Ing sistemas
Páginas: 9 (2083 palabras)
Publicado: 25 de marzo de 2012
Norma ISO 27002
Introducción
¿Qué es la seguridad de la información?
Esta Norma ISO trata sobre la seguridad de la información, por lo cual se inicia con un breve concepto de este tipo de seguridad: Se entiende por Seguridad de Información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger lainformación buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.
¿Por qué es necesaria la seguridad de la Información?
La información desistema y procesos, forman parte del activo de la empresa. La definición, la mejora y el mantenimiento de la información son necesarios para mantener su competitividad, el flujo, rentabilidad, cumplimiento legal e imagen comercial.
Evaluación de los riesgos de la seguridad.
Los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. Los gastos en loscontroles se deben equilibrar frente a la probabilidad de daño para el negocio que resulta de las fallas en la seguridad.
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. CODIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.
Esta norma establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en unaorganización. Los objetivos sindicados en esta norma brindan una guía general sobre las metas aceptadas comúnmente para la gestión de la seguridad de la información.
Estructura de esta Norma
Esta norma contiene once secciones sobre controles de seguridad que en conjunto tienen un total de 39 categorías principales de seguridad y una sección de introducción a la evaluación y el tratamiento del riesgo.Tratamiento de los riesgos de la Seguridad
Antes de considerar el tratamiento de un riesgo, la organización debería decidir los criterios para determinar si se pueden aceptar o no los riesgos. Los riesgos se pueden aceptar si, por ejemplo, según la
Evaluación se considera el riesgo bajo o que el costo del tratamiento no es efectivo en términos financieros para la organización. Tales decisiones sedeberían registrar. Para cada uno de los riesgos identificados después de la evaluación de riesgos es necesario tomar una decisión para su tratamiento. Las opciones posibles para el tratamiento del riesgo incluyen:
a) aplicación de los controles apropiados para reducir los riesgos;
b) aceptación objetiva y con conocimiento de los riesgos, siempre y cuando ellos satisfagan la política de laorganización y sus criterios para la aceptación del riesgo;
c) evitación de los riesgos al no permitir acciones que pudieran hacer que éstos se presentaran;
d) transferencia de riesgos asociados a otras partes, por ejemplo aseguradores proveedores
Políticas de Seguridad
Objetivo:
Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con losrequisitos del negocio y los reglamentos y Ias leyes pertinentes. Las directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de seguridad de la información en toda la Organización.
Control de la Seguridad de la Información
Lasactividades de la seguridad de la información deberían ser coordinadas por los representantes de todas las partes de la organización con roles y funciones laborales pertinentes.
Asignación de Responsabilidades para la seguridad de la información
Se deberían definir claramente todas las responsabilidades en cuanto a seguridad de la información.
Los individuos con responsabilidades de seguridad asignadas...
Introducción
¿Qué es la seguridad de la información?
Esta Norma ISO trata sobre la seguridad de la información, por lo cual se inicia con un breve concepto de este tipo de seguridad: Se entiende por Seguridad de Información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger lainformación buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.
¿Por qué es necesaria la seguridad de la Información?
La información desistema y procesos, forman parte del activo de la empresa. La definición, la mejora y el mantenimiento de la información son necesarios para mantener su competitividad, el flujo, rentabilidad, cumplimiento legal e imagen comercial.
Evaluación de los riesgos de la seguridad.
Los requisitos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. Los gastos en loscontroles se deben equilibrar frente a la probabilidad de daño para el negocio que resulta de las fallas en la seguridad.
TECNOLOGÍA DE LA INFORMACIÓN.
TÉCNICAS DE SEGURIDAD. CODIGO DE PRÁCTICA PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.
Esta norma establece directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en unaorganización. Los objetivos sindicados en esta norma brindan una guía general sobre las metas aceptadas comúnmente para la gestión de la seguridad de la información.
Estructura de esta Norma
Esta norma contiene once secciones sobre controles de seguridad que en conjunto tienen un total de 39 categorías principales de seguridad y una sección de introducción a la evaluación y el tratamiento del riesgo.Tratamiento de los riesgos de la Seguridad
Antes de considerar el tratamiento de un riesgo, la organización debería decidir los criterios para determinar si se pueden aceptar o no los riesgos. Los riesgos se pueden aceptar si, por ejemplo, según la
Evaluación se considera el riesgo bajo o que el costo del tratamiento no es efectivo en términos financieros para la organización. Tales decisiones sedeberían registrar. Para cada uno de los riesgos identificados después de la evaluación de riesgos es necesario tomar una decisión para su tratamiento. Las opciones posibles para el tratamiento del riesgo incluyen:
a) aplicación de los controles apropiados para reducir los riesgos;
b) aceptación objetiva y con conocimiento de los riesgos, siempre y cuando ellos satisfagan la política de laorganización y sus criterios para la aceptación del riesgo;
c) evitación de los riesgos al no permitir acciones que pudieran hacer que éstos se presentaran;
d) transferencia de riesgos asociados a otras partes, por ejemplo aseguradores proveedores
Políticas de Seguridad
Objetivo:
Brindar apoyo y orientación a la dirección con respecto a la seguridad de la información, de acuerdo con losrequisitos del negocio y los reglamentos y Ias leyes pertinentes. Las directivas deberían establecer una dirección clara de la política según los objetivos del negocio y demostrar apoyo y compromiso con la seguridad de la información a través de la emisión y el mantenimiento de la política de seguridad de la información en toda la Organización.
Control de la Seguridad de la Información
Lasactividades de la seguridad de la información deberían ser coordinadas por los representantes de todas las partes de la organización con roles y funciones laborales pertinentes.
Asignación de Responsabilidades para la seguridad de la información
Se deberían definir claramente todas las responsabilidades en cuanto a seguridad de la información.
Los individuos con responsabilidades de seguridad asignadas...
Leer documento completo
Regístrate para leer el documento completo.