Está en la página 1de 5

Organización

Compromiso de la Dirección con la Seguridad de la información

Riesgo

Mala asignación de la directiva de la organización la cual puede traer como consecuencia el


bajo rendimiento de la misma.

Objetivo del control

Delegar las directivas de las diferentes áreas de una organización y asignando las tareas que se
deben realizar en las mismas.

Descripción

La gerencia o directivas de la organización debe apoyar activamente la seguridad de la


información dentro de la organización con un rumbo claro, un compromiso demostrado, una
asignación explicita y el conocimiento de las responsabilidades de la seguridad de la
información. Este compromiso se verá reflejado a través de:

 Creación de un comité de seguridad interdisciplinario incluyendo el área TI.


 Asignación de un responsable de la seguridad de la información(Oficial de seguridad)
 Aprobación del documento de políticas de seguridad de la información
 Velar por el cumplimiento de las políticas de seguridad de la información
 Asignación de responsabilidades asociadas al tema de la seguridad de la información

Coordinación de la Seguridad de la Información

Riesgo

Falta de comunicación entre los directivos de las diferentes áreas de la organización.

Objetivo del control

Se debe establecer actividades diferentes para cada empleado para evitar el riesgo de accesos
no autorizados a la información importante de una organización.

Descripción

Las actividades de la seguridad de la información deben ser coordinadas por los


representantes de todas áreas de una organización con roles y funciones laborales pertinentes
por lo tanto la gerencia es responsable de que los empleados a su cargo, conozcan y apliquen
las políticas de seguridad de la información.

Se deberá contar con un oficial de seguridad de la Información que asuma las tareas y
responsabilidades que conlleva este rol:
 Definir y actualizar políticas, normas, procedimientos y estándares definidos en el
SGSI
 Realizar el análisis de riesgo a las aplicaciones
 Asesorar en la aplicación de la metodología para el mantenimiento de los planes de
contingencia y continuidad del negocio
 Evaluar, seleccionar e implantar herramientas que faciliten la labor de seguridad de la
información
 Dar los lineamientos para controlar el acceso a los sistemas de información y la
modificación de privilegios
 Promover capacitaciones, educación y el entrenamiento en seguridad de la
información
 Mantenerse actualizado en nuevas amenazas y vulnerabilidades existentes
 Recibir capacitación en el tema de seguridad de la información

Desarrollo de Software

1. Seguridad Física y del Entorno


1.1. Controles físicos de entrada
1.1.1. Riesgo

Deterioración de los equipos de entrada causando el acceso de personal no


autorizado dando la oportunidad al robo de la información confidencial.

1.1.2. Objetivo del control

Evitar el acceso físico no autorizado, los daños e interferencias a la información


de la organización y las instalaciones de procesamiento de la información

1.1.3. Descripción

Se busca minimizar los riesgos de daños e interferencias a la información y a


las operaciones de la organización por ende el establecimiento de perímetros
de seguridad y áreas protegidas facilita la implementación de controles de
protección de las instalaciones de procesamiento de información crítica o
sensible de la organización, contra accesos físicos no autorizados.

1.1.3.1. Controles físicos

Se implementan medidas de seguridad en una estructura definida usada para


prevenir o detener el acceso no autorizado a material confidencial como por
ejemplo

 Cámaras de circuito cerrado


 Sistemas de alarmas térmicos o de movimiento
 Guardias de seguridad
 Identificación con fotos
 Puertas de acero con seguros especiales
 Biométrica
1.1.3.2. Controles técnicos

Los controles técnicos utilizan la tecnología como una base para controlar el
acceso y uso de datos confidenciales a través de una estructura física y sobre la
red. Los controles técnicos son mucho más extensos en su ámbito e incluyen
tecnologías tales como:

 Encriptación
 Tarjetas inteligentes
 Autenticación a nivel de la red
 Listas de control de acceso (ACLs)
 Software de auditoría de integridad de archivos

1.1.3.3. Controles administrativos

Los controles administrativos definen los factores humanos de la seguridad.


Incluye todos los niveles del personal dentro de la organización y determina
cuáles usuarios tienen acceso a qué recursos e información usando medios
tales como:

 Entrenamiento y conocimiento
 Planes de recuperación y preparación para desastres
 Estrategias de selección de personal y separación
 Registro y contabilidad de personal
1.2. Áreas de Acceso Público y de Carga y Descarga
1.2.1. Riesgo

El ingreso de personas no autorizadas con el deseo de extraer información


crítica de las instalaciones e inclusive el robo de dispositivos físicos.
1.2.2. Objetivo del control

Implementar métodos de seguridad con la finalidad de controlar las


diferentes áreas de entrega y carga.

1.2.3. Descripción

Se deberían controlar puntos de acceso a la organización como las áreas de


entrega y carga/descarga (entre otros) para evitar el ingreso de personas
no autorizadas a las dependencias aislando estos puntos, en la medida de
lo posible, de las instalaciones de procesamiento de información.

a) Se debiera tener en cuenta los estándares y regulaciones de


sanidad y seguridad relevantes
b) Se debieran localizar los medios claves para evitar el acceso del
público
c) Donde sea aplicable, los edificios debieran ser discretos y dar una
indicación mínima de su propósito, sin carteles obvios dentro y
fuera del edificio que indique la presencia de actividades de
procesamiento de información
d) Los directorios y teléfonos internos que identifiquen la ubicación de
los medios de procesamiento de la información no debieran estar
accesibles al público.

Gestión de Comunicaciones y Operaciones

Riesgo

Falta de conocimiento sobre el control de sistemas por parte de los empleados de la


institución el cual puede ocasionar una gran pérdida de información histórica de la
organización.

Objetivo del control

Establecer las respectivas documentaciones en la cual se detalle de manera clara las


actividades o procesos que se realizan en cada una de las áreas de la organización.

Descripción

La documentación es base fundamental dentro de los principios de una organización ya que de


las buenas prácticas de laboratorio, es una evidencia formal que permite establecer pautas y
parámetros que pueden ser luego ratificados.

Por lo tanto se debe especificar cada procedimiento operativo que exista hacia los usuarios
autorizados y que la necesiten siguiendo la guía del FFIEC, estas documentaciones deben ser
realizadas por los superiores de cada departamento de sistemas y por lo tanto estos deben ser
aprobados por el Gerente del área.
Cabe resaltar que aborda las operaciones de TI en el contexto de la gestión y la entrega diaria
de la tecnología con la cual nos permite capturar, transmitir, procesar y almacenar los activos
de información y respaldar los procesos de negocios de una organización.

Copias de seguridad de la información

Riesgo

Falla de los sistemas los cuales provoquen la pérdida de información importante para los
procesos de negocios de una organización.

Objetivo del control

Establecer nuevas leyes en las cuales se impongan cronogramas y normas para el respaldo de
la información obtenida cada día sobre software y negocios.

Descripción

Es un duplicado de nuestra información más importante de una organización y que se realiza


para salvaguardar los documentos, archivos, fotos, etc., de nuestra información de negocios,
por si acaso ocurriese algún problema que nos impidiese acceder a la misma.

Según los tipos de copias de seguridad disponibles, debemos elegir el soporte donde
guardarlas. No hay una regla fija y una vez más, dependerá de la estrategia. Con todo, hoy en
día las mejores soluciones pasan por el alquiler de servidores virtuales o servidores en la nube.
Una buena estrategia es combinar varios sistemas de destino de almacenamiento para
aumentar la tolerancia a la aparición de errores. Se pueden crear diferentes copias según las
áreas y guardarlas en diferentes soportes.

 Sistema de bakup completo.- aquella modalidad a través de la cual se guardan todos


los datos que se generan. La ventaja es que toda la información está bajo un mismo
soporte. La desventaja es que cada vez que se hace una copia de seguridad se guarda
toda la información, con lo que el proceso se ralentiza muchísimo. En la restauración
de datos sin embargo, es muy eficiente.
 Sistemas de backup diferenciales. - en estos sistemas solo se realiza la copia de los
datos que hayan sido modificados desde la última copia. Se copian menos datos y de
forma más ágil.
 Sistemas de backup diferenciales.- se trata de un sistema similar al anterior, con la
salvedad de que tras el primer backup, cada vez que se realice una copia de seguridad
contendrá todos los datos modificados siempre desde el primer backup.