Actividad: La seguridad, los sistemas y la metodología de gestión de riesgos en los programas informáticos

Actividades[pic 1]

Actividad: La seguridad, los sistemas y la metodología de gestión de riesgos en los programas informáticos

El examen de ingreso a la empresa Banco Mexicano del Desarrollo consiste en presentar una propuesta que eficiente el involucramiento de todo el personal de la institución hacia la protección de la información del banco.

Por lo tanto, a efecto de ser uno de los primeros diez candidatos para ganar el puesto, debes presentar una estrategia que cubra por lo menos los siguientes puntos:

1. Plazo de implementación: máximo 6 meses.

2. Políticas necesarias.

3. Procesos a realizar.

4. Definición de personas a involucrar.

5. Métrica de evaluación.

El alumno deberá entregar un reporte documental con objetivos, fases, alcances y justificación de la metodología seleccionada.

Propuesta para hacer más eficiente la participación del personal, enfocada hacia la protección de la información de la empresa Banco Mexicano de Desarrollo, mediante la implementación de la metodología OCTAVE ALLEGRO.

JUSTIFICACIÓN

La metodología que yo escogí es OCTAVE ALLEGRO, pues se enfoca en la identificación, optimización y evaluación de los riesgos de seguridad de la información, a través de una serie de estudios dirigidos y promocionados por un equipo de análisis interdisciplinario de cada una de las unidades o niveles que conforman a la organización y, sobretodo, contar con la participación del departamento de TI. Es decir, que esta metodología se desarrolló para aquellas organizaciones en donde el número de empleados es mayor a 250 y, en donde, su jerarquía es en capas o la estructura organizacional cuenta con varios niveles, como es el caso del Banco Mexicano del Desarrollo.

Por otra parte, otra de las razones por la que escogí esta metodología, se debe principalmente por la facilidad de auto-aplicación; aunque, si la organización se encuentra empleando esta metodología por primera vez o está mejorando sus áreas, requiere brindar la adecuada capacitación a su equipo de evaluación.

Finalmente, como en toda organización o empresa al emplear o implementar esta metodología, sus objetivos principales son: evaluar cualitativamente los riesgos, identificar sus vulnerabilidades y amenazas, así como, mantener su infraestructura informática ante cualquier amenaza y reconocer la(s) consecuencia(s) potencial(es) de ésta última, permitiendo la mitigación del riesgo hacia sus activos más valiosos.

OBJETIVOS

• Diseñar y exponer una propuesta que permita al Banco Mexicano del Desarrollo involucrar a su personal en la protección de la información, dentro de un plazo de implementación de 6 meses.
• Implementar y relacionar la metodología OCTAVE ALLEGRO, como técnica de evaluación y planificación de seguridad de la información en la organización.
• Organizar diversas actividades fundamentadas en la metodología OCTAVE ALLEGRO.
• Identificar la estructura organizacional del Banco Mexicano del Desarrollo.

PLAZO DE IMPLEMENTACIÓN

6 meses

FASES

Desde mi punto de vista, propongo la implementación de esta propuesta en 4 fases que permitan satisfacer, con base en la metodología de OCTAVE ALLEGRO para la seguridad de la información, los procesos estratégicos y de operatividad dentro del Banco en cuestión como se describe a continuación:

• Fase 0: Introducción y capacitación del personal en la metodología a implementar.

Durante esta fase inicial, se pretende dar capacitación al personal, así como, identificar, conformar y establecer los equipos de trabajo en función de la estructura organizacional que podría tener el Banco Mexicano del Desarrollo, mismo que se visualiza en el diagrama siguiente a modo de ejemplo.[pic 2]

[pic 3]

Una vez analizado el diagrama anterior, podemos proceder con el establecimiento de los equipos de trabajo de acuerdo a las 7 áreas que se desprenden de la Gerencia General, y con las cuáles se podrán ir desarrollando las actividades descritas en las siguientes fases.

Es de vital importancia, hacer una serie de reuniones por cada área para llevar a cabo la explicación general de la metodología OCTAVE ALLEGRO, así como, la secuencia de pasos a seguir para su implementación en la organización. Esto, permitirá que el personal involucrado tome conciencia y responsabilidad hacia el reconocimiento, optimización y valoración de su trabajo dentro de la empresa.

• Fase 1: Identificar los activos y sus requisitos de seguridad, así como las amenazas que interfieren.

Para llevar a cabo esta fase, se debe realizar un trabajo en conjunto con los equipos de trabajo que se formaron durante la fase anterior, para facilitar la identificación de los activos dentro de cada una de las áreas correspondientes y que, a su vez, sean documentados adecuadamente.

Es decir, cada área o equipo de trabajo debe centrarse en la localización, identificación, investigación y documentación de los siguientes puntos:

1. Puntualizar cuál es el objetivo comercial y misión de la empresa.
2. Visualizar las zonas de impacto de cada área y documentarlo detalladamente, para poder establecer un rango de prioridad.
3. Definir los elementos o activos que son empleados por cada área para llevar a cabo sus procesos y/u operaciones cotidianas.
4. Determinar los requisitos de seguridad, factores y/o condiciones en las que se encuentran los elementos anteriormente definidos.

• Fase 2: Evaluar la infraestructura de la información para complementar el análisis de amenazas que se realizó previamente en la Fase 1.

Durante esta fase, se debe contar con la información que fue documentada en la fase 1, para llevar a cabo otra serie de actividades que complementen nuestro análisis y permitan examinar la infraestructura con la que cuenta la organización, de manera puntual.

...