Riesgos De Seguridad
Páginas: 9 (2002 palabras)
Publicado: 8 de septiembre de 2011
Sesión 17 – Controles de Seguridad Basados en el ISO 17799
El ISO 17799 establece pautas y principios generales para iniciar, implementar, mantener, y mejorar la administración de la seguridad de la información en una organización. Los objetivos descritos en este estándar internacional proporcionan guías generales en materia de administración de la seguridad de la información. Los objetivosdel control y los controles de este estándar internacional están diseñados para ser implementados y cumplir con los requerimientos identificados por un análisis de riesgos. Este estándar internacional puede servir como una guía práctica para desarrollar estándares de seguridad en la organización y prácticas efectivas sobre administración de la seguridad. El ISO 17799 está conformado por oncedominios y ciento treinta y tres controles de seguridad agrupados en treinta y nueve categorías. Los once dominios son: 1. Política de seguridad. 2. Organización de seguridad de información. 3. Administración de activos. 4. Seguridad del recurso humano. 5. Seguridad física y ambiental. 6. Administración de las operaciones y comunicaciones. 7. Control de acceso. 8. Adquisición, desarrollo y mantenimientode sistemas de información. 9. Manejo de incidentes. 10. Administración de la continuidad del negocio. 11. Cumplimiento regulatorio.
1. Política de seguridad Es una declaración general que dicta el rol que jugará la organización en materia de seguridad de la información.
Establece los alcances y responsabilidades generales de la organización (la dirección y los empleados) en esta materia.Puede llegar a describir como la organización cumple con las leyes y regulaciones externas. Puede incluir incluso los niveles de riesgos que la organización está dispuesta a aceptar. Y los objetivos de Seguridad de Información de la compañía a corto, mediano y largo plazo. Es generada por el comité de seguridad y autorizada por la dirección general. La política se debe revisar a intervalosplaneados o en caso de que existan cambios significativos. Normalmente la política de seguridad se considera un documento estático.
2. Organización de seguridad de información Debe existir un constante compromiso explícito de la dirección ante la seguridad de la información mediante la aprobación de recursos, políticas, normas, directrices, proyectos, programas de seguridad de información, etc. Sedeben definir claramente las responsabilidades en materia de seguridad de información a todos los niveles de la organización. Se deben manejar acuerdos de confidencialidad reflejando los requerimientos de la organización en relación a la protección de la información y los activos La organización debe mantener contacto con grupos de interés, foros, y dependencias importantes tales como bomberos,policía, etc. Se deben identificar los riesgos que tiene la organización por interactuar y hacer negocios con terceros (proveedores y clientes), además de identificar los controles de seguridad necesarios para mitigarlos. Los controles deben ser reflejados incluso en los contratos con los terceros.
3. Administración de Activos
La organización debe contar con un inventario de todos sus activos deinformación. Los activos de información deben tener un dueño y un custodio asociados. Se deben desarrollar e implementar guías de clasificación de información que estén basadas en el valor del activo, requerimientos legales, criticidad para la organización, etc. Los activos de información que sean clasificados deberán de ser etiquetados y manejados acorde a su clasificación.
4. Seguridad delrecurso humano La organización debe implementar controles de seguridad antes, durante y después de que el empleado ha dejado la compañía. Se debe considerar revisión de antecedentes penales sin olvidar las leyes y regulaciones vigentes en materia de privacidad de datos. Los contratos con terceros y con los empleados deben considerar responsabilidades en materia de seguridad de información, se...
El ISO 17799 establece pautas y principios generales para iniciar, implementar, mantener, y mejorar la administración de la seguridad de la información en una organización. Los objetivos descritos en este estándar internacional proporcionan guías generales en materia de administración de la seguridad de la información. Los objetivosdel control y los controles de este estándar internacional están diseñados para ser implementados y cumplir con los requerimientos identificados por un análisis de riesgos. Este estándar internacional puede servir como una guía práctica para desarrollar estándares de seguridad en la organización y prácticas efectivas sobre administración de la seguridad. El ISO 17799 está conformado por oncedominios y ciento treinta y tres controles de seguridad agrupados en treinta y nueve categorías. Los once dominios son: 1. Política de seguridad. 2. Organización de seguridad de información. 3. Administración de activos. 4. Seguridad del recurso humano. 5. Seguridad física y ambiental. 6. Administración de las operaciones y comunicaciones. 7. Control de acceso. 8. Adquisición, desarrollo y mantenimientode sistemas de información. 9. Manejo de incidentes. 10. Administración de la continuidad del negocio. 11. Cumplimiento regulatorio.
1. Política de seguridad Es una declaración general que dicta el rol que jugará la organización en materia de seguridad de la información.
Establece los alcances y responsabilidades generales de la organización (la dirección y los empleados) en esta materia.Puede llegar a describir como la organización cumple con las leyes y regulaciones externas. Puede incluir incluso los niveles de riesgos que la organización está dispuesta a aceptar. Y los objetivos de Seguridad de Información de la compañía a corto, mediano y largo plazo. Es generada por el comité de seguridad y autorizada por la dirección general. La política se debe revisar a intervalosplaneados o en caso de que existan cambios significativos. Normalmente la política de seguridad se considera un documento estático.
2. Organización de seguridad de información Debe existir un constante compromiso explícito de la dirección ante la seguridad de la información mediante la aprobación de recursos, políticas, normas, directrices, proyectos, programas de seguridad de información, etc. Sedeben definir claramente las responsabilidades en materia de seguridad de información a todos los niveles de la organización. Se deben manejar acuerdos de confidencialidad reflejando los requerimientos de la organización en relación a la protección de la información y los activos La organización debe mantener contacto con grupos de interés, foros, y dependencias importantes tales como bomberos,policía, etc. Se deben identificar los riesgos que tiene la organización por interactuar y hacer negocios con terceros (proveedores y clientes), además de identificar los controles de seguridad necesarios para mitigarlos. Los controles deben ser reflejados incluso en los contratos con los terceros.
3. Administración de Activos
La organización debe contar con un inventario de todos sus activos deinformación. Los activos de información deben tener un dueño y un custodio asociados. Se deben desarrollar e implementar guías de clasificación de información que estén basadas en el valor del activo, requerimientos legales, criticidad para la organización, etc. Los activos de información que sean clasificados deberán de ser etiquetados y manejados acorde a su clasificación.
4. Seguridad delrecurso humano La organización debe implementar controles de seguridad antes, durante y después de que el empleado ha dejado la compañía. Se debe considerar revisión de antecedentes penales sin olvidar las leyes y regulaciones vigentes en materia de privacidad de datos. Los contratos con terceros y con los empleados deben considerar responsabilidades en materia de seguridad de información, se...
Leer documento completo
Regístrate para leer el documento completo.