Gestión de Seguridad de la Información

Questions and Answers

¿Qué ocurrió en la Revisión 0 del documento?

• Se llevó a cabo la creación del documento. (correct)
• Se crearon nuevas directrices.
• Se modificó la PSI.
• Se realizaron actualizaciones debido a cambios legales.

¿Cuál es la principal modificación que se realizó en la Revisión 1?

• Se actualizaron las directrices de la PSI.
• Se realizaron cambios legales que impactaron el documento. (correct)
• Se abordaron cambios técnicos en la PSI.
• Se eliminó contenido del documento.

En qué año se modificaron tanto la PSI como las directrices del documento?

• 2023 (correct)
• 2022
• 2020
• 2021

¿Cuál de las siguientes afirmaciones es incorrecta respecto a las revisiones?

La Revisión 2 se enfocó solo en cambios legales. (C)

¿Qué año se relaciona con la creación del documento original?

2020 (A)

¿Cuál de los siguientes compromisos no se menciona en relación con la Seguridad de la Información?

Desarrollar software exclusivo para asegurar la información. (A)

¿Qué principio fundamental de seguridad implica la necesidad de reevaluación periódica?

Vigilancia continua. (A)

¿Cuál es el ámbito de aplicación de la gestión de la Seguridad de la Información?

Cualquier uso de los sistemas de información de la Organización. (C)

¿Cuál de las siguientes afirmaciones sobre la gestión de la seguridad es correcta?

La seguridad debe integrarse en todas las etapas del ciclo de vida de los sistemas de información. (C)

¿Cuál es uno de los objetivos de la Subdirección de Seguridad de la Información?

Velar por la privacidad, integridad y seguridad de los sistemas de información. (B)

¿Cuál de las siguientes categorías aborda la protección y respuesta ante incidentes de seguridad informática?

Gestión de Amenazas y Vulnerabilidades (A)

La seguridad física se refiere a?

La protección de infraestructura tangible contra accesos no autorizados (A)

¿Qué categoría involucra asegurar que los sistemas operen sin interrupciones en caso de un desastre?

Continuidad (D)

¿Qué implica la Gestión de Identidad y Acceso en el contexto de la seguridad?

La verificación de la autenticidad de usuarios y control sobre sus accesos (C)

La configuración segura se refiere a:

Ajustar adecuadamente todos los sistemas y aplicaciones para mitigar vulnerabilidades (B)

¿Cuál es la principal función de la Comisión de Seguridad Integral (CSI)?

Coordinar y supervisar estrategias relacionadas con la seguridad de la organización (A)

¿Qué tipo de riesgos gestiona el Comité de Seguridad de la Información (CSI)?

Riesgos relacionados con la información (C)

¿Qué aspecto no está relacionado con las funciones de la Comisión de Seguridad Integral (CSI)?

Coordinar acciones para gestionar la reputación de la empresa (D)

¿Cuál de las siguientes funciones no realiza directamente el Comité de Seguridad de la Información (CSI)?

Establecer políticas de incentivación para empleados (B)

La principal responsabilidad de la Comisión de Seguridad Integral (CSI) se centra en:

La coordinación de estrategias de seguridad de la organización (C)

¿Quién es el responsable de coordinar todas las actividades relacionadas con la seguridad de la información en la organización?

Responsable de Seguridad de la Información (RSI) (D)

¿Cuál es la función principal del Delegado de Seguridad de la Información (DSI)?

Actuar como enlace entre áreas de negocio y el RSI. (C)

¿Quién debe garantizar el cumplimiento de la normativa de protección de datos dentro de la organización?

Delegado de Protección de Datos (DPD) (C)

¿Qué rol es responsable de definir los niveles de seguridad para los servicios bajo su gestión?

Responsable de Negocio (RNEG) (A)

¿Cuál es la función del Responsable Jurídico (RJ) en el ámbito de la seguridad de la información?

Proporcionar asesoramiento legal sobre normativa vigente. (A)

¿Qué tarea realizan los usuarios en el contexto de la seguridad de la información?

Seguir normas y procedimientos establecidos para un uso seguro. (B)

¿Quién es responsable de operar y mantener los sistemas de información en términos de seguridad?

Responsable de Sistemas (RSIS) (D)

¿Qué rol actúa como enlace entre las funciones de negocio y la seguridad de la información?

Delegado de Seguridad de la Información (DSI) (D)

Flashcards

Revisión 0

Creación del documento en el año 2020.

Revisión 1

Actualización del documento debido a cambios legales en el año 2021.

Revisión 2

Modificación de la PSI y directrices en el año 2023.

PSI

Política de Seguridad de la Información.

Control de Modificaciones

Registro de cambios en un documento a lo largo del tiempo.

Responsable de Seguridad de la Información (RSI)

Lidera y coordina todas las actividades relacionadas con la seguridad de la información en la organización.

Delegado de Seguridad de la Información (DSI)

Actúa como enlace entre las áreas de negocio y el RSI, asegurando la implementación de controles de seguridad.

Responsable de Negocio (RNEG)

Define los niveles de seguridad requeridos para los servicios e información bajo su gestión.

Responsable de Sistemas (RSIS)

Opera y mantiene los sistemas de información, asegurando el cumplimiento de los niveles de seguridad establecidos.

Responsable Jurídico (RJ)

Proporciona asesoramiento legal sobre la normativa vigente en seguridad de la información.

Delegado de Protección de Datos (DPD)

Garantiza el cumplimiento de la normativa de protección de datos en la organización.

Usuarios (USUARIOS)

Siguen las normas y procedimientos establecidos para un uso seguro de los sistemas de información.

Controles de Seguridad

Medidas implementadas para proteger la información y asegurar su uso adecuado.

Comisión de Seguridad Integral (CSI)

Comité que coordina y supervisa estrategias de seguridad en la organización.

Comité de Seguridad de la Información (CSI)

Comité encargado de prevenir y gestionar riesgos relacionados con la información.

Estrategias

Plan de acción coordinado para lograr objetivos de seguridad.

Riesgos

Amenazas potenciales que pueden afectar la seguridad de la organización.

Supervisión

Proceso de monitoreo y evaluación de las acciones de seguridad.

Política de Seguridad de la Información (PSI)

Conjunto de principios y compromisos que guían la gestión de la seguridad de la información.

Gestión basada en riesgos

Enfoque que evalúa y prioriza los riesgos para proteger la información de manera efectiva.

Ciclo de vida de sistemas de información

Etapas desde la planificación hasta la eliminación en el manejo de sistemas de información.

Cultura de concienciación

Promoción de conocimiento y prácticas de seguridad de la información entre todos los empleados.

Continuidad ante contingencias

Mecanismos implementados para asegurar operaciones en situaciones críticas o desastres.

Gestión de Activos

Proceso de identificar, clasificar y proteger los activos de información.

Protección de la Información

Prácticas para asegurar la confidencialidad, integridad y disponibilidad de la información.

Seguridad en Recursos Humanos

Protocolos y políticas para proteger la información de empleados y contratistas.

Gestión de Identidad y Acceso

Métodos para asegurar que solo usuarios autorizados accedan a la información.

Seguridad del Sistema y de la Red

Prácticas para proteger sistemas y redes contra accesos y ataques maliciosos.

Study Notes

Directriz, Política, Marco Normativo y Gestión de Seguridad de la Información

• La directriz, política y marco normativo abordan la gestión de la seguridad de la información
• El objetivo es desarrollar una Política de Seguridad de la Información (PSI) con principios y responsabilidades claras
• La gestión de la seguridad de la información debe alinearse con la normativa vigente
• Se busca integrar la seguridad en todo el ciclo de vida de los sistemas de información
• El ámbito de aplicación incluye a todo el personal interno y externo relacionado con la seguridad de la información y el uso de los sistemas de información de la organización

Roles y Responsabilidades

• Responsable de Seguridad de la Información (RSI) coordina y lidera las actividades de seguridad de la información
• Responsable de Seguridad de la Información (RSI) actúa como enlace entre áreas de negocio y el RSI
• Delegado de Seguridad de la Información (DSI) define los niveles de seguridad requeridos para servicios e información
• Responsable de Negocio (RNEG) opera y mantiene sistemas de información asegurando cumplimiento de niveles de seguridad
• Responsable de Sistemas (RSIS) opera y mantiene sistemas de información asegurando cumplimiento de niveles de seguridad
• Responsable Jurídico (RJ) asesora legalmente en seguridad de la información
• Delegado de Protección de Datos (DPD) garantiza el cumplimiento de la normativa de protección de datos
• Usuarios (USUARIOS) siguen las normas y procedimientos para un uso seguro de sistemas de información

Comités

• La Comisión de Seguridad Integral (CSI) coordina y supervisa estrategias y objetivos de seguridad
• El Comité de Seguridad de la Información (CSI) implementa medidas para prevenir y gestionar riesgos de información
• Planifican políticas específicas, revisan riesgos actuales y aseguran cumplimiento de normativas y objetivos de seguridad
• El CSI define politicas generales de seguridad, coordina estrategias interdepartamentales y revisa planes de contingencia

Principios Básicos de Seguridad

• La seguridad se considera un proceso integral
• Se basa en la gestión de riesgos
• Se enfocan en prevención, detección, respuesta y preservación
• Se implementan líneas de defensa
• Se realizan supervisiones continuas y reevaluaciones

Antecedentes

• ADIF y ADIF AV gestionan infraestructuras seguras, eficientes y sostenibles
• La seguridad de la información es clave para proteger datos y sistemas de incidentes tecnológicos
• La Subdirección de Seguridad de la Información (SSI) supervisa la privacidad, integridad y seguridad de sistemas e infraestructuras

Control de Modificaciones

• Revisión 0: Creación del documento (2020)
• Revisión 1: Actualización tras cambios legales (2021)
• Revisión 2: Modificación de la PSI y directrices (2023)
• ADIF-C-03-A-01 Normativa de Seguridad de la Información de ADIF y ADIF AV