“PROPUESTA DE PLAN DE SEGURIDAD INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”
Enviado por sjaffets2019 • 11 de Mayo de 2019 • Ensayo • 6.983 Palabras (28 Páginas) • 309 Visitas
[pic 1]
ESCUELA DE POSTGRADO NEUMANN
ALUMNOS:
José Lenín, Pereyra Briones
Vilma Aurelia Flores Zapata
Jaffet, Sillo Sosa
“PROPUESTA DE PLAN DE SEGURIDAD
INFORMÁTICA PARA UNA ENTIDAD FINANCIERA”
ASIGNATURA: SEGURIDAD INFORMÁTICA
MAESTRÍA: MAESTRÍA EN TECNOLOGÍAS DE LA INFORMACIÓN
ÍNDICE
ÍNDICE 2
INTRODUCCIÓN 4
1. OBJETIVOS Y ALCANCES 5
2. METODOLOGÍA Y PROCEDIMIENTO DESARROLLADO 5
2.1. METODOLOGÍA CRAMM 5
2.2. PROCESOS O FASES DE CRAMM 6
2.2.1. IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS 6
2.2.2. DE AMENAZAS Y EVALUACIÓN DE LA VULNERABILIDAD 6
2.2.3. CONTRAMEDIDAS SELECCIÓN Y RECOMENDACIÓN 7
3. DIAGNÓSTICO DE LA SITUACIÓN ACTUAL DE LA ADMINISTRACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 8
3.1. EVALUACIÓN 8
3.2. ALCANCES 8
4. SEGURIDAD DE LA INFORMACIÓN 9
4.1. SITUACIÓN ACTUAL 9
4.2. ROLES Y RESPONSABILIDADES DE LA ESTRUCTURA ORGANIZACIONAL DE SEGURIDAD DE INFORMACIÓN 10
4.2.1. INGENIERO DE SEGURIDAD DE LA INFORMACIÓN 10
4.2.2. COMITÉ DE SEGURIDAD 10
4.3. ORGANIZACIÓN DEL ÁREA DE SEGURIDAD INFORMÁTICA PROPUESTA 11
4.3.1. AUDITORES INFORMÁTICOS 11
4.3.2. CUSTODIOS DE INFORMACIÓN 11
4.3.3. ÁREA DE SEGURIDAD DE LA INFORMACIÓN 11
4.3.4. PROPIETARIOS DE LA INFORMACIÓN 11
4.3.5. USUARIOS 11
5. EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES 11
6. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 15
6.1. DEFINICIÓN 15
6.2. CUMPLIMIENTO OBLIGATORIO 15
6.3. ORGANIZACIÓN DE LA SEGURIDAD 16
6.4. EVALUACIÓN DE RIESGO 16
6.5. SEGURIDAD DEL PERSONAL 18
6.5.1. RESPONSABILIDADES DE LOS USUARIOS 18
6.5.2. ENTRENAMIENTO 18
6.6. ADMINISTRACIÓN DE COMUNICACIONES Y OPERACIONES 19
6.7. CONTROL DE ACCESO DE DATOS 19
6.8. DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS 20
6.9. CUMPLIMIENTO NORMATIVO 21
6.9.1. PROTECCIÓN LEGAL 21
6.9.2. NORMATIVIDAD 21
7. PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL 22
7.1. MATRIZ DE APLICACIÓN DE ALTO NIVEL 22
7.2. ETAPAS DE APLICACIÓN 22
7.2.1. IDENTIFICACIÓN DE ACTIVOS 22
7.2.2. VALORACIÓN DE ACTIVOS 23
7.2.3. VALORACIÓN DE AMENAZAS Y VULNERABILIDADES 24
7.2.4. SELECCIÓN DE CONTRAMEDIDAS 25
7.3. CRONOGRAMA DE APLICACIÓN 26
8. CONCLUSIONES Y RECOMENDACIONES 27
9. ENLACES Y REFERENCIAS 28
INTRODUCCIÓN
El presente trabajo se basa en los documentos proporcionados en el curso de Seguridad de la Información de la Maestría en Gestión de Tecnologías de la Información, el cual se estructura de una parte metodológica y otra aplicativa, teniendo en cuenta que el alcance inicial se basa a la aplicación a una entidad financiera y sus posibles complicaciones en cuanto a seguridad.
En la primera parte se desarrolla un debate y priorización de metodologías existentes en priorización de riesgos, luego se escoge una de las metodologías en base a los objetivos y características de la organización.
Así mismo se propone una forma práctica de aplicación de la metodología teniendo en cuenta elementos técnicos para su aplicación, así como recomendaciones generales de la teoría presentada y consultada.
Se menciona que la información presentada no va dirigida a una entidad financiera con nombre propio, ya que al ser información de seguridad se debe tener cuidado en su divulgación. Sin embargo, hay que mencionar que se trata de una Caja de Ahorro y Crédito de operación en el ámbito nacional.
- OBJETIVOS Y ALCANCES
El objetivo principal del presente documento es proponer un Plan de Seguridad Informática para una entidad financiera.
Sin embargo, se han considerado algunos objetivos adicionales que por la naturaleza del trabajo no quedan sin ser expuestos:
- Identificar y valorar vulnerabilidades organizaciones y tecnológicas en cuanto a seguridad de la información.
- Recolectar información acerca del tema de seguridad informática y exponerla de manera clara y precisa.
Lo alcances del presente Plan, son parte de la operatividad organizacional, así mismo se basan en la normativa que rige el ente regulador en cuanto a seguridad de la información, por tanto, este documento se sustenta en lineamientos planteados en la norma ISO 27001:2013 Seguridad de la Información, Análisis de Brechas ISO 27001, ISO 22301, circulares G-140-2009-SBS, G-140-2009-SBS, Ley de Protección de Datos Personales e Implementación del PCI-DSS (Tarjetas de pago).
...