Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 33 vistas

    Curso Seguridad Informacion SGSI 09.09

    Cargado por

    Pablo Anton
    El documento presenta el manual de gestión del Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. Describe la estructura y gobernanza del SGSI, incluyendo roles y responsabilidades. También define los objetivos, alcance, documentos clave, análisis FODA, gestión de riesgos, y ciclo de mejora continua del SGSI.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Curso Seguridad Informacion SGSI 09.09

    Cargado por

    Pablo Anton
    33 vistas12 páginas
    El documento presenta el manual de gestión del Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. Describe la estructura y gobernanza del SGSI, incluyendo roles y responsabilidades. También define los objetivos, alcance, documentos clave, análisis FODA, gestión de riesgos, y ciclo de mejora continua del SGSI.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento presenta el manual de gestión del Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. Describe la estructura y gobernanza del SGSI, incluyendo roles y responsabilidades. También define los objetivos, alcance, documentos clave, análisis FODA, gestión de riesgos, y ciclo de mejora continua del SGSI.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    33 vistas12 páginas

    Curso Seguridad Informacion SGSI 09.09

    Cargado por

    Pablo Anton
    El documento presenta el manual de gestión del Sistema de Gestión de Seguridad de la Información (SGSI) de una organización. Describe la estructura y gobernanza del SGSI, incluyendo roles y responsabilidades. También define los objetivos, alcance, documentos clave, análisis FODA, gestión de riesgos, y ciclo de mejora continua del SGSI.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 12

    Manual de Gestión del SGSI

    1. Objetivo
    2. Alcance
    3. Documentos  relacionados
    4. Generalidades
    • Responsabilidad  del  documento
    • Mantención  del  documento
    • Cumplimiento
    • Roles  y  responsabilidades  generales
    • Definiciones
    5. Descripción  de  la  Organización
    • Contexto  Interno  de  la  Organización
    • Contexto  Externo  de  la  Organización
    6. Definición  de  las  Partes  Interesadas
    7. Análisis  FODA
    8. Objetivos  Específicos  del  SGSI
    9. Alcance  para  el  SGSI
    • Alcance  General
    • Alcance  Certificación
    10.Marco  del  SGSI
    11.Estructura  del  SGSI
    • Estructura  de  Gestión  del  SGSI
    • Estructura  F uncional  del  SGSI
    12.Estructura  Documental  para  el  SGSI
    13.Gestión  de  Riesgos  de  Seguridad  de  la  Información
    14.Evaluación  del  Rendimiento
    15.Mejora  Continua  del  SGSI
    16.Comunicación
    De esta forma, la gobernanza y gestión tecnológica a través de SSTC, se centraliza en la figura de un CIO Corporativo, quien estructura su ámbito de
    responsabilidades en ocho (8) pilares fundamentales, los cuales se traducen en Gerencias Corporativas con dependencia jerárquica directa como se muestra a
    continuación:

    Ilustración  1.  Organigrama  de  Alto  Nivel  CIO  Corporativo  (SSTC).

    Ilustración 2. Alcance de la prestación de servicios de SSTC a nivel corporativo


    En línea con el objetivo de establecer de forma concreta el funcionamiento y estructura base que debe tener el SGSI, se establece una priorización de las
    partes interesadas y sus necesidades o intereses en la seguridad de la información antes descritos, la cual se representa a continuación:

    Ilustración 3. Priorización de partes interesadas en función de sus intereses y relación con el negocio.
    De esta forma, del análisis de las fortalezas, oportunidades, debilidades y amenazas definidas anter iormente, se obtienen los lineamientos estratégicos que dan
    forma a los requisitos esperados del SGSI de SSTC:

    Tabla 1. Lineamientos estratégicos para el SGSI.


    FORTALEZAS DEBILIDADES
    POTENCIALIDADES DESAFÍOS
    Aprovechando la estructura funcional, el SGSI ya SSTC tiene el desafío de adentrarse en un proceso
    OPORTUNIDADES

    conformado, el apoyo de la alta dirección y las continuo, formal y validado por las entidades pertinentes;
    mayores exigencias de los reguladores en materia de mantención y mejora continua de su SGSI, alineado de
    de seguridad de la información; se podrá forma natural con las mejores prácticas del mercado.
    establecer un proceso de mantención y mejora
    continua del SGSI certificado bajo un marco de
    referencia líder en el mercado.

    ADVERTENCIAS RIESGOS
    SSTC actualmente cuenta con un SGSI El no contar con una visión externa certificada del SGSI
    corporativo que hace frente cada vez más a las puede dejar fuera de la óptica del negocio brechas o
    frecuentes y complejas amenazas cibernéticas, el malas prácticas existentes dentro del proceso de gestión
    AMENAZAS

    cual, de ser certificado bajo un marco de de la seguridad de la información que, en función de las
    referencia líder de mercado; generaría un valor más frecuentes y complejas amenazas del ecosistema,
    para el negocio, siendo la primera empresa de pueden significar un riesgo para SSTC.
    tecnología a nivel nacional con estas
    características.
    Para  lograr  l a  satisfacción  de  l as  necesidades  de  las  partes  i nteresadas  internas  y  externas,  se  definen  l os  siguientes  objetivos  específicos  del  SGSI  j unto  
    con  sus  respectivos  requisitos:

    Tabla 2. Objetivos específicos del SGSI y sus requisitos .

    Objetivo Específico Requisitos

    Riesgos: • Gestionar los riesgos emergentes y actuales, así como los asociados a nuevas
    tecnologías.
    Gestionar los riesgos de seguridad
    de la información de forma eficiente. • Evaluación continua de efectividad de controles (KRIs, KCIs y KPIs).
    • Empoderar los roles de los OSI en los negocios del Corporativo.

    • Evaluar los riesgos y controles de los proyectos que conforman el Master Plan de
    Seguridad de la Información.

    Monitoreo: • Desarrollar una ciberinteligencia de alto nivel.


    Implementar un centro de monitoreo • Monitoreo continuo del ciberespacio.
    de clase mundial.
    • Responder tempranamente a los ataques y nuevas amenazas.

    • Preparación para responder a crisis.


    Ecosistema: • Definir e implementar una arquitectura de seguridad de la información para ambientes
    nube.
    Gestionar la seguridad en los
    ecosistemas físico y digital. • Digitalizar la ciberseguridad en proyectos y productos.
    • Incrementar la seguridad en los datos.
    • Implementar un Datalake de Ciberseguridad
    Awareness: • Educar y concientizar en seguridad de la información y ciberseguridad.
    Generar cultura de ciberseguridad. • Obtener el compromiso de los colaboradores con la ciberseguridad.

    • Capacitación continua de equipos técnicos en lineamientos de ciberseguridad


    Para  el  c umplimiento  de  l os  objetivos  declarados  anteriormente,  el  SGSI  de  SSTC  plantea  un  marco  de  trabajo  basado  en  la  norma  ISO  2 7.001:2013,  c uyo  
    modelo  sigue  l as  fases   del  c iclo  de  Deming,  tal  c omo  se  muestra:

    Ilustración 4. Ciclo de Deming aplicado al SGSI de SSTC


    La Gerencia de Seguridad de la Información, a través de la Subger encia de Riesgos y Gobierno de SI, proporciona la metodología para la gestión de la
    seguridad de la información, y en coordinación con las áreas r elacionadas, promueve la implementación de controles de seguridad de la información,
    asegurándose el cumplimiento de la política de seguridad de la información definida por la organización.

    Ilustración  5 .  Estructura  de  Gestión  del  SGSI  de  SSTC.


    Para  una  c orrecta  administración  de  l a  seguridad  de  l a  i nformación  a  nivel  c orporativo,  el  SGSI  de  SSTC  se  estructura  bajo  un modelo  de  tres  (3)  líneas,  l as  
    cuales  se   representan  a  continuación:

    Ilustración  6 .  Diagrama  de  estructura  funcional  del  SGSI  de  SSTC.


    SSTC  cuenta  c on  políticas  de  seguridad  de  l a  i nformación  de  alcance  c orporativo,  que  son  aprobadas  por  l a  Alta  Dirección  y  l as  áreas  dueñas  de  los  
    procesos,  dependiendo  del  tipo  de  documento  según  l a  pirámide  documental  del  SGSI:

    Ilustración  7 .  Pirámide  documental  para  el  SGSI  de  SSTC.


    Para  orquestar  un  proceso  de  gestión  de  riesgos  de  seguridad  de  la  i nformación  que  permita  dar  c umplimiento  a  l os  objetivos  planteados  para  el  SGSI  de  
    SSTC,  se  ha  establecido  un  modelo  de  riesgos  que  entrega  las  bases  corporativas  para  l a  i dentificación,  evaluación,  tratamiento   y  c omunicación  de  l os  
    riesgos  en  esta  materia.  En  este   contexto,  el  SGSI  de  SSTC  establece  el  siguiente  mapa  de  riesgos:

    Ilustración  8 .  Mapa  de  riesgos  de  seguridad  de  l a  información.

    Tabla  3.  Directrices  de  tratamiento  de  riesgos  de  seguridad  de  la  i nformación.
    Tabla  3.  Ejemplo  Matriz  de  Riesgo  .
    Tabla  3.  Ejemplo  Matriz  de  Riesgo  .

    También podría gustarte