iso 27001
Páginas: 2 (358 palabras)
Publicado: 21 de enero de 2015
“Análisis de la ISO 27001:2005”
- “ISO-27001: Los Controles (Parte I)”
Sistema de Gestión de la Seguridad de la Información (SGSI), y de esta forma preparar el camino para una certificación enel estándar ISO 27001, que como ya se mencionó en los artículos anteriores, se aprecia, será uno de los pilares fundamentales para definir la “Calidad” con que se adoptan y gestionan acciones ymedidas de seguridad sobre los recursos de una empresa.
A.11 Control de accesos
No se debe confundir la actividad de control de accesos con autenticación, esta última tiene por misión identificar queverdaderamente “sea, quien dice ser”. El control de acceso es posterior a la autenticación y debe regular que el usuario autenticado, acceda únicamente a los recursos sobre los cuales tenga derecho y aningún otro, es decir que tiene dos tareas derivadas:
• Encauzar (o enjaular) al usuario debidamente.
• Verificar el desvío de cualquier acceso, fuera de lo correcto.
Para cumplir con estepropósito, este apartado lo hace a través de veinticinco controles, que los agrupa de la siguiente forma:
- Requerimientos de negocio para el control de accesos: Debe existir una Política de Controlde accesos documentada, periódicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo.
- Administración de accesos de usuarios: Tiene como objetivoasegurar el correcto acceso y prevenir el no autorizado, exige llevar un procedimiento de registro y revocación de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada unode ellos, realizando periódicas revisiones a intervalos regulares.
- Responsabilidades de usuarios: Todo usuario dentro de la organización debe tener documentadas sus obligaciones dentro de laseguridad de la información de la empresa. Independientemente de su jerarquía, siempre tendrá alguna responsabilidad a partir del momento que tenga acceso a la información. Evidentemente existirán...
- “ISO-27001: Los Controles (Parte I)”
Sistema de Gestión de la Seguridad de la Información (SGSI), y de esta forma preparar el camino para una certificación enel estándar ISO 27001, que como ya se mencionó en los artículos anteriores, se aprecia, será uno de los pilares fundamentales para definir la “Calidad” con que se adoptan y gestionan acciones ymedidas de seguridad sobre los recursos de una empresa.
A.11 Control de accesos
No se debe confundir la actividad de control de accesos con autenticación, esta última tiene por misión identificar queverdaderamente “sea, quien dice ser”. El control de acceso es posterior a la autenticación y debe regular que el usuario autenticado, acceda únicamente a los recursos sobre los cuales tenga derecho y aningún otro, es decir que tiene dos tareas derivadas:
• Encauzar (o enjaular) al usuario debidamente.
• Verificar el desvío de cualquier acceso, fuera de lo correcto.
Para cumplir con estepropósito, este apartado lo hace a través de veinticinco controles, que los agrupa de la siguiente forma:
- Requerimientos de negocio para el control de accesos: Debe existir una Política de Controlde accesos documentada, periódicamente revisada y basada en los niveles de seguridad que determine el nivel de riesgo de cada activo.
- Administración de accesos de usuarios: Tiene como objetivoasegurar el correcto acceso y prevenir el no autorizado, exige llevar un procedimiento de registro y revocación de usuarios, una adecuada administración de los privilegios y de las contraseñas de cada unode ellos, realizando periódicas revisiones a intervalos regulares.
- Responsabilidades de usuarios: Todo usuario dentro de la organización debe tener documentadas sus obligaciones dentro de laseguridad de la información de la empresa. Independientemente de su jerarquía, siempre tendrá alguna responsabilidad a partir del momento que tenga acceso a la información. Evidentemente existirán...
Leer documento completo
Regístrate para leer el documento completo.