Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Actividades

A continuación, se presentarán los puntos solicitados en esta actividad, se elimina la hoja

con las descripción de la actividad para evitar problemas con la herramienta de detección
de plagio.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Tabla de contenido

OBJETIVO----------------------------------------------------------------------------------------------------------3

INTRODUCCIÓN-----------------------------------------------------------------------------------------------3

DESARROLLO----------------------------------------------------------------------------------------------------3

1. PROCESOS A REALIZAR Y METODOLOGÍA ----------------------------------------3

2. INICIATIVAS NECESARIAS-------------------------------------------------------------------4

1.1. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ----------------------------4

1.2. DEFINICIÓN DE PERSONAS INVOLUCRADAS -----------------------------------5

1.3. ANÁLISIS Y GESTIÓN DE RIESGOS. ---------------------------------------------------6

1.4. INVENTARIO Y CLASIFICACIÓN DE ACTIVOS DE INFORMACIÓN

7

1.5. SEGURIDAD EN RECURSOS HUMANOS-----------------------------------------------8

1.6. FORMACIÓN Y ENTRENAMIENTO EN SEGURIDAD ------------------------- 11

5.1. SEGURIDAD FÍSICA------------------------------------------------------------------------------ 12

CONCLUSIONES --------------------------------------------------------------------------------------------- 13

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Objetivo
Presentar una propuesta de un Plan de Seguridad de la Información (PSI) que eficiente
el involucramiento de todo el personal del Banco Mexicano de Desarrollo hacia la
protección de los activos de información.

Introducción
En este documento se plasmará la definición del plan de seguridad de la información
para el Banco Mexicano de Desarrollo (Banco), presentando un conjunto de actividades
que permitan la planificación y provisión de los recursos necesarios para garantizar su
correcta implementación y éxito.

Desarrollo
Como uno de los candidatos para el puesto de CISO, a continuación, se presenta una
propuesta para eficientar el involucramiento de todo el personal de la institución hacia
la protección de la información del Banco Mexicano de Desarrollo.

1. Procesos a realizar y metodología

El Plan de Seguridad de la Información (PSI) se plantea desde la premisa fundamental

de alinear todas las operaciones del Banco, bajo un referente de seguridad que constituya
un marco de actuación de seguridad de la información en los aspectos organizacionales,
normativos y tecnológicos, como podrá ser:
 Estándar ISO/IEC 27002:2013.
 COBIT.
 Matriz de responsabilidades (RACI) para identificar los diferentes roles y
responsabilidades involucrados en la iniciativa de acuerdo con las principales
actividades a realizar.
 Circular Única de Bancos CUB, emitida por la Comisión Nacional Bancaria y de
Valores.

La implantación de PSI brindará a la operación un modelo de la Seguridad de la

información que aporte: confidencialidad, integridad, disponibilidad y rastreabilidad a

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

los procesos de negocio, definiendo e implantando los controles de seguridad a los

activos de información según la normativa de seguridad.

El plan de seguridad de la información será definido para conseguir un adecuado nivel

de seguridad en las operaciones del “Banco”, que, alineados con los objetivos estratégicos
del negocio, establecerán los principales esfuerzos y prioridades en la implementación
del PSI.
Considerando la triada de la seguridad de la información: Confidencialidad, Integridad
y Disponibilidad se deben alcanzar los siguientes objetivos:
 Cumplimiento de la norma de seguridad de la información
 Cumplimiento de requerimientos legales y regulatorios
 Cumplimiento con circulares y regulaciones aplicables, como SOX, PCI y la
LFPDPPP.
 Establecimiento de planes de gestión y respuesta a incidentes de seguridad y
planes de continuidad del negocio.

2. Iniciativas necesarias
El catalogó de iniciativas se elaboró con el fin de estructurar las actividades a desarrollar
para la implementación del PSI.

1.1. Política de seguridad de la información

El objetivo de definir la política de seguridad de la información es proteger y regular
el uso de los activos de información, que soportan las actividades de gestión y
operativas de del Banco, así como de su destrucción, indisponibilidad, manipulación
o revelación no autorizada y su adecuado mantenimiento en entornos seguros,
mediante directrices, normas y procedimientos adecuados que contemplen todo el
ciclo de vida de la información, sus sistemas y las dependencias y ubicaciones donde
se encuentren.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Matriz RACI

ROLES

Equipo de Administración

Redes y comunicaciones

Seguridad Informática
Sistemas / Desarrollo
Fechas

Recursos Humanos

Auditoria / Control
Titulares de Área
Director General

Seguridad física

Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Publicar y comunicar la Política de Seguridad de la A
2017 / 07 I C I I I I I I I I I
Información. R
Colaborar en las iniciativas y foros que se
A
promuevan, con objeto de revisar y mejorar la 2017 / 07 R
R
Política y Normativa.

R (Responsible): Ejecuta la actividad

A (Accountable): Responsable de la actividad
C (Consulted): Debe ser consultado
I (Informed): Debe ser Informado

1.2. Definición de personas involucradas

Dentro de la Política de Seguridad de la Información se establece que la función de
seguridad reside en: el Oficial de Seguridad de la Información (ISO), auxiliado por el
equipo de administración (EA), quienes:
 Deberán garantizar la disponibilidad, integridad, confidencialidad y trazabilidad
de la información, para evitar su destrucción, modificación y/o revelación no
autorizada, a través de acciones y actividades de prevención, detección,
recuperación y/o auditoria, con el fin de reducir su riesgo de pérdida.
 Tendrán visibilidad en toda la empresa y contará con el respaldo directivo, con el
fin de hacer operativas las soluciones a los problemas detectados.
 Brindarán apoyo para todo lo relacionado con la política, presupuesto, planes
estratégicos, cuadros de mando, gestión de incidentes de seguridad e iniciativas
de seguridad.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Matriz RACI

ROLES

Equipo de Administración

Redes y comunicaciones

Seguridad Informática
Sistemas / Desarrollo
Fechas

Recursos Humanos

Auditoria / Control
Titulares de Área
Director General

Seguridad física

Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Establecimiento del EA en Seguridad. 2017 / 08 C C C A I C R I C
R
Definición del Plan Estratégico de Seguridad. 2017 / 08 C C C A C C C I R I I
R
Definición de las responsabilidades sobre Seguridad A
2017 / 08 I C I I I R R I R C C
de la Información. R
Determinar contactos a establecer con autoridades, A
2017 / 08 I C I I C C C C C
grupos de interés y profesionales relevantes. R

Determinar las responsabilidades de los propietarios A

2017 / 08 I C I I C C C I R I C
de los activos de información. R

Definir los aspectos relacionados con el nivel de C

servicio y de entrega a incluir en los contratos con A
2017 / 08 I C I I C C I R I C
terceros. R

Implantar el procedimiento de revisión de la

estructura y funciones del EA en Seguridad. A
2017 / 08 I C I I C C C I R I I
R

R (Responsible): Ejecuta la actividad

A (Accountable): Responsable de la actividad
C (Consulted): Debe ser consultado
I (Informed): Debe ser Informado

1.3. Análisis y gestión de riesgos.

El Banco debe establecer procesos de análisis y gestión de riesgos para identificar y
aplicar controles de seguridad, con el objetivo de reducir el riesgo residual a un nivel
aceptable.
La Política de Seguridad de la Información, establece la necesidad de elaborar planes de
seguridad que deberán acompañarse de procesos formales de análisis y gestión de riesgos
que permitan implantar las soluciones idóneas, o bien asumir los riesgos asociados a las
desviaciones respecto de estas soluciones.
Los procesos de análisis y gestión de riesgos cuantificarán de forma metodológica los
riesgos que soporta la empresa en función de la probabilidad de ocurrencia de amenazas
y el impacto que suponen.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Matriz RACI

ROLES

Equipo de Administración

Redes y comunicaciones

Seguridad Informática
Sistemas / Desarrollo
Fechas

Recursos Humanos

Auditoria / Control
Titulares de Área
Director General

Seguridad física

Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Definir el alcance de los Análisis de Riesgos. 2017 / 09 C I R R R C A I
R
Elaborar planificación, periodicidad y prioridad A
2017 / 09 C I R C C C C I
Análisis de Riesgos. R
Decidir criterio de aceptación y gestión del riesgo de A
2017 / 09 C C R C C C C I
acuerdo a objetivos de negocio. R

Realizar análisis de riesgos ante Sistemas nuevos o

2017 / 09 I R R R R I I
ante modificaciones de los existentes.
Análisis y elaboración del informe de Diagnostico de A
2017 / 09 R I I I I I I
Seguridad de la Información. R
Integración en el Plan de Seguridad. 2017 / 09 I C C A I
R
R (Responsible): Ejecuta la actividad
A (Accountable): Responsable de la actividad
C (Consulted): Debe ser consultado
I (Informed): Debe ser Informado

1.4. Inventario y clasificación de activos de

información
La Política de Seguridad de la Información define como activos estratégicos la
información y los sistemas que la tratan, y manifiesta la determinación que se deberá
tener en alcanzar los niveles de seguridad necesarios que garanticen su protección. Para
conseguir y mantener un nivel de seguridad de la información adecuado, la primera
necesidad es identificar e inventariar los activos de información. Desde el punto de vista
de la seguridad, se consideran activos de información tanto los componentes de
hardware, software y elementos auxiliares como los datos y documentos.
Asimismo, se regula que la información deberá estar clasificada en virtud de su
importancia para la organización y ha de ser tratada según dicha clasificación.
Los datos podrán estar almacenados sobre cualquier tipo de soporte. Esto incluye tanto
la documentación como los datos organizados en archivos, bases de datos o cualquier
otro formato.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Las áreas corporativas y de negocio deberán tener un inventario de activos de

información para poder afrontar los procesos de análisis y gestión de riesgos, según se
indica en la Política de Seguridad de la Información.

Matriz RACI

ROLES

Equipo de Administración

Redes y comunicaciones

Seguridad Informática
Sistemas / Desarrollo
Fechas

Recursos Humanos

Auditoria / Control
Titulares de Área
Director General

Seguridad física

Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Identificar las disposiciones legales, organizativas A
2017 / 10 - I - I C R C C C R R
y regulatorias. R
Identificar activos de Información a los que
2017 / 10 - I - I C - - R C C I -
realizar el inventario.

Identificar propietarios de activos de información. 2017 / 10 - I - - A - - I I C - -

R
Realizar el inventario de la Información. 2017 / 10 - I - I C - R R R A - -
R
Identificar la información que ha de ser clasificada. 2017 / 10 C C C A R - R R C R I C

Clasificación de la información. 2017 / 10 - I I A R R R R R R I -

Definir procedimientos, responsabilidades y

A
mecanismos para mantener actualizado el 2017 / 10 - I - - - - I I R - -
R
inventario.
Establecer los controles necesarios para asegurar
que la información está convenientemente 2017 / 10 - I I A R R R R R R R -
clasificada.

Definir y establecer los procedimientos revisión de A

2017 / 10 - I C A R - C C C R C
las Guías y procedimientos. R
R (Responsible): Ejecuta la actividad
A (Accountable): Responsable de la actividad
C (Consulted): Debe ser consultado
I (Informed): Debe ser Informado

1.5. Seguridad en recursos humanos

Los recursos humanos son un activo fundamental. Su correcta gestión, desde el inicio
hasta el final de la relación, incide decisivamente en el desarrollo normal de las
actividades del negocio.
Dentro de esta gestión, los aspectos relativos a la Seguridad de la Información son una
parte muy importante dentro de las salvaguardas que se han de tomar para asegurarse

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

de que las actividades realizadas por el personal están en consonancia con las Políticas
del Banco.

Matriz RACI

ROLES

Equipo de Administración

Redes y comunicaciones

Seguridad Informática
Sistemas / Desarrollo
Fechas

Recursos Humanos

Auditoria / Control
Titulares de Área
Director General

Seguridad física

Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Elaborar, aprobar, publicar y
A
difundir la Guía de obligaciones de 2017 / 09 - I - I I R C C C C I
R
seguridad para el personal.
Elaborar procedimiento de
A
verificación experiencia de los 2017 / 09 - - - - - C C - C I C
R
candidatos a contratar.

Definir cláusulas legales contratos C

2017 / 09 - I I I - R C C - C
empleados o terceras partes. -
Procedimiento inclusión cláusulas
2017 / 09 - - - - - R C C - C C C
confidencialidad.
Procedimiento apertura proceso
A
disciplinario por violación norma 2017 / 09 - - - - - C C - C C C
R
seguridad.

Definir requerimientos a
considerar en finalización 2017 / 09 - I - - - R C C - C C R
contractual colaboradores.
Procedimiento finalización o
A
cambio de contrato, con devolución 2017 / 09 - - I - - C C C C I C
R
de activos.
Procedimiento verificación
A
cumplimiento controles de 2017 / 09 - - - - - C C C C I -
R
seguridad colaboradores.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

ROLES

Equipo de Administración

Redes y comunicaciones

Seguridad Informática
Sistemas / Desarrollo
Fechas

Recursos Humanos

Auditoria / Control
Titulares de Área
Director General

Seguridad física

Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Revisar Guía de obligaciones de A
seguridad para el personal. 2017 / 09 - I – C C C C - R I -
R

Revisar medios utilizados

2017 / 09 - - - - - R C C - C I -
validación candidatos.
Procedimiento verificación
periódica del proceso de 2017 / 09 - I - - - R C C C C C -
contratación de terceros.

Verificar aplicación proceso A

disciplinario. 2017 / 09 - - - - - C C - C C C
R
R (Responsible): Ejecuta la actividad
A (Accountable): Responsable de la actividad
C (Consulted): Debe ser consultado
I (Informed): Debe ser Informado

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

1.6. Formación y entrenamiento en seguridad

El método más efectivo de mejorar la seguridad es la formación continua incorporada a
la actividad laboral. Dentro de los planes de formación se deben incluir cursos específicos
sobre seguridad de la información acordes con el área destinataria: dirección, técnicos,
administradores y usuarios de los sistemas.
El cambio continuo en las tecnologías, los sistemas de información y las herramientas
informáticas de trabajo suponen un esfuerzo de aprendizaje y adaptación constante para
todo el personal.
La existencia de un Plan de Formación continua en seguridad de la información mejorará
el nivel general de seguridad, aumentará la productividad disminuyendo las incidencias
y generará un entorno de trabajo más sólido.
Una de las responsabilidades del Equipo de administración en Seguridad de la
Información, es la de promover la concienciación de los empleados en seguridad de la
información mediante campañas y cursos de formación.
Los usuarios son el eslabón más débil respecto a la seguridad de la información. La
aparición constante de nuevas amenazas y riesgos, el entorno cambiante en cuanto a
aplicaciones, sistemas e infraestructuras genera un esfuerzo de actualización
permanente de los conocimientos. Dentro de este esfuerzo, es necesario facilitar la
adquisición de hábitos seguros en desarrollo de las actividades relacionadas con los
sistemas de información.
Se deberán realizar campañas de concienciación sobre seguridad dirigidas a todo el
personal, proveedores y clientes, a través del medio que se considere más efectivo. En
estas campañas se incidirá en las obligaciones del personal indicadas en la "Guía de
obligaciones de seguridad para el personal en el manejo de la información", así como en
los procedimientos y herramientas que deben utilizarse en el cumplimiento de las
mismas.
Además, se comunicará la prerrogativa de la empresa de vigilar el cumplimiento de estas
obligaciones a través de la monitorización y revisión, de forma aleatoria y sin previo
aviso, del uso de los sistemas y redes de comunicaciones (correos electrónicos, registros
de actividad en internet, entre otras). La concienciación y la difusión de buenas prácticas
en seguridad ayudarán a mejorar la confianza de los usuarios en los medios técnicos y
mejorará la seguridad a nivel general.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Matriz RACI

ROLES

Equipo de Administración

Redes y comunicaciones

Seguridad Informática
Sistemas / Desarrollo
Fechas

Recursos Humanos

Auditoria / Control
Titulares de Área
Director General

Seguridad física

Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Establecer el Plan de Formación en Seguridad de la A
2017 / 11 - I I I I R C C C - -
Información. R
Definir el Plan de Divulgación y Concienciación A
2017 / 11 - I - I - C – C C I C
sobre Seguridad a todos los empleados. R

Definir y elaborar los soportes sobre los que se A

2017 / 11 - I - I - R - - R I -
apoyara el Plan de Divulgación y Concienciación. R

Ejecutar el Plan de Divulgación y Concienciación A

2017 / 11 - I - I C - - C C I -
sobre Seguridad. R
Definir el procedimiento de evaluación de la A
2017 / 11 - - - - - - - - C - -
efectividad del Plan de Formación. R

Implantar el proceso de actualización del Plan de

A
Formación, Divulgación y Concienciación en 2017 / 11 - - - I C R C C C - -
R
Seguridad.
2. R (Responsible): Ejecuta la actividad
3. A (Accountable): Responsable de la actividad
4. C (Consulted): Debe ser consultado
5. I (Informed): Debe ser Informado

5.1. Seguridad física

Las amenazas medioambientales pueden producir efectos devastadores. Estas
amenazas, al igual que las derivadas del fuego, contaminación, actos terroristas o
vandálicos suponen un esfuerzo de prevención considerable.
La prevención de estos desastres, así como la seguridad perimetral, vigilancia de edificios
e instalaciones, los controles de entrada y salida y de las zonas de carga y descarga son
aspectos básicos a tener en cuenta para establecer un entorno seguro.
Las amenazas físicas y medioambientales forman un grupo de riesgos que afectan
directamente al equipamiento. La prevención de estas amenazas, pequeños incendios,
sustracciones o actos vandálicos, cortocircuitos o roturas en cables, fallos de
mantenimiento, entre otros, suponen un reto y un importante esfuerzo.
En determinados casos, los fallos o desastres pueden ocurrir a terceros, que por su
condición de proveedores o suministradores pueden afectar igualmente al Banco.

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)
 Asignatura Datos del alumno Fecha

Análisis de Riesgos Apellidos: Reyes Correa

20/11/2017
Informáticos Nombre: Guillermo

Las instalaciones, mantenimiento y las medidas de seguridad apropiadas han de

asegurar los niveles de disponibilidad del equipamiento necesario para el correcto
desarrollo del negocio.

Matriz RACI

ROLES

Equipo de Administración

Redes y comunicaciones

Seguridad Informática
Sistemas / Desarrollo
Fechas

Recursos Humanos

Auditoria / Control
Titulares de Área
Director General

Seguridad física

Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Identificar las áreas de seguridad, los equipos y los A A
2017 / 12 - I - - - - - C - -
elementos de seguridad y protección existentes. R R
Determinar medidas de seguridad a contemplar
A A
las instalaciones y el nivel de protección a aplicarse 2017 / 12 I C C C C - - C I C
R R
en el equipamiento.
Elaborar los procedimientos de implantación de A A
2017 / 12 - I - - - - - C - -
medidas de seguridad física. R R
Realización de un diagnóstico de situación del
A A
acondicionamiento de las áreas de seguridad, en 2017 / 12 - I - I - - - C I -
R R
cuanto a medidas de seguridad física.
Implantación de las medidas correctoras que A A
2017 / 12 - I - I - - - C I -
eliminen las deficiencias detectadas. R R
Definir e implantar procedimientos de revisión de A A
2017 / 12 - I - I - - - C I -
efectividad de las medidas. R R
R (Responsible): Ejecuta la actividad
A (Accountable): Responsable de la actividad
C (Consulted): Debe ser consultado
I (Informed): Debe ser Informado

Conclusiones
Para la implementación de un PSI tomé como base el ISO/IEC 27001 en el cual se
muestran los controles que se deben cumplir mínimamente, para la implementación de
un Sistema de Gestión de Seguridad de la Información y ISO/IEC 27002, el cual contiene
las mejores prácticas generales para el debido cumplimiento de los controles, buscando
una propuesta eficiente de los recursos disponibles en los 6 meses indicados.

--- Fin de archivo ---

TEMA 1 – Actividades © Universidad Internacional de La Rioja, S. A.

(UNIR)