top of page

PESI 

1.INTRODUCCIÓN

 

Este introducción explica la metodología utilizada para desarrollar el documento Plan estratégico de Seguridad de la información PESI, como el documento que expone el diagnóstico realizado y los proyectos dentro de un marco temporal.

A continuación, se presenta el esquema metodológico recorrido para lograr desarrollar el PESI:

 

Elaboración de plantillas: en esta fase inicial de la construcción del documento PESI se define la estructura documental de los entregables del proyecto y también se consideran las metodologías que se utilizarán.

Entrevistas: se solicita la información que servirá de insumo para construir el PESI, con base en la identificación de las necesidades de información relacionadas con cada una de las fases para de construcción, con lo cual se constituye la línea base del entendimiento y comprensión del funcionamiento de la organización.

Solicitud de Información: se solicita la información que servirá de insumo para construir el PESI, con base en la identificación de las necesidades de información con lo cual se establece la línea base del entendimiento y comprensión del cumplimiento en seguridad de la información.

Consolidación de la información: en esta fase del documento PESI se agrupan todas las vulnerabilidades o debilidades encontradas para que más adelante se puedan establecer los proyectos.

Situación actual: conforme a lo establecido en el anexo de especificaciones técnicas de este contrato se realiza el análisis de situación actual o diagnostico el cual será utilizado en etapas posteriores para la construcción de la hoja de ruta.

Construcción hoja de proyectos: en esta etapa con base en la información suministrada por medio de las entrevistas y los insumos solicitados se procede a la construcción del catálogo de proyectos con su respectiva priorización.

Construcción hoja de ruta: en este paso, con base en los proyectos definidos estos se estructuran considerando su costo y el tiempo requerido de implementación.

Elaboración documento final: una vez realizadas todas las labores expuestas anteriormente se procede a ensamblar el documento PESI con base en los dos hitos principales de diagnóstico y de proyección de iniciativas. Este documento tendrá un control de versiones y su respectiva codificación. En lo que sigue de este documento se expondrán con más detalles estas fases aquí presentadas.

 

2.OBJETIVOS

Determinar las cuestiones internas y externas en el ámbito de la seguridad y privacidad de la información que son pertinentes para determinada compañía y esto corresponde al objetivo general del proyecto PESI. Se propone una tabla de contenido y en paralelo una metodología que apoye el proceso de construcción de un PESI.

 

3.MARCO NORMATIVO

Este apartado de la metodología corresponde a lo que normalmente llamamos normograma el cual es una herramienta de las organizaciones públicas y privadas que permite delimitar las normas que regulan sus actuaciones en desarrollo con su objeto misional. Contiene normas externas como leyes, decretos, acuerdos, circulares y resoluciones que afectan la gestión de una organización. Este capitulo es parte fundamental del PESI ya que nos muestra el entorno legal en que los proyectos serán propuestos, obviamente teniendo como lineamientos esta normatividad.

 

4.ENTENDIMIENTO ESTRATÉGICO

Se pretende en esta etapa de la metodología entender las estrategias existentes que guían la organización. Se debe conocer la estrategia general de las organizaciones, cuáles son sus partes interesadas y que linemientos gubernamentales o de otro tipo rigen su operación. En la siguiente figura se muestran los aspectos mínimos que deben ser considerados:

 

  • Entorno de la organización: en esta fase inicial de la construcción del documento PESI se analiza el entorno económico y social de la organización

  • Partes interesadas: en esta fase se determinan los mayores interesados en los resultados de la implementación del PESI.

  • Reglamentos: en esta fase se analiza el normograma para entender su impacto para la organización.

  • Restricción operaciones: se solicita la información que servirá de insumo para construir el PESI, con base en la identificación de las restricciones operativas que puedan existir.

  • Riesgos y amenazas: en esta fase se determina el entorno de riesgos y amenazas existentes que puede impactar a la organización.

  • Alcance del proyecto: finalmente se determina el alcance del proyecto con base en lo anteriormente expuesto.

5.DIAGNÓSTICO

5.1.Análisis de situación actual

En este capítulo se abordará lo referente a la situación actual y el estado de madurez con respecto a la seguridad de la información y la protección de datos personales. Se considerarán los siguientes aspectos:

 

A continuación, se presentan las diferentes categorías existentes para una adecuada gestión de la seguridad de la información. Estas categorías serán revisadas durante el proceso de elaboración de este PESI:

5.2.Arquitectura de seguridad SABSA

SABSA (Sherwood Applied Business Security Architecture) es una metodología probada para desarrollar arquitecturas de seguridad orientadas al negocio, centradas en el riesgo y las oportunidades, tanto a nivel empresarial como de soluciones, que respalden de forma trazable los objetivos comerciales. Este documento presenta una metodología para realizar al interior de la organización una arquitectura de seguridad siguiendo este modelo. Los aspectos principales de esta metodología son: La vista del negocio, la de arquitectura, la perspectiva de diseño, la fase de construcción y finalmente la vista de componentes que corresponden estos últimos a dispositivos y tecnologías:

 

Conforme al Modelo de Arquitectura Empresarial dominio de Seguridad de la información, está alineado con en el marco de referencia SABSA, que establece los servicios de seguridad necesarios para proteger la información. Este enfoque permite alinear la seguridad con los objetivos estratégicos de la Entidad y mitigar los riesgos que se hayan identificados. 

 

Una arquitectura de seguridad no debe existir aislada de otros componentes al interior de la entidad. La seguridad de la información debe integrarse de modo estratégico. Se basa en la información de las entidades, que ya está disponible en los ejercicios que se hayan realizado de arquitectura empresarial y esta arquitectura de seguridad genera artefactos e información que deberían ser integrado por los artefactos hasta ahora realizados de arquitectura empresarial. Ésta es la razón por la cual se recomienda que exista una estrecha integración y colaboración de la arquitectura de seguridad y la arquitectura empresarial.

Por otra parte, SABSA es un marco de referencia y una metodología integral diseñada para desarrollar arquitecturas de seguridad de la información basadas en riesgos. Su enfoque se centra en alinear la seguridad de la información con los objetivos estratégicos del negocio, ofreciendo así un proceso estructurado y sistemático para la gestión de los riesgos de seguridad. Es también un marco más amplio para la gestión de toda la arquitectura empresarial, incluyendo la tecnológica, los procesos, los datos y de aplicaciones, además incluye un dominio la Arquitectura de Seguridad. 

5.3.Oportunidades de mejora

Las oportunidades de mejora son aspectos que se analizan y se estudian para optimizar procesos, habilidades, herramientas, componentes o actividades, con el fin de incrementar la eficacia, eficiencia, y la confianza digital. Estas oportunidades normalmente están ligadas a los instrumentos con los que se realizan los diagnósticos en lo referente a la seguridad de la información y los datos personales. La seguridad de la información entendido como un proceso estratégico y continuo debe ser siempre susceptible de mejoras que incrementen su nivel de madurez.

 

6.ANÁLISIS ESTRATÉGICO DE LA POSTURA EN SEGURIDAD

Este capítulo tiene como objetivo principal definir las estrategias de seguridad de la información y protección de datos personales que es la salida principal de la metodología propuesta del PESI. Para ello se requiere entender las fortalezas, debilidades, oportunidad y amenazas (DOFA) del área de seguridad de la información dentro de la OTIC y las entidades adscritas.

 

6.1.Análisis estratégico

Con base en el capítulo de entendimiento estratégico, el análisis estratégico pretende establecer un PESI que este perfectamente alineado y que comprenda todas estas directrices de tal manera que la protección de los activos de información genere confianza al uso interno de la información.

6.2.Análisis financiero

El análisis financiero permite evaluar la situación financiera de una determinada organización y planear acciones futuras. Se basa en el estudio de la información contable para conocer su uso de recursos financieros, y obtener una visión objetiva de su rentabilidad, solvencia y liquidez. Con estas premisas el análisis financiero del PESI pretende estimar los gastos operativos del sistema de protección de la información y datos personales con el fin de que los proyectos aquí planteados y los existentes contribuyan a mejorar la eficiencia y la efectividad del Sistema de Gestión de la Seguridad de la Información (SGSI). 

6.3.Análisis DOFA interno y externo

En la construcción del PESI se requiere analizar las debilidades, fortalezas, oportunidad y amenazas del área de seguridad de la información con el fin de elaborar estrategias que maximicen las fortalezas y disminuyan las amenazas, comprendiendo claramente las debilidades que hoy en día se tienen en la protección de la información y las oportunidades concernientes al uso de las tecnologías emergentes y disruptivas que posibilites el logro de los objetivos estratégicos de la Entidad.

6.4.Definición de las estrategias del PESI

Una vez realizado el análisis de alineación estratégico del PESI y se tenga la certeza que los objetivos estratégicos propuesto apoyan la misión y la visión, estas estrategias pasarán a considerarse como iniciativos o proyectos que deben ser implementados durante la vigencia de este PESI. Las estrategias podrían considerar al menos cuatro dimensiones, en la primera de seguridad de la información consiste en:

  1. Confidencialidad

  2. Integridad

  3. Disponibilidad

En la segunda dimensión deben considerar los procesos, los colaboradores y la tecnología:

  1. Procesos

  2. Factores humanos

  3. Tecnología

En la tercera dimensión se deben tener en cuenta los estados de la información que son:

  1. Durante la trasmisión

  2. En el almacenamiento

  3. En el procesamiento

 

Y finalmente, se deben considerar los requisitos en lo relacionado con el control de acceso en cada una de las estrategias utilizadas:

Las estrategias definidas en el PESI deben poder analizarse desde estas tres dimensiones, por ejemplo, para un activo de información determinado debe cumplirse que, durante su transmisión, la tecnología que se usa debe preservar la confidencialidad. En otras palabras, al analizar un objetivo estratégico si se descubre que requiere la protección de los activos de información en algún sistema de información requerido esta metodología nos apoyará el proceso de alinear las estrategias del PESI con las de la organización.

En la siguiente tabla se muestra, a manera de ejemplo, el nivel de madurez en cada una de las entidades adscritas medida usando los valores 0, 0.5 y 1, (no implementado, parcial y cumplimiento total respectivamente) incrementándose el valor en proporción a la dependencia atribuida. Como parte de este análisis para cada uno de los controles auditados se debe predicar de cada uno su relación con los tres objetivos de la seguridad de la información y con esta información calcular cuál de los pilares de la seguridad de la información es más importante:

  1. Controles auditados

  2. Confidencialidad

  3. Integridad

  4. Disponibilidad

  5. Nivel de madurez por con respecto a los controles.

  6. Gestión de vulnerabilidades

7.DEFINICIÓN DE LOS PROYECTOS PARA EL PESI

Los proyectos corresponden a las salidas obtenidas una vez realizado el proceso de alinear el PESI con el PETI. Una vez estos proyectos hayan sido definidos con base en las expectativas planteadas se procese a priorizarlos, realizar la proyección presupuestal, definir la hoja de ruta y finalmente, proponer el plan de proyectos de inversión, tal como se muestra en la siguiente figura:

7.1.Priorización de proyectos definidos

En la construcción del PESI se requiere analizar la prioridad que las diferentes estrategias puedan tener con el fin de ordenarlas de la manera en que las mejoras se pueden notar al principio del ciclo de vida de la implementación de este documento. En una primera instancia se propone en esta metodología que las estrategias sean valoradas con respecto al costo, complejidad, duración y relevancia.

A continuación, se presenta la tabla que nos permitirá priorizar las diferentes estrategias consideradas teniendo en cuenta el costo, la complejidad y el impacto de no contar con un determinado control o requerimiento.

  1. Control evaluado

  2. Complejidad

  3. Costo

  4. Impacto de la ausencia del control o requerimiento.

  5. Prioridad

7.2.Presupuestos requeridos

Una vez realizado el proceso de priorización se pasa a la siguiente etapa que es la proyección presupuestal teniendo en cuenta los costos asociados a cada proyecto con el fin de que la organización pueda realizar la asignación presupuestal para luego proceder a la adquisición o compra de los productos o servicios requeridos para implementar las estrategias del PESI.

 

Una hoja de ruta es una guía visual que describe el camino para lograr objetivos específicos. Le ayuda a ver el panorama general mientras desglosa los pasos necesarios para alcanzar sus objetivos. Ya sea que esté trabajando en un proyecto, lanzando un producto o planificando estrategias a largo plazo, una hoja de ruta hace que sea más fácil mantenerse organizado y focalizado.

La salida principal del proceso de ejecución del PESI es la hoja de ruta que expone los proyectos que deben ser ejecutados una vez realizada la proyección presupuestal. En la siguiente figura se muestra un ejemplo de un formato utilizado para seguimiento de los proyectos estipulados por el PESI:

 

7.4.Inversiones requeridas

Lo que se denomina comúnmente plan de proyecto de inversión es una propuesta formal que analiza la viabilidad de utilizar recursos en una oportunidad o proyecto específico con el objetivo de obtener beneficios en este caso relacionados con la mejora en la protección de la información. Lo anteriormente mencionado debe consolidarse en este instrumento que nos permitirá establecer una relación entre las inversiones ejecutadas y el beneficio obtenido de estas. Los proyectos deben considerar los siguientes puntos:

LOCATION

San Francisco

EMPLOYMENT TYPE

Permanent

Invest Smartly

Here's an opportunity to highlight company news or a special service you offer in a way that stands out. Click to begin editing and customize the text to your needs.

OUR FIRM

I'm a paragraph. Click here to add your own text and edit me. It's easy.

© 2035 by Autono. Powered and secured by Wix

  • LinkedIn
  • Facebook
  • Twitter
  • Instagram

OUR TEAM

Somos expertos en protección de la informacion. 

Read More

Plan Estratégico de seguridad 

de la información PESI 

SABSA (Sherwood Applied Business Security Architecture) es una metodología probada para desarrollar arquitecturas de seguridad orientadas al negocio, centradas en el riesgo y las oportunidades, tanto a nivel empresarial como de soluciones, que respalden de forma trazable los objetivos comerciales. Este documento presenta una metodología para realizar al interior de la organización una arquitectura de seguridad siguiendo este modelo. Los aspectos principales de esta metodología son: La vista del negocio, la de arquitectura, la perspectiva de diseño, la fase de construcción y finalmente la vista de componentes que corresponden estos últimos a dispositivos y tecnologías:

CONTACT

US

VISIT

US

Monday - Friday 11:00 - 18:30

Saturday 11:00 - 17:00

Sunday 12:30 - 16:30 

 

TELL

US

Thanks for submitting!

Welcome to

THE NEXT BIG THING

bottom of page