Resumen-ntp.17799
Páginas: 28 (6947 palabras)
Publicado: 12 de noviembre de 2010
NTP 17799
1. POLÍTICA DE SEGURIDAD
Política de seguridad de la información
Objetivo: Proporcionar dirección y soporte a la seguridad de la información.
Esta política debe ser apoyada y aplicada para un bien de la institución.
Dicha política de seguridad debe poseer los siguientes enunciados:
* Importancia de la información al transmitirla.
* Fundamentación de los objetivosde la empresa con respecto a los objetivos comerciales.
* Establecer los objetivos de control.
* Importancia de la política de seguridad para la empresa.
* Establecer responsabilidades para la gestión de la seguridad de la información.
* Referenciar procedimientos de seguridad que los usuarios debieran observar.
Esta política de seguridad debe ser dada a conocer a todo elpersonal de manera que la puedan comprender perfectamente.
Revisión de la política de seguridad de la información
Esta política de seguridad debe ser revisada para verificar su viabilidad y si surgen cambios hacerlos dar a conocer al personal.
La revisión de esta política debe tener algunos ítems tales como:
* Cambio de personal.
* Estado de acciones preventivas.
* Mejora dedispositivos.
2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Organización interna
Objetivo: Mantener la seguridad y la disponibilidad de la información.
Compromiso de la gerencia con la seguridad de la información
La gerencia debe apoyar la seguridad de la información.
* Identificar los objetivos de seguridad.
* Revisar la política de seguridad periódicamente.
* Darfacilidades para una mejor seguridad de la información.
La gerencia debe identificar las posibles vulnerabilidades de la información para así evitarlas.
Coordinación de la seguridad de la información
Es necesario repartir las tareas de seguridad de la información con un personal de la empresa que sea responsable.
* Se debe velar por no violar la política de seguridad de la información.* Identificar posibles vulnerabilidades a la seguridad de la información.
Asignación de las responsabilidades de la seguridad de la información
Las personas a la cual se le asigna el cargo de la seguridad de la información deben tener muy claro la responsabilidad que se le está asignado.
Acuerdos de confidencialidad
La información debe mantenerse bajo confidenciabilidad para laseguridad de la misma.
* Se debe identificar los casos donde se debe mantener bajo confidenciabilidad la información.
* Aportar solo la información necesaria a los usuarios externos.
* Acciones a realizarse en caso de incumplimiento y divulgación de la información.
Contacto con las autoridades
La empresa debe contar con autoridades pertinentes en caso de emergencia, por ejemplo:policía, bomberos, además es posible que sufra ataques desde Internet y para esto debe asignarle este cargo a un tercero como sería un proveedor ISP.
Contacto con grupos de interés especial
La organización debe tener contacto con medios de seguridad.
* Tiene la posibilidad de mejorar a tiempo la seguridad a las vulnerabilidades
* Se mantiene actualizado de nuevos productos y demás.Revisión independiente de la seguridad de la información
La seguridad de la información debe ser revisada con gran cuidado para evitar fallos más adelante en la misma.
Esta revisión debe ser realizada por un personal experimentado con gran capacidad de identificar e interpretar posibles vulnerabilidades contra la organización, esta revisión debe hacerse de acuerdo con las políticas de seguridadya establecidas.
Grupos o personas externas
Objetivo: Controlar el acceso de medios externos hacia la manipulación de la información.
Identificación de los riesgos relacionados con los grupos externos
Antes de permitir al acceso a algún externo se deben mirar los riesgos a los cuales está expuesta la organización al darle acceso, además se debe mirar hacia que necesita acceso estos...
1. POLÍTICA DE SEGURIDAD
Política de seguridad de la información
Objetivo: Proporcionar dirección y soporte a la seguridad de la información.
Esta política debe ser apoyada y aplicada para un bien de la institución.
Dicha política de seguridad debe poseer los siguientes enunciados:
* Importancia de la información al transmitirla.
* Fundamentación de los objetivosde la empresa con respecto a los objetivos comerciales.
* Establecer los objetivos de control.
* Importancia de la política de seguridad para la empresa.
* Establecer responsabilidades para la gestión de la seguridad de la información.
* Referenciar procedimientos de seguridad que los usuarios debieran observar.
Esta política de seguridad debe ser dada a conocer a todo elpersonal de manera que la puedan comprender perfectamente.
Revisión de la política de seguridad de la información
Esta política de seguridad debe ser revisada para verificar su viabilidad y si surgen cambios hacerlos dar a conocer al personal.
La revisión de esta política debe tener algunos ítems tales como:
* Cambio de personal.
* Estado de acciones preventivas.
* Mejora dedispositivos.
2. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Organización interna
Objetivo: Mantener la seguridad y la disponibilidad de la información.
Compromiso de la gerencia con la seguridad de la información
La gerencia debe apoyar la seguridad de la información.
* Identificar los objetivos de seguridad.
* Revisar la política de seguridad periódicamente.
* Darfacilidades para una mejor seguridad de la información.
La gerencia debe identificar las posibles vulnerabilidades de la información para así evitarlas.
Coordinación de la seguridad de la información
Es necesario repartir las tareas de seguridad de la información con un personal de la empresa que sea responsable.
* Se debe velar por no violar la política de seguridad de la información.* Identificar posibles vulnerabilidades a la seguridad de la información.
Asignación de las responsabilidades de la seguridad de la información
Las personas a la cual se le asigna el cargo de la seguridad de la información deben tener muy claro la responsabilidad que se le está asignado.
Acuerdos de confidencialidad
La información debe mantenerse bajo confidenciabilidad para laseguridad de la misma.
* Se debe identificar los casos donde se debe mantener bajo confidenciabilidad la información.
* Aportar solo la información necesaria a los usuarios externos.
* Acciones a realizarse en caso de incumplimiento y divulgación de la información.
Contacto con las autoridades
La empresa debe contar con autoridades pertinentes en caso de emergencia, por ejemplo:policía, bomberos, además es posible que sufra ataques desde Internet y para esto debe asignarle este cargo a un tercero como sería un proveedor ISP.
Contacto con grupos de interés especial
La organización debe tener contacto con medios de seguridad.
* Tiene la posibilidad de mejorar a tiempo la seguridad a las vulnerabilidades
* Se mantiene actualizado de nuevos productos y demás.Revisión independiente de la seguridad de la información
La seguridad de la información debe ser revisada con gran cuidado para evitar fallos más adelante en la misma.
Esta revisión debe ser realizada por un personal experimentado con gran capacidad de identificar e interpretar posibles vulnerabilidades contra la organización, esta revisión debe hacerse de acuerdo con las políticas de seguridadya establecidas.
Grupos o personas externas
Objetivo: Controlar el acceso de medios externos hacia la manipulación de la información.
Identificación de los riesgos relacionados con los grupos externos
Antes de permitir al acceso a algún externo se deben mirar los riesgos a los cuales está expuesta la organización al darle acceso, además se debe mirar hacia que necesita acceso estos...
Leer documento completo
Regístrate para leer el documento completo.