ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Implementación del SGSI

Carlos AffleckTarea30 de Noviembre de 2023

2.907 Palabras (12 Páginas)73 Visitas

Página 1 de 12

[pic 1]

ETAPA 4 - IMPLEMENTACIÓN DEL SGSI

[pic 2]

CARLOS ALBERTO BENAVIDES ABRIL

CARLOS JAVIER PEREZ MARIN

JOHANN SEBASTIAN CARDOSO ALFONSO

LAURENTH RAMIREZ VELANDIA

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

2023

ETAPA 4 - IMPLEMENTACIÓN DEL SGSI

CARLOS ALBERTO BENAVIDES ABRIL

CARLOS JAVIER PEREZ MARIN

JOHANN SEBASTIAN CARDOSO ALFONSO

LAURENTH RAMIREZ VELANDIA

Nombre

EDUAR ANTONIO MANTILLA TORRES

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS, TECNOLOGIA E INGENIERIA - ECBTI

ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA

CIUDAD

2023

CONTENIDO

                                                                                                                   pág.

INTRODUCCIÓN        4

OBJETIVOS        6

1.1        OBJETIVOS GENERAL        6

1.2        OBJETIVOS ESPECÍFICOS        6

DESARROLLO DEL TRABAJO        7

Fase 2 HACER: Implementar y operar el SGSI        7

6.        Generar plan de mitigación de riesgos: Aplicar metodología para la mitigación de riesgos identificados.        7

7.        Aplicar plan de mitigación de riesgos: establecer cómo se aplicarán los riesgos en la organización.        8

8.        Implementar controles seleccionados: diseñar los controles a implementar en los activos identificados, buscando reducir los riesgos identificados.        9

9.        Administración de cambio: establece la ruta la gestión de cambios relacionados con el SGSI en la organización.        10

CONCLUSIONES        11

BIBLIOGRAFIA        12

Anexo Documental        12

INTRODUCCIÓN

La seguridad informática es un aspecto fundamental para el funcionamiento de cualquier organización que maneje datos sensibles, como es el caso de BankSecure, un banco de Colombia que ofrece servicios financieros a nivel nacional e internacional. En este trabajo, se presenta una propuesta de mejora para la seguridad informática de BankSecure, basada en el ciclo hacer del modelo PHVA (Planear, Hacer, Verificar, Actuar).

El ciclo hacer consiste en implementar las acciones planificadas para alcanzar los objetivos de seguridad informática establecidos. Estas acciones pueden incluir, entre otras, el desarrollo de políticas, procedimientos, normas, protocolos, controles, auditorías, capacitaciones, simulaciones, pruebas, etc. El ciclo hacer requiere de un seguimiento constante y una documentación adecuada de las actividades realizadas, así como de los recursos utilizados y los resultados obtenidos.

En este trabajo, se describen las principales acciones que se llevaron a cabo en el ciclo hacer para mejorar la seguridad informática de BankSecure, siguiendo las recomendaciones de las normas ISO/IEC 27001 y 27002, que son estándares internacionales para la gestión de la seguridad de la información.

Se detallan los pasos que se siguieron para cada acción, los responsables, los plazos, los indicadores, los riesgos y las medidas de mitigación. Asimismo, se presentan las evidencias que demuestran la ejecución y el cumplimiento de las acciones propuestas. Finalmente, se analizan los beneficios y las dificultades que se encontraron en el proceso de implementación de las acciones de seguridad informática en BankSecure.

 

JUSTIFICACIÓN

La justificación de este trabajo es demostrar la importancia y la efectividad de aplicar el ciclo hacer del modelo PHVA para la seguridad informática de BankSecure, un banco de Colombia que enfrenta diversos desafíos y amenazas en el ámbito digital.

El ciclo hacer permite poner en práctica las acciones planificadas para mejorar la protección de la información y los activos de la organización, así como para cumplir con los requisitos legales y regulatorios vigentes.

El ciclo hacer también facilita el monitoreo y la evaluación de las acciones implementadas, lo que permite identificar las fortalezas y las oportunidades de mejora en el proceso de gestión de la seguridad informática.

Este trabajo busca evidenciar cómo el ciclo hacer contribuye a mejorar el nivel de seguridad informática de BankSecure, mediante la implementación de medidas técnicas, organizativas y humanas, basadas en las mejores prácticas y los estándares internacionales.

Así, se pretende aumentar la confianza y la satisfacción de los clientes, los empleados, los proveedores y los socios de BankSecure, así como reducir los riesgos y los costos asociados a los incidentes de seguridad informática.

Este trabajo también busca generar conocimiento y aprendizaje sobre el ciclo hacer y sus beneficios, así como promover una cultura de seguridad informática en BankSecure y en el sector financiero en general.

OBJETIVOS

Desarrollar en el estudiante destrezas para diseñar sistemas de gestión de seguridad de la información, a partir de estándares, normativas y regulaciones vigentes, permitiéndole proponer soluciones ajustadas a las necesidades de la organización.

  1. OBJETIVOS GENERAL

Evaluar la normativa de seguridad informática, a partir de los estándares, marcos y regulaciones vigentes, basado en el ciclo PHVA como gestor de mejora continua focalizando en Hacer

  1. OBJETIVOS ESPECÍFICOS

Proponer estrategias, políticas y procesos, mediante el uso de estándares y regulaciones de gestión de seguridad informática focalizada el ciclo de Hacer.

DESARROLLO DEL TRABAJO

Fase 2 HACER: Implementar y operar el SGSI

6.        Generar plan de mitigación de riesgos: Aplicar metodología para la mitigación de riesgos identificados.

En concordancia con las actividades realizadas en el punto 4 de la fase de planeación del SGSI de Banksecure, se mencionan los aspectos importantes de la metodología aplicada para los riesgos identificados en dicha fase.

METODOLOGIA DE ANALISIS DE RIESGOS PARA BANKSECURE

Objetivo: formular un plan de mitigación para reducir la criticidad de los riesgos identificados relacionados con la seguridad de la información y proteger los activos críticos de la organización y de sus clientes.

Descripción general del proceso de evaluación y tratamiento de riesgos: Todas las actividades relacionadas a los procesos de evaluación y tratamiento de riesgos se han efectuado bajo la metodología de evaluación y tratamiento de datos de riesgos MAGERIT y lo indicado en la norma ISO 31000.

Metodología Aplicada: Se empleó la metodología MAGERIT para analizar y abordar los riesgos, lo que posibilita la medición de cómo una amenaza afecta un activo en términos económicos. De igual manera, esta metodología sirve para sensibilizar a los encargados de los activos de información acerca de la presencia de riesgos y la importancia de abordarlos de manera oportuna.

Opciones para el tratamiento del riesgo: Las opciones de medidas o enfoques para manejar los riesgos una vez que han sido evaluados son:

  • Aceptar el riesgo: De acuerdo con la metodología, es válido cuando el valor del riesgo carece de importancia para la empresa, por lo tanto, no se implementará ninguna acción. La organización puede elegir aceptar este tipo de riesgos en situaciones en las que la evaluación del riesgo indique un nivel de riesgo bajo, y no haya amenaza inminente de un riesgo elevado que pueda tener un impacto significativo, otra forma de verlo, implica reconocer que el riesgo ha sido identificado y registrado en el proceso de gestión de riesgos, pero no se tomará ninguna acción preventiva. se asume que el riesgo puede materializarse, y se aplicarán medidas específicas solo si llega a ocurrir.

  • Transferir el riesgo: la transferencia de riesgos es una estrategia en la gestión y control de riesgos que involucra la modificación de un contrato para traspasar un riesgo puro de una entidad o responsable a otro, de igual manera considerar que si la entidad ha tomado medidas para reducir el riesgo, si el valor resultante del riesgo sigue siendo considerado "alto riesgo", se deben implementar medidas adicionales. a pesar de que la probabilidad de que ocurra el riesgo sea baja, su impacto podría ser devastador para la empresa si llegara a materializarse.

  • Mitigar el riesgo: Cada uno de los riesgos deben ser tratados para disminuir todos los riesgos a un nivel aceptable u otra categoría controlable, cuando se implemente los controles incluidos en el anexo a de la norma iso 27001:2022 o su marco de implementación iso 27002:2022.
  • Evitar el riesgo: Evitar un riesgo implica eliminar amenazas, actividades o situaciones que puedan afectar negativamente los activos de información de la organización, con el propósito de prevenir por completo la ocurrencia de eventos amenazantes. de igual manera la entidad debe establecer los términos en los cuales la empresa decidirá dejar de llevar a cabo ciertas actividades debido a la alta magnitud del riesgo y los gastos asociados con su tratamiento. esto podría llevar a la opción de subcontratar o delegar ciertas actividades a terceros que estén dispuestos a asumir ese riesgo.

De igual manera, se debe considerar que todos los riesgos hallados e identificados deben tener un tratamiento adecuado hasta que su categoría pueda estar en un nivel aceptable, para el correcto cumplimiento de acuerdo con lo establecido en el SGSI de Banksecure.

Dentro del proceso de aplicación de la metodología de riesgos en Banksecure, se deben tener en cuenta los siguientes ítems relevantes a fin de llevarlo a buen termino:

Responsables de mitigación de riesgos: Cada departamento de Banksecure será responsable de las medidas relacionadas con los riesgos identificados en su área. los departamentos clave incluyen ti, operaciones, cumplimiento y auditoría, recursos humanos y desarrollo de negocios.

...

Descargar como (para miembros actualizados) txt (20 Kb) pdf (342 Kb) docx (413 Kb)
Leer 11 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com