MICROSITIOS
Julian RomeroTrabajo15 de Septiembre de 2021
8.122 Palabras (33 Páginas)69 Visitas
SGSI - MICROSITIOS
CARLOS ANDRES PEÑUELA MALAVER
OMAR JULIAN ROMERO RODRIGUEZ
UNIVERSIDAD JORGE TADEO LOZANO
INGENIERÍA
SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ
2018
SGSI - MICROSITIOS
IMPLEMENTACIÓN DE SGSI A LA EMPRESA MICROSITIOS
RICARDO ALBERTO DUITAMA LEAL
CISO
CARLOS ANDRES PEÑUELA MALAVER
OMAR JULIAN ROMERO RODRIGUEZ
UNIVERSIDAD JORGE TADEO LOZANO
INGENIERÍA
SEGURIDAD DE LA INFORMACIÓN
BOGOTÁ
2018
TABLA DE CONTENIDO
INTRODUCCIÓN 9
1. CONTEXTO 10
1.1 Entendimiento en la organización y su contexto 10
1.1.1 Nombre. 10
1.1.2 Misión y visión. 10
1.1.3 Objetivo corporativo. 10
1.1.4 Mapa de procesos. 11
1.1.5 DOFA 11
1.2 Expectativas de las partes interesadas 12
1.3 Alcance SGSI 13
2. LIDERAZGO 14
2.1 Liderazgo y compromiso 14
2.2 Política de seguridad 14
2.3 Organización de las redes, responsabilidades y autoridades 14
3. PLANEACION 17
3.1. CONTEXTO DE VALORACION DE RIESGOS 17
3.1.1 ESTRUCTURA INFORME VALORACION RIESGOS 17
3.1.2 IDENTIFICACION DE ACTIVOS 18
3.1.3 ESCALAS PARA CALIFICAR LOS REQUERIMIENTOS DE SEGURIDAD 18
3.1.3.1 Requerimientos de seguridad - Integridad 19
3.1.3.2 Requerimientos de seguridad - Confidencialidad 19
3.1.3.3 Requerimientos de seguridad - Disponibilidad 20
3.1.4 AMENAZAS 20
3.1.5 RIESGOS 23
3.1.6 ESCALA PARA LA MEDICION DE LA PROBABILIDAD 23
3.1.7 ESCALA PARA LA MEDICION DEL NIVEL DE IMPACTO (CONSECUENCIAS) 24
3.1.8 ESCALA PARA EL CÁLCULO DEL RIESGO INHERENTE 25
3.1.9 ESCALA PARA EL CÁLCULO DEL RIESGO RESIDUAL 27
3.1.9.1 Determinación de la efectividad de cada control individual 27
3.1.9.2 Determinación de la efectividad del conjunto de controles 29
3.1.10 VALORACION DE LOS ACTIVOS 30
3.1.11 VALORACION DE RIESGO 30
3.1.12 TRATAMIENTO DE RIESGOS 30
4. SOPORTE 31
4.1 RECURSOS 31
4.2 Competencias 34
4.3 Conciencia 34
4.3.1 Mecanismos de comunicacion 34
4.4 Comuniacion 35
4.4.1 Metodos de comuniacion 35
4.5 Informacion documental 36
4.5.1 Control de versionamiento 36
5. RESULTADOS 37
5.1 SELECCIÓN DE ACTIVOS DE INFORMACIÓN CRÍTICOS 37
5.2 IDENTIFICACIÓN DE VULNERABILIDADES, AMENAZAS Y RIESGOS. 37
5.3 RESULTADO DE LA EVALUACION DE RIESGOS 38
5.4 ANALISIS DEL RIESGO INHERENTE 39
5.5 ANALISIS DEL RIESGO RESIDUAL 40
5.6 CONTROLES DE MITIGACIÓN PROPUESTOS 40
6. CONCLUSIONES 42
LISTAS DE TABLAS
Tabla 1. Análisis DOFA
Tabla 2. Expectativas de las partes interesadas
Tabla 3. Requerimientos de integridad
Tabla 4: Requerimientos de confidencialidad
Tabla 5. Requerimientos de Disponibilidad
Tabla 6. Amenazas
Tabla 7. Riesgos (Impactos)
Tabla 8. Escala de probabilidad
Tabla 9. Escala de impactos
Tabla 10: Cálculo del nivel de riesgo inherente (severidad)
Tabla 11. Interpretación del Nivel de Riesgo Inherente (Severidad)
Tabla 12. Ejemplo del cálculo de riesgo inherente
Tabla 13: Atributos para calificar la efectividad de un control
Tabla 14: Escala interpretar la efectividad de los controles
Tabla 15. Escala para determinar el riesgo residual
Tabla 16. Tabla Valoración de Activos
Tabla 17. Recursos
Tabla 18. Mecanismos de comunicación
Tabla 19. Metodos de comunicación
Tabla 20. Control de versionamiento
LISTA DE FIGURAS
Figura 1. Mapa de proceso desarrollo e implementación de software
Figura 2. Mapa de proceso gestión de la configuración
Figura 3. Organigrama
Figura 4. Estructura Análisis Riesgos
LISTA DE ANEXOS
Anexo A. Matriz de Riesgos Micrositio-2
RESUMEN
Un sistema de gestión de seguridad de la información (SGSI), según la norma une-iso/IEC 27001, es una parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información. Esto significa que se va a dejar de operar de una manera intuitiva y se va a empezar a tomar control sobre lo que sucede en los sistemas de información y sobre la propia información que se maneja en la organización.
...