Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
La empresa Banco del Estado quiere mejorar su Centro de Proceso de Datos (CPD). Para
ello va a realizar un estudio de reorganización funcional. Parte de este análisis se basa en la
implantación de nuevos controles en las áreas identificadas.
JUNTA DE ACCIONISTAS
DIRECTORIO GENERAL
PRESIDENCIA EJECUTIVA
SEGURIDAD DE LA
INFORMACIÓN
TESORERÍA Y
NEGOCIOS
FINANZAS CPD PROYECTOS TI
OPERACIONES
MEDIOS DE PAGO
INTEGRALES ADMINISTRACIÓN
DE BD
MERCADEO Y
PROYECTOS Y
RELACIONES
PROCESOS DESARROLLO Y
PÚBLICAS
SISTEMAS
ADMINISTRACIÓN
INFRAESTRUCRURA
Y TELECOMUNIC.
SOPORTE TÉCNICO
1
UISEK
Analizar y definir la adquisición de arquitecturas y plataformas, bienes y servicios
tecnológicos.
Coordinar la administración del hardware, software, datos y comunicaciones de
(TICs).
Establecer políticas de la gestión de recursos tecnológicos.
Diseñar, documentar y dirigir la implementación de la arquitectura física y lógica
de TI.
Gestionar los servicios de seguridad, conectividad y comunicaciones, así como
servicios de infraestructura y plataformas de producción de TI.
SEGURIDAD DE LA INFORMACIÓN
Formulación y coordinación de los proyectos de Seguridad informática
Gestión de incidentes que afecten a los recursos de información
Definición de políticas y normativas para la implementación de la seguridad de la
información.
El asesoramiento en el uso seguro de las tecnologías de la información y
comunicación.
UNIDADES ESTRUCTURALES EN LA GERENCIA DE TECNOLOGÍAS DE LA
INFORMACIÓN
Centro de Procesamiento de Datos CPD
Proyectos de TI
Seguridad de la Información
AREAS DE LA UNIIDAD DE PROCESAMIENTO DE DATOS
Administración de Base de Datos
Desarrollo y Sistemas
Infraestructura y Telecomunicaciones
Soporte Técnico
2
UISEK
1. Aspectos Organizativos de la Seguridad de la Información / Organización interna /
Acuerdos de confidencialidad
Descripción: para cualquier tipo de servicio contratado con empresas externas, en
el cual se requiera entregar información del banco, se deberá firmar un Acuerdo de
Confidencialidad de la información donde las clausulas, duración y sanciones
deberán ser analizadas en cumplimiento de las Políticas y Normativas internas.
2. Políticas de Seguridad / Política de seguridad de la información / Documento de
política de seguridad de la información
Descripción: Se debe definir y documentar un conjunto de políticas para la
seguridad de la información, aprobado por la gerencia, publicado y comunicado a
los empleados así como a todas las partes externas relevantes, además se deberá
revisar con regularidad o si ocurren cambios significativos, estos deberán estar
debidamente documentados para garantizar su idoneidad, adecuación y
efectividad.
3. Aspectos Organizativos de la Seguridad de la Información / Terceros /
Identificación de riesgos derivados del acceso a terceros
Descripción: implementación de la Guía para empresas de seguridad y privacidad
en cloud computing en el Banco del Estado..
3
UISEK
8. Gestión de incidentes en la seguridad de la información / Notificación de eventos y
puntos débiles de la seguridad de la información / Notificación de puntos débiles
de la seguridad
Descripción: el jefe de seguridad de la información será el gestor de un análisis
anual de los puntos débiles que posee la cooperativa en cuanto a cuidado de la
información, dando a conocer a la junta directiva su informe y plan de mejoras.
9. Gestión de incidentes en la seguridad de la información / Gestión de incidentes de
seguridad de la información y mejoras / Responsabilidades y procedimientos
Descripción: Las acciones preventivas y correctivas que se generen al realizar el
análisis por parte del jefe de seguridad de la información, deben estar
documentadas. De la misma forma en caso de existir algún evento que ponga en
riesgo la información de la cooperativa el jefe de seguridad de la información
deberá recolectar las evidencias y mostrar el informe.
4
UISEK
Descripción: Todos los usuarios con pocos privilegios o empleados temporales
tendrán un límite de tiempo de conexión al día.
17. Control de acceso / Control de acceso a las aplicaciones y a la información
/ Restricción del acceso a la información
Descripción: La información de las base de datos está restringida para cualquier
empleado del área, a menos que este tenga privilegios que le autoricen los
diferentes niveles de información.
5
UISEK
25. Control de acceso / Control de acceso al sistema operativo / Desconexión
automática de sesión
Descripción: el momento que se desarrolla un sistema el empleado tiene el control
de acceso al mismo pero en ocasiones se puede olvidar de cerrar la sesión, por lo
que es necesario que haya un tiempo prudente para desconectarse
automáticamente como método de seguridad del sistema.
26. Cumplimiento / Revisiones de la seguridad de la información / Cumplimiento de
las políticas y normas
Descripción: cada empleado deberá cumplir las normas y políticas que le
especifican en su contrato para el desarrollo del sistema.
6
UISEK
los Estatutos y Normativas internas de la Institución Bancaria; en nuestro ejemplo
al estructurar Áreas, estas deberán disponer como mínimo un Responsable o Líder
de Área (Especialista) y dos personas de apoyo en la ejecución de procesos
operativos (Analistas y Asistentes).
UNIDAD / AREA CARGO
Unidad de Procesamiento de Datos Jefe de la Unidad
Analista Técnico
Administración de Base de Datos Responsable Área
Analista de Administración de Base de Datos
Asistente de Administración de Base de Datos
Desarrollo de Sistemas Responsable Áreas
Analista de Sistemas
Asistente de Sistemas
Infraestructura y Responsable Área
Telecomunicaciones Analista de Producción e Infraestructura
Asistente de Producción e Infraestructura
Soporte Técnico Responsable Área
Analista se Soporte Técnico
Asistente de Soporte Técnico
GERENCIA DE TI
SEGURIDAD DE LA
INFORMACIÓN
CPD PROYECTOS TI
ADMINISTRACIÓN
DE BD
DESARROLLO Y
SISTEMAS
INFRAESTRUCRURA
Y TELECOMUNIC.
SOPORTE TÉCNICO
7
UISEK
UNIDAD DE CENTRO DE PROCESO DE DATOS
Misión: Garantizar la productividad, el rendimiento de los recursos tecnológicos y la
disponibilidad de la información institucional.
PROTAFOLIO DE PRODUCTOS CPD
Manual de procedimientos y estándares de producción de sistema informáticos.
Plan de tecnologías de la información y comunicaciones, relacionado a los sistemas
de base de datos.
Plan de contingencias y de recuperación de desastres de la tecnología, relacionado a
los sistemas de información y la base de datos.
Arquitectura física de los sistemas de información, y comunicaciones
institucionales.
Reportes sobre la administración de la base de datos.
Plan de tecnología de la información y comunicaciones, relacionado al soporte
técnico y al mantenimiento preventivo y correctivo de software y hardware
instalado en las estaciones de trabajo.
Administración del centro de datos
Manual de procedimientos e instructivo para respaldo y recuperación de
información
Administración de las redes y comunicaciones.
Ambientes de desarrollo, pruebas, capacitación y producción operativos.
Informe de mantenimiento de los ambientes de desarrollo, pruebas, capacitación y
producción; elementos de comunicación, de redes y de sus componentes.
Informe de control y optimización de los sistemas de información y seguridad para
resguardar la información y comunicaciones.
Inventario de aplicaciones, datos componentes reusables, tablas genéricas,
elementos de conectividad, configuración de la red, plataforma tecnológica y
software de base.
Informe de investigación y análisis de nuevas tecnologías o mejores soluciones para
las telecomunicaciones y el procesamiento de información.
Instructivo para el uso de bienes y servicios de tecnologías de la información y
comunicaciones
Manual de procedimientos de seguridad en comunicaciones, interconexión,
integración y servicios de comunicación para la interoperabilidad.
8
UISEK