Auditoría de la Seguridad

Enviado por Freeman Llamozas Escalante • 27 de Diciembre de 2020 • Informe • 2.262 Palabras (10 Páginas) • 131 Visitas

Página 1 de 10

Asignatura	Datos del alumno	Fecha
Auditoría de la Seguridad	Apellidos: Llamozas Escalante	30/11/2020
Nombre: Freeman Hugo

Antecedentes

Comenzaremos realizando el análisis situacional respectivo de la empresa CityCorp (Banca de inversión) destinado a la obtención de fondos para realizar una inversión a medio y largo plazo como objeto principal, una empresa financiera de alcance nacional, cuenta con 23 sucursales en cada una de las provincias del estado, la gerencia de TI esta centralizado en su sede principal (capital del estado), se ha establecido un manual de organización y funciones detallando las características de cada área especifica así mismo, la estructura orgánica de la gerencia de TI a través del organigrama respectivo:

Ilustración 1: Organigrama estructural de la gerencia de informática

[pic 1]

Dentro de lo cual se puede detallar la función principal de cada área específica:

Órgano de dirección

Gerencia de Informática; brindar un óptimo servicio, satisfaciendo necesidades y expectativas de negocios del banco implementados con TI.

Órganos de Apoyo

Oficina de proyectos y procesos de TI; se gestiona la atención de las necesidades y requerimientos de TI del banco, administrar el portafolio de proyectos velando por la asistencia técnica a las unidades orgánicas de la gerencia de informática.
Oficina de seguridad informática; gestionar la seguridad informática del banco, preservando la integridad, disponibilidad y confidencialidad de la información, elaborando políticas, estándares y procedimientos de seguridad informática.

Órganos de línea

Subgerencia arquitectura de TI; gestionar la incorporación de tecnología orientada a la transformación de procesos y servicios del banco, gestionando requerimientos para su operación.
Subgerencia construcción de aplicaciones; proveer los sistemas de información requeridos por el banco garantizando su calidad.
Subgerencia producción; gestionar la administración y operación de la infraestructura brindando el soporte informático.

Organigrama funcional en cumplimiento

Para la adaptación del organigrama funcional con respecto a los estándares internacionales, en nuestro caso la norma ISO 27000, es necesario entender que toda organización recopila, procesa, almacena y transmite información mediante el uso y aplicación de procesos, sistemas, redes y personas internos y externos, siendo estos sus principales activos para lograr los objetivos del banco. Para la modificación del organigrama se deben restructurar algunas áreas incorporando nuevas y modificando las ya mencionadas, se incorporará el área de control interno, manteniendo los órganos de apoyo, los órganos de línea y el órgano direccional; se genera la subgerencia de producción encargada de la implementación de software y hardware en la organización separando estos dos, se coloca como órgano de línea la subgerencia de seguridad informática encargada del control de acceso de los trabajadores, políticas de seguridad, los incidentes y continuidad que se deben seguir para el funcionamiento del negocio, la subgerencia de atención al usuario vera temas tratados con los usuarios internos (software y hardware) y temas relacionados con los usuarios externos relativos a productos que empleen tecnología, mostrando el siguiente diagrama funcional:

Ilustración 2: Organigrama funcional para el cumplimiento de estándares

[pic 2]

Controles generales

Tabla 1: Establecimiento de los controles

Dominios	Objetivos de control	Controles	Uso
Políticas de seguridad	Directrices de la dirección en seguridad de la información	Conjunto de políticas para la seguridad de la información	Establecimiento de estructura jerárquica a través de políticas que cubran los riesgos, de tal forma que todos los trabajadores deben cumplirlas teniendo como referencia la ISO 27000 y sus directivas, cubriendo el activo más importante del negocio, la información.
Revisión de las políticas para la seguridad de la información	La generación de revisiones periódicas de las políticas para la mejora continua del negocio bajo un mismo formato de la organización
Aspectos organizativos de la seguridad de la información	Organización interna	Asignación de responsabilidades para la seguridad de la información	A través del apoyo de la administración se establecen los roles en el ROF describiendo las responsabilidades con respecto a la seguridad de la información
Segregación de tareas	Establecidos en la actualización del MOF para el nuevo organigrama presentado, donde se detalla la autoridad en la toma de decisiones
Seguridad ligada a los recursos humanos	Durante la contratación	Responsabilidades de gestión	Establecimiento de un programa de concientización de la seguridad de la información a nivel gerencial, con capacitación sobre el riesgo en la información, roles y responsabilidades de la seguridad
Concienciación, educación y capacitación en seguridad de la información	Establecimiento de jornadas de capacitación diferenciado las funciones que cumple cada personal, impresión de folletos, aprendizaje online, cuestionarios y la generación de un plan de comunicación; mencionando las responsabilidades personales, generales.
Cese o cambio de puesto de trabajo	Cese o cambio de puesto de trabajo	Mejora en las políticas de acceso ante la finalización de funciones o rotación de personal en distintas áreas; cambiando roles del trabajador y recuperación de activos informáticos.
Gestión de activos	Responsabilidad sobre los activos	Inventario de activos	Actualización del inventario de los activos, mencionando al personal que se le asigno dicho equipo y los eventos que hayan surgido con el activo en el desarrollo de sus funciones
Propiedad de los activos	Establecimiento de responsabilidades de los activos con el personal a cargo, etiquetado de cada activo mediante el establecimiento de códigos, implementar un documento de incidentes de los activos
Clasificación de la información	Directrices de clasificación	actualización de las políticas de clasificación de la información entendiendo que este es el principal activo, siempre buscando la confidencialidad, integridad y disponibilidad.
Etiquetado y manipulado de la información	Generación de un código de etiquetado, permisos de acceso y niveles de clasificación; revisando con las políticas de seguridad.
Control de accesos	Requisitos de negocio para el control de accesos	Política de control de accesos	actualización de la política de control de acceso con respecto a la política de clasificación de la información, protocolos de acceso, establecimiento de un proceso de aprobación de acceso a la información
Control de acceso a las redes y servicios asociados	La sección de redes y telecomunicaciones debe establecer VPN para una mejora en la monitorización de red integral de la organización, generación de políticas de seguridad en la red, mapeo e identificación de equipos
Gestión de acceso de usuario	Gestión de altas/bajas en el registro de usuarios	actualización de los ID de usuarios deshabilitando todos aquellos que ya no cumplen función en la organización para posteriormente su eliminación y entrelazando información con el área de recursos humanos
Gestión de los derechos de acceso asignados a usuarios	Establecimiento de un proceso de revisión de privilegios de usuarios, detallándolo en la directiva de control de actividades
Control de acceso a sistemas y aplicaciones	Restricción del acceso a la información	Actualización del procedimiento para gestionar los derechos de acceso y permisos; incorporación de controles de acceso físico e identificación digital.
Gestión de contraseñas de usuario	Establecimiento de reglas para la edificación de contraseñas, verificación del almacenamiento de forma segura
Seguridad física y ambiental	Áreas seguras	Controles físicos de entrada	Mejoramiento en los controles físicos, incorporación de tecnologías de identificación digital, realización de informas de registro de entradas y salidas
Seguridad de oficinas, despachos y recursos	Establecimiento de controles de seguridad para la sala de servidores, cuarto administrativo y cámaras de seguridad.
Seguridad de los equipos	Seguridad del cableado	La sección de redes y telecomunicaciones establece los criterios para la implementación de cableado de red y permisos en los equipos de telecomunicaciones
Mantenimiento de los equipos	La subgerencia de atención al usuario establece directivas para dar el soporte necesario en coordinación con las demás secciones establecidas
Seguridad en la operativa	Copias de seguridad	Copias de seguridad de la información	Actualización de los periodos de generación de copias de seguridad, estableciendo mejora en las políticas y procedimientos para el guardado en físico y digital.
Gestión de incidentes en la seguridad de la información	Gestión de incidentes de seguridad de la información y mejoras	Responsabilidades y procedimientos	La subgerencia de seguridad informática, establece política y responsabilidades en los procedimientos.
Respuestas a los incidentes de seguridad	La sección de incidentes y continuidad, establece la matriz de riesgos y las vulnerabilidades, se actualiza la documentación de acciones tomadas para resolver los incidentes.
Aspectos de seguridad de la información en la gestión de la continuidad del negocio	Continuidad de la seguridad de la información	Planificación de la continuidad de la seguridad de la información	Establecimiento de los requisitos para la continuidad del negocio, identificación del impacto de incidentes potenciales y generación de planes y simulacros de continuidad
Verificación, revisión y evaluación de la continuidad de la seguridad de la información	Actualización de los métodos de prueba establecidos en el plan de continuidad, cronograma de pruebas para la verificación de la continuidad
Redundancias	Disponibilidad de instalaciones para el procesamiento de la información	Verificación de los controles de seguridad de la información, estableciendo servicios fiables, equipos, servidores y funciones
Cumplimiento	Cumplimiento de los requisitos legales y contractuales	Protección de datos y privacidad de la información personal	Implementación de mecanismos para instruir al personal en el manejo de la información de carácter personal.
Revisiones de la seguridad de la información	Cumplimiento de las políticas y normas de seguridad	El cumplimiento de las políticas debe estar sujeto a verificaciones periódicas por parte de la gerencia de TI

...

Descargar como (para miembros actualizados) txt (16 Kb) pdf (245 Kb) docx (94 Kb)

Leer 9 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

Seguridad en el trabajo en un taladro
Recomendaciones de seguridad para la prevención de riesgos laborales en taladros Generalidades 1. Las poleas y correas de transmisión de los taladros deben estar protegidas

6 Páginas • 1697 Visualizaciones
Sistemas De Gestión De Calidad Y Seguridad Social
SEMANA 1 INTRODUCCION A LOS SISTEMAS DE GESTION DE SEGURIDAD INDUSTRIAL Y SEGURIDAD OCUPACIONAL 1. Una vez que conocemos la evolución de la Salud y

2 Páginas • 3135 Visualizaciones
Normas básicas De Seguridad Industrial
Decálogo de la seguridad industrial 1. El orden y la vigilancia dan seguridad al trabajo. Colabora en conseguirlo. 2. Corrige o da aviso de las

5 Páginas • 3889 Visualizaciones
La seguridad en el transporte por carretera
• Hebillas del cinturón de seguridad de fácil apertura. SEGURIDAD DE BEBES Y NIÑOS La seguridad automovilística es crítica en estos casos, sobre todo

10 Páginas • 1589 Visualizaciones
Seguridad Social En Costa Rica
El Sistema de Seguridad Social en Costa Rica La seguridad social en un concepto amplio esta referido a la protección de los riesgos alrededor de

6 Páginas • 3156 Visualizaciones
Seguridad Industrial
Seguridad Industrial e Higiene: Normas Básicas. Decálogo de la seguridad industrial Orden y limpieza Equipos de protección individual Herramientas manuales Escaleras de mano Electricidad Riesgos

4 Páginas • 2007 Visualizaciones
Higiene Y Seguridad
Mario el hermano de Esperanza contrato a Luna una joven que realiza a diario los procesos de limpieza y desinfección de su sala de belleza.

3 Páginas • 1771 Visualizaciones
Seguridad Nacional
La Seguridad Nacional se refiere a la noción de relativa estabilidad, calma o predictibilidad que se supone beneficiosa para el desarrollo de un país; así

4 Páginas • 1585 Visualizaciones
SEGURIDAD EN ESPACIOS CONFINADOS
SEGURIDAD EN ESPACIOS CONFINADOS PRESENTADO A: SERVICIO NACIONAL DE APRENDIZAJE SENA CUCUTA 23 DE MARZO 2011 TABLA DE CONTENIDO INTRODUCCION DEFINICION. TIPOS DE ESPACIOS CONFINADOS.

15 Páginas • 4117 Visualizaciones
Ley 100/93 SEGURIDAD SOCIAL INTEGRAL
TRABAJO LEY 100/93 SEGURIDAD SOCIAL INTEGRAL ANTECEDENTES En el siglo IXX se crearon los seguros sociales por el canciller OTTO VON BISMAK 1883-Enfermedad. 1884-Accidentes de

7 Páginas • 3864 Visualizaciones