viernes, 27 de noviembre de 2015

2.2.1 Elaboracion del plan de seguridad




Desarrollar un sistema de seguridad significa “planear, organizar, dirigir y controlar las actividades para mantener y garantizar la integridad física de los recursos informáticos, así como resguardar los activos de la Universidad”.

Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad son los siguientes:



  • Establecer   un    esquema   de   seguridad   con   perfecta   claridad  y  transparencia  en  la administración del riesgo.
  • Compromiso de   todo  el  personal  de  la   Universidad con el proceso de seguridad, agilizando la aplicación de los controles con dinamismo y armonía.
  • Ganar calidad con la prestación del servicio de seguridad Convertir a  los   empleados en interventores del sistema de seguridad.



Análisis de las razones que impiden la aplicación de las políticas de seguridad informática

Una de las primeras razones que se enfrenta es convencer a los altos directivos de la necesidad y beneficios de buenas políticas de seguridad informática.

Los tecnicismos informáticos y la falta de una estrategia de mercadeo por parte de los administradores de Informática. Lo que conlleva que se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa.

Los encargados de la seguridad deben confirmar que las personas entienden los asuntos importantes de la seguridad, conocen sus alcances y están de acuerdo con las decisiones tomadas en relación con esos asuntos.



 Responsabilidades

Es responsabilidad del supervisor de Seguridad Informática, desarrollar, someter a revisión y divulgar en adición a los demás medios de difusión (intranet, email, sitio web oficial, revistas internas) de los Procedimientos de Seguridad.  Asimismo, es responsabilidad del supervisor inmediato capacitar a sus empleados en lo relacionado con los Procedimientos de Seguridad.



 Definición de políticas de seguridad informática

Al equipo integrado por el Rector, Directores Académicos y Directores Departamentales y el personal administrativo (ocasionalmente) convocado para fines específicos como:

  • Adquisiciones de Hardware y software
  • Establecimiento      de   estándares  de  la   Universidad   tanto  de hardware como de software
  • Establecimiento dela Arquitectura tecnológica de grupo.
  • Establecimiento de lineamientos para concursos de ofertas


Etapas para el desarrollo de un plan
Las organizaciones que conocen cómo utilizar y evaluar la información corporativa consideran el proceso de planeamiento de seguridad relativamente fácil. Aquellas que no saben cómo hacerlo y esperan encontrar una solución rápida, posiblemente se encuentren con un proceso penoso. Estas cinco etapas básicas pueden ser útiles para el desarrollo de un plan de seguridad de información:

  1. Identificar los tipos de información que exigen protección
  2. Estimar el valor de la información perteneciente a cada tipo
  3. Desarrollar/actualizar una política de seguridad de información que exija la protección según el tipo de información
  4. Definir estándares de protección para cada tipo de información
  5. Crear estándares de monitoreo y administración para verificar la adecuación con los estándares de protección de la información
A medida que las organizaciones realizan estas etapas, el procedimiento de la evaluación de riesgos es esencial para los siguientes aspectos:

  • Identificar la información que exige protección
  • Establecer el valor de esa información en términos de costo de creación, recreación, divulgación o modificación no autorizada
  • Proyectar mecanismos de protección que identifiquen los riesgos residuales
  • Analizar los riesgos/beneficios de los costos residuales relativos a la protección de un determinado tipo de información
  • Establecer medidas de protección adicionales para lograr un mayor nivel de seguridad
Las evaluaciones de los riesgos es parte del programa total de administración de riesgos que la compañía aplica a otras partes de sus operaciones. Así como ocurre con otras actividades de administración de riesgos, la evaluación de la importancia de una información debe ser realizada siempre que hubiera modificaciones en el uso, en el almacenamiento o en el procesamiento. Los resultados de la evaluación de riesgo pueden causar impacto y exigir actualizaciones en el plan general de seguridad de la información y también la adecuación de los requisitos de ese plan. 

Retorno de inversión
Aunque un plan de seguridad de información exija una inversión inicial, una implementación y una administración, el costo que esto significa puede justificarse al considerar el impacto causado en los negocios en caso de que la información valiosa sea comprometida en virtud de robo, destrucción o modificación. De estos casos, el robo y la modificación son, probablemente, los más perjudiciales - asumiendo que un plan de backup de datos haya sido implementado.
El impacto causado por el robo de información por un competidor es relativamente fácil de entender, mientras que los efectos del impacto generado por la modificación de la información son menos obvios. La sutil modificación en la información puede ser perjudicial, afectando decisiones u operaciones, y resultando en daños financieros para la organización.
 

  


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)