Estudio norma iso 27001.
Enviado por monicayanetha • 8 de Septiembre de 2016 • Apuntes • 2.023 Palabras (9 Páginas) • 1.266 Visitas
3. De los controles de la ISO 27002:2015 de las categorías: 6.Organización de la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.
Controles 6 ORGANIZACIÓN 6.1 Organización interna | normativos (N) | organizativos (O) políticas | técnicos (T) caducidad hardware |
6.1.1 Asignación de responsabilidades para la SI: Se deberían definir y asignar claramente todas las responsabilidades para la seguridad de la información. | Se requiere un documento normativo que lo establezca las responsabilidades. | Se requiere que la organización establezca las responsabilidades. | |
6.1.2 Segregación de tareas: Se deberían segregar tareas y las áreas de responsabilidad ante posibles conflictos de interés con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización. | Con el fin de reducir las oportunidades de modificación debe existir un documento que establezca la segregación de tareas. | ||
6.1.3 Contacto con las autoridades: Se deberían mantener los contactos apropiados con las autoridades pertinentes. | Se debe establecer organizativamente cuales son las autoridades con las que se debe mantener contacto. | ||
6.1.4 Contacto con grupos de interés especial: Se debería mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales. | El área de seguridad se mantiene en constante contacto con grupos de interés en seguridad física tanto por sus capacitaciones internas como por su interacción con proveedores especializados en los temas. | ||
6.1.5 Seguridad de la información en la gestión de proyectos: Se debería contemplar la seguridad de la información en la gestión de proyectos e independientemente del tipo de proyecto a desarrollar por la organización. | Se requiere un documento normativo que lo establezca. | ||
6.2. Dispositivos para movilidad y teletrabajo Actividades de control del riesgo | |||
6.2.1 Política de uso de dispositivos para movilidad: Se debería establecer una política formal y se deberían adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones. | Diseñar e implementar controles de computación móvil, acompañada del procedimiento adecuado para estos equipos. | ||
6.2.2 Teletrabajo: Se debería desarrollar e implantar una política y medidas de seguridad de apoyo para proteger a la información accedida, procesada o almacenada en ubicaciones destinadas al teletrabajo. | Diseñar e implementar políticas de seguridad para proteger las información accedida en ubicaciones destinadas como teletrabajo: Ejemplo políticas de VPN. |
Controles 8 ACTIVOS Responsabilidad sobre los activos8.1 Actividades de control del riesgo | normativos (N) | organizativos (O) | técnicos (T) |
8.1.1 Inventario de activos: Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes. | Se debe contar con sistema de inventarios. Se debe tener actualizada la información que tiene a desactualizarse con los nuevos cambios y compras de equipos | ||
8.1.2 Propiedad de los activos: Toda la información y activos del inventario asociados a los recursos para el tratamiento de la información deberían pertenecer a una parte designada de la Organización. | Debe existir a nivel organizativo un área encargada de inventario de la organización. Esta responsabilidad no debería de recaer en los empleados del área de soporte TI | Área tecnica de inventarios será la encargada del levantamiento de inventario por áreas. | |
8.1.3 Uso aceptable de los activos: Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información. | Se requiere un documento normativo que lo establezca que regule el uso de la información. | ||
8.1.4 Devolución de activos: Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de la organización que estén en su posesión/responsabilidad una vez finalizado el acuerdo, contrato de prestación de servicios o actividades relacionadas con su contrato de empleo. | Deben existir actas de devolución de c, con el fin de establecer un paz y salvo con la organización y el empelado. | El grupo de inventarios de la organización debe velar porque los activos sean devueltos a la organización. | |
Clasificación de la información 8.2 Actividades de control del riesgo | |||
8.2.1 Directrices de clasificación: La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización | Debe existir una normativa que establece la clasificación de la información. | La organización debe clasificar su información según valor y sensibilidad. | |
8.2.2 Etiquetado y manipulado de la información: Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la organización. | Se debe establecer un esquema de clasificación de la información. De esta forma se establece quienes tienen acceso a la información. | ||
8.2.3 Manipulación de activos: Se deberían desarrollar e implantar procedimientos para la manipulación de los activos acordes con el esquema de clasificación de la información adoptado por la organización. | Implantar procedimientos para la manipulación de activos. | La organización debe contar con sistema de manipulación de activos. De esta forma controlar la manipulación de los mismos | |
8.3 Manejo de los soportes de almacenamiento | |||
8.3.1 Gestión de soportes extraíbles: Se deberían establecer procedimientos para la gestión de los medios informáticos removibles acordes con el esquema de clasificación adoptado por la organización. | Se deben establecer políticas de acceso a la información con el fin de restringir el acceso a la información , acorde a las políticas de la clasificación de la información con el fin de que información sensible de la empresa no sea extraída de la misma. | Se debe contar en la empresa con un sistema de vigilancia que registre la entrada y salida de los medios informáticos extraíbles. | |
8.3.2 Eliminación de soportes: Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales. | Se deben establecer normativas para la eliminación de soportes, cuando estos ya no sean requeridos. | ||
8.3.3 Soportes físicos en tránsito: Se deberían proteger los medios que contienen información contra acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización. | Establecer pólizas con la empresa encargada de manipular los medios que contienen información sensible de la empresa fuera de los límites físicos de la organización. | La organización debe contar con un sistema de mensajería que se encargue de proteger los medios que contienen información fuera de los límites físicos de la organización. |
...