Guia Para Identificar Riesgos - Iso 17799
Páginas: 10 (2321 palabras)
Publicado: 28 de enero de 2013
GUIA PARA IDENTIFICAR RIESGOS INFORMÁTICOS EMPRESARIALES
Derechos Reservados
Autor: Lic. Luis Ricardo Roig del Alcázar
1. INTRODUCCION
Producto del proceso de globalización e internacionalización de las organizaciones, los gerentes de negocios, en todos los ámbitos, observan la necesidad implementar medidas de seguridad a susprincipales procesos empresariales y así, asegurar el cumplimiento de sus objetivos.
Sin embargo, no lograban establecer con seguridad, los necesarios controles internos que les permita contar con sistemas de información íntegros, confiables y disponibles; más aún, cuando una adecuada seguridad permite a los gerentes de negocios la mejor toma de decisiones empresariales.
Dentro de estecontexto, desde la publicación por parte de la Organización Internacional de Normas Técnicas (ISO, International Organization for Standarization) en el año 2000, la ISO 17799 surge como la norma técnica de mayor seguridad de la información y gestión organizacional.
La norma ISO 17799, sencillamente ofrece a cualquier organización, un conjunto de reglas específicas, establecidas en diezáreas de control siguientes:
▪ Política de seguridad
▪ Organización de la seguridad
▪ Control y clasificación de activos
▪ Seguridad del personal
▪ Seguridad física y ambiental
Administración de operaciones y comunicación
▪ Control de acceso
▪ Desarrollo y mantenimiento de los sistemas
▪ Continuidad del negocio
▪ Cumplimiento
Por ello,esta Guía tiene como objetivo apoyar en la identificación de los principales riesgos empresariales informáticos en cualquier organización, a fin de asegurar una adecuada toma de decisiones en la gestión de la seguridad informática.
2. PLANEAMIENTO
Para hacer una adecuada planeación de la seguridad informática en cualquier organización, hay que partir necesariamente del análisis quepermita identificar y dimensionar el conjunto de riesgos informáticos que atentan contra las áreas críticas de la organización.
Generalmente, las estrategias más utilizadas para la identificación de los riesgos informáticos en una determinada organización o área orgánica son las entrevistas basadas en cuestionarios y las visitas in-situ, a través de los cuales se identifican los riesgosinformáticos más críticos y se proponen los controles internos que permitan eliminarlos o minimizarlos, a un nivel que no afecte la confiabilidad y la continuidad del negocio.
Sin embargo, es necesario recordar que por Controles Internos se entiende a toda actividad, acción, medida, proceso, procedimiento, norma, etc., formalmente establecidos, y que toda Jefatura o responsabletiene la necesidad de implementar, bajo responsabilidad, a fin de proteger los recursos y activos que están bajo su disposición.
3. ESTRATEGIA
Esta Guía permite apoyarlo en identificar los riesgos informáticos en las áreas orgánicas de su empresa, a través de cuestionarios técnicos a ser respondidos por los Jefes o Responsables de dichas áreas. El conjunto de respuestas dadas alas preguntas del cuestionario mencionado, permitirá identificar las ausencias de los principales controles internos informáticos y sus niveles de criticidad que afectan a la organización.
Y con base en estas ausencias de controles detectados, las Jefaturas o responsables podrán identificar con mayor precisión los riesgos informáticos asociados y sus controles Internos necesarios quepermitirán proteger todos los recursos y activos bajo su responsabilidad.
Las actividades que se programarán para implantar formalmente los controles internos necesarios, deberán establecer un Plan de Superación de Riesgos para su organización, el cual deberá de tener la máxima prioridad de cumplimiento organizacional.
4. CARACTERÍSTICAS DEL CUESTIONARIO
El Cuestionario...
Derechos Reservados
Autor: Lic. Luis Ricardo Roig del Alcázar
1. INTRODUCCION
Producto del proceso de globalización e internacionalización de las organizaciones, los gerentes de negocios, en todos los ámbitos, observan la necesidad implementar medidas de seguridad a susprincipales procesos empresariales y así, asegurar el cumplimiento de sus objetivos.
Sin embargo, no lograban establecer con seguridad, los necesarios controles internos que les permita contar con sistemas de información íntegros, confiables y disponibles; más aún, cuando una adecuada seguridad permite a los gerentes de negocios la mejor toma de decisiones empresariales.
Dentro de estecontexto, desde la publicación por parte de la Organización Internacional de Normas Técnicas (ISO, International Organization for Standarization) en el año 2000, la ISO 17799 surge como la norma técnica de mayor seguridad de la información y gestión organizacional.
La norma ISO 17799, sencillamente ofrece a cualquier organización, un conjunto de reglas específicas, establecidas en diezáreas de control siguientes:
▪ Política de seguridad
▪ Organización de la seguridad
▪ Control y clasificación de activos
▪ Seguridad del personal
▪ Seguridad física y ambiental
Administración de operaciones y comunicación
▪ Control de acceso
▪ Desarrollo y mantenimiento de los sistemas
▪ Continuidad del negocio
▪ Cumplimiento
Por ello,esta Guía tiene como objetivo apoyar en la identificación de los principales riesgos empresariales informáticos en cualquier organización, a fin de asegurar una adecuada toma de decisiones en la gestión de la seguridad informática.
2. PLANEAMIENTO
Para hacer una adecuada planeación de la seguridad informática en cualquier organización, hay que partir necesariamente del análisis quepermita identificar y dimensionar el conjunto de riesgos informáticos que atentan contra las áreas críticas de la organización.
Generalmente, las estrategias más utilizadas para la identificación de los riesgos informáticos en una determinada organización o área orgánica son las entrevistas basadas en cuestionarios y las visitas in-situ, a través de los cuales se identifican los riesgosinformáticos más críticos y se proponen los controles internos que permitan eliminarlos o minimizarlos, a un nivel que no afecte la confiabilidad y la continuidad del negocio.
Sin embargo, es necesario recordar que por Controles Internos se entiende a toda actividad, acción, medida, proceso, procedimiento, norma, etc., formalmente establecidos, y que toda Jefatura o responsabletiene la necesidad de implementar, bajo responsabilidad, a fin de proteger los recursos y activos que están bajo su disposición.
3. ESTRATEGIA
Esta Guía permite apoyarlo en identificar los riesgos informáticos en las áreas orgánicas de su empresa, a través de cuestionarios técnicos a ser respondidos por los Jefes o Responsables de dichas áreas. El conjunto de respuestas dadas alas preguntas del cuestionario mencionado, permitirá identificar las ausencias de los principales controles internos informáticos y sus niveles de criticidad que afectan a la organización.
Y con base en estas ausencias de controles detectados, las Jefaturas o responsables podrán identificar con mayor precisión los riesgos informáticos asociados y sus controles Internos necesarios quepermitirán proteger todos los recursos y activos bajo su responsabilidad.
Las actividades que se programarán para implantar formalmente los controles internos necesarios, deberán establecer un Plan de Superación de Riesgos para su organización, el cual deberá de tener la máxima prioridad de cumplimiento organizacional.
4. CARACTERÍSTICAS DEL CUESTIONARIO
El Cuestionario...
Leer documento completo
Regístrate para leer el documento completo.