Resumen:
La propuesta está basada en la seguridad de la información de la norma de ISO/IEC 27001:2013, se implementaran políticas y controles en la unidad de negocio del Services Desk de la empresa SONDA, se realizará un análisis de riesgo el cual nos ayudara a identificar los riesgos de seguridad, amenazas, vulnerabilidades, probabilidad e impacto, con la finalidad de resguardar, proteger y preservar la confidencialidad, integridad y disponibilidad de la seguridad de la información. Todo activo identificado como riesgo se clasificara por activo de apoyo como software, hardware, recursos humanos, información, sistemas y/o infraestructura.
Todos los riesgos identificados deben de tener un tratamiento, existen cuatro formas para el tratamiento, uno aceptar el riesgo, dos eludir o evitar el riesgo, tres trasferir el riesgo, cuatro mitigar el riesgo, el tratamiento es uno de los puntos más importantes para reducir un riesgo, se debe saber cómo clasificar el riesgo ya que dependiendo del resultado que tenemos podemos tratar el riesgo, para llevar a cabo el tratamiento se deberá de llenar un formato de control de riesgos.
Hoy en día están muy de moda los virus como Phishing y Ransomware. Los virus son las amenazas externas que puede acabar con los equipos que no tienen instalado o actualizado el antivirus, es importante tener protegida la información, es por ello que la seguridad de la información es muy importante para las empresas que se dedican a la tecnología de la información.
Cada dos meses deberá haber una reunión del comité de seguridad, donde se muestren los avances de los riesgos identificados, las métricas, hallazgos e informes, toda información que se ve en el comité de seguridad se debe presentar en la siguiente reunión, los encargados de cada unidad de negoción son responsables de monitorear y dar seguimiento a sus hallazgos y riesgos de seguridad.