Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Plan de Mejora Actividad 5

    Cargado por

    Julián Lara
    13 vistas5 páginas
    plan de mejora

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    plan de mejora

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    13 vistas5 páginas

    Plan de Mejora Actividad 5

    Cargado por

    Julián Lara
    plan de mejora

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 5

    Plan de Mejora Norma ISO 27002

    DOMINIOS

    Política de Seguridad:

    La gerencia debe aprobar el documento de política para ser publicado y comunicado a


    todos los empleados y entidades externas.
    Realizar regularmente auditorías internas: para determinar si los controles, procesos y
    procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el
    entorno legal y los requisitos y objetivos de seguridad de la organización, están
    implementados y mantenidos con eficacia y tienen el rendimiento esperado.
    Se implantará capacitaciones semanales acerca de la política de seguridad de la alcaldía
    para que cada funcionario sepa las funciones a realizar sobre su cargo actual con su
    respectiva auditoria personalizada para llevar un buen control sobre la norma ISO 27002

    ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD

    En esta área si es necesario buscar personas capacitadas o capacitarlas para tener a cargo
    y estar al frente de esas funciones y responsabilidades a la hora de hablar y coordinar
    sobre la seguridad de la información para llevar a cabo la norma ISO 27002.
    La gerencia debe apoyar activamente la seguridad dentro de la organización a través de
    una dirección clara, compromiso demostrado, asignación explícita y reconocimiento de las
    responsabilidades de la seguridad de la información.
    información.  Se debe definir e implementar un proceso de autorización gerencial para
    los nuevos medios de procesamiento de información
    Se deben identificar y revisar regularmente los requerimientos de confidencialidad o los
    acuerdos de no-divulgación reflejando las necesidades de la organización para la
    protección de la información. Donde la alcaldía san Antonio ha descuidado sobre la
    estructura de la seguridad ISO 27002.
    En esta área si es necesario buscar personas capacitadas o capacitarlas para tener a cargo
    y estar al frente de esas funciones y responsabilidades a la hora de hablar y coordinar
    sobre la seguridad de la información para llevar a cabo la norma ISO 27002.
    Se debe definir e implementar un proceso de autorización gerencial para los nuevos
    medios de procesamiento de información.
    Se deben identificar y revisar regularmente los requerimientos de confidencialidad o los
    acuerdos de no-divulgación reflejando las necesidades de la organización para la
    protección de la información.

    CLASIFICACION Y CONTROL DE ACTIVOS

    Implantaría un área de mantenimiento preventivo y correctivo con el fin de estar más


    pendiente de cada equipo que se encuentre en la alcaldía San Antonio más que todo por
    la información que se encuentra en cada disco duro todo llevándolo a cabo con la norma
    ISO 27002 sobre todo también llevar un control de cada dispositivo como por ejemplo
    memoria RAM, procesador, discos duro con su respectivo código de seguridad que se
    identifique que sea de la alcaldía san Antonio.

    SEGURIDAD EN EL PERSONAL

    Definir una metodología de evaluación apropiada de SGSI y las necesidades de la


    organización existen muchas metodologías que podemos implantar a la alcaldía San
    Antonio puede optar por una de ellas podemos unir varias o crear una respectivamente
    para organización.
    Sabemos que el riesgo nunca es eliminable y por eso tenemos que tener una metodología
    o estrategia para prevenirla que es lo máximo que podemos hacer con sus respectivas
    normas de la ISO 27002.

    SEGURIDAD FISICA Y DEL ENTORNO

    Brindar una mayor seguridad para Evitar la pérdida, daño, robo o puesta en peligro de los
    activos e interrupción de las actividades de la organización.
    Se deben proteger las áreas seguras mediante controles de entrada apropiados para
    asegurar que sólo se permita acceso al personal autorizado.
    Se debe diseñar y aplicar protección física contra daño por fuego, inundación, terremoto,
    explosión, disturbios civiles y otras formas de desastre natural o creado por el hombre.
    Se deben proteger las áreas seguras mediante controles de entrada apropiados para
    asegurar que sólo se permita acceso al personal autorizado.
    GESTION DE COMUNICACIÓN Y OPERACIONES

    Los procedimientos de operación se deben documentar, mantener y estar disponibles


    para todos los usuarios que los necesiten.
    Mejorar la organización física de las instalaciones y demás procesos independientes.
    Desarrollar la política para el manejo de la información interna y los canales de trabajo
    para el manejo de email o medios físicos como CD, USB u otros dispositivos, así como
    también archivos en la nube.
    Ajustar las políticas del manual de seguridad para el comercio y transacciones en línea.
    Aprovechar la información de los log como lecciones aprendidas almacenando y
    protegiendo los casos dados

    CONTROL DE ACCESOS

    Se debe restringir y controlar la asignación y uso de privilegios.


    Se debe establecer, documentar y revisar la política de control de acceso con base a los
    requisitos del negocio y de la seguridad para el acceso.
    Mejorar la organización física de las instalaciones y demás procesos independientes.
    Debe existir un procedimiento formal para el registro y cancelación de usuarios con el fin
    de conceder y revocar el acceso a todos los sistemas y servicios de información.
    Se debe restringir el acceso a la información y las funciones del sistema de aplicación por
    parte de los usuarios y del personal de soporte, de acuerdo con la política definida en el
    control de acceso.
     Orientar los contenidos de los equipos a la identidad de la alcaldía.

    DESARROLLO Y MANTENIMIENTO DE SISTEMAS

    Se deben incorporar verificaciones de validación en las aplicaciones para detectar


    cualquier corrupción de la información por errores de procesamiento o actos deliberados.
    Se deben validar los datos de entrada a las aplicaciones para asegurar que dichos datos
    son correctos y apropiados.
    Se debe implementar un sistema de gestión de llaves para apoyar el uso de las técnicas
    criptográficas por parte de la alcaldía.
    Se debe desarrollar e implementar una política sobre el uso de controles criptográficos
    para la protección de la información
    Se deben incorporar verificaciones de validación en las aplicaciones para detectar
    cualquier corrupción de la información por errores de procesamiento o actos deliberados
     Se debe restringir el acceso al código fuente de los programas.

    GESTION DE INCIDENTES DE LA SEGURIDAD DE LA INFORMACION

    Se debe exigir a todos los empleados, contratistas y usuarios de terceras partes de los
    sistemas y servicios de información que observen y reporten todas las debilidades
    observadas o sospechadas en los sistemas o servicios.
    Los eventos de seguridad de la información se deben informar atreves de los canales de
    gestión apropiados tan pronto como sea posible.
    Se debe exigir a todos los empleados, contratistas y usuarios de terceras partes de los
    sistemas y servicios de información que observen y reporten todas las debilidades
    observadas o sospechadas en los sistemas o servicios.
    Se deben establecer las responsabilidades y los procedimientos de gestión para asegurar
    una respuesta rápida, eficaz y ordenada a los incidentes de seguridad de la información.
    Deben existir mecanismos que permitan cuantificar y monitorear todos los tipos,
    volúmenes y costos de los incidentes de seguridad de la información

    GESTION DE LA CONTINUIDAD DEL NEGOCIO

    Los planes de continuidad del negocio se deben someter a pruebas y revisiones periódicas
    para asegurar su actualización y su eficacia
    Se deben desarrollar e implementar planes para mantener o recuperar las operaciones y
    asegurar la disponibilidad de la información en el grado y la escala de tiempo requerido,
    después de la interrupción o la falla de los procesos críticos para el negocio.
    Se debe identificar los eventos que puedan ocasionar interrupciones en los procesos del
    negocio junto con la probabilidad y el impacto de dichas interrupciones, así como sus
    consecuencias para la seguridad de la información.
    Se debe desarrollar y mantener un proceso de gestión para la continuidad del negocio en
    toda la organización el cual trate los requisitos de seguridad de la información necesarios
    para la continuidad del negocio de la organización.
    Se debe mantener una sola estructura de los planes de continuidad del negocio, para
    asegurar que todos los planes son consistentes, y considerar los requisitos de la seguridad
    de la información de forma consistente, así como identificar las prioridades para pruebas y
    mantenimiento.
    CUMPLIMIENTO

    Los registros importantes se deben proteger contra perdida, destrucción y falsificación, de


    acuerdo con los requisitos estatutarios, reglamentarios, contractuales y del negocio
    Se debe garantizar la protección de los datos y la privacidad, de acuerdo con la legislación
    y los reglamentos pertinentes, si se aplica, con las cláusulas del contrato.
    Los directores deben garantizar que todos los procedimientos de seguridad dentro de sus
    áreas de responsabilidad se llevan a cabo correctamente para lograr los cumplimientos
    con las políticas y las normas de seguridad.

    También podría gustarte