Plan Mejor a Seguridad
-
Upload
edgar-gaitan -
Category
Documents
-
view
216 -
download
0
Transcript of Plan Mejor a Seguridad
-
7/26/2019 Plan Mejor a Seguridad
1/10
Datos Generales
1. Nombre del aprendiz: EDGAR FRANCISCO GAITAN MARTINEZ
2. Nmero de identificacin: 79.147.3523. Nombre del Tutor: JUAN FERNADO HURTADO RIVERA4. Ciudad y Fecha: Bogot D.C., 7 de junio de 2016
Descripcin de la actividad
Una vez tenga diligenciada la plantilla con el ejemplo presentado, tome unaempresa como referente y estudie la situacin actual de la organizacin haciendo unanlisis objetivo donde exponga un plan de mejora enfatizando en aquellos dominiosque considere son claves y redundan en el cumplimiento de sus tareas como
administrador de bases de datos.
Descripcin de la empresa
Plsticos Calidad es una empresa ubicada en la ciudad de Bogot, D. C.,dedicada a la elaboracin de productos plsticos cuya actividad principal es laelaboracin y comercializacin de bolsas plsticas y empaques tetra pack paradiferentes productos, considerada entre las empresas de tamao mediado por tener untotal del 150 empleados entre operarios y administrativos.
Justificacin
Con el fin de mejorar las prcticas de seguridad de la informacin de la empresaPlsticos Calidad se evala la situacin actual de dicha empresa encontrandoalgunas deficiencias en este mbito, por lo cual se elaboran diferentes propuestas demejoramiento encaminadas a estandarizar y corregir las falencias detectadas teniendoen cuenta la norma ISO 27002.
Plan de mejora propuesto
Al evaluar la situacin actual de la empresa Plsticos Calidad se evidencianalgunas falencias en las polticas de seguridad de la informacin que conllevan a crear5 propuestas de mejora sobre los dominios claves para la administracin de informacin
-
7/26/2019 Plan Mejor a Seguridad
2/10
en dicha empresa. Los dominios relacionados con las propuestas hechas son lossiguiente:
Dominios
P r o p u e s t a 1 Poltica de Seguridad
P r o p u e s t a 2 Clasificacin y Control de Activos
P r o p u e s t a 3 Seguridad Fsica y del Entorno
P r o p u e s t a 4 Gestin de Comunicaciones y Operaciones
P r o p u e s t a 5 Control de Accesos
Nota: Para la presentacin de las propuestas se ha utilizado el formato de laUniversidad de la Corua sugerido por el tutor.
Propuesta
Dominio Poltica de seguridad
Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa presenta falencias evidenciadas en el desconocimiento por parte de susempleados de las polticas de seguridad de la informacin existentes en la compaa yque actualmente no se encuentran divulgadas correctamente a los empleados.
Denominacin de la propuesta demejora
Desarrollo de actividades para dar a conocer la polticade seguridad de la informacin
Punto dbil detectado Al ingresar un nuevo empleado no se capacitaadecuadamente sobre el cumplimiento de las polticasde seguridad
Los empleados y servicios tercerizados que acceden ala informacin no firman ningn acuerdo deconfidencialidadFalta de difusin de las polticas establecidas en toda laorganizacin
Falta de compromiso en la aplicacin de las polticas deseguridad
mbito de aplicacinX Gestin de procesos
X RecursosX Informacin, comunicacin, participacin
Responsable de su aplicacin Recursos Humanos
Planificacin de la accinObjetivos especficos de la accin Incluir un procedimiento de capacitacin para nuevos
empleados sobre las polticas de seguridad de lainformacin
-
7/26/2019 Plan Mejor a Seguridad
3/10
Denominacin de la propuesta demejora
Desarrollo de actividades para dar a conocer la polticade seguridad de la informacin
Realizar el proceso para la creacin del documentoAcuerdo de Confidencialidad de acuerdo a la leyDesarrollar herramientas que permitan difundir laspolticas de seguridad a todos los miembros de laorganizacin
Publicar las actualizaciones de las polticas deseguridadImplantacin de acciones de mejora
Actuaciones a desarrollar Revisin y modificacin del procedimiento establecidopara la induccin del nuevo personal
Gestionar la creacin del documento de Acuerdo deConfiabilidad y la firma de todos los empleadosCreacin de cartilla con las polticas de seguridad
Establecer cronograma de capacitacin sobre laspolticas de seguridad, para las diferentes reas de laorganizacinEnviar correos informativos cuando surjanactualizaciones de las polticas (Actualizacin de lacartilla)
Desarrollo de propuesta para la creacin de un videoinstitucional en el que se hable y resalte la importanciadel cumplimiento de las polticas de seguridadestablecidas.Evaluacin de la efectividad de las medidas tomadas
Periodo de ejecucin previsto 6 meses
Recursos, financiacin necesaria Gastos 500.000 (Cartillas, Instructivos,Documentos, etc)
Horas extras N/AIndicadores de ejecucin accin Evaluaciones de seguimiento
Responsable de su seguimiento Recursos humanos, jefe del rea se sistemasNivel de cumplimiento de la accin Total
Resultados obtenidos/Accin Anlisis de las evaluaciones de seguimientoGrado de satisfaccin Alto
Observaciones N/A
Propuesta 2
Dominio Clasificacin y control de activos
Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa no cuenta con ningn sistema de gestin de inventarios actualizado y por talmotivo no se realiza un uso adecuado de los activos de la empresa.
-
7/26/2019 Plan Mejor a Seguridad
4/10
Denominacin de la propuesta de mejora Actualizacin de inventarios
Punto dbil detectado Existe un registro de los activos de la empresa,pero este no se encuentra actualizado
El inventario de activos no contempla losrecursos informticos ni los de softwareNo se cuenta con una rotulacin estandarizada
No se realiza una asignacin oficial de equipos
No se realiza una entrega oficial de equiposmbito de aplicacin
X Gestin de procesosX Recursos
X Informacin, comunicacin, participacin
Responsable de su aplicacinJefe del rea se sistemas, Jefe del rea de
almacnPlanificacin de la accin
Objetivos especficos de la accin Actualizacin del inventarioEstandarizacin de la rotulacin de equipos
Creacin de formato de responsabilidad deequipos
Creacin de formato de entrega de equiposActuaciones a desarrollar Elaborar un rotulo estndar para los equipos
Elaborar un inventario de activos de informacin
Crear formato de responsabilidad de equipos
Crear formato de devolucin de equipos
Realizar actualizacin del inventarioPeriodo de ejecucin previsto 3 meses
Recursos, financiacin necesaria Lectora de cdigo de barras $200.000
Rotulacin (stiker) $100.000Indicadores de ejecucin accin Inventario general acorde a inventarios equipos
en uso y en bodega
Responsable de su seguimiento Jefe del rea se sistemas, Jefe del rea dealmacn
Nivel de cumplimiento de la accin Total
Resultados obtenidos/Accin Conocimiento total de activos y recursos
Grado de satisfaccin Alto
Observaciones N/A
-
7/26/2019 Plan Mejor a Seguridad
5/10
Propuesta 3
Dominio Seguridad fsica y del entorno
Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa cuenta con un control de acceso a sus instalaciones que no garantiza laseguridad de la informacin y recursos y que debe ser modificado en su totalidad paragarantizar el uso adecuado de los mismos por el personal autorizado.
Denominacin de la propuesta de mejora Aumento de la seguridad fsica de las oficinasadministrativas
Punto dbil detectado La seguridad de acceso existente de las oficinasadministrativas puede ser violada con facilidad
Falta de mantenimiento a las tomas elctricas
Falta de conciencia de los usuarias frente alreporte de riesgos reales o potenciales sobre elcableado, equipos de cmputo o decomunicaciones
Falta de conocimiento de los usuarios sobre laresponsabilidad que tienen de proteger lasunidades de almacenamiento que se encuentrenbajo su cargo
mbito de aplicacin
Gestin de procesos
X RecursosX Informacin, comunicacin, participacin
Responsable de su aplicacin
Gerencia
Planificacin de la accin
Objetivos especficos de la accin Aumentar la seguridad de acceso a las oficinasadministrativas
Revisin de todas las tomas elctricas a las queestn conectados equipos por parte de personalcapacitado
Cambio de las tomas elctricas defectuosas
Aumentar la conciencia de responsabilidad de
los usuarios frente a sus equipos y reas detrabajoActuaciones a desarrollar Cambiar puertas
Establecer controles de acceso mediante carnetso registro biomtricoRealizar mantenimiento de tomas elctricas
-
7/26/2019 Plan Mejor a Seguridad
6/10
Solicitar capacitacin a la ARL sobre el papel delusuario en la construccin de reas seguras detrabajo
Realizar campaa de buenas prcticas paramantener el rea de trabajo limpia
Periodo de ejecucin previsto 6 meses
Recursos, financiacin necesaria Cambios fsicos en lasinstalaciones
$5.000.000
Mejoramiento de lainfraestructura elctrica
$2.000.000
Mano de obra $3.000.000
Carnetizacion empleados $4.000.000Indicadores de ejecucin accin Controles acceso ptimos
Responsable de su seguimiento Gerencia Area de Seguridad y Sistemas
Nivel de cumplimiento de la accin TotalResultados obtenidos/Accin Acceso a personal autorizado carnetizacion de
los mismo
Grado de satisfaccin AltoObservaciones N/A
Propuesta 4
Dominio Gestin de comunicacin y operaciones
Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa no cuenta con un control de los manuales de procedimientos.
Denominacin de la propuesta de mejora Manejo adecuado de recursos y procedimientospara la gestin de la informacin
Punto dbil detectado Operacin incorrecta de recursos de tratamientode la informacin
Procedimientos de seguridad de la informacindesactualizados
Deteccin de software malicioso en algunosdispositivosDeficiencia en administracin de copias deseguridad de los equipos y dispositivos
mbito de aplicacin
X Gestin de procesosX RecursosX Informacin, comunicacin, participacin
Responsable de su aplicacinrea de Sistemas
Planificacin de la accin
-
7/26/2019 Plan Mejor a Seguridad
7/10
Objetivos especficos de la accin Mejorar la operacin de los recursos detratamiento de la informacin
Actualizar los procedimientos de seguridad de lainformacin de acuerdo a las normasestablecidas nacional e internacionalmente
Revisin y actualizacin de software paradeteccin de aplicaciones maliciosas
Creacin y ejecucin de plan de manejo decopias de seguridad de los equipos y dispositivoscon informacin crtica para la empresa
Actuaciones a desarrollar Actualizacin de manuales y procedimientos quegaranticen la seguridad de la informacin
Programacin de actualizaciones en lnea desoftware para deteccin de vulnerabilidades enla red
Establecer cronograma para crear copias deseguridad de equipos con informacin crticapara la estabilidad del negocio
Periodo de ejecucin previsto 6 Meses
Recursos, financiacin necesaria Software( antivirus,limpieza)
$2.000.000
Cintas y discos para copiasde seguridad
$5.000.000
Indicadores de ejecucin accin
Responsable de su seguimiento rea de Sistemas
Nivel de cumplimiento de la accin TotalResultados obtenidos/Accin Obtencin de un nivel apropiado de seguridad
de la informacin minimizando el riesgo de fallosen los sistemas
Grado de satisfaccin AltoObservaciones N/A
Propuesta 5
Dominio Control de accesos
Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa no cuenta con un control de acceso a las aplicaciones y equipos adecuado, yaque los privilegios de usuario no se encuentran bien definidos, y por tanto puede existirfuga de informacin de vital importancia.
-
7/26/2019 Plan Mejor a Seguridad
8/10
Denominacin de la propuesta de mejora Control de accesos y aplicaciones
Punto dbil detectado No existen privilegios de acceso a equipos yaplicaciones definidos segn el rol de cadaempleadoLos usuarios no aplican la poltica de escritoriosy pantallas limpias
El directorio activo de la empresa no se actualizade acuerdo a los ingresos o salida de losempleadosNo existe una poltica de seguridad decontraseas, que garantice el uso adecuado derecursos
mbito de aplicacin
X Gestin de procesosX Recursos
Informacin, comunicacin, participacin
Responsable de su aplicacinrea de Sistemas
Planificacin de la accinObjetivos especficos de la accin Establecer un control de privilegios basados en
el rol que desempea cada empleado y lasaplicaciones que utiliza para cumplir susfunciones
Realizar campaas peridicas de limpieza deescritorios en los equipos de cada usuarioRevisin y actualizacin del directorio activo
Crear una poltica de seguridad de contraseas
para compartir los dispositivos en la red de lacompaa
Actuaciones a desarrollar Creacin de un documento en lnea que registreel control de acceso y privilegios de losempleados
Programacin en lnea de limpieza de escritoriosperidicamenteCreacin de identificadores de usuario (ID)nicos y personalizadosActualizacin del directorio activo
Periodo de ejecucin previsto 3 MesesRecursos, financiacin necesaria N/A
Indicadores de ejecucin accin Revisin de peridica de usuarios, permisos yrecursos utilizados
Responsable de su seguimiento rea de Sistemas
Nivel de cumplimiento de la accin Total
-
7/26/2019 Plan Mejor a Seguridad
9/10
Resultados obtenidos/Accin Uso adecuado de la infraestructura tecnolgicapor parte de los usuarios
Grado de satisfaccin AltoObservaciones N/A
-
7/26/2019 Plan Mejor a Seguridad
10/10
Conclusiones
La norma ISO 27002 establece las pautas estandarizadas que toda organizacin
debe seguir para garantizar la seguridad de su informacin y el uso adecuado derecursos.
Los diferentes planes de mejora propuestos se realizaron teniendo en cuenta lasituacin actual de la empresa Plsticos Calidad y tienen como objetivo principaloptimizar las tareas y funciones de los empleados en pro de garantizar el uso adecuadode la informacin y la seguridad de la misma.
Las polticas y estndares de seguridad informtica establecen una cultura decalidad al interior de las empresas que garantizan la operacin adecuada de lasmismas.
Bibliografa
El portal de ISO 27002. (s.f.). Recuperado el 07 de 06 de 2016, dehttp://www.iso27000.es/iso27002.html
Intenalco. (s.f.). Manual de polticas y estndares en seguridad informtica. Recuperado el 07 de 06 de2016, de http://www.intenalco.edu.co/MP_V01.pdf
Universidad de la Corua. (s.f.).Anexo 1 Plan de mejora.Recuperado el 07 de 06 de 2016, de
https://www.udc.es/export/sites/udc/utc/_galeria_down/servizos/organizacion_academica/autoavaliacion_anexo1_terceiro_ciclo.pdf