Metodologias de gestion de seguridad de la informacion
Enviado por Luis Ruiz Alvarado • 17 de Julio de 2020 • Ensayos • 2.020 Palabras (9 Páginas) • 200 Visitas
Actividades[pic 1]
Actividad: Gestión de riesgos legales: seguridad jurídica de los proyectos de los programas informáticos
Eres el director de seguridad de la información en una empresa de mantenimiento de computadoras para grandes corporativos, como parte del servicio te llevas las máquinas a tus instalaciones para dar soporte o cambiarlas, generas respaldos de información en diversos medios y cambias equipo obsoleto por nuevo.
Identifica los riesgos en temas de seguridad de la información, privacidad y propiedad intelectual que pueden llegar a suceder, pues tus clientes no eliminan la información no necesaria y te hacen llegar sus equipos de diversas áreas con todo tipo de documentos.
Crea un sistema de gestión de riesgos enfocado a su identificación y atención.
INTRODUCCIÓN
Se entiende por seguridad informática al conjunto de normas, procedimientos y herramientas, que tienen como objetivo garantizar la disponibilidad, integridad, confidencialidad y buen uso de la información que reside en un sistema de información.
Cada día más y más personas mal intencionadas intentan tener acceso a los datos de nuestros ordenadores.
El acceso no autorizado a una red informática o a los equipos que en ella se encuentran pueden ocasionar en la gran mayoría de los casos graves problemas. Una de las posibles consecuencias de una intrusión es la pérdida de datos. Es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de las copias de seguridad.
Otro de los problemas más dañinos es el robo de información sensible y confidencial. La divulgación de la información que posee una empresa sobre sus clientes puede acarrear serios problemas contra esta.
A continuación, veremos de que manera podemos proteger la información de los clientes de una empresa garantizando la confidencialidad, integridad y disponibilidad de los datos, enfocándonos en la privacidad y propiedad intelectual de la información.
SGSI
El Modelo de Seguridad de la Información es el conjunto de procesos, procedimientos, metodologías, principios, políticas, estándares y controles que una empresa adopta para promover la implementación, mantenimiento y mejora continua de un Sistema de Gestión de Seguridad de la Información, basado en mejores prácticas tendientes a preservar la confidencialidad, integridad y disponibilidad de la información, y que nos permiten contar con lineamientos claros para mantener un entorno razonablemente seguro.
Objetivo general
Diseñar un Sistema de Gestión de riesgos para la empresa, que busque mejorar la seguridad informática y la protección de la información de los clientes, además de mantener un ambiente seguro que permita proteger los activos de información para asegurar credibilidad y confianza en los clientes y en general todo el equipo de trabajo.
Objetivos específicos
- Recolectar información sobre las vulnerabilidades, amenazas y riesgos que permitan conocer el estado actual de la seguridad en la empresa.
- Identificar los activos de la información para su clasificación y valoración en el análisis de riesgo.
- Definir controles y planes de mejoramiento que permitan mitigar las causas que originan los riesgos de seguridad que se presentan en la empresa.
- Proteger los recursos de la empresa del uso indebido del personal durante el desempeño de sus funciones.
- Cuidar la información transmitida o almacenada dentro de la empresa contra pérdida o modificación, mediante mecanismos para prevenir que usuarios y atacantes manipulen la información.
Identificación de activos
Se denominan activos a los recursos vitales de la empresa, los cuales son necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
El activo esencial es la información que maneja la empresa; o sea los datos.
Los datos y la información es lo que se pretende proteger en última instancia, es por esto que la información merece ser un poco más detallada para su conocimiento e identificación dentro de la organización.
Servicios: Los servicios son activos importantes porque contribuyen a un aumento en ingresos o utilidades por medio de su empleo en el ente económico, a la vez brindan ventajas de competencia.
Información: La información es el activo más valioso e importante para la empresa porque es la base para la toma de decisiones y definición de nuevas estrategias de negocios.
Equipamientos: Los equipamientos son activos valiosos e importantes para la empresa porque se utilizan para el funcionamiento correcto de la operación diaria de la compañía.
Cada activo tiene una valoración distinta en la empresa, puesto que cada uno cumple una función diferente.
A la vez se utilizan dimensiones que son las características o atributos que hacen valioso un activo, con el fin de valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado con respecto a dicho aspecto.
Escala de valoración de activos
VALOR | CRITERIO | |
5 | Muy alto | Daño muy grave |
4 | Alto | Daño grave |
3 | Medio | Daño importante |
2 | Bajo | Daño menor |
1 | Ninguno | Irrelevante |
Identificación y Valoración de las Vulnerabilidades
El objetivo de este punto es determinar las debilidades de los activos que pueden ser explotados por amenazas. Es necesario conocer de forma detallada las debilidades y medidas de protección, que pueden facilitar el éxito a las amenazas potenciales.
Al igual que los activos las vulnerabilidades deben valorarse y priorizarse, en donde se describe claramente los criterios y la frecuencia de ocurrencia.
...