Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Iso 27002

    Cargado por

    EDIT
    15 vistas3 páginas

    Título original

    iso-27002

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    15 vistas3 páginas

    Iso 27002

    Cargado por

    EDIT

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 3

    ISO 27002

    12. SEGURIDAD EN LA OPERATIVA

    CONTROL DE SOFTWARE EN EXPLOTACION

    Minimizar los riesgos de alteración de los SI mediante controles de cambio

    Verificar que los cambios sean gestionados por personal autorizado

    Efectuar un análisis de riesgos previo a los cambios

    Aplicar los cambios en sistemas de prueba y de manera gradual, aplicar medidas de backup

    Actualizar la documentación para cada cambio implementado (manuales)

    Informar a las áreas usuarias antes de la implementación del cambio

    Actividades de control de riesgo

    Instalación del software en sistemas en producción: Se deberían implementar procedimientos


    para controlar la instalación de software en sistemas operacionales.

    Métricas asociadas

    Número de instalaciones de software realizadas en los sistemas correctas (siguiendo los


    procedimientos establecidos) versus incorrectas (no siguiendo los procedimientos establecidos).

    Estado de cumplimiento de las planificaciones aprobadas para la instalación del software en la


    organización.
    GESTION DE LA VULNERABILIDAD TECNICA

    Evite quedarse tan atrás en la rutina de actualización de versiones que sus sistemas queden fuera
    de soporte por el fabricante.

    Pruebe y aplique los parches críticos, o tome otras medidas de protección, tan rápida y
    extensamente como sea posible, para vulnerabilidades de seguridad que afecten a sus sistemas y
    que estén siendo explotadas fuera activamente.

    Actividades de control del riesgo

    Gestión de las vulnerabilidades técnicas: Se debería obtener información sobre las


    vulnerabilidades técnicas de los sistemas de información de manera oportuna para evaluar el
    grado de exposición de la organización y tomar las medidas necesarias para abordar los riesgos
    asociados.

    Restricciones en la instalación de software: Se deberían establecer e implementar las reglas que


    rigen la instalación de software por parte de los usuarios.

    Métricas asociadas

    Latencia de parcheo o semiperiodo de despliegue (tiempo que ha llevado parchear la mitad de los
    sistemas vulnerables -evita variaciones circunstanciales debidas a retrasos en unos pocos sistemas,
    tales como portátiles fuera de la empresa o almacenados-).

    CONSIDERACIONES DE LAS AUDITORÍAS DE LOS SISTEMAS DE INFORMACIÓN

    Maximizar la efectividad del proceso de auditoría de los SI y minimizar las intromisiones a éste
    proceso.

    Durante las auditorías de los sistemas de información debieran existir controles para salvaguardar
    los sistemas operacionales y herramientas de auditoría.

    Acordar con las áreas que corresponda los requerimientos de auditoría.

    Limitar las verificaciones (p.ej. a un acceso de "sólo lectura" en software y datos de producción)
    y/o tomar las medidas necesarias a efectos de aislar y contrarrestar los efectos de modificaciones
    realizadas al finalizar la auditoría (eliminar archivos transitorios, entidades ficticias y datos
    incorporados en archivos maestros; revertir transacciones; revocar privilegios otorgados)

    Identificar claramente los recursos TI para llevar a cabo las verificaciones y puestos a disposición
    de los auditores (Sistemas de información, Bases de datos, hardware, software de auditoría,
    dispositivos magnéticos, personal, conexiones a red).

    Documentar todos los procedimientos de auditoría, requerimientos y responsabilidades.


    Actividades de control del riesgo
    Controles de auditoría de los sistemas de información: Se deberían planificar y acordar los
    requisitos y las actividades de auditoría que involucran la verificación de los sistemas
    operacionales con el objetivo de minimizar las interrupciones en los procesos relacionados con el
    negocio.

    Métricas asociadas
    Número de cuestiones o recomendaciones de auditoría, agrupadas y analizadas por su estado
    (cerradas, abiertas, nuevas, retrasadas) e importancia o nivel de riesgo (alto, medio o bajo).

    Porcentaje de hallazgos de auditoría relativos a seguridad de la información que han sido resueltos
    y cerrados, respecto al total de abiertos en el mismo periodo.

    Tiempo medio real de resolución/cierre de recomendaciones, respecto a los plazos acordados por
    la dirección al final de las auditorías.

    También podría gustarte