Asignatura:

Desarrollo de Políticas y Procedimientos de Seguridad

Profesor:

María Pineda

Estudiante:

Joan Cruz

Matricula:

2022-1955

Fecha de entrega:
19/02/2024
Indice:
Introducción: ....................................................................................................................................... 3
La gobernanza en seguridad de la información: .............................................................................. 4
Definiciones de Perfiles área Seguridad de la Información: ............................................................ 4
Ciclo de Vida de las Políticas de Seguridad de la Información: ...................................................... 5
Fases del Ciclo de Vida: .................................................................................................................. 5
Seguridad de la Información en Gestión de Proyectos ..................................................................... 6
Conclusión ........................................................................................................................................... 6
Bibliografía ........................................................................................................................................... 7
Introducción:
La seguridad de la información se ha convertido en un pilar fundamental para el éxito de
cualquier organización en la era digital. La protección de los activos informativos, tanto físicos
como digitales, es crucial para garantizar la confidencialidad, integridad y disponibilidad de la
información, así como para minimizar el impacto de posibles incidentes de seguridad.
La gobernanza en seguridad de la información:
Se refiere al sistema por el cual se dirigen y controlan las iniciativas relacionadas con la
seguridad de la información dentro de una organización. Implica establecer claros
lineamientos, políticas y procedimientos, así como asignar responsabilidades específicas para
asegurar que la información esté protegida de manera efectiva contra amenazas. La gobernanza
efectiva ayuda a las organizaciones a cumplir con regulaciones legales y estándares
industriales, minimizando el riesgo de incidentes de seguridad.
Beneficios:
• Reducción de los riesgos de seguridad.
• Protección de los activos críticos.
• Mejora del cumplimiento normativo.
• Aumento de la confianza de los clientes y socios.
• Optimización de los recursos de seguridad.
La implementación de la Gobernanza en Seguridad de la Información es un proceso gradual
que requiere:
• Compromiso de la alta dirección.
• Definición de un marco de trabajo adecuado.
• Capacitación del personal.
• Comunicación efectiva.
• Monitoreo y mejora continua.

Definiciones de Perfiles área Seguridad de la Información:

Profundizando en los roles dentro de la seguridad de la información, cada perfil tiene
responsabilidades específicas que son vitales para la protección de los activos informativos de
la organización:

• Chief Information Security Officer (CISO): Este es el líder del programa de

seguridad de la información, responsable de establecer la estrategia de seguridad y
asegurar que se integre con los objetivos empresariales. Debe tener una visión holística
de la organización y su entorno de amenazas, además de habilidades en comunicación
y gestión de riesgos.
• Analista de Seguridad de la Información: Realiza la vigilancia del entorno de
seguridad, buscando identificar y analizar las amenazas potenciales. Este rol requiere
habilidades técnicas para evaluar sistemas y redes, así como para interpretar los
resultados de las pruebas de seguridad.
• Ingeniero de Seguridad: Se centra en la implementación y mantenimiento de las
herramientas y controles de seguridad. Este rol es altamente técnico y requiere
conocimientos especializados en áreas como la criptografía, seguridad de redes y
seguridad de aplicaciones.
• Especialista en Cumplimiento de Seguridad: Asegura que la organización cumpla
con los requisitos legales y normativos. Este rol requiere un conocimiento profundo de
las leyes y regulaciones aplicables, así como habilidades para traducir estos requisitos
en políticas y procedimientos operativos.
 • Gestor de Incidentes de Seguridad: Lidera la respuesta a incidentes de seguridad,
coordinando las acciones necesarias para mitigar el impacto y recuperarse de los
incidentes. Este rol requiere habilidades en gestión de crisis, comunicación y análisis
forense.

Ciclo de Vida de las Políticas de Seguridad de la Información:

Las políticas de seguridad de la información (PSI) son instrumentos fundamentales para la
protección de los activos de información de una organización. Su ciclo de vida define un
proceso continuo que abarca desde la definición y elaboración de la política hasta su eventual
retiro.

Fases del Ciclo de Vida:

1. Definición y Elaboración:
Análisis del Entorno: Se realiza un análisis exhaustivo del contexto organizacional,
incluyendo la identificación de activos de información, amenazas, vulnerabilidades y requisitos
legales.
Desarrollo de la Política: Se redacta la PSI en un lenguaje claro, conciso y comprensible,
utilizando terminología técnica precisa. La política debe definir:
Objetivos: Declaración clara y concisa del propósito de la política.
Alcance: Delimitación precisa de los activos de información y los usuarios a los que aplica la
política.
Responsabilidades: Asignación clara de responsabilidades para la implementación,
cumplimiento y monitoreo de la política.
Controles de Seguridad: Especificación de medidas de seguridad técnicas y administrativas
para la protección de la información.
Aprobación Formal: La PSI debe ser revisada y aprobada por la alta dirección o por el comité
de seguridad de la información, siguiendo los procedimientos establecidos por la organización.
2. Implementación:
Comunicación y Capacitación: Se informa a todos los empleados sobre la nueva PSI,
utilizando canales de comunicación oficiales y asegurando la comprensión total de su
contenido.
Implementación de Controles: Se ponen en marcha las medidas de seguridad y los controles
técnicos y administrativos definidos en la política, siguiendo las mejores prácticas y estándares
de la industria.
Monitoreo y Medición: Se establece un sistema de monitoreo continuo para verificar el
cumplimiento de la PSI, utilizando indicadores clave de rendimiento (KPIs) y realizando
auditorías periódicas.
3. Revisión y Actualización:
Revisión Periódica: La PSI debe ser revisada de forma regular, al menos anualmente o en caso
de cambios significativos en el entorno de la organización.
Actualización: Se realizan las modificaciones necesarias a la PSI para adaptarla a los cambios
en el contexto organizacional, las amenazas emergentes o las nuevas necesidades de seguridad.
La actualización debe seguir el mismo proceso formal de elaboración y aprobación.
4. Retiro:
Evaluación de Necesidad: Se realiza una evaluación formal para determinar si la PSI sigue
siendo necesaria o si debe ser retirada.
Retiro Formal: Se documenta y se comunica el retiro de la PSI a través de canales oficiales,
siguiendo los procedimientos establecidos por la organización.

Seguridad de la Información en Gestión de Proyectos

La incorporación de la seguridad de la información en la gestión de proyectos es un enfoque
proactivo para identificar y mitigar riesgos desde el principio. Este enfoque incluye:
• Planificación de seguridad desde el inicio: Integrar consideraciones de seguridad en
el plan del proyecto, asegurando que todos los aspectos de seguridad se identifiquen y
planifiquen desde el principio.
• Evaluación de riesgos continúa: Realizar evaluaciones de riesgos en cada fase del
proyecto para identificar nuevos riesgos a medida que el proyecto evoluciona y tomar
medidas para mitigarlos.
• Desarrollo seguro: Aplicar prácticas de desarrollo seguro en todas las fases del ciclo
de vida del desarrollo del software, incluyendo la codificación segura, revisiones de
código y pruebas de seguridad.
• Integración de controles de seguridad: Asegurar que los controles de seguridad
necesarios estén integrados en la solución desde el diseño hasta la implementación.
• Educación y formación del equipo de proyecto: Capacitar a todos los miembros del
equipo de proyecto en prácticas de seguridad relevantes para sus roles, asegurando que
comprendan la importancia de la seguridad y cómo contribuir a ella.

Conclusión
En conclusión, la seguridad de la información no es un tema aislado, sino que debe ser integrada
a la cultura organizacional y formar parte del ADN de todos los procesos y proyectos. La
implementación de una gestión eficaz de la seguridad de la información requiere un enfoque
holístico que combine la tecnología, las personas y los procesos.
Bibliografía
27001, I. (s.f.). ISO/IEC 27001.

COBIT. (s.f.). COBIT.

Framework, N. C. (s.f.). Marco de referencia para la gestión de riesgos de seguridad cibernética.

Gartner. (s.f.). Obtenido de https://www.gartner.com/en/information-

technology/glossary/information-governance

Hat, R. (s.f.). Obtenido de https://www.redhat.com/es/topics/security/software-development-

lifecycle-security