GESTIÓN DE SEGURIDAD

ABRIL DE 2016
CONTENIDO
1 - DEFINICIÓN

La Gestión de seguridad es un criterio para alinear

la seguridad de TI con la del negocio y garantizar una
gestión eficaz de la seguridad de la información en
todos los servicios y actividades de Operación de los
Servicios TIC, desde el enfoque del proceso ITIL,
permitirá establecer un marco de trabajo de
actividades, cronogramas y matrices de control donde
se establecerá el nivel de avance de los planes de
remediación de riesgos identificados, los cuales nos
permitirán establecer acciones de mejora, para
maximizar la protección de los datos y sistemas de
información del SENA.
.
2 - OBJETIVO

Delinear los parámetros a seguir para la Operación

de los Servicios TIC del SENA con relación a
Seguridad de la información e Informática, para
garantizar el cumplimiento de las políticas,
lineamientos y guías operacionales.

Enmarcados en los pilares de la estrategia de la

gestión de seguridad en el marco del proceso ITIL.
3 - ALCANCE

Gobierno
Seguridad Operación de la
Gestión ITIL % Reporte de
Seguridad Avances
Inventario de
activos y (SOC)
análisis de
riesgos
Incidentes de KPI Planes de
Seguridad remediación
Auditorias cerrados y en
Mejoramiento Continuo

Mejoramiento Continuo
ejecución.
Requerimientos de ANS
seguridad
Consultoría de Monitoreo y Informes
detección y análisis de Seguimiento
vulnerabilidades Eventos de Mensuales de
Vulnerabilidades Seguridad Gestión

Apoyo Apoyo DRP

construcción del Eventos de Incidentes de
BCP Seguridad seguridad Revisión guías
operacionales
Protección de la
información y los Vulnerabilidades
datos Mesa de Servicios
Seguimiento
Planes de
Lineamientos de • Accesos Requerimientos
Seguridad y
seguridad • Configuraciones de seguridad
Gestión

Plan Estratégico Seguimiento Planes de Remediación

de Seguridad

Garantizar la confidencialidad, integridad, disponibilidad autenticidad y no repudio de la información

3 - ALCANCE

Mejorar constantemente todos los

procesos de seguridad de la
información y seguridad informática
dentro del marco del contrato 01014 Mejora Continua
de 2014.

Gestionar de manera eficaz y

oportuna , todos los eventos que se
presenten en la operación y gobierno
TI que afecten los principios de
seguridad de la información
alineados con el contrato 01014 de Gestión ITIL
Seguridad en los
2014 y las leyes aplicables a los
temas de seguridad. servicios TICS contrato
01014 de 2014
UTSD y SENA

Detección de Eventos,
incidentes ,
requerimientos y
Operación
vulnerabilidades de
seguridad a nivel de
todos los servicios TIC
del SENA.
4 - ACTIVIDADES DEL PROCESO

Como se definió en el alcance la visión se tiene a

nivel del gobierno de la seguridad y la gestión de la
seguridad, por lo tanto las actividades se realizan en los
dos vectores
4 - ACTIVIDADES DEL PROCESO
Actividades Gobierno de Seguridad
Hitos Actividades
Definicion Plantillas de Levantamiento Activos Informacion
Definicion Metodologia Valoracion de Riesgos
Levantamiento Inventario Informacion por Ambito
Valoracion Inventario por ambito.
Evaluacion de Riesgo por ambito
Identificacion y valoracion de Controles
Definicion Matriz de riesgos
Inventario de Activos y Valoracion de Riesgos Plan de Tratamiento de Riesgos
Validacion Evaluacion de Riesgos con Lideres Ambito SENA
Seguimiento
Actualizacion/Valoracion Inventario por ambito.
Evaluacion/Actualizacion de Riesgo por ambito
Actualizacion/valoracion de Controles
Actualizacion Matriz de riesgos
Actualizacion Plan de Tratamiento de Riesgos
Valoracion estado actual de Lineamiento y Guias
Nuevos requerimientos de Lineamientos y Guias
Definir Estrategia de Implementacion
Lineamientos y Guias Generacion y Aprobacion
Implementacion
Divulgacion
Monitoreo y Seguimiento
Pre Planificacion de Actividades
Valoracion de Activos
Analisis de Riesgos por Servicio
Analisis de Impacto del Negocio BIA
DRP Definicion Estrategia
Definicion Plan de Pruebas
Programa de Pruebas del DRP
Prueba del DRP
Mejora al DRP
Definicion Situacion Actual
Marco de Seguridad
Plan de Seguridad Definicion Planes y Proyectos Seguridad
Implementacion
Seguimiento y Mejora Continua
Definir Plan de Auditorias
Auditorias de Seguridad Ejecucion Auditorias Seguridad
Mejora al proceso de auditoria
Definicion Estrategia de Vulnerabilidades
Fase 1
Fase 2
Consultoria Analisis y Deteccion vulnerabilidades Fase 3
Fase 4
Fase 5
Fase 6
Declaracion Aplicabilidad
Definicion Alcance Controles
Analisis GAP.
ISO 27001:2013 Definicion Planes para impementar controles
Implementacion
Seguimiento
4 - ACTIVIDADES DEL PROCESO
Actividades Gestión de Seguridad
Seguimiento y control de planes de remediación (Vulnerabilidades -
Riesgos - Incidentes, Requerimientos, eventos)
Seguimiento y control de planes de remediación consultorías de
seguridad.
Informes mensuales de Gestión de Seguridad
Revisión y actualización de guías de Seguridad (2 por mes)
Guía Operativa de Seguridad y Sincronización de Relojes
Guía Operativa de Phishing y Bloqueo a Sitios en Proxy
Guía Operativa de Bloqueo a Firmas en IPS y Guía Antivirus
Guía Operativa de Bloqueo con terceros en navegación y Guía de
Firewall
Guía Borrado Seguro de la Información y Guía de Spam
Guía Operativa de Gestión Remota de Servicios de TIC y Requerimientos
Seguridad
Guía Operativa Gestión de Vulnerabilidades y Análisis Seguridad de
Software
Guía Gestión de Parches y Eventos Seguridad
Guía gestión remota de servicio y incidentes de seguridad
Validación de la Implementación de Guías y lineamientos de la
operación del servicio de Seguridad
Capacitación plan de cultura de Seguridad

Seguimiento de KPI de gestión de Seguridad

Programa de Protección de la información y los datos
Brigadas de aseguramiento a la información.
Informes de general de adopción de buenas práctica de seguridad
Implementación de acciones de mejora, en caso de presentarse
Seguimiento plan de pruebas DRP establecidos.
Seguimiento plan de seguridad, gobierno y gestión.
5-

Se especifica las salidas de la gestión de seguridad con las demás

gestiones
5-

Se especifica las entregas a la gestión de seguridad con las demás

gestiones
 PROYECTO DE SERVICIOS TIC’S
PROCESO DE GESTIÓN DE SEGURIDAD

GRACIAS