Security
Páginas: 5 (1181 palabras)
Publicado: 13 de julio de 2013
POLITICA: Manifestación de Qué está permitido y que no está permitido dentro de un sistema informático, plasmado en un documento con orden.
La política debe cumplir dos aspectos:
Debe cubrir todos los aspectos relacionados con la misma.
Debe adecuarse a las necesidades propias de la red (mediante un Análisis de Riesgos que determine: Cuales activos tienen mayor probabilidad de sufrir losefectos de cierta amenaza, o cuales podrían resultar más afectados por la materialización de la misma).
Nota: El Análisis de Riesgos se la puede realizar en toda la organización, parte de ella, sistemas de información individuales, componentes específicos, en sí, donde sea factible, útil y realista.
ISO 27002: Se optó por esta Norma debido a que es un estándar internacional en vigencia, creado porla un organismo de prestigio mundial, con vasta experiencia en la creación de estándares para procesos dentro de las organizaciones. Además este organismo de se encarga de revisar y mejorar paródicamente sus normas para estar a la vanguardia de la situación actual.
El objetivo de la norma es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser unapráctica eficaz de la gestión de la seguridad.
La ISO17799 se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.
SERVICIOS
E.1 (Errores de los usuarios): Seguridad del Personal (ISO 27002)
Precaución con el correo electrónico (“analice antes de abrir”)
Verificar la existencia de un programa de capacitacióndefinido para usuarios de hardware y software.
Verificar la existencia de material para autoestudio
Difusión de normas y políticas sobre respecto al uso de los recursos informáticos
Efectuar análisis de necesidades de capacitación de los usuarios.
E.2 (Errores del administrador):
Existencia de planes de capacitación a funcionarios del Departamento de TIC´s.
Deben existir manuales deprocedimientos para cada proceso efectuado por la Dirección de TIC´s.
Existencia de manuales de operación para cada aplicación usada por la entidad.
Se debe realizar inventarios de recursos de hardware y software periódicamente.
E.24 (Caída por agota. recursos)
A.4 (Manipulación configuración)
A.5 (Suplantación identificación del Usuario)
A.11 (Acceso no autorizado)
A.24 (Denegación deservicio)
A.29 (Extorsión)
A.30 (Ingeniería social)
DATOS
E.1 (Errores de los usuarios):
Planes de capacitación en nuevas tecnologías a usuarios de computadores.
Planes de capacitación sobre nuevas versiones de software instalado por el Departamento de TIC´s.
Contar por lo menos con un Help Desk en la compañía.
Tiene responsabilidades sobre la correcta administración de lainformación que utilice, previendo las acciones de integridad y confidencialidad.
E.2 (Errores del administrador)
Atención a usuarios de manera continua y segura.
Continuidad en el procesamiento y reducción de tiempos de respuesta.
Garantizar la permanencia fiel de los datos que residen en los servidores.
E.8 (Difusión software dañino):
No descargue de Internet ni de adjuntos de correoselectrónicos, ni distribuya o abra ficheros ejecutables, documentos, etc., no solicitados.
Revise con su aplicación antivirus cada nuevo elemento que se trate de incorporar a su ordenador.
No abra ningún archivo con doble extensión (como archivo.txt.vbs).
En condiciones normales usted no tendría que necesitar nunca este tipo de archivos. Configure su sistema para que muestre las extensiones de todoslos archivos.
Realice de forma periódica copias de seguridad de su información más valiosa. En caso de sufrir un ataque de un virus o una intrusión, las secuelas serán mucho menores si puede restaurar fácilmente sus datos.
No distribuya indiscriminadamente bromas de virus, alarmas, o cartas en cadena.
No conteste a los mensajes SPAM (publicidad no deseada) ya que al hacerlo reconfirmará su...
La política debe cumplir dos aspectos:
Debe cubrir todos los aspectos relacionados con la misma.
Debe adecuarse a las necesidades propias de la red (mediante un Análisis de Riesgos que determine: Cuales activos tienen mayor probabilidad de sufrir losefectos de cierta amenaza, o cuales podrían resultar más afectados por la materialización de la misma).
Nota: El Análisis de Riesgos se la puede realizar en toda la organización, parte de ella, sistemas de información individuales, componentes específicos, en sí, donde sea factible, útil y realista.
ISO 27002: Se optó por esta Norma debido a que es un estándar internacional en vigencia, creado porla un organismo de prestigio mundial, con vasta experiencia en la creación de estándares para procesos dentro de las organizaciones. Además este organismo de se encarga de revisar y mejorar paródicamente sus normas para estar a la vanguardia de la situación actual.
El objetivo de la norma es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser unapráctica eficaz de la gestión de la seguridad.
La ISO17799 se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.
SERVICIOS
E.1 (Errores de los usuarios): Seguridad del Personal (ISO 27002)
Precaución con el correo electrónico (“analice antes de abrir”)
Verificar la existencia de un programa de capacitacióndefinido para usuarios de hardware y software.
Verificar la existencia de material para autoestudio
Difusión de normas y políticas sobre respecto al uso de los recursos informáticos
Efectuar análisis de necesidades de capacitación de los usuarios.
E.2 (Errores del administrador):
Existencia de planes de capacitación a funcionarios del Departamento de TIC´s.
Deben existir manuales deprocedimientos para cada proceso efectuado por la Dirección de TIC´s.
Existencia de manuales de operación para cada aplicación usada por la entidad.
Se debe realizar inventarios de recursos de hardware y software periódicamente.
E.24 (Caída por agota. recursos)
A.4 (Manipulación configuración)
A.5 (Suplantación identificación del Usuario)
A.11 (Acceso no autorizado)
A.24 (Denegación deservicio)
A.29 (Extorsión)
A.30 (Ingeniería social)
DATOS
E.1 (Errores de los usuarios):
Planes de capacitación en nuevas tecnologías a usuarios de computadores.
Planes de capacitación sobre nuevas versiones de software instalado por el Departamento de TIC´s.
Contar por lo menos con un Help Desk en la compañía.
Tiene responsabilidades sobre la correcta administración de lainformación que utilice, previendo las acciones de integridad y confidencialidad.
E.2 (Errores del administrador)
Atención a usuarios de manera continua y segura.
Continuidad en el procesamiento y reducción de tiempos de respuesta.
Garantizar la permanencia fiel de los datos que residen en los servidores.
E.8 (Difusión software dañino):
No descargue de Internet ni de adjuntos de correoselectrónicos, ni distribuya o abra ficheros ejecutables, documentos, etc., no solicitados.
Revise con su aplicación antivirus cada nuevo elemento que se trate de incorporar a su ordenador.
No abra ningún archivo con doble extensión (como archivo.txt.vbs).
En condiciones normales usted no tendría que necesitar nunca este tipo de archivos. Configure su sistema para que muestre las extensiones de todoslos archivos.
Realice de forma periódica copias de seguridad de su información más valiosa. En caso de sufrir un ataque de un virus o una intrusión, las secuelas serán mucho menores si puede restaurar fácilmente sus datos.
No distribuya indiscriminadamente bromas de virus, alarmas, o cartas en cadena.
No conteste a los mensajes SPAM (publicidad no deseada) ya que al hacerlo reconfirmará su...
Leer documento completo
Regístrate para leer el documento completo.