lunes, 29 de septiembre de 2014


DEFINICIÓN DEL PLAN DE SEGURIDAD INFORMATICA

·         Descripción de los elementos de protección.

Nuestra empresa es “SONY” dedicada a la elaboración de aparatos electrónicos (Tablet, celulares, laptop, etc.) Para esta implementaremos el modelo ITIL, ¿Por qué? Porque este modelo ayuda a las empresas a alcanzar sus objetivos corporativos. La necesidad de nuestra empresa esta creciendo por dar servicios informáticos de calidad pues el objetivo de nuestros negocios es que satisfagan los requisitos y expectativas del cliente. El estándar que manejaremos en nuestra empresa será el ISO 20000 esto se debe a que este nos ayuda con la eficacia en los servicios de la empresa y a los clientes, establece procesos y procedimientos que minimizan los riesgos en el negocio.

¿Para que nos servirán los antes ya mencionados? Estos serán elementos que nos permitan proteger y  manejar correctamente la información que manejamos ya que esto es amplio por la información de los productos a lo largo del tiempo, la información, aplicaciones, datos, armadura, etc. que este contiene. Lo que nuestros empleados y vendedores manejan para la venta del producto y muchísimas cosas más, que serán correctamente manejadas con la implementación de este modelo y de este estándar según la empresa.



·         Definición de las metas de seguridad a alcanzar en un periodo de tiempo establecido.

Para tener un excelente nivel de madurez en las metas establecidas por la empresa tenemos que imponer un periodo de tiempo que nos ayudara a ir mejorando e implementando ideas y mejores innovaciones para el producto y el servicio que se le da. Daremos un plazo de 7 años a lo máximo ya que dividiremos el periodo en 3 fases:

1.- ESPEFIFICACION: Planearemos el proyecto de los productos de acuerdo a los requisitos que gestiona la empresa, el vendedor y el cliente. Que es el diseño, sus aplicaciones, sus mejores, sistemas, etc. Y a partir de eso se tratara de implementar o mantener lo logrado.

2.- PRACTICAS: En este tiempo nos daremos a la tarea de describir y hacer las mejores prácticas de nuestra industria en relación a los procesos del producto y servicios. Se pondrá en juego lo hecho y se verán resultados según lo elaborado.

3.-DEFINICIÓN Y LOGRO: Por ultimo para este periodo nos enfocaremos en la mejora e innovación del producto ya que estaremos mas orientados a lo pro y contras que nos trajo nuestro proceso del servicio. Nos enfocaremos en ir satisfaciendo un poco más los requisitos que la sociedad pide y que les podemos brindar.  

·         Definición de políticas

-De acceso físico a equipos

Para la política de los accesos físicos a los equipos se manejara por personal autorizado    y estas personas serán las que estén capacitadas en la tecnología (informáticos) ya que serán los que se encarguen de mover cada maquina, etc. Que se tenga en la empresa y cualquier daño estará a cargo de ellos…

1.       No podrán trabajar con ningún equipo si no se ingresa un pin de seguridad.

2.       Solo tendrá acceso habiendo registrado su ingreso en la empresa.

3.       No podrá manejar el equipo de trabajo de otras áreas hasta que no este autorizado por gerencia.

4.       Deberán dar un registro de los movimientos, procesos, logros, etc. Que hizo a lo largo del día.

5.       No podrá utilizar el equipo o la maquinaria para asuntos ajenos a la empresa en caso de violar esto se manejara una sanción al empleado.

-De acceso lógico a equipos

Los empleados que sepan de control de calidad estarán encargados (juntamente con informáticos mas capacitados a la oficina) de toda la información que maneja la empresa (aplicaciones, licencias, programas, ventas, ganancias, perdidas, salidas, entradas, etc.) Las condiciones de trabajos de ellos serán:

1.       El ingreso a los usuarios donde se almacena esta información será por medio de claves especiales del equipo.

2.       Al final de día tendrán que mandar la información que manejaron a un equipo centro.

3.       Solo podrán utilizar los equipos y mover la información cuando en la empresa este marcada su entrada.

4.       No podrán llevar discos, memorias, cables, etc. Que pueda transferir información ya que esta es confidencial de la empresa.

5.       No podrán enviar datos a ningún otro programa, canal, etc. Si no esta autorizado por gerencia.

6.       No deberán entrometerse en la información de otros equipos y devoran cuidar que no entren a la de ellos.

7.       No podrán dañar el equipo con virus ni nada por el estilo

8.       A cada regla dañada se le otorgara una sanción.

-Para la creación de cuentas de usuario

1.      Solo informáticos con un puesto alto y autorizado por gerencia podrán dar creación a usuarios nuevos (ya que aquí se almacenara información y deben de estar enterados y autorizados por los grandes)

2.      Todo usuario creado tendrá su propia contraseña.

3.      Será hecho especialmente para un empleado en especial.

-Para el manejo de bitácoras

1.       Este punto será manejado por todos tendrán que entregar y manejar una bitácora única y especial por cada empleado.

2.       Empleado que no entregue bitácora al final de día tendrá que ir acumulando hasta cierre de semana, si este no entrega completas sus bitácoras al finalizar semana será sancionado estrictamente

3.       La entrega de las bitácoras será con el que comanda el área de trabajo él se encargara de guardar y subir.

4.       En caso de perdida tendrá que volver a ingresar la información en una nueva bitácora que pedirá en oficinas.

-De protección de red (firewall)

1.       Los encargados en el control de la información y el manejo de equipos tendrán que estar perfectamente encargados y tendrán que tener bajo estricta vigilancia la protección de red.

2.       El equipo y información que sea invadida, o dañada por algún intruso o virus tendrá que pasar un reportes para que el problema sea tratado rápidamente.

3.       Se aplicara sanción al que lo haya hecho intesionalmente (ya que los equipos serán investigados y analizados profesionalmente)

-Para la administración de software de seguridad

1.       En este punto solo los que comandan las áreas podrán recibir órdenes de los gerentes en la instalación y uso de programas o software que ayuden a la empresa a manejar la seguridad.

2.       Los software serán únicamente pedidos en gerencia y estos serán asignados a los equipos que  el mayor diga.

-Para la gestión de actualizaciones de control de cambios

1.       Este podrá ser movido por todos pero antes de esto se hará una petición a oficinas para cualquier cambio o actualización en los controles según su cargo.

2.       El empleado que mueva cualquier actualización sin antes haberlo consultado o pedido será sancionado.

-De almacenamiento

1.       Por default todos los empleados colaboraran en este punto ya que todos darán información de lo realizado en el día

2.       Solo los de control e informáticos especializados en oficinas guardaran la información recibida.

3.       Los datos almacenados pasaran a oficinas mayores y los empleados que deseen ver el historial antiguo o cualquier dato guardado anteriormente tendrán que hacer una petición.

-Para archivos compartidos

1.       Este punto será visto desde gerencia cualquier archivo que se desee compartir tendrá ordenes del como y que persona lo hará.

2.       Si algún empleado comparte información o archivos pertenecientes a la empresa tendrán una sanción fuerte.

3.       No podrán recibir órdenes que no sea de oficinas para este aspecto.

-De respaldo

1.       Para esto todos los empleados deberán realizar un respaldo de sus archivos del día que también serán entregados a oficinas (no podrán quedarse con estos).

2.       Los que almacenan la información deberán después con los datos hacer un respaldo que será enviado a oficinas grandes donde hay lo manejaran (no podrán quedarse con este respaldo)

3.       En oficinas mayores deberán tener varios respaldos en diferentes equipos para cualquier situación.

4.       Solo los gerentes o principales podrán entrar a estos respaldos en caso de algo o mas que ellos autoricen  a cualquier personal.

 
Publicado por en No hay comentarios:

lunes, 22 de septiembre de 2014

ESTANDARES INTERNACIONALES DE SEGURIDAD INFORMÁTICA
Bs 17799

¿QUÉ ES?

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información.

¿CUANDO SURGE?

Desde su publicación por parte de la Organización Internacional de Normas en diciembre de 2000, ISO 17799 surge como la norma técnica de seguridad de la información reconocida a nivel mundial. ISO 17799 se define como "un completo conjunto de controles que incluye las prácticas exitosas de seguridad de la información".

En diciembre de 2000, la Organización Internacional de Normas Técnicas (ISO) adoptó y publicó la primera parte de su norma BS 7799 bajo el nombre de ISO 17799. Alrededor de la misma época, se adoptó un medio formal de acreditación y certificación para cumplir con la norma técnica. Los problemas Y2K y EMU y otros similares se habían solucionado o reducido a 2000 y la calidad total de la norma técnica había mejorado considerablemente. La adopción por parte de ISO de la Parte 1 - los criterios de la norma técnica - de BS 7799 recibió gran aceptación por parte del sector internacional y fue en este momento que un grupo de normas técnicas de seguridad tuvo amplio reconocimiento.

 

OBJETIVO:
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y
relaciones de confianza entre las empresas.

La correcta clasificación de los controles es una tarea que requiere del apoyo de especialistas en seguridad informática o de alguien capacitado de manera similar, con conocimientos adquiridos en circunstancias de diversas índoles (experiencia) en la implementación de la (ya tan afamada y renombrada) ISO 17799; ya que cuando éstos se establecen de forma inadecuada o incorrecta pueden generar un marco de trabajo demasiado estricto y poco cómodo para las operaciones (eventos desempeñados) de la organización y de los que habitan en ella.

ALCANCEZ:

Aumento de la seguridad efectiva de los
Sistemas de información.
- Correcta planificación y gestión de la
seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de
auditoría interna.
- Incremento de los niveles de confianza
de los clientes y socios de negocios.
- Aumento del valor comercial y mejora
de la imagen de la organización.

EJEMPLO:

La Norma ISO/IEC 17799 establece diez dominios de control que cubren (casi) por completo la Gestión de la Seguridad de la Información:

1.    Políticas de seguridad: el estándar define como obligatorias las políticas de seguridades documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad.

2.    Aspectos organizativos: establece el marco formal de seguridad que debe integrar una organización.

3.    Clasificación y control de activos: el análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.

4.    Seguridad ligada al personal: contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información. Su objetivo es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, o sea, establecer claras responsabilidades por parte del personal en materia de seguridad de la información.

5.    Seguridad física y del entorno: identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.

6.    Gestión de comunicaciones y operaciones: integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.

7.    Control de accesos: habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.

8.    Desarrollo y mantenimiento de sistemas: la organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.

9.    Gestión de continuidad del negocio: el sistema de administración de la seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos.

10.  Cumplimiento o conformidad de la legislación: la organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios.





Serie ISO 27000

EJEMPLO:

Obtener aprobación de la gerencia de los riesgos remanentes propuestos.
Preparar una declaración de aplicabilidad.
Monitorear y revisar el SASI.
Mantener y mejorar el SASI.

¿CUANDO SURGE?

Publicada el 1 de Mayo de 2009, revisada con una segunda edición de 01 de Diciembre de 2012 y una tercera edición de 14 de Enero de 2014.

¿QUÉ ES?

Es un vocabulario estandard para el SGSI. Se encuentra en desarrollo actualmente.

OBJETIVO:

Esta norma proporciona una visión general de las normas que componen la serie 27000, indicando para cada una de ellas su alcance de actuación y el propósito de su publicación. Recoge todas las definiciones para la serie de normas 27000 y aporta las bases de por qué es importante la implantación de un SGSI, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción de los pasos para el establecimiento, monitorización, mantenimiento y mejora de un SGSI (la última edición no aborda ya el ciclo Plan-Do-Check-Act para evitar convertirlo en el único marco de referencia para la mejora continua). Exiten versiones traducidas al español aunque hay que prestar atención a la versión descargada.

ALCANCEZ:

La serie contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). La mayoría de estas normas se encuentran en preparación e incluyen:

Es la certificación que deben obtener las organizaciones. Norma que especifica los requisitos para la implantación del SGSI. Es la norma más importante de la familia. Adopta un enfoque de gestión de riesgos y promueve la mejora continua de los procesos. Fue publicada como estándar internacional en octubre 2005.

Cubre todos los tipos de organizaciones.
También especifica los requerimientos a establecer, poniendo en ejecución, funcionando, supervisando, repasando, manteniendo y mejorando la documentación del Sistema de Administración en la Seguridad de la Información (ISMS), dentro del contexto de la totalidad de los riesgos del negocio.
Aplicación
El conjunto de requerimientos precisados en este estándar internacional son genéricos y se piensa sean aplicables a todas las organizaciones, sin importar su tipo, tamaño y naturaleza.

–ISO 27001

EJEMPLO:

Procedimiento para autorización y registro de Utilitarios de Sistema

1. Objetivo
Establecer el procedimiento para la autorización y el registro de utilitarios del sistema a


Alcance
Es aplicable a las siguientes áreas de la institución:
· Gerencia.
· Compras.dssddddd
· Ventas
· Área administrativa.
· Almacén.

2. Responsabilidades

Gobierno de EGTI (Encargado de Gobierno de TI)

Administrador de Sistema:
Debe realizar un análisis de la información del software utilitario: ventajas y desventajas, identificar las posibles amenazas, puntos débiles y nivel de rendimiento del software utilitario.

Gerente:
Debe realizar un análisis de la información otorgada por el administrador de sistema, sobre el software utilitario y decidir su aplicación.


3. Documentos Relacionados

· Formulario para petición de autorización de software utilitario.
· Documento de cambio de o actualización de software utilitario.
· Documento de autorización de uso software utilitario.
· Documento con la declaración de niveles de acceso al utilitario por tipo de usuario.

¿CUANDO SURGE?

Publicada el 15 de Octubre de 2005, revisada el 25 de Septiembre de 2013. Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.

La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.

¿QUÉ ES?

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.

OBJETIVO:

ISO 27001 puede ser implementada en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización. También permite que una empresa sea certificada; esto significa que una entidad de certificación independiente confirma que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001.

ALCANCEZ:

Puede aportar las siguientes ventajas a la organización:

  • Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial.

  • Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación.

Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

  • Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

  • Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

  • El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.

Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 27002 no logran estas ventaja.

 


–ISO 27002

EJEMPLO:

Aunque muchas empresas le restan valor o importancia al aspecto de seguridad, no se puede dudar que las pérdidas por la falta de seguridad pueden ser tremendamente caras, tanto en materia económica como en cuanto a prestigio, nivel de ventas, problemas legales, daños a empleados de la organización o a terceros (por ejemplo si se divulgara información confidencial luego de un ataque a un sistema), etc.

En vista de la importancia que tiene la seguridad en las tecnologías de información, se afirma que estudiar no solamente buenas prácticas y consejos sabios de personas que llevan una gran trayectoria en el área de la informática, sino que más aún, Normas Internacionales certificables, es un beneficio de grandes magnitudes para cualquier organización. Por ello se justifica que el estudio de la Norma Internacional ISO/IEC 27002 es totalmente necesario para cualquier organización que tenga que ver de alguna forma con aspectos relacionados a tecnologías de información.

 

¿CUANDO SURGE?

Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición.

¿QUÉ ES?

ISO/IEC 27002 (anteriormente denominada ISO 17799) es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

OBJETIVO:

Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO 27001 contiene un anexo que resume los controles de ISO 27002:2005.

ALCANCEZ:


Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo.

 

ISO 20000

EJEMPLO:

  • Cumplimiento de un estándar internacional para los servicios de gestión de TI
  • Reducción de costes en cuanto al conocimiento y resolución de los incidentes de TI
  • Gestión efectiva de los suministradores entre el servicio provisto y cualquiera de las terceras partes del servicio en sí mismo
  • Asegurar y demostrar el cumplimiento de la función de TI en la entrega de servicios de acuerdo con las mejores practicas de la industria mundialmente aceptadas
  • Justificar el coste de la calidad del servicio
  • Proporcionar servicios que se adecuen a las necesidades del negocio, del cliente y del usuario

 

¿CUANDO SURGE?

La ISO 20000 fue publicada en diciembre de 2005 y es la primera norma en el mundo específicamente dirigida a la gestión de los servicios de TI. La ISO 20000 fue desarrollada en respuesta a la necesidad de establecer procesos y procedimientos para minimizar los riesgos en los negocios provenientes de un colapso técnico del sistema de TI de las organizaciones.

¿QUÉ ES?

ISO20000 describe un conjunto integrado de procesos que permiten prestar en forma eficaz servicios de TI a las organizaciones y a sus clientes. La esperada publicación de la ISO 20000 el 15 de diciembre de 2005 representa un gran paso adelante hacia el reconocimiento internacional y el desarrollo de la certificación de ITSM.

OBJETIVO:

El objetivo de la norma es demostrar que una organización de TI tiene la capacidad suficiente de satisfacer las necesidades y expectativas de sus clientes. Esto se realiza por medio de la certificación.

Puede ser usado:

  • Por negocios que oferten sus servicios,
  • por negocios que requieren de un enfoque consistente por parte de todos sus proveedores de servicios,
  • por proveedores de servicios para medir y comparar su Gestión de Servicios TI,
  • como base de una evaluación independiente,
  • por una organización que necesite demostrar su capacidad para proveer servicios que cumplan con los requisitos de los usuarios,
  • por una organización que busque mejorar servicios, por medio de una aplicación efectiva de procesos para monitorizar y mejorar la calidad de los servicios.

 

ALCANCEZ:

La norma ISO/IEC 20000 está formada por tres partes bajo el mismo título “Tecnología de la información. Gestión del servicio:

  • ISO 20000-1: Especificaciones

Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para diseñar, implementar y mantener la gestión de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes.

  • ISO 20000-2: Código de buenas prácticas

Describe las mejoras prácticas adoptadas por la industria en relación con los procesos de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos acordados, así como asumir un riesgo entendido y aceptable.

  • ISO 20000-3: Guía sobre la defición del alcance y aplicabilidad de la norma ISO/IEC 20000-1

Proporciona orientación sobre la definición del alcance, aplicabilidad y la demostración de la conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, así como los proveedores de servicios que están planeando mejoras en el servicio con la intención de utilizar la norma como un objetivo de negocio.

Si desea obtener más información sobre el desarrollo de nuevas partes que buscan una mejor alineación con ITSM y con otros estándares ISO, visite la sección de la norma iso 20000.

 

 
Publicado por en 21 comentarios:
Suscribirse a: Entradas (Atom)