Recursos Informáticos y Educativos
Administración del sistema de copias de seguridad (Backups)
Administración servicios correo electrónico, aplicaciones de Google, recursos IP y dominio
Gestión de Tecnologías Informáticas y Sistemas de Información
Administración de cuentas de usuarios y permisos
Diseño y desarrollo de software
Gestión para la conectividad con entidades bancarias
Formato Riegos SGSI
1313-F12 Riesgos Seguridad de la Información áreas del alcance
Leer publicación completa [+]
¿Qué es?:
Conjunto de controles y directrices que buscan proteger nuestros activos de información en su confidencialidad, integridad y disponibilidad, definiéndose como activo de información, todo aquello que posee valor para la organización y que representa, contiene, almacena o transmite información.
Antecedentes:
La Universidad Tecnológica de Pereira, como institución pública del orden nacional y alineada con la estrategia de Gobierno en Línea, ha venido trabajando en los últimos años en la implementación de un Sistema de Gestión de Seguridad de la Información, siguiendo las mejores prácticas de la norma ISO 27001/2013 y trabajando en conjunto con el Sistema Integral de Gestión institucional, buscando que los riesgos asociados a la seguridad de la información sea identificados, analizados, minimizados y gestionados de una forma adecuada, continua, eficiente y adaptada a los cambios de la organización, el entorno y la tecnología que lo soporta.
¿Cuál es su alcance?:
Tiene como alcance el área de Gestión de Tecnologías Informáticas y Sistemas de Información (Arquitectura de Software, Administración de Servidores Especializados y Bases de Datos, administración de Servicios Informáticos, Implementación del Sistema de Información Institucional, Renovación Tecnológica Institucional); el área de Recursos Informáticos y Educativos (Administración de redes y seguridad de la información) y el área de Gestión de Documentos.
Leer publicación completa [+]
Un Sistema de Gestión de Seguridad de la Información (SGSI) es el conjunto de elementos interrelacionados o interactuantes (estructura organizativa, políticas, planificación de actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una organización para establecer una política y unos objetivos de seguridad de la información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y de mejora continua, velando por la protección y resguardo de la información a través de la Confidencialidad, Integridad y disponibilidad.
El Sistema de Gestión de Seguridad de la Información (SGSI), se fundamenta en la norma NTC-ISO/IEC 27001, esta norma ha sido elaborada para brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del sistema de gestión de la seguridad de la información (SGSI).
Enfoque Basado en Procesos
Esta norma promueve la adopción de un enfoque basado en procesos, para establecer, implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de una organización.
Para funcionar eficazmente, una organización debe identificar y gestionar muchas actividades. Se puede considerar como un proceso cualquier actividad que use recursos y cuya gestión permita la transformación de entradas en salidas. Con frecuencia, el resultado de un proceso constituye directamente la entrada del proceso siguiente.
La aplicación de un sistema de procesos dentro de una organización, junto con la identificación e interacciones entre estos procesos, y su gestión, se puede denominar como un “enfoque basado en procesos”.
El enfoque basado en procesos para la gestión de la seguridad de la información, recentado en esta norma, estimula a sus usuarios a hacer énfasis en la importancia de:
a) comprender los requisitos de seguridad de la información del negocio, y la necesidad de establecer la política y objetivos en relación con la seguridad de la información;
b) implementar y operar controles para manejar los riesgos de seguridad de la información de una organización en el contexto de los riesgos globales del negocio de la organización;
c) el seguimiento y revisión del desempeño y eficacia del SGSI, y
d) la mejora continua basada en la medición de objetivos.
También, adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA), que se aplica para estructurar todos los procesos del SGSI. La Figura 1 ilustra cómo el SGSI toma como elementos de entrada los requisitos de seguridad de la información y las expectativas de las partes interesadas, y a través de las acciones y procesos necesarios produce resultados de seguridad de la información que cumplen estos requisitos y expectativas.
Modelo PHVA aplicado a los procesos de SGSI
Compatibilidad con Otros Sistemas de Gestión
Esta norma está alineada con la NTC-ISO 9001:2000 y la NTC-ISO 14001:2004, con el fin de apoyar la implementación y operación, consistentes e integradas con sistemas de gestión relacionados. Un sistema de gestión diseñado adecuadamente puede entonces satisfacer los requisitos de todas estas normas. La Tabla C.1 ilustra la relación entre los numerales de esta norma, la norma NTC-ISO 9001:2000 y la NTC-ISO 14001:2004.
Esta norma está diseñada para permitir que una organización alinee o integre su SGSI con los requisitos de los sistemas de gestión relacionados.
Leer publicación completa [+]