Modelo de csirt colombiano



Descargar 1.08 Mb.
Página22/27
Fecha de conversión27.05.2018
Tamaño1.08 Mb.
1   ...   19   20   21   22   23   24   25   26   27

7.6.CONSIDERACIONES GENERALES


Una vez descrita la formulación a nivel estratégico del posible sistema integrado de medición, a través del Cuadro de Mando Integral, finalmente es importante tener en cuenta para el diseño e implementación, los siguientes puntos:

  • El marco previo de referencia al proceso de planeación estratégica, antes de la ejecución de los planes y control de la gestión, será la formulación del concepto estratégico, formulación del plan estratégico basado en la estrategia y la formulación de los planes tácticos y operacionales.

  • El presupuesto, el Talento Humano, la tecnología y el negocio deben alinearse con la estrategia,

  • El CSIRT deberá crear un contexto positivo para la medición,

  • El enfoque de la medición será la creación de valor,

  • La medición deberá ser integral (horizontal y vertical),

  • La recolección de información y experiencias deberán ser transformadas en estrategias,

  • La medición y control deberá ser parte de la cultura organizacional,

  • Clarificar las condiciones que crearan valor para el cliente,

  • Definir los procesos que transformaran los activos intangibles a resultados financieros y del cliente,

  • Definir los activos intangibles que deben ser alineados e integrados para facilitar la creación de valor,

  • Los componentes del Sistema Integrado de Medición son el direccionamiento estratégico y las perspectivas,

  • Los indicadores se deberán definir en diferentes niveles organizacionales: Estratégicos (Monitorean y miden fundamentalmente el desempeño de los macro procesos), tácticos (Monitorean y miden los procesos), operativos (Monitorean y miden las actividades) y de frontera o compartidos (Monitorean y miden el desempeño de los procesos donde existe responsabilidad compartida),

  • Los indicadores deberán tener necesariamente una relación causa efecto,

  • El mapa estratégico hará explicita y comunicable a cualquier nivel la estrategia,

  • La ejecución a este modelo debe ser el elemento central de la cultura de una organización,

  • Comunicación, Implantación y Sistematización: Incluye divulgación, automatización, agenda gerencial con el Cuadro de Mando Integral, planes de acción para detalles, plan de alineación de iniciativas y objetivos estratégicos, plan de despliegue a toda la empresa.

Con todo lo anterior se propone y plantea que a partir de los diferentes lineamientos dados en este documento, se diseñe e implemente esta iniciativa estratégica, la cual permitirá al nuevo CSIRT monitorear y evaluar su desempeño de una manera integral frente a sus objetivos estratégicos.

8.ESTRUCTURA ORGANIZACIONAL


De acuerdo con el Software Engineering Institute en su documento “Organizational Models for Computer Security Incident Response Teams (CSIRTs)”58, existen criterios definidos para tres tipos de estructuras organizacionales para un CSIRT, con lo cual se procederá a determinar cuales de estas, se ajustan a la realidad de la estrategia de Gobierno en Línea.

Estos grupos son:



Teniendo en cuenta el modelo de Seguridad de la Información definido para el programa Gobierno en Línea, el CSIRT propuesto será un ente técnico que funcione como un ente coordinador, que faculte a terceros en el desarrollo y prestación de los servicios, de este modelo se destaca:

  • Su equipo coordina el esfuerzo de respuesta de incidentes e intercambio de información a través de muchos CSIRT, equipos de seguridad, terceros u otras organizaciones externas.

  • Su equipo no pertenece a la misma organización de su jurisdicción.

  • El CSIRT, será el responsable de la prestación de servicios ofrecidos por terceros.

Su principal servicio es coordinar intercambio de información y facilitar la discusión de incidentes.

8.1.ORGANIGRAMA


Ilustración 18: Estructura Organizacional Propuesta



A continuación se describen cada uno de los principales objetivos de las direcciones que conforman el CSIRT, y sus principales responsabilidades generales.

8.1.1.ASESOR JURÍDICO


La Asesoría Jurídica tiene por objetivo asesorar a la Dirección General, en todo lo relacionado con temas legales de competencia del CSIRT, relacionados tanto a nivel administrativo y comercial como a nivel de la consultoría, prestación de servicios y temas forenses de seguridad de la información.

8.1.2.DIRECCIÓN TÉCNICA

8.1.2.1.Grupo de Incidentes


Grupo que busca proveer a las empresas facultadas o tercerizadas por el CSIRT (en la prestación de los diferentes servicios), la coordinación, asistencia y atención, para ayudar a preparar, proteger y asegurar componentes de sistemas de clientes objetivos, en anticipación a futuros ataques, problemas o eventos derivados de la seguridad de la información.

  • Hacer seguimiento de los principales indicadores y políticas relacionadas con la seguridad de la información en el ámbito nacional e internacional.

  • Crear una base de conocimiento que permita el análisis y evaluación de la seguridad de la información.

  • Definir, planificar y fomentar las responsabilidades y respuestas primarias, de carácter operacional, para el control de cualquier tipo de emergencia de seguridad de información.

  • Promover y velar para que métodos probados internacionalmente, para el control de las emergencias hechas por terceros, se apliquen eficiente y eficazmente.

  • Definir y fomentar equipos de trabajo que puedan utilizar las técnicas elementales de acción ante emergencias.

  • Definir técnicas o herramientas que permitan rastrear los orígenes de un incidente o identificar sistemas a los se haya tenido acceso no autorizado.

  • Definir y fomentar la integración de equipos de trabajo técnico, con roles perfectamente definidos ante una emergencia.

  • Asistir en la recuperación tras desastres relacionados con los ataques y las amenazas a la seguridad de información de las Entidades, mediante la coordinación de los diferentes recursos.

  • Mediante actividades de coordinación, velar por la eficiente y eficaz detección, tratamiento, análisis y respuesta de incidentes de seguridad de la información, hechas por las empresas facultadas por el CSIRT en esta materia.

  • Gestionar la recopilación de pruebas forenses, en lo que se refiere a la recolección, la conservación, la documentación y el análisis de las pruebas procedentes del sistema informático comprometido.

8.1.2.2.Grupo Gestión y Control


Este grupo tiene como fin coordinar y dar soporte a las empresas tercerizadas por el CSIRT, para que consoliden y apliquen los conocimientos y habilidades requeridas, para administrar, controlar y auditar los sistemas informáticos.

  • Realizar la validación y monitoreo del modelo de seguridad de la información.

  • Soportar la evaluación de infraestructuras de seguridad de la información, a través de evaluaciones y/o auditorias de seguridad, basados en los requisitos establecidos por el sistema y/o normas nacionales e internacionales aplicables.

  • Administrar la herramienta de autoevaluación y soportar las auditorias, monitoreos y análisis a la información, desarrollada por los terceros contratados por el CSIRT.

  • Brindar soporte en lo relacionado con la herramienta de autoevaluación y auditoria.

  • Desarrollar y complementar las herramientas de auto-evaluación y de auditoría con base en las necesidades y requisitos actuales y futuros del Modelo de Seguridad.

  • Recopilar las estadísticas, métricas e indicadores que permitan medir el desempeño y evidenciar el mejoramiento del modelo de seguridad en las Entidades.

  • Centralizar la información enviada por los diferentes terceros contratados por el CSIRT.

8.1.2.3.Grupo de Investigación y Desarrollo


El Grupo de Investigación y Desarrollo, tiene como principal propósito la investigación científica, el desarrollo y la innovación de la seguridad de la información. En este grupo se establecen instrumentos y/o medios que garanticen el cumplimiento del modelo de seguridad de la información. Adicionalmente se busca el desarrollo y la gestión del conocimiento del CSIRT, a través de eficientes y eficaces vías de comunicación.

  • Asesorar a las Entidades públicas y privadas en materia de seguridad de la información, así como apoyar a la elaboración, seguimiento y evaluación de políticas en este ámbito.

  • Difundir información relacionada con la seguridad de la información a todos los actores relacionados.

  • Desarrollar herramientas específicas para necesidades particulares o generales de sus clientes o propias del CSIRT.

  • Convocar al sector privado y a la academia para obtener apoyo en la investigación en materia de seguridad de la información.

  • Mantener contacto permanente con los distintos sectores de la industria para la identificación de necesidades tecnológicas y de seguridad de la información.

  • Recomendar o identificar para las Entidades objetivo, requisitos de compra, instalación o protección de nuevos sistemas de seguridad, aplicaciones de software, dispositivos de seguridad, entre otros. Así mismo, ofrecer asistencia y orientación en la implementación de las políticas de seguridad del modelo.

  • Proponer los lineamientos, temas y elementos de sensibilización al Grupo CSIRT – Función de Capacitación, en lo concerniente a las campañas de Concienciación - sensibilización.

  • Gestionar la información y documentación del CSIRT.

  • Diseñar herramientas de organización y difusión del conocimiento dentro del CSIRT.

  • Gestionar la comunicación interna de la Institución.

  • Gestionar el aprendizaje organizativo del CSIRT.

  • Gestionar del cambio y la innovación institucional.

  • Adecuar la taxonomía de las piezas de conocimiento conforme se incremente el conjunto de conocimiento derivado de la experiencia y conocimiento del CSIRT.

  • Generar estrategias de difusión de piezas de conocimiento de interés general.

  • Fomentar la automatización de los procesos relacionados con seguridad de la información.

  • Realizar auditorías anuales de conocimiento a los empleados del CSIRT.

  • Vigilar que el conocimiento fluya de forma ágil a través del CSIRT.

  • Diseñar políticas para el uso de las bases de datos institucionales.

8.1.3.DIRECCIÓN DE COOPERACIÓN Y SOPORTE

8.1.3.1.Grupo Capacitación


El Grupo de Capacitación tiene como principal objeto, ayudar a sensibilizar, dar a conocer y preparar al mercado objetivo, en los beneficios y amenazas que se derivan de la seguridad de la información, desarrollar la capacidad de estos para alcanzar objetivos de desarrollo informático y a promover el uso de herramientas y procedimientos que prevengan posibles incidentes de seguridad de la información.

  • Promover campañas de capacitación periódicas para el sector público y privado, en temas relacionados con la seguridad de la información, coordinando los diferentes cursos, charlas y/o conferencias.

  • Mantener la articulación con los entes policivos para la atención de los incidentes de seguridad de la información.

  • Buscar convenios con terceros, para soportar, ejecutar y/o fortaleces los diferentes programas de capacitación, en los que se incluya de manera integrada, la academia, el sector público y privado.

  • Dar lineamientos generales, a los responsables directos de los programas de capacitación, en las diferentes áreas de seguridad de la información.

  • Soportar a terceros en la capacitación y entrenamiento a las Entidades, en temas relacionados con la herramienta de autoevaluación y auditoria.

  • Planear el desarrollo de capacitaciones internas para el desarrollo de las competencias y habilidades técnico/gerenciales para todo el personal del Grupo Técnico de Apoyo y el de la Comisión Nacional de Seguridad de la Información.

8.1.3.2.Grupo Relaciones Públicas y Comunicación


Grupo que tiene como objetivo, gestionar y proyectar de manera integral los sistemas de comunicación e información del CSIRT, liderar cambios, establecer programas de cultura e identidad corporativa, diagnosticar y planear estratégicamente y de manera armónica la comunicación según los diferentes públicos y entornos.

  • Diseñar e implementar el plan de comunicaciones del CSIRT.

  • Gestionar la comunicación entre el CSIRT y público clave para construir, administrar y mantener su imagen positiva.

  • Construir la identidad, la cultura y la reputación del CSIRT, como un camino que facilitará la construcción de vínculos con los involucrados (Stakeholders), mediante el desarrollo de programas de identidad corporativa.

  • Definir y diseñar la Política de imagen corporativa que deba adoptar el CSIRT.

  • Crear estrategias de publicidad para lograr difundir y promocionar el programa de capacitación.

  • Posicionar la nueva marca CSIRT en el mercado nacional y regional, por medio de rutinas de campañas de publicidad.

  • Diseñar métodos y mecanismos que permitan conocer el grado de aceptación de los programas y proyectos desarrollados por el CSIRT.

  • Sensibilizar a los grupos objetivo en el conocimiento y uso de los temas relacionados con la seguridad de información.

  • Coordinar la emisión de boletines, revistas y toda clase de documentos relacionados con la acción del CSIRT.

  • Difundir estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad en materia de la seguridad y confianza de la Información.

  • Propender por las buenas relaciones y comunicaciones, con la prensa local, seccional, nacional e internacional.

  • Crear alianzas con CSIRT nacionales e internacionales.

  • Crear alianzas de largo plazo con el sector académico, privado, proveedores de tecnología, etc, las cuales permitan entre otros crear, gestionar y trasmitir el conocimiento del CSIRT.

  • Diseñar mecanismos y establecer los conductos de divulgación del CSIRT.

8.1.4.DIRECCIÓN ADMINISTRATIVO Y FINANCIERA


Este grupo tiene como principal objeto administrar los recursos financieros, tecnológicos (IT), legales y humanos del CSIRT.

8.1.4.1.Financieros


  • Administrar el proceso de elaboración presupuestaria.

  • Controlar y supervisar la ejecución del presupuesto de manera articulada con la planificación estratégica y el control de gestión de la institución.

  • Realizar la gestión contable, patrimonial y la administración de recursos de la institución, procurando el estricto cumplimiento en la aplicación de todos los sistemas y procedimientos administrativos establecidos.

  • Administrar el proceso de compras y contrataciones de bienes y servicios del CSIRT.

  • Intervenir desde el punto de vista presupuestario en el financiamiento de los proyectos.

  • Desarrollar criterios, metodologías e instrumentos de aspectos administrativos, contables y de control.

  • Administrar la gestión de desarrollo de la infraestructura física y la gestión de servicios de mantenimiento y soporte logístico de las distintas direcciones.

  • Establecer e implantar mecanismos idóneos para la administración de los recursos financieros, de bienes, materiales y servicios asignados al funcionamiento del CSIRT.

  • Coordinar con la Gerencia de Recursos Humanos las tareas contables, administrativas y financieras requeridas para la administración del personal de la Institución.

  • Dirigir y supervisar la elaboración de los estados contables del CSIRT.

8.1.4.2.Tecnologicos


  • Mantener, monitorear y reparar la infraestructura de redes del CSIRT.

  • Implementar y mantener servidores y servicios de red comunes dentro del CSIRT.

  • Diseñar, implementar y mantener sistemas de monitoreo y respaldo para la infraestructura de redes del CSIRT.

  • Asegurar la calidad y la performance en el funcionamiento de la infraestructura de redes y servicios de la organización.

8.1.4.3.Legales


  • Auxiliar en la elaboración de todo tipo de contratos, actas constitutivas, actas de Asamblea e instrumentos jurídicos de la competencia del CSIRT.

  • Participar en la negociación, seguimiento y hasta el cierre de distintos tipos de operaciones con clientes y proveedores de naturaleza comercial, de alianza estratégica, societaria, etc.

  • Emitir consultas y opiniones acerca de asuntos que influyan de manera directa en el patrimonio y responsabilidad de la empresa y sus socios dentro de su operación comercial.

  • Auxiliar en la realización de todo tipo de trámites ante dependencias gubernamentales de carácter departamental y nacional.

8.1.4.4.Humanos


  • Asesorar y participar en la formulación de la política de personal.

  • Dar a conocer las políticas de personal y asegurar su cumplimiento.

  • Establecer y normalizar el perfil y el rol de cada uno de los puestos de trabajo dentro del CSIRT.

  • Reclutar, seleccionar y contratar al personal del CSIRT.

  • Desarrollar y gestionar la estructura y política salarial.

  • Planear las diferentes capacitaciones internas para promover y desarrollar las competencias y habilidades técnico/gerenciales para todo el personal del CSIRT.

  • Mantener todos los registros necesarios concernientes al personal.

  • Incentivar la integración y buenas relaciones humanas entre el personal.

  • Recibir quejas, sugerencias y resuelve los problemas de los colaboradores.

  • Hacer la evaluación del desempeño de los colaboradores.


Compartir con tus amigos:
1   ...   19   20   21   22   23   24   25   26   27


La base de datos está protegida por derechos de autor ©composi.info 2017
enviar mensaje

    Página principal