anexo acta 7 sistema gestion seguridad informacion
TRANSCRIPT
-
Sistema de Gestin deSistema de Gestin deSeguridad de la InformacinSeguridad de la InformacinFase IFase I
Andrs GonzlezAndrs GonzlezConsultoraConsultora
NewNet S.A.NewNet S.A.
-
Aspectos Generales
Marco de Situacin de riesgos para la Universidad delValle (Estandarizacin / Documentacin, controlcambios, metodologas, continuidad de operaciones)
La herramienta:La herramienta: Esquema de organizacin y focalizacin. Asignacin de responsabilidades especficas frente a
seguridad de la informacin. Esquema de apoyo y compromiso de la direccin Modelo probado de.mejora continua
El Modelo PHVA
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
PLANIFICARPLANIFICAR
HACERHACER
VERIFICARVERIFICAR
ACTUARACTUAR
Establecer el SGSI
Implementar y Operar el SGSI
Mantener y mejorar el SGSI
Hacer Seguimiento y revisar el SGSI
Ciclo de Desarrollo Mantenimiento y
MejoraPartes
Interesadas
Gestin de la Seguridad de la
Informacin
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
PLANIFICARPLANIFICAR
HACERHACER
VERIFICARVERIFICAR
ACTUARACTUAR
Establecer el SGSI
Implementar y Operar el SGSI
Mantener y mejorar el SGSI
Hacer Seguimiento y revisar el SGSI
Ciclo de Desarrollo Mantenimiento y
MejoraPartes
Interesadas
Gestin de la Seguridad de la
Informacin
Partes Interesadas
Gestin de la Seguridad de la
Informacin
-
ACUERDO N 003 03 C.S.
OFICINA DEINFORMTICA Y
TELECOMUNICACIONES
rea deInfraestructura
ServidoresCableadoEstructurado
rea de Serviciosde Soporte yDesarrollo
Equipos deComunicacin
CapacitacinInstitucional
Soporte Tcnico
Servicios deInternet
Desarrollo yAplicativos
OFICINA DE INFORMTICA Y TELECOMUNICACIONESESTRUCTURA ORGANICA 10 DE FEBRERO DE 2003
Conmutador
Coordinacin de Seguridad
Comit de InformticaComit de Informtica(Seguridad)(Seguridad)
Lder del SGSILder del SGSIOficial de SeguridadOficial de Seguridad
Comit de RectoraComit de Rectora Consejo AcadmicoConsejo Acadmico
AsesoresAsesoresProf. Ingeniera
Recursos HumanoJurdico
Seguridad Fsica / Ambiental
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
PLANIFICARPLANIFICAR
HACERHACER
VERIFICARVERIFICAR
ACTUARACTUAR
Establecer el SGSI
Implementar y Operar el SGSI
Mantener y mejorar el SGSI
Hacer Seguimiento y revisar el SGSI
Ciclo de Desarrollo Mantenimiento y
MejoraPartes
Interesadas
Gestin de la Seguridad de la
Informacin
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
PLANIFICARPLANIFICAR
HACERHACER
VERIFICARVERIFICAR
ACTUARACTUAR
Establecer el SGSI
Implementar y Operar el SGSI
Mantener y mejorar el SGSI
Hacer Seguimiento y revisar el SGSI
Ciclo de Desarrollo Mantenimiento y
MejoraPartes
Interesadas
Gestin de la Seguridad de la
Informacin
Partes Interesadas
Gestin de la Seguridad de la
Informacin
Consejo SuperiorConsejo Superior
-
Seguridad de la InformacinUniversidad del Valle
Lder del SGSI Oficial de Seguridad
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
PLANIFICARPLANIFICAR
HACERHACER
VERIFICARVERIFICAR
ACTUARACTUAR
Establecer el SGSI
Implementar y Operar el SGSI
Mantener y mejorar el SGSI
Hacer Seguimiento y revisar el SGSI
Ciclo de Desarrollo Mantenimiento y
MejoraPartes
Interesadas
Gestin de la Seguridad de la
Informacin
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
Partes Interesadas
Requisitos y Expectativas de Seguridad de la
Informacin
PLANIFICARPLANIFICAR
HACERHACER
VERIFICARVERIFICAR
ACTUARACTUAR
Establecer el SGSI
Implementar y Operar el SGSI
Mantener y mejorar el SGSI
Hacer Seguimiento y revisar el SGSI
Ciclo de Desarrollo Mantenimiento y
MejoraPartes
Interesadas
Gestin de la Seguridad de la
Informacin
Partes Interesadas
Gestin de la Seguridad de la
Informacin
Funciones del Comit Revisar el estado de la seguridad de la
informacin de La Oficina de Informtica yTelecomunicaciones - OITEL - de la Universidad delValle, el cual debe ser reportado peridicamente porel Lder del SGSI.
Revisar y aprobar la poltica y normas de seguridadde la informacin e informtica y lasresponsabilidades generales de seguridad definidaspara los empleados, contratistas y dems personasque interacten con los recursos informticos y detelecomunicaciones de la Universidad del Valle o quetengan acceso a su informacin
Especificar los objetivos, estrategias y planeacincorporativa de seguridad de la informacin de laUniversidad y la Oficina de Informtica yTelecomunicaciones (OITEL).
Coordinacin de Seguridad
ComitComit de Informde Informticatica(Seguridad)(Seguridad)
LLder del SGSIder del SGSIOficial de SeguridadOficial de Seguridad
ComitComit de Rectorde Rectoraa Consejo AcadConsejo Acadmicomico
AsesoresAsesoresProf. Ingeniera
Recursos HumanoJurdico
Seguridad Fsica / Ambiental
Consejo SuperiorConsejo Superior
-
Funciones del Comit (2) Avalar y aprobar la ejecucin de proyectos de seguridad de
informacin (pe. Evaluacin de arquitectura, adquisicin de soluciones,etc.).
Servir de facilitadores para el desarrollo de proyectos de seguridad deinformacin.
Evaluar planes de accin para mitigar y/o eliminar riesgos. Realizar revisiones del SGSI al menos dos veces al ao. Basndose
en esta revisin la direccin debe tomar decisiones y acciones relativasa:
Mejora de la eficiencia del SGSI. Actualizacin de la evaluacin de riesgos y del plan de tratamiento de
riesgos. Modificacin de los procedimientos y controles que afectan la seguridad de
la informacin, en respuesta a cambios internos o externos en los requisitosde un negocio, requerimientos de seguridad, procesos de negocio, marcalegal, obligaciones contractuales, niveles de riesgo y criterios de aceptacindel riesgo.
Coordinacin de Seguridad
ComitComit de Informde Informticatica(Seguridad)(Seguridad)
LLder del SGSIder del SGSIOficial de SeguridadOficial de Seguridad
ComitComit de Rectorde Rectoraa Consejo AcadConsejo Acadmicomico
AsesoresAsesoresProf. Ingeniera
Recursos HumanoJurdico
Seguridad Fsica / Ambiental
Consejo SuperiorConsejo Superior
Oficial de Seguridad
Administrar y coordinar la ejecucin del proceso deseguridad de la informacin de la empresa desde lavisin tecnolgica.
Definir disposiciones de seguridad para que seanincorporadas por las reas tecnolgicas a nivel deestndares y procedimientos de seguridad de lainformacin.
Responsable por establecer y verificar laimplementacin de los aspectos de seguridad en lasplataformas tecnolgicas que soportan los procesosde la Universidad del Valle.
Documentar los procedimientos de seguridadinformtica y someterlos a revisin a la DireccinInformtica y a la Coordinacin de Infraestructura ySoftware.
-
Oficial de Seguridad En conjunto con el Lder del SGSI, desarrollar, mantener y
comunicar las polticas, estndares y guas de Seguridad de laInformacin en la Universidad, especialmente aquellas con unenfoque tecnolgico.
Crear y definir los aspectos para la conformacin de un grupode respuesta a incidentes de seguridad, para atender losproblemas relacionados a la seguridad informtica dentro de laorganizacin.
Promover la aplicacin de auditoras enfocadas a la seguridad,para evaluar las prcticas de seguridad informtica dentro de laorganizacin.
Crear y vigilar los lineamientos necesarios que ayuden a tenerlos servicios de seguridad en la organizacin.
Servir de punto de apoyo para la oficina de informtica ytelecomunicaciones de la Universidad del Valle respecto acambios en la plataforma tecnolgica, para asegurar que losaspectos de seguridad de informacin sean considerados en lasetapas iniciales de los proyectos.
Implicaciones
La estructuracin de los roles yresponsabilidades en la OITEL implica: Aprobacin de la asignacin del Comit de
Informtica como Comit de Seguridad de laInformacin.
Reasignacin de recurso humano para laincorporacin de funciones de seguridad.
Asignacin del rol del SGSI a la Direccin de laOITEL.
Definir un grupo de apoyo para estas actividades Inclusin de actividades de revisin y auditora al
personal de Control interno.
-
1. Que hay por hacer?
Formalizacin del marco normativo de laSeguridad de la Informacin.
Definicin y Aprobacin de la organizacinde seguridad en el esquema existente.
Formalizacin del papel y apoyo de lasreas de soporte (Recurso Humano,Seguridad Fsica, Calidad, Control Interno)frente
PreguntasPreguntasyy
ComentariosComentarios
-
www.newnetsa.comwww.newnetsa.com
Diagonal (Calle) 16 No. 60-72
Telfono: 57.1. 4173400
Fax: 57.1. 2605475
BOGOTA DC
Carrera 49 No. 52.170 Of. 406
Telfono: 57.4. 2516353
Fax: 57.4. 2516353
MEDELLIN
Calle 18 No. 8-41 Of. 406
Telfono: 57.6. 3330759
Fax: 57.6. 3359968
PEREIRA
Calle 23N No. 3N-33 Piso 6
Telfono: 57.2. 6671892
Fax: 57.2. 6671892
CALI