jueves, 30 de abril de 2015

       POLÍTICA DE SEGURIDAD     
  DEFINICIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA

Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización no se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos. 

  POLÍTICA DE SEGURIDAD

el proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas.

Está lejos de mi intención (y del alcance del presente) proponer un documento estableciendo lo que debe hacer un usuario o una organización para lograr la mayor Seguridad Informática posible. Sí está dentro de mis objetivos proponer los lineamientos generales que se deben seguir para lograr (si así se pretendiese) un documento con estas características.La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y poder explorar más allá de las fronteras nacionales, lo cual lógicamente ha traído consigo, la aparición de nuevas amenazas para los sistemas de información 


PRINCIPIOS DE LA SEGURIDAD DE LA  INFORMACIÓN                                                                    

• INTEGRIDAD: la información debe ser protegida de modificaciones no autorizadas.

• DISPONIBILIDAD: la información y servicios deben estar disponibles siempre que se necesiten.


• CONFIDENCIALIDAD: se debe garantizar que la información es conocida únicamente por a quien le interese.



  

ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD INFORMÁTICA

-Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica.


- Objetivos de la política y descripción clara de los elementos involucrados en su definición. 

- Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. 
- Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política. 
- Definición de violaciones y sanciones por no cumplir con las políticas. 
- Responsabilidades de los usuarios con respecto a la información a la que tiene acceso. 
- Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y son la principal fuente para establecer el alcance y definir las violaciones a las políticas. 
- Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. 



 PARÁMETROS PARA ESTABLECER POLÍTICAS DE SEGURIDAD
                                 
Efectuar un análisis de riesgos informáticos, para valorar los activos y así adecuar las políticas a la realidad de la empresa.


RAZONES QUE IMPIDEN LA APLICACIÓN DE LAS POLÍTICAS DE                           SEGURIDAD INFORMÁTICA

A pesar de que un gran número de organizaciones canalizan sus esfuerzos para definir directrices de seguridad y
 concertarlas en documentos que orienten las acciones de las mismas. 

Esta situación ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad y riesgos innecesarios, que en muchos casos comprometen información sensitiva y por ende su imagen corporativa .

Finalmente, es importante señalar que las políticas por sí solas no constituyen una garantía para la seguridad de la organización

PLAN DE CONTINGENCIA

Es el conjunto de procedimientos alternativos a la operativa normal de cada empresa, cuya finalidad es la de permitir el funcionamiento de ésta , aún cuando alguna de sus funciones deje de hacerlo por culpa de algún incidente tanto interno como ajeno.
 El hecho de preparar un plan de contingencia no implica un reconocimiento de la ineficiencia en la gestión de la empresa, sino todo lo contrario 
Publicado por en No hay comentarios:
                            LOS 11 DOMINIOS
Los dominios incluidos en la ISO-27001 que deben ser evaluados incluyen los siguientes objetivos:
  • Dominio Política de seguridad 
Su objetivo es garantizar a la organización el soporte y gestión necesarios para la seguridad de la información según los requisitos institucionales y normativos. Además establece la política conforme a los objetivos de las organizaciones manifestando el compromiso con la Seguridad de la Información.
  • Dominio Organización de la Seguridad de la informacion
Su finalidad es instaurar un marco de referencia para definir el camino para la cumplimentación y control de la seguridad de la información dentro de la organización.
La dirección de la organización es la responsable de determinar la política de seguridad, asimismo debe establecer los roles de los comités y nombrar al encargado a través de una resolución. El encargado coordinara y revisará el proceso.
  • Dominio Gestión de Activos
Este dominio tiene como objetivo realizar una protección adecuada de los activos de la organización.
En todo momento los activos estarán inventariados y estarán controlados por un responsable que también se encargara de manipularlos correctamente.
  •  Dominio Seguridad de los Recursos Humanos
Su objetivo es fijar las medidas necesarias para controlar la seguridad de la información, que sea manejada por los recursos humanos de la organización.
  • Dominio: Seguridad física y del ambiente
Con este dominio se consigue proteger a las instalaciones de la organización y a toda la información que maneja. Para ello entre otros, se establecen barreras de seguridad y controles de acceso.
  • Dominio: Gestión de las comunicaciones y operaciones
El objetivo es determinar los procedimiento y responsabilidades de las operaciones que realiza la organización, asegurándose que todos los procesos que estén relacionados con la información se ejecuten adecuadamente.
  • Dominio Control de Acceso
Con él se asegura el acceso autorizado a los sistemas de información de la organización. Por ello, es necesario realizar diversas acciones como controles para evitar el acceso de usuarios no autorizados, controles de entrada…
  • Dominio Adquisición, desarrollo y mantenimiento de los sistemas de 
    • información
Este domino está dirigido a aquellas organizaciones que desarrollen software internamente o que tengan un contrato con otra organización que sea la encargada de desarrollarlo.  Se tiene que establecer los requisitos en la etapa de implementación o desarrollo del software para que sea seguro.
  • Dominio: Gestión de incidentes en la seguridad de la 
    • información
Con este dominio se aplica un proceso de mejora continua en la gestión de percances de seguridad de la información.
  • Dominio: Gestión de la Continuidad del negocio
El objetivo es asegurar la continuidad operativa de la organización. Se requiere aplicar controles que eviten o reduzcan los incidentes de las actividades desarrolladas por la organización que puedan generar un impacto.
  • Dominio: cumplimiento
Su finalidad es asegurar que los requisitos legales de seguridad  referidos al diseño, operación, uso y gestión de los sistemas de información se cumplan.

Publicado por en No hay comentarios:
ISO  27000

concepto 

La ISO 27000 es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa. La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible. Se persiguen 3 objetivos:
•Preservar la confidencialidad de los datos de la empresa
•Conservar la integridad de estos datos
•Hacer que la información protegida se encuentre disponible
Una empresa que tiene implantada la ISO 27000 garantiza, tanto de manera interna como al resto de las empresas, que los riesgos de la seguridad de la información sean controlados por la organización de una forma eficiente.

Familia de Normas ISO 27000

 ISO 27000: define el vocabulario estándar empleado en la
familia 27000 

 ISO 27001: especifica los requisitos a cumplir para
implantar un SIGÁIS certificable conforme a las normas 27000
 Define cómo es el SGSI, cómo se gestiona y cuales son las responsabilidades de los participantes.
 Sigue un modelo PDCA 

ISO 27002: código de buenas prácticas para la gestión de la
Seguridad
Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización
 Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica os controles recomendables a implantar (medidas a tomar)
 Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799)

 ISO 27000: define el vocabulario estándar empleado en la
familia 27000

 ISO27001: especifica los requisitos a cumplir para
implantar un SGSI certificable conforme a las normas 27000

Publicado por en No hay comentarios:

jueves, 16 de abril de 2015

tecnología web (definición )

  • Tecnología Web 

  • 1. Tecnología Web Curso Sistemas de Información Lewis M. Soncco Araujo Lima – 2008 Maestría en Ciencias de la Computación
  • 2. Índice
    • Definición de Tecnología Web
    • Arquitectura clásica CLIENTE – SERVIDOR
    • Evolución del web
    • ¿Cómo apoya al Flujo de la información?
    • ¿Cómo apoya a la toma de decisiones?
    • Casos De Estudio
    • Ventajas y desventajas
    • Modelo Extendido de Aceptación de la Tecnología
    • Implementar Una Pagina Web
    • Conclusiones
    • Bibliografía
  • 3. Definición TECNOLOGÍAS DE DESARROLLO DE PAGINAS WEB TECNOLOGÍAS DE TECNOLOGIAS INTERCONEXION DE ORDENADORES TECNOLOGÍA WEB Usa Usa S E C O M P O N E NAVEGADORES WEB SERVIDORES WEB OTRAS TECNOLOGÍAS DE TECNOLOGIAS URL (Localizador Uniforme de Recursos)
  • 4. Definición
    • Es un Tecnología que utiliza todas las tecnologías de inter conectividad de ordenadores que permite a los usuarios el intercambio, en formato de hipertexto, de todo tipo de datos e información (Texto, imágenes, sonido) y de aplicaciones de software.
  • 5. Índice
    • Definición de Tecnología Web
    • Arquitectura clásica CLIENTE – SERVIDOR
    • Evolución del web
    • ¿Cómo apoya al Flujo de la información?
    • ¿Cómo apoya a la toma de decisiones?
    • Casos De Estudio
    • Ventajas y desventajas
    • Modelo Extendido de Aceptación de la Tecnología
    • Implementar Una Pagina Web
    • Conclusiones

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)