Configuración server dominio
Enviado por Firebh • 25 de Mayo de 2019 • Práctica o problema • 1.586 Palabras (7 Páginas) • 170 Visitas
Índice
Documentar un objetivo de negocio que justifique la necesidad de realizar un SGSI dentro de la compañía. 1
Introducción 1
Objetivo 1
Establecer un posible alcance (procesos involucrados, ubicaciones incluidas, etc.) para el SGSI de forma justificada 2
Sugerencia de acciones a realizar según el informe recibido para los controles especificados: 2
o Roles y responsabilidades en seguridad de la información 2
o Concienciación, educación y capacitación en seguridad de la información 5
o Clasificación de la información 5
o Política de control de acceso 6
Documentar un objetivo de negocio que justifique la necesidad de realizar un SGSI dentro de la compañía.
‘ISO/IEC 27001:2013 Contexto de la organización, 4.1 Comprensión de la organización y su contexto, 4.2 Comprensión de las necesidades y expectativas de las partes interesadas; Liderazgo, 5.2 Objetivo de control; Planificación, 6.2 Objetivos de continuidad de negocios y planes para lograrlos’.
Introducción
Tecnologías y servicios es una empresa ecuatoriana domiciliada en Guayaquil; que ofrece asesoría en implementaciones tecnológicas, venta de partes/piezas y soporte técnico de equipos informáticos.
Para la empresa es fundamental la información ya que la misma es fundamental para si misma y para sus clientes, por ende, nace la necesidad de implementar un SGSI (Sistema de Gestión de Seguridad de Información) para lo cual se tomará la norma ISO 27001 y 27002.
Objetivo
Implementar un SGSI y ser capaz de ofertar la misma implementación a sus clientes para la protección de su información y el acceso a los activos utilizados para el tratamiento de los mismos.
Establecer un posible alcance (procesos involucrados, ubicaciones incluidas, etc.) para el SGSI de forma justificada
‘DISO/IEC 27001:2013 Contexto de la Organización, 4.3 Determinación del alcance’.
De acuerdo a la norma se debe evaluar el estado de la información y sus vulnerabilidades para de esta manera detectar amenazas, riesgos e impactos para poder definir controles.
Sugerencia de acciones a realizar según el informe recibido para los controles especificados:
- Roles y responsabilidades en seguridad de la información
En lo referente a este control la norma ISO 27001 5.3 Roles, responsabilidades y autoridades de la organización; en su anexo ‘A7 Seguridad relativa a los recursos humanos – A7.1 Antes de empelo’ Identifica 1 indicador o criterio ‘el numeral A7.1.2’ y en base a este:
Responsable | Rol | Acción de mejora |
Dirección general |
|
|
Nivel Directivo |
|
|
Propietarios de activos |
|
|
Recursos Humanos |
|
|
Departamento de compra/venta |
|
|
Dirección de TIC |
|
|
- Para desempeñar los roles establecidos dentro de la organización concretamente el de responsable de seguridad, la alta gerencia debe considerar el perfil profesional, sus títulos académicos y certificaciones o conocimientos de la norma ISO 27001 y 27002.
En lo referente a este control la norma ISO 27001 en su anexo ‘A8 Gestión de activos – A8.1 Responsabilidad sobre los activos’ Identifica 4 indicadores o criterios ‘Desde el numeral A8.1.1 hasta A8.1.4’ y en base a estos:
- Se debe realizar un inventario de activos asociados a la información y a los recursos para el tratamiento de la misma.
- Determinar el propietario de cada activo identificado dentro del inventario.
- Identificar, documentar e implementar las reglas para el debido uso de la información y los activos utilizados para su tratamiento.
- El personal que sea responsable o propietario de los activos de la organización una vez termine su contrato o tiempo de empleo deberá devolver estos activos a la empresa.
- Concienciación, educación y capacitación en seguridad de la información
En lo referente a este control la norma ISO 27002 ‘7.2.2 o Concienciación, educación y capacitación en seguridad de la información’ Identifica 5 aspectos a considerar y en base a estos:
...