BS
Páginas: 10 (2355 palabras)
Publicado: 21 de noviembre de 2015
Introducción
La información es el activo más valioso de toda organización. La importancia de resguardar este activo es ahora bien entendida por los directivos de los negocios.
Hoy en día es necesario tener información transparente y segura, sino también dar esa impresión a nuestros clientes, proveedores, socios e incluso el gobierno para que tengan la confianza de colaborar con nuestraorganización.
Debido a la naturaleza del caso “Servicios profesionales”, nos enfocaremos en el refuerzo de los sistemas información, así como el control de acceso a la información confidencial para así aminorar el impacto que tiene en la empresa el riesgo ocasionado por el factor humano, que va desde la modificación no intencional de un dato o registro hasta el intento de obtención de informaciónconfidencial para beneficio propio.
Es por eso, que se han elegido dos estándares para guiar la implementación de un sistema de gestión de la seguridad de información en la empresa, el ISO 27001 que especifica los requisitos necesarios para establecer, implementar, mantener y mejorar el sistema mencionado; con orígenes en la norma británica BS7799 que comienza con la evaluación de la situación actualpara identificar los cambios necesarios y tomarse como punto de partida para la planificación e implementación del sistema.
Debido a que algunas secciones de ambos estándares son repetitivas, sólo se incluirán en la norma BS aquellos puntos que no se requieran en el ISO 27001, ya que el contenido es el mismo.
BS7799
Plan de continuidad de negocio
La implementación del sistema será planeada durantetiempo de operación habitual para recolectar requerimientos de todas las áreas del negocio, de ser necesaria la interrupción de algún servicio para instalaciones o descargas de información mientras se están llevando a cabo procesos críticos, el mantenimiento tendrá que planearse después de horas no laborales para los clientes tanto internos y externos.
Sistema de control de acceso
Controla elacceso a sistemas de información, ordenadores y servicios de red.
Se realizará un mapeo de accesos de acuerdo a las necesidades del usuario final. El comienzo será restringir el acceso a bases de datos a todo el personal ajeno al departamento de sistemas, quién tendrá acceso para el mantenimiento únicamente.
Seguridad física y ambiental
Evita el robo de las instalaciones de procesamiento de lainformación, no se cuenta con información suficiente para determinar si el sitio de servidores está localizado y custodiado adecuadamente, en caso de que no, se procede a localizarlo en un lugar encapsulado con aire acondicionado, alimentado por una fuente de poder en caso de suspensión de energía para prevenir daños e interferencias a la información.
Cumplimiento
Se creará un organismo interno paraasegurar que las normas y políticas que se establecerán en el desarrollo del ISO 27001, hace mención a la necesidad de apoyo de un especialista del ramo jurídico para maximizar la eficacia de todo el proceso de auditoría en el sistema.
ISO 27001
El primer paso es conseguir el apoyo gerencial para empezar el proyecto, la directiva debe de entender la importancia de implementar un sistema degestión de la seguridad de la información para beneficio propio y de todos los interesados.
1. Establecer la importancia de la seguridad de la información en el negocio
La seguridad de la información es de vital importancia debido a que es la médula de operación del negocio.
Los objetivos del negocio son brindar un servicio de hospedaje de páginas web confiable para el cliente y asegurar que lainformación contenida en sus bases de datos este resguardada correctamente.
La ruta crítica del negocio son los sistemas que permiten el hospedaje de las páginas web y contienen las bases de datos.
La dependencia del negocio a la tecnología es muy alta, ningún proceso puede llevarse a cabo de ninguna manera sin la aplicación de tecnología.
De acuerdo a los cinco diferentes escenarios de daño...
La información es el activo más valioso de toda organización. La importancia de resguardar este activo es ahora bien entendida por los directivos de los negocios.
Hoy en día es necesario tener información transparente y segura, sino también dar esa impresión a nuestros clientes, proveedores, socios e incluso el gobierno para que tengan la confianza de colaborar con nuestraorganización.
Debido a la naturaleza del caso “Servicios profesionales”, nos enfocaremos en el refuerzo de los sistemas información, así como el control de acceso a la información confidencial para así aminorar el impacto que tiene en la empresa el riesgo ocasionado por el factor humano, que va desde la modificación no intencional de un dato o registro hasta el intento de obtención de informaciónconfidencial para beneficio propio.
Es por eso, que se han elegido dos estándares para guiar la implementación de un sistema de gestión de la seguridad de información en la empresa, el ISO 27001 que especifica los requisitos necesarios para establecer, implementar, mantener y mejorar el sistema mencionado; con orígenes en la norma británica BS7799 que comienza con la evaluación de la situación actualpara identificar los cambios necesarios y tomarse como punto de partida para la planificación e implementación del sistema.
Debido a que algunas secciones de ambos estándares son repetitivas, sólo se incluirán en la norma BS aquellos puntos que no se requieran en el ISO 27001, ya que el contenido es el mismo.
BS7799
Plan de continuidad de negocio
La implementación del sistema será planeada durantetiempo de operación habitual para recolectar requerimientos de todas las áreas del negocio, de ser necesaria la interrupción de algún servicio para instalaciones o descargas de información mientras se están llevando a cabo procesos críticos, el mantenimiento tendrá que planearse después de horas no laborales para los clientes tanto internos y externos.
Sistema de control de acceso
Controla elacceso a sistemas de información, ordenadores y servicios de red.
Se realizará un mapeo de accesos de acuerdo a las necesidades del usuario final. El comienzo será restringir el acceso a bases de datos a todo el personal ajeno al departamento de sistemas, quién tendrá acceso para el mantenimiento únicamente.
Seguridad física y ambiental
Evita el robo de las instalaciones de procesamiento de lainformación, no se cuenta con información suficiente para determinar si el sitio de servidores está localizado y custodiado adecuadamente, en caso de que no, se procede a localizarlo en un lugar encapsulado con aire acondicionado, alimentado por una fuente de poder en caso de suspensión de energía para prevenir daños e interferencias a la información.
Cumplimiento
Se creará un organismo interno paraasegurar que las normas y políticas que se establecerán en el desarrollo del ISO 27001, hace mención a la necesidad de apoyo de un especialista del ramo jurídico para maximizar la eficacia de todo el proceso de auditoría en el sistema.
ISO 27001
El primer paso es conseguir el apoyo gerencial para empezar el proyecto, la directiva debe de entender la importancia de implementar un sistema degestión de la seguridad de la información para beneficio propio y de todos los interesados.
1. Establecer la importancia de la seguridad de la información en el negocio
La seguridad de la información es de vital importancia debido a que es la médula de operación del negocio.
Los objetivos del negocio son brindar un servicio de hospedaje de páginas web confiable para el cliente y asegurar que lainformación contenida en sus bases de datos este resguardada correctamente.
La ruta crítica del negocio son los sistemas que permiten el hospedaje de las páginas web y contienen las bases de datos.
La dependencia del negocio a la tecnología es muy alta, ningún proceso puede llevarse a cabo de ninguna manera sin la aplicación de tecnología.
De acuerdo a los cinco diferentes escenarios de daño...
Leer documento completo
Regístrate para leer el documento completo.