actividade 1 gestión de sistemas de seguridad para redes viviana marcela betancur rùa
DESCRIPTION
TareaTRANSCRIPT
Curso Gestión de Ssistemas de Sseguridad para Rredes
ACTIVIDAD 1Ccontroles y políticas de seguridad se
implementarán en cada fase del ciclo de vida de desarrollo según la norma ISO 27002.
VIVIANA MARCELA BETANCUR RUA
FACILITADORJUAN CARLOS LUJÁN DUQUE
FUNDACIÓN UNIVERSITARIA CATÓLICA DEL NORTE
2012
Controles y políticas de seguridad que se
implementarán en cada fase del ciclo de vida de
desarrollo según la norma ISO 27002.
IntroducciónLas empresas están en constante evolución y desarrollo, por este motivo requieren estar acorde con las
regulaciones legales y técnicas del entorno, deben implementar normas que les permitan cumplir estos
preceptos, y desarrollar controles para evitar quedarse atrás.
Es importante llevar un balance general con políticas de seguridad, y evitar el trafico de información. Por otro
lado tener un clasificación de la información para evitar el desorden o repetición de esta.
Como todos sabemos, mucha información es vulnerable; puede perderse debido a fallas en elementos físicos,
afectarle un virus informático, desastres naturales, etc.
Es importante que nos quede claro que la correcta aplicación de las Políticas de Seguridad de la Información
mantiene la integridad, confidencialidad y disponibilidad de la misma; y por ello se aclara que este trabajo
involucra un subconjunto de éstas, se habla de políticas y controles de Seguridad Informática, que ayudan a
establecer las Políticas de Seguridad de la Información.
Muy bien!!
Políticas de seguridad
• Seguridad de información.
• Proporcionar la guía y apoyo de la dDirección para la seguridad de la información en relación a los requisitos del
negocio y a las leyes y regulaciones relevantes.
• Confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso.
• Integridad: exactitud y totalidad de la información y los métodos de procesamiento.
• Disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
Controles y políticas de seguridad que se implementan en la Fase 1INGENIERÍA DE SISTEMAS:
Gestión de las vulnerabilidades técnicas: Reducir los riesgos originados por la explotación de vulnerabilidades técnicas publicadas.
Se debería implantar una gestión de la vulnerabilidad técnica siguiendo un método efectivo, sistemático y cíclico, con la toma de
medidas que confirmen su efectividad.
Documento de política de seguridad de la información: Proporcionar la guía y apoyo de la Dirección para la seguridad de la información
en relación a los requisitos del negocio y a las leyes y regulaciones relevantes.
Protección contra software malicioso y código móvil: Proteger la integridad del software y de la información.
Gestión de redes: Asegurar la protección de la información en las redes y la protección de su infraestructura de apoyo.
Control de acceso en red: Impedir el acceso no autorizado a los servicios en red.
Controles criptográficos: Proteger la confidencialidad, autenticidad o integridad de la información con la ayuda de técnicas criptográficas.
Suministro eléctrico: se deben proteger los equipos contra fallos en el suministro de energía u otras anomalías eléctricas en los equipos
de apoyo.
Seguridad del cableado: Se debe proteger el cableado de energía y de telecomunicaciones que transporten datos o soporten servicios de
información contra posibles interceptaciones o daños.
Mantenimiento de equipos: Se debe mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.
Instalación y protección de equipos: El equipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas
del entorno, así como las oportunidades de acceso no autorizado.
Aislamiento de sistemas sensibles: Los sistemas sensibles deberían disponer de un entorno informático dedicado (propio).
Existen plagios en partes del texto.
Estos controles físicos no aplican en esta fase
Controles y políticas de seguridad que se implementan en la Etapa 2 Análisis.
Traslado de activos: No deberían sacarse equipos, información o software fuera del local sin una autorización.
Gestión interna de soportes y recuperación: Mantener la integridad y la disponibilidad de los servicios de tratamiento
de información y comunicación.
Utilización y seguridad de los soportes de información: Evitar la divulgación, modificación, retirada o destrucción de
activos no autorizadaos e interrupciones en las actividades de la organización.
Seguridad en información pública: Se debería proteger la integridad de la información que se pone a disposición en
un sistema de acceso público para prevenir modificaciones no autorizadas.
Supervisión de los servicios contratados a terceros: Implementar y mantener un nivel apropiado de seguridad de la
información y de la prestación del servicio en línea con los acuerdos de prestación del servicio por terceros.
Responsabilidad del usuario: Impedir el acceso de usuarios no autorizados y el compromiso o robo de información y
recursos para el tratamiento de la información.
La cooperación de los usuarios autorizados es esencial para una seguridad efectiva.
Plagio en parte del texto.
Controles y políticas de seguridad que se implementan en la Fase 3Diseño
Políticas para escritorios y monitores sin información: Políticas para escritorios y monitores limpios de información.
Tratamiento de la seguridad en la relación con los clientes: Se deberían anexar todos los requisitos identificados de
seguridad antes de dar a los clientes acceso a la información o a los activos de la organización.
Control de acceso al sistema operativo: Impedir el acceso no autorizado al sistema operativo de los sistemas. Se deberían utilizar
las prestaciones de seguridad del sistema operativo para permitir el acceso exclusivo a los usuarios autorizados.
Control de acceso a las aplicaciones: Impedir el acceso no autorizado a la información mantenida por los sistemas de las
aplicaciones. Se deberían utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus contenidos.
Acuerdos de Confidencialidad: Se deberían identificar y revisar regularmente en los acuerdos aquellos requisitos de
confidencialidad o no divulgación que contemplan las necesidades de protección de la información de la Organización.
Planificación y aceptación del sistema: Minimizar el riesgo de fallos en los sistemas. Se requiere una planificación y
preparación avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los
sistemas requerida.
Plagio en el texto.
Controles y políticas de seguridad que se implementan en la Fase 4
Implementación.
Protección contra software malicioso y código móvil: Proteger la integridad del software y de la información.
Gestión interna de soportes y recuperación: Mantener la integridad y la disponibilidad de los servicios de tratamiento de
información y comunicación. Se deberían establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo
para realizar copias de seguridad y probar su puntual recuperación.
Gestión interna de soportes y recuperación: Mantener la integridad y la disponibilidad de los servicios de tratamiento de
información y comunicación.
Políticas y procedimientos de intercambio de información: Se deberían establecer políticas, procedimientos y controles
formales de intercambio con objeto de proteger la información mediante el uso de todo tipo de servicios de comunicación.
Sistemas de información empresariales: Se deberían desarrollar e implementar políticas y procedimientos con el fin de
proteger la información asociada con la interconexión de sistemas de información del negocio.
Gestión de acceso de usuarios: Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los
sistemas de información.
Control de acceso al sistema operativo: Impedir el acceso no autorizado al sistema operativo de los sistemas.
Control de acceso a las aplicaciones: Impedir el acceso no autorizado a la información mantenida por los sistemas de las
aplicaciones. Se deben utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus contenidos.
Plagio en parte del texto.
Control repetido de la fase anterior, y estos controles
hacen parte de la fase de análisis
Controles y políticas de seguridad que se implementan en la Fase 5
Pruebas
Seguridad de las aplicaciones del sistema: Evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la
información en las aplicaciones. Se deberían diseñar controles apropiados en las propias aplicaciones, incluidas las
desarrolladas por los propios usuarios, para asegurar el procesamiento correcto de la información. Estos controles deberían
incluir la validación de los datos de entrada, el tratamiento interno y los datos de salida.
Seguridad en los procesos de desarrollo y soporte: Mantener la seguridad del software del sistema de aplicaciones y la
información. Se deberían controlar estrictamente los entornos de desarrollo de proyectos y de soporte.
Revisiones de la política de seguridad y de la conformidad técnica: Garantizar la conformidad de los sistemas con las
políticas y estándares de seguridad de la Organización. Se deberían realizar revisiones regulares de la seguridad de los
sistemas de información.
Planificación y aceptación del sistema: Minimizar el riesgo de fallos en los sistemas. Se requiere una planificación y
preparación avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los
sistemas requerida.
Plagio en el texto
Controles y políticas de seguridad que se implementan en la Fase 6
Documentación.
Acuerdos de Confidencialidad: Se deberían identificar y revisar regularmente en los acuerdos, aquellos requisitos de
confidencialidad o no divulgación que contemplan las necesidades de protección de la información de la Oorganización.
Identificación de los riesgos derivados del acceso de terceros: Se deberían identificar los riesgos a la información de la
organización y a las instalaciones del procesamiento de información de los procesos de negocio que impliquen a terceros y se
deberían implementar controles apropiados antes de conceder el acceso.
Gestión de Activos: Alcanzar y mantener una protección adecuada de los activos de la oOrganización. Todos los activos
deberían ser justificados y tener asignado un propietario. Clasificación de la Información: Asegurar que se aplica un nivel de protección adecuado a la información.
Áreas seguras: Evitar el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la información de la organización.
Documentación de procedimientos operativos: Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo necesiten.
Recuperación de la información: Se deberían hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, de acuerdo con la política acordada de recuperación.
Utilización y seguridad de los soportes de información: Evitar la divulgación, modificación, retirada o destrucción de activos no autorizadaos e interrupciones en las actividades de la organización.
Políticas y procedimientos de intercambio de información: Se deberían establecer políticas, procedimientos y controles formales de intercambio con objeto de proteger la información mediante el uso de todo tipo de servicios de comunicación.
Plagio en parte del texto.
El control de clasificación de la
información es en la fase de análisis.
Controles y políticas de seguridad que se implementan en la Fase 7
Mantenimiento.Mantenimiento de equipos: Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.
Procedimientos y responsabilidades de operación: Asegurar la operación correcta y segura de los recursos de tratamiento de
información.
Planificación y aceptación del sistema: Minimizar el riesgo de fallos en los sistemas. Se requiere una planificación y preparación
avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los sistemas requerida.
Monitorización: Detectar actividades de procesamiento de la información no autorizadas. Los sistemas deberían ser monitoreados y
los eventos de la seguridad de información registrados. El registro de los operadores y el registro de fallos debería ser usado para
garantizar la identificación de los problemas del sistema de información.
Utilización y seguridad de los soportes de información: Evitar la divulgación, modificación, retirada o destrucción de activos no
autorizada e interrupciones en las actividades de la organización. Los medios deberían ser controlados y físicamente protegidos.
Gestión de las vulnerabilidades técnicas: Reducir los riesgos originados por la explotación de vulnerabilidades técnicas publicadas.
Gestión de Incidentes de Seguridad de la Información: Comunicación de eventos y debilidades en la seguridad de la información:
Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de información se comuniquen de modo que se
puedan realizar acciones correctivas oportunas..
Gestión de incidentes y mejoras en la seguridad de la información: Garantizar que se aplica un enfoque consistente y eficaz para
la gestión de los incidentes en la seguridad de información.
Revisiones de la política de seguridad y de la conformidad técnica: Garantizar la conformidad de los sistemas con las políticas y
estándares de seguridad de la Organización.
Plagio en el texto.
CONCLUSIÒN
En cada fase del ciclo de vida de desarrollo se definieron los controles y políticas de seguridad que se deben tener en cuenta en cada una de ellas, lo que permitió establecer los aspectos que involucran la seguridad informática.
El propósito de esta actividad se baso en disminuir el riesgo al cual están sujetos los activos de información en la empresa.
Cibergrafìa
• http://www.iso27000.es/download/ControlesISO27002-2005.pdf
• http://www.iso27002.es/
Gracias…
Recomendaciones
1. En las presentaciones de ppt, no se debe mostrar mucho texto, esto lo hace muy pesado a la vista del receptor.
Solo se debe mostrar la idea principal de lo que se requiere explicar. El resto de texto se dice en la exposición.
2. Muy pequeña la letra, se dificulta la lectura.3. Recordar que cuando se copia texto de internet, se debe
colocar la referencia de donde fue extraída la información. No basta con la cibergrafía. Se debe referenciar cada texto que se tomo de internet.
4. En general veo que leíste acerca de los controles pero en varias fases hay controles que no aplica para que revises.