Documentos de Académico
Documentos de Profesional
Documentos de Cultura
II
Ingeniera de Software
DELTRON
ISO/IEC 27,000
PROFESOR:
ING. HCTOR HENRQUEZ TABOADA
3A
ALUMNO :
ESCOBAR JIMNEZ RUBEN BRYAN
INDICE
Resumen
ndice
CAPITULO I: Introduccin a ISO/IEC 27000
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
1.1. Historia
1.2. Propsito de ISO/IEC 27000
1.3. Relacin con COBIT, 17799
CAPITULO II: Implementacin.
2.1.
Implementacin
incremental
de
NTP-ISO/IEC
27001:2008
2.2. Caso Prctico
CAPITULO III: Conclusiones y Recomendaciones
3.1 Conclusiones
3.2 Recomendaciones
Referencia Bibliografa
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
1.1
HISTORIA
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British
Standards Institution), la organizacin britnica equivalente a AENOR en Espaa) es
responsable de la publicacin de importantes normas como:
1979 Publicacin BS 5750 - ahora ISO 9001
1992 Publicacin BS 7750 - ahora ISO 14001
1996 Publicacin BS 8800 - ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar
a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de
la seguridad de su informacin.
La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que
no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada
por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la
informacin (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt
por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas
de gestin.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
COBIT
Los Objetivos de Control para la Informacin y la Tecnologas Relacionadas (COBIT)
es un marco de trabajo basado en procesos que rene buenas prcticas y estndares
internacionales (entre ellos la norma ISO/IEC 27000), dichos procesos estn enfocados
en la gestin de las tecnologas de la informacin de una organizacin, con el propsito
de alinear los objetivos de TI con los objetivos del negocio.
COBIT est compuesto por 4 dominios denominados:
Planear y Organizar (PO): este dominio establece directrices para asegurar que TI
contribuya al cumplimento de los objetivos del negocio, alineando las estrategias de TI
y las del negocio.
Adquirir e Implementar (AI): La identificacin, desarrollo o adquisicin de soluciones
de TI estn cubiertas por este dominio. Adems establece directrices para el cambio o
mantenimiento de los sistemas ya existentes.
Entregar y Dar Soporte (DS): La entrega de los servicios requeridos, administracin de
la seguridad y de la continuidad estn cubiertas por este dominio.
Monitorear y evaluar (ME): este dominio se encarga de la evaluacin del desempeo
de los procesos de TI y asegurar el cumplimiento de los requerimientos del negocio.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Los dominios de COBIT contienen 34 procesos genricos que administran los recursos
de TI y para cada proceso se define objetivos de control.
Una vez investigado el contenido de COBIT se pueden emitir algunos criterios sobre las
principales diferencias con la norma ISO/IEC 27000:
Enfoque: COBIT est orientado al negocio y al gobierno de TI, mientras que la norma
ISO/IEC 27000 se centra en el establecimiento de controles de seguridad seleccionados
a partir de un proceso de gestin del riesgo.
Objetivo: COBIT busca ser una solucin integrada que ayuda a las organizaciones a
establecer un gobierno de TI. La norma ISO/IEC 27000 permite a las organizaciones la
creacin, mantenimiento y mejora de un sistema de gestin de seguridad de la
informacin.
Estructura: COBIT posee 34 procesos agrupados en 4 dominios. La norma ISO/IEC
27000 posee 11 dominios, 39 objetivos de control y 133 controles.
La Tabla presenta un mapeo entre los objetivos de control definidos en COBIT versin
4.1 y la norma ISO/IEC 27001.
Proceso COBIT Versin 4.1
Incluido en la Norma
ISO/IEC 27001
considerados en la Norma
(si/no/parcialmente)
No
ISO/IEC 27001
PO1.1 Administracin del Valor de TI
estratgico de TI
Parcialmente
de informacin
PO3 Determinar la
Parcialmente
orientacin tecnolgica
PO4 Definir los procesos,
Parcialmente
organizacin y relaciones
TI
de TI
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Parcialmente
en TI
Si
aspiraciones y la direccin
de la gerencia
PO7 Gestin de los
Parcialmente
recursos humanos de TI
PO8 Gestin de la calidad
Parcialmente
Parcialmente
riesgos de TI
PO10 Gestionar proyectos
de la Calidad
PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de un
No
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Parcialmente
automatizadas
AI2 Adquirir y mantener
Parcialmente
software aplicativo
Alternativos
AI2.1 Diseo de Alto Nivel
AI2.2 Diseo Detallado
AI2.9 Administracin de los
Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software
Parcialmente
Aplicativo
AI3.1 Plan de Adquisicin de
infraestructura tecnolgica
AI4 Facilitar la operacin y
Parcialmente
Infraestructura Tecnolgica
AI4.1 Plan para Soluciones de Operacin
el uso
Parcialmente
Usuarios Finales
AI5.3 Seleccin de Proveedores
AI5.4 Adquisicin de Recursos de TI
Si
Parcialmente
soluciones y cambios
Parcialmente
niveles de servicio
Implantacin
DS1.4 Acuerdos de Niveles de Operacin
DS1.6 Revisin de los Acuerdos de
Niveles de Servicio y de los Contratos
Si
de terceros
DS3 Gestionar el
Parcialmente
desempeo y la capacidad
DS4 Garantizar la
Si
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Si
seguridad
de los sistemas
DS6 Identificar y asignar
No
costos
Parcialmente
usuarios
DS8 Gestionar la mesa de
Si
Si
configuracin
DS10 Gestionar problemas
Parcialmente
Costos
DS7.3 Evaluacin del Entrenamiento
Recibido
Si
Si
fsico
DS13 Gestionar las
Parcialmente
operaciones
Parcialmente
el desempeo de TI
Dispositivos de Salida
ME1.1 Enfoque del Monitoreo
ME1.3 Mtodo de Monitoreo
ME1.4 Evaluacin del Desempeo
ME1.5 Reportes al Consejo Directivo y a
Ejecutivos
ME1.6 Acciones Correctivas
Si
el control interno
ME3 Garantizar el
Parcialmente
cumplimiento de requisitos
externos
ME4 Proporcionar
gobierno de TI
Semestre: 2015-II
Parcialmente
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Tabla Mapeo entre los Objetivos de Control de COBIT y los Controles de la Norma
ISO/IEC 27001
Se puede apreciar en la Tabla que varios objetivos de control de COBIT no son
considerados por la norma ISO/IEC 27001, es decir que si se desea utilizar COBIT para
la gestin de la seguridad de la informacin, se estara implementando objetivos de
control que no necesariamente aportaran a la proteccin de los activos de informacin,
significando esto un gasto innecesario de recursos y tiempo.
Como ventaja sobre COBIT la norma ISO/IEC 27001 es certificable, lo que incrementa
el prestigio y la confianza de usuarios y clientes en la organizacin certificada. Adems,
si lo que se desea es especficamente crear un sistema de gestin de seguridad, la mejor
opcin sera la norma ISO/IEC 27001 debido a que define su propio proceso de gestin
del riesgo y un conjunto de controles de seguridad. En cambio COBIT se encuentra en
un nivel ms alto de gestin y aunque tambin abarca la seguridad de la informacin
utiliza un enfoque ms orientado a las necesidades del negocio que especficamente a
gestionar la seguridad de la informacin desde un enfoque ms procedimental y
orientado a gestin de riesgos.
ISO 17799
ISO/IEC 17799 proporciona recomendaciones de las mejores prcticas en la gestin de
la seguridad de la informacin a todos los interesados y responsables en iniciar,
implantar o mantener sistemas de gestin de la seguridad de la informacin.
La versin de 2005 del estndar incluye las siguientes once secciones principales:
1. Poltica de Seguridad de la Informacin.
2. Organizacin de la Seguridad de la Informacin.
3. Gestin de Activos de Informacin.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
FASE 1: ORGANIZACIN
Determinar el Alcance del Sistema de Gestin de Seguridad de la
Informacin:
La presente Metodologa para el Sistema de Gestin de Seguridad de la Informacin
cubrir los aspectos de seguridad de los activos de la empresa, adaptando los controles
de la norma ISO 27001 en base a la realidad existente en la organizacin, con un
anlisis de riesgos, identificacin de amenazas y vulnerabilidades de los activos fsicos,
lgicos y de servicios, incluyendo todo tipo de informacin de la empresa.
A continuacin presentamos los activos de la empresa:
#
1
Activos a proteger
Servidores Web (Memoria, Disco duro, Procesador, Monitor,
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
2
3
4
5
6
7
8
9
Ingeniera de Software
hardware,
sistemas,
papel,
formularios, etc.).
Objetivo:
Reglamentar la poltica de contraseas de acceso de los equipos informticos, correo y
sistemas de informacin.
Alcance:
Contraseas manejadas en todas las reas de la empresa.
Definiciones:
Contrasea: Sea secreta que permite el acceso
Aplicacin:
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
-No utilizar la misma contrasea para las cuentas utilizadas en su ambiente laboral que
Objetivo:
Establecer los requerimientos que deben cumplir todas las computadoras y servidores
conectados a la red de la empresa para asegurar la prevencin y deteccin efectiva de
virus.
Alcance:
Esta poltica aplica a todas las computadoras y servidores de la empresa.
Definiciones:
-Virus: Los virus informticos son programas de computadora que se reproducen a s
mismo e interfieren con el hardware de una computadora o con su sistema operativo.
-Antivirus: Son programas que se encargan de encontrar y en lo posible eliminar o dejar
sin efecto la accin de los virus informticos y otro tipo de programas malignos.
-Spam: Se llama spam o correo basura a los mensajes no solicitados, habitualmente de
tipo publicitario, enviados en grandes cantidades (incluso masivas) que perjudican al
receptor.
Responsabilidades:
rea de Sistemas
-El rea de sistemas notificara a los empleados acerca de las amenazas.
-El rea de sistemas debe asegurarse que todas las computadoras y servidores de la
empresa, tengan instalado un antivirus y que se encuentre actualizado.
-Cada cierto tiempo se dar un mantenimiento para detectar algn tipo de virus.
Usuarios
-Cuando un empleado reciba un correo de fuente desconocida, sospechosa o no
confiable, no debe abrirlo y debe proceder a borrarlo.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Objetivo:
Definir los lineamentos para que los diferentes accesos a las reas, informaciones y
sistemas de la organizacin se encuentren controlados y documentados.
Alcance:
-Acceso a las diferentes reas de la empresa.
-Acceso a la informacin almacenada en servidores.
Aplicacin:
-Cada empleado solo tendr acceso a aquellas reas, informacin y sistemas de la
empresa que son necesarias para el desempeo diario de sus labores.
-Se tendr instalado cmaras de seguridad que permitan monitores las
Instalaciones de la empresa y en caso se requiera ser visto por algn gerente.
-Se mantendr reportado el ingreso de personal externo a la empresa.
-Se mantendr registrado el ingreso y salida de aparatos informticos.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Objetivo
Reglamentar la poltica de clasificacin de informacin de las distintas reas de la
empresa.
Alcance
Informacin manejada en toda la empresa.
Descripcin
Las reas de la empresa debern clasificar su informacin de acuerdo a su importancia.
Los documentos de confiabilidad debern ser de acceso restringido.
(Especificar las reas y sus archivos a clasificar).
Objetivo
Proveer los alineamientos para la disposicin de la mayora de los tipos de medios
incluyendo aquellos equipos que hayan cumplido su ciclo de vida.
Alcance
Esta poltica aplica a todos los empleados.
Aplicacin
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
-Los equipos que estn deteriorados u obsoletos debern seguir unos pasos para una
posterior eliminacin del dispositivo o donacin del mismo.
-Los discos duros debern ser borrados en su totalidad utilizando el formateado.
-Las memoras USB debern ser destruidas.
-Los discos de grabacin debern ser cortados o triturados.
-Los documentos confiables debern ser cortados o triturados.
-Se tomara alguna decisin final sobre el dispositivo como Donacin, venta, Reciclaje.
6. Poltica de Backup
Objetivo
El rea de sistemas se encargara de proteger y garantizar que la informacin almacenada
en la empresa se mantenga respaldada y sean recuperables en el momento que se
necesite.
Alcance
Esta poltica aplica al rea de sistemas.
Aplicacin
1. Determinar o identificar el nmero de aplicativos y/o bases de datos para respaldo.
2. Determinar los mecanismos de copias de respaldo segn la base de datos a respaldar:
manual o automtico.
3. Verificar si el Backup es automtico el sistema asigna fecha de creacin de la base de
datos, si no se debe cambiar la fecha de creacin de la misma.
4. Verificar los archivos log del servidor.
5. Comprimir los archivos en formato .zip o .rar si la copia se realiza correctamente.
6. Verificar las copias comprimidas, para verificar que se pueden descomprimir cuando
se necesiten.
7. Volver a realizar copia por segunda vez, si el archivo log del servidor indica un error
8. Grabar diaria, semanal y anualmente, en un dispositivo de almacenamiento (CD)
todas las copias y guardar en la Oficina de Informtica.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
FASE 2: PLANIFICACION
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Activos a proteger
Imp.
10
9
9
8
9
7
6
9
6
A continuacin se listan los factores de riesgo que pueden afectar a dichos activos,
indicando la probabilidad de que estas contingencias ocurran, en una escala del 1 al 3.
Esta probabilidad es evaluada teniendo en cuenta las medidas de segundad existentes en
la organizacin.
Probabilidad de 1 a 3
#
Factores de Riesgo
Probabilida
d
3
Cracking de password
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
10
11
12
13
14
Errores de software
15
16
17
18
Falta de autenticacin
19
20
Incendios
21
Ingreso de polvo
22
Interferencias
23
24
25
26
27
28
29
Perdida de backups
30
31
32
33
Sabotaje
34
Software desactualizado
35
Spoofing y sniffing
36
37
Usurpacin de usuarios
38
39
Virus
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
Acti
vo
S
E
R
V
I
D
O
Factor de Riesgo
Consecuencias?
Acceso no
autorizado a los
laboratorios
Robo, modificacin de
la informacin
Corte de luz, o
variaciones de
voltaje.
Incendios
UPS, estabilizador,
disposicin de un pozo a
tierra, generador de luz
Equipos contra incendio
(extintores, fuentes de agua)
capacitacin del personal.
Seguridad fsica y buen
diseo del edificio
Deterioro en la
performance del sistema
Equipamiento actual y
asesoramiento permanente
Inundaciones o
filtracin de
agua
Limite de vida
til, maquinas
obsoletas
Semestre: 2015-II
Como se protege?
Es efectiva
e
m
ISO/IEC 27000
UIGV FISCT
II
R
E
S
Activ
o
B
A
S
E
S
D
E
D
A
T
O
S
Mal
mantenimiento de
los servidores
Robo de
dispositivos o
equipos
Ingeniera de Software
Interrupciones en el
funcionamiento del
sistema
Perdida de equipamiento
o informacin
Factor de Riesgo
Acceso no
autorizado a los
datos
Copia no
autorizada de un
medio dededatos
Errores
software
Falla de base de
datos
Falta de espacio de
almacenamiento
Mala integridad de
los datos
Perdida de confidencialidad en datos
privados y de
Virus
sistema
Semestre: 2015-II
Mantenimiento interno y
permanente
Controles de accesos
fsicos, guardias de
seguridad,alarmas
Consecuencias?
Como se protege?
Robo, modificacin de
la informacin
Seguridad lgica y
firewall
Divulgacin de
informacin
Inconsistencias en los
datos
Inconsistencias en los
datos
Falla en la aplicacin
Desabilitacin de
puertos y controles
lgicos internos y
Controles
backup de los datos.
Controles internos y
backup de los datos.
Recursos abundantes de
almacenamiento
Controles en las
aplicaciones
Controles
desarrolladas fsicos
y controles
de accesos
Herramientas
lgicos a datosantivirus
crticos
y firewall
Inconsistencias y
redundancia de datos
Divulgacin de
informacin
Perdida, modificacin o
divulgacin de datos,
perdida de tiempo, y
productividad.
Es efectiva
m
m
m
e
e
m
ISO/IEC 27000
UIGV FISCT
II
Activ
o
S
E
R
V
I
C
Factor de Riesgo
Activ
o
S
O
F
T
W
Acti
vo
B
Como se protege?
Servicio inactivo
Craking de password
Transporte inseguro
de archivos
Modificacin o
divulgacin de
informacin
Divulgacin de
informacin
Factor de riesgo
Consecuencias?
Como se protege?
Acceso no
autorizado a los
servidores
Mala administracin en
las cuentas de usuario o
divulgacin de claves
Error de
configuracin en los
servidores
Falla del sistema
Mal funcionamiento de
los servidores
Permisos mnimos
necesarios para el
desempeo de sus
funciones
Existen herramientas
de anlisis y personal
de mantenimiento
Backup y sistemas de
respaldo
Controles
de
accesos lgicos,
reforzando en datos
crticos.
A
R
Consecuencias?
Negacin de servicio
Web
Utilizacin de claves
o password simples
por los usuarios
Usurpacin de
usuarios
I
O
Ingeniera de Software
Mala
administracin
de control de acceso.
Factor de riesgo
Fcil descubrimiento
de claves
Cambio o robo de
informacin
Posibles demoras en el
desarrollo de las
Divulgacin
y
funciones
modificacin de
informacin.
Consecuencias?
Copia
no Robo de informacin
autorizada a un
medio de datos
Semestre: 2015-II
Como se protege?
Controles de seguridad
fsica y controles de
accesos lgicos a los
servidores
Es efectiva
m
m
Es efectiva
m
e
Es
efectiva
e
ISO/IEC 27000
UIGV FISCT
II
A
C
K
U
P
Falta de
espacio
Perdida
backups
Rtulos
inadecuados
los medios
Activo
D
O
C
U
M
E
N
T
A
C
I
O
N
Ingeniera de Software
Factor de riesgo
Consecuencias?
Existencia
de discos
redundantes para la copia
Backups redundantes
d
Rtulos
capaces
de
diferenciar cada medio de
datos como nico.
Como se protege?
Actualizacin
permanente
de
polticas
de
seguridad
Descripcin de archivos Documentacin
Formatos
bien
inadecuada
incorrecta
estructurados para
las
diferentes
Documentacin
Entorpecimiento de Actualizacin
insuficiente o faltante, la administracin y permanente
de la
funciones
no
uso del sistema
documentacin de
documentadas
los procesos
Robo de documentos
Divulgacin
de Controles de acceso
informacin
fsico a datos
Semestre: 2015-II
Es
efectiva
m
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
personalizada.
Se deber tener un mximo de personas segn sea el espacio fsico.
Se tendr instalado 01 extintor en la entrada.
Deber instalarse 01 cmara de seguridad.
Se instalar detector de humo.
Se configurar el computador cuando tenga 10 minutos de inactividad se
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
personalizada.(solo administrador)
Se tendr instalado extintores en la entrada y en el centro del rea.
Deber instalarse 01 cmara de seguridad.
Se instalar detector de humo.
Se configurar el computador cuando tenga 10 minutos de inactividad se
bloquee y requiera ingresar usuario y contrasea personalizada.
4. rea de Investigacin:
o Los componentes de computacin (Pantalla, CPU, mouse, teclado,
cables) debern estar bien conectados y unidos con alguna cinta.
o Se deber instalar aire acondicionado dentro del rea.
o El acceso a la informacin deber estar definida por usuario y contrasea
o
o
o
o
personalizada.
Se tendr instalado 01 extintor en la entrada.
Deber instalarse 01 cmara de seguridad.
Se instalar detector de humo.
Se configurar el computador cuando tenga 10 minutos de inactividad se
bloquee y requiera ingresar usuario y contrasea personalizada.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
CONCLUSIONES
1. El estudio realizado de polticas y reglamentos para la seguridad de la
informacin permite visualizar con mayor claridad la importancia y el valor de
la informacin para la Organizacin adaptados a la necesidad de proteccin de
datos.
2. Mediante la recopilacin de la informacin de los activos involucrados en los
sistemas de informacin pertenecientes al a empresa, se pudo constatar los
problemas actuales de falencias en el mantenimiento, organizacin y la falta de
una metodologa de seguridad de la informacin basadas en normas que
garanticen su seguridad.
3. El estudio de la Norma ISO 27001 ha permitido mejorar el conocimiento de los
sistemas de seguridad de la informacin, sus problemas y los medios de
proteccin adems cubre el vaco que ha generado la inexistencia de un mtodo
documentado, sobre cmo proceder a implantar un Sistema de Gestin de
Seguridad de la Informacin.
4. Al aplicar el ciclo (Plan, Do, Check, Act) en la elaboracin inicial de la
metodologa se obtiene eficiencia en sus contenidos y se ha logrado determinar
espacios de desarrollo para cada una de las actividades involucradas en la
gestin de un SGSI, es decir que la metodologa elaborada cubre estos aspectos
durante todo el proceso de desarrollo.
5. A travs de la creacin de la metodologa para un SGSI usando la norma ISO
27001, se pretende gestionar y concienciar el cumplimiento de la misma al
personal de la empresa para mejorar su compromiso con la seguridad de la
informacin en toda la organizacin.
6. Por medio de la aplicacin desarrollada se podr analizar el cumplimiento de los
elementos involucrados en la metodologa elaborada segn la norma ISO 27001,
para la toma correcta de decisiones por parte de los gestores de un SGSI.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Ingeniera de Software
RECOMENDACIONES
1. Para llevar a cabo una buena gestin de la informacin es recomendable el
compromiso de todo el personal involucrado en el funcionamiento y
mantenimiento de los activos de la informacin en la organizacin.
2. Toda organizacin grande o pequea requiere de una metodologa de Seguridad
de Informacin acorde a sus necesidades para garantizar su confidencialidad,
integridad y disponibilidad.
3. La puesta en prctica de la metodologa requiere la autorizacin y colaboracin
de todas unidades operativas de las mismas sin diferenciar sean grandes o
pequeas.
4. Se recomienda poner en prctica el contenido de la metodologa y los aspectos
all descritos para la gestin de la seguridad de la informacin, de esta manera se
respalda el objetivo del trabajo que se convierte en los inicios del camino de
certificacin para la empresa bajo la Norma ISO 27001.
5. Es recomendable que una vez evaluada la gestin de seguridad de la empresa se
implemente las medidas necesarias para subir el nivel de eficiencia del mismo y
mantener altos niveles de seguridad de la informacin, este aspecto es motivo de
una nueva investigacin.
6. Se recomienda que la empresa dentro de su Organizacin Funcional, defina un
rea para la gestin de seguridades y pruebas del mantenimiento de la
informacin.
Semestre: 2015-II
ISO/IEC 27000
UIGV FISCT
II
Semestre: 2015-II
Ingeniera de Software
ISO/IEC 27000