Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CONTENIDO
Porqué Obtener un Manual de
Seguridad de TI
Qué es un SGSI
Organización
Modelo de Gestión de la Seguridad
Entregables
Estrategia BIA
Beneficios
(7 Objetivo, 25 Controles)
(5 Objetivo, 18 Controles)
(2 Objetivo, 5 Controles)
Control de acceso
(1 Objetivo, 2 Controles)
Comunicaciones
Mantenimiento
Y operaciones
De sistemas
(1 Objetivo, 5 Controles)
Seguridad del personal Seguridad física
(3 Objetivo, 9 Controles) (2 Objetivo, 13 Controles)
Seguridad física
Organización de la Seguridad legal
Seguridad de la información
conformidad
Compromiso de la
Dirección
Identificación de
riesgos en el acceso
Coordinación de la Seg de terceros
Establece la estructura
Responsables de organizativa (terceros,
Seguridad
responsables, comités,
Autorización para colaboraciones, etc.) y su Tratamiento de seguridad
procesar la información funcionamiento de cara a En relación con los clientes
gestionar la seguridad de la
Acuerdo confidencialidad información
Contacto autoridades
Tratamiento de seguridad
Grupo especial de interés En contratos con terceros
Revisión independiente
De la seguridad de la
información
Etiquetado y
manipulado de la
información
Uso aceptable de
los activos
Responsabilidad del
Responsabilidades cese o cambio
Funciones y
de la
responsabilidades
dirección
Devolución de activos
Concienciación,
Investigación de
formación
antecedentes
y capacitación
Retiro de los derechos
de acceso
Términos y Procesos
condiciones disciplinarios
Emplazamiento y
Perímetro de Protección equipos
Seguridad física
Instalaciones
Controles físicos suministros
de entrada Incluye las medidas de
seguridad física (edificios, Seguridad cableado
Seguridad oficinas, salas, cableado, armarios,
despachos e insta. etc.) que se deben tomar para Mantenimiento
de equipos
proteger los sistemas y la
Protección amenazas información
Externas de Seguridad equipos
origen ambiental fuera de la oficina
Segregación de
tareas y
Determina las medidas de Gestión de
capacidades
responsabilidades seguridad que la organización
debe contemplar en sus
operaciones y en el uso de las
Separación de Aceptación del
Ambientes (desarrollo,
comunicaciones
Sistema
Prueba y operación)
Gestión de soportes
extraíbles Políticas y
Copias de seguridad de procedimiento
La información Intercambio de informac.
Retirada de soportes
Acuerdos de cambio
Seguridad de Procedimientos de
Redes Manipulación de la info.
Seguridad de los
Mensajería
Servicios de red Determina las medidas de Electrónica
seguridad que la organización
debe contemplar en sus
Sistemas de información
operaciones y en el uso de las empresariales
comunicaciones
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 10: Gestión de comunicaciones y operaciones CIT
Supervisión
Servicios de
Comercio electrónico Registro de
Auditorias
Protección de la
Información registros
Transacciones en línea
Registros administración
y operación
Información pública
Registro de fallos
Sincronización de reloj
Política
Política control Uso de
acceso passwords Routing
Equipos Identificación de
desatendidos equipos de red
Gestión de
Acceso usuarios Puesto de trabajo Diagnostico remoto
despejado y Protección puertos
pantalla limpia configuración
Registro Segregación de
redes
Establece las medidas de
Privilegios Segregación
control de acceso a la de redes
Passwords información a los distintos Control de
niveles en los que se conexión
Revisión
Derechos puede plantear Control de
routing
Desconexión
Automática de sesión
Limitación tiempo
conexión
Responsabilidades y
Notificación eventos Procedimientos
Aprendizaje de los
Incidentes de seguridad
Notificación puntos
Débiles de la seguridad
Recopilación de
evidencias
Inclusión de la seguridad
de la información en
el proceso de gestión de
continuidad del negocio
Desarrollo e implantación
de planes de continuidad
que incluyan seguridad de
la información
Pruebas, mantenimiento y
Reevaluación de planes de
continuidad
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al
desarrollo de los aplicativos que utiliza en sus operaciones
Consulting Information Technology CIT
Estructura Manual de Políticas de
Seguridad de TI CIT
I. PRESENTACIÓN
II. OBJETIVO
III. MISIÓN
IV. VISIÓN
V. SEGURIDAD ORGANIZACIONAL
A. Organización Interna
A.1. Coordinación de Seguridad de la Información
B. Seguridad de Accesos a Terceros
B.1. Identificación de riesgos derivados del acceso a terceros
B.2. Tratamiento de seguridad en el contrato de terceros
VI. GESTION DE ACTIVOS
A. Responsabilidad sobre los Activos
A.1. Inventario de Activos
VII. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
A. Antes del empleo
A.1. Términos y condiciones de contratación
B. Durante el empleo
B.1. Reglamento interno
C. Cese del empleo
C.1. Devolución de activos
VIII. SEGURIDAD FÍSICA Y DEL ENTORNO
A. Áreas seguras
A.1. Perímetros de seguridad física
A.2. Controles físicos de entrada
A.3. Seguridad del cuarto de servidores
A.4. Control físico de proveedores
Consulting Information Technology CIT
Estructura Manual de Políticas de
Seguridad de TI CIT
VIII. SEGURIDAD FÍSICA Y DEL ENTORNO
B. Seguridad del equipo
B.1. Emplazamiento y protección de equipos
B.2. Baterías
B.3. Mantenimiento de los equipos
B.4. Seguridad del equipo fuera de la empresa
B.5. Disposición de seguridad de equipos para nuevos usuarios
B.6. Préstamos temporales de equipos
IX: GESTION DE COMUNICACIONES Y OPERACIONES
A. Gestión de cambios
A.1. Cambios urgentes a base de datos y aplicaciones en ambiente de producción
A.2. Cambios planeados al sistema y actualización de versiones
B. Protección contra código malicioso y descargable
B.1. Control de seguridad antivirus
C. Copias de Seguridad
C.1. Respaldo de servidores en los ambientes de producción
C.2. Respaldo del servidor de correo electrónico
C.3. Administración de dispositivos de respaldo
C.4. Administración de dispositivos que ya no son requeridos
C.5. Almacenamiento de información
C.6. Control de acceso a la información
XIV. ANEXOS
o Políticas de Seguridad
o Alcance de un SGSI
o Análisis de riesgos
o Selección de controles HACER
VERIFICAR
■
ISO/IEC 27002
■ :2005
ISO/IEC 17799
:2005
Apoyo gerencial
Necesitamos la
La Seguridad es un proceso, artillería correcta
Equipo Sólido
No un producto
¿Preguntas?
Alianzas
Estratégicas