REDES Y SEGURIDAD

INFORMÁTICA. Manual. Diseñar un manual de seguridad informática para una empresa.

Aprendiz: Cristiam Camilo Gentil Ibarra

Instructor: Diego alexander Campiño Toro

Servicio nacional de aprendizaje SENA

2022
Diseñar un manual de seguridad informática para una empresa La seguridad informática
tiene como fin garantizar que los datos, en una empresa, estén protegidos de ataques que
puedan dañar parcial o totalmente los sistemas. Por lo tanto, una empresa debe contar con
un manual de seguridad que les indique a todos los colaboradores cómo proceder para
evitar o reaccionar frente a dichos ataques. Este es un documento que se elabora con ciertos
procedimientos, los cuales ayudarán a los usuarios a mantener normas de precaución al
momento de acceder a la red tecnológica. El manual debe involucrar todos los componentes
físicos de la empresa, como lo son: los equipos de cómputo, las redes de tecnología
instalada, las plantas físicas y el personal.
1. Tenga presente lo aprendido en el material de formación de la actividad de aprendizaje 3
Aspectos básicos para elaborar un manual de seguridad informática.
2. Consulte el material complementario Procedimientos de la seguridad de la información.
Toda empresa depende de un sistema informático, ya sea para consultas en internet o
guardar datos de la propia empresa, entre otros, para que los trabajadores puedan realizar
sus tareas de forma eficaz y rápido… Entonces, nos surge la duda de si estamos seguros
ante posibles ataques informáticos. Crear una política de seguridad informática para tu
empresa es una de las soluciones para resolver los puntos débiles, por ello hablaremos del
Plan director de Seguridad.

El Plan Director de Seguridad es un conjunto de fases con el que se pretende reducir el

riesgo y aumentar la seguridad informática dentro de unos niveles aceptables para la
empresa objetivo.
Inicialmente se comprobará la situación actual de la empresa, donde posteriormente se
realizará un plan asociado a los intereses de la empresa junto con las obligaciones y buenas
prácticas que deberán seguir los trabajadores de la empresa. Por último, en función de la
actividad de la empresa, se podrá obtener un certificado que acredite que dispone de una
política de seguridad informa el proceso de la seguridad informática implantada en la
empresa.

El objetivo es llevar a cabo el proyecto para asegurar la protección de la seguridad

informática de la empresa de forma legal, organizativo y a nivel técnico. Por ello, se deben
implementar 7 fases para obtener la seguridad de la información y mantener controlado la
política de seguridad informática del Plan director de Seguridad con Checklist.
FASES
1. Analizar la situación actual de la empresa

· Análisis previo: Acotar el alcance, determinar procesos, a qué departamentos o sistemas.

Definir rango de responsabilidad de los activos (responsable de seguridad informática,
responsable de información…). Realizar una valoración inicial. Realizar controles del Plan
director de Seguridad. Establecer objetivos para reforzar y mejorar los puntos en tema de
ciberseguridad.
· Análisis técnico de la seguridad informática: Veremos el nivel de seguridad informática
que tiene la empresa con respecto a cortafuegos, antivirus, páginas webs seguras…

· Análisis de riesgos: identificar quién tiene un nivel bajo de seguridad informática, analizar
las posibles amenazas, medir las consecuencias y las posibilidades de que ocurra de un
ataque. Verificar la seguridad informática actual y hasta dónde protegen. Determinar el
riesgo residual expuesto.

Obtenido el nivel de riesgo asumiremos los alcanzables por la empresa para corregirlos.
Estrategias:

· Contratar a terceros

· Eliminar los riesgos ejecutando actividades que no tengan riesgos

· Asumir el riesgo con justificación

· Implementar acciones para reducir el riesgo.

2. Alinear la estrategia con el Plan director de Seguridad, teniendo en cuenta la previsión de

crecimiento, si existe externalización…

3. Definir los proyectos a ejecutar, es decir, exponer las acciones a ejecutar para llegar al
nivel de seguridad informática acordado. En esta etapa podremos encontrar proyectos de
mejora, corrección o ausencia, y gestión de los riesgos, siempre teniendo en cuenta la
viabilidad.

4. Clasificar y priorizar los proyectos teniendo en cuenta el origen del proyecto, el tipo de
acción, el esfuerzo que conlleva, mejoras obtenidas…

5. Aprobar y revisar el Plan por la dirección una vez que tengamos el plan preliminar.
6. Ejecución del Plan preliminar aprobado ajustado a la empresa donde se tendrá en
cuentan:

· Presentar el Plan a las personas implicadas

· Asignar responsabilidades para cada proyecto y sustentarlos de recursos

· Crear una periodicidad de las revisiones en cada proyecto y del Plan, teniendo en cuenta
los cambios.

· Comprobar si el riesgo ha desaparecido.

7. Certificación por la política de seguridad informática. Una vez comprobado y analizado

que todo funcione correctamente podremos acreditar la calidad de nuestra empresa
consiguiendo certificaciones o sellos de confianza.