Académique Documents
Professionnel Documents
Culture Documents
de Acapulco
Ingeniera en Sistemas
Computacionales
Seguridad en Tecnologas de la
Informacin
Profesor: Dr. Eduardo de la Cruz Gmez
Alumno: Carlos Alberto Garca Garca
Trabajo:
H o r a r i o : 11:00 am 12:00 pm
05/03/2015
NDICE
Introduccin...............................................................................................................3
2.1 Evaluacin de Riesgos........................................................................................5
Introduccin
Qu es ISO?
Esto
multiplica
la
cantidad
de
amenazas
otras acciones que hagan que la informacin pueda ser accedida slo por aquellas
personas que estn debidamente autorizadas para hacerlo.
Es importante y necesario para las empresas realizar una evaluacin de riesgos
para identificar amenazas para los activos, as como tambin para conocer y
analizar la vulnerabilidad y la probabilidad de ocurrencia de accesos, robo o
alteracin de la informacin, y el impacto potencial que esto llegara a tener. Una
vez se hayan identificado los riesgos, se procede a seleccionar controles
apropiados a implementar para asegurar que los riesgos se reduzcan a un nivel
aceptable.
El
documento
del
Estndar
Internacional
ISO/IEC
27002,
despus
de
dao
prdida
de
informacin
se
minimicen
al
mximo.
a) Poltica de seguridad.
c) Gestin de activos.
g) Control de acceso.
k) Cumplimiento
bienestar
de clientes y
Mtricas asociadas
Nmero de cuestiones o recomendaciones de cumplimiento legal, agrupadas y
analizadas por su estado (cerradas, abiertas, nuevas, retrasadas) e importancia o
nivel de riesgo (alto, medio o bajo).
Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de
otra forma admisible, han sido considerados conformes.
Revisiones de la seguridad de la informacin
Se deberan realizar revisiones regulares de la seguridad de los sistemas de
informacin.
Las revisiones se deberan realizar segn las polticas de seguridad apropiadas y
las plataformas tcnicas y sistemas de informacin deberan ser auditados para el
cumplimiento de los estndares adecuados de implantacin de la seguridad y
controles de seguridad documentados.
Alinee los procesos de auto-evaluacin de controles de seguridad con las autoevaluaciones de gobierno corporativo, cumplimiento legal y regulador, etc.,
complementados por revisiones de la direccin y verificaciones externas de buen
funcionamiento.
Deberan existir controles para proteger los sistemas en activo y las herramientas
de auditora durante el desarrollo de las auditoras de los sistemas de informacin.
Invierta en auditora TI cualificada que utilice ISO 27001, COBIT, ITIL, CMM y
estndares y mtodos de buenas prcticas similares como referencias de
comparacin.
Examine ISO 19011 "Directrices para la auditora de los sistemas de gestin de la
calidad y/o ambiental" como fuente valiosa para la realizacin de auditoras
internas del SGSI.
Polticas de seguridad
Un documento denominado "poltica" es aquel que expresa una intencin e
instruccin global en la manera que formalmente ha sido expresada por la
Direccin de la organizacin.
El contenido de las polticas se basa en el contexto en el que opera una
organizacin y suelen ser considerados en su redaccin los fines y objetivos de la
organizacin, las estrategias adoptadas para alcanzar sus objetivos, la estructura
y los procesos adoptados por la organizacin, los objetivos generales y
especficos relacionados con el tema de la poltica y requisitos de las polticas
procedentes de niveles ms superiores (legales de obligado cumplimiento, del
sector al que pertenece la organizacin, de la propia organizacin de niveles
superiores
ms
amplios,
...)
relacionadas.
10
Mtricas asociadas
Cobertura de las polticas (es decir, porcentaje de secciones de ISO/IEC 27001/2
para las cuales se han especificado, escrito, aprobado y publicado polticas y sus
normas, procedimientos y directrices asociadas.
Grado de despliegue y adopcin de las polticas en la organizacin (medido por
auditora, gerencia o auto-evaluacin).
trabajo
mvil),
con
comentarios
sobre
incidentes
recientes/actuales,
Activos
fsicos:
equipamiento
informtico
(procesadores,
monitores,
medios
magnticos
(cintas,
discos,
dispositivos
mviles
de
15
18
Conclusin
Puedo concluir que la norma ISO/IEC 27002, es un documento que nos orienta en
el tema de seguridad, como es que se pude llevar a cabo dentro de una empresa y
que pasos son los que debemos de seguir para captar vulnerabilidades dentro del
sistema en donde nos encontremos trabajando.
Nos da informacin sobre las polticas y el tipo de organizacin que debe intervenir
dentro de una empresa para que el personal este consciente de las medidas que
se deben llevar a cabo, para no sufrir algn tipo de ataque.
19
Bibliografa
http://iso27000.es/iso27002.html
20