Fase 3 - Aplicación de controles necesarios para la protección y mejoramiento del SGSI
Enviado por whmartinezr • 6 de Mayo de 2019 • Informes • 1.750 Palabras (7 Páginas) • 472 Visitas
Fase 3 - Aplicación de controles necesarios para la protección y mejoramiento del SGSI
William Hernando Martínez Rodríguez
Universidad Nacional Abierta y a Distancia – UNAD
Escuela de Ciencias Básicas, Tecnología e Ingeniería
Especialización en Seguridad Informática
Bogotá
2019
Contenido
Introducción 3
Actividades a desarrollar 4
Conclusiones 11
Referencias 12
Introducción
Al paso de los años, en las organizaciones se ha hecho vital el tema de la salvaguarda de la información, para lo cual se hace necesario implementar políticas, procedimientos, métodos y controles que ayuden a mantener la triada de la información establecida por los principios de Confidencialidad, Integridad y Disponibilidad.
Por lo anterior es importante que las organizaciones busquen controles y estándares de protección de la información, a través de los cuales se puedan mejorar las estrategias para controlar o minimizar los riesgos y las vulnerabilidades a los que puede estar expuesta la información.
El presente trabajo fue realizado en base de la norma ISO/IEC 27001:2013, con la cual se establecen los requisitos para el establecimiento, implementación, mantenimiento y mejora continua de un Sistema de Gestión de la Seguridad de la Información y el anexo A el cual contiene los controles de seguridad necesarios para la implementación y la mejora del SGSI.
Actividades a desarrollar
- Listado con los objetivos y recursos que persigue la dirección estratégica.
Con relación a la dirección estratégica, este es el mecanismo para que la organización pueda lograr sus metas y propósitos, acomodándose al medio y buscando la mejora continua en sus procesos.
La alta dirección y los colaboradores en general deben contar con la habilidad de proponer estrategias que ayuden a la organización lograr los objetivos que se hayan propuesto.
Los objetivos de la dirección estratégica están enmarcados en el siguiente desagregado de criterios:
Criterio | Descriptor |
Medibles | contener indicadores para comprobar su cumplimiento |
Específicos | ser claro en lo que se necesita llevar a cabo |
Adecuados | equilibrados con la misión y la visión |
Sucesivos | su cumplimiento debe ser seguido uno de otro objetivo, evitando la sobrecarga y la dificultad de su logro |
Realistas | congruentes de acuerdo a las capacidades de la organización y las condiciones de su entorno |
Desafiantes | deben suponer un desafío para la organización creando la sensación de movilizar al cumplimiento |
Fijados en el tiempo | deben tener un plazo estacional para su cumplimiento |
Naturaleza | Tienen una disyuntiva entre financieros y estratégicos, relacionados con la rentabilidad. |
Horizonte temporal | Están descritos entre la consecución a corto o largo plazo de acuerdo a los resultados exigidos. |
Grado de concreción | Pueden estar definidos en abiertos (mejora día a día) o cerrados (crecimiento 30%, por ejemplo) |
Alcance | Se puede distinguir entre ambiciosos o imposibles, dando la claridad que los objetivos imposibles liberan la creatividad de la organización en la cumplimiento. |
Nivel de implantación | Pueden encontrarse los corporativos y los competitivos, de acuerdo al nivel de organización y al plan estratégico elegido. |
Dentro de la lista de recursos que persigue la dirección estratégica se puede resaltar lo siguiente:
Recurso | Descriptor |
Tangibles | Su naturaleza es de modo material cuya identificación y evaluación es más fácil (equipos, maquinaria, terrenos, etc) |
Intangibles | Su naturaleza es inmaterial y en ocasiones suelen ser más valiosos que los tangibles (creatividad, capacidad de innovación, habilidades tecnológicas, capital humano, etc) |
Humano | Son las habilidades y el esfuerzo productivo de los empleados de la organización. |
2. Listado de acciones del plan del director de seguridad.
El PDS de la información es un conjunto de objetivos, proyectos y actividades obtenidas para el análisis de las necesidades de las organizaciones como parte de la seguridad de la información.
Dentro de las acciones para desarrollar el PDS se encuentran las siguientes enmarcadas en las fases para su elaboración:
Fase | Descriptor |
Fase 1 Conocer la situación actual | Se establece el alcance y la magnitud del proyecto, así como definir los responsables de la gestión de activos de la organización y su valoración preliminar. De igual forma se analiza el cumplimiento de controles de seguridad y se establecen objetivos. |
Fase 2 Conocer la estrategia corporativa de la organización | Se divisan los elementos de la dirección estratégica y los proyectos que se están trabajando, permite llegar a la alineación entre la estrategia de seguridad con la estrategia corporativa. |
Fase 3 Definir proyectos e iniciativas | De acuerdo a toda la información que se ha obtenido, se establecen los proyectos e iniciativas orientados a conseguir un excelente nivel de seguridad. |
Fase 4 Clasificación y priorización de acciones, iniciativas y proyectos | En esta fase después de analizar los proyectos y definir las iniciativas, se establecen la priorización de cumplimiento a corto, mediano y largo plazo. |
Fase 5 Aprobación por la dirección | En esta fase de hará una revisión por la alta dirección de la organización quien deberá aprobar la versión final y comunicar a los demás funcionarios. |
Fase 6 Puesta en marcha / implantación del PDS | Después de aprobado por la dirección el PDS en su implementación se hará una presentación general, se asignaran los roles y responsabilidades y se definirán los periodos de revisión y seguimiento. |
...