LA GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES EN LA SEGURIDAD INFORMÁTICA
DEFINICIÓN: La gestión de comunicaciones y operaciones, son la forma de como se administra y supervisa todo lo referente a la actividad y comunicación de la empresa, a través del control de la información o servicio que se entrega dentro de ella.
La gestión de las comunicaciones y operaciones es una sección de la norma ISO 17799 y considera
Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
_Dar Respaldo de información, gestión de la seguridad de
las redes, intercambio de información y monitorio
Objetivos:
_Determinar los requerimientos necesarios para garantizar el resguardo y protección de la información.
_Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.
Procesos considerados en la g.c.o.
- Procedimientos y responsabilidades operacionales.
- Gestión de servicios de terceros.
- Planificación y aceptación de sistemas.
- Protección contra código malicioso.
- Copias de seguridad.
- Gestión de la seguridad de red.
- Gestión de dispositivos de almacenamiento.
- Control sobre el intercambio de información entre sociedades.
- Control de los servicios de comercio electrónico.
- Monitorización de sistemas.
A) Procedimientos y responsabilidades operacionales
Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad.
Procedimientos para Planes de Contingencia, Análisis e Identificación de las causas de un incidente, Colección de pistas de auditoria, Reporte a las autoridades, etc.
B ) Gestión de servicios de terceros
Consiste en controlar y supervisar a personas o organizaciones que trabajan en conjunto con la empresa, que cumplan los mismos requisitos de seguridad para garantizar la protección de la información de la empresa.
C )PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS
Objetivo:
Minimizar los riesgos de fallas en los sistemas.
Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.
D) Protección contra código malicioso
-Objetivo:
-Proteger la integridad del Software y la Información.
-Controles contra Software Malicioso:
-Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado.
E) Gestión de la seguridad de red
-Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.
-También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas
F) Gestión de dispositivos de
almacenamiento
_Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado.
_Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.
J) Control sobre el intercambio de información entre sociedades
-Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
-El correo electrónico presenta los siguientes riesgos:
-Vulnerabilidad de los mensajes Y acceso no autorizado.
-Vulnerabilidad a errores (direcciones incorrectas).
-Cambio en los esquemas de comunicación (más personal).
H ) Control de los servicios de comercio electrónico
-Prevenir el robo o fraude que se puede dar en las transacciones comerciales a través de Internet.
-El comercio electrónico presenta los siguientes riesgos:
-Vulnerabilidad en las transacciones ó acceso no autorizado.
I) Monitorización de sistemas
Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y pérdida de información y conocer el aprovechamiento de los recursos TIC disponibles.}
No hay comentarios:
Publicar un comentario