Está en la página 1de 13

ÍNDICE

INTRODUCCIÓN..................................................................................................3
DESARROLLO.....................................................................................................4
1. Dirección de la Seguridad en TI.................................................................5
Antecedentes................................................................................................5
1.1. Objetivos de la Dirección de Seguridad..................................................5
1.2. Modelo de Gobierno en la Seguridad de TI............................................6
1.3. Roles y Responsabilidades de los Actores y Grupos de Interés............8
2. Planeación en el Gobierno de Seguridad de TI......................................10
Antecedentes..............................................................................................10
2.1. Importancia de la Planeación en el Gobierno de Seguridad TI............10
2.2. Creación del Plan Estratégico de Seguridad de TI...............................11
2.2.1 Niveles de Planeación........................................................................12
2.2.2. Planeación para la Implementación de la Seguridad de TI...............14
2.3. Ciclo de Vida de la Seguridad de TI.....................................................15
2.3.1. Investigación......................................................................................15
2.3.2. Análisis...............................................................................................15
2.3.3. Diseño................................................................................................16
2.3.4. Implementación..................................................................................16
2.3.5. Mantenimiento y Cambio...................................................................17
2.3.6. Evaluación del Rendimiento..............................................................17
3. Evaluación de la Seguridad de TI............................................................19
3.1. Tipos de Amenazas para la Seguridad de TI.......................................19
3.2. Conducción de Evaluaciones de Seguridad de TI................................20
3.2.1. Seguridad Física y Ambiental............................................................20
3.2.2. Riesgos y Respuesta a Incidentes....................................................20
3.2.3. Comunicaciones................................................................................21
3.2.4. Integridad de la Información.............................................................21
3.2.5. Servicios Adquiridos..........................................................................21
3.2.6. Planeación y Mantenimiento..............................................................21
3.3. Técnicas para el Análisis de Riesgos...................................................22
CONCLUSIONES...............................................................................................23
REFERENCIAS..................................................................................................24
INTRODUCCIÓN

No es ninguna novedad que las organizaciones hoy en día busquen e


implementen mejoras a sus sistemas de seguridad como parte de su
responsabilidad de proteger la información dentro de los procesos y
componentes relacionados.

Sin embargo, para que las organizaciones logren realizar esto, es importante
que utilicen diversas técnicas de defensa que brinde una mayor seguridad para
sus activos, como lo son sus datos, sistemas, recursos, personas, entre otros.

La finalidad de esto es mantener lo más integro como sea posible estos activos
para evitar que externos (intrusos, amenazas) logren su cometido al robar
información para utilizarla en actos ilícitos o exponerla buscando sobornar a
cambio de no propagarlo.

Por ello, en este entregable se hace mención a la importancia que tiene planear
la seguridad dentro de una organización que va mas allá de solo procesos, en
este caso, se involucran a todas las áreas y personas que tienen un rol
relevante cuando se habla de mantener la seguridad organizacional y que por
ende también es parte de una base y cultura de seguridad.

Se describe la constante importancia de llevar un control de los accesos a los


sistemas y demás recursos, mantener un orden en cuanto a privilegios
limitados dependiendo de área a la que se pertenece y la responsabilidad que
tiene a su cargo.

Además de crear consciencia de lo bueno que significa contar con un plan en


caso de emergencia, lo cual disminuye los riegos, el impacto y las
consecuencias que podrían traer a la operación, recursos y lo más
indispensable, los activos.

También se habla sobre cómo influyen los riesgos y su evaluación a estos para
medir el rendimiento y la seguridad sobre la que se ejecutan los sistemas,

2
procesos y procedimientos, al final tener en cuenta todo este tipo de acciones
siempre trae algo positivo y beneficios para cualquier organización.

DESARROLLO

1. Dirección de la Seguridad en TI

Antecedentes

Las tecnologías de la información son las encargadas de distintos


departamentos informáticos para que estos funcionen sin ningún contratiempo
y de forma eficaz.

En la dirección de seguridad de la información trabajan analistas de sistemas,


los cuales son responsables de la mejora en los sistemas de información e
informáticos los cuales se encargan de realizar diversas tareas como la gestión
de las bases de datos, analizan y organizan la información del personal,
administración de los presupuestos, gestionan las áreas de mantenimiento para
los distintos ordenadores que se tengan en la organización, así como la
aportación de propuestas y puesta en marcha de los sistemas de respaldo en
caso de que una de las áreas tengan un fallo.

1.1. Objetivos de la Dirección de Seguridad

Dentro de la seguridad de la información existen distintos objetivos a los que se


debe de dar seguimiento, sin embargo, su objetivo principal es la protección de
la información siendo fundamental la implementación de un conjunto de
estrategias de seguridad dentro de la dirección, las cuales dan pie al
cumplimiento de metas que permitirán establecer un gobierno de seguridad
efectivo.

También se implementan otros objetivos para la gestión de seguridad, como los


que se mencionan a continuación.

3
a) Alineación de estrategias de la seguridad de información, los cuales
apoyen las estrategias de las instituciones.
b) Gestión y análisis de los riesgos de las instituciones.
c) Uso adecuado de los recursos e inversiones en la seguridad las cuales
apoyen el cumplimiento de los objetivos.
d) Organización y uso de la infraestructura de la seguridad de forma
eficiente.
e) Realizar un monitoreo de los procesos para garantizar el alcance de las
metas y objetivos.
f) Planificación de sistemas que permitan la implementación y monitoreo
de la seguridad de la información.

1.2. Modelo de Gobierno en la Seguridad de TI

Actualmente con las tecnologías de información las organizaciones obtienen


ventaja competitiva, esto es gracias a la gestión de las tecnologías, las cuales
aportan un factor diferencial al modelo de gobierno de TI, siendo un elemento
clave en el cumplimiento de los objetivos.

En gran medida el crecimiento de las tecnologías de la información ha dado pie


al desarrollo de las organizaciones en distintos rubros con su uso y que a su
vez ha permitido un incremento económico.

Además, es de gran importancia que las instituciones tengan una orientación


adecuada, desde el punto de vista corporativo, lo cual permite un enfoque
denominado gobierno de tecnologías de la información, permitiendo dar
solución a diversos requerimientos tecnológicos.

Debido a que dentro de las instituciones se implementan estrategias


tecnológicas para el cumplimiento de sus objetivos aumentando la rentabilidad
de la organización y que estas se vean reflejadas en sus ganancias.

Esto se puede visualizar en el mapa del modelo de gobierno de forma clara, en


cómo el ámbito tecnológico y la implementación de distintas tecnologías
informáticas ayudan al cumplimiento de normas de gobierno.

4
Por otra parte, existe la importancia del uso de un modelo de desarrollo en el
gobierno de TI, que permite considerar elementos de forma esencial dentro de
la organización.

Si bien el gobierno de TI está cada vez más alineado con la estrategia


organizacional como se muestra en el mapa del modelo de gobierno figura 1, el
aplicar estándares se representa en la forma de gestión de proyectos dentro de
un ámbito de las organizaciones direccionando sus recursos al logro de metas
y objetivos.

1.3. Roles y Responsabilidades de los Actores y Grupos de Interés

Dentro de las organizaciones tanto los roles y responsabilidades que son


requeridos para ocupar puestos en las diversas áreas de TI en una
organización deben de ser documentadas, para esto debemos de iniciar un
proceso de identificación de todo el personal, tal como se muestra en la
siguiente figura.

La identificación del personal dentro de las organizaciones es una labor


sumamente laboriosa, ya que se deben de tomar ciertos criterios que permitan
la selección correcta de los integrantes del área de TI.

Se debe de realizar un esfuerzo de forma constante que permita asegurar que


el personal a nuestro cargo tenga una capacitación adecuada, despertando en
estos una plena conciencia del rol y responsabilidades a su cargo, en los ciclos
de vida de las organizaciones.

También, la evaluación de los procesos dentro de las estrategias de seguridad


debe de ser capaz de identificar las áreas que necesiten una mejora
significativa mediante la evaluación de vulnerabilidades y la redacción de
planes de acción a seguir, los cuales aseguren e implementen controles lógicos
y técnicos.

5
La comprensión de forma detallada de la información permitirá la clasificación
de los datos y el intercambio de dicha información obteniendo los procesos y
gestión de los mismos.

Los grupos externos juegan un papel vital dentro y fuera de una organización,
los cuales pueden ser proveedores de servicios, como por ejemplo:

1. Servicios de TI
a) Desarrolladores de Aplicaciones
b) Pruebas
c) Mantenimiento
d) Soporte de SW y HW
2. Abogados

Las estrategias integrales de seguridad incluyen una serie de pasos para la


evaluación externa, dicho alcance incluye herramientas y procesos de TI como
son:

1. Personal
2. Tipo de Instalaciones
3. Almacenamiento
4. Eliminación de Datos
5. Políticas de Seguridad
6. Procedimientos
7. Contratos

2. Planeación en el Gobierno de Seguridad de TI

Antecedentes

6
Las organizaciones son dependientes actualmente del gobierno de tecnologías
de la información permitiendo un correcto funcionamiento, con el objetivo de
hacer eficiente las tareas y llegar al cumplimiento de sus metas y objetivos.

La planeación estratégica de TI está siendo sometida a distintos aspectos, los


cuales brindan apoyo a las organizaciones en sus áreas técnicas y
comerciales, si dichas herramientas no están fundamentadas se pueden caer
los lineamientos de la organización.

Las tecnologías de la información dentro de las organizaciones han brindado


demasiados frutos y eso se debe al valor agregado del personal del área de TI,
por otra parte las tecnologías hoy en día y los procesos de los negocios
responden a las necesidades de los usuarios.

El gobierno de TI así como los temas relacionados a él, han logrado un


conjunto de lineamientos que integran los elementos necesarios en diversas
áreas de la organización mediante el uso de estándares y entidades
reguladoras.

2.1. Importancia de la Planeación en el Gobierno de Seguridad TI

Los distintos usos estratégicos de las TI en la creación de distintos métodos


para tener una ventaja competitiva dentro de las organizaciones, se relacionan
con la creación de planeaciones en las que se analicen tanto el estado actual
de la organización y hacia donde queremos llegar, tomando en cuenta los
objetivos particulares y generales de la organización.

Dicho proceso garantizara el desarrollo eficaz y sistemático de las tecnologías


de la información dentro de la organización, además debemos de tomar en
cuenta las actividades que se encuentren relacionadas a las TI, ya que nos
permitirá hacer una planeación estratégica y poder realizar la asignación de
recursos.

Debido a que finalmente estas serán las bases que controlen el proyecto de las
tecnologías de la información equilibrando todos aquellos costos para la
obtención de beneficios.

7
2.2. Creación del Plan Estratégico de Seguridad de TI

Las Estrategias de TI deben de compaginar con las estrategias del negocio, ya


que en ambos casos la toma de decisiones afectara el rumbo de la
organización afectando su alcance, su competitividad y manejo de la misma.

Los alcances dentro de las tecnologías de la información permiten medir las


decisiones, determinando el tipo de tecnología que se utiliza, mientras que las
competencias sistemáticas ayudan a identificar las características así como sus
fortalezas.

Proporcionando la conectividad, desempeño, accesibilidad y confiabilidad,


mediante un análisis de riesgos el cual define los alcances de efectividad, a su
vez el manejo de estas herramientas permite la implementación de estrategias
alineadas con la organización como podemos ver en el mapa de la figura 3.

2.2.1 Niveles de Planeación

Los niveles de planeación que se consideran de forma jerárquica, pueden ser


divididos en tres grande tipos, como son:

a) Planeación Estratégica
b) Planeación Técnica
c) Planeación Operacional

Los niveles enfocados a la planeación son relacionados a la toma de


decisiones mediante una pirámide organizacional, que se muestra en la figura
de la siguiente página.

A continuación se describe cada uno de los niveles que lo conforman:

8
a) Decisión Estratégica (Planeación Estratégica): Se considera un proceso
de orden general a nivel ejecutivo, el cual establece el rumbo de la
organización.
Este tipo de planeaciones la encontraremos en los niveles más altos
dentro de una institución y es donde se formulan los objetivos.

b) Decisiones Técnicas (Planeaciones Técnicas): Este tipo de operaciones


tienen objetivos planteados de acuerdo a los resultados.
En este nivel podemos encontrar la construcción de objetivos en el nivel
medio utilizando de forma eficiente los recursos.

c) Decisiones Operacionales (Planeación Operacional):


En esta parte podemos encontrar los planes de acción a seguir dentro
de una organización como son:
 Recursos para el desarrollo e implantación.
 Los procesos que se deben de adoptar para seguirlos.
 Los resultados finales.
 Los tiempos que se han establecido.
 Los usuarios responsables de que se lleven a cabo las tareas.

2.2.2. Planeación para la Implementación de la Seguridad de TI

La creación de un plan de seguridad dentro del área de TI permite visualizar las


áreas donde pueden existir problemas de seguridad., esto mediante la
implementación de unos planes de seguridad, los cuales deben de cumplir
ciertas normas y estándares para la protección de los datos así como los
sistemas que puedan ser más vulnerables dentro de una organización.

De acuerdo a la ley de protección de datos un plan de seguridad debe de


cumplir con una serie de requisitos para su implementación que se describirán
a continuación.

Para poder elaborar un plan de seguridad debemos de seguir los siguientes


pasos:

9
1. Identificación. Dentro este paso es muy importante la identificación de
la información y del personal.
También debemos de tomar en cuenta aspectos técnicos como el
software, hardware, los sistemas operativos y los datos que se estén
compartiendo.

2. Evaluar Riesgo. En este paso de deben de establecer todos los


posibles peligros que puedan afectar los recursos de la organización.
En esta parte podemos encontrar los virus, ataque de personas ajenas
o dentro de la institución con un fin malicioso, los daños físicos que
puedan sufrir los dispositivos, etc.

3. Protección de TI. Después de haber hecho la evaluación de los


posibles riesgos y amenazas se pueden determinar las acciones a
seguir priorizando desde las más importantes.

4. Tomar las medidas adecuadas. Establecido los pasos anteriores


podemos decidir qué debemos hacer para implementar las medidas de
seguridad, como el registro de acceso, monitoreo de los sistemas,
implementación de firewall, etc.

2.3. Ciclo de Vida de la Seguridad de TI

El ciclo de vida dentro de la seguridad informática en las organizaciones se


conforma mediante un conjunto secuencial de faces que permiten la mitigación
de los riesgos dentro de la misma.

2.3.1. Investigación

La recopilación de información en el entorno de trabajo permite realizar una


búsqueda minuciosa sobre los activos de la organización para realizar el
análisis y posteriormente el de las actividades, roles, herramientas, etc., cuya
finalidad es permitir la comprensión de la estructura y los servicios disponibles.

Ya que tenemos claro los objetivos y el alcance de nuestra investigación se


procederá a analizar todas aquellas debilidades que pudimos haber encontrado

10
en la investigación realizada previamente, documentando todas aquellas
vulnerabilidades puertos abiertos, etc.

2.3.2. Análisis

En esta etapa se hará un análisis de riesgos basadas en distintas debilidades


de la seguridad mediante el uso de auditorías, la evaluación de
vulnerabilidades, pruebas de penetración, entre otras que nos ayuden a
detectar estas, esto con el propósito de crear una guía de los pasos a seguir
para prever las problemáticas en un futuro.

Como bien sabemos las debilidades dentro de la organización determinan el


estado de la seguridad con la que se cuenta actualmente dentro de las áreas
técnicas y las no técnicas.

Además, las áreas técnicas evaluaran los aspectos de seguridad física dentro
de la institución.

Por el contrario, las no técnicas se encargan de las parte de reglamentación y


políticas de seguridad con las que se rige el área.

Es importante mencionar que el análisis de riegos nos da la posibilidad de


analizar todas la acciones proactivas y reactivas de la organización, otra parte
importante es la administración de los riesgos mediante la evaluación, el
análisis y los procesos a seguir.

2.3.3. Diseño

Dentro de esta etapa encontraremos todas aquellas actividades que eviten las
acciones que puedan llevar a procesos inesperados o no contemplados.

Las configuraciones de seguridad de deben de aplicar de acuerdo a los


estándares o forma normativa que se aplique dentro de la organización y/o
área correspondiente.

11
Se deben de estructurar políticas de seguridad que permitan a los diversos
tipos de empleados registrar y medir el comportamiento adecuado al momento
de conectarse a la red y al hacer uso de internet, envió de correos, etc.

Cuando se tenga estructurado todo el ambiente de la infraestructura y el diseño


se debe de poner en marcha con la participación del personal autorizado y
capacitado para tal labor.

CONCLUSIONES

Tener en cuenta toda esta clase de medidas en la organización y los sistemas


nos ayuda a crear una cultura segura en el ambiente de trabajo y productivo,
porque no solo se trata de que el área de seguridad trabaje para excluir a las
amenazas, sino que también todos en conjunto deben de proporcionar
seguridad, que va desde no acceder a un área que no está autorizada para
dicha persona, hasta evitar descargar software para otras labores, dar clic a
correos que están marcados como spam, entre otras.

La normatividad dentro de las empresas permite llevar un control adecuado de


todos sus recursos con los que cuenta, con las que podemos realizar buenas
prácticas.

El poder implementar métodos de monitoreo o de implementación de nuevos


requerimientos es una labor en conjunto de todos y todas las áreas que se
encuentran involucradas dentro de la organización ya que es un beneficio de
todos y para todos.

En cuanto a los riesgos que podemos encontrar que son diversos y que
siempre tienen un objetivo en común, es de gran importancia la capacitación y
monitoreo de todas y cada una del área involucrada dentro de la organización,
manteniendo nuestros sistemas actualizados e innovando en nuevas
tecnologías que permitan hacer más segura nuestra infraestructura.

12
REFERENCIAS

Gobierno de TI – Estado del Arte . (17 de 09 de 2020). Obtenido de


Universidad ICESI: https://www.redalyc.org/pdf/4115/411534384003.pdf
Implantación de un Gobierno de TI. (17 de 09 de 2020). Obtenido de
Universidad de La Costa:
http://repositorio.cuc.edu.co/handle/11323/2900
Metodologia para la Gestión de la Seguridad Informática (Proyecto). (15 de 09
de 2020). Obtenido de Infomed Instituciones:
https://instituciones.sld.cu/dnspminsap/files/2013/08/Metodologia-PSI-
NUEVAProyecto.pdf
Modelos de Desarrollo para Gobierno TI. (16 de 09 de 2020). Obtenido de
Universidad Tecnológica de Pereira:
https://revistas.utp.edu.co/index.php/revistaciencia/article/view/2879
Planeación y Gestión Estratégica de las TI. (16 de 09 de 2020). Obtenido de
Escuela Superior de Redes:
https://www.cedia.edu.ec/dmdocuments/publicaciones/Libros/GTI1.pdf

13

También podría gustarte