Escuela QUINOA

Empresa vinculada a ParqueSoft Pereira, desde el año 2005 que trabaja en pro de la inmersión social y digital de los jóvenes de la región, a través del desarrollo de proyectos en la industria del conocimiento y la generación de capital social

QUIÉNES SON

Trabajar por la inmersión social y digital de los jóvenes, brindando direccionamiento adecuado en sus proyectos.

MISIÓN

Ser pioneros en fomentar la investigación, el desarrollo de competencias ciudadanas, laborales, tecnológicas y de emprendimiento con el fin de construir capital social en la región y así generar competitividad en el uso del emprendimiento y apoyando la creación de empresas de alto impacto.

VISIÓN

ANALISIS DEL CONTEXTO

CONTEXTO INTERNO

Organigrama

Políticas

Quinoa cuenta con políticas de formación. Formación ética, personal y social, a través de valores como: confianza, trabajo duro, sinergia, pasión y confianza, siendo un componente transversal en todo el proceso de empoderamiento y capacitación.

Mapa de Procesos

Productos y Servicios

  • La escuela para el emprendimiento y preparación para la industria del conocimiento.

  • Oportunidades en la industria del conocimiento.

  • La mejor gente para la industria.

  • Talleres de Robótica.

  • Talleres “Vive el emprendimiento”

Aliados

Contexto Externo

  • Económico
  • Social y cultural
  • Leyes
  • Tecnológico

COMPRENSIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

Identificación de las Partes Interesadas

  • Clientes

  • Aliados

  • Personal

  • Proveedores

  • Organizaciones Gubernamentales y no Gubernamentales

  • Empleados

  • Vecinos, comunidades locales

Clasificación de las partes interesadas

Clasificación de las partes interesadas

  • Zona 1 (Mayor): Clientes, Aliados, Personal/Empleados
  • Zona 2 (Moderada): Organizaciones Gubernamentales y no Gubernamentales
  • Zona 3 (Menor): Proveedores, Vecinos/Comunidades locales
  • Zona 4 (Insignificante): Ninguno

Identificar necesidades y expectativas

Generar estrategias

  • Clientes

  • Aliados

  • Personal/Empleados

DETERMINACIÓN DEL ALCANCE DEL SGSI

DETERMINACIÓN DEL ALCANCE DEL SGSI

En Escuela Quinoa la gestión de la seguridad de la información busca establecer y mantener programas, controles y políticas para conservar la confidencialidad, integridad y disponibilidad de la información del Sistema de formación de Escuela Quinoa.

Objetivo

Establecer el alcance, los roles y las responsabilidades del SGSI en Escuela Quinoa

Alcance

El SGSI debe ser aplicado en todos los activos de Escuela Quinoa, en sus plataformas tecnológicas y en sus procesos.

 

  • Activos
  • Plataformas tecnológicas
  • Procesos

Roles y responsabilidades del SGSI

Todo el equipo de Escuela Quinoa es responsable de la seguridad de la información. Adicionalmente existen los siguientes roles y responsabilidades específicas dentro del SGSI.

Responsable del funcionamiento del SGSI

El responsable del funcionamiento del SGSI en Escuela Quinoa es el Subdirector de Información y Desarrollo Tecnológico.

Oficial de seguridad de la información

Es un gestor de la Subdirección de Información y Desarrollo Tecnológico.

Propietario de los activos de información

Es el funcionario, contratista o área de Escuela Quinoa al cual se le ha asignado la responsabilidad formal sobre un activo de información.

Custodio de los activos de información

Es el funcionario, contratista o área de Escuela Quinoa responsable de administrar y hacer efectivos los controles que el propietario del activo de información haya definido.

Dueño de procesos

Es el funcionario, contratista o área de Escuela Quinoa a al cual se le ha asignado la responsabilidad formal sobre un proceso de la entidad.

Usuario de la información

Es el funcionario o contratista de Escuela Quinoa que utiliza la información para desempeñar sus funciones.

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Actualmente, Quinoa es una empresa pequeña la cual no cuenta con un sistema implementado para la seguridad de la información, tampoco con un ente externo encargado para realizar esta tarea.

Gestión de Activos

 

Todos los software utilizados en los equipos con los que trabaja Quinoa tienen sus respectivas licencias. cuentan con sistemas operativos Windows 8, Windows 10 y  Ubuntu 9, Herramientas Office, Software contable.

Seguridad relativa a los recursos humanos

En los documentos que se firman al momento de contratar una persona para la empresa, se debe ser específicos en la firma del acuerdo de confidencialidad y la no divulgación de la información confidencial y sensible de la empresa.

Comunicación interna

Actualmente el responsable de cada área es responsable de solo su área y sobre estos el director de proyectos, pero no existe ningún documento dónde se defina la función de cada área ni dónde se determine responsabilidades en algún aspecto o el qué hacer en caso de incidente de seguridad.

Seguridad física y controles de acceso

La seguridad con que cuenta parquesoft para el acceso a personas externas es por medio de un documento personal, el cual  se guarda y se le da a cambio un carnet de visitante con el cual puede tener acceso a las instalaciones.

Quinoa no cuenta con tarjetas personalizadas o algo en específico que indique que la persona va directamente a sus oficinas.

Sistema de Gestión de la Seguridad de la Información

  • Cronogramas para control y evaluación
  • Metodologías para verificar los procesos
  • Clasificación de los activos de la empresa

  • Establecer pautas, documentos y responsabilidades

  • Monitoreo continuo de las vulnerabilidades

Sistema de Gestión de la Seguridad de la Información

  • Crear y mejorar procesos posibles de la seguridad y de la información

  • Coordinar y registrar todos los procesos de seguridad

  • Predestinar un presupuesto para temas de seguridad

  • Concientizar periódicamente a los miembros de la organización

SGSI a través de todos los interesados

  • Emprendedores y estudiantes
  • Dueños de la información sensible
  • Encargados de áreas
  • Responsable para el análisis de los posibles riesgos de seguridad de la información
  • Comité de seguridad

Análisis Diferencial

Se debe realizar una revisión de documentos en los cuales debe existir la evidencia y las bitácoras de todos los procesos internos que se llevan en la empresa y especificación de herramientas o metodologías que permitan hacer un buen manejo de control y medidas de seguridad efectivas con el objetivo de instaurar un proceso de almacenamiento y acceso seguro de la información.

Implementación, Mantenimiento y Planes de Mejora Para el SGSI

Control de activos

  1. Implementar y documentar regulaciones de seguridad

 

2. Obtener información para los documentos por medio de mecanismos de recolección individuales y con ello determinar los activos críticos, recursos esenciales, entre otros, para el correcto funcionamiento de la información.

 

3. Establecer el valor de cada activo

Seguridad Relativa a los Recursos Humanos

  1. Hacer planes de formación.

2. Protección para los accesos no autorizados.

3. Responsabilidades bien asignadas.

4. Anular los permisos y privilegios de acceso a la información al terminar contratos.

 

Comunicación interna

  1. Procedimientos y responsabilidades para toda la gestión de la información

2. Instrucciones de operaciones y pautas para las respuestas a posibles incidentes

3. Formación a los trabajadores en materias de protección contra software maliciosos, política respecto al uso de software no autorizado.

4. Se necesita control de la red por parte de ParqueSoft

Seguridad Física y Controles de Acceso

Se necesita la implementación de un control para que los empleados de la empresa tengan acceso a solo los recursos destinados para su puesto de trabajo.

 

Implementar un documento con la responsabilidad y el compromiso por parte de los usuarios.

Mantenimiento de los Sistemas

Es necesario  diseñar medidas de control, asignación de personal para área TIC, controlar factores de riesgos como entradas y salidas de información.

 

Asegurar la privacidad de los archivos del sistema.

 

Mantener e implementar una revisión de todos los cambio que se realicen al sistema.

Gestión de incidentes en la seguridad de información

Es necesario crear procedimientos para que el personal pueda reportar todo tipo de eventos que pueda generar grandes impactos en la seguridad de los activos.

 

Se debe establecer un sistema de procedimientos.

Factores de Riesgo de la SGSI

  • Excesivo tiempo de implementación

  • Temor ante los cambios por parte del personal

  • Discrepancia en los comites de direccion

  • Que no se asuma que la seguridad de la información es inherente a los procesos de negocio

  • Planes de formación y concientización

  • Calendario que no se pueda cumplir

  • NO DEFINIR DE FORMA CLARA EL ALCANCE DEL SISTEMA DE GESTIÓN

  • Falta de comunicación con todo el personal de la empresa

Factores de Éxito de la SGSI

  • La concienciación de los trabajadores por la seguridad.
  • Realizar los comités a diferentes niveles con gestión continua de no conformidades, incidentes de seguridad, acciones de mejora, tratamiento de riesgos, etc.

  • Crear un sistema de gestión de incidentes

  • Reducir el riesgos a niveles aceptables con la implementación de la norma

  • La seguridad debe ser inherente a los procesos de información y del negocio.

GRACIAS

Made with Slides.com