Seguridad de la Información - El Rol de los usuarios
-
Upload
fabian-descalzo -
Category
Documents
-
view
10.193 -
download
0
description
Transcript of Seguridad de la Información - El Rol de los usuarios
El rol del Usuario
Security InformationAwareness Program
1v1.0
Celular (011) 15 [email protected]://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6
Analista de Seguridad InformáticaEspecialista en Seguridad de la Información
Protección de Información y los Usuarios
2
El gerenciar la Protección de la Información requiere contar con el compromiso de cada área de negocios, quienes brindan los recursos humanos que le permiten administrar y controlar la seguridad de la información a través de la función o rol de cada usuario seleccionado como:
Lider de Seguridad de la Información:Responsable por la empresa o locación en caso de tratarse de Compañías con más de una Sede. Coordina las
actividades de implementación de la seguridad o respuesta ante incidentes según lo informado por cada Responsable de Sector
Responsable de Seguridad de la Información:Asegura la información de su sector colaborando con el Líder de la Compañía o de la Sede, controla que se cumplan los requerimientos de seguridad acorde a lo informado por los propietarios de la información y las medidas de seguridad implementadas por el Líder.
Propietario de la información:Responsable de clasificarla y establecer su nivel de criticidad y disposición final, informa al Responsable del
Sector
Usuario Clave:Administrador de Seguridades Aplicativas, responsable de aplicar las medidas de seguridad necesarias acorde a la
clasificación de la información establecida por el Propietario de la Información.
3
Los objetivos de control están definidos bajo el marco normativo de referencia de diferentes Normativas Nacionales e Internacionales de Control (BCRA, SIGEN, CoBIT, HIPAA, SOX, ISO, etc.)
La Compañía toma esos objetivos de control, de los cuales surgen las medidas de seguridad que adopta y adecúa a su organización para la protección de la información más sensible o las aplicaciones más críticas para cada área de negocio establecidos .
Estos objetivos de control y su implantación debe ser conocida desde el inicio por los Usuarios en sus diferentes niveles, participando en el cumplimiento de la acción política de la Empresa y formando parte responsable de la estrategia de la Seguridad de la Información.
Y así se asegura desde todas las áreas de negocio que se proporciona un sistema de control adecuado para el ambiente de tecnología de información.
Los Usuarios y los Objetivos de Control
4
Según lo que establezca como alcance la Compañía a través de su Política de Seguridad, cada área de negocios participa en la gestión de:
Los Usuarios y los Objetivos de Control
El NegocioGestión de la SeguridadGestión de Información
Gestión con Terceras PartesMedios de Comunicación
El PersonalFunciones y responsabilidadesConfidencialidad y contraseñas
Uso de hardwareUso de software y aplicacionesConcientización y Educación
Los sistemas de InformaciónSeguridad Física del entorno
Seguridad Física de los soportesSeguridad Lógica en los sistemas
Manejo de incidentes
La Revisión del SistemaControl de registros
Auditorías de SistemasSeguimiento del Cumplimiento
Para aportar resultados y conocimientos para el control de:
Los Usuarios y los Objetivos de Controllos Usuarios de cada área de negocios deben saber que, de acuerdo a los Objetivos de Control definidos, las medidas de seguridad adecuadas al
contexto de la Compañía tienen que cumplirse para asegurar:
ConfidencialidadAsegurar que la información es sólo accesible para aquellos autorizados.
DisponibilidadAsegurar que los usuarios autorizados tienen acceso cuando lo requieran en los tiempos adecuados.
IntegridadGarantía de la exactitud y de que la información sea completa, así como los métodos de su procesamiento.
Y saber que son uno de los tres elementos para la Gestión de la
Seguridad
Personas
TecnologíaProcesos
6
Los usuarios aportan la documentación referente a los objetos de información basándose en su experiencia y conocimientos. Esto permite establecer programas adecuados que disminuyen la potencialidad de eventos negativos y el mantenimiento organizado de los mismos.
Los Usuarios y la Documentación
Conjunto de Normativas y Guías de implementación
Establecer bases respecto a
Matrices para identificación de riesgos y su posterior
mitigación
Documentarresultados en
Manual de Protecciónde la Información
Para actualizar el
7
Los Usuarios y la DocumentaciónLa Información ofrecida desde las Áreas Usuarias ayudan a establecer y documentar medidas preventivas y obtener un Plan Metodológico Integral de la Seguridad de la Información, que incluye:
Identificación del riesgo potencial y de exposición por objetivo de control
Clasificación de la información, estableciendo
su importancia de acuerdo a su nivel de Confidencialidad,
Integridad y Disponibilidad necesaria
Otros documentosAnálisis de procesos del área, Mapa de interacción con otras áreas,
Nómina de Proveedores Críticos, Nómina de personal en contingencia, Lista de requerimientos mínimos del área, etc.
8
Procesando la información de UsuariosLa certeza sobre la Información de respaldo y pruebas objetivas brindadas por los Usuarios para el control y desarrollo de la Seguridad de la Información aportarán un sólido desarrollo para:
BCP (Business Continuity Plan)DRP (Disaster Recovery Plan)
Manuales de Proteción de la Información
Instructivos y Checklist de ControlEstándares de Seguridad Física y Lógica
9
Conocer su responsabilidad en cuanto a la Seguridad de la Información y lo que se espera de él.
COMPROMISO Y CONCIENTIZACIÓN
Que esperamos del Usuario
Entrenamiento inicial y continuo a sus colegas de área, y aporte en el mantenimiento activo de la documentación y los controles
Conocer las políticas organizacionales, haciendo hincapié en el cumplimiento de la Política de Seguridad.
Incrementar la conciencia de la necesidad de proteger la información y a entrenar a los usuarios en la utilización de la misma para que ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores y pérdidas.
10
Celular (011) 15 [email protected]
http://ar.linkedin.com/pub/fabian-descalzo/a/a15/8a6
Analista de Seguridad InformáticaEspecialista en Seguridad de la Información