Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Funciones y Responsabilidades de seguridad

No description
by

on 18 October 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Funciones y Responsabilidades de seguridad

FUNCIONES Y RESPONSABILIDADES DE SEGURIDAD
MODELO DE SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Definir, diseñar, administrar,
implementar, controlar y mantener
el modelo de seguridad.
Evaluar la implementacion y cumplimiento del Modelo de Seguridad.
Cumplir con el modelo de seguridad y apoyar la implementación del mismo.
ARQUITECTURA DE SEGURIDAD
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Lo componen Principios, Politicas, Procedimientos y Estandares
Recursos tecnologicos
Hardware, Software, Bases de Datos, Comunicaciones, etc
Los cuales requieren ser administrados y manejados de acuerdo a las directrices dadas en el modelo de seguridad.
Definir los lineamientos de seguridad para la arquitectura Tecnológica de la organización.

Administrar las herramientas propias del área de seguridad de la información.
Analisis de Funciones Area de Seguridad vs Auditoria de Sistemas vs Area Tecnica
Seguridad de la Información
Definir, implementar, controlar y mantener el modelo de Seguridad de la Informaicon, con el fin de preservar la confidencialidad, integridad, disponibilidad y auditabilidad de la informaicon de la organizacion.
Auditoría de Sistemas
Evaluar el diseñor de un estructura de control interno en los recursos informaticas de la Organizacion.

Evaluar el cumplimiento del control interno.
Tecnología
Mantener en funcionamiento los recursos informaticas de la Organizacion implementados para prestar los servicios definidos a los clientes internos y externos.
VS
Evaluar:

Administración de las herramientas de seguridad.
Aplicación estándares de seguridad.
Utilizar herramientas de seguridad para las auditorías que realiza.
Configurar los estandares de seguridad en los recuros informaticos
PLAN ESTRATEGICO DE SEGURIDAD
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Establecer e implementar el plan de seguridad, teniendo en cuenta los riesgos a que esta expuesta la información en relación con la CIA y auditabilidad.
Evaluar el cumplimiento del plan de seguridad, su consistencia con el plan estratégico del negocio y de tecnología.
Apoya la implementacion del Plan Estrategico de Seguridad y las definiciones dadas por el Area de Seguridad de la .
Debe estar alineado por el Plan Estrategico del Negocio y el Tecnologico de la Organizacion.
PARTICIPACION EN PROYECTOS
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Participar el los proyectos informáticos de la entidad para proveerlos de las seguridades adecuadas, gerenciando los de seguridad.
Evaluar:
La administración del proyecto.
El control interno en las diferentes etapas del proyecto.
Controles de acceso y auditabilidad.
Participar en la implementacion del proyecto, atendiendo las definiciones dadas en el modelo de seguirad
La organizacion desarrolla e implementa diversos proyectos los cuales debe contemplar e incluir las directrices dadas en el Modelo de Seguridad de la Informacion desde su inicio
PERFILES GRUPALES
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Administración y evaluación de perfiles grupales, los cuales dependiendo de la función o rol del funcionario se establecen los accesos a que tiene derecho.
Evaluar selectivamente los perfiles definidos, basado en las funciones asignadas y en las necesidades de conocer.
Implementar las definiciones de seguridad defindas para los usuarios
Segun los siguientes principios "Necesidad de conocer" y "Menor privilegio posible" siempre acorde a las necesidades de cada usuario.
MONITOREO INTEGRAL
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Evaluar procedimientos de manejo de incidentes.
Apoyar la implementacion de proyectos de Seguridad.
Administrar el proceso de monitoreo integral que permitan hacer seguimiento a las alarmas e incidentes de seguridad:

Tecnológico
Transaccional
Personal
Física
Monitero no solo fisico tambien Seguridad Transaccional, Tecnologica y Personal.
ANALISIS DE VULNERABILIDADES
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Liderar el proceso de análisis de vulnerabilidades que permitan detectar problemas de seguridad en los recursos informáticos y corregirlos.
Evaluar procedimientos de manejo de vulnerabilidades.

Uso de herramientas de análisis de vulnerabilidades.
Aplicar los estándares de seguridad a los recursos informáticos.
Corregir problemas de seguridad antes de que se materialicen.
PROCESO DE
CONCIENTIZACION Y DIVULGACION DEL MODELO DE SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Liderar el proceso de concientización y divulgación del modelo de seguridad.
Revisar el cumplimiento del plan de concientización y divulgación del modelo de seguridad.
Cumplir y participar en el proceso de divulgación del modelo de Seguridad.
No basta con definirlo, probarlo, y publicarlo, adicionalmente se requiere un esfuerzo adicional para concienciar acerca de cumplir y conocer el modelo de Seguridad.
PROCESO DE CONTROL DE CAMBIOS
ADMINISTRACION DEL PROCESO DE CONTROL DE CAMBIOS
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Participar en la definición del modelo de seguridad donde se establece el proceso de control de cambios a los recursos de TI incluyendo los estándares de seguridad para el ciclo de vida de un sistema de información.

Análisis de riesgos del proceso de control a cambios.

Responsable de pruebas de seguridad de los recursos informáticos.

Monitoreo selectivo donde se afecte la seguridad de los recursos informáticos.
Verificar cumplimiento modelo de seguridad.

Evaluación selectiva de cambios.
Participa en el proceso de control a cambios y cumplir lo previsto en el mismo.
PARTICIPACION EN REQUERIMIENTOS Y PRUEBAS
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Definir las directrices básicas de seguridad.

Apoyar al dueño de la información en las pruebas integrales.

Realizar pruebas de seguridad cuando el área de seguridad sea el responsable del recurso informático.
Revisar las pruebas que se hayan realizado de acuerdo a la metodología definida y con las directrices dadas por el área de seguridad.

Realizar sus propias pruebas para verificar efectividad de controles.
Realiza pruebas propias para verificar la funcionalidad de la implementación realizada.

Revisa pruebas realizadas de acuerdo a la metodología definida a las directrices dadas por el área de seguridad.
PROCESO DE CLASIFICACION DE INFORMACION
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Liderar el proceso de clasificación de la información.
Evaluar el proceso de clasificación de la información.
Configurar los recursos informáticos para dar cumplimiento a lo definido en el modelo de seguridad
COMITE DE SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Conformar y liderar el comité de seguridad de la información .

Presentar aprobación el plan estratégico de seguridad de información o seguimiento a problemas de seguridad.
Participar en el comité y hacer seguimiento a lo definido.
Participa en el comité de seguridad y ejecuta lo definido en el.
PROCESO SEGUIMIENTO DE ALERTAS E INCIDENTES DE SEGURIDAD
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Liderar el proceso de investigación relacionado con las alertas e incidentes de seguridad de la información.
Participar en forma independiente en la investigación del incidente.

Evaluar el proceso de alertas e incidentes de seguridad.
Apoyar el área de seguridad facilitando información para investigaciones.
PROCESO ANALISIS DE RIESGO DE SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Efectuar estudios de análisis de riesgos en seguridad de la información para detectar eventos o situaciones de fallos en los accesos o en el manejo de la información presentando planes de acción para mitigar los riesgos.
Evaluar el proceso de análisis de riesgos.

Retroalimentar el área de seguridad de la información.

Evaluación de riesgos.
 Aplica recomendación técnicas emitidas por el área de seguridad y auditoria de sistemas.
PROCESO PLAN DE CONTINGENCIA
SEGURIDAD DE LA INFORMACION
TECNOLOGIA
AUDITORIA DE SISTEMAS
Garantizar que los planes de contingencia, recuperación y continuidad relacionados con tecnología que incluyan aspectos de seguridad definidos en el modelo de seguridad.
Evaluar que los planes de contingencia se encuentren actualizados y periódicamente se prueben.
 Lidera los planes de contingencia, recuperación y continuidad.
DULLY LORENA REYES BAQUERO
IVAN FRANCISCO HERNANDEZ URIBE
ALVARO ENRIQUE GOMEZ
JOHN VALBUENA
Full transcript