Para comenzar este proyecto, asumirás el rol de consultor en ciberseguridad encargado de implementar un SGSI para una organización pública. Tu objetivo es desarrollar un SGSI básico para garantizar que la organización pueda gestionar y proteger adecuadamente su información. Este proyecto te guiará a través de la definición del alcance, la realización de una evaluación de riesgos, la selección de controles y la documentación de políticas y procedimientos de seguridad. Utiliza las instrucciones y listas de verificación proporcionadas para organizar tu trabajo.
Desarrollar un SGSI fundamental para un escenario de organización pública, asegurando que la organización tenga una estructura formal para la gestión de la seguridad de la información que identifique riesgos, seleccione controles apropiados y mantenga políticas y procedimientos de seguridad efectivos.
Elige uno de los siguientes tipos de organizaciones públicas para tu proyecto de SGSI:
Al seleccionar tu organización, considera los siguientes criterios:
Para desarrollar un Sistema de Gestión de Seguridad de la Información (SGSI) para una organización pública, es crucial elegir una organización que tenga una cantidad sustancial de información accesible públicamente. A continuación, algunos tipos de organizaciones junto con recomendaciones y enlaces a fuentes de información que facilitarán el proyecto de SGSI:
| Organización | Descripción | Fuentes de Información |
|---|---|---|
| Servicio Postal de los Estados Unidos (USPS) | Organización de servicio público compleja que maneja información sensible de los ciudadanos. Ideal para un SGSI. | Informes y Publicaciones del USPS |
| Instituto Nacional de Estándares y Tecnología (NIST) | Proporciona numerosos recursos para la transparencia pública, incluidas directrices de evaluación de riesgos y políticas. | Información Pública del NIST |
| Sistema de la Universidad de California | Sistema universitario público con documentos accesibles sobre estándares de ciberseguridad, políticas de privacidad y gestión de riesgos. | Oficina de Seguridad de la Información de la Universidad de California |
| NYC Health + Hospitals | Maneja amplios datos de pacientes con informes anuales disponibles, informes financieros y estrategias de seguridad de TI. | Publicaciones de NYC Health + Hospitals |
| Servicio Nacional de Salud (NHS), Reino Unido | Información extensa sobre políticas de privacidad, estrategias de ciberseguridad y gestión de datos de salud pública. | NHS Digital – Gobernanza de Datos e Información |
| Autoridad Metropolitana de Transporte (MTA), Nueva York | Publica amplia documentación sobre planes operativos, políticas de ciberseguridad y estados financieros. | Informes Financieros y Presupuestarios de MTA |
| Transport for London (TfL) | Proporciona informes de transparencia, documentación de gestión de riesgos y políticas de cumplimiento relacionadas con la tecnología de la información. | Seguridad & Protección |
| Organización Mundial de la Salud (OMS) | Documentos disponibles públicamente relacionados con políticas de privacidad y ciberseguridad, junto con informes anuales sobre infraestructura de TI. | Publicaciones de la OMS |
| UNICEF | Publica informes anuales, estados financieros y políticas de ciberseguridad y privacidad. | Informes y Datos de UNICEF |
Estas organizaciones tienen información extensa en sus sitios web públicos, lo que te ayudará a reunir los datos necesarios para el SGSI, realizar una evaluación de riesgos, seleccionar controles y crear políticas y procedimientos apropiados. Déjame saber si necesitas más detalles o orientación sobre pasos específicos del proyecto SGSI.
Define el alcance del SGSI para establecer los límites de lo que necesita ser asegurado.
Crea un inventario de todos los activos de información, como computadoras, servidores, bases de datos, información de ciudadanos/estudiantes/pacientes, datos de investigación, etc.
Identifica y clasifica los activos según su importancia para las operaciones (por ejemplo, crítico, alto, medio, bajo).
Determina qué ubicaciones físicas están incluidas en el SGSI (por ejemplo, oficinas, centros de datos, campus).
Identifica áreas que necesitan acceso restringido (por ejemplo, salas de servidores, laboratorios de investigación).
Identifica redes, entornos en la nube y máquinas virtuales que están incluidas en el SGSI.
Especifica qué sistemas y tipos de datos están bajo el control del SGSI.
Identifica a las partes interesadas clave (por ejemplo, equipo de TI, gestión, empleados, ciudadanos/estudiantes/pacientes).
Asigna responsabilidades a cada parte interesada para las actividades de seguridad de la información.
Documenta el propósito del SGSI, incluyendo su alcance, metas y objetivos.
Especifica cualquier limitación o exclusión.
Identifica y evalúa los riesgos asociados con la organización y sus activos.
Desarrolla una lista completa de todos los activos identificados en la definición del alcance.
Clasifica los activos en categorías como hardware, software, datos y personal.
Identifica posibles amenazas que puedan afectar a cada activo (por ejemplo, acceso no autorizado, malware, desastres naturales, violaciones de datos).
Considera tanto amenazas externas como internas.
Identifica vulnerabilidades que podrían exponer activos a las amenazas identificadas (por ejemplo, falta de cifrado, contraseñas débiles, sistemas desactualizados).
Evalúa cómo cada vulnerabilidad podría ser explotada.
Para cada riesgo, evalúa la probabilidad de ocurrencia (por ejemplo, alta, media, baja).
Evalúa el impacto potencial en la organización si el riesgo se materializa (por ejemplo, pérdida financiera, daño a la reputación, compromiso de datos sensibles).
Asigna una calificación de riesgo (por ejemplo, alto, medio, bajo) basada en la probabilidad y el impacto.
Prioriza los riesgos que requieren atención o mitigación inmediata.
Selecciona controles de seguridad apropiados para mitigar los riesgos identificados.
Revisa normas como ISO/IEC 27001, NIST o CIS para opciones de control.
Determina qué controles son relevantes para los riesgos identificados y cumplen con cualquier regulación sectorial específica (por ejemplo, HIPAA para el sector salud).
Elige controles de seguridad que mitiguen eficazmente los riesgos identificados (por ejemplo, firewalls, cifrado, autenticación multifactor, sistemas de control de acceso).
Asegúrate de que los controles seleccionados sean factibles considerando los recursos de la organización y las limitaciones del sector público.
Documenta cada control seleccionado, incluyendo detalles sobre cómo mitigará el riesgo correspondiente.
Especifica roles y responsabilidades para la implementación de cada control.
Crea un plan de implementación que detalle cronogramas y recursos necesarios para la implementación de controles.
Identifica cualquier dependencia o requisito previo para implementar cada control.
Crea documentación formal para establecer prácticas de seguridad.
Redacta una Política de Seguridad de alto nivel que describa el compromiso de la organización con la seguridad de la información.
Incluye principios clave como confidencialidad, integridad y disponibilidad.
Define cómo se concederá, modificará o revocará el acceso de los usuarios.
Esboza políticas de contraseñas, incluidas los requisitos de complejidad y la frecuencia de rotación.
Define qué constituye un incidente de seguridad.
Crea un procedimiento paso a paso para informar, responder y mitigar incidentes de seguridad.
Identifica roles y responsabilidades durante la gestión de incidentes.
Establece procedimientos para copias de seguridad regulares de los datos.
Define roles responsables de realizar copias de seguridad y verifica las capacidades de recuperación a través de pruebas.
Desarrolla un plan de capacitación para asegurar que los empleados comprendan las políticas de seguridad y sus responsabilidades.
Crea materiales de concienciación (por ejemplo, carteles, directrices) para fomentar las mejores prácticas de seguridad.
Asegúrate de que todas las políticas y procedimientos sean revisados y aprobados por la dirección.
Establece un cronograma para revisiones y actualizaciones periódicas de los documentos.
Compila toda la documentación en un manual del SGSI.
Compila todas las políticas, procedimientos, evaluaciones de riesgos y documentación de controles en un manual estructurado.
Incluye una visión general del SGSI, su alcance y objetivos.
Define claramente los roles y responsabilidades para el mantenimiento y mejora del SGSI.
Incluye una sección sobre el compromiso del liderazgo con el SGSI.
Proporciona una explicación detallada del proceso de evaluación de riesgos utilizado.
Incluye plantillas o formularios utilizados en el proceso de evaluación de riesgos.
Define cómo se monitoreará y medirá la efectividad del SGSI.
Incluye indicadores clave de rendimiento (KPIs) para la seguridad de la información.
Realiza una revisión de tu SGSI y prepara una presentación para las partes interesadas.
Revisa todos los componentes del SGSI para asegurar que estén alineados con el alcance y objetivos definidos.
Verifica que todos los riesgos hayan sido evaluados y mitigados adecuadamente.
Asegúrate de que todas las políticas y procedimientos de seguridad estén documentados de manera clara y completa.
Desarrolla una presentación que resuma el alcance del SGSI, los hallazgos de la evaluación de riesgos, los controles seleccionados y las políticas de seguridad.
Destaca los riesgos clave y las medidas tomadas para mitigarlos.
Identifica áreas de mejora futura y monitoreo continuo.
Presenta el SGSI a las partes interesadas clave (por ejemplo, dirección, equipo de TI, jefes de departamento).
Recoge retroalimentación y realiza los ajustes necesarios según sus aportes.
Un informe detallado que incluya:
Recuerda pensar de manera crítica sobre cada paso y hacer suposiciones razonables cuando te enfrentes a brechas de información. Este proyecto te ayudará a desarrollar habilidades prácticas en evaluación de riesgos, desarrollo de políticas y aplicación de un enfoque basado en riesgos a la seguridad de la información en el contexto del sector público.