Seguridad de la Información
Páginas: 11 (2739 palabras)
Publicado: 2 de abril de 2014
Resumen - Muchas compañías no dan suficiente importancia a la seguridad de la información, y se dedican principalmente a realizar sus funciones, sin tener en cuenta las frecuentes amenazas y los delitos informáticos a los que están expuestos. Por esta razón, es necesario preparar un análisis de riesgo, para identificar y prevenir las diferentes vulnerabilidades y los riesgos que se presentan oque puedan surgir
Abstract — Many companies do not give enough importance to information security, and are dedicated primarily to perform their functions, without taking into account the frequent threats and computer crime to which they are exposed. For this reason it is necessary to prepare a risk analysis, to identify and prevent the different vulnerabilities and risks that are beingpresented or that may arise.
Palabras claves — Riesgo, vulnerablidades, sistemas de informacion, políticas, seguridad y control.
I. introducción
En un ambiente donde la informática está encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecución y procesamiento de los datos se está haciendo vía computadoras, dispositivos moviles y la información es uno de losactivos más importantes y más sensibles a modificación, por ello se hace necesario elaborar un Análisis de Riesgo basado en la NTC-ISO/IEC 27001 a una Entidad Pública del Sector Salud, y generar un ambiente informático que brinde confianza y seguridad en todos sus procesos.
Este trabajo fue desarrollado en 4 fases, en la primera se identifica los riesgos, en la segunda se hará una evaluaciónde los riesgos presentados en la fase 1, en la fase 3 se diseñaran políticas e instrucciones y finalmente en la fase 4 se realizará un escaneo de las vulnerabilidades con algunas herramientas especificas y sus respectivas recomendaciones y controles.
II. antecedentes
La adopción de un Sistema de Gestión de la Seguridad de la Información (SGSI) en las instituciones, garantiza una mayoreficiencia y eficacia en los procesos y procedimientos que se lleven. La norma técnica NTC-ISO/IEC 27001: Esta norma adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA) que se aplica para estructurar todos los procesos del SGSI. La aplicabilidad de estos estándares ayuda a generar un ambiente informático que brinde una confianza y seguridad en todos sus procesos
III.metodologia
La Gestión de Riesgos es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos.
Todos en la organización juegan un rol en el aseguramiento de éxito de la Gestión de Riesgos, pero la responsabilidad principal de la mismarecae sobre la Dirección.1
La Gestión de Riesgos es un proceso iterativo que debe contribuir a la mejora organizacional a través del perfeccionamiento de los procesos. Puede ser aplicada a todos los niveles de una organización, es decir, en los niveles estratégicos, tácticos y operacionales. No sólo considera la identificación y tratamiento de riesgos, sino que también las oportunidades quecontribuyan al logro de los objetivos
BENEFICIOS POTENCIALES DE LA APLICACIÓN DE LA GESTIÓN DE RIESGOS.
Mejora las posibilidades de alcanzar los objetivos en la organización.
Incrementa el entendimiento de riesgos claves y sus implicaciones en la organización.
Se identifica y comparte la responsabilidad de la administración de los riesgos del negocio.
Genera y fortalece el enfoque enasuntos que realmente importan a la organización.
Contribuye a disminuir las sorpresas y crisis en la organización.
Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados en mejor forma.
Genera mayor información y con más transparencia sobre los riesgos identificados, tomados y las decisiones realizadas.
MARCO DE GESTIÓN DE RIESGOS EN BASE A LA NORMA ISO...
Resumen - Muchas compañías no dan suficiente importancia a la seguridad de la información, y se dedican principalmente a realizar sus funciones, sin tener en cuenta las frecuentes amenazas y los delitos informáticos a los que están expuestos. Por esta razón, es necesario preparar un análisis de riesgo, para identificar y prevenir las diferentes vulnerabilidades y los riesgos que se presentan oque puedan surgir
Abstract — Many companies do not give enough importance to information security, and are dedicated primarily to perform their functions, without taking into account the frequent threats and computer crime to which they are exposed. For this reason it is necessary to prepare a risk analysis, to identify and prevent the different vulnerabilities and risks that are beingpresented or that may arise.
Palabras claves — Riesgo, vulnerablidades, sistemas de informacion, políticas, seguridad y control.
I. introducción
En un ambiente donde la informática está encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecución y procesamiento de los datos se está haciendo vía computadoras, dispositivos moviles y la información es uno de losactivos más importantes y más sensibles a modificación, por ello se hace necesario elaborar un Análisis de Riesgo basado en la NTC-ISO/IEC 27001 a una Entidad Pública del Sector Salud, y generar un ambiente informático que brinde confianza y seguridad en todos sus procesos.
Este trabajo fue desarrollado en 4 fases, en la primera se identifica los riesgos, en la segunda se hará una evaluaciónde los riesgos presentados en la fase 1, en la fase 3 se diseñaran políticas e instrucciones y finalmente en la fase 4 se realizará un escaneo de las vulnerabilidades con algunas herramientas especificas y sus respectivas recomendaciones y controles.
II. antecedentes
La adopción de un Sistema de Gestión de la Seguridad de la Información (SGSI) en las instituciones, garantiza una mayoreficiencia y eficacia en los procesos y procedimientos que se lleven. La norma técnica NTC-ISO/IEC 27001: Esta norma adopta el modelo de procesos “Planificar-Hacer-Verificar-Actuar” (PHVA) que se aplica para estructurar todos los procesos del SGSI. La aplicabilidad de estos estándares ayuda a generar un ambiente informático que brinde una confianza y seguridad en todos sus procesos
III.metodologia
La Gestión de Riesgos es un proceso estructurado, consistente y continuo implementado a través de toda la organización para identificar, evaluar, medir y reportar amenazas y oportunidades que afectan el poder alcanzar el logro de sus objetivos.
Todos en la organización juegan un rol en el aseguramiento de éxito de la Gestión de Riesgos, pero la responsabilidad principal de la mismarecae sobre la Dirección.1
La Gestión de Riesgos es un proceso iterativo que debe contribuir a la mejora organizacional a través del perfeccionamiento de los procesos. Puede ser aplicada a todos los niveles de una organización, es decir, en los niveles estratégicos, tácticos y operacionales. No sólo considera la identificación y tratamiento de riesgos, sino que también las oportunidades quecontribuyan al logro de los objetivos
BENEFICIOS POTENCIALES DE LA APLICACIÓN DE LA GESTIÓN DE RIESGOS.
Mejora las posibilidades de alcanzar los objetivos en la organización.
Incrementa el entendimiento de riesgos claves y sus implicaciones en la organización.
Se identifica y comparte la responsabilidad de la administración de los riesgos del negocio.
Genera y fortalece el enfoque enasuntos que realmente importan a la organización.
Contribuye a disminuir las sorpresas y crisis en la organización.
Incrementa la posibilidad de que cambios e iniciativas de proyectos puedan ser logrados en mejor forma.
Genera mayor información y con más transparencia sobre los riesgos identificados, tomados y las decisiones realizadas.
MARCO DE GESTIÓN DE RIESGOS EN BASE A LA NORMA ISO...
Leer documento completo
Regístrate para leer el documento completo.