Análisis de Seguridad de la información y alineamiento estratégico del SGSI
Enviado por gerardomfl • 16 de Septiembre de 2015 • Documentos de Investigación • 3.745 Palabras (15 Páginas) • 130 Visitas
Universidad Don Bosco
Centro de estudios de Postgrado.
Fundamentos de la Seguridad de la Información.
Tema:
Análisis de Seguridad de la información y alineamiento estratégico del SGSI
Materia:
Fundamentos de la Seguridad Informática
Antiguo Cuscatlán, 27 de febrero de 2015
Contenido
Introducción i
Delimitación del tema 2
Justificación del proyecto 2
Objetivos del Proyecto 3
Objetivo general 3
Objetivos específicos 3
Marco de la investigación 3
Metodologías para evaluación de Seguridad Informática 3
CBK 3
Likert 4
SGSI basado en BMIS (Business Model for Information Security) 4
Evaluación de los 10 Dominios de la Seguridad Informática basado en Likert y BMIS 6
Mapa de Procesos 10
Procesos Estratégicos 11
Procesos Operativos 11
Procesos de Apoyo 12
Fichas de Procesos 12
Gestión de Proveedores - Proceso Estratégico 12
Monitoreo de Seguridad de la Base de Datos - Proceso Operativo 13
Gestión de Talento Humano - Proceso de Apoyo 14
Organigrama de Departamento de Seguridad Informática 16
Conclusión 17
Bibliografía 17
Introducción
La alta dirección en las organizaciones está evidenciando las graves repercusiones que puede tener la falta de una eficaz estrategia de seguridad de la información, ya que es un punto clave entre el fracaso o el éxito de la empresa. Es por esto que se necesita tener una mayor comprensión de la forma en que operan las tecnologías de la información y de cómo éstas ayudan a salvaguardar los activos más críticos de la empresa, aumentando la probabilidad de éxito en las empresas competitivas de una manera eficiente y segura.
La dirección ejecutiva, necesita ampliar el gobierno corporativo a TI y proporcionar el liderazgo, las estructuras organizativas y los procesos que garanticen que la seguridad de la información sostiene y propaga los objetivos de la empresa.
La seguridad de la información no es una disciplina aislada, sino debe ser parte integral del gobierno corporativo de la empresa. Los accionistas y las principales partes interesadas en la administración del negocio conforman un grupo cada vez más asertivo preocupado por la buena gestión de sus intereses, esto ha dado lugar a la aparición de los principios para el gobierno corporativo de las empresas.
Un sistema de gestión de la seguridad de la información basado en procesos y enfocado en el negocio es fundamental para el desarrollo de prácticas saludables de control y mecanismos para la supervisión y revisión de la administración de la seguridad.
Planteamiento del problema
En esta época de globalización en donde el acceso a la información está al alcance casi de cualquier persona, la gestión de Seguridad de los Sistemas de Información que nos permita resguardar la información sensible y los activos primordiales que dan la continuidad al negocio, es actualmente una de las principales preocupaciones de cualquier empresa u organización.
El proceso de implementación de un sistema de gestión de la información, es clave para que una organización sea competitiva y confiable ante sus clientes, proveedores, los empleados mismos de la empresa, etc. Para cualquier empresa, la única forma de mantenerse de manera competitiva, es ofrecer un compromiso serio con la calidad de sus procesos y con el manejo de la información tratando siempre de mantener la integridad confidencialidad y disponibilidad de la información. De hecho, cualquier organización, sin importar su tamaño o sector industrial, puede hacerse de un futuro efectivo en el mercado, utilizando un sistema de gestión de la información bien planeado y documentado.
Para que todos estos procesos se puedan realizar dentro de una empresa, las altas gerencias deben reconocer que el activo más preciado de sus instituciones está expuesto ante miles de amenazas que de un momento a otro pueden llegar a atacar sus vulnerabilidades si estas no están identificadas y protegidas. Si al materializarse un ataque debido a que no se logró visualizar con anticipación y mucho menos se logró crear una estrategia de gestión para manejar esos riesgos , la empresa perderá sin lugar a dudas el control de la información , su información estará expuesta ante cualquier ente que pueda hacer mal uso de ella y con esto dejaría de cumplir los principios antes mencionado de la información , algo que se convertirá en un costo monetario que la empresa deberá asumir , un impacto en su imagen , una pérdida de la continuidad de su negocio , en fin.
Hoy en día, una empresa que trabaje con cualquier tipo de entorno informático, desde pequeñas empresas con negocios no relacionados directamente con las nuevas tecnologías hasta grandes de ámbito internacional, está o debería estar preocupada por su seguridad. Y no es para menos pues si tomamos en cuenta el número de amenazas a los entornos informáticos y de comunicaciones crece casi exponencialmente año tras año alcanzando niveles inimaginables hace apenas un tiempo atrás.
Por todo lo anterior se debe reconocer la problemática de seguridad y la necesidad de la implementación de un sistema que nos ayude a gestionar la información en las empresas, estos esfuerzos deben ser reconocidos y apoyados por las altas gerencias en fin de encaminar políticas , inversiones , análisis de riesgos que abonen a garantizar la seguridad de la información. El objetivo de estas propuestas no es otro que el de ayudar a los directivos de las empresas a orientar, desde un punto de vista estratégico, la gestión en materia de Seguridad de la Información. Este nuevo enfoque permite, tal y como señalan los técnicos, planificar con antelación la protección de la empresa, entender las consecuencias y el coste económico de cada decisión y, sobretodo, poder afrontar las inversiones de forma comprensible y justificada.
Finalmente, para gestionar eficientemente la seguridad de la información se requiere que todos los miembros de la empresa como alta gerencia, administración del talento, operaciones y empleados en general tomen conciencia de la importancia de la seguridad de la información y su papel que juega en generar aportes de calidad y eficacia en los servicios críticos de la empresa.
Delimitación del tema
En el siguiente caso de estudio,
...