ISO 27002 control de accesos
Páginas: 13 (3078 palabras)
Publicado: 7 de septiembre de 2014
1. Introducción
En la actualidad, las organizaciones están cada vez más dependientes de su Seguridad Informática, y un problema que afecte o vulnere su información, podría comprometer la continuidad de las operaciones. Es así que los procedimientos de las Políticas de Seguridad Informática emergen como instrumentos para concientizar sus miembros acerca de la sensibilidad de la información yservicios críticos, de la superación de fallas y de las debilidades de tal forma que permiten a la organización cumplir con su misión.
2. Requerimientos de negocio para el control de accesos
Se presenta como objetivo principal el controlar los accesos a la información, los recursos de tratamiento de la información y los procesos de negocio en base a lasnecesidades de seguridad y de negocio de la Organización.
Las regulaciones para el control de los accesos deberían considerar las políticas de distribución de la información y de autorizaciones.
Los propietarios de activos de información que son responsables ante la dirección de la protección "sus" activos deberían tener la capacidad de definir y/o aprobar las reglas de control de acceso y otroscontroles de seguridad. Asegúrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes.
2.1. Política de control de accesos
Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.
2.1.1. Áreas Seguras
2.1.1.1. Perímetro de seguridad física.
Los perímetros deseguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deberían utilizarse para proteger las áreas que contengan información y recursos para su procesamiento.
2.1.1.2. Controles físicos de entrada
Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso únicamente al personal autorizado.
2.1.1.3. Seguridadde oficinas, despachos y recursos
Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.
2.1.1.4. Protección contra amenazas externas y del entorno
Se debería designar y aplicar medidas de protección física contra incendio, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano.
2.1.1.5. El trabajo en áreas seguras
Sedebería diseñar y aplicar protección física y pautas para trabajar en las áreas seguras.
2.1.1.6. Áreas aisladas de carga y descarga
Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la información.
2.1.2. Seguridad de los equipos
2.1.2.1. Instalación y protección de equipos
Elequipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas del entorno, así como las oportunidades de acceso no autorizado.
2.1.2.2. Suministro eléctrico
Se deberían proteger los equipos contra fallos en el suministro de energía u otras anomalías eléctricas en los equipos de apoyo.
2.1.2.3. Seguridad del cableado
Se debería proteger el cableado de energía y detelecomunicaciones que transporten datos o soporten servicios de información contra posibles interceptaciones o daños.
2.1.2.4. Mantenimiento de equipos
Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.
2.1.2.5. Seguridad de equipos fuera de los locales de la Organización
Se debería aplicar seguridad a los equipos que se encuentranfuera de los locales de la organización considerando los diversos riesgos a los que están expuestos.
2.1.2.6. Seguridad en la reutilización o eliminación de equipos
Debería revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la...
En la actualidad, las organizaciones están cada vez más dependientes de su Seguridad Informática, y un problema que afecte o vulnere su información, podría comprometer la continuidad de las operaciones. Es así que los procedimientos de las Políticas de Seguridad Informática emergen como instrumentos para concientizar sus miembros acerca de la sensibilidad de la información yservicios críticos, de la superación de fallas y de las debilidades de tal forma que permiten a la organización cumplir con su misión.
2. Requerimientos de negocio para el control de accesos
Se presenta como objetivo principal el controlar los accesos a la información, los recursos de tratamiento de la información y los procesos de negocio en base a lasnecesidades de seguridad y de negocio de la Organización.
Las regulaciones para el control de los accesos deberían considerar las políticas de distribución de la información y de autorizaciones.
Los propietarios de activos de información que son responsables ante la dirección de la protección "sus" activos deberían tener la capacidad de definir y/o aprobar las reglas de control de acceso y otroscontroles de seguridad. Asegúrese de que se les responsabiliza de incumplimientos, no conformidades y otros incidentes.
2.1. Política de control de accesos
Se debería establecer, documentar y revisar una política de control de accesos en base a las necesidades de seguridad y de negocio de la Organización.
2.1.1. Áreas Seguras
2.1.1.1. Perímetro de seguridad física.
Los perímetros deseguridad (como paredes, tarjetas de control de entrada a puertas o un puesto manual de recepción) deberían utilizarse para proteger las áreas que contengan información y recursos para su procesamiento.
2.1.1.2. Controles físicos de entrada
Las áreas de seguridad deberían estar protegidas por controles de entrada adecuados que garanticen el acceso únicamente al personal autorizado.
2.1.1.3. Seguridadde oficinas, despachos y recursos
Se debería asignar y aplicar la seguridad física para oficinas, despachos y recursos.
2.1.1.4. Protección contra amenazas externas y del entorno
Se debería designar y aplicar medidas de protección física contra incendio, inundación, terremoto, explosión, malestar civil y otras formas de desastre natural o humano.
2.1.1.5. El trabajo en áreas seguras
Sedebería diseñar y aplicar protección física y pautas para trabajar en las áreas seguras.
2.1.1.6. Áreas aisladas de carga y descarga
Se deberían controlar las áreas de carga y descarga con objeto de evitar accesos no autorizados y, si es posible, aislarlas de los recursos para el tratamiento de la información.
2.1.2. Seguridad de los equipos
2.1.2.1. Instalación y protección de equipos
Elequipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas del entorno, así como las oportunidades de acceso no autorizado.
2.1.2.2. Suministro eléctrico
Se deberían proteger los equipos contra fallos en el suministro de energía u otras anomalías eléctricas en los equipos de apoyo.
2.1.2.3. Seguridad del cableado
Se debería proteger el cableado de energía y detelecomunicaciones que transporten datos o soporten servicios de información contra posibles interceptaciones o daños.
2.1.2.4. Mantenimiento de equipos
Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.
2.1.2.5. Seguridad de equipos fuera de los locales de la Organización
Se debería aplicar seguridad a los equipos que se encuentranfuera de los locales de la organización considerando los diversos riesgos a los que están expuestos.
2.1.2.6. Seguridad en la reutilización o eliminación de equipos
Debería revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la...
Leer documento completo
Regístrate para leer el documento completo.