Estos son los datos:

SENA

Instructor: Carlos Alberto Hernández Arcila

Curso: CONTROLES Y SEGURIDAD INFORMATICA

Actividad 1

Documento: Organigrama Empresarial y Controles de Seguridad

Alumno: Jose Herminso Pacheco Godoy

Fecha del 20 de marzo de 2019

Se trata de lo siguiente:

Las empresas sean grandes o pequeñas, se

encuentran en un proceso continuo de desarrollo.

Por esto, están en constante mejoramiento de sus

procesos administrativos, operativos,

tecnológicos. A usted como experto, se le solicita

realizar un organigrama con las áreas más

comunes de la empresa e identificar los controles de

seguridad que podrían ser utilizados para

proteger la información.

Entonces, primer ítem:

1.Organigrama empresarial.
2.Controles de seguridad para protección de
información.

1.Organigrama empresarial.

Un organigrama para un departamento de IT dependerá de las necesidades de la propia

empresa, por lo que no existe por sí mismo un organigrama perfecto para cualquier tipo de
empresa.

Pero si se puede dar una pautas para organizar estos equipos de trabajo, que sea lo más
perfecto posible para una compañía.

Organigrama para un departamento de IT

El departamento de sistemas incluye las siguientes áreas en su departamento:

Área de comunicaciones
El área de comunicaciones de la empresa se encarga de gestionar las redes internas,
externas, las comunicaciones tanto de líneas fijas, como las líneas móviles, instalaciones y
contratos con los proveedores de comunicaciones.

Área de gestión, planificación y estrategia de

servicios
En un departamento de dirección de sistemas de información, parece muy exagerado hablar
de un área de sistemas de la información dedicada a la gestión, planificación y estrategia.

Área de control de riesgos

Es el que gestiona los diferentes riesgos del departamento, el que dictamine los niveles de
seguridad del departamento , el que controla los planes de contingencia, back up,
recuperación y salidas de los proveedores.

El departamento de control de riesgos es el que realice las auditorías internas, en caso de no

tener área de control de riesgos para realizar auditorías habrá que subcontratarlas.

Área de negocio y aplicaciones empresariales

Es el área que hace de puente entre el persona el técnico y le personal de negocio y el que se
dedica a simular los procesos de negocio en las aplicaciones empresariales.
La parte de aplicaciones empresariales se dedica a conceptualizar los procesos de negocio
en las herramientas empresariales.

Las aplicaciones empresariales de negocio más habituales son: ERP, BI, CRM, BPM, HCM
y nómina.

Área de Centro de atención al usuario

Es el área de centro de soporte al usuario. Es el encargado de recoger las peticiones e
incidencias de los usuarios y de su resolución si la incidencia es de primer nivel.

Es la primera línea de soporte del departamento de sistemas de información

Área de sistemas e infraestructuras

Sistemas e infraestructuras es el encargado de mantener los sistemas e infraestructuras que
dan servicios a los sistemas de información. Se ocupa de controlar los costes de su área y de
proveer de una mejora continua al servicio, es una parte considera “commodity”, pero
esencial para el servicio.

Área de desarrollo y nuevas tecnologías

Desarrollo de nuevos aplicativos a medida a la empresas y análisis de nuevas tecnologías
que se pueden aplicar a la empresa.

El Director de Sistemas o CIO

En cada una de las áreas existe un gerente de sistemas que depende y aporta del director de
sistemas o CIO (Chief Information Officer).

Ahora que están explicadas las diferentes áreas de sistemas, el CIO debe cuidar que todas
las áreas de negocio queden cubiertas. Debe existir un consultor experto tecnológico y
funcional por cada área de Negocio de la empresa.

Estas figuras deberían apoyarse en perfiles más técnicos que serían los gerentes de sistemas
que se han explicado anteriormente, que pueden dar servicio a varias áreas al mismo
tiempo. De esta manera, se crea una bolsa de técnicos, que darán cobertura durante las bajas
(vacaciones, enfermedad o baja definitiva) a varios expertos funcionales.

El tamaño de esta estructura dependerá evidentemente de la necesidad de T.I. que tenga la

empresa. Pero en cualquier caso, debería estar pensada de acuerdo con la planificación de
IT de los siguientes 3 años. Nunca debe pensarse para tener holgura en el área, sería tirar el
dinero.

El mercado laboral tecnológico tiene el suficiente tamaño como para cubrir necesidades
puntuales y urgentes.
El volumen de los proyectos de IT nunca es constante, siempre tiene picos y valles muy
pronunciados.

Funciones del Chief Information Officer

La responsabilidad del CIO es hacer que la línea de trabajo tienda a ser una constante
utilizando su planificación para ello.

Con un volumen constante de proyectos es fácil estimar el equipo necesario.

Aún así, siempre habrá áreas como suele ser Marketing, que tomen decisiones de última
hora motivadas por las necesidades del mercado que se mueve a gran velocidad. Esto
provocará saltos en la planificación que hay que cubrir.

T.I. puede decir que no a proyectos que no vea útiles ni alineados con la estrategia del
Negocio, pero no puede ser un freno constante para proyectos que incidan directamente en
los ingresos, como pueden ser por ejemplo los de Marketing.

La solución a estas variaciones en la planificación es la subcontratación de equipo externo,

que puede ser a través de uno o varios proveedores o bien de profesionales independientes.

2.Controles de seguridad para protección de información.

Cuando se trata de elegir que organizaciones robar, los ciber delincuentes no son
quisquillosos. No están
particularmente preocupados acerca de lo que una organización hace, pero sólo si la
organización es un
blanco fácil y tiene datos valiosos.
El valor considerable que la información corporativa y personal ha patentado en el
mercado negro hace que
cada empresa sea un objetivo potencial.

El crimen organizado ve la industria al por menor como un blanco fácil debido a las
vulnerabilidades del
sistema de tarjetas de pago. Muchos comercios minoristas son conscientes o no de
mitigar estas
vulnerabilidades. Los negocios franquiciados en particular, son atacados por los
sistemas informáticos suelen
ser normalizadas en todos los franquiciados. Una vez que la vulnerabilidad ha sido
identificada en un solo
lugar, a menudo puede ser explotado en todos los otros negocios dentro de la franquicia.
En resumen, las oportunidades para los atacantes exfiltrar datos son muchos, y casi
todas las empresas tienen
datos de valor, si se dan cuenta o no. Para las empresas de cualquier tamaño, hay cinco
controles importantes
de seguridad informática para proteger contra ataques automatizados por ciber
delincuentes que buscan una
ganancia fácil.

En resumen, a continuación unas pautas para el control de la seguridad en los datos:

Las contraseñas seguras - El uso de contraseñas simples sigue siendo una de las
principales debilidades
atacantes explotan. En particular, los atacantes buscan contraseñas por defecto del
sistema que no se han
cambiado, ya que pueden ser utilizados con efectos devastadores en toda la franquicia
entera. Los sistemas
que utilizan nombre de usuario compartida administrativa y combinaciones de
contraseñas también permiten
a los atacantes tener acceso administrativo a través de múltiples dispositivos. Nombres
de usuario y
contraseñas comunes también hacen que sea más difícil de auditar quién hizo qué en un
sistema. Nombres de
usuario y contraseñas son un control esencial para identificar y vincular cada acción
iniciada por el usuario a
un individuo.

Cifrado de datos - los datos cifrados están intrínsecamente protegidos porque es

ilegible. Es por esto que se
requiere en las directrices de cumplimiento tantos y normas de la industria. Además, el
cifrado permite la
separación de las funciones y de datos de control de acceso como claves de cifrado a los
datos. La aplicación de cifrado cuando se están transfiriendo datos, ya sea a través de
una red mediante SSL o IPSec o copiarse en
un disco CD o el pulgar, evitará muchos problemas potenciales asociados con la pérdida
de datos. Punto a
punto productos de cifrado también puede disminuir el riesgo de que el punto de venta
(POS)
vulnerabilidades en el sistema de pago cuando los datos se envían entre los
comerciantes y los bancos de
procesamiento de pagos, o a través de los propios sistemas internos del comerciante.

Seguridad de los empleados - Los empleados y sus puestos de trabajo son los
principales objetivos para los
atacantes cuando phishing para credenciales de la cuenta de red. Es importante
mantener al personal
informado de las últimas técnicas de phishing que se están utilizando y hacer hincapié
en la importancia de
estar atentos a abrir el correo electrónico y siguiendo los enlaces. Los empleados deben
ser instruidos para
reportar cualquier correo electrónico sospechoso a las TI, ya que pueden ser una
advertencia temprana de un
ataque y una oportunidad para advertir a los demás empleados. Salvaguardias simples
tales como la
comprobación de que alguien en realidad ha enviado un correo electrónico con un
archivo adjunto son
inestimables.

El robo de información propietaria - La información confidencial, como los planos

de un nuevo avión, es
claramente un valor para un atacante, pero también requiere un atacante sofisticado para
robarla. Esta es la
razón por robo de cuentas Información exclusiva para sólo una pequeña proporción de
los datos robados.

Filtros de firewall egreso - Cortafuegos debe estar en su lugar para asegurar que los
datos salientes se
envían a la ubicación correcta, sobre el puerto adecuado, utilizando un protocolo
autorizado. Muchas
organizaciones sólo configuran sus cortafuegos para controlar el tráfico que entra en la
red. Sin embargo,
para evitar que el malware que envía datos a su controlador, el tráfico de salida también
debe ser
monitoreado. Esta es un sensible, preventivo medida que erige una barrera adicional que
un atacante debe
superar con el fin de extraer con éxito los datos de una organización.

Asegure los servicios de terceros - las investigaciones de incidentes han demostrado

que, cuando un tercero
es responsable del sistema de apoyo, el desarrollo o mantenimiento, es a menudo ese
tercero que creó el
agujero que el atacante explota. Es esencial para las organizaciones saber cuál de las
partes es responsable de
la configuración segura de cualquier equipo o servicios cuando un tercero les
suministra. Descubre las
mejores prácticas de seguridad para un determinado servicio, y asegurarse de que el
proveedor pueda
demostrar cómo aplican las mejores prácticas.

Conclusión
Los responsables de la protección de datos digitales dentro de una organización tienen
que pensar como un
criminal con el fin de hacer efectivo el valor de mercado negro de datos de su
organización. Garantizar a
todos los involucrados en el mantenimiento o el uso de la red de una organización
conoce el valor de los
datos, y por lo tanto lo importante que es para asegurar que los datos, ayudará a
asegurarse de que la
organización no es un objetivo fácil para los atacantes.