ELABORACIÓN DEL DOCUMENTO DE METODOLOGÍA DE GESTIÓN DE RIESGOS E SEGURIDAD DE LA INFORMACIÓN DE UNA ORGANIZACIÓN
Enviado por amhuerta110212 • 24 de Julio de 2021 • Tarea • 6.521 Palabras (27 Páginas) • 110 Visitas
[pic 1][pic 2][pic 3]
UNIVERSIDAD INTERNACIONAL DE LA RIOJA EN MÉXICO
MAESTRÍA EN SEGURIDAD INFORMÁTICA
ANÁLISIS DE RIESGOS INFORMÁTICOS
PROFESOR: FEDERICO EDUARDO VIDAL MARTÍNEZ
ALUMNO: ANGEL MARIO HUERTA TOVAR
ACTIVIDAD 3: ELABORACIÓN DEL DOCUMENTO DE METODOLOGÍA DE GESTIÓN DE RIESGOS E SEGURIDAD DE LA INFORMACIÓN DE UNA ORGANIZACIÓN.
ÍNDICE
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3
Descripción del caso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Primera Parte. Sistema de gestión de seguridad informática . . . . . . . . . . . . . . . . . . . . . 4
1. Proceso de planificación de SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1 Preparación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.1.1 Compromiso de la Dirección de la entidad con la seguridad informática . . . . . . . 5
1.1.2 Seleccionar y preparar a los miembros del equipo que participará en el diseño e implementación del SGSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.1.3 Recopilar información de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2 Determinación de las necesidades de protección . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.2.1 Caracterización del sistema informático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2.2 Identificación de las amenazas sobre el sistema informático . . . . . . . . . . . . . . . . . 6
1.2.3 Estimación del riesgo sobre los bienes informáticos . . . . . . . . . . . . . . . . . . . . . . . 6
1.3 Establecimiento de los requisitos de Seguridad Informática . . . . . . . . . . . . . . . . . . . 7
1.4 Selección de los controles de Seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.4.1 Políticas de seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.4.2 Medidas y procedimientos de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . 8
1.5 Organización de la seguridad informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.5.1 Organización interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.5.2 Asignación de responsabilidades sobre Seguridad Informática . . . . . . . . . . . . . . 8
1.6 Elaboración del Plan de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Segunda Parte. Estructura y contenido del Plan de Seguridad . . . . . . . . . . . . . . . . . . . 9
1. Alcance del Plan de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2. Caracterización del Sistema Informático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
3. Resultados del Análisis de Riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4. Políticas de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
5. Responsabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
6. Medidas y Procedimientos de Seguridad Informática . . . . . . . . . . . . . . . . . . . . . . . . . . 12
6.1 Control de medios informáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
6.2 Del personal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
6.3 Seguridad de operaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
6.4 Respaldo de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
6.5 Gestión de incidentes de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
INTRODUCCIÓN
Sabemos que la información es el activo más importante de una organización, por ello entendemos la importancia de contar con un sistema sólido para administrarla y protegerla. Para ello podemos apoyarnos en un Sistema de Gestión de Seguridad de la Información, que es básicamente un conjunto de políticas de administración de la información, procedimientos y directrices junto a los recursos y actividades asociados que son administrados colectivamente por una organización, en la búsqueda de proteger sus activos de información esenciales, puede definirse también como un enfoque sistemático para establecer, operar, monitorear, revisar, mantener y mejorar la seguridad de la información de una organización y lograr sus objetivos comerciales y/o de servicio. Teniendo en cuenta que la seguridad de la información es un tema crítico e importante, es necesario conocer este tipo de técnicas o metodologías para poder identificar amenazas o puntos de debilidad en los procesos de la organización o en la infraestructura, perder información o sufrir un ataque puede llegar a ser muy perjudicial para la organización, y traer consecuencias a la misma, desde la pérdida o filtración de información hasta el cese de operaciones debido a malfuncionamiento de la infraestructura a causa de un ataque informático, estas metodologías poseen aparte de procedimientos, una serie de buenas o mejores prácticas que podemos implementar en la organización para reducir considerablemente el peligro de estar expuestos a algún ataque, o en caso de que sea inevitable la incidencia, reducir el impacto al mínimo y proveer un plan de recuperación rápido, para evitar pérdidas a la empresa por el cese de operaciones.
...