Investigacion cientifica método y tecnicas. REDACCION EPISTEMOLOGIA INVESTIGACION LENGUAJE
Investigacion Iso17799
-
Upload
antonio-romero -
Category
Documents
-
view
214 -
download
0
Transcript of Investigacion Iso17799
8/19/2019 Investigacion Iso17799
http://slidepdf.com/reader/full/investigacion-iso17799 1/7
LA ISO 17799
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar
la gestión de la seguridad de la información dirigidas a los responsables de iniciar,
implantar o mantener la seguridad de una organización.
ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. l ob!etivo de la
seguridad de la información es proteger adecuadamente este activo para asegurar
la continuidad del negocio, minimizar los da"os a la organización y ma#imizar el
retorno de las inversiones y las oportunidades de negocio.
$a seguridad de la información se define como la preservación de%
• Confidencialidad. &seguramiento de que la información es accesible sólo
para aquellos autorizados a tener acceso.
• Integridad. 'arant(a de la e#actitud y completitud de la información y de los
m)todos de su procesamiento.
• Disponibilidad. &seguramiento de que los usuarios autorizados tienen
acceso cuando lo requieran a la información y sus activos asociados.
l ob!etivo de la norma ISO 17799 es proporcionar una base com*n para
desarrollar normas de seguridad dentro de las organizaciones y ser una pr+ctica
eficaz de la gestión de la seguridad.
Se trata de una norma, que recoge la relación de controles a aplicar o al menos, a
evaluar- para establecer un Sistema de 'estión de la Seguridad de la Información
S'SI-.
$a norma ISO 17799 establece diez dominios de control que cubren por completo
la 'estión de la Seguridad de la Información%
1. ol(tica de seguridad./. &spectos organizativos para la seguridad.0. lasificación y control de activos.2. Seguridad ligada al personal.3. Seguridad f(sica y del entorno.
8/19/2019 Investigacion Iso17799
http://slidepdf.com/reader/full/investigacion-iso17799 2/7
4. 'estión de comunicaciones y operaciones.7. ontrol de accesos.5. 6esarrollo y mantenimiento de sistemas.9. 'estión de continuidad del negocio.1.onformidad con la legislación.
POLÍTICA DE SE!"IDAD#
8/19/2019 Investigacion Iso17799
http://slidepdf.com/reader/full/investigacion-iso17799 3/7
6irigir y dar soporte a la gestión de la seguridad de la información.
$a alta dirección debe definir una pol(tica que refle!e las l(neas directrices de la
organización en materia de seguridad, aprobarla y publicitarla de la forma
adecuada a todo el personal implicado en la seguridad de la información.
$a pol(tica se constituye en la base de todo el sistema de seguridad de la
información.
$a alta dirección debe apoyar visiblemente la seguridad de la información en la
compa"(a.
ASPECTOS O"A$I%ATI&OS PA"A LA SE!"IDAD
'estionar la seguridad de la información dentro de la organización.
8antener la seguridad de los recursos de tratamiento de la información y de
los activos de información de la organización que son accedidos por
terceros. 8antener la seguridad de la información cuando la responsabilidad de su
tratamiento se a e#ternalizado a otra organización.
6ebe dise"arse una estructura organizativa dentro de la compa"(a que defina las
responsabilidades que en materia de seguridad tiene cada usuario o +rea de
traba!o relacionada con los sistemas de información de cualquier forma.
6ica estructura debe poseer un enfoque multidisciplinar% los problemas de
seguridad no son e#clusivamente t)cnicos.
CLASI'ICACI($ ) CO$T"OL DE ACTI&OS
8antener una protección adecuada sobre los activos de la organización.
&segurar un nivel de protección adecuado a los activos de información.
6ebe definirse una clasificación de los activos relacionados con los sistemas de
información, manteniendo un inventario actualizado que registre estos datos, y
8/19/2019 Investigacion Iso17799
http://slidepdf.com/reader/full/investigacion-iso17799 4/7
proporcionando a cada activo el nivel de protección adecuado a su criticidad en la
organización.
SE!"IDAD LIADA AL PE"SO$AL
:educir los riesgos de errores umanos, robos, fraudes o mal uso de las
instalaciones y los servicios. &segurar que los usuarios son conscientes de las amenazas y riesgos en el
+mbito de la seguridad de la información, y que est+n preparados para
sostener la pol(tica de seguridad de la organización en el curso normal de
su traba!o. 8inimizar los da"os provocados por incidencias de seguridad y por el mal
funcionamiento, control+ndolos y aprendiendo de ellos
$as implicaciones del factor umano en la seguridad de la información son muy
elevadas.
;odo el personal, tanto interno como e#terno a la organización, debe conocer tanto
las l(neas generales de la pol(tica de seguridad corporativa como las implicaciones
de su traba!o en el mantenimiento de la seguridad global.
6iferentes relaciones con los sistemas de información% operador, administrador,
guardia de seguridad, personal de servicios, etc.
rocesos de notificación de incidencias claros, +giles y conocidos por todos.
SE!"IDAD 'ÍSICA ) DEL E$TO"$O
vitar accesos no autorizados, da"os e interferencias contra los locales y la
información de la organización. vitar p)rdidas, da"os o comprometer los activos as( como la interrupción
de las actividades de la organización. revenir las e#posiciones a riesgo o robos de información y de recursos de
tratamiento de información.
8/19/2019 Investigacion Iso17799
http://slidepdf.com/reader/full/investigacion-iso17799 5/7
$as +reas de traba!o de la organización y sus activos deben ser clasificadas y
protegidas en función de su criticidad, siempre de una forma adecuada y frente a
cualquier riesgo factible de (ndole f(sica robo, inundación, incendio...-.
ESTI($ DE CO*!$ICACIO$ES ) OPE"ACIO$ES
&segurar la operación correcta y segura de los recursos de tratamiento de
información. 8inimizar el riesgo de fallos en los sistemas.
roteger la integridad del soft<are y de la información.
8antener la integridad y la disponibilidad de los servicios de tratamiento de
información y comunicación. &segurar la salvaguarda de la información en las redes y la protección de
su infraestructura de apoyo. vitar da"os a los activos e interrupciones de actividades de la
organización. revenir la p)rdida, modificación o mal uso de la información intercambiada
entre organizaciones.
Se debe garantizar la seguridad de las comunicaciones y de la operación de los
sistemas cr(ticos para el negocio.
CO$T"OL DE ACCESOS
ontrolar los accesos a la información.
vitar accesos no autorizados a los sistemas de información.
vitar el acceso de usuarios no autorizados.
rotección de los servicios en red.
vitar accesos no autorizados a ordenadores.
vitar el acceso no autorizado a la información contenida en los sistemas.
6etectar actividades no autorizadas.
'arantizar la seguridad de la información cuando se usan dispositivos de
inform+tica móvil y teletraba!o.
Se deben establecer los controles de acceso adecuados para proteger los
sistemas de información cr(ticos para el negocio, a diferentes niveles% sistema
operativo, aplicaciones, redes, etc.
DESA""OLLO ) *A$TE$I*IE$TO DE SISTE*AS
8/19/2019 Investigacion Iso17799
http://slidepdf.com/reader/full/investigacion-iso17799 6/7
&segurar que la seguridad est+ incluida dentro de los sistemas de
información. vitar p)rdidas, modificaciones o mal uso de los datos de usuario en las
aplicaciones.
roteger la confidencialidad, autenticidad e integridad de la información. &segurar que los proyectos de ;ecnolog(a de la Información y las
actividades complementarias son llevadas a cabo de una forma segura. 8antener la seguridad del soft<are y la información de la aplicación del
sistema.
6ebe contemplarse la seguridad de la información en todas las etapas del ciclo de
vida del soft<are en una organización% especificación de requisitos, desarrollo,
e#plotación, mantenimiento...
ESTI($ DE CO$TI$!IDAD DEL $EOCIO
:eaccionar a la interrupción de actividades del negocio y proteger sus
procesos cr(ticos frente grandes fallos o desastres.
;odas las situaciones que puedan provocar la interrupción de las actividades del
negocio deben ser prevenidas y contrarrestadas mediante los planes de
contingencia adecuados.
$os planes de contingencia deben ser probados y revisados periódicamente.
Se deben definir equipos de recuperación ante contingencias, en los que se
identifiquen claramente las funciones y responsabilidades de cada miembro en
caso de desastre.
CO$'O"*IDAD
vitar el incumplimiento de cualquier ley, estatuto, regulación u obligación
contractual y de cualquier requerimiento de seguridad. 'arantizar la alineación de los sistemas con la pol(tica de seguridad de la
organización y con la normativa derivada de la misma.
8/19/2019 Investigacion Iso17799
http://slidepdf.com/reader/full/investigacion-iso17799 7/7
8a#imizar la efectividad y minimizar la interferencia de o desde el proceso
de auditor(a de sistemas.
Se debe identificar convenientemente la legislación aplicable a los sistemas de
información corporativos en nuestro caso, $O6, $I, $SSI...-, integr+ndola en elsistema de seguridad de la información de la compa"(a y garantizando su
cumplimiento.
Se debe definir un plan de auditor(a interna y ser e!ecutado convenientemente,
para garantizar la detección de desviaciones con respecto a la pol(tica de
seguridad de la información.
En A+ditoria#
=Somos seguros> =8uy seguros> =oco seguros> =:elativamente seguros>...
? ;raba!o de auditor(a ISO 17799% valoración del nivel de adecuación,
implantación y gestión de cada control de la norma en la organización%
Seguridad lógica.
Seguridad f(sica.
Seguridad organizativa.
Seguridad legal.
? :eferencia de la seguridad de la información est+ndar y aceptada
internacionalmente.
? @na vez conocemos el estado actual de la seguridad de la información en la
organización, podemos planificar correctamente su me!ora o su mantenimiento.
@na auditor(a ISO 17799 proporciona información precisa acerca del nivel de
cumplimiento de la norma a diferentes niveles% global, por dominios, por ob!etivos
y por controles.