Documentos de Académico
Documentos de Profesional
Documentos de Cultura
En el escenario descrito, se pide al alumno que escoja uno de los proyectos propuestos
definiendo:
CONTEXTO DE LA ORGANIZACIÓN:
La empresa XYZ-Petróleos se ubica en la ciudad de Piura. XYZ es una empresa
dedicada al transporte, refinación, distribución y comercialización de combustibles y
otros productos derivados del petróleo.
1. Contexto externo (ISO 31000 – 5.3.2)
- Partes interesadas externas: Clientes, proveedores, competidores, reguladores.
- Entorno político, legal, reglamentario y contractual: Ley de protección de datos.
- Entorno competitivo: Multinacionales.
- Entorno social, cultural y natural: Idioma/Huelgas/Cambios climatológicos.
- Entorno económico y financiero: Nuevas fuentes de energía/Inversión.
- Entorno tecnológico: Adaptación al cambio.
2. Contexto interno (ISO 31000 – 5.3.3)
- Partes interesadas internas: Dirección, Coordinador de Seguridad de Información.
- Misión y objetivos estratégicos:
- Procesos de la organización: Procesos estratégicos/Procesos operacionales
- Organización y funciones: Gerencias
- Recursos disponibles: Personal técnico e infraestructura.
- Tecnología vigente: Sistemas (Software), Hardware(Equipos).
4.
Para el proyecto escogido se debe especificar:
OBJETIVOS.
a. Mejorar la seguridad de acceso a la configuración implementando mecanismos
de controles de acceso, garantizando que ningún intruso pueda alterar la
configuración.
b. Mejorar la protección de la información que se transfiere a través del cifrado y
controles de conexión a red de la información para garantizar su integridad y
confidencialidad.
c. Implementar planes de capacitación y concienciación sobre la seguridad de las
redes a los usuarios y administradores.
1.Roles,
responsabilidades
Establecer responsables y
y actividades del Responsables y 02 de 07 de
1 procedimientos para gestión
SGSI. roles definidos. enero enero
de acceso a los equipos de red
2.Evaluaciones
para el personal
1.Operador TIC
Restringir la conexión de Mejora del 04 de 07 de
2 2.Reportes de
sistemas a la red tráfico de red. enero enero
conexión.
Implementación de controles
Configuración
especiales para salvaguardar 1.Operador TIC
adecuada de 04 de 15 de
3 la confidencialidad e 2.Servicios TIC
controles de enero enero
integridad de los datos que 3. Normas
acceso a la red
pasan a través de las redes
Designar un responsable de
1Coordinador de
TI para que reporte al
seguridad de Registro de
coordinador de seguridad de 03 de
4 información. incidentes de
la información sobre enero
2.Personal de seguridad
incidentes de seguridad en
organización.
redes
1.Coordinador de
Crear parámetros para seguridad de
conexiones seguras con los información. Parámetros de
06 de 22 de
5 servicios de red de acuerdo a 2.Operador de conexión
enero enero
las reglas de seguridad y TIC. segura
conexión a las redes. 3.Servicios de
TIC
6 Crear procedimientos para el 1.Operador de Procedimientos 06 de 22 de
uso de servicios de red para TIC de acceso enero enero
restringir el acceso a los 2. Servicios de generados
mismos o a las aplicaciones. TIC
1.Operador de
TIC
Segmentación de redes por Redes de la
2.Coordinador de 10 de 23 de
7 niveles de confianza en las compañía
seguridad de la enero enero
áreas de trabajo. segmentados
información
3. Servicios TIC
MEDIANO PLAZO
1.Roles,
1.Políticas de
responsabilidades
seguridad
y actividades del
actualizados.
Separar la responsabilidad SGSI. 10 de 23 de
1 2.Responsables
operacional de las redes 2.Evaluaciones enero febrero
y roles
para el personal
definidos
3.Politicas de
actualizados.
Seguridad
1.Operador TIC
2.Reportes de
Implementar tecnologías para
conexión. Mejora del 15 de 23 de
2 la seguridad de los servicios
3. reportes de tráfico de red. enero febrero
de red.
fuga de
información
1.Operador TIC
2.Servicios TIC
3. Normas
4.Coordinado de
Diseñar pruebas para evaluar seguridad de la Resultados de
10 de 30 de
3 al personal designado para información. la evaluación
enero enero
cumplir roles en la seguridad. 5.Personal que del personal
participa del
SGSI.
6.Evaluaciones
para el personal
4 Ejecutar la charla de 1Coordinador de Personal 30 de 28 de
concienciación general por seguridad de concienciado enero febrero
grupos de usuarios. información.
2.Personal de
organización.
3.Planes de
concienciación en
seguridad de la
información.
1.Coordinador de
Identificar personal que
seguridad de
requiere mejorar o adquirir Personal de
información. 15 de 15 de
5 ciertas competencias, en base asistencia
2.Personal que febrero marzo
a los resultados de las competente
participa del
evaluaciones previas
SGSI
1.Operador de
TIC
2. Servicios de
TIC
Ejecutar capacitaciones al 1.Coordinador de Personal 15 de 30 de
6
personal identificado seguridad de competente marzo marzo
información.
2.Personal que
participa del
SGSI
LARGO PLAZO
1.Operador TIC
1.Reportes de
Implementar un plan de 2.Reportes de
mejora en
monitoreo periódico de las conexión. 30 de 28 de
1 seguridad de
acciones tomadas en 3. reportes de marzo abril
redes
seguridad de las redes fuga de
información
1.Operador TIC Registros y
Obtener registros de
2.Coordinador de resultados de 30 de 28 de
2 operación de la red y los
seguridad de métrica marzo abril
servidores
información definidos.
3 Determinar el porcentaje de 1.Operador TIC Registros y 30 de 28 de
tiempo en que los servicios de 2.Servicios TIC resultados de marzo abril
red han estado operando 4.Coordinado de métrica
adecuadamente seguridad de la definidos.
información.