La gestión de comunicaciones y operaciones, son la forma de como se administra y supervisa todo lo referente a la actividad y comunicación de la empresa, a través del control de la información o servicio que se entrega dentro de ella.
Ejemplo:
La gestión de las comunicaciones y operaciones es una sección de la norma ISO 17799 y considera
-Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso
-Dar Respaldo de información, gestión de la seguridad de las redes, intercambio de información y monitoreo
Evita al máximo el riesgo de fallas en el sistema, incluido el hardware y software.
Objetivos:
-Determinar los requerimientos necesarios para garantizar el resguardo y protección de la información.
-Asegurar la correcta y segura operación de todos los elementos de procesamiento de la
Procesos considerados en la G.C.O.
1-Procedimientos y responsabilidades operacionales.
2-Gestión de servicios de terceros.
3-Planificación y aceptación de sistemas.
4-Protección contra código malicioso.
5-Copias de seguridad.
6-Gestión de la seguridad de red.
7-Gestión de dispositivos de almacenamiento.
8-Control sobre el intercambio de información entre sociedades.
9-Control de los servicios de comercio electrónico.
10-Motorización de sistemas.
1-Procedimientos y responsabilidades operacionales
-Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad.
-Procedimientos para Planes de Contingencia,adecuada implementacion para reducir el riesgo de negligencia o mal uso del sistema
2-Gestión de servicios de terceros
-Consiste en controlar y supervisar a personas o organizaciones que trabajan en conjunto con la empresa, que cumplan los mismos requisitos de seguridad para garantizar la protección de la información de la empresa.
-Manejar los cambios para asegurar que los servicios sean entregados para satisfacer todo los requerimientos acordados por la tercera persona
3-Planificación y aceptación de sistemas.
Su objetivo es minimizar los riesgos de fallas en los sistemas.
-Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.
4-Protección contra código malicioso
Su objetivo es proteger la integridad del software y la información
Controles contra software malicioso:
Controles contra software malicioso:
-Establecer la política prohibiendo el uso de software No autorizado
-instalación y actualización regular de antivirus y software escaneador de computadoras como medida preventiva
5-Copias de seguridad.
su objetivo es mantener la integridad y disponibilidad de la información y los medios de procesamiento de información
-crear una copia de seguridad o un back-up
-se deberían establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauración repentina
6-Gestión de la seguridad de red.
7-Gestión de dispositivos de almacenamiento.
-Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado.-Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.
8-Control sobre el intercambio de información entre sociedades.
Mantener la seguridad en el intercambio de información y software dentro de la organización y con cualquier otra entidad externa.
9-Control de los servicios de comercio electrónico.
Asegurad la seguridad de los servicios de comercio electrónico y su uso seguro
10-Motorización de sistemas.
5-Copias de seguridad.
su objetivo es mantener la integridad y disponibilidad de la información y los medios de procesamiento de información
-crear una copia de seguridad o un back-up
-se deberían establecer los procedimientos de rutina para implementar la política de respaldo acordada y la estrategia para tomar copias de respaldo de la data y practicar su restauración repentina
6-Gestión de la seguridad de red.
Asegura la protección de la información en redes y la protección de la infraestructura de soporte
-Los medios que no se ocupen más en la empresa deben ser desechados en forma segura
-Los administradores de la red deben implementar controles que aseguren a los datos en la red de acceso
no autorizados.
7-Gestión de dispositivos de almacenamiento.
-Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado.-Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.
8-Control sobre el intercambio de información entre sociedades.
Mantener la seguridad en el intercambio de información y software dentro de la organización y con cualquier otra entidad externa.
-Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
-El correo electrónico presenta los siguientes riesgos:
-Vulnerabilidad de los mensajes o acceso no autorizado.
-Vulnerabilidad a errores (direcciones incorrectas).
-Cambio en los esquemas de comunicación (más personal).
9-Control de los servicios de comercio electrónico.
Asegurad la seguridad de los servicios de comercio electrónico y su uso seguro
-Prevenir el robo o fraude que se puede dar en las transacciones comerciales a través de Internet.
-El comercio electrónico presenta los siguientes riesgos:
-Vulnerabilidad en las transacciones o acceso no autorizado.
10-Motorización de sistemas.
Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y pérdida de información y conocer el aprovechamiento de los recursos TIC disponibles.
Esta Buena la Información
ResponderEliminar