TP2 - Organizacion de Seguridad

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 10

Gestión Estratégica de

Ciberseguridad
"TP2 - Estructura Organizativa de Seguridad"
Contenido
1. INTRODUCCIÓN 4
1.1. OBJETO DEL DOCUMENTO 4
1.2. CONTENIDO DEL DOCUMENTO 4
2. MODELO ORGANIZATIVO DE SEGURIDAD 4
2.1.1. Propietario 4
2.1.2. Custodio 5
2.1.3. Usuario 5
2.2. ACTIVIDADES DE SEGURIDAD 5
2.2.1. Define 5
2.2.2. Implanta 6
2.2.3. Mantiene 6
2.2.4. Controla 6
2.2.5. Esquema de la Seguridad de la Información 7
3. ORGANIZACIÓN DE LA SEGURIDAD 7
3.1. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN 7
3.1.1. Objetivo 8
3.1.2. Funciones 8
3.1.3. Integrantes 8
3.1.4. Reporte de Actividades 8
3.1.5. Convocatoria 8
3.1.6. Registro de Actividades 9
3.2. DIRECCIÓN DE SEGURIDAD DE LA INFORMACIÓN 9
3.2.1. Responsabilidades de Organización de la Seguridad 9
3.2.1.1. Director de Seguridad de la Información 9
3.2.1.2. Coordinador de Seguridad de la Información 9
3.2.1.3. Consultor de Seguridad de la Información 10
3.2.1.4. Contralor de Seguridad de la Información 10
4. CONCLUSIONES 11
1. INTRODUCCIÓN

1.1. OBJETO DEL DOCUMENTO

Para poder responder de forma eficaz y eficiente a los retos de la seguridad de la información
en la Municipalidad, se deben organizar y estructurar las responsabilidades y las funciones
relacionadas con la seguridad, así como asegurar que no existan lagunas. El objeto de este
documento es describir y documentar la estructura de responsabilidades, competencias y
relaciones relativas a la seguridad de la información en la Municipalidad.

1.2. CONTENIDO DEL DOCUMENTO

En el presente documento podremos encontrar dos partes claramente diferenciadas:

● MODELO ORGANIZATIVO DE LA SEGURIDAD DE LA INFORMACIÓN: Explicación


general del modelo organizativo de la Seguridad de la Información para abordar los
cambios propuestos con el conocimiento previo suficiente.
● ORGANIZACIÓN DE SEGURIDAD DE LA INFORMACIÓN: Explicación del mapa de
organización de seguridad, así como la creación de funciones y roles en la
Municipalidad.

2. MODELO ORGANIZATIVO DE SEGURIDAD

2.1. ACTORES DE SEGURIDAD

2.1.1. Propietario

Son empleados a los que se les ha asignado la responsabilidad de la gestión y utilización de


una información en particular. Los Propietarios deberán ser empleados, preferentemente
personal directivo de la organización. Entre las responsabilidades de los propietarios de
información se encuentran:

● Asignar los niveles iniciales de clasificación de información.


● Revisión periódica de la clasificación de la información con el propósito de verificar que
cumpla con los requerimientos del organismo.
● Asegurar que los controles de seguridad aplicados sean consistentes con la
clasificación realizada.
● Determinar los criterios y niveles de acceso a la información.
● Revisar periódicamente los niveles de acceso a los sistemas a su cargo.
● Determinar los requerimientos de copias de respaldo para la información que les
pertenece.
● Tomar las acciones adecuadas en caso de violaciones de seguridad.
● Verificar periódicamente la integridad y coherencia de la información producto de los
procesos de su área.
2.1.2. Custodio

El custodio será el encargado de tener la posesión de la información, y gestionar los sistemas


que utilizan esta información. Es el responsable de la administración diaria de la seguridad en
los sistemas de información y el monitoreo del cumplimiento de las políticas de seguridad en
los sistemas que se encuentran bajo su administración. Sus responsabilidades son:

● Administrar accesos a nivel de red (sistema operativo).


● Administrar accesos a nivel de bases de datos.
● Administrar los accesos a archivos físicos de información almacenada en medios
magnéticos (diskettes, cintas), ópticos (cd ́s) o impresos.
● Implementar controles definidos para los sistemas de información, incluyendo
investigación e implementación de actualizaciones de seguridad de los sistemas
(service packs, fixes, etc.) en coordinación con el área de seguridad informática.
● Desarrollar procedimientos de autorización y autenticación.
● Monitorear el cumplimiento de la política y procedimientos de seguridad en los activos
de información que custodia.
● Investigar brechas e incidentes de seguridad.
● Entrenar a los empleados en aspectos de seguridad de información en nuevas
tecnologías o sistemas implantados bajo su custodia.
● Asistir y administrar los procedimientos de backup, recuperación y plan de continuidad
de sistemas.

2.1.3. Usuario

El usuario es toda persona que tiene acceso a la información y/o sistemas de la organización,
para su uso. Sus responsabilidades son:

● Mantener la confidencialidad de las contraseñas de aplicaciones y sistemas.


● Reportar supuestas violaciones de la seguridad de la información.
● Asegurarse de ingresar información adecuada a los sistemas.
● Adecuarse a las políticas de seguridad de la Municipalidad.
● Utilizar la información de la Municipalidad únicamente para los propósitos autorizados.

2.2. ACTIVIDADES DE SEGURIDAD

Las actividades de seguridad deben existir dentro de la Municipalidad para preservar la


seguridad de la información y deben estar detallados los roles del área, departamento o unidad
que:

2.2.1. Define

Esta unidad será la responsable de:


● Establecer los requerimientos y necesidades sobre temas de seguridad, en función a las
necesidades del negocio y en pro del organismo.
● Establecer las iniciativas en materias de seguridad entre las que están:
o Definición estratégica de la seguridad de la información.
○ Definición de responsabilidades de la seguridad de la información.
○ Definición tecnológica de la seguridad de la información.
○ Definición de la separación de entornos y funciones.
○ Definición del marco normativo de seguridad de la información.
○ Definición de los métodos de concientización a aplicar.
● Garantizar la definición de los controles de seguridad que abarque todo el ciclo de vida
de los sistemas de información.

2.2.2. Implanta

La unidad encargada de la implantación de la seguridad de la información deberá llevar


adelante las tareas que han sido establecidas por el área encargada de la definición:

● Llevar a cabo los proyecto e implementaciones en el área de seguridad.


● Mantener la infraestructura de seguridad.
● Realizar actualizaciones constantes sobre los sistemas de seguridad.
● Desarrollar y capacitar el personal en términos de seguridad de la información.

2.2.3. Mantiene

La unidad encargada del mantenimiento de la seguridad de la información deberá llevar


adelante las tareas que han sido establecidas por el área encargada de la definición:

● Dar soporte sobre los aplicaciones e infraestructura.


● Mantener actualizadas las políticas de seguridad de la información.
● Realizar chequeos frecuentes de posibles fallas o vulnerabilidades de la infraestructura.

2.2.4. Controla

La unidad encargada del seguimiento y control de la seguridad de la información deberá:

● Controlar que los colaboradores hagan uso correcto de la información.


● Controlar los accesos y permisos de los usuarios a la información.

2.2.5. Esquema de la Seguridad de la Información

Organización propuesta para la Gestión, Implantación, Auditoría y Definición de la Seguridad:


Se crea la Dirección de Seguridad de la Información, así como los Comités correspondientes.
Se dividen las funciones según lo indicado

● Definición. La Dirección de Seguridad de la Información será la encargada de las


definiciones, en asociación con el área de Asesoría Legal, la cual actuará como
consultora en materia de legislación
● Implantación. La función estará a cargo de las áreas de Desarrollo de Software y
Comunicaciones junto al Departamento Operativo. A su vez, la Dirección de RR.HH. &
RR. II. será responsable por proveer entrenamiento en materia de seguridad y proveer
el personal necesario
● Gestión. La función estará a cargo de las áreas de Desarrollo de Software y
Comunicaciones junto al Departamento Operativo.
● Auditoría. Se llevará a cabo por el área de Auditoría de Seguridad junto al área de
Control de Gestión

3. ORGANIZACIÓN DE LA SEGURIDAD

3.1. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN

Es el grupo responsable por el mantenimiento y mejora continua del sistema de seguridad de la


información de la Municipalidad. Adicionalmente, están a cargo de la ejecución y reporte de las
acciones requeridas para mantener los niveles de seguridad establecidos.
3.1.1. Objetivo

● Impulsar, asegurar y responder por la seguridad de información de una organización.


● Contar con un espacio para debatir la gestión de la seguridad, además de asignar
responsabilidades.
● Está a cargo de aprobar políticas y asegurar que los recursos de la organización
cumplan con lo definido en las mismas.

3.1.2. Funciones

● Evaluar y crear estrategias y planes para disminuir los riesgos.


● Facilitar los recursos humanos, tecnológicos y financieros para el cumplimiento de las
estrategias de seguridad.
● Crear, aprobar y revisar la política de seguridad de la información.
● Monitorear los incidentes críticos y recibir informes sobre métricas de cumplimiento en
aspectos de Seguridad de Información.
● Monitorear y Comunicar el estado del programa al Intendente mediante Dashboards y/o
Métricas de Seguridad.
● Accionar ante amenazas identificadas frente al programa de seguridad, mediante
iniciativas que mejoren el nivel de seguridad.

3.1.3. Integrantes

El comité debe estar compuesto por representantes de todas las áreas funcionales de la
Municipalidad. El cual tiene como objetivo principal, apoyar a las iniciativas propuestas por el
área de Dirección de Seguridad de Información.

3.1.4. Reporte de Actividades

El Comité de Seguridad reportará de manera funcional al Comité Ejecutivo de Seguridad de


Información y de manera lineal al área de Planificación e Innovación.

3.1.5. Convocatoria

Las sesiones serán convocadas por el Líder del Comité de Seguridad, las cuales se darán 2
veces por mes (mitad y fin de mes). Adicionalmente, el Comité podrá ser citado por el Líder
para sesiones extraordinarias cuando las circunstancias lo ameriten; por ejemplo:

● Incidentes de Seguridad.
● Mantenimiento de Emergencia de Sistemas Críticos.
● Interrupción en la Continuidad de Negocio.
● Incumplimiento de la Política de Seguridad de Información.

3.1.6. Registro de Actividades

El Comité de Seguridad de Información se regirá por el Estatuto del Municipio del Comité de
Seguridad de la Información mediante actas. Una vez culminada la sesión, estas actas serán
transcritas al documento que almacenará todas las sesiones llevadas a cabo y que serán
enviadas posteriormente a la Dirección de Seguridad de la Información.

3.2. DIRECCIÓN DE SEGURIDAD DE LA INFORMACIÓN

3.2.1. Responsabilidades de Organización de la Seguridad

3.2.1.1. Director de Seguridad de la Información


Competencia: Seguridad de la Información
Reporta a: Secretaría Hacienda y Producción
El Director de Seguridad de la Información, dirige, coordina, planifica, organiza y
controla las actividades de seguridad de la información en todo la Municipalidad.
Es el foco de todas las comunicaciones vinculadas con la seguridad de la
información, ya sea con el personal interno como con terceras partes. Se relaciona
con las diferentes unidades funcionales para que manifiesten sus necesidades, y
brinda respuestas proactivas a los riesgos actuales y futuros a los que pueda estar
expuesta la información.
Perfil Requerido:
▪ Acreditada experiencia en el campo de la seguridad de las tecnologías de
la información y en auditorías técnicas (5 años de experiencia en el
puesto y 3 años de experiencia en gestión de proyectos IT)
▪ Experiencia en normas de certificación SGSI (ISO/IEC 27001) utilizando
como marco de referencia las áreas de actuación definidas en el Código
de Buenas Prácticas de Seguridad de la Información (ISO/IEC 27002).
▪ Capacidad y experiencia para liderar equipos multidisciplinarios.

▪ Deseable certificación CISSP, CISA, CISM o similar.

3.2.1.2. Coordinador de Seguridad de la Información


Competencia: Seguridad de la Información
Reporta a: Director de Seguridad de la Información

Como portavoz interno del Área de Seguridad de la Información, está a cargo del
soporte general y del cumplimiento de los requerimientos de seguridad.

Perfil Requerido:
▪ Acreditada experiencia en el campo de la seguridad de las tecnologías de
la información y en auditorías técnicas (3 años de experiencia en el
puesto y 2 años de experiencia en gestión de proyectos IT)
▪ Experiencia en normas de certificación SGSI (ISO/IEC 27001) utilizando
como marco de referencia las áreas de actuación definidas en el Código
de Buenas Prácticas de Seguridad de la Información (ISO/IEC 27002).
▪ Capacidad para trabajar y liderar equipos.

▪ Deseable certificación CISSP, CISA o similar.

3.2.1.3. Consultor de Seguridad de la Información


Competencia: Seguridad de la Información
Reporta a: Director de Seguridad de la Información

El Consultor de Seguridad asesorará en términos técnicos organizativos sobre


cuestiones, inquietudes y problemas relacionados con la seguridad de la
Municipalidad.

Experto conocedor de las cuestiones internas de la Municipalidad, colabora


diligentemente en la mejora de la seguridad de los Sistemas de Información.
Trabajando desde el Área de Seguridad de la Información, será el encargado de
definir las cuestiones técnicas que luego serán implementadas por el área de
operaciones.
Perfil Requerido:
▪ Acreditada experiencia en el campo de la seguridad de las tecnologías de
la información (Al menos 3 años de experiencia acreditada en el puesto)
▪ Experiencia deseable en normas de certificación SGSI (ISO/IEC 27001)
utilizando como marco de referencia las áreas de actuación definidas en
el Código de Buenas Prácticas de Seguridad de la Información (ISO/IEC
27002).
▪ Deseable certificación CISSP, CISA o similar.

3.2.1.4. Contralor de Seguridad de la Información


Competencia: Seguridad de la Información.
Reporta a: Director de Seguridad de la Información.

El Contralor Técnico de Seguridad de la Información verificará que todos los


sistemas y aplicaciones de negocio desarrollados por personal interno o por
terceros, incluyan las medidas de seguridad adecuadas; supervisando la
implantación de los sistemas o módulos de seguridad y verificando que todas las
tareas de operación, administración y explotación de los sistemas poseen controles
de seguridad apropiados.

Perfil Requerido:
▪ Acreditada experiencia en el campo de la seguridad de las tecnologías de
la información y en auditorías técnicas (Al menos 3 años de experiencia
acreditada en el puesto)
▪ Experiencia deseable en normas de certificación SGSI (ISO/IEC 27001)
utilizando como marco de referencia las áreas de actuación definidas en
el Código de Buenas Prácticas de Seguridad de la Información (ISO/IEC
27002).
▪ Deseable certificación CISSP, CISA o similar.

4. CONCLUSIONES

La presente propuesta de Gestión Organizativa de Seguridad propone un modelo inicial pero


robusto para la Gestión de la Seguridad de la Información, considerando las cuatro actividades
principales que deben procurarse para la correcta implantación de una política de seguridad y
las normas y procesos asociados. Se contemplan las capacidades necesarias para instaurar
Comités para la toma de decisiones, gestión de recursos y procesos, definiciones, etc.

También podría gustarte