El rol del Usuario

Security InformationAwareness Program

1v1.0

Celular (011) 15 6034-2822fabiandescalzo@yahoo.com.arhttp://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6  

Analista de Seguridad InformáticaEspecialista en Seguridad de la Información 

Protección de Información y los Usuarios

2

El gerenciar la Protección de la Información requiere contar con el compromiso de cada área de negocios, quienes brindan los recursos humanos que le permiten administrar y controlar la seguridad de la información a través de la función o rol de cada usuario seleccionado como:

Lider de Seguridad de la Información:Responsable por la empresa o locación en caso de tratarse de Compañías con más de una Sede. Coordina las 

actividades de implementación de la seguridad o respuesta ante incidentes según lo informado por cada Responsable de Sector

Responsable de Seguridad de la Información:Asegura la información de su sector  colaborando con el Líder de la Compañía o de la Sede, controla que se cumplan los requerimientos de seguridad acorde a lo informado por los propietarios de la información y las medidas de seguridad implementadas por el Líder.

Propietario de la información:Responsable de clasificarla y establecer su nivel de criticidad y disposición final, informa al Responsable del 

Sector

Usuario Clave:Administrador de Seguridades Aplicativas, responsable de aplicar las medidas de seguridad necesarias acorde a la 

clasificación de la información establecida por el Propietario de la Información. 

3

Los objetivos de control están definidos bajo el marco normativo  de referencia de  diferentes  Normativas Nacionales e Internacionales de Control    (BCRA, SIGEN, CoBIT, HIPAA, SOX, ISO, etc.)

La Compañía toma esos objetivos de control, de los cuales surgen las medidas de seguridad  que  adopta  y  adecúa  a  su  organización  para  la  protección  de  la información  más  sensible  o  las  aplicaciones  más  críticas  para  cada  área  de negocio establecidos .

Estos objetivos de  control  y  su  implantación debe  ser  conocida desde el  inicio por los Usuarios en sus diferentes niveles, participando en el cumplimiento de la acción política de la Empresa y formando parte responsable de la estrategia de la Seguridad de la Información.

Y  así  se  asegura  desde  todas las áreas de negocio  que  se  proporciona  un sistema de control adecuado para el ambiente de tecnología de información.

Los Usuarios y los Objetivos de Control

4

Según lo que establezca como alcance la Compañía a través de su Política de Seguridad, cada área de negocios participa en la gestión de:

Los Usuarios y los Objetivos de Control

El NegocioGestión de la SeguridadGestión de Información

Gestión con Terceras PartesMedios de Comunicación

El PersonalFunciones y responsabilidadesConfidencialidad y contraseñas

Uso de hardwareUso de software y aplicacionesConcientización y Educación

Los sistemas de InformaciónSeguridad Física del entorno

Seguridad Física de los soportesSeguridad Lógica en los sistemas

Manejo de incidentes

La Revisión del SistemaControl de registros

Auditorías de SistemasSeguimiento del Cumplimiento

Para aportar resultados y conocimientos para el control de:

Los Usuarios y los Objetivos de Controllos Usuarios de cada área de negocios deben saber que, de acuerdo a los Objetivos de Control  definidos, las medidas de seguridad  adecuadas al 

contexto de la Compañía tienen que cumplirse para asegurar:

ConfidencialidadAsegurar que la información es sólo accesible para aquellos autorizados.

DisponibilidadAsegurar que los usuarios autorizados tienen acceso cuando lo requieran en los tiempos adecuados.

IntegridadGarantía de la exactitud y de que la información sea completa, así como los métodos de su procesamiento.

Y saber que son uno de los tres elementos para la Gestión de la

Seguridad

Personas

TecnologíaProcesos

6

Los  usuarios  aportan  la  documentación  referente  a  los  objetos  de  información basándose  en su experiencia y conocimientos.  Esto  permite  establecer programas adecuados que disminuyen la potencialidad de eventos negativos y el mantenimiento organizado de los mismos.

Los Usuarios y la Documentación

Conjunto de Normativas y Guías de implementación

Establecer bases respecto a

Matrices para identificación de riesgos y su posterior

mitigación

Documentarresultados en

Manual de Protecciónde la Información

Para actualizar el

7

Los Usuarios y la DocumentaciónLa  Información  ofrecida  desde  las  Áreas  Usuarias  ayudan  a establecer  y  documentar medidas preventivas  y  obtener  un Plan Metodológico Integral de la Seguridad de la Información,  que incluye:

Identificación del riesgo potencial y de exposición por objetivo de control

Clasificación de la información, estableciendo

su importancia de acuerdo a su nivel de Confidencialidad,

Integridad y Disponibilidad necesaria

Otros documentosAnálisis de procesos del área, Mapa de interacción con otras áreas,

Nómina de Proveedores Críticos, Nómina de personal en contingencia, Lista de requerimientos mínimos del área, etc.

8

Procesando la información de UsuariosLa  certeza  sobre  la  Información  de  respaldo  y  pruebas objetivas  brindadas  por  los  Usuarios  para  el  control  y desarrollo de la Seguridad de la Información aportarán un sólido desarrollo para:

BCP (Business Continuity Plan)DRP (Disaster Recovery Plan)

Manuales de Proteción de la Información

Instructivos y Checklist de ControlEstándares de Seguridad Física y Lógica

9

Conocer su responsabilidad en cuanto a la Seguridad de la Información y lo que se espera de él.

COMPROMISO Y CONCIENTIZACIÓN

Que esperamos del Usuario

Entrenamiento inicial y continuo a sus colegas de área, y aporte en el mantenimiento activo de la documentación y los controles

Conocer las políticas organizacionales, haciendo hincapié en el cumplimiento de la Política de Seguridad.

Incrementar la conciencia de la necesidad de proteger la información y a entrenar a los usuarios en la utilización de la misma para que ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores y pérdidas.

10

Celular (011) 15 6034-2822fabiandescalzo@yahoo.com.ar

http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6 

Analista de Seguridad InformáticaEspecialista en Seguridad de la Información