bases estandarizas, que se adapten y logren ser funcionales en relación con la realidad de la institución.
La política de seguridad de la información será aplicada de manera global dentro de la organización e informada a terceros según corresponda, esta será de carácter obligatorio y deberá ejecutarse dentro de los plazos estipulados. A continuación, se explican las áreas en que se clasifican cada política la cual se puede revisar en detalle en el Anexo B.
Las políticas de seguridad en el área de desarrollo aplican las normas necesarias para mantener la integridad durante ciclo de vida del software de origen propio en la organización, no obstante, también considera los desarrollos de terceros que se vallan a integrar.
Las políticas de sistema y soporte proporcionan las normas necesarias para mantener la seguridad e integridad en esta área que se encarga principalmente de mantener los sistemas de información operativos y garantizar un funcionamiento continuo y óptimo.
Es de suma importancia definir políticas asociadas a los usuarios finales, por lo mismo se normaliza el uso de activos que sean susceptibles a vulnerabilidades por el mal uso del personal. Para ello se aborda el manejo de información física, dispositivos electrónicos y el uso de sistemas y servicios.
La aplicación de políticas para la gestión proporciona la seguridad necesaria para la ejecución de los diferentes procesos que aborda la organización, lo cual permite que el área de gestión realizase sus labores bajo un marco normativo que resguarda los activos de información.
Es de suma importancia establecer y describir cada uno de los roles que tengan relación con las políticas de seguridad, con el fin de plasmar las responsabilidades correspondientes y que estas se den a conocer entre todos los involucrados.
otros marcos de referencia para establecer normativas con respaldo en los estándares en materia de seguridad de la información.
La seguridad de la información se debe aplicar a cada activo de este tipo que tenga interacción con los funcionarios o terceros, sistemas de procesamiento de datos o cualquier entidad que se relacione con la organización y la información que maneja. Para ello se implementan las normas necesarias para salvaguardar la confidencialidad, integridad y disponibilidad de estos activos, con el fin de controlar y prevenir riesgos asociados a la seguridad de la información.
La política de seguridad tiene como objetivo salvaguardar la confidencialidad, integridad y disponibilidad de los activos de información, cabe señalar que los objetivos generales que tendrán las políticas específicas dentro de la institución serán los siguientes:
Las políticas de seguridad de información deben seguir la siguiente estructura:
La conformación para las políticas de seguridad se debe basar en el formato institucional incluido en el Anexo B, en el cual se incluye la estructura especificada en el punto anterior.
La política se generará en base a la identificación de los activos de información de la organización, a los cuales se les aplica una metodología para el análisis y evaluación de riesgos para así definir de
manera más precisa las acciones para contrarrestar, gestionar presupuesto para riesgos y los responsables que deban tomar acción.
Para la aprobación de las políticas de seguridad primero deben ser evaluadas por el comité de seguridad de la información para su posterior aprobación, una vez pasado este filtro debe ser revisado por el director de seguridad, el cual deberá observar o corregir cualquier norma de ser necesario. Si llegaran a existir observaciones, estas deben ser atendidas por el comité de seguridad, de caso contrario se darán por aprobadas.
Las políticas serán difundidas por el comité de seguridad de la información, el cual deberá ser publicada en la intranet de la institución, también corresponderá hacer llegar una copia física mediante memorándum a los encargados de cada departamento. En el caso de los terceros que tengan acceso a los activos de información, se deberá crear un nuevo anexo en el contrato para estipular esta normativa, junto con firmar un documento en que se tome conocimiento de esta nueva regulación. Como ultimo medio de difusión se programarán charlas y capacitaciones para todo el personal vigente. En el caso del personal nuevo o que se reincorpore a las funciones, se les deberá hacer la inducción correspondiente antes de integrarse al trabajo.
La revisión de las políticas de seguridad deberá ser efectuadas por el comité de seguridad de la información bajo los siguientes criterios:
Phishing: conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser
Las políticas de seguridad informática son una herramienta fundamental para las empresas de cualquier tipo y tamaño, a la hora de concienciar a su personal sobre los riesgos de seguridad y proporcionar pautas de actuación concretas. Uno de los factores importantes para el desarrollo de las bases de las políticas de seguridad, es la utilización de la ISO 27001 la cual aporta lineamientos claros y sencillos para la implementación de la política de seguridad informática en las Empresas y suministra un punto de partida, haciendo más fácil su establecimiento y adopción para que cualquier empresa pueda tenerla, generando de manera simultánea, una cultura preventiva por medio de estas. Por último, cabe señalar que, dentro de los riesgos de seguridad informática de la empresa, es principalmente, el uso de activos por parte de los empleados, debido al mal uso de los activos y poca educación e interés en adoptar normas de seguridad informáticas. Es por lo mismo, la relevancia que tiene la correcta distribución del documento para que cada funcionario de la empresa quede al tanto de las reglas, normas y protocolos.
Alberto G. Alexander, Ph.D. (s.f.). Análisis y Evaluación del Riesgo de Información: Un Caso en la Banca Aplicación del ISO 27001:2005. Obtenido de http://www.iso27000.es/download/Evaluacion_Riesgo_iso27001.pdf incibe. (s.f.). Plan Director de Seguidad. Obtenido de https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan-director- seguridad.pdf incibe. (s.f.). Plan director de seguridad, políticas de seguridad para la pyme. Obtenido de https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/plan-director- seguridad.pdf INN. (2013). Norma NCh-ISO 27001 Chilena. Santiago: Instituto Nacional de Normalización. Ministerio de Tecnologías de la Información y las Comunicaciones. (17 de Marzo de 2016). Plan de Capacitación, Sensibilización Y Comunicación De Seguridad De La Información. Obtenido de https://www.mintic.gov.co/gestionti/615/articles- 5482_G14_Plan_comunicacion_sensibilizacion.pdf Ministerio del Interior y Seguridad Pública. (3 de Abril de 2018). Política General de Seguridad de la Información. Obtenido de http://www.seguridadpublica.gov.cl/media/2018/12/politicaseguridadinformacion.pdf Mutualidad de Levante. (Marzo de 2018). Politica de Seguridad de la Información. Obtenido de http://www.mutualevante.com/site/wp-content/uploads/2018/03/1444292847-Politica- de-seguridad.pdf Superintendencia de Educación. (1 de Diciembre de 2017). Resolución exenta 826. Obtenido de https://www.supereduc.cl/wp-content/uploads/2017/12/POL%C3%8DTICA-PARA-EL-USO- DE-INTERNET-Y-CORREO-ELECTR%C3%93NICO-INSTITUCIONAL-VERSI%C3%93N- N%C2%B03.pdf