AO DE LA INVERSION PARA EL DESARROLLO RURAL Y SEGURIDAD ALIMENTARIA

CARRERA TCNICA COMPUTACIN E INFORMTICA UNIDAD DIDACTICA SEGURIDAD INFORMTICA TRABAJO EJEMPLOS DE LOS 11 DOMINIOS ISO DOCENTE Lic. ROLANDO CARO DAMIN ALUMNO CICLO

WILLIAN VILLALOBOS GOICOCHEA I

AO.
.

2013

Conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en trminos generales que est permitido y que no lo est en el rea de seguridad durante la operacin de dicho sistema. Con fecha 23 de julio del 2004 la PCM a travs de la ONGEI, dispone el uso obligatorio de la NORMA TECNICA PERUANA NTP.ISO/EC 17799: 2004 EDI. Tecnologa de la informacin: cdigo de buenas prcticas para la gestin de la seguridad de la informacin en entidades del sistema nacional de informtica.

La informacin debe considerarse como un recurso con el que cuentan las organizaciones y por lo tanto tiene valor para estas, al igual que el resto de los activos, debe estar debidamente protegida.

LOS 11 DOMINIOS DE CONTROL DE ISO 177799

1. Poltica de seguridad.
Se necesita una poltica que refleje las expectativas de la organizacin en materia de seguridad, a fin de suministrar administracin con direccin y soporte. Ejemplo:

Toda empresa contar con una persona de seguridad la cual se encarga de asignar roles de acceso a la informacin, proveer de permisos y soportes informticos, controlar la entrada y salida de informacin que tiene en empresa.

2. Aspectos organizativos para la seguridad.

Sugiere disear una estructura de administracin dentro de la organizacin, que establezca la responsabilidad de los grupos en ciertas reas de la seguridad y un proceso para el manejo de respuesta a incidentes. Ejemplo:

Toda organizacin crea una directiva la cual trabaja con un documento en el que se informa a los empleados de lo que pueden y no pueden hacer en los equipos de la empresa y todo el local.

3. Clasificacin y control de activos.

Inventario de los recursos de informacin de la organizacin y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de proteccin. Ejemplo:

creacin de contraseas, indicar la frecuencia de cambio de contraseas o mencionar el riesgo que supone abrir archivos adjuntos que estn y no estn autorizados porque puede haber ingresado algn virus o correo electrnico de remitentes desconocidos ya que puede tratarse de un (SPAM)

4. Seguridad de recursos humanos.

Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Ejemplo:

La empresa tiene un comit el cual se encarga de incluir la prohibicin de instalar software no autorizado en los equipos o abrir cualquier documento que no est autorizada por la gerencia. En este documento, que debe ser firmado por todos los empleados, tienen que constar las sanciones en casos extremos, incluso el despido por no cumplir las normas de la empresa. 5. Seguridad fsica y del entorno.
Responde a la necesidad de proteger las reas, el equipo y los controles generales. Ejemplo:

Toda organizacin o empresa debe proteger sus equipos de escritorio y porttiles de los virus y el software espa y todos correos falsos que ingresen a los sistemas que te hay en la PC.

6. Gestin de comunicacin y operaciones.

Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Minimizar el riesgo de falla de los sistemas. Entre otros puntos. Ejemplo:

Instalar software antivirus. (Actualizando peridicamente con las ltimas definiciones para que el software pueda detectar los nuevos virus).

7. Control de acceso.
Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicacin como proteccin contra los abusos internos e intrusos externos. Ejemplo:

Proteger su red Proteger sus servidores Mantener sus datos a salvo. (Guardar copias de seguridad de los datos cruciales) 8. Adquisicin, desarrollo y mantenimiento de los sistemas.
Recuerda que en toda labor de la tecnologa de la informacin, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso. Ejemplo:

Realizar navegacin segura Proteger sus aplicaciones y recursos

9. Gestin de incidentes de la seguridad de la informacin.
Asegurar que los eventos y debilidades en la seguridad de la informacin sean comunicados de manera que permitan una accin correctiva a tiempo. Ejemplo:

Dar responsabilidades de la organizacin y de los clientes.

10.Gestin de continuidad del negocio.
Aconseja estar preparado para contrarrestar en las actividades de la organizacin y para proteger los procesos importantes de la organizacin en caso de una falla grave o desastre. Ejemplo:

Las responsabilidades en materia de organizacin por ejemplo sobre proteccin dedatos personales, teniendo especialmente en cuent a los diferentes sistemas legales nacionales.

11. Cumplimiento.
Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad. Ejemplo:

Se deben establecer procesos de autorizacin para nuevas facilidades de procesamiento de la informacin Deben ser claramente definidas las responsabilidades para la proteccin de activos de informacin o fsicos y procesos de seguridad

Instalar software antivirus. (Actualizando peridicamente con las ltimas definiciones para que el software pueda detectar los nuevos virus).

Configurar un firewall.

Utilizar solamente software legal.

Realizar navegacin segura

Proteger su red

Proteger sus servidores

Mantener sus datos a salvo. (Guardar copias de seguridad de los datos cruciales)

Proteger sus aplicaciones y recursos

2. Aspectos organizativos para la seguridad. Toda organizacin y/o empresa debe contar con:

Una descripcin de cada servicio a ser disponible.

Dar responsabilidades de la organizacin y de los clientes.

Las responsabilidades en materia de organizacin por ejemplo sobre proteccin dedatos personales, teniendo especialmente en cuent a los diferentes sistemas legalesnacionales.

Es recomendable disponer de la asesora de un especialista de seguridad (para propsitos de evaluacin o de

investigacin de incidentes.
Se deben establecer procesos de autorizacin para nuevas facilidades de procesamientode la informacin

Deben ser claramente definidas las responsabilidades para la proteccin de activos deinformacin o fsicos y procesos de segurida