Auditoría de la Seguridad
Enviado por Freeman Llamozas Escalante • 27 de Diciembre de 2020 • Informe • 2.262 Palabras (10 Páginas) • 130 Visitas
Asignatura | Datos del alumno | Fecha |
Auditoría de la Seguridad | Apellidos: Llamozas Escalante | 30/11/2020 |
Nombre: Freeman Hugo |
- Antecedentes
Comenzaremos realizando el análisis situacional respectivo de la empresa CityCorp (Banca de inversión) destinado a la obtención de fondos para realizar una inversión a medio y largo plazo como objeto principal, una empresa financiera de alcance nacional, cuenta con 23 sucursales en cada una de las provincias del estado, la gerencia de TI esta centralizado en su sede principal (capital del estado), se ha establecido un manual de organización y funciones detallando las características de cada área especifica así mismo, la estructura orgánica de la gerencia de TI a través del organigrama respectivo:
Ilustración 1: Organigrama estructural de la gerencia de informática
[pic 1]
Dentro de lo cual se puede detallar la función principal de cada área específica:
Órgano de dirección
- Gerencia de Informática; brindar un óptimo servicio, satisfaciendo necesidades y expectativas de negocios del banco implementados con TI.
Órganos de Apoyo
- Oficina de proyectos y procesos de TI; se gestiona la atención de las necesidades y requerimientos de TI del banco, administrar el portafolio de proyectos velando por la asistencia técnica a las unidades orgánicas de la gerencia de informática.
- Oficina de seguridad informática; gestionar la seguridad informática del banco, preservando la integridad, disponibilidad y confidencialidad de la información, elaborando políticas, estándares y procedimientos de seguridad informática.
Órganos de línea
- Subgerencia arquitectura de TI; gestionar la incorporación de tecnología orientada a la transformación de procesos y servicios del banco, gestionando requerimientos para su operación.
- Subgerencia construcción de aplicaciones; proveer los sistemas de información requeridos por el banco garantizando su calidad.
- Subgerencia producción; gestionar la administración y operación de la infraestructura brindando el soporte informático.
- Organigrama funcional en cumplimiento
Para la adaptación del organigrama funcional con respecto a los estándares internacionales, en nuestro caso la norma ISO 27000, es necesario entender que toda organización recopila, procesa, almacena y transmite información mediante el uso y aplicación de procesos, sistemas, redes y personas internos y externos, siendo estos sus principales activos para lograr los objetivos del banco. Para la modificación del organigrama se deben restructurar algunas áreas incorporando nuevas y modificando las ya mencionadas, se incorporará el área de control interno, manteniendo los órganos de apoyo, los órganos de línea y el órgano direccional; se genera la subgerencia de producción encargada de la implementación de software y hardware en la organización separando estos dos, se coloca como órgano de línea la subgerencia de seguridad informática encargada del control de acceso de los trabajadores, políticas de seguridad, los incidentes y continuidad que se deben seguir para el funcionamiento del negocio, la subgerencia de atención al usuario vera temas tratados con los usuarios internos (software y hardware) y temas relacionados con los usuarios externos relativos a productos que empleen tecnología, mostrando el siguiente diagrama funcional:
Ilustración 2: Organigrama funcional para el cumplimiento de estándares
[pic 2]
- Controles generales
Tabla 1: Establecimiento de los controles
Dominios | Objetivos de control | Controles | Uso |
Políticas de seguridad | Directrices de la dirección en seguridad de la información | Conjunto de políticas para la seguridad de la información | Establecimiento de estructura jerárquica a través de políticas que cubran los riesgos, de tal forma que todos los trabajadores deben cumplirlas teniendo como referencia la ISO 27000 y sus directivas, cubriendo el activo más importante del negocio, la información. |
Revisión de las políticas para la seguridad de la información | La generación de revisiones periódicas de las políticas para la mejora continua del negocio bajo un mismo formato de la organización | ||
Aspectos organizativos de la seguridad de la información | Organización interna | Asignación de responsabilidades para la seguridad de la información | A través del apoyo de la administración se establecen los roles en el ROF describiendo las responsabilidades con respecto a la seguridad de la información |
Segregación de tareas | Establecidos en la actualización del MOF para el nuevo organigrama presentado, donde se detalla la autoridad en la toma de decisiones | ||
Seguridad ligada a los recursos humanos | Durante la contratación | Responsabilidades de gestión | Establecimiento de un programa de concientización de la seguridad de la información a nivel gerencial, con capacitación sobre el riesgo en la información, roles y responsabilidades de la seguridad |
Concienciación, educación y capacitación en seguridad de la información | Establecimiento de jornadas de capacitación diferenciado las funciones que cumple cada personal, impresión de folletos, aprendizaje online, cuestionarios y la generación de un plan de comunicación; mencionando las responsabilidades personales, generales. | ||
Cese o cambio de puesto de trabajo | Cese o cambio de puesto de trabajo | Mejora en las políticas de acceso ante la finalización de funciones o rotación de personal en distintas áreas; cambiando roles del trabajador y recuperación de activos informáticos. | |
Gestión de activos | Responsabilidad sobre los activos | Inventario de activos | Actualización del inventario de los activos, mencionando al personal que se le asigno dicho equipo y los eventos que hayan surgido con el activo en el desarrollo de sus funciones |
Propiedad de los activos | Establecimiento de responsabilidades de los activos con el personal a cargo, etiquetado de cada activo mediante el establecimiento de códigos, implementar un documento de incidentes de los activos | ||
Clasificación de la información | Directrices de clasificación | actualización de las políticas de clasificación de la información entendiendo que este es el principal activo, siempre buscando la confidencialidad, integridad y disponibilidad. | |
Etiquetado y manipulado de la información | Generación de un código de etiquetado, permisos de acceso y niveles de clasificación; revisando con las políticas de seguridad. | ||
Control de accesos | Requisitos de negocio para el control de accesos | Política de control de accesos | actualización de la política de control de acceso con respecto a la política de clasificación de la información, protocolos de acceso, establecimiento de un proceso de aprobación de acceso a la información |
Control de acceso a las redes y servicios asociados | La sección de redes y telecomunicaciones debe establecer VPN para una mejora en la monitorización de red integral de la organización, generación de políticas de seguridad en la red, mapeo e identificación de equipos | ||
Gestión de acceso de usuario | Gestión de altas/bajas en el registro de usuarios | actualización de los ID de usuarios deshabilitando todos aquellos que ya no cumplen función en la organización para posteriormente su eliminación y entrelazando información con el área de recursos humanos | |
Gestión de los derechos de acceso asignados a usuarios | Establecimiento de un proceso de revisión de privilegios de usuarios, detallándolo en la directiva de control de actividades | ||
Control de acceso a sistemas y aplicaciones | Restricción del acceso a la información | Actualización del procedimiento para gestionar los derechos de acceso y permisos; incorporación de controles de acceso físico e identificación digital. | |
Gestión de contraseñas de usuario | Establecimiento de reglas para la edificación de contraseñas, verificación del almacenamiento de forma segura | ||
Seguridad física y ambiental | Áreas seguras | Controles físicos de entrada | Mejoramiento en los controles físicos, incorporación de tecnologías de identificación digital, realización de informas de registro de entradas y salidas |
Seguridad de oficinas, despachos y recursos | Establecimiento de controles de seguridad para la sala de servidores, cuarto administrativo y cámaras de seguridad. | ||
Seguridad de los equipos | Seguridad del cableado | La sección de redes y telecomunicaciones establece los criterios para la implementación de cableado de red y permisos en los equipos de telecomunicaciones | |
Mantenimiento de los equipos | La subgerencia de atención al usuario establece directivas para dar el soporte necesario en coordinación con las demás secciones establecidas | ||
Seguridad en la operativa | Copias de seguridad | Copias de seguridad de la información | Actualización de los periodos de generación de copias de seguridad, estableciendo mejora en las políticas y procedimientos para el guardado en físico y digital. |
Gestión de incidentes en la seguridad de la información | Gestión de incidentes de seguridad de la información y mejoras | Responsabilidades y procedimientos | La subgerencia de seguridad informática, establece política y responsabilidades en los procedimientos. |
Respuestas a los incidentes de seguridad | La sección de incidentes y continuidad, establece la matriz de riesgos y las vulnerabilidades, se actualiza la documentación de acciones tomadas para resolver los incidentes. | ||
Aspectos de seguridad de la información en la gestión de la continuidad del negocio | Continuidad de la seguridad de la información | Planificación de la continuidad de la seguridad de la información | Establecimiento de los requisitos para la continuidad del negocio, identificación del impacto de incidentes potenciales y generación de planes y simulacros de continuidad |
Verificación, revisión y evaluación de la continuidad de la seguridad de la información | Actualización de los métodos de prueba establecidos en el plan de continuidad, cronograma de pruebas para la verificación de la continuidad | ||
Redundancias | Disponibilidad de instalaciones para el procesamiento de la información | Verificación de los controles de seguridad de la información, estableciendo servicios fiables, equipos, servidores y funciones | |
Cumplimiento | Cumplimiento de los requisitos legales y contractuales | Protección de datos y privacidad de la información personal | Implementación de mecanismos para instruir al personal en el manejo de la información de carácter personal. |
Revisiones de la seguridad de la información | Cumplimiento de las políticas y normas de seguridad | El cumplimiento de las políticas debe estar sujeto a verificaciones periódicas por parte de la gerencia de TI |
...