La seguridad, los sistemas y la metodología de gestión de riesgos en los programas informáticos
Enviado por Russell2019 • 10 de Junio de 2019 • Tarea • 979 Palabras (4 Páginas) • 509 Visitas
Actividades[pic 1]
Actividad: La seguridad, los sistemas y la metodología de gestión de riesgos en los programas informáticos
El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste en presentar una propuesta que eficiente el involucramiento de todo el personal de la institución hacia la protección de la información del banco.
Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el puesto, debes presentar una estrategia que cubra por lo menos los siguientes puntos:
1. Plazo de implementación: máximo 6 meses.
2. Políticas necesarias.
3. Procesos a realizar.
4. Definición de personas a involucrar.
5. Métrica de evaluación.
El alumno deberá entregar un reporte documental con objetivos, fases, alcances y justificación de la metodología seleccionada.
Propuesta para la protección de la información para el
“Banco Mexicano del Desarrollo”
Contenido
I. Objetivo 3
II. Fases para la protección de la información. 3
III. Alcances de metodología de protección de la información 4
IV. Evaluación de metodología de protección de la información 4
- Objetivo
El uso de las Tecnologías de la Información permiten automatizar procesos, tareas y actividades para agilizar los tiempos de respuesta, reducir costos, hacer eficientes los procesos y generar información para toma de decisiones de cualquier organización, en este sentido, el objetivo de la presente propuesta es protección de la información del “Banco Mexicano del Desarrollo”, a través del análisis e identificación y mitigación de riesgos, es decir identificar la información con la cual se cumplen los objetivos de la empresa e implementar la metodología para garantizar la Confidencialidad, Integridad, Disponibilidad, Autenticidad, Trazabilidad, el Acceso y la Conservación de la Información.
- Fases para la protección de la información.
La seguridad de la información se implementara en las siguientes fases como sigue:
- Alineación de la administración o gestión de riesgos de TI con el negocio conforme a las políticas de la empresa. Realizaremos mesas de trabajo para integrar a la alta dirección del “Banco Mexicano del Desarrollo”, para exponer la necesidad que la seguridad de la información debe formar parte de los procesos de la empresa y se definen riesgos residuales, se alineara la incorporación del referido proceso a la política de la empresa
- Establecimiento del contexto del riesgo, Identificaremos la información con la cual se cumplen los objetivos de la empresa, atendiendo la Misión y Visión de la empresa
- Evaluación de eventos, Identificaremos amenazas y vulnerabilidades con un impacto potencial sobre la información sustantiva de la empresa, tomando en cuenta la política de confidencialidad de la empresa y la política de operación u producción.
- Evaluación de riesgos TI. Deberemos evaluar de forma periódica la posibilidad del impacto de las amenazas y vulnerabilidades identificadas, usando métodos cualitativos y cuantitativos.
- Respuesta a los riesgos. Identificaremos a los gerentes, directores y personal que opera los procesos afectados y notificaremos conforme a las políticas de comunicación los riesgos que garanticen que los controles y las medidas de seguridad mitigan y reducen la exposición a los riesgos de forma periódica,
- Mantenimiento y monitoreo de un plan de acción de riesgos. Asignaremos prioridades y planearemos las actividades de control a todos los niveles para implantar las respuestas a los riesgos que sean necesarias, incluyendo costos y beneficios así como la responsabilidad de la ejecución.
- Alcances de metodología de protección de la información
- Ser una parte integral de todos los procesos de negocio (política de procesos).
- Crear y proteger el valor.
- Formar parte de la toma de decisiones.
- Tratar explícitamente la incertidumbre.
- Ser sistemática, estructurada y oportuna.
- Estar basada en la mejor información posible.
- Ser adaptable.
- Integrar factores humanos y culturales.
- Ser transparente y participada por las partes interesadas de la organización.
- Ser dinámica, iterativa y responde a los cambios.
- Facilitar la mejora continua.
- Evaluación de metodología de protección de la información
Se realizara periódicamente la evaluación de los salvaguardas de la siguiente forma.
Descripción del Activo:______________________________________ | |||||||||
Descripción del riesgo | Mes 1 | ….. | Mes 6 | ||||||
S 1 | S 2 | S 3 | S 4 | S 1 | S 2 | S 3 | S 4 | ||
¿Que? | |||||||||
Confidencialidad | |||||||||
Integridad | |||||||||
Disponibilidad | |||||||||
Autenticidad | |||||||||
Trazabilidad | |||||||||
Acceso | |||||||||
¿Donde? | |||||||||
Conservación Inf, | |||||||||
Infraestructura | |||||||||
…………. |
S1: semana 1
Riesgo mitigado | |
Riesgo materializado |
(¿Como?)
Una vez Implementados los controles se puede Minimizar la probabilidad de la materialización de una amenaza y Disminuir el impacto en las empresas.
...