Descripcion de un estandar minimo de seguridad
Fecha: 09-04-10
Versión: 2.0
Contenido
Desarrollo del estándar mínimo de seguridad
Introducción.
La información es un activo vital para el éxito y la continuidad en el mercadode cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de suma importancia para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgosa los que está sometida la información de la organización. Lo anterior puede lograrse mediante la implantación de políticas de seguridad basadas en el entorno operativo de la organización y en un análisis de riesgos.
Para la generación del presente estándar mínimo de seguridad aplicable para el proyecto SIEFIS se tomaron en cuenta los estándares internacionales ISO/IEC 27001 e ISO/IEC 27002que son los que se enfocan en la seguridad de los sistemas de información. A continuación se muestran los lineamientos de estos estándares que deben seguirse a fin de implementar una arquitectura y un ambiente operativo seguros para el proyecto SIEFIS.
1. Valoración y tratamiento del riesgo
1.1. Tratamiento de los riesgos de seguridad
Losadministradores de la información requieren valorar los posibles riesgos y determinar cómo tratarlos (si pueden ser eliminados, prevenidos o en su caso mitigados). Lo anterior debe ser documentado como Plan de Tratamiento de Riesgos (PTR). Puede ser aceptable para los administradores explícitamente decidir no hacer nada ante algunos riegos de la información considerados como de muy bajo impacto.A continuación se muestra una tabla con los riesgos que se han valorado, su impacto y el tratamiento que se les puede dar cuando se presenten.
Riesgo Impacto Tratamiento
Robo de Identidad Medio Riesgo Prevenible. Mediante las siguientes acciones:
- Encriptando la comunicación entre el servidor de la aplicación y la máquina del usuario.
- Implementando una política de cambioperiódico de passwords.
Robo de Información Alto Riesgo Prevenible. Mediante las siguientes acciones:
- Encriptando la comunicación, mediante la instalación y configuración de un certificado SSL, entre el servidor de la aplicación y la máquina del usuario
- Implementando controles para la extracción y visualización de la información basados en usuarios y roles.
Accesos no autorizados Medio RiesgoPrevenible. Mediante las siguientes acciones:
- Implementando una política de creación de cuentas y passwords basada en mejores prácticas respecto a la dificultad y renovación de los mismos.
- Monitoreando las bitácoras de los servidores y el firewall en busca de ataques de penetración y bloqueando las direcciones de donde provengan estos ataques.
Riesgo Impacto TratamientoPérdida de datos Alto Riesgo Prevenible. Mediante las siguientes acciones:
- Instalación de arreglos redundantes de discos en los servidores.
- Realizando respaldos en medios externos (cintas, SAN) a los servidores.
- Implementando controles para la modificación de archivos basados en usuarios y roles.
Virus Alto Riesgo Prevenible. Mediante las siguientes acciones:
- Instalación yactualización de Antivirus-
Falla de equipos Alto Riesgo Prevenible. Mediante las siguientes acciones:
- Instalación de componentes redundantes (discos, fuentes de poder, etc) en los servidores.
- Implementación de un Plan de Recuperación de Desastres (DRP)
2. Políticas de Seguridad
2.1. Políticas de seguridad de la información
Actualmente...
Regístrate para leer el documento completo.