Beruflich Dokumente
Kultur Dokumente
Actividades
Tabla de contenido
OBJETIVO----------------------------------------------------------------------------------------------------------3
INTRODUCCIÓN-----------------------------------------------------------------------------------------------3
DESARROLLO----------------------------------------------------------------------------------------------------3
2. INICIATIVAS NECESARIAS-------------------------------------------------------------------4
CONCLUSIONES --------------------------------------------------------------------------------------------- 13
Objetivo
Presentar una propuesta de un Plan de Seguridad de la Información (PSI) que eficiente
el involucramiento de todo el personal del Banco Mexicano de Desarrollo hacia la
protección de los activos de información.
Introducción
En este documento se plasmará la definición del plan de seguridad de la información
para el Banco Mexicano de Desarrollo (Banco), presentando un conjunto de actividades
que permitan la planificación y provisión de los recursos necesarios para garantizar su
correcta implementación y éxito.
Desarrollo
Como uno de los candidatos para el puesto de CISO, a continuación, se presenta una
propuesta para eficientar el involucramiento de todo el personal de la institución hacia
la protección de la información del Banco Mexicano de Desarrollo.
2. Iniciativas necesarias
El catalogó de iniciativas se elaboró con el fin de estructurar las actividades a desarrollar
para la implementación del PSI.
Matriz RACI
ROLES
Equipo de Administración
Redes y comunicaciones
Seguridad Informática
Sistemas / Desarrollo
Fechas
Recursos Humanos
Auditoria / Control
Titulares de Área
Director General
Seguridad física
Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Publicar y comunicar la Política de Seguridad de la A
2017 / 07 I C I I I I I I I I I
Información. R
Colaborar en las iniciativas y foros que se
A
promuevan, con objeto de revisar y mejorar la 2017 / 07 R
R
Política y Normativa.
Matriz RACI
ROLES
Equipo de Administración
Redes y comunicaciones
Seguridad Informática
Sistemas / Desarrollo
Fechas
Recursos Humanos
Auditoria / Control
Titulares de Área
Director General
Seguridad física
Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Establecimiento del EA en Seguridad. 2017 / 08 C C C A I C R I C
R
Definición del Plan Estratégico de Seguridad. 2017 / 08 C C C A C C C I R I I
R
Definición de las responsabilidades sobre Seguridad A
2017 / 08 I C I I I R R I R C C
de la Información. R
Determinar contactos a establecer con autoridades, A
2017 / 08 I C I I C C C C C
grupos de interés y profesionales relevantes. R
Matriz RACI
ROLES
Equipo de Administración
Redes y comunicaciones
Seguridad Informática
Sistemas / Desarrollo
Fechas
Recursos Humanos
Auditoria / Control
Titulares de Área
Director General
Seguridad física
Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Definir el alcance de los Análisis de Riesgos. 2017 / 09 C I R R R C A I
R
Elaborar planificación, periodicidad y prioridad A
2017 / 09 C I R C C C C I
Análisis de Riesgos. R
Decidir criterio de aceptación y gestión del riesgo de A
2017 / 09 C C R C C C C I
acuerdo a objetivos de negocio. R
Matriz RACI
ROLES
Equipo de Administración
Redes y comunicaciones
Seguridad Informática
Sistemas / Desarrollo
Fechas
Recursos Humanos
Auditoria / Control
Titulares de Área
Director General
Seguridad física
Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Identificar las disposiciones legales, organizativas A
2017 / 10 - I - I C R C C C R R
y regulatorias. R
Identificar activos de Información a los que
2017 / 10 - I - I C - - R C C I -
realizar el inventario.
de que las actividades realizadas por el personal están en consonancia con las Políticas
del Banco.
Matriz RACI
ROLES
Equipo de Administración
Redes y comunicaciones
Seguridad Informática
Sistemas / Desarrollo
Fechas
Recursos Humanos
Auditoria / Control
Titulares de Área
Director General
Seguridad física
Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Elaborar, aprobar, publicar y
A
difundir la Guía de obligaciones de 2017 / 09 - I - I I R C C C C I
R
seguridad para el personal.
Elaborar procedimiento de
A
verificación experiencia de los 2017 / 09 - - - - - C C - C I C
R
candidatos a contratar.
Definir requerimientos a
considerar en finalización 2017 / 09 - I - - - R C C - C C R
contractual colaboradores.
Procedimiento finalización o
A
cambio de contrato, con devolución 2017 / 09 - - I - - C C C C I C
R
de activos.
Procedimiento verificación
A
cumplimiento controles de 2017 / 09 - - - - - C C C C I -
R
seguridad colaboradores.
ROLES
Equipo de Administración
Redes y comunicaciones
Seguridad Informática
Sistemas / Desarrollo
Fechas
Recursos Humanos
Auditoria / Control
Titulares de Área
Director General
Seguridad física
Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Revisar Guía de obligaciones de A
seguridad para el personal. 2017 / 09 - I – C C C C - R I -
R
Matriz RACI
ROLES
Equipo de Administración
Redes y comunicaciones
Seguridad Informática
Sistemas / Desarrollo
Fechas
Recursos Humanos
Auditoria / Control
Titulares de Área
Director General
Seguridad física
Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Establecer el Plan de Formación en Seguridad de la A
2017 / 11 - I I I I R C C C - -
Información. R
Definir el Plan de Divulgación y Concienciación A
2017 / 11 - I - I - C – C C I C
sobre Seguridad a todos los empleados. R
Matriz RACI
ROLES
Equipo de Administración
Redes y comunicaciones
Seguridad Informática
Sistemas / Desarrollo
Fechas
Recursos Humanos
Auditoria / Control
Titulares de Área
Director General
Seguridad física
Jurídico / Legal
Finanzas
Sistemas
ACTIVIDADES
Identificar las áreas de seguridad, los equipos y los A A
2017 / 12 - I - - - - - C - -
elementos de seguridad y protección existentes. R R
Determinar medidas de seguridad a contemplar
A A
las instalaciones y el nivel de protección a aplicarse 2017 / 12 I C C C C - - C I C
R R
en el equipamiento.
Elaborar los procedimientos de implantación de A A
2017 / 12 - I - - - - - C - -
medidas de seguridad física. R R
Realización de un diagnóstico de situación del
A A
acondicionamiento de las áreas de seguridad, en 2017 / 12 - I - I - - - C I -
R R
cuanto a medidas de seguridad física.
Implantación de las medidas correctoras que A A
2017 / 12 - I - I - - - C I -
eliminen las deficiencias detectadas. R R
Definir e implantar procedimientos de revisión de A A
2017 / 12 - I - I - - - C I -
efectividad de las medidas. R R
R (Responsible): Ejecuta la actividad
A (Accountable): Responsable de la actividad
C (Consulted): Debe ser consultado
I (Informed): Debe ser Informado
Conclusiones
Para la implementación de un PSI tomé como base el ISO/IEC 27001 en el cual se
muestran los controles que se deben cumplir mínimamente, para la implementación de
un Sistema de Gestión de Seguridad de la Información y ISO/IEC 27002, el cual contiene
las mejores prácticas generales para el debido cumplimiento de los controles, buscando
una propuesta eficiente de los recursos disponibles en los 6 meses indicados.