Sistema de Gestin de Seguridad de la Informacin Fase I

Andrs Gonzlez Consultora NewNet S.A.

Aspectos Generales
Marco de Situacin de riesgos para la Universidad del Valle (Estandarizacin / Documentacin, control cambios, metodologas, continuidad de operaciones) La herramienta: Esquema de organizacin y focalizacin. Asignacin de responsabilidades especficas frente a seguridad de la informacin. Esquema de apoyo y compromiso de la direccin Modelo probado de.mejora continua

El Modelo PHVA
PLANIFICAR
Establecer el SGSI

HACER

ACTUAR
Ciclo de Desarrollo Mantenimiento y Mejora Mantener y mejorar el SGSI

Partes Interesadas

Implementar y Operar el SGSI

Partes Interesadas

VERIFICAR
Requisitos y Expectativas de Seguridad de la Informacin Hacer Seguimiento y revisar el SGSI Gestin de la Seguridad de la Informacin

OFICINA DE INFORMTICA Y TELECOMUNICACIONES

ESTRUCTURA ORGANICA 10 DE FEBRERO DE 2003

OFICINA DE INFORMTICA Y TELECOMUNICACIONES

rea de Infraestructura

rea de Servicios de Soporte y Desarrollo

Cableado Estructurado

Servidores

Soporte Tcnico

Capacitacin Institucional

Equipos de Comunicacin

Servicios de Internet

Desarrollo y Aplicativos

Conmutador

ACUERDO N 003 03 C.S.

Consejo Superior
Comit de Rectora Consejo Acadmico

Comit de Informtica (Seguridad)

Asesores Prof. Ingeniera Recursos Humano Jurdico Seguridad Fsica / Ambiental

Coordinacin de Seguridad

Lder del SGSI Oficial de Seguridad

PLANIFICAR
Establecer el SGSI

HACER

ACTUAR
Ciclo de Desarrollo Mantenimiento y Mejora Mantener y mejorar el SGSI

Partes Interesadas

Implementar y Operar el SGSI

Partes Interesadas

VERIFICAR
Requisitos y Expectativas de Seguridad de la Informacin Hacer Seguimiento y revisar el SGSI Gestin de la Seguridad de la Informacin

Seguridad de la Informacin Universidad del Valle

Lder del SGSI

PLANIFICAR
Establecer el SGSI

Oficial de Seguridad
ACTUAR
Mantener y mejorar el SGSI

HACER

Partes Interesadas

Implementar y Operar el SGSI

Ciclo de Desarrollo Mantenimiento y Mejora

Partes Interesadas

VERIFICAR
Requisitos y Expectativas de Seguridad de la Informacin Hacer Seguimiento y revisar el SGSI Gestin de la Seguridad de la Informacin

Consejo Superior

Funciones del Comit

Comit Comit de Rector Rectora

Consejo Acad Acadmico

Comit Comit de Inform Informtica (Seguridad)

Asesores Prof. Ingeniera Recursos Humano Jurdico Seguridad Fsica / Ambiental

Coordinacin de Seguridad

Lder del SGSI Oficial de Seguridad

Revisar el estado de la seguridad de la informacin de La Oficina de Informtica y Telecomunicaciones - OITEL - de la Universidad del Valle, el cual debe ser reportado peridicamente por el Lder del SGSI. Revisar y aprobar la poltica y normas de seguridad de la informacin e informtica y las responsabilidades generales de seguridad definidas para los empleados, contratistas y dems personas que interacten con los recursos informticos y de telecomunicaciones de la Universidad del Valle o que tengan acceso a su informacin Especificar los objetivos, estrategias y planeacin corporativa de seguridad de la informacin de la Universidad y la Oficina de Informtica y Telecomunicaciones (OITEL).

Funciones del Comit (2)

Avalar y aprobar la ejecucin de proyectos de seguridad de informacin (pe. Evaluacin de arquitectura, adquisicin de soluciones, etc.). Servir de facilitadores para el desarrollo de proyectos de seguridad de informacin. Evaluar planes de accin para mitigar y/o eliminar riesgos. Realizar revisiones del SGSI al menos dos veces al ao. Basndose en esta revisin la direccin debe tomar decisiones y acciones relativas a:
Mejora de la eficiencia del SGSI. Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. Modificacin de los procedimientos y controles que afectan la seguridad de la informacin, en respuesta a cambios internos o externos en los requisitos de un negocio, requerimientos de seguridad, procesos de negocio, marca legal, obligaciones contractuales, niveles de riesgo y criterios de aceptacin del riesgo.
Consejo Superior
Comit Comit de Rector Rectora Consejo Acad Acadmico

Comit Comit de Inform Informtica (Seguridad)

Asesores Prof. Ingeniera Recursos Humano Jurdico Seguridad Fsica / Ambiental

Coordinacin de Seguridad

Lder del SGSI Oficial de Seguridad

Oficial de Seguridad
Administrar y coordinar la ejecucin del proceso de seguridad de la informacin de la empresa desde la visin tecnolgica. Definir disposiciones de seguridad para que sean incorporadas por las reas tecnolgicas a nivel de estndares y procedimientos de seguridad de la informacin. Responsable por establecer y verificar la implementacin de los aspectos de seguridad en las plataformas tecnolgicas que soportan los procesos de la Universidad del Valle. Documentar los procedimientos de seguridad informtica y someterlos a revisin a la Direccin Informtica y a la Coordinacin de Infraestructura y Software.

Oficial de Seguridad
En conjunto con el Lder del SGSI, desarrollar, mantener y comunicar las polticas, estndares y guas de Seguridad de la Informacin en la Universidad, especialmente aquellas con un enfoque tecnolgico. Crear y definir los aspectos para la conformacin de un grupo de respuesta a incidentes de seguridad, para atender los problemas relacionados a la seguridad informtica dentro de la organizacin. Promover la aplicacin de auditoras enfocadas a la seguridad, para evaluar las prcticas de seguridad informtica dentro de la organizacin. Crear y vigilar los lineamientos necesarios que ayuden a tener los servicios de seguridad en la organizacin. Servir de punto de apoyo para la oficina de informtica y telecomunicaciones de la Universidad del Valle respecto a cambios en la plataforma tecnolgica, para asegurar que los aspectos de seguridad de informacin sean considerados en las etapas iniciales de los proyectos.

Implicaciones
La estructuracin de los roles y responsabilidades en la OITEL implica:
Aprobacin de la asignacin del Comit de Informtica como Comit de Seguridad de la Informacin. Reasignacin de recurso humano para la incorporacin de funciones de seguridad. Asignacin del rol del SGSI a la Direccin de la OITEL. Definir un grupo de apoyo para estas actividades Inclusin de actividades de revisin y auditora al personal de Control interno.

1. Que hay por hacer?

Formalizacin del marco normativo de la Seguridad de la Informacin. Definicin y Aprobacin de la organizacin de seguridad en el esquema existente. Formalizacin del papel y apoyo de las reas de soporte (Recurso Humano, Seguridad Fsica, Calidad, Control Interno) frente

Preguntas y Comentarios

www.newnetsa.com
Diagonal (Calle) 16 No. 60-72 Telfono: 57.1. 4173400 Fax: 57.1. 2605475 BOGOTA DC Carrera 49 No. 52.170 Of. 406 Telfono: 57.4. 2516353 Fax: 57.4. 2516353 MEDELLIN Calle 18 No. 8-41 Of. 406 Telfono: 57.6. 3330759 Fax: 57.6. 3359968 PEREIRA Calle 23N No. 3N-33 Piso 6 Telfono: 57.2. 6671892 Fax: 57.2. 6671892 CALI