Documentos de Académico
Documentos de Profesional
Documentos de Cultura
*Para poder conocer cada una de las vulnerabilidades que posee nuestra entidad
se deben revisar constantemente los periféricos presentes, las entradas, salidas,
las redes de telecomunicaciones donde constantemente se está enviando y recibiendo
información
importante para la entidad.
*Si no se hace una adecuado gestión de vulnerabilidades técnicas, se
va a empezar a tener una brecha y se va a empezar a perder la confianza digital de
los ciudadanos.
*SEGURIDAD EN LAS TELECOMUNICACIONES.
-Se recomienda que los usuarios que hacen uso de los servicios de la entidad,
tengan disponible una red wifi, para que hagan uso de ella y de esta manera
no tengan que conectarse a las redes propias de cada dependencia.
*Resulta importante proteger los datos de prueba, para preservar
la confidencialidad, integridad y disponibilidad de los mismos.
*En la medida que se digitalicen más los cosas, se van a presentar más incidentes
de seguridad, pero eso no significa que no se van a poder guardar en servidores
como la nube, porque para eso existen métodos de protección de los datos
que garantizan que la información esté respaldada y guardada de forma segura.
*Para establecer de forma adecuada el MSPI se deben seguir y acatar de formar
adecuada las
diversas fases planteadas por MinTic. La recomendación es ampliar el alcance
para toda la entidad, no solo para el área de tecnlogía.
*Se debe planificar un tiempo estipulado para cada actividad a realizar
06/04/2022
Se emepezó el diligenciamiento del inventario de información, a través de un
formato de Excel, de igual manera
se profundizaron las bases en una plataforma llamada Máxima velocidad, donde la
entidad paraticipará en dos retos de seguridad
digital.
---------------------------------------------------------------
07/04/2022
Se realizó la introducción de la política institucional de seguridad de la
información,
los marcos y normatividad propia para la seguridad digital, conitnuidad con el
diligenciamiento del formato
de diagnostico para el MSPI
*POLÍTICA DE SEGURIDAD DIGITAL GENERAL.
Declaración de alto nivel que describe la posición de la entidad
sobre un tema específico.
*OBJETIVOS: fin al que se desea llegar, es lo que impulsa a la entidad
a cumplir sus objetivos.
*ALCANCE/APLICABILIDAD: el alcance de la política puede incluir la totalidad
de la organización, funciones específicas e identificadas de la misma.
Son 5 pilares en los que el MinTic brinda apoyo, los cuales son:
diagnóstico de Seguridad y privacidad de la información, la política
general de seguridad y privacidad, el manual de políticas, gestión de riesgos,
y la identificación de los activos de información.
*POLÍTICA GENERAL DEL MSPI: se trata de una declaración "muy arriba" del compromiso
de la alta gerencia para la implementación de este modelo.
*MANUAL DE POLÍTICAS DE SEGURIDAD: Es el conjunto de normas
de conducta que respaldan la gestión de la seguridad de la información
en los procesos de la organización y se convierten en la base para
la implementación, mantenimiento y mejora de los controles
Se plasman las directrices para implementar el MSPI.
-----------------------------------------------------------
19/04/2022
Charla sobre gobernanza en la calidad de los datos y su importancia
en la aplicabilidad de la seguridad de una entidad. Al igual que
el desglose de cada una de las políticas del manual de políticas de seguridad
y privacidad de la información.
---------------------------------------------------------------------
1. POLÍTICA DE DISPOSITIVOS MÓVILES.
Se deben tener en cuenta:
*La protección que se le darán a esos dispositivos, como por ejemplo:
manejar contraseña de acceso robustas, protegerlos fuera de las instalaciones,
limitar el acceso a redes inalámbricas no seguras (redes públicas)
2. POLÍTICA DE TELETRABAJO.
Se deben indicar las directrices y controles tendientes a velar por la
integridad, disponibilidad y confidencialidad de la información.
3. POLÍTICA DE SEGURIDAD DE LOS RECURSOS HUMANOS,
Establecer directrices y controles antes, durantes y despúes de la contratación
del personal, por ejemplo: establecer antes un acuerdo de confidencialidad
la verificación de los antecedentes interdisciplinarios, tambien mencionar
que pasa si hay un incumplmiento y violación.
4. POLÍTICAS DE GESTIÓN DE ACTIVOS.
Se debe definir y asignar el responsable de los activos de información
definir los custodios de los activos de información, darle buen uso al activo.
5. POLÍTICA DE CONTROL DE ACCESO.
Se definen los lineamientos para tener un acceso controlado a la información,
aplicaciones tecnológicas y demás recursos importantes dentro de la
entidad, establecer un procedimiento de creación de usuario y control
de acceso. Se debe pedir permiso al responsable de cada dependencia de la entidad
cuando se vaya a realizar una acción determinada.
6. POLÍTICAS DE SEGURIDAD FÍSICA Y DEL ENTORNO.
Todas las oficinas administrativas, puestos de control, etc deben estar
protegidas, el datacenter, áreas de procesamiento de información.
que se va a colocar un acceso biométrico.
7. POLÍTICAS DE CONTROLES CRIPTOGRÁFICOS.
Se deben tener cifrados los dispositivos de almacenamiento como
lo es el disco duro, memorias, etc, se debe garantizar el cifrado, la conexión
punto a punto, de igual forma el tema de gestón de llaves.
8. POLÍTICAS DE SEGURIDAD EN LAS OPERACIONES.
La entidad documenta todos los procesos y procedimientos para
reducir los riegos asociados a la ausencia de personal.
9. POLÍTICAS DE SEGURIDAD EN LAS COMUNICACIONES.
Se debe asegurar el cumplimento de las no divulgaciones de información relevante
definir buenas prácticas de seguridad, proteger los framework para
el desarrollo seguro del software, normalmente se realizan en 5 ambientes.
10. POLÍTICAS DE RELACIONES CON LOS PROVEEDORES.
Se realizan revisiones periódicas de auditorías y todos esos procedimientos
deben quedar establecidos.
11. POLÍTICAS DE GESTIÓN DE INCIDENTES DE SEGURIDAD.
Se establece el procedimiento de incidentes, que deben hacer los usuarios
si se les presenta un trámite de seguridad.
12. TOMA DE CONCIENCIA.
Definir que hago en la entidad, brindar distintos lineamientos
13. COMUNICACIÓN.
Comunicar todo lo que se realice, políticas, manuales, etc.
*Todas estas políticas establecidas se deben cumplir a cabalidad en la
entidad para preservar muchos recursos que hacen parte de la misma.
----------------------------------------------------------------------------
20/04/2022
Se realizó la introducción de la gestión de riesgos para evitar que
estos se lleven a cabo en cada uno de los activos de información mencionados,
comienzo
del diligenciamiento del instrumento de identificación de riesgos, asignación de
retos TIC por parte del supervisor de práctica
*GESTIÓN DE RIESGOS.
Se debe colocar el responsable del activo de información.
-----------------------------------------------------------------------------------
------------
21/04/2022
Soporte con documento de Hojas de cálculo y Word para los funcionarios del JEP,
continuación
con el diligenciamiento del reto TIC gestión de riesgos y matriz de riesgos
-------------------------------------------------------------
22/04/2022
Diligenciamiento del item análisis del riesgo inherente y su diversas variables
como lo son: Vulnerabilidades, probabilidad, impacto, zona de riesgo
tambien el item de identificación de controles (opciones de manejo del riesgo,
descripción
del control, responsable de ejecutar el control).
-----------------------------------------------------------------------------------
--------
25/04/2022
Asistencia de instalación y configuración de Office en las dependencias de
secretaría de hacienda
y para los entendes de la Contraloría municipal en la dependencia de Control
interno, en la matriz
de riesgo, se trabajó el item de la identificación de controles (descripción del
control, responsable de eje
cutar el control, etc)
5
M
compartir o tranferir el riesgo