ORGANIZACIÓN DE LA SEGURIDAD INFORMÁTICA

26 02 2010

Apuntes 24 de febrero de 2010

Organización de la Seguridad Informática

Responsable de la seguridad Informática:

  • Gerente general, mandato de Junta Directiva y socios.
  • Gerente, director, jefe del área de sistemas o de informática
  • CISO (Chief Security Officer’s), CSO (Chief Security Officer’s), aparecen en grandes empresas, es la persona encargada con las actividades relacionadas con la administración de seguridad informática, se encarga de seleccionar mecanismos y herramientas de seguridad y el desarrollo de políticas de seguridad.
  • Dependencia del área del SI: La constituyen Sistemas/Informática en un 70%, Seguridad, administrativa/recursos humanos, auditoría control interno, jurídico/legal, Alta gerencia en cuanto a la aprobación de la planeación, riesgos, asesores, puede tener asesoría externa, casa matriz/oficina central.

Estructura del área de SGSI

  • En las organizaciones empresas grandes: 20-30 personas, varias secciones
  • En organizaciones medianas: 5 a 10 personas, máximo dos secciones
  • En organizaciones pequeñas: 1 o 2 personas, sin secciones.

Roles funciones y responsabilidades

  • Definir: Políticas, procedimientos y guías. Realizar análisis de riegos.
  • Construir: Diseña arquitecturas de seguridad, crea, instala herramientas o controles de seguridad
  • Administrar: Opera y administra herramientas o controles de seguridad.
  • CISO
  • Consultores/Ingenieros de Seguridad
  • Administradores, herramientas de seguridad
  • Operadores herramientas de seguridad
  • Verificadores oficiales de cumplimiento
  • Investigadores de cómputo forense.

Políticas de seguridad Informática

  • Establecen directrices/reglas de seguridad de la información de la empresa (cumplimiento/castigo)
  • Son emitidas y aprobadas por la alta dirección
  • Son un medio para generar cultura de seguridad informática y concientización
  • Establece las responsabilidades y marco de acción de los empleados y terceros en relación con los activos informáticos.
  • En algunos empleados generan percepción negativa ya que las consideran como pérdida de tiempo o productividad, restringen y ponen trabas en los procesos.
  • Ideal que el número de políticas no supere las 20 para facilitar el entendimiento y la recordación.
  • En un grupo de documentos definidos en una jerarquía (varios niveles) políticas, estándares, guías y procedimientos.

« »


Acciones

Information

  • Fecha : 26 febrero, 2010
  • Categorías : Sin categoría

Deja un comentario