Scribd Logo
Carica

Benvenuto in Scribd!

  • Clase 3

    Caricato da

    luis villacorta
    21 visualizzazioni4 pagine
    Este documento resume varios temas relacionados con la seguridad de la información y la norma ISO 27001. Incluye una lista de páginas y temas a revisar, una lista de verificación, y consideraciones sobre la delegación, políticas y mantenimiento. También cubre el control de accesos, la colocación de datacenters y la compra de hardware. Explica brevemente los pasos de la norma ISO 27001, incluyendo la evaluación y gestión de riesgos, y los controles físicos, técnicos y organizacionales. Finalmente,

    Descrizione originale:

    Titolo originale

    CLASE 3

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Este documento resume varios temas relacionados con la seguridad de la información y la norma ISO 27001. Incluye una lista de páginas y temas a revisar, una lista de verificación, y consideraciones sobre la delegación, políticas y mantenimiento. También cubre el control de accesos, la colocación de datacenters y la compra de hardware. Explica brevemente los pasos de la norma ISO 27001, incluyendo la evaluación y gestión de riesgos, y los controles físicos, técnicos y organizacionales. Finalmente,

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    21 visualizzazioni4 pagine

    Clase 3

    Caricato da

    luis villacorta
    Este documento resume varios temas relacionados con la seguridad de la información y la norma ISO 27001. Incluye una lista de páginas y temas a revisar, una lista de verificación, y consideraciones sobre la delegación, políticas y mantenimiento. También cubre el control de accesos, la colocación de datacenters y la compra de hardware. Explica brevemente los pasos de la norma ISO 27001, incluyendo la evaluación y gestión de riesgos, y los controles físicos, técnicos y organizacionales. Finalmente,

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 4

    Revisar Páginas:

    - incibe. Instituto de ciberseguridad.


    - Aenor.
    - OWASP. Desarrollo seguro
    - www.zone-h.org
    - Open pyp
    - Para auditor interno, talleres mínimo 12 horas.
    - jtrujillor@gmail.com
    -

    Check list.

    - Mecanismo de los log.


    - Análisis de vulnerabilidad interna.

    ACT

    - Delegación de terceros.
    - Reducirlas las políticas.
    - Mantenimiento y mejora.

    Seguridad de la información gestionada. Contratos, LDA, responsabilidades compartidas.

    Control de Accesos:

    Política para control de baja de usuarios. Buenas prácticas: suspende y luego elimina. El jefe de
    área debe estar enterado.

    Documento para baja y alta de usuarios.

    Los datacenter se recomiendan colocar al nivel del piso, en adelante.

    Comprar ARDUINO para realizar un POS LECTOR DE TARJETAS.

    Como se ve el plan de continuidad en soporte. Personal adicional, equipos de respaldo.


    ISO 27001 se apoya en:

    27002 controles

    y 27000 conceptos

    270001 seguridad de la información (C.I.D) -> FIABILIDAD

    PASOS:

    1. CONCEPTOS RELACIONADOS
    RIESGOS: INCERTIDUMBRE, FUTURAS O NO CONOCIDAS
    AMENAZAS: INCIDENTE NO DESEADO QUE PUEDE PRODUCIR UN DAÑO
    VULNERABILIDAD: Problema presentado

    2. La norma se centra en el RIESGO.


    a. Evaluar: evaluamos a través de la:
    i. Identificación
    ii. clasificación
    b. Medir
    i. Análisis: cuantitativo (valor dinero) y cualitativo
    c. Apreciación del riesgo
    i. Equilibrio de los dos anteriores.

    - De lo anterior puedo aplicar medidas.


    o Físicas: Entorno empresa (anillo)
     Anillo externo
     Edificio
     Lugar de trabajo
     Objeto

    o Técnicas: Orientado al control LOGICO.


     Control de acceso
     Cifrado
    o Organizacionales: EMPRESA, POLITICA, MISION, VISION y OBJETIVOS.

    - PAE: la sumatoria del daño total anual.

    3. De las AMENAZAS
    o TIPO de daño: DIRECTO e INDIRECTO
    o FACTOR: Humano y no Humano.
    ORGANIZACIÓN.

    - Lo primero que se debe definir EL OBJETIVO, Compromiso de la ALTA GERENCIA,


    ROLES y FUNCIONES.
    SEGREGACIÓN:
    o Base operativo
     ISO: validar el cumplimiento
     ISM: implementa, documenta, revisar, etc.
     CISO: Estrategia y gestión en base al negocio

    RECURSOS HUMANOS

    - Trabajar en el:
    o Antes:
     Elaboración de perfiles.
     Corroboración de la Información
    o Durante: estar alineado a cumplir
     Leyes
     Reglamentos
     Informar sobre S.I al colaborador. (contratos, políticas, etc)
     Concientización.
    o Después:
     Monitoreo del cumplimiento de los acuerdos.

    ACTIVOS:  PERSONAS  EQUIPOS  PROVEEDORES

    - INVENTARIO: existe un dueño, a su vez tiene que asumir sus riesgos, y mantenerse
    actualizado.

    IMPORTANTE: Gestión de los incidentes. (ciclo de vida de incidentes)

    MATRIZ: MECANISMO O POLITICA DE GESTION DE INCIDENTES, dentro de esta política


    debe existir un CONTROL: ¿Quién? ¿Donde? ¿Detalle? ¿Otros?

    o AMENAZA:  Reducción
      prevención
    o INCIDENTE: detección
      Represiva
    o DAÑO:
     correctiva
    o RECUPERACIÓN:
      Evaluación

    CONTROLES

    - PLAN S.I
    - PLAN DRP
    - PLAN CONTINUIDAD
    Amparados leyes y reglamentos.

    POLITICA:

     MEDIDA 1  CONTROL 1
     MEDIDA 2  CONTROL 2
     MEDIDA 3  CONTROL 3

    Potrebbero piacerti anche