Plan Mejor a Seguridad

7/26/2019 Plan Mejor a Seguridad

1/10

Datos Generales

1. Nombre del aprendiz: EDGAR FRANCISCO GAITAN MARTINEZ

2. Nmero de identificacin: 79.147.3523. Nombre del Tutor: JUAN FERNADO HURTADO RIVERA4. Ciudad y Fecha: Bogot D.C., 7 de junio de 2016

Descripcin de la actividad

Una vez tenga diligenciada la plantilla con el ejemplo presentado, tome unaempresa como referente y estudie la situacin actual de la organizacin haciendo unanlisis objetivo donde exponga un plan de mejora enfatizando en aquellos dominiosque considere son claves y redundan en el cumplimiento de sus tareas como

administrador de bases de datos.

Descripcin de la empresa

Plsticos Calidad es una empresa ubicada en la ciudad de Bogot, D. C.,dedicada a la elaboracin de productos plsticos cuya actividad principal es laelaboracin y comercializacin de bolsas plsticas y empaques tetra pack paradiferentes productos, considerada entre las empresas de tamao mediado por tener untotal del 150 empleados entre operarios y administrativos.

Justificacin

Con el fin de mejorar las prcticas de seguridad de la informacin de la empresaPlsticos Calidad se evala la situacin actual de dicha empresa encontrandoalgunas deficiencias en este mbito, por lo cual se elaboran diferentes propuestas demejoramiento encaminadas a estandarizar y corregir las falencias detectadas teniendoen cuenta la norma ISO 27002.

Plan de mejora propuesto

Al evaluar la situacin actual de la empresa Plsticos Calidad se evidencianalgunas falencias en las polticas de seguridad de la informacin que conllevan a crear5 propuestas de mejora sobre los dominios claves para la administracin de informacin


2/10

en dicha empresa. Los dominios relacionados con las propuestas hechas son lossiguiente:

Dominios

P r o p u e s t a 1 Poltica de Seguridad

P r o p u e s t a 2 Clasificacin y Control de Activos

P r o p u e s t a 3 Seguridad Fsica y del Entorno

P r o p u e s t a 4 Gestin de Comunicaciones y Operaciones

P r o p u e s t a 5 Control de Accesos

Nota: Para la presentacin de las propuestas se ha utilizado el formato de laUniversidad de la Corua sugerido por el tutor.

Propuesta

Dominio Poltica de seguridad

Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa presenta falencias evidenciadas en el desconocimiento por parte de susempleados de las polticas de seguridad de la informacin existentes en la compaa yque actualmente no se encuentran divulgadas correctamente a los empleados.

Denominacin de la propuesta demejora

Desarrollo de actividades para dar a conocer la polticade seguridad de la informacin

Punto dbil detectado Al ingresar un nuevo empleado no se capacitaadecuadamente sobre el cumplimiento de las polticasde seguridad

Los empleados y servicios tercerizados que acceden ala informacin no firman ningn acuerdo deconfidencialidadFalta de difusin de las polticas establecidas en toda laorganizacin

Falta de compromiso en la aplicacin de las polticas deseguridad

mbito de aplicacinX Gestin de procesos

X RecursosX Informacin, comunicacin, participacin

Responsable de su aplicacin Recursos Humanos

Planificacin de la accinObjetivos especficos de la accin Incluir un procedimiento de capacitacin para nuevos

empleados sobre las polticas de seguridad de lainformacin


3/10

Denominacin de la propuesta demejora

Desarrollo de actividades para dar a conocer la polticade seguridad de la informacin

Realizar el proceso para la creacin del documentoAcuerdo de Confidencialidad de acuerdo a la leyDesarrollar herramientas que permitan difundir laspolticas de seguridad a todos los miembros de laorganizacin

Publicar las actualizaciones de las polticas deseguridadImplantacin de acciones de mejora

Actuaciones a desarrollar Revisin y modificacin del procedimiento establecidopara la induccin del nuevo personal

Gestionar la creacin del documento de Acuerdo deConfiabilidad y la firma de todos los empleadosCreacin de cartilla con las polticas de seguridad

Establecer cronograma de capacitacin sobre laspolticas de seguridad, para las diferentes reas de laorganizacinEnviar correos informativos cuando surjanactualizaciones de las polticas (Actualizacin de lacartilla)

Desarrollo de propuesta para la creacin de un videoinstitucional en el que se hable y resalte la importanciadel cumplimiento de las polticas de seguridadestablecidas.Evaluacin de la efectividad de las medidas tomadas

Periodo de ejecucin previsto 6 meses

Recursos, financiacin necesaria Gastos 500.000 (Cartillas, Instructivos,Documentos, etc)

Horas extras N/AIndicadores de ejecucin accin Evaluaciones de seguimiento

Responsable de su seguimiento Recursos humanos, jefe del rea se sistemasNivel de cumplimiento de la accin Total

Resultados obtenidos/Accin Anlisis de las evaluaciones de seguimientoGrado de satisfaccin Alto

Observaciones N/A

Propuesta 2

Dominio Clasificacin y control de activos

Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa no cuenta con ningn sistema de gestin de inventarios actualizado y por talmotivo no se realiza un uso adecuado de los activos de la empresa.


4/10

Denominacin de la propuesta de mejora Actualizacin de inventarios

Punto dbil detectado Existe un registro de los activos de la empresa,pero este no se encuentra actualizado

El inventario de activos no contempla losrecursos informticos ni los de softwareNo se cuenta con una rotulacin estandarizada

No se realiza una asignacin oficial de equipos

No se realiza una entrega oficial de equiposmbito de aplicacin

X Gestin de procesosX Recursos

X Informacin, comunicacin, participacin

Responsable de su aplicacinJefe del rea se sistemas, Jefe del rea de

almacnPlanificacin de la accin

Objetivos especficos de la accin Actualizacin del inventarioEstandarizacin de la rotulacin de equipos

Creacin de formato de responsabilidad deequipos

Creacin de formato de entrega de equiposActuaciones a desarrollar Elaborar un rotulo estndar para los equipos

Elaborar un inventario de activos de informacin

Crear formato de responsabilidad de equipos

Crear formato de devolucin de equipos

Realizar actualizacin del inventarioPeriodo de ejecucin previsto 3 meses

Recursos, financiacin necesaria Lectora de cdigo de barras $200.000

Rotulacin (stiker) $100.000Indicadores de ejecucin accin Inventario general acorde a inventarios equipos

en uso y en bodega

Responsable de su seguimiento Jefe del rea se sistemas, Jefe del rea dealmacn

Nivel de cumplimiento de la accin Total

Resultados obtenidos/Accin Conocimiento total de activos y recursos

Grado de satisfaccin Alto

Observaciones N/A


5/10

Propuesta 3

Dominio Seguridad fsica y del entorno

Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa cuenta con un control de acceso a sus instalaciones que no garantiza laseguridad de la informacin y recursos y que debe ser modificado en su totalidad paragarantizar el uso adecuado de los mismos por el personal autorizado.

Denominacin de la propuesta de mejora Aumento de la seguridad fsica de las oficinasadministrativas

Punto dbil detectado La seguridad de acceso existente de las oficinasadministrativas puede ser violada con facilidad

Falta de mantenimiento a las tomas elctricas

Falta de conciencia de los usuarias frente alreporte de riesgos reales o potenciales sobre elcableado, equipos de cmputo o decomunicaciones

Falta de conocimiento de los usuarios sobre laresponsabilidad que tienen de proteger lasunidades de almacenamiento que se encuentrenbajo su cargo

mbito de aplicacin

Gestin de procesos

X RecursosX Informacin, comunicacin, participacin

Responsable de su aplicacin

Gerencia

Planificacin de la accin

Objetivos especficos de la accin Aumentar la seguridad de acceso a las oficinasadministrativas

Revisin de todas las tomas elctricas a las queestn conectados equipos por parte de personalcapacitado

Cambio de las tomas elctricas defectuosas

Aumentar la conciencia de responsabilidad de

los usuarios frente a sus equipos y reas detrabajoActuaciones a desarrollar Cambiar puertas

Establecer controles de acceso mediante carnetso registro biomtricoRealizar mantenimiento de tomas elctricas


6/10

Solicitar capacitacin a la ARL sobre el papel delusuario en la construccin de reas seguras detrabajo

Realizar campaa de buenas prcticas paramantener el rea de trabajo limpia

Periodo de ejecucin previsto 6 meses

Recursos, financiacin necesaria Cambios fsicos en lasinstalaciones

$5.000.000

Mejoramiento de lainfraestructura elctrica

$2.000.000

Mano de obra $3.000.000

Carnetizacion empleados $4.000.000Indicadores de ejecucin accin Controles acceso ptimos

Responsable de su seguimiento Gerencia Area de Seguridad y Sistemas

Nivel de cumplimiento de la accin TotalResultados obtenidos/Accin Acceso a personal autorizado carnetizacion de

los mismo

Grado de satisfaccin AltoObservaciones N/A

Propuesta 4

Dominio Gestin de comunicacin y operaciones

Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa no cuenta con un control de los manuales de procedimientos.

Denominacin de la propuesta de mejora Manejo adecuado de recursos y procedimientospara la gestin de la informacin

Punto dbil detectado Operacin incorrecta de recursos de tratamientode la informacin

Procedimientos de seguridad de la informacindesactualizados

Deteccin de software malicioso en algunosdispositivosDeficiencia en administracin de copias deseguridad de los equipos y dispositivos

mbito de aplicacin

X Gestin de procesosX RecursosX Informacin, comunicacin, participacin

Responsable de su aplicacinrea de Sistemas

Planificacin de la accin


7/10

Objetivos especficos de la accin Mejorar la operacin de los recursos detratamiento de la informacin

Actualizar los procedimientos de seguridad de lainformacin de acuerdo a las normasestablecidas nacional e internacionalmente

Revisin y actualizacin de software paradeteccin de aplicaciones maliciosas

Creacin y ejecucin de plan de manejo decopias de seguridad de los equipos y dispositivoscon informacin crtica para la empresa

Actuaciones a desarrollar Actualizacin de manuales y procedimientos quegaranticen la seguridad de la informacin

Programacin de actualizaciones en lnea desoftware para deteccin de vulnerabilidades enla red

Establecer cronograma para crear copias deseguridad de equipos con informacin crticapara la estabilidad del negocio

Periodo de ejecucin previsto 6 Meses

Recursos, financiacin necesaria Software( antivirus,limpieza)

$2.000.000

Cintas y discos para copiasde seguridad

$5.000.000

Indicadores de ejecucin accin

Responsable de su seguimiento rea de Sistemas

Nivel de cumplimiento de la accin TotalResultados obtenidos/Accin Obtencin de un nivel apropiado de seguridad

de la informacin minimizando el riesgo de fallosen los sistemas


Propuesta 5

Dominio Control de accesos

Este plan de mejora se desarrolla teniendo en cuenta que actualmente laempresa no cuenta con un control de acceso a las aplicaciones y equipos adecuado, yaque los privilegios de usuario no se encuentran bien definidos, y por tanto puede existirfuga de informacin de vital importancia.


8/10

Denominacin de la propuesta de mejora Control de accesos y aplicaciones

Punto dbil detectado No existen privilegios de acceso a equipos yaplicaciones definidos segn el rol de cadaempleadoLos usuarios no aplican la poltica de escritoriosy pantallas limpias

El directorio activo de la empresa no se actualizade acuerdo a los ingresos o salida de losempleadosNo existe una poltica de seguridad decontraseas, que garantice el uso adecuado derecursos

mbito de aplicacin

X Gestin de procesosX Recursos

Informacin, comunicacin, participacin

Responsable de su aplicacinrea de Sistemas

Planificacin de la accinObjetivos especficos de la accin Establecer un control de privilegios basados en

el rol que desempea cada empleado y lasaplicaciones que utiliza para cumplir susfunciones

Realizar campaas peridicas de limpieza deescritorios en los equipos de cada usuarioRevisin y actualizacin del directorio activo

Crear una poltica de seguridad de contraseas

para compartir los dispositivos en la red de lacompaa

Actuaciones a desarrollar Creacin de un documento en lnea que registreel control de acceso y privilegios de losempleados

Programacin en lnea de limpieza de escritoriosperidicamenteCreacin de identificadores de usuario (ID)nicos y personalizadosActualizacin del directorio activo

Periodo de ejecucin previsto 3 MesesRecursos, financiacin necesaria N/A

Indicadores de ejecucin accin Revisin de peridica de usuarios, permisos yrecursos utilizados

Responsable de su seguimiento rea de Sistemas

Nivel de cumplimiento de la accin Total


9/10

Resultados obtenidos/Accin Uso adecuado de la infraestructura tecnolgicapor parte de los usuarios



10/10

Conclusiones

La norma ISO 27002 establece las pautas estandarizadas que toda organizacin

debe seguir para garantizar la seguridad de su informacin y el uso adecuado derecursos.

Los diferentes planes de mejora propuestos se realizaron teniendo en cuenta lasituacin actual de la empresa Plsticos Calidad y tienen como objetivo principaloptimizar las tareas y funciones de los empleados en pro de garantizar el uso adecuadode la informacin y la seguridad de la misma.

Las polticas y estndares de seguridad informtica establecen una cultura decalidad al interior de las empresas que garantizan la operacin adecuada de lasmismas.

Bibliografa

El portal de ISO 27002. (s.f.). Recuperado el 07 de 06 de 2016, dehttp://www.iso27000.es/iso27002.html

Intenalco. (s.f.). Manual de polticas y estndares en seguridad informtica. Recuperado el 07 de 06 de2016, de http://www.intenalco.edu.co/MP_V01.pdf

Universidad de la Corua. (s.f.).Anexo 1 Plan de mejora.Recuperado el 07 de 06 de 2016, de

https://www.udc.es/export/sites/udc/utc/_galeria_down/servizos/organizacion_academica/autoavaliacion_anexo1_terceiro_ciclo.pdf

Plan Mejor a Seguridad

Documents

Transcript of Plan Mejor a Seguridad