De acuerdo al documento El Sistema de Gestin de Seguridad
de la Informacin Norma UNE-ISO/IEC 17799, subido en el EVA. (4 puntos) 1. ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestin de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organizacin. Esta norma establece diez dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin, de estos Usted debe revisar el primer y segundo dominio de control. Usted como responsable a iniciar la gestin de seguridad en una organizacin, responda las siguientes preguntas con fundamento: Dominios de control Para implementar dos de los diez dominios de control se tiene los siguientes pasos segn las normas Norma UNE-ISO/IEC 17799, del documento subido en el EVA. 1. Poltica de seguridad El documento de la poltica de seguridad de la informacin debiera enunciar el compromiso de la gerencia y establecer el enfoque de la organizacin para manejar la seguridad de la informacin. El documento de la poltica debiera contener enunciados relacionados con: a. una definicin de seguridad de la informacin, sus objetivos y alcance generales y la importancia de la seguridad como un mecanismo facilitador para intercambiar informacin (ver introduccin); b. un enunciado de la intencin de la gerencia, fundamentando sus objetivos y los principios de la seguridad de la informacin en lnea con la estrategia y los objetivos comerciales; c. un marco referencial para establecer los objetivos de control y los controles, incluyendo la estructura de la evaluacin del riesgo y la gestin de riesgo;
d. una explicacin breve de las polticas, principios,
estndares y requerimientos de conformidad de la seguridad de particular importancia para la organizacin, incluyendo: 1. conformidad con los requerimientos reguladores y restrictivos,
legislativos,
2. educacin, capacitacin y conocimiento de seguridad,
3. gestin de la continuidad del negocio, 4. consecuencias de las violaciones de la poltica de seguridad de la informacin; e. una definicin de las responsabilidades generales y especficas para la gestin de la seguridad de la informacin incluyendo el reporte de incidentes de seguridad de la informacin; f. referencias a la documentacin que fundamenta la poltica; por ejemplo, polticas y procedimientos de seguridad ms detallados para sistemas de informacin especficos o reglas de seguridad que los usuarios debieran observar. 2. Organizacin de la seguridad de la informacin Los lineamientos para la implementacin deberan ser: a. Asegurar que los objetivos de seguridad de la informacin estn identificados, cumplan con los requerimientos organizacionales y estn integrados en los procesos relevantes. b. Formular, revisar y aprobar la poltica de seguridad de la informacin. c. Revisar la efectividad de la implementacin de la poltica de seguridad de la Informacin. d. Proporcionar una direccin clara y un apoyo gerencial visible para las iniciativas de seguridad; e. Proporcionar los recursos necesarios para la seguridad de la informacin; f. Aprobar la asignacin de roles y responsabilidades especficas para la seguridad de la informacin a lo largo de toda la organizacin; g. iniciar planes y programas para mantener la conciencia de seguridad de la informacin; h. Asegurar que la implementacin de los controles de seguridad de la informacin sea coordinada en toda la organizacin.
La gerencia debiera identificar las necesidades de consultora
especializada interna o externa para la seguridad de la informacin, y revisar y coordinar los resultados de la consultora a travs de toda la organizacin. Dependiendo del tamao de la organizacin, estas responsabilidades podran ser manejadas por un foro gerencial dedicado o por un organismo gerencial existente, como la junta de directores. La organizacin de la cual se va a utilizar para este ensayo es la empresa SALINAS RAMON CONSTRUCTORES CIA. LTDA. Se describe la forma como se implementar los dos de los diez dominios de control segn las normas descritas anteriormente. 1. Polticas de seguridad de la informacin. Definicin. La seguridad de la informacin dentro de la organizacin debe garantizar que la informacin de procesos, actividades, datos, modelo de trabajo, polticas y procesos se encuentre protegidas. Objetivo. El principal objetivo de este proceso es el de proteger todos los datos que la empresa posee de cada una de sus actividades, no sean vulnerados y de esta manera lograr que esta se encuentre protegida ya que la informacin de cmo se desarrollan las actividades son un activo muy importante. Alcance. Las polticas de seguridad debe garantizar que, dentro de todos los niveles de la organizacin, la informacin se mantenga de segura. Estas polticas sern aplicables a todos los individuos que se encuentren laborando dentro de la misma y tambin se debe garantizar que estas no sean divulgadas luego que el personal deje de laborar. Importancia. Es de vital importancia que cada uno de los procesos que se realicen dentro de la organizacin se encuentren protegidas ya que son la base de cada proceso que la misma realiza y son propias de la organizacin, estas son creadas por el personal que labora dentro de esta. Entonces es importante mantener segura esta informacin. La informacin se debe proteger con la utilizacin de las normas y leyes que existen en el pas para logra el objetivo de proteger esta, las estrategias creadas para logra el desarrollo de la organizacin ha requerido de un gran esfuerzo econmico e intelectual dentro de est, por lo tanto, es un deber de la administracin de la empresa crear las normas necesarias para poder proteger dicha informacin. Las decisiones tomadas por la
gerencia deben ser de aplicacin inmediata a cada uno de los
integrantes que se encuentren dentro de esta y con el uso de normas y leyes vigentes lograr que el personal que salga de la empresa, no divulgue informacin que haya adquirido durante el tiempo que laboro dentro de esta empresa. El marco referencial para lograr el objetivo, se debe tener una lista clara de las normas y leyes existentes dentro de la legislacin ecuatoriana, para lograr que cada miembro de la organizacin no divulgue datos que sean considerados privados, un marco conceptual (ejemplo: construccin de obras: actividades para lograr una rpida ejecucin de estas), dentro de este marco se debe describir todas las actividades crticas y de esta manera logra una base de informacin a ser protegida. Dentro del marco referencial, se debe tener claro que normativa se va a plantear para logra proteger la informacin. Las polticas de seguridad que la empresa posee son muy bsicas solo se realiza mediante artculos especficos en el tipo de contrato que se realiza con cada miembro que conforman la empresa. 2. Organizacin de la seguridad de la informacin Para lograr el objetivo de organizar la informacin se debe tener un anlisis de toda la informacin, para que esta pueda estar organizada. La gerencia deber aprobar el sistema de proteccin de la informacin que se plantee por parte de grupo tcnico encargado del anlisis. Con las pruebas del sistema de seguridad de la informacin planteado, se podrn conocer si el sistema que se propone resultara de utilidad para la organizacin, si este ser efectivo y no presente fallas. Se deber tener claras las normas legales y de manejo de las TIC que se proponga para la utilizacin de la informacin. Se deber tener aprobada la forma en la cual se va a manejar la informacin, este ser aprobado por parte del personal encargado del manejo de la organizacin, luego de esta aprobacin se deber dar inicio al sistema planteado para controlar la seguridad de la informacin y se deber asegurar que la implementacin sea coordinada con los objetivos de la organizacin. Se deber realizar planes y programas para poder concienciar al personal sobre la importancia de la seguridad de la informacin dentro de la empresa.
Respuestas a preguntas segn la descripcin anterior
a. Qu poltica de seguridad planteara en su organizacin para preservar la confidencialidad de la informacin? Ya que la informacin es uno de los activos ms valiosos para una organizacin se debe implementar una adecuada norma que controle la perdida de la misma ya sea a nivel interno o externo. Para preservar la confidencialidad de la informacin dentro de la empresa se la realizara aplicando normas extras en el acceso a las aplicaciones tecnolgicas, en las aplicaciones nuevas aplicaciones se deber tener un nuevo sistema se gestin de TIC para que en esta se pueda plantear las normas de seguridad de acuerdo a las tecnologas existentes. En la parte legar se deber tener la asesora de un profesional en leyes para con el uso de un marco legar poder comprometer al personal que labora dentro de la empresa a que luego que sean desvinculados de la misma se mantenga la confidencialidad de la informacin que hayan adquirido durante la gestin realizada dentro de la empresa. La principal medida para preservar la confidencialidad de la informacin se deber realizar un plan de manejo de esta, ya que con esto se lograr que solo el personal autorizado pueda tener acceso a la informacin de acuerdo a la actividad que dicho personal ejecute dentro de la empresa. b. Qu poltica de seguridad planteara en su organizacin para preservar la integridad de la informacin? Con la utilizacin de la normativa legal en la forma descrita en el punto anterior se podr proteger la informacin. Adems de la utilizacin de un plan de manejo de la informacin en el cual este descrito que personal y a que informacin debe tener acceso, ya sea mediante el uso de tecnologa o con el manejo fsico de documentos. A cada persona se le asignara las responsabilidades de preservar la informacin a cada persona entregada. La informacin que con el uso de tecnologas se pueda manejar, se puede plantear que:
Se deber asignar responsabilidades al personal que
maneja la informacin.
El personal tendr la factibilidad de subir informacin al
sistema informtico.
La informacin deber ser verificada y revisada por el
personal encargado antes de subirle al sistema.
Una vez subida la informacin solo podr ser modificada por
el personal de alta gerencia.
Solo informacin de poca importancia podra ser manejada
(subida, modificada) por el personal que labora en la empresa
El sistema se encargar de realizar copias de seguridad de
acuerdo a la programacin que en el anlisis de creacin de sistema se haya propuesto. Cada archivo o informacin subida a un sistema informtico creara una copia automticamente, si esta informacin es modificada el sistema enviara esta informacin a una copia especial para luego de ser revisada por el personal autorizado se pueda dar de baja, la nueva informacin ser la que el sistema oficialmente presente. Con esta medida se podr verificar si el cambio en la informacin no afecta a la integridad de los datos que la empresa posee.
c. Qu poltica de seguridad planteara en su organizacin
para preservar la disponibilidad de la informacin? Para garantizar que la informacin est disponible para cuando se la necesite el sistema informtico que se plantee para la empresa, deber poseer todos los documentos que la empresa maneje en forma electrnica, ya sean que estos se generen dentro del sistema o si esto se encuentran en forma fsica se deber digitalizarlos (escanearlos), y el sistema deber posee la capacidad de poder presentarlos y que estos sean asequibles desde cualquier lugar, mediante el uso de la red sea esta interna o externa. Para mantener la seguridad de estos datos se deber implantar las seguridades necesarias para que estos no sean mal utilizados por otro personal no autorizado. Algunas caractersticas para mantener la seguridad serian:
Solo el personal autorizado podr subir informacin al
sistema.
Se deber plantear las medidas de seguridad para cada tipo
de informacin.
Se deber tener toda la informacin en forma electrnica,
en sus diferentes formas.
Se deber implementar las normas legales de acuerdo a la
normativa legal existente en el pas.
Tener un sistema estable en lo que se refiere a TIC para que
la informacin se pueda acceder cuando se necesario sin tener retados en la entrega de la misma.
Los controles que se implementen debern ser coordinados
por la organizacin.
Se deber a capacitar al personal sobre la forma en que se
maneja y como se manejar la informacin dentro de la organizacin
Aprobar los planes de manejo propuesto.
d. Qu estructura organizativa propondra dentro de la
organizacin que defina responsabilidades que en materia de seguridad tiene cada rea de trabajo relacionada con los sistemas de informacin? La estructura que se propondra para el sistema de control de la informacin seria:
Primer nivel en el cual se puede tener acceso a toda la
informacin estara a cargo de los altos directivos.
Los tcnicos encargados del manejo de las TIC sern los
encargados del manejo de la informacin, con la respectiva supervisin de los altos directivos, estos no podrn cambiar la informacin con los cambios pudieran realizar esta estar a cargo del primer nivel de manejo. Este nivel solo podr cambiar la informacin que de acuerdo al anlisis del manejo de la informacin se les designe.
El personal administrativo se encontrar en el tercer nivel
de manejo de la informacin.
El personal de obra se encontrar en cuarto nivel de
acceso a la informacin, este nivel solo podr manejar informacin de las obras que se encuentre ejecutando.
Los grupos de personas externas solo podrn tener acceso
a informacin que este por otros medios distinta a los sistemas de la empresa, este sistema ser de uso exclusivo del personal de la empresa. Las personas externas solo
podrn revisar la informacin y utilizar los medios que en
44 Apps Inteligentes para Ejercitar su Cerebro: Apps Gratuitas, Juegos, y Herramientas para iPhone, iPad, Google Play, Kindle Fire, Navegadores de Internet, Windows Phone, & Apple Watch
Inteligencia artificial: Lo que usted necesita saber sobre el aprendizaje automático, robótica, aprendizaje profundo, Internet de las cosas, redes neuronales, y nuestro futuro