miércoles, 25 de marzo de 2015

Clasificaciones y control de activos de una seguridad

Análisis de riesgo

En economía son causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir.Las empresas actuales están expuestas a estas amenazas los expertos se encarga de su análisis sistemático y organizado.
El análisis de riesgo es útil para tomar decisiones ante un determinado peligro que pueda afectar a una persona, empresa etc.


Responsabilidad sobre los activos 



Su objetivo es Alcanzar y mantener una protección adecuada de los activos de la Organización,todos los activos deben ser justificados y tener un encargado Se deberían identificar a los propietarios para todos los activos y asignarles la responsabilidad del mantenimiento de los controles adecuados. La implantación de controles específicos podría ser delegada por el propietario convenientemente. Pero, el encargado permanece como responsable de la adecuada protección de los activos.



Inventario de activos



Toda la información y activos asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización.

Recuperarse de un accidente incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencia y el valor del negocio.
Tipos de activos:
a) Activos de información: base de datos,copias de seguridad, claves, sistemas operativos,material de formación.
b) Activos de software: software de aplicación, software del sistema, herramientas programas de desarrollo.
c) Activos físicos: equipo de cómputo, equipo de comunicaciones, medios magnéticos (discos y cintas) u otro equipo técnico
d) Servicios; servicios de computo y comunicaciones, servicios generales (calefacción, alumbrado, energía, aire acondicionado)
e) personas, y sus calificaciones, habilidades y experiencia
f) intangibles, como la reputación y la imagen organización.

Propiedad de los activos

Toda la información y los activos asociados con el proceso de información deben ser entregados a una parte designada de la organización.
Guía de implementancion : 
Los propietarios deben ser encargados de:
a)  asegurar que la información y los activos asociados con las instalaciones des procesamiento de información son apropiadamente clasificadas
b) definiendo y revisando periódicamente las restricciones de acceso y las clasificaciones, tomando en cuenta políticas de control aplicables.  

La propiedad debe ser asignada a:
  • a) proceso de negocios
  • b) un conjunto definido de actividades
  • c) una paliación
  • d) un conjunto definido de datos.

Uso adecuado de los activos de control

Las reglas para un uso aceptable de la información y de los activos asociados deben ser identificadas, documentadas implementadas.
Todos los empleado, contratistas es decir todos los que hacen parte de la organización deben cumplir estas reglas 
a) reglas para correo electrónico y usos de Internet.
b) Reglas específicas o guías deben ser provistas por la gerencia relevante.
Publicado por en No hay comentarios:

miércoles, 18 de marzo de 2015

Politica de seguridad

La seguridad informática ha tomado gran auge, debido a las condiciones y nuevas plataformas tecnológicas. La posibilidad de interconectarse a través de redes ha abierto camino a grandes empresas para mejorar su desarrollo y productividad esto a traído consigo amenazas al sistema de información.
Las políticas de seguridad informática surgen como una herramienta para concientizar a los usuarios sobre la importancia de la sensibilidad de la informática y servicios críticos que permite a la empresa crecer, asegurar su información y mantenerse fuera de peligro o amenazas.


Principios de la seguridad de la informática


 Integridad

Es la que busca mantener la información fuera de modificaciones por personas o procesos no autorizados

Disponibilidad

Es el acceso a la información requerido ya sea por personas, procesos o programas autorizadas en el momento que lo requieran.

Confidencialidad

Garantiza que la información no sera divulgada, solo tendrán acceso a ella las personas o procesos autorizados.

Definición de las políticas de seguridad informática

Es una forma de comunicarse entre los usuarios establecen un canal en relación a los recursos y servicios informáticos.
No se considera ni una expresión legal que tengan sanciones o conductas de los empleados es un concepto de lo que nosotros queremos proteger, las políticas de seguridad informática deben concluir en una posición cociente y vigilante del personal por el uso de limitaciones y servicios informáticos.

Elementos de una política de seguridad informática

-Alcance de las políticas, facilidades, sistemas y personal
-Definiciones de violaciones o sanciones por no cumplir con la políticas 
-Responsabilidad de los usuarios acerca de la información a la que tienen acceso

Parámetros para establecer políticas de seguridad

-Ejecutar un análisis de riesgos informáticos, a través el cual valore sus activos le permitirá adecuar las políticas 
-Involucre a los áreas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones de las políticas.

Razones que impiden la aplicación de las políticas de seguridad informática 

El principal obstáculo que se presenta es el de convencer a la administración de la necesidad y beneficios de la implantación de estas políticas. No realizan una comparación costo/beneficio, ya que no están cocientes de la importancia de la información y cuanto dinero y tiempo cuesta no tenerla.

Plan De Contingencia

Es el conjunto de procedimientos alternativos a la operativa normal de cada empresa, necesarias para garantizar la continuidad del negocio y las operaciones de una compañía. Un plan de contingencias es un caso particular de plan de continuidad del negocio aplicado al departamento de informática o tecnologías. Otros departamentos pueden tener planes de continuidad que persiguen el mismo objetivo desde otro punto de vista. No obstante, dada la importancia de las tecnologías en las organizaciones modernas, el plan de contingencias es el más relevante.su funcionamiento es continuo a pesar de que aya algún incidente sea interno o ajeno a la organización.
Publicado por en No hay comentarios:

miércoles, 4 de marzo de 2015

11 Dominios de la iso

1.- Política de Seguridad. Objetivo. El valor de una Política. Compromiso e Involucra-miento de las partes.
Su objetivo es garantizar la seguridad de la información  según los requisitos institucionales y normativos.

2.- Organización de la Seguridad. Roles y Responsabilidades. Modelos de Estructura Organización. 
Se encarga de la seguridad de la información y coordinar dentro de la organización.

3.- Administración de Activos. La necesidad de hacerlo en la medida justa. 
Su objetivo es realizar una adecuada protección controlados por un responsable.

4.- Seguridad en los Recursos Humanos. La Cultura Empresarial y el Cambio Cultural. Niveles de Formación. 
Su objetivo es poner las medidas necesarias para controlar la seguridad informática controlado por los recursos humanos de la organización.

5.- Seguridad Física y Ambiental. Objetivos y Alcances claros sobre modelos preestablecidos.
Se establecen barras de seguridad y controles de acceso para proteger la organización y la seguridad informática.

6.- Administración de las Comunicaciones y Operaciones. El Gobierno de TI. 
Se encarga del procedimiento y que todos los procedimientos que estén relacionados con la organización se ejecuten bien.

7.- Control de Acceso. Sus Procesos y Controles Claves. Errores más frecuentes. 
Es el encargado de dar acceso autorizado a los usuarios de la organización evitando el acceso de usuarios no autorizados.

8.- Adquisición, desarrollo y mantenimiento de Sistemas de Información. Procesos y Controles Claves. Errores frecuentes. Se tiene que establecer los requisitos en la etapa de implantación o desarrollo del software para que sea seguro. Lo manejan las organizaciones que llevan software internamente. 

9.- Administración de Incidentes. Objetivos. Identificación, Registro, Análisis, Solución y Reporte. Con este dominio se aplica un proceso de mejora continua en la gestión de percances de seguridad de la información. 

10.- Plan de Continuidad de Negocios. Objetivos y Alcance. Su desarrollo. Roles y Responsabilidades. Se encarga de contrarrestar las interrupciones en las actividades evitando errores desarrollados por la organización.

11.- Cumplimiento de Leyes y Regulaciones. El Impacto Real. Roles y Responsabilidades.Su objetivo es asegurar sus requisitos legales de la seguridad como 
diseño, operación, uso y gestión de los sistemas de información se cumplan.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)