EVALUACION FINAL GESTION ESTRATEGICA DE SEGURIDAD DE LA INFORMACIN MARTIN ALONSO CASTILLO - 199322

1. Qu es la gestin estratgica de la seguridad de la informacin? Liste por lo menos 4 elementos. La Gestin estratgica de la seguridad de la informacin es un proceso continuo de administracin y mejora de los elementos de seguridad de la informacin, entre los cuales se encuentra: a. b. c. d. Polticas de Seguridad. Anlisis de riesgos. Evaluacin de riesgos. Continuidad del negocio.

2. Oficial de Seguridad de la informacin, defina: a. Rol de oficial de seguridad de la informacin: Es el encargado de mostrarle a la alta gerencia la importancia de la seguridad de la informacin, y aunque todo el personal debe colaborar con la causa, es el oficial quien finalmente responde por dicha seguridad. b. Liste 5 responsabilidades clave. Iniciar en compaa de la gerencia el establecimiento de una poltica de seguridad. Coordinar procesos de sensibilizacin y capacitacin del personal. Realizar anlisis y evaluacin de riesgos. Disear e implementar controles de seguridad de la informacin. Realizar seguimiento y monitoreo de los controles. c. Objetivos de dichas responsabilidades. El objetivo del establecimiento de la poltica de seguridad es en primera instancia la de comprometer a la alta gerencia en el proceso de seguridad de la informacin ya que debe iniciar desde la cabeza. El objetivo la sensibilizacin y capacitacin es sumergir al personal en una cultura de seguridad de la informacin ya que son ellos los que finalmente trabajan con dicha informacin y los que pueden comprometerla dada la situacin. El objetivo del anlisis y evaluacin de riesgos es el de identificar y valorar amenazas y activos para conocer todas las posibles causas que pueden originar un incidente de seguridad en la organizacin.

El objetivo del diseo e implementacin de controles es el de minimizar la probabilidad de que las amenazas identificadas se materialicen y puedan causar dao a la organizacin. El objetivo del seguimiento y monitoreo de los controles es el de llevar un registro o historial de los mismos para determinar si son o no son efectivos. d. Como se medirn: Teniendo en cuenta que una poltica de seguridad va perfeccionndose con el paso del tiempo, se podra medir en primera instancia si se defini o no una poltica de seguridad de la informacin. La sensibilizacin y capacitacin se puede medir tomando la cantidad de personal que haya asistido a las charlas sobre el total del personal de la organizacin. El anlisis y evaluacin de riesgo se puede medir por la cantidad de amenazas y vulnerabilidades detectadas. Dependiendo de las amenazas que se hayan decido tratar, se puede medir la implementacin de controles como el nmero de controles implementados sobre el nmero total de riesgos identificados. El seguimiento y monitoreo de controles se puede medir con base en un cronograma o plan de seguimiento de los mismos. Si al final de la semana se deba revisar un cierto nmero de controles, se debe verificar que la revisin se haya realizado. 3. Qu es la concientizacin en seguridad informtica?, Cul es su objetivo? Cite un breve caso de ejemplo. La concientizacin en seguridad informtica es el proceso mediante el cual se inculca al empleado en la importancia del cuidado de la informacin. Su objetivo es el de ensear y mostrar al personal los riesgos a los cuales se est expuesto y a como tratar de no ser tan vulnerables. Un ejemplo sera el de explicarle al empleado la importancia del cerrar sesin o bloquear el equipo de trabajo cada vez que se retire de l. 4. Gestin de Riesgo. Liste y Explique cinco (5) etapas de la gestin del riesgo. a. Identificacin y valoracin de activos de informacin: Se realiza un inventario de los activos de informacin y se les da un valor dependiendo de su importancia para la empresa. b. Identificacin y valoracin de amenazas: Se identifican todas las posibles amenazas que recaen sobre cada uno de los activos descritos anteriormente, a continuacin se valora el impacto que podra causar. c. Identificacin de vulnerabilidades: Se identifican las debilidades que tienen cada uno de los activos.

d. Evaluacin de riesgos: Se calcula el riesgo a partir de las amenazas y vulnerabilidades identificadas. Esto dar como resultado los riesgos a los cuales realizar los distintos tratos, es decir, si se reducen, aceptan, evitan o transfieren. e. Definicin e implementacin de controles: Se definen los controles a implementar para cada uno de los riesgos que se van a tratar. 5. ISO 27001. a. Identifique dos dominios (reas) de control, explique su objetivo y explique dos controles especficos para cada uno: Poltica de seguridad de la informacin: El objetivo es la creacin de un documento que muestre que la direccin est comprometida con la seguridad de la informacin y defina qu es y cmo se piensa tratar. Objetivo especfico 1: Presentacin y aprobacin del documento: La direccin debe firmar un documento en donde establezca su compromiso con la seguridad de la informacin de la organizacin. Objetivo especfico 2: Revisin del documento: El documento de poltica de seguridad debe ser revisado constantemente para mantenerlo actualizado. Seguridad fsica y ambiental: Establece las condiciones mnimas que se deben tener en el entorno de la organizacin. Objetivo especfico 1: Permetro de seguridad: Se debe establecer un permetro de seguridad adecuado que proteja los centros de cmputo. Objetivo especfico 2: Pantallas y escritorios limpios: Se debe establecer una poltica de seguridad de escritorios limpios que deberan cumplir cada uno de los empleados.

6. Continuidad del Negocio: a. Lista y defina brevemente los elementos del ciclo de gestin de la continuidad del negocio. Entender la organizacin: Se deben conocer cules son los procesos de la organizacin, su objetivo de negocio. Estrategias: Se deben establecer estrategias orientadas a la continuidad del negocio. Implementacin de estrategias: Se ponen en marcha las estrategias definidas en el punto anterior. Ejercitar y Probar: Se realizan pruebas de las estrategias implantadas. Sensibilizacin, cultura: Todo el ciclo gira en torno a una sensibilizacin del personal con respecto a las estrategias de continuidad y su importancia.