jueves, 19 de agosto de 2021

Evolución Función Seguridad

La seguridad informática debe ser un compromiso de toda la organización 
 
Las empresas suelen tener un Encargado de seguridad, con la Función Seguridad

 


La función es identificar acciones que puedan afectar a la seguridad, con expertos informáticos
 
Con el uso de los sistemas, se identificó que se debía involucrar a la organización y que la seguridad no era sólo de la parte informática. El nivel jerárquico superior debe aprobar los temas relacionados a seguridad. 




Se dispone de un marco jurídico y normativo
 
Norma de control interno de la Contraloría General del Estado
En el literal 410 Desarrolla Tecnología de la Información "Las entidades y organismos del sector público deben estar acopladas en un marco de trabajo para procesos de tecnología de información que aseguren la transparencia y el control, así como el involucramiento de la alta dirección, por lo que las actividades y procesos de tecnología de información de la organización deben estar bajo la responsabilidad de una unidad que se encargue de regular y estandarizar los temas tecnológicos a nivel institucional. 
La estructura en 17 componentes: Organización informática, Segregación de funciones, Plan informático estratégico de tecnología, Políticas y procedimientos, Modelo de información organizacional, Administración de proyectos tecnológicos, Desarrollo y adquisición de software aplicativo, Adquisiciones de infraestructura tecnológica, Mantenimiento y control de la infraestructura tecnológica, Seguridad de tecnología de información, Plan de contingencias, Administración de soporte de tecnología de información, Monitoreo y evaluación de los procesos y servicios, Sitio web, servicios de internet e intranet, Capacitación informática, Comité informático y Firmas electrónicas.
 
Política Nacional de ciberseguridad - Registro Oficial Suplemento 479 de 23-jun.-2021

Iso 17799 Alinearse a Sistema de Gestión de Seguridad de los sistemas de información

La estructura de la normatividad de gestión en seguridad de sistemas de información, está especificada en 15 componentes: política de seguridad, organización de la seguridad, control y clasificación de los recursos de información, seguridad de personal, seguridad física y ambiental, manejo de las comunicaciones y las operaciones, control de acceso, desarrollo y mantenimiento de los sistemas, manejo de la continuidad de la empresa, así como el cumplimiento.
 
Iso 27001 Certificarse por un organizmo independiente y calificado, luego que la organización meneje Iso 17799, es posible hacer por partes

 


CSIRT Seguridad Informática
"Cada vez que se tiene un incidente de seguridad, una respuesta rápida y adecuada es la clave. Y es aquí donde los CSIRTs entra en la ecuación.

Un CSIRT es un equipo de expertos en seguridad de TI que responde a amenazas o incidentes de seguridad de la información. Los CSIRT tienen la capacidad y competencia para detectar y manejar estos incidentes y/o amenazas así como de ayudar a sus miembros a recuperarse de estos ataques.

De forma proactiva un CSIRT puede ofrecer diversos servicios con la finalidad de mitigar vulnerabilidades y riesgos, hacer conciencia y educar a sus miembros con el desarrollo y mejora de los servicios de seguridad de ellos."

 
 
La seguridad informática debe procurar que la organización no salga en noticias de primera plana
Para emprender este proyecto el equipo debe manejar
Sistema Gestión de Calidad (ISO 9001)

Guía de gestión de proyectos del PMI - Guía PMBOK® – Séptima Edición - 2021

Gestión por procesos

 

 

 

 

 

 
 
 

No hay comentarios:

Publicar un comentario