ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Emprendimiento


Enviado por   •  26 de Julio de 2014  •  1.454 Palabras (6 Páginas)  •  248 Visitas

Página 1 de 6

12.1 Actividades en la administración de la seguridad de información

Para que la organización cuente con una administración de la seguridad de su información, se debe de contar con los siguientes elementos claves:

Compromiso y soporte de la alta gerencia.

Políticas y procedimientos.

Organización para el establecimiento de responsabilidades para los activos individuales.

Conciencia de la seguridad y la educación.

Monitoreo y cumplimiento.

Tratamiento y respuesta a incidentes.

Estos elementos deben de cumplirse para que en toda la organización exista una buena seguridad de información, las actividades que la administración de la seguridad de información implica son las siguientes:

Inventarios de activos de información. Se asignan clases o niveles de sensibilidad y criticidad a los recursos de información, y se establecen reglas específicas de seguridad para cada clase.

Clasificación de los activos de información. Los activos de información tienen diversos grados de sensibilidad y de criticidad en cuanto a la satisfacción de los objetivos del negocio. El acceso a los activos de información de TI (Tecnologías de Información) se establece, administra y gestiona, a nivel lógico y a nivel físico.

Accesos lógicos. Controlar cómo los recursos son accedidos, de tal manera que puedan ser protegidos contra accesos o modificaciones no autorizadas.

Exposiciones de acceso lógico. Las exposiciones a riesgos que existen desde del control de acceso lógico incluyen la exposición técnica y el crimen informático. Las exposiciones técnicas son las actividades no autorizadas que interfieren con el procesamiento normal. Algunas son las que se mencionan a continuación:

Fuga de datos.

Virus.

Intercepción de líneas.

Gusanos (worms).

Bombas lógicas.

Ataque de negación de servicio.

Paralización o caída de la computadora (computer shut down).

War driving.

Piggybacking.

Puertas traseras (trap doors).

Ataques asíncronos.

Acceso físico. Algunas acciones que se pueden tomar son las siguientes:

Analizadores de retina.

Tarjetas inteligentes.

Videocámaras

Vigilantes jurados.

Estas son algunas acciones que se deben de tomar para asegurar un nivel mínimo en la seguridad de información, como auditor de sistemas de información debes de confirmar que la organización cumpla con al menos algunas de estas actividades.

12.2 Accesos lógicos

Como ya se mencionó anteriormente, los accesos lógicos se encargan de los accesos a los recursos, por lo tanto los procesos de control de accesos permiten manejar cómo los usuarios y los sistemas se comunican e interactúan con otros sistemas y recursos. Los controles que hacen cumplir el control de acceso pueden ser técnicos, físicos o administrativos.

Los activos de TI bajo la seguridad lógica pueden agruparse en cuatro capas: las redes, las plataformas de sistemas operativos, las bases de datos y las aplicaciones. Esto permite el concepto de seguridad en capas para acceso al sistema, que proporciona un mayor alcance y granularidad de control de los recursos de información.

Los controles de las bases de datos y de las aplicaciones, por lo general, proporcionan un mayor grado de control sobre la actividad del usuario dentro de un proceso particular del negocio al controlar el acceso a registros, campos de datos específicos y transacciones.

Las capacidades de acceso lógico son implementadas por medio de la administración de la seguridad en un conjunto de reglas de acceso que estipulan cuáles usuarios (o grupos de usuarios) están autorizados para tener acceso a un recurso a un nivel en particular, (por ejemplo, leer, actualizar, ejecutar solamente) y bajo qué condiciones (por ejemplo, hora del día o conjunto de terminales informáticos).

El administrador de la seguridad invoca el mecanismo apropiado de control de acceso del sistema cuando recibe el pedido de autorización del propietario de la información (data owner), para otorgar derechos de acceso o uso de un recurso protegido a un usuario especificado.

El auditor de sistemas de información debe estar consciente de que se otorga acceso a los sistemas de información utilizando los principios de necesidad de saber, el menor privilegio y segregación de funciones.

12.3 Seguridad en redes de telecomunicaciones

Las redes son un activo de vital importancia en la organización, ya que por este medio es donde se comparte toda la información y es donde se pueden recibir los ataques para tratar de perjudicar a la organización, sustrayéndola y atacando los activos de información, así como su infraestructura informática, algunos de los controles que la organización puede aplicar son los siguientes:

Como auditor de sistemas de información, es importante que verifiques que las redes tengan alguno de estos controles aplicados y que los departamentos donde se genere, se comparta y se almacene toda la información sensible para los procesos de la empresa

...

Descargar como (para miembros actualizados) txt (10 Kb)
Leer 5 páginas más »
Disponible sólo en Clubensayos.com