PLAN DE SEGURIDAD INFORMATICA

PARA LA EMPRESA OSA SAS

Oscar Camargo
Anthony Montero
Santiago Duque
 Introducción

https://www.fortiguard.com/threat-research/map
O
2 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Introducción

https://www.fortiguard.com/threat-research/map/country/CO
O
3 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Objetivos
A. General
Diseñar un plan de Seguridad Informática con el fin de mejorar el modelo
previamente establecido en la compañía para así disminuir los riesgos y
detectar los posibles problemas y amenazas que se puedan afrontar.
B. Específicos:
- Disminuir el impacto de cualquier incidente que pueda llegar a afectar la
prestación del servicio que brinda la empresa.
- Establecer un sistema de identificación de incidentes para su posterior
evaluación y eficiente respuesta.
- Definir los roles que deben asumir miembros de la organización para
cumplir con el plan de Seguridad Informática.
- Garantizar que únicamente usuarios autorizados tengan acceso al
sistema de información.
A
4 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Estado del Arte

Existen una gran cantidad de trabajos, tesis, artículos, etc.,

del paso a paso de como implementar un sistema de
gestión de la seguridad informática, el objetivo fundamental
de las políticas que se establezcan es el mismo en todas,
que se aseguren la confidencialidad, integridad y
disponibilidad de la información, la diferencia radica, en que
es lo tiene hasta el momento la empresa implementado,
que se puede mejorar y que se debe cambiar.
Guía para la gestión y clasificación de incidentes de
seguridad de la información. desarrollado por el MinTIC
O
5 29/03/20 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
23
 Diagnóstico CAME

A
6 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Análisis y Gestión de Riesgos
Matriz de Riesgos
• Hardware
• Software
• Red
• Personal
• Lugar
• Organización

S
7 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Análisis y Gestión de Riesgos

S
8 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Políticas de Seguridad
- Firewall
- Antivirus
- Cuarto de Equipos
- VPN
- VLAN para NAS
- Manuales y proceso
- Roles de acceso
- BSC
- Estratificación de salarios

O
9 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Políticas de Seguridad

O
10 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Estructura Organizacional para la
Seguridad

Antes

A
11 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Estructura Organizacional para la Seguridad

Después
A
12 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Clasificación y Control de Activos
Publico
‘
Informacion
‘ que si es Uso Interno
Confidencialidad
conocida Confidencial
Secreta

No Afecta
Informacion
‘ que si es Riesgos Leves
Integridad
modificada Riesgos Significativos
Riesgos Graves
Clasificacion
‘ de
la informacion‘
No Afecta
Acceso Temporal a
Riesgos Leves
los Sistemas de
Riesgos Significativos
Informacion
‘ Riesgos Graves

Disponibilidad
No Afecta
No Hay Acceso a los
Riesgos Leves
Sistemas de
Riesgos Significativos
Informacion
‘ Riesgos Graves

S
13 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Seguridad en el Personal
1. Seguridad en la 1. Seguridad en los Puestos de Trabajo
Definicion
‘ de los 2. Compromiso de Confidencialidad
Puestos de Trabajo 3. Terminos
‘ y condiciones de Empleo Más allá del horario
laboral

2. Capacitacion
‘ del
Formación y Capacitación de la Seguridad de la Información
Seguridad Usuario
del Personal Ciberseguridad
1. Comunicación de Incidentes de la Seguridad de la Información
3. Respuesta a
2. Comunicación de debilidades de la Seguridad de la Información
Incidentes de la
3. Comunicación y corrección a problemas en el Software
Seguridad de la
4. Retroalimentación de los Incidentes
Información
5. Procesos Disciplinarios

O
14 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Seguridad Física y del Entorno

1. Perimetro
‘ de Seguridad Fisica
‘
2. Controles de Acceso Fisico
3.Proteccion‘ de Oficinas RETIE Y RETILAP
Seguridad
4. Ubicacion
‘ y Proteccion ‘ de Activos Fijos
Fisica
‘ y del 5. Suministro de Energia ‘ ups
Entorno 6. Mantenimiento de Equipos
7. Políticas de Escritorios y Pantallas Limpias
8. Retiro de los Bienes

O
15 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Gestión de Comunicaciones y Operaciones
1. Documentación de los Procedimientos Operativos
1. Procedimientos y
2. Procedimientos ante Problemas de Seguridad
Responsabilidades Operativos
3. Separación del Problema de Seguridad

2. Planificación de los Sistemas Capacidad de los sistemas de Información

de Información Evaluar y monitorear
3. Protección contra Virus Controles contra Virus

Gestion
‘ de 1. Almacenamiento de la Información
4. Mantenimiento
Comunicaciones 2. Registro de Fallas
y Operaciones
5. Administración de la Red

6.Seguridad del Correo

Electrónico

7. Seguridad de Teams,
SharePoint, OneDrive, CRM
8. Seguridad de Hosting,
Dominios y Pag Web

O
16 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Control De Accesos

S
17 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Desarrollo y Mantenimiento de Sistemas

1. Requerimientos de Análisis y Especificaciones de los

Seguridad de los Sistemas requerimientos de Seguridad

1. Colaboradores
Desarrollo y 2. Seguridad en CRM
2. Roles y Responsabilidades en CRM
Mantenimiento
de Sistemas
3. Seguridad de los Archivos
del Sistema

4. Control e instalación de Software

O
18 29/03/2023 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Gestión de Incidencias
Version: 0.0
FORMATO REPORTE DE INCIDENTES DE SEGURIDAD DE LA INFORMACION Fecha: 18/Ago/2022
Responsable: Gerencia TI
INFORMACION GENERAL DEL REPORTE
Fecha y hora del reporte:
Nombre de quien reporta:
Cargo:
Area:
Correo

INFORMACION GENERAL DEL INCIDENTE

Fecha y hora del incidente:
Lugar o Area del incidente:
No de Solicitud:
Descripcion del Incidente

RECURSO INFORMATICO AFECTADO

Nombre del Recurso:
Ubicacion Fisica:
Informacion que contiene:

Fecha de la ultima copia de seguridad:

S 29/03/2023
19 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Gestión de la Continuidad del Negocio
1. Proceso de la Gestión de la Continuidad
del Negocio
2. Continuidad del Negocio y Análisis de los
impactos
3. Elaboración e Implementación del Plan de
Gestion de
Continuidad del Negocio
la
4. Responsabilidades
Continuidad
5. Estrategias de recuperación
del Negocio
6. Procedimiento
1. Difusión y formación
2. Mejora, actualización y puesta al día
7. Mantenimiento del plan
3. Plan de pruebas
4.Participantes de la prueba

O 29/03/2023
20 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Gestión de la Continuidad del Negocio

Procedimiento

A 29/03/2023
21 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Plan de Seguimiento y Monitoreo
1. Identificación de la Ley
2. Derechos de propiedad intelectual Derechos de propiedad intelectual
del Software
3. Protección de los registros de
TeleVVD

Cumplimiento de
Cumplimiento de la Política de
Requisitos Legales
4. Revisiones de la Política de Seguridad
Seguridad y la Compatibilidad Técnica Verificación de la Compatibilidad
Técnica

5. Controles de Auditorias de Protección a los Elementos de la

Sistemas Auditoria

O 29/03/2023
22 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
 Conclusiones
•La implementación de un sistema de gestión de seguridad informática es
esencial y debe ser obligatorio para todas las empresas ya sean grandes
y/o pequeñas, o de cualquier sector de la economía, ya que la creación de
estas políticas no solo busca cuidar, gestionar y monitorear los recursos
de una organización, si no que eliminaran o disminuirán todas las posibles
fallas de seguridad que puedan ocurrir por desconocimiento o mal uso de
las herramientas o equipos que procesan información.
•Es esencial que las altas gerencias se comprometan en la
implementación de un sistema de gestión de seguridad informática ya
que sin el apoyo de ellos es imposible la puesta en marcha de estas
políticas.

O
23 29/03/20 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
23
 Conclusiones
•Por otra parte, es fundamental que los empleados de la compañía se
concienticen y hagan parte activa del cumplimiento de los diferentes
procesos y procedimientos que traen consigo estas políticas, ya que
son ellos los que mayormente están manejando todas las
herramientas o equipos que almacenan y/o procesan la información.
•Finalmente, el personal que hace parte de las áreas de seguridad
informática, deben ser profesionales altamente calificados y en
constante capacitación y revisión de los estados del arte, ya que
siempre deben estar a la vanguardia de la tecnología y en lo posible
un paso adelante de los ataques que son lanzados por
ciberdelincuentes.

O
24 29/03/20 Propiedad intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
23
 Muchas Gracias

Propiedad
29/03/20
25 intelectual de la UNIVERSIDAD PILOTO DE COLOMBIA® - Año 2017
23