lunes, 23 de octubre de 2017

ASI1 Material Tercer parcial


Les invito a proceder a bajar el material para el tercer parcial del siguiente enlace:

https://www.mediafire.com/?a6bn8rd7owcq6aj

Deberán leer hasta la página 8 del folleto "Gerencia de Sistemas de Información"


viernes, 15 de septiembre de 2017

ASI Comunicado General



El dia Lunes 18 estaremos en el aula 201 edificio C2 para ASI 1 y ASI2 , se pasará lista.

ASI1 Llevar folleto 2 del 2do parcial Tecnicas de Auditoria Asitida por computadora recuerden folleto 1 ya lo vimos.  El kueves será la presentación de grupo que sigue en el laboratorio.

ASI2 Estudiar Gestión de activos de información de la ISO 27000  , martes comienza a exponer grupo 1.

domingo, 16 de julio de 2017

ASI1 - Guía de Estudio

 Guía de Estudio para resolver para el 2do parcial Folleto de Fraudes en el siguiente enlace:

https://docs.google.com/forms/d/e/1FAIpQLSdmoF-MH2PfGGA0RLVonukFbpb2aSNWdmhVnYu1iaK6Bamg2w/viewform


Espero verles el día martes 18 de Julio si podemos dar clases.

Ing Alfonso

domingo, 9 de julio de 2017

El rol de los RRHH en la seguridad de la información



Los recursos humanos y la seguridad de la información: El recurso humano es una de las principales fuentes de riesgo para la seguridad de la información por lo tanto en este dominio del estándar ISO27001 se tratan los aspectos que se deben tener en cuenta antes, durante y después de la relación laboral. Se incluyen en este apartado los términos y condiciones de contratación, los programas de concienciación, formación y capacitación, los procesos disciplinarios y los puntos a tener en cuenta en caso de cese de la relación laboral o cambio de puesto de trabajo como pueden ser la devolución de activos y la suspensión de las credenciales de acceso.

Los recursos humanos son quizá el componente más crítico al momento de garantizar las tres características de la seguridad de la información: integridad, confidencialidad y disponibilidad, por lo tanto deben adoptarse controles y prácticas de gestión que ayuden a mitigar el impacto de los riesgos que por este factor se pudieran materializar, dentro de los cuales podemos observar los siguientes:

7.1 Antes de la contratación

Actividades de control del riesgo

7.1.1 Investigación de antecedentes: Se deberían realizar revisiones de verificación de antecedentes de los candidatos al empleo en concordancia con las regulaciones, ética y leyes relevantes y deben ser proporcionales a los requerimientos del negocio, la clasificación de la información a la cual se va a tener acceso y los riesgos percibidos.
7.1.2 Términos y condiciones de contratación: Como parte de su obligación contractual, empleados, contratistas y terceros deberían aceptar y firmar los términos y condiciones del contrato de empleo, el cual establecerá sus obligaciones y las obligaciones de la organización para la seguridad de información.

7.2 Durante la contratación

Actividades de control del riego

7.2.1 Responsabilidades de gestión: La Dirección debería requerir a empleados, contratistas y usuarios de terceras partes aplicar la seguridad en concordancia con las políticas y los procedimientos.
7.2.2 Concienciación, educación y capacitación en SI: Todos los empleados de la organización y donde sea relevante, contratistas y usuarios de terceros deberían recibir entrenamiento apropiado del conocimiento y actualizaciones regulares en políticas y procedimientos organizacionales como sean relevantes para la función de su trabajo.
7.2.3 Proceso disciplinario: Debería existir un proceso formal disciplinario comunicado a empleados que produzcan brechas en la seguridad.

7.3 Cese o cambio de puesto de trabajo

7.3.1 Cese o cambio de puesto de trabajo: Las responsabilidades para ejecutar la finalización de un empleo o el cambio de éste deberían estar claramente definidas, comunicadas a empleado o contratista y asignadas efectivamente.

Según el caso se podría hasta retirar los derechos de los que disfrutase el empleado un día antes de su salida, y si participara en grupos de trabajo, éstos deberían tenerlo en conocimiento para dejar de compartir información con él.

En los casos relacionados con el cambio de puesto de trabajo dentro de la organización el Administrador del Sistema deberá revocar todos los privilegios excesivos que el usuario tuviera en el puesto actual respecto al nuevo puesto a desempeñar.

En conclusión este procedimiento no solo corresponde al encargado de seguridad de la información sino que va de la mano con el área de gestión de recursos humanos o contratación puede generarse con su colaboración .

De extremo a extremo la empresa debe revisar muy bien sus controles administrativos sobre la seguridad de la información en cuanto a los recursos humanos.

jueves, 6 de julio de 2017

ASI2 - Investigacion ISO27002

De aqui pueden bajar el instrumento excel para poder realizar el trabajo de investigación:

http://www.gorevalparaiso.cl/archivos/pmg/2015/ssi/SSI_INSTRUMENTO_2015.xlsx 

En la pestaña "Avance Real" es de ir poniendo si cumple o no cumple "VERDADERO" o "FALSO".

Los avances en esta hoja excel los deben enviar el proximo domingo por tarde según las presentaciones de los grupos.  Se ira calificando según el avance.

Atentamente

Ing. Alfonso