Documento de metodología de análisis y gestión de riesgos de una organización

Actividades[pic 1]

Actividad: Elaboración del documento de metodología de análisis y gestión de riesgos de una organización

Imagina que eres el responsable de seguridad de la información de una compañía (CISO) y la dirección te ha encargado que elabores un Plan Director de Seguridad de la Información, una de las decisiones que debes tomar es la elección de una metodología de análisis y gestión de riesgos, que a partir de la aprobación del PDSI será de utilización obligatoria.

El resultado de la elección de la metodología más apropiada deber ser el documento «metodología de análisis y gestión de riesgo», en el que se describe y desarrolla la metodología elegida.

Para elaborar el documento debes estudiar las metodologías de análisis y gestión de riesgos existentes, escoger la más apropiada y adaptarla a las necesidades de la organización.

INTRODUCCIÓN

El Poder Judicial de la Federación cumple una función sustantiva dentro del esquema de gobierno de nuestro país, función que regula la administración de justicia, tarea que ha venido siendo desarrollada en estricto apego al marco legislativo, marco que está en constante cambio en función de las cambiantes circunstancias de la vida civil. En este contexto, el Consejo de la Judicatura Federal (CJF) siendo el órgano que regula a los jueces y magistrados ha ido incorporando las tecnologías de la información para coadyuvar en la realización de su función principal.

En éste marco, las tecnologías de la información han ido adquiriendo un papel cada vez más importante en el manejo de la información jurídica y de los expedientes, hasta el punto en el que sería muy difícil que el Consejo pudiera cumplir con dicha función sin los sistemas de información.

Como cualquier otra organización, en el Consejo de la Judicatura Federal la información es un activo toral, ya que se genera todo el tiempo nueva información que es de carácter trascendental para los quejosos que buscan justicia y que esta información en forma de sentencias representan uno de los bienes de la nación más importantes, la justicia.

Por lo antes mencionado, proteger la información es proteger la justicia. Y para tal efecto es necesario llevar a cabo una planificación de los diferentes factores que pueden afectar a dicha información.

ALCANCE

El presente documento aplica para todas las áreas involucradas en el proceso judicial que tengan interacción con cualquier componente informático y que pudieran verse afectadas si un evento de carácter informático sucediera, entorpeciendo o interrumpiendo dicho proceso y afectando por ende el objetivo principal de la organización, que es la administración de justicia.

ESTADO ACTUAL

• El CJF cuenta con una red privada de nivel nacional (WAN) la cual depende de un único proveedor de servicios de telecomunicaciones.
• El 100% de los servidores y estaciones de trabajo cuentan con el Sistema Operativo Windows en sus diferentes versiones, siendo la mayoría de reciente modelo.
• Se cuenta con un esquema de seguridad perimetral en cada sitio (sede) el cual filtra la información y monitorea las actividades maliciosas, como escaneos o ráfagas de información no permitidas.
• La impresión de documentos es por medio de impresoras de manera local, utilizando los recursos de la red de área local (LAN), contando con mecanismos de cobertura a fallos por un proveedor externo.
• Se tienen 2 centros principales de procesamiento de datos, siendo el de la Ciudad de México el principal, donde está el Sistema Integral de Seguimiento de Expedientes (SISE)
• El perfil de los usuarios es de bajo a medio en cuanto a conocimientos de sistemas de información ya que la mayoría tiene un perfil jurídico (licenciados en derecho).
• Se cuenta con un esquema de usuario de dominio único, sin embargo es común la práctica de prestarse el usuario o dejar la contraseña escrita para que cualquiera que tenga acceso al equipo pueda entrar en la sesión del usuario sin restricción alguna.
• En caso de una contingencia por virus, sólo se cuenta con esquemas reactivos ya que no hay un programa de concientización del usuario final por los riesgos de virus y troyanos existentes.
• Hay sitios dentro de la red que no cuentan con personal de informática y por ende dependen de atención remota en el mejor de los casos.
• No hay mecanismos de respaldo de información en las estaciones de trabajo, únicamente en el sistema central de seguimiento de expedientes.
• No hay un plan de contingencia en caso de una falla masiva y definitiva en el sistema principal (SISE)

FACTORES A CONSIDERAR

• RESPONSABLES DE LAS ÁREAS INVOLUCRADAS EN EL PROCESO

Dirección General de Tecnologías de la Información

Dirección General de Recursos Humanos

Titulares de los Órganos Jurisdiccionales

• COMPONENTES TECNOLÓGICO

Servidores críticos

LAN y WAN

Estaciones de trabajo

Servicios de antivirus

PROCESO PRINCIPAL DEL CJF

Los órganos jurisdiccionales constan de un titular, el cual toma todas las decisiones jurídicas y administrativas dentro del órgano, es quien emite la sentencia en todos los asuntos que pasan por el órgano, existen Juzgados, Tribunales Unitarios y Tribunales Colegiados, estos aceptan los asuntos y los ingresan a través de la Oficina de Correspondencia Común la que determina por medio de un sistema informático, de manera aleatoria a quién le corresponde aceptar un nuevo caso, este sistema puede aceptar asuntos a trámite de manera personal o por medios electrónicos, una vez aceptados por la OCC ésta los remite con el juzgado, el cual le da admisión por medio del sistema principal llamado Sistema Integral de Seguimiento de Expedientes (SISE), ahí se les da lectura y se estudia la manera en cómo se emitirá la sentencia, dentro del sistema hay validaciones, autorizaciones, firmas electrónicas y emisión de sentencias.

...