AO DE LA INVERSIN PARA EL DESARROLLO RURAL Y LA SEGURIDAD ALIMENTARIA INSTITUTO SUPERIOR DE EDUCACIN PBLICA 13 DE JULIO DE 1882

CARRERA TCNICA

: COMPUTACIN E INFORMTICA

MDULO

: SEGURIDAD INFORMTICA

TRABAJO

: EJEMPLOS DE LOS 11 DOMINIOS ISO

DOCENTE

: Lic. ROLANDO CARO DAMIN

ALUMNO

: MANUEL TERN SNCHEZ

CICLO

:I

San Pablo, 09 de junio del 2013

1.- Polticas de seguridad Ejemplos: -instalacin de cmaras de seguridad -Debe haber un registro en la entrada -controles cuales quiera de proteccin fsica requerida. -Cuando se trata de clientes se debe tener restricciones en la copia o divulgacin de la informacin. -Loa controles necesarios para proteger la informacin que no debe setr accesible a terceros. - se tiene que recibir alertas de deteccin temprana, advertencias y parches para evitar los ataques y la vulnerabilidad. 2.-Aspectos organizativos para la seguridad Ejemplos. - Debe haber una descripcin de cada servicio a ser disponible. - Se debe dar las respectivas responsabilidades de la organizacin y de los clientes. -Las responsabilidades en materia de organizacin por ejemplo sobre proteccin de datos personales, teniendo especialmente en cuenta los diferentes sistemas legales nacionales. -Es recomendable disponer de la asesora de un especialista de seguridad (para propsitos de evaluacin o de investigacin de incidentes. -Se deben establecer procesos de autorizacin para nuevas facilidades de procesamiento de la informacin -Deben ser claramente definidas las responsabilidades para la proteccin de activos de informacin o fsicos y procesos de seguridad -Un requerimiento para mantener una lista de individuos autorizados a usar el servicio que hea sido disponible y cual son sus derechos y privilegios respectivos a su uso. -La organizacin de la seguridad de la informacin se puede dar de dos formas: organizacin interna y organizacin con respecto a terceros.

-Organizacin interna: se tiene como objetivo manejar la seguridad de la informacin dentro de la organizacin. -Organizacin con respecto a terceros: La organizacin en materia de seguridad de la informacin debe tambin considerarse respecto a terceros. El objetivo de esto es mantener la seguridad de la informacin y los medios de procesamiento de informacinde la organizacin que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar por la identificacin de los riesgos relacionados con los grupos externos. Se debe estudiar cmo a raz de procesos comerciales que involucran a grupos externos se les puede estar otorgando acceso que afecte la seguridad. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la informacin.

3.-Clasificacin y control de activos Ejemplos. -Clasificar la informacin es una prioridad de la empresa, recuerden que la informacin es el activo ms valioso que tenemos, si se pierde tendremos muchos problemas y no solo eso sino perdida de dinero. Toda informacin debe ser clasificada y tener medidas preventivas para aquellas que son de un nivel crtico, puesto que es informacin que si se llegara a perder costara mucho tiempo en recuperarla por los tiempos de anlisis y desarrollo que se debera invertir. Controles a la informacin deben tomar en cuenta las necesidades del negocio para compartir o restringir informacin. La responsabilidad de definir la clasificacin de un tem de informacin debe permanecer con la persona nombrada como duea de la informacin. 4.- seguridad de recursos humanos Ejemplos. -Se hace con el fin de reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades. Se debe firmar un acuerdo de confidencialidad es decir que la informacin debe ser secreta

-Los usuarios debern reportar cualquier debilidad de seguriad observada o sospechosa que tengan de los sistemas o servicios. -Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes. 5.-Seguridad fsica y del entorno Ejemplos. -Se debe tener equipos como UPS y bateras que permiten tener tiempo para apagar las maquinas en caso de apagones. -El cableado de red estn funcionando adecuadamente , para un mejor servicio. Los elementos que forman parte del procesamiento de informacin sensitiva o crtica del negocio debern ser resguardados y protegidos por un permetro de seguridad definido con controles apropiados de entrada. Los equipos deben ser protegidos de cadas de electricidad y otras anomalas elctricas 6.-Gestin de comunicaciones y operaciones Deben establecerse criterios de aceptacin para nuevos sistemas de informacin, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptacin. Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento. Los Back-ups se deben proteger fsicamente y contra las condiciones del ambiente . Se deben definir procedimientos para la proteccin de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado. Hacer copias en forma regular de la informacin esencial del negocio y del software Se debe tener cuidado que nadie pueda tener acceso, modificar o utilizar los activos sin autorizacin o deteccin. -Debe haber un continuo monitoreo para detectar actividades de procesamiento de informacin no autorizadas. Las auditoras son tambin necesarias. -Las fallas deben ser inmediatamente corregidas, pero tambin registradas y analizadas para que sirvan en la toma de decisiones y para realizar acciones necesarias.

7. Controles de Acceso. -Se debe tener en cuenta controles de acceso interno, verificando cuando un trabajador se encuentra en su trabajo y externo por ejemplo en la portera. -Prevenir el acceso no autorizado a Sistemas de Informacin. -Deben existir procedimientos formales para el registro y eliminacin de usuarios. -Usuarios deben seguir buenas prcticas de seguridad en la seleccin y uso de passwords. -Se debe controlar el acceso a servicios internos y externos de la red -Las reglas y derechos para el control de acceso de usuarios o grupos de usuarios deben estar bien claras en un documento de polticas de acceso -Se debe contar con una poltica de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al mximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestin de privilegios, autenticacin mediante usuarios y contraseas, etc. -Los usuarios deben asegurar que el equipo desatendido tenga la proteccin apropiada, como por ejemplo la activacin automtica de un protector de pantalla despus de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contrasea conocida por quien estaba autorizado para utilizar la mquina desatendida. -Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la informacin. Para todo esto deben existir registros. -Deben existir polticas que contemplen adecuadamente aspectos de comunicacin mvil, redes inalmbricas, control de acceso a ordenadores porttiles, en caso que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la organizacin.

8.-Adquisicin, desarrollo y mantenimiento de los sistemas EJEMPLOS -Se debe tener seguridad en las aplicaciones para prevenir la prdida, modificacin, o mal uso de los datos en las aplicaciones

-Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura -Garantizar que la seguridad sea una parte integral de los sistemas de informacin.

- Prevenir errores, perdida, modificacin no autorizada o mal uso de la informacin en las aplicaciones.

- Proteger la confidencialidad, autenticidad o integridad a travs de medios criptogrficos. l

Mantener

la

seguridad

del

software

la

informacin

del

sistema

de

aplicacin.

- Reducir los riesgos resultantes de la explotacin de las vulnerabilidades tcnicas publicadas. -Deben establecerse procedimientos para el control de la instalacin del software en los sistemas operacionales. Con esto por ejemplo se evita el riesgo de realizar instalaciones ilegales o sin las respectivas licencias. -Se debe restringir el acceso al cdigo fuente para evitar robos, alteraciones, o la aplicacin de ingeniera inversa por parte de personas no autorizadas, o para evitar en general cualquier tipo de dao a la propiedad de cdigo fuente con que se cuente. -La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios, revisiones tcnicas de aplicaciones tras efectuar cambios en el sistema operativo y tambin restricciones a los cambios en los paquetes de software. No se tiene que permitir la fuga ni la filtracin de informacin no requerida. 9.- Gestin de incidentes de la seguridad de la informacin EJEMPLOS -En una ocurrencia identificada de un estado de un sistema, servicio o red que indica que una posible violacin de la poltica de seguridad de la informacin, la falla de medidas de seguridad o una situacin previamente desconocida, que pueda ser relevante para la seguridad. -Un incidente de seguridad de la informacin es indicado por un nico o una serie de eventos indeseados o inesperados de seguridad de la informacin que tienen una probabilidad significativa de comprometer las operaciones de negocio y de amenazar la seguridad de la informacin disponerlos recursos necesarios a fin de brindar una apropiada gestin de los incidentes de seguridad de la informacin, mediante la designacin de un equipo responsable por la gestin de incidentes de seguridad de la informacin. Tambin es un incidente de seguridad un evento que compromete la seguridad de un sistema (confidencialidad, integridad y disponibilidad).

Un incidente puede ser denunciado por los involucrados, o indicado por un nico o una serie de eventos de seguridad informtica Como ejemplos de incidentes de seguridad podemos enumerar: -Acceso no autorizado

-Robo de contraseas

-Robo de informacin

-Denegacin de servicio 10.-Gestin de continuidad del negocio Ejemplo -En caso de guerras, bombas atmicas, o cualquier otro desatres graves se debe proteger los sistemas de informacin Actuar ante interrupciones de las actividades del Negocio y proteger procesos crticos del negocio de los efectos de fallas o desastres considerables. Se deben probar con frecuencia los Planes de Continuidad . -Contrarrestar las interrupciones en las actividades de negocio y proteger sus procesos crticos contra desastres y fallas mayores en los sistemas de informacin, as como de sus efectos. Asegurando su restablecimiento oportuna 11.- Cumplimiento. Procedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual. -Se deben definir explcitamente, documentar y actualizar todos los requerimientos legales para cada sistema de informacin y para la organizacin en general. -Es necesario implementar los procedimientos apropiados para asegurar el cumplimiento de los requerimientos legislativos, reguladores y contractuales sobre el uso del material con respecto a los cuales puedan existir derechos de propiedad intelectual y sobre el uso de productos de software patentado.

-El cumplimiento de los requisitos legales se aplica tambin a la proteccin de los documentos de la organizacin, proteccin de datos y privacidad de la informacin personal, prevencin del uso indebido de los recursos de tratamiento de la informacin, y a regulaciones de los controles criptogrficos. -Los sistemas de informacin deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estndares de implementacin de la seguridad. -En cuanto a las auditoras de los sistemas de informacin, se tiene que maximizar la efectividad de y minimizar la interferencia desde/hacia el proceso de auditora del sistema de informacin. Durante las auditoras de los sistemas de informacin deben existir controles para salvaguardar los sistemas operacionales y herramientas de auditora. Tambin se requiere proteccin para salvaguardar la integridad y evitar el mal uso de las herramientas de auditora. -Las actividades y requerimientos de auditora que involucran chequeos de los sistemas operacionales deben ser planeados y acordados cuidadosamente para minimizar el riesgo de interrupciones en los procesos comerciales.