ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Configuración server dominio


Enviado por   •  25 de Mayo de 2019  •  Práctica o problema  •  1.586 Palabras (7 Páginas)  •  169 Visitas

Página 1 de 7

Índice

Documentar un objetivo de negocio que justifique la necesidad de realizar un SGSI dentro de la compañía.        1

Introducción        1

Objetivo        1

Establecer un posible alcance (procesos involucrados, ubicaciones incluidas, etc.) para el SGSI de forma justificada        2

Sugerencia de acciones a realizar según el informe recibido para los controles especificados:        2

o        Roles y responsabilidades en seguridad de la información        2

o        Concienciación, educación y capacitación en seguridad de la información        5

o        Clasificación de la información        5

o        Política de control de acceso        6


Documentar un objetivo de negocio que justifique la necesidad de realizar un SGSI dentro de la compañía.

‘ISO/IEC 27001:2013 Contexto de la organización, 4.1 Comprensión de la organización y su contexto, 4.2 Comprensión de las necesidades y expectativas de las partes interesadas; Liderazgo, 5.2 Objetivo de control; Planificación, 6.2 Objetivos de continuidad de negocios y planes para lograrlos’.

Introducción

Tecnologías y servicios es una empresa ecuatoriana domiciliada en Guayaquil; que ofrece asesoría en implementaciones tecnológicas, venta de partes/piezas y soporte técnico de equipos informáticos.

Para la empresa es fundamental la información ya que la misma es fundamental para si misma y para sus clientes, por ende, nace la necesidad de implementar un SGSI (Sistema de Gestión de Seguridad de Información) para lo cual se tomará la norma ISO 27001 y 27002.

Objetivo

Implementar un SGSI y ser capaz de ofertar la misma implementación a sus clientes para la protección de su información y el acceso a los activos utilizados para el tratamiento de los mismos.

Establecer un posible alcance (procesos involucrados, ubicaciones incluidas, etc.) para el SGSI de forma justificada

‘DISO/IEC 27001:2013 Contexto de la Organización, 4.3 Determinación del alcance’.

De acuerdo a la norma se debe evaluar el estado de la información y sus vulnerabilidades para de esta manera detectar amenazas, riesgos e impactos para poder definir controles.

Sugerencia de acciones a realizar según el informe recibido para los controles especificados:

  •  Roles y responsabilidades en seguridad de la información  

En lo referente a este control la norma ISO 27001 5.3 Roles, responsabilidades y autoridades de la organización; en su anexo ‘A7 Seguridad relativa a los recursos humanos – A7.1 Antes de empelo’ Identifica 1 indicador o criterio ‘el numeral A7.1.2’ y en base a este:

Responsable

Rol

Acción de mejora

Dirección general

  • Aprobación y verificación del cumplimiento         de las políticas de seguridad de la información.
  • Hacer que los miembros del comité directivo sean conscientes de la criticidad de los activos de la información y su desarrollo en la misión de la empresa.  
  • Las políticas de seguridad de la información deben ser revisadas al menos una vez al año y actualizadas de acuerdo a las necesidades y/o cambios en procesos y tecnología que se realicen en la organización.
  • Proporcionar los recursos necesarios para la implementación del SGSI para lograr los resultados esperados.

Nivel Directivo

  • Grupo compuesto por los jefes de las áreas, cuya función principal es la de redactar las políticas para la seguridad de la información.
  • Grupo compuesto por los jefes de las áreas, cuya función principal es la de redactar las políticas para la seguridad de la información.
  • Dar apoyo en actividades como tales como acuerdos de confidencialidad, aprobar revisiones externas a la seguridad de la información.
  •   Garantizar que los empleados que se retiran de la empresa devuelvan la información que tienen bajo su resguardo.

Propietarios de activos

  • Es la persona encargada del activo de información, tiene como función principal resguardar los activos de información independientemente del medio que se encuentre o forma de reproducción.
  • Establecer controles de seguridad por medio de implantación de políticas. Llevar un registro de todas las personas a las que se ha otorgado algún privilegio de acceso.

Recursos Humanos

  • Responsable de la gestión de talento humano antes, durante y después de la contratación.
  • Informar al jefe de TIC el ingreso de nuevo personal, para definir de acuerdo a las funciones del puesto de trabajo, si es o no necesario que tenga acceso algún tipo específico de software, hardware o datos.

Departamento de compra/venta

  • Encargado de realizar procesos de compra y venta de la compañía
  • Mantener actualizada la base de datos de proveedores y clientes.

Dirección de TIC

  • Responsable del cumplimiento de los controles relacionados con gestión de cambios, control de redes, sistemas operativos, gestión de accesos de usuarios.
  • Realizar trimestralmente copias de seguridad de la información más importante de los usuarios.
  • Realizar semestralmente pruebas de penetración, análisis de vulnerabilidades a la red para la medición de la seguridad perimetral de la red interna ante un ataque externo.

  • Para desempeñar los roles establecidos dentro de la organización concretamente el de responsable de seguridad, la alta gerencia debe considerar el perfil profesional, sus títulos académicos y certificaciones o conocimientos de la norma ISO 27001 y 27002.

En lo referente a este control la norma ISO 27001 en su anexo ‘A8 Gestión de activos – A8.1 Responsabilidad sobre los activos’ Identifica 4 indicadores o criterios ‘Desde el numeral A8.1.1 hasta A8.1.4’ y en base a estos:

  • Se debe realizar un inventario de activos asociados a la información y a los recursos para el tratamiento de la misma.
  • Determinar el propietario de cada activo identificado dentro del inventario.
  • Identificar, documentar e implementar las reglas para el debido uso de la información y los activos utilizados para su tratamiento.
  • El personal que sea responsable o propietario de los activos de la organización una vez termine su contrato o tiempo de empleo deberá devolver estos activos a la empresa.

  • Concienciación, educación y capacitación en seguridad de la información

En lo referente a este control la norma ISO 27002 ‘7.2.2 o        Concienciación, educación y capacitación en seguridad de la información’ Identifica 5 aspectos a considerar y en base a estos:

...

Descargar como (para miembros actualizados) txt (10 Kb) pdf (214 Kb) docx (18 Kb)
Leer 6 páginas más »
Disponible sólo en Clubensayos.com