Docsity
Docsity

Prepara tus exámenes
Prepara tus exámenes

Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity


Consigue puntos base para descargar
Consigue puntos base para descargar

Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium


Orientación Universidad
Orientación Universidad


Problema, Seguridad informática, Tesis de Seguridad Informática

Este es un ejercicio del ramo seguridad informática para la universidad Inacap

Tipo: Tesis

2020/2021

Subido el 29/10/2021

juan-gonzalez-2yp
juan-gonzalez-2yp 🇨🇱

5

(1)

1 documento

1 / 11

Toggle sidebar

Esta página no es visible en la vista previa

¡No te pierdas las partes importantes!

bg1
Área Informática y
Telecomunicaciones
Asignatura: Seguridad y Auditoría Informática
Sección: 921-7V
Nombre del académico: Sebastián Doll Larenas
Nombre de los integrantes del grupo: Rodrigo Manríquez González
Luis Méndez Méndez
25 de mayo de 2019
Planes y Políticas de Seguridad
Blue Team: Herramientas, Planes Y Políticas De
Seguridad
pf3
pf4
pf5
pf8
pf9
pfa

Vista previa parcial del texto

¡Descarga Problema, Seguridad informática y más Tesis en PDF de Seguridad Informática solo en Docsity!

Área Informática y Telecomunicaciones Asignatura: Seguridad y Auditoría Informática Sección: 921 - 7V Nombre del académico: Sebastián Doll Larenas Nombre de los integrantes del grupo: Rodrigo Manríquez González Luis Méndez Méndez 25 de mayo de 201 9

Planes y Políticas de Seguridad

Blue Team: Herramientas, Planes Y Políticas De

Seguridad

    1. Introducción Índice de Contenido
    1. Declaración Institucional
    1. Objetivos de la Gestión de Seguridad de la Información
    • 3.1 Clasificación y Catastro de los Activos de información
    • 3.2 Análisis de Riesgos
    • 3.3 Capacitación del Personal
    • 3.4 Marco de políticas, estándares y procedimientos............................................................
    1. Ámbito de Aplicación de la Política de Seguridad de la Información
    • 4.1 Áreas de Desarrollo
    • 4.2 Área de Sistemas y Soporte
    • 4.3 Usuarios Finales..............................................................................................................
    • 4.4 Área de Gestión
    1. Roles y Responsabilidades
    • 5.1 Director de seguridad
    • 5.2 Comité de seguridad de la información
    • 5.3 Encargados de departamento
    • 5.4 Funcionarios y/o terceros relacionados...........................................................................
    1. Marco General para las Políticas de Seguridad de la Información
    • 6.1 Definición de la Seguridad de la Información
    • 6.2 Objetivos de las políticas de seguridad............................................................................
    • 6.3 Estructura y contenido de las Políticas de Seguridad de la Información
    • 6.4 Formato de las políticas
    • 6.5 Gestación de una política
    • 6.6 Aprobación de una política
    • 6.7 Difusión de una política
    • 6.8 Revisión de una política
    1. Glosario de Términos
    1. Conclusión
    1. Bibliografía

2. Declaración Institucional

La empresa JETBLACK Ltda. se compromete a mantener y mejorar la seguridad de la información junto con la continuidad de sus servicios, de esta forma alinearse con los objetivos estratégicos de la organización y garantizar una actividad ininterrumpida de sus procesos. La política de seguridad de la información de JETBLACK Ltda. se enfoca en asegurar el resguardo de los activos de información y la tecnología utilizada para su procesamiento, de amenazas tanto internas como externas, de orígenes intencionados como accidentales, con el fin de garantizar la integridad, disponibilidad y confidencialidad acorde al marco legislativo vigente. Para respaldar las políticas, la organización incorpora el “Plan de Seguridad de la Información” cuyo enfoque sistemático tiene como fin la disminución y control de los riesgos relacionados con la seguridad de la información, el cual se deberá comunicar y difundir a todas las partes involucradas.

3. Objetivos de la Gestión de Seguridad de la Información

El objetivo de esta gestión es abordar de manera efectiva la protección de la información, para ello es fundamental generar una estrategia de aborde la clasificación e identificación de activos, análisis de los riegos, capacitación del personal y la incorporación de marcos de políticas, estándares y procedimientos para la organización.

3.1 Clasificación y Catastro de los Activos de información

Para determinar los activos de información de manera adecuada se aplica el marco metodológico de Magerit 3.0, el cual brinda pautas y elementos estándares para la determinación de activos de la organización. Esta guía facilita la tarea de clasificación y catastro, bajo pautas que respaldan el trabajo a realizar y de esta manera obtener resultados homogéneos aplicado al criterio de activos de la información, los resultados de este análisis se pueden consultar en el Anexo A.

3.2 Análisis de Riesgos

En base a la identificación de activos realizada en el punto anterior, se confecciona una matriz de riesgos a la cual luego de valorizar los activos y determinar el imparto y la probabilidad de consecuencia se determina la magnitud del riesgo en una escala de 1 a 9, el análisis y los resultados correspondientes en el Anexo A.

3.3 Capacitación del Personal

Todo personal directo de la organización como de cualquier entidad externa que se relacione con activos afectos a riesgos se tiene que considerar dentro de un plan de capacitación. Esta estrategia debe considerar todos los aspectos referentes a sensibilización, capacitación y comunicación de las políticas de seguridad de la información. Para ello se llevará a cabo un programa de tres niveles; sensibilización, entrenamiento y educación, cuyo objetivo es entregar las herramientas necesarias para un óptimo entendimiento y difusión de las políticas.

3.4 Marco de políticas, estándares y procedimientos

Para un correcto despliegue de las políticas de seguridad de la información, se adopta como base lo estipulado en la norma estándar NCh-ISO/IEC 27001:2013, la cual permite “proporcionar los requisitos para establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información” (INN, 2013). Cabe señalar el uso de otros marcos de referencia junto a un conjunto de normativas existentes relacionadas con la anterior, con el fin de complementar y establecer los fundamentos en bases estandarizas, que se adapten y logren ser funcionales en relación con la realidad de la institución.

4. Ámbito de Aplicación de la Política de Seguridad de la Información

La política de seguridad de la información será aplicada de manera global dentro de la organización e informada a terceros según corresponda, esta será de carácter obligatorio y deberá ejecutarse dentro de los plazos estipulados. A continuación, se explican las áreas en que se clasifican cada política la cual se puede revisar en detalle en el Anexo B.

4.1 Áreas de Desarrollo

Las políticas de seguridad en el área de desarrollo aplican las normas necesarias para mantener la integridad durante ciclo de vida del software de origen propio en la organización, no obstante, también considera los desarrollos de terceros que se vallan a integrar.

4.2 Área de Sistemas y Soporte

Las políticas de sistema y soporte proporcionan las normas necesarias para mantener la seguridad e integridad en esta área que se encarga principalmente de mantener los sistemas de información operativos y garantizar un funcionamiento continuo y óptimo.

4.3 Usuarios Finales

Es de suma importancia definir políticas asociadas a los usuarios finales, por lo mismo se normaliza el uso de activos que sean susceptibles a vulnerabilidades por el mal uso del personal. Para ello se aborda el manejo de información física, dispositivos electrónicos y el uso de sistemas y servicios.

4.4 Área de Gestión

La aplicación de políticas para la gestión proporciona la seguridad necesaria para la ejecución de los diferentes procesos que aborda la organización, lo cual permite que el área de gestión realizase sus labores bajo un marco normativo que resguarda los activos de información.

5. Roles y Responsabilidades

Es de suma importancia establecer y describir cada uno de los roles que tengan relación con las políticas de seguridad, con el fin de plasmar las responsabilidades correspondientes y que estas se den a conocer entre todos los involucrados.

otros marcos de referencia para establecer normativas con respaldo en los estándares en materia de seguridad de la información.

6.1 Definición de la Seguridad de la Información

La seguridad de la información se debe aplicar a cada activo de este tipo que tenga interacción con los funcionarios o terceros, sistemas de procesamiento de datos o cualquier entidad que se relacione con la organización y la información que maneja. Para ello se implementan las normas necesarias para salvaguardar la confidencialidad, integridad y disponibilidad de estos activos, con el fin de controlar y prevenir riesgos asociados a la seguridad de la información.

6.2 Objetivos de las políticas de seguridad

La política de seguridad tiene como objetivo salvaguardar la confidencialidad, integridad y disponibilidad de los activos de información, cabe señalar que los objetivos generales que tendrán las políticas específicas dentro de la institución serán los siguientes:

  • Controlar los riesgos que puedan afectar los activos de la información.
  • Asegurar el funcionamiento de los procesos de la organización al resguardar los activos de información.
  • Cumplir con normas y estándares reconocidos internacionalmente.
  • Gestionar la relación con terceros de la organización.
  • Mantener una seguridad física y lógica.
  • Gestionar los activos de la organización.
  • Mantener un control de acceso tanto físico como lógico.
  • Gestionar la seguridad en las comunicaciones.
  • Categorizar el tipo de información que se maneja en relación con su importancia y confidencialidad.
  • Definir los roles y responsabilidades en función a la seguridad de la información.
  • Establecer las responsabilidades por incumplimiento de las políticas.

6.3 Estructura y contenido de las Políticas de Seguridad de la Información

Las políticas de seguridad de información deben seguir la siguiente estructura:

  1. Políticas de seguridad
  2. Roles y responsabilidades
  3. Responsabilidad por incumplimiento
  4. Control documental

6.4 Formato de las políticas

La conformación para las políticas de seguridad se debe basar en el formato institucional incluido en el Anexo B, en el cual se incluye la estructura especificada en el punto anterior.

6.5 Gestación de una política

La política se generará en base a la identificación de los activos de información de la organización, a los cuales se les aplica una metodología para el análisis y evaluación de riesgos para así definir de

manera más precisa las acciones para contrarrestar, gestionar presupuesto para riesgos y los responsables que deban tomar acción.

6.6 Aprobación de una política

Para la aprobación de las políticas de seguridad primero deben ser evaluadas por el comité de seguridad de la información para su posterior aprobación, una vez pasado este filtro debe ser revisado por el director de seguridad, el cual deberá observar o corregir cualquier norma de ser necesario. Si llegaran a existir observaciones, estas deben ser atendidas por el comité de seguridad, de caso contrario se darán por aprobadas.

6.7 Difusión de una política

Las políticas serán difundidas por el comité de seguridad de la información, el cual deberá ser publicada en la intranet de la institución, también corresponderá hacer llegar una copia física mediante memorándum a los encargados de cada departamento. En el caso de los terceros que tengan acceso a los activos de información, se deberá crear un nuevo anexo en el contrato para estipular esta normativa, junto con firmar un documento en que se tome conocimiento de esta nueva regulación. Como ultimo medio de difusión se programarán charlas y capacitaciones para todo el personal vigente. En el caso del personal nuevo o que se reincorpore a las funciones, se les deberá hacer la inducción correspondiente antes de integrarse al trabajo.

6.8 Revisión de una política

La revisión de las políticas de seguridad deberá ser efectuadas por el comité de seguridad de la información bajo los siguientes criterios:

  • Actualización anual, en diciembre de cada año se deberá realizar una reevaluación de las políticas junto con su actualización correspondiente.
  • En el caso que se vulnere la seguridad de la información, se deberá reevaluar y corregir si corresponde la política que se vea involucrada.
  • Por cambios en la legislación que requieran una modificación en las políticas.
  • Por cambios en los factores ambientales externos que puedan afectar a los activos de información.
  • Por cambios en la tecnología que repercutan en los activos de la información.
  • En el caso que se realicen modificaciones de los procesos internos de la organización.
  • Por los cambios en el contrato con terceros de la organización o el termino de estos mismos.
  • Por solicitud de los puestos directivos de la organización, previa evaluación del director de seguridad.

7. Glosario de Términos

Phishing: conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser

8. Conclusión

Las políticas de seguridad informática son una herramienta fundamental para las empresas de cualquier tipo y tamaño, a la hora de concienciar a su personal sobre los riesgos de seguridad y proporcionar pautas de actuación concretas. Uno de los factores importantes para el desarrollo de las bases de las políticas de seguridad, es la utilización de la ISO 27001 la cual aporta lineamientos claros y sencillos para la implementación de la política de seguridad informática en las Empresas y suministra un punto de partida, haciendo más fácil su establecimiento y adopción para que cualquier empresa pueda tenerla, generando de manera simultánea, una cultura preventiva por medio de estas. Por último, cabe señalar que, dentro de los riesgos de seguridad informática de la empresa, es principalmente, el uso de activos por parte de los empleados, debido al mal uso de los activos y poca educación e interés en adoptar normas de seguridad informáticas. Es por lo mismo, la relevancia que tiene la correcta distribución del documento para que cada funcionario de la empresa quede al tanto de las reglas, normas y protocolos.

9. Bibliografía

Alberto G. Alexander, Ph.D. (s.f.). Análisis y Evaluación del Riesgo de Información: Un Caso en la Banca Aplicación del ISO 27001:2005. Obtenido de http://www.iso27000.es/download/Evaluacion_Riesgo_iso27001.pdf incibe. (s.f.). Plan Director de Seguidad. Obtenido de https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_plan-director- seguridad.pdf incibe. (s.f.). Plan director de seguridad, políticas de seguridad para la pyme. Obtenido de https://www.incibe.es/sites/default/files/contenidos/politicas/documentos/plan-director- seguridad.pdf INN. (2013). Norma NCh-ISO 27001 Chilena. Santiago: Instituto Nacional de Normalización. Ministerio de Tecnologías de la Información y las Comunicaciones. (17 de Marzo de 2016). Plan de Capacitación, Sensibilización Y Comunicación De Seguridad De La Información. Obtenido de https://www.mintic.gov.co/gestionti/615/articles- 5482_G14_Plan_comunicacion_sensibilizacion.pdf Ministerio del Interior y Seguridad Pública. (3 de Abril de 2018). Política General de Seguridad de la Información. Obtenido de http://www.seguridadpublica.gov.cl/media/2018/12/politicaseguridadinformacion.pdf Mutualidad de Levante. (Marzo de 2018). Politica de Seguridad de la Información. Obtenido de http://www.mutualevante.com/site/wp-content/uploads/2018/03/1444292847-Politica- de-seguridad.pdf Superintendencia de Educación. (1 de Diciembre de 2017). Resolución exenta 826. Obtenido de https://www.supereduc.cl/wp-content/uploads/2017/12/POL%C3%8DTICA-PARA-EL-USO- DE-INTERNET-Y-CORREO-ELECTR%C3%93NICO-INSTITUCIONAL-VERSI%C3%93N- N%C2%B03.pdf