Gestion De Seguridad
Páginas: 12 (2975 palabras)
Publicado: 26 de julio de 2012
Gestión de Seguridad
ASI 2 - ISO 27002: Dominio 12 Adquisisión, desarrollo y mantenimiento de sistemas de información.
Continuando con los Dominios de la ISO 27002 (Numeral 12) o Anexo A de la ISO 27001 (Anexo A12), hoy vamos a revisar la Adquisición, desarrollo y mantenimiento de sistemas de información. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen seis objetivos de control:
12.1Requisitos de seguridad de los sistemas de información
Objetivo: garantizar que la seguridad es parte integral de los sistemas de información.
Los sistemas de información incluyen sistemas operativos, infraestructura, aplicaciones del negocio, productos de vitrina, servicios y aplicaciones desarrolladas para usuarios. El diseño y la implementación del sistema de información que da soporte alos procesos del negocio pueden ser cruciales para la seguridad. Se deberían identificar y acordar los requisitos de seguridad antes del desarrollo y/o la implementación de los sistemas de información.
Todos los requisitos de seguridad se deberían identificar en la fase de requisitos de un proyecto y se deberían justificar, acordar y documentar como parte de todo el caso de negocio para unsistema de Información.
12.2 Procesamiento Correcto en las Aplicaciones
Objetivo: evitar errores. pérdidas, modificaciones no autorizadas o uso inadecuado de la información en las aplicaciones.
Se deberían diseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por el usuario para garantizar el procesamiento correcto. Estos controles deberían incluir lavalidación de los datos de entrada, del procesamiento interno y de los datos de salida.
Se pueden necesitar controles adicionales para los sistemas que procesan o tienen impacto en la información sensible, de valor o critica. Dichos controles se deberían determinar con base en los requisitos de seguridad y en la evaluación de riesgos.
12.3 Controles Criptograficos
Objetivo: proteger laconfidencialidad, autenticidad o integridad de la información, por medios criptográficos.
Se debería desarrollar una política sobre el uso de los controles criptográficos y establecer una gestión de claves para dar soporte al empleo de técnicas criptográficas.
12.4 Seguridad de los archivos de sistema
Objetivo: garantizar la seguridad de los archivos del sistema.
Los accesos a los archivos delsistema y al código fuente del programa deberían estar protegidos, y los proyectos de tecnología de la información y las actividades de soporte se deberían efectuar de forma segura. Se debería tener cuidado para evitar la exposición de datos sensibles en los entornos de prueba.
12.5 Seguridad en los procesos de desarrollo y soporte.
Objetivo: mantener la seguridad del software y de lainformación dél sistema de aplicaciones.
Los entornos de soporte y de desarrollo deberían estar estrictamente controlados.
Los directores responsables de los sistemas de aplicación también deberían ser responsables de la seguridad del entorno del proyecto o del soporte. Ellos deberian garantizar que todos los cambios propuestos en el sistema se revisan para comprobar que no ponen en peligro laseguridad del sistema ni del entorno operativo.
12.6 Gestión de la vulnerabilidad técnica.
Objetivo: reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas.
La gestión de la vulnerabilidad técnica se debería implementar de forma eficaz, sistemática y repetible con toma de mediciones para confirmar su eficacia. Estas consideraciones deberían incluir a lossistemas operativos y otras aplicaciones en uso.
Sintetizando, este es el objetivo que persigue la Norma con este Dominio
Todos los sistemas de procesamiento de información, infraestructura, desarrollos, aplicaciones, archivos, procesos de desarrollo y mantenimiento de sistemas de información de la Organizacion deben ser controlados y tener una adecuada seguridad.
Profundizando en los...
ASI 2 - ISO 27002: Dominio 12 Adquisisión, desarrollo y mantenimiento de sistemas de información.
Continuando con los Dominios de la ISO 27002 (Numeral 12) o Anexo A de la ISO 27001 (Anexo A12), hoy vamos a revisar la Adquisición, desarrollo y mantenimiento de sistemas de información. Que dicen la ISO 27001 e ISO 27002? Bien, incluyen seis objetivos de control:
12.1Requisitos de seguridad de los sistemas de información
Objetivo: garantizar que la seguridad es parte integral de los sistemas de información.
Los sistemas de información incluyen sistemas operativos, infraestructura, aplicaciones del negocio, productos de vitrina, servicios y aplicaciones desarrolladas para usuarios. El diseño y la implementación del sistema de información que da soporte alos procesos del negocio pueden ser cruciales para la seguridad. Se deberían identificar y acordar los requisitos de seguridad antes del desarrollo y/o la implementación de los sistemas de información.
Todos los requisitos de seguridad se deberían identificar en la fase de requisitos de un proyecto y se deberían justificar, acordar y documentar como parte de todo el caso de negocio para unsistema de Información.
12.2 Procesamiento Correcto en las Aplicaciones
Objetivo: evitar errores. pérdidas, modificaciones no autorizadas o uso inadecuado de la información en las aplicaciones.
Se deberían diseñar controles apropiados en las aplicaciones, incluyendo las aplicaciones desarrolladas por el usuario para garantizar el procesamiento correcto. Estos controles deberían incluir lavalidación de los datos de entrada, del procesamiento interno y de los datos de salida.
Se pueden necesitar controles adicionales para los sistemas que procesan o tienen impacto en la información sensible, de valor o critica. Dichos controles se deberían determinar con base en los requisitos de seguridad y en la evaluación de riesgos.
12.3 Controles Criptograficos
Objetivo: proteger laconfidencialidad, autenticidad o integridad de la información, por medios criptográficos.
Se debería desarrollar una política sobre el uso de los controles criptográficos y establecer una gestión de claves para dar soporte al empleo de técnicas criptográficas.
12.4 Seguridad de los archivos de sistema
Objetivo: garantizar la seguridad de los archivos del sistema.
Los accesos a los archivos delsistema y al código fuente del programa deberían estar protegidos, y los proyectos de tecnología de la información y las actividades de soporte se deberían efectuar de forma segura. Se debería tener cuidado para evitar la exposición de datos sensibles en los entornos de prueba.
12.5 Seguridad en los procesos de desarrollo y soporte.
Objetivo: mantener la seguridad del software y de lainformación dél sistema de aplicaciones.
Los entornos de soporte y de desarrollo deberían estar estrictamente controlados.
Los directores responsables de los sistemas de aplicación también deberían ser responsables de la seguridad del entorno del proyecto o del soporte. Ellos deberian garantizar que todos los cambios propuestos en el sistema se revisan para comprobar que no ponen en peligro laseguridad del sistema ni del entorno operativo.
12.6 Gestión de la vulnerabilidad técnica.
Objetivo: reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas.
La gestión de la vulnerabilidad técnica se debería implementar de forma eficaz, sistemática y repetible con toma de mediciones para confirmar su eficacia. Estas consideraciones deberían incluir a lossistemas operativos y otras aplicaciones en uso.
Sintetizando, este es el objetivo que persigue la Norma con este Dominio
Todos los sistemas de procesamiento de información, infraestructura, desarrollos, aplicaciones, archivos, procesos de desarrollo y mantenimiento de sistemas de información de la Organizacion deben ser controlados y tener una adecuada seguridad.
Profundizando en los...
Leer documento completo
Regístrate para leer el documento completo.