Professional Documents
Culture Documents
PROYECTO DE GRADUACIÓN
PREVIO A LA OBTENCIÓN DEL TÍTULO DE:
ANALISTA DE SISTEMAS
TEMA:
“IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN APLICADA AL DOMINIO GESTIÓN DE ACTIVOS PARA LA
EMPRESA PLÁSTICOS INTERNACIONALES PLASINCA C.A.”
AUTORES:
ALEJANDRA EUGENIO RIVAS
MIGUEL PARRALES ESPINOZA
PAÚL SABANDO SUDARIO
DIRECTOR:
MBA. VÍCTOR MUÑOZ CHACHAPOLLA
AÑO
2011
AGRADECIMIENTO
___________________________________
Mba. Víctor Muñoz Chachapolla
Director del Proyecto
___________________________________
Delegado
FIRMAS DE LOS AUTORES DEL PROYECTO DE GRADUACIÓN
___________________________________
Alejandra Eugenio Rivas
___________________________________
Miguel Parrales Espinoza
___________________________________
Paúl Sabando Sudario
RESUMEN
CAPÍTULO I
I. INTRODUCCIÓN .............................................................................................. 14
I.1 DEFINICIÓN .................................................................................................... 14
I.2 SITUACIÓN ACTUAL ........................................................................................ 14
I.3 ESTRUCTURA ORGANIZACIONAL ..................................................................... 15
I.3.1 MISIÓN ............................................................................................................ 15
I.3.2 VISIÓN ............................................................................................................. 15
I.3.3 POLÍTICAS DE CALIDAD ................................................................................... 15
I.3.4 POLÍTICAS DE SEGURIDAD .............................................................................. 15
I.4 DIAGRAMA DE PLANTA ................................................................................... 16
I.5 FUNCIONAMIENTO POR ÁREA ........................................................................ 17
I.6 ORGANIGRAMA .............................................................................................. 18
CAPÍTULO II
II. PLANEACIÓN DEL SGSI .................................................................................... 20
II.1 METODOLOGÍA DE EVALUACIÓN DE RIESGOS ................................................. 20
II.2 IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS .................................................. 21
II.2.1 IDENTIFICACIÓN DE ACTIVOS ......................................................................... 21
II.2.2 AGRUPACIÓN DE ACTIVOS .............................................................................. 23
II.2.3 DIMENSIONES DE VALORACIÓN ..................................................................... 24
II.2.4 CRITERIOS DE VALORACIÓN............................................................................ 25
II.2.5 VALORACIÓN DE ACTIVOS .............................................................................. 32
II.3 IDENTIFICAR AMENAZAS Y VULNERABILIDADES .............................................. 33
II.3.1 AMENAZAS POR ACTIVO ................................................................................. 33
II.4 IDENTIFICAR IMPACTOS .................................................................................. 35
II.4.1 IMPACTO POR AMENAZA ............................................................................... 36
II.5 ANÁLISIS Y EVALUACIÓN DE RIESGOS ............................................................. 38
VIII
CAPÍTULO III
III. EJECUCIÓN DEL SGSI ....................................................................................... 41
III.1 DEFINIR PLAN DE TRATAMIENTO DE RIESGO ................................................... 41
III.1.1 OPCIONES PARA EL TRATAMIENTO DEL RIESGO ............................................ 41
III.2 IMPLEMENTAR PLAN DE TRATAMIENTO DE RIESGO ........................................ 43
III.2.1 CONTROLES SELECCIONADOS DE LA NORMA ISO 27002 ............................... 44
III.2.2 SALVAGUARDAS .............................................................................................. 46
III.3 IMPLEMENTAR LOS CONTROLES ..................................................................... 47
III.3.1 CONTROLES Y POLÍTICAS DE SEGURIDAD ....................................................... 47
III.3.2 DEFINICIÓN DE POLÍTICAS DE SEGURIDAD INFORMÁTICA............................. 48
III.4 SELECCIÓN DE CONTROLES Y SOA ................................................................... 57
III.4.1 DECLARACIÓN DE APLICABILIDAD (SOA) ........................................................ 58
III.5 FORMACIÓN Y CONCIENCIACIÓN .................................................................... 61
III.5.1 CAPACITACIÓN ................................................................................................ 61
CAPÍTULO IV
IV. ANEXO ........................................................................................................... 63
IV.1 DEFINICIÓN DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN .... 63
IV.2 IMPLANTACIÓN .............................................................................................. 63
IV.3 CERTIFICACIÓN ............................................................................................... 63
IV.4 LA SERIE ISO 27000 ......................................................................................... 63
IV.5 MODELO A SEGUIR: PDCA ............................................................................... 64
IV.6 METODOLOGÍA: MAGERIT .............................................................................. 65
IV.7 DOMINIO, OBJETIVOS DE CONTROL Y CONTROLES .......................................... 65
IV.8 DEFINICIÓN DEL ALCANCE DEL SGSI ................................................................ 65
IV.9 DEFINICIÓN DE POLÍTICAS DE SEGURIDAD....................................................... 66
IV.9.1 UBICACIÓN Y PROTECCIÓN DEL EQUIPO (9.2.1)............................................. 66
IV.9.2 MANTENIMIENTO DE EQUIPO (9.2.4) ............................................................ 67
IV.9.3 SERVICIOS PÚBLICOS DE SOPORTE (9.2.2) ...................................................... 68
IV.9.4 ASPECTOS DE LA SEGURIDAD DE LA INFORMACIÓN DE LA GESTIÓN DE LA
CONTINUIDAD DEL NEGOCIO (14.1) ............................................................... 69
IX
IV.9.5 DESARROLLAR E IMPLEMENTAR LOS PLANES DE CONTINUIDAD INCLUYENDO LA
SEGURIDAD DE LA INFORMACIÓN (14.1.3) ........................................................ 70
IV.9.6 PRUEBA, MANTENIMIENTO Y RE-EVALUACIÓN DE LOS PLANES DE
CONTINUIDAD DEL NEGOCIO (14.1.5) ................................................................ 72
IV.9.7 RESPONSABILIDADES Y PROCEDIMIENTOS (13.2.1) ............................................ 74
IV.9.8 CONOCIMIENTO, EDUCACIÓN Y CAPACITACIÓN EN SEGURIDAD DE LA
INFORMACIÓN (8.2.2) ......................................................................................... 76
IV.9.9 PROTECCIÓN CONTRA EL CÓDIGO MALICIOSO Y MÓVIL (10.4).......................... 77
IV.9.10 CONTROLES CONTRA CÓDIGOS MALICIOSOS (10.4.1) ....................................... 77
IV.9.11 REPORTE DE LOS EVENTOS Y DEBILIDADES DE LA SEGURIDAD DE LA
INFORMACIÓN (13.1) ......................................................................................... 79
IV.9.12 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (5.1) ....................................... 80
IV.9.13 DOCUMENTO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN (5.1.1)... 80
IV.9.14 CUMPLIMIENTO DE LOS REQUERIMIENTOS LEGALES (15.1) ............................ 82
IV.9.15 DERECHOS DE PROPIEDAD INTELECTUAL (15.1.2) ............................................ 82
IV.9.16 PROTECCIÓN DE LA DATA Y PRIVACIDAD DE LA INFORMACIÓN PERSONAL
(15.1.4) .............................................................................................................. 84
IV.9.17 RESPONSABILIDAD POR LOS ACTIVOS (7.1) ...................................................... 85
IV.9.18 INVENTARIO DE LOS ACTIVOS (7.1.1) ................................................................ 86
IV.9.19 PROPIEDAD DE LOS ACTIVOS (7.1.2) ................................................................. 87
IV.9.20 USO ACEPTABLE DE LOS ACTIVOS (7.1.3) .......................................................... 88
IV.9.21 CLASIFICACIÓN DE LA INFORMACIÓN (7.2) ....................................................... 89
IV.9.22 LINEAMIENTOS DE CLASIFICACIÓN (7.2.1) ........................................................ 89
IV.9.23 ETIQUETADO Y MANEJO DE LA INFORMACIÓN (7.2.2) ..................................... 90
IV.10 TIPOS DE AMENAZAS .................................................................................. 92
IV.11 INVENTARIO GENERAL DE PLASTICOS INTERNACIONALES C.A ...................... 95
IV.12 FOTOS DE LA EMPRESA ..............................................................................108
IV.13 DIFERENTES INSTALACIONES DE LA EMPRESA.............................................109
IV.14 DIFERENTES PROBLEMAS ENCONTRADOS EN LA EMPRESA CON RESPECTO A
LA SEGURIDAD INFORMÁTICA ....................................................................111
X
ÍNDICE DE FIGURA
XI
ÍNDICE DE TABLAS
XII
CAPÍTULO I
INTRODUCCIÓN
Proyecto de Graduación Sistema de Gestión de Seguridad de la Información Gestión de Activos
I. INTRODUCCIÓN
I.1 DEFINICIÓN
En los actuales momentos cuenta con dos sistemas informáticos: uno de producción,
que se encarga de llevar el manejo de la fabricación de productos y otro para la
administración llamado Bi-moneda, que se encarga de la contabilidad. Estos sistemas
informáticos generan una gran cantidad de información, la cual se deben mantener
segura tomando medidas o políticas de seguridad para salvaguardar su información.
I.3.1 MISIÓN
Proveer a sus clientes productos y servicios que excedan sus expectativas, a un costo
competitivo en el mercado, de tal forma que represente un ahorro en materia
económica y una ventaja en términos de calidad, logrando satisfacer sus necesidades
establecidas.
I.3.2 VISIÓN
Ser reconocida como una empresa Líder en el mercado de los productos de su género
a nivel nacional y asegurar una competitividad sostenible y rentable
permanentemente.
I.6 ORGANIGRAMA
La metodología Magerit nos muestra el grado de protección que tienen los activos con
respecto al ambiente en que se encuentran y cómo interactúan con este, con el cual se
podrá evaluar y posteriormente determinar la vulnerabilidad de estos equipos.
Además de la implantación de controles para mejorar la manipulación y en lo posible
tratar de disminuir la ocurrencia de los factores maliciosos, los cuales se podrían
transformar en un impacto desfavorable para la organización.
Esta técnica nos proveerá la mejor funcionalidad, adecuada para reconocer las
dependencias entre los activos más importantes por medio de un análisis algorítmico y
un método que implica el reconocimiento de los riesgos y su valoración, para llegar a
un nivel tolerable de los mismos. Con un esquema que nos ayudará a concienciar a los
responsables de los activos de la existencia de los riesgos a la cual están expuestos.
Elabora pedidos.
1 WRKS-REC-001 Jennifer Rodríguez
Valida reportes.
Control de despachos.
2 WRKS-REC-002 Mabel Arévalo Control de órdenes de Pedido.
Cálculos de precio de pedido.
Elaboración de cuadros de
amortizaciones y depreciaciones.
Flujos de caja.
5 WRKS-CON-005 Víctor Reyes Cuadro de obligaciones bancarias.
Control de las importaciones de
materia prima.
Pago de Impuestos.
Elaboración de cuadros de
importaciones.
6 WRKS-CON-006 Verónica Plaza Elaboración de formularios de
transferencia.
Administrar la contabilidad.
Realizar liquidaciones.
8 WRKS-PRO-008 Silvia Sarmiento
Inventario de materia prima.
Elaborar cotizaciones.
9 WRKS-PRO-009 Carlos Stagg Elaborar reporte de ventas.
Cobranzas.
Administrar etiquetado de
16 WRKS-IMP-015 Enrique Valle
productos terminados.
Administrar el proceso de
18 WRKS-EXT-016 No asignado
extrusión.
La tarea clasifica los Activos identificados en las tipologías ofrecidas por Magerit y los
agrupa según:
PC / Laptop
Servidores
Información / Datos
Aplicaciones (Software)
Son las características o atributos que hacen valioso un activo. Una dimensión es una
faceta o aspecto de un activo, independiente de otras.
Para valorar los activos, la siguiente escala de valores nos ofrece los siguientes
aspectos:
ESCALAS DE VALORES
VALOR CRITERIO
Lo más normal es que un activo reciba una simple valoración en cada dimensión en la
que es preciso. Este planteamiento puede y debe ser enriquecido en el caso de
dimensiones más complejas, como es el caso de la disponibilidad, en la que las
consecuencias varían dependiendo del tiempo que dure la interrupción. En estos
casos, la dimensión no recibe una única calificación, sino tantas como escalones se
hayan considerado relevantes.
Los criterios que siguen se aplican en cada escalón, pudiendo variar el motivo:
CRITERIOS DE VALORIZACIÓN
VALOR CRITERIO
La definición de amenaza está dada como un evento que puede ocurrir, producto de
un daño sobre los elementos de un sistema, las cuales pueden afectar, ya sea a la
integridad, disponibilidad, confidencialidad y autenticidad de los datos e información
con técnicas tales como: el reconocimiento de puntos de entrada, fronteras de
privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las
posibles amenazas.
Se considera impacto a todo hecho que se presentó y que resuelto o no, provocó algún
tipo de repercusión importante (sobre todo negativa) en la funcionalidad de alguna
parte de la organización; en nuestro caso específicamente a los activos físicos y toda la
información que almacenan.
Estableciendo las prioridades a las diversas situaciones, se deben asignar valores a los
sistemas que pueden ser afectados por las potenciales amenazas, en base a esto se
pueden determinar cuáles deberían ser atendidas inmediatamente. Habrá que analizar
todos los criterios de valorización, como son la confidencialidad, disponibilidad e
integridad, aplicando una tabla que nos cuantificará las incidencias. Además de
identificar los impactos, hay que clasificarlos dependiendo el tipo de consecuencias
que las amenazas pueden producir en los activos:
TIPOS DE
CONSECUENCIAS
CUANTITATIVA
CUALITATIVA
FUNCIONAL
ACTIVO AMENAZA IMPACTO
Reduce la
[N.1] Incendios C1, C2 L4 [D]
disponibilidad
Reduce la
[N.2] Inundaciones C1, C2 L4 [D]
disponibilidad
Reduce la
[N.3] Otro desastre natural C1, C2 L4 [D]
disponibilidad
Contaminación Reduce la
[I.3] C1, C2 L4 [D]
mecánica disponibilidad
Reduce la
[I.4] Avería de origen físico C1, C2 - [D]
disponibilidad
PC / Corte del suministro Reduce la
[I.5] C1, C2 - [D]
LAPTOP eléctrico disponibilidad
Condiciones
inadecuadas de Reduce la
[I.6] C1, C2 L4 [D]
temperatura y/o disponibilidad
humedad
Errores de
mantenimiento / Reduce la
[E.15] C1, C2 - [D]
actualización de disponibilidad
equipos (hardware)
Reduce la
C1, C2
[A.17] Robo disponibilidad, L4 [D], [C]
,C3
confidencialidad
Reduce la
[N.1] Incendios C1, C2 L4 [D]
disponibilidad
Reduce la
[N.2] Inundaciones C1, C2 L4 [D]
disponibilidad
Reduce la
[N.3] Otro desastre natural C1, C2 L4 [D]
disponibilidad
SERVIDOR
Contaminación Reduce la
[I.3] C1, C2 L4 [D]
mecánica disponibilidad
Reduce la
[I.4] Avería de origen físico C1, C2 - [D]
disponibilidad
Corte del suministro Reduce la
[I.5] C1, C2 - [D]
eléctrico disponibilidad
Condiciones
inadecuadas de Reduce la
[I.6] C1, C2 L4 [D]
temperatura y/o disponibilidad
humedad
Errores de
mantenimiento / Reduce la
[E.15] C1, C2 - [D]
actualización de disponibilidad
equipos (hardware)
Reduce la
C1, C2
[A.17] Robo disponibilidad, L4 [D], [C]
,C3
confidencialidad
Reduce la
Difusión de software disponibilidad, [D], [C],
[E.5] C2 L1
dañino confidencialidad [I]
e integridad
INFORMACIÓN Introducción de Reduce la
[E.9] C1,C2 L3 [I]
/ DATOS información incorrecta integridad
Destrucción la Reduce la
[A.13] C1, C2 L1 [D]
información disponibilidad
Degradación de la Reduce la
[E.10] C2 L1 [I]
información integridad
Reduce la
Errores del disponibilidad, [D], [C],
[E.1] C2 L3
administrador confidencialidad [I]
e integridad
Reduce la
[E.2] Errores de los usuarios disponibilidad e C2 - [D], [I]
integridad
Errores de Reduce la
[E.3] C2 - [C]
monitorización (log) confidencialidad
APLICACIONES [E.9] Introducción de Reduce la
C1, C2 L3 [I]
(SOFTWARE) información incorrecta integridad
Errores de
Reduce la
mantenimiento /
[E.14] disponibilidad e C2 L3 [D], [I]
actualización de
integridad
programas (software)
Caída del sistema por
Reduce la L1,
[E.16] agotamiento de C1, C2 [D]
disponibilidad L3
recursos
Reduce la
[A.16] Denegación de servicio C2 - [D]
disponibilidad
Tabla 8 - Impacto por amenaza
Frecuencia
Casi nunca 1
Algunas veces 2
A menudo 3
Casi siempre 4
Siempre 5
Tabla 9 – Frecuencia
Impacto
Muy Bajo 1
Bajo 2
Medio 3
Alta 4
Muy alto 5
Tabla 10 - Impacto
Es una opción para la empresa, cuando es muy difícil, tanto técnica como
económicamente para la organización llevar al riesgo a un nivel aceptable. En estas
circunstancias podría ser económicamente factible, transferir el riesgo a una
aseguradora.
Hay que tomar en cuenta, que con las empresas aseguradoras, siempre existe un
elemento de riesgo residual. Siempre existen condiciones con las aseguradoras de
exclusiones, las cuales se aplicarán dependiendo del tipo de ocurrencia, bajo la cual no
se provee una indemnización. La transferencia del riesgo por lo tanto, debe ser muy
bien analizada para así poder identificar con precisión, cuánto del riesgo actual está
siendo transferido. Lo que debe estar claro, es que al tercerizar servicios, el riesgo
residual no se delega, es responsabilidad de la empresa.
Evitar el Riesgo
La opción de evitar el riesgo, describe cualquier acción donde las actividades del
negocio, o las maneras de conducir la gestión comercial del negocio, se modifican,
para así poder evitar la ocurrencia del riesgo.
La decisión por la opción de “evitar el riesgo” debe ser balanceada contra las
necesidades financieras y comerciales de la empresa.
Falta de
[I.3] Contaminación mecánica Reducción
mantenimiento
Corte del suministro Funcionamiento no
[I.5] Reducción
PC / LAPTOP eléctrico confiable del UPS
Errores de mantenimiento /
[E.15] actualización de equipos Falta de control Reducción
(hardware)
Falta de
[I.3] Contaminación mecánica Reducción
mantenimiento
SERVIDORES
Corte del suministro Funcionamiento no
[I.5] Reducción
eléctrico confiable del UPS
[E.5] Difusión de software dañino Falta de control Reducción
La norma ISO 27002 nos ofrece los controles más apropiados para reducir todos estos
riesgos excesivos identificados. Los controles seleccionados son los siguientes:
14.1.5 Prueba,
mantenimiento y re-
evaluación de los planes de
continuidad del negocio.
9.2.4 Mantenimiento de
equipos.
Errores de 13.2.1 Responsabilidades y
mantenimiento procedimientos
[E.15] / actualización Falta de control
de equipos 8.2.2 Conocimiento,
(hardware) educación y capacitación en
seguridad de la información.
14.1.3 Desarrollar e
implementar los planes de
continuidad incluyendo la
seguridad de la información.
14.1.5 Prueba,
mantenimiento y re-
evaluación de los planes de
continuidad del negocio.
8.1.1 Roles y
responsabilidades.
8.2.2 Conocimiento,
Introducción de educación y capacitación en
Información Desconocimiento
[E.9] información seguridad de la información.
/ Datos de la aplicación
incorrecta
13.1 Reporte de los eventos
y debilidades de la seguridad
de la información.
Falta de
Errores del capacitación del 13.2.1 Responsabilidades y
[E.1]
administrador administrador del procedimientos.
sistema
13.1 Reporte de los eventos
y debilidades de la seguridad
de la información.
III.2.2 SALVAGUARDAS
Las salvaguardas permiten hacer frente a las amenazas. Hay diferentes aspectos en los
cuales puede actuar una salvaguarda para alcanzar sus objetivos de limitación del
impacto y/o mitigación del riesgo:
Aplicaciones (software)
Dispositivos físicos
Protección de las comunicaciones
Seguridad física, de los locales y áreas de trabajo
GENERALIDADES
OBJETIVOS
Los objetivos que se desean alcanzar luego de implantar nuestro sistema de seguridad
son los siguientes:
DISPOSICIONES GENERALES
Artículo 1º
El presente ordenamiento tiene por objeto estandarizar y contribuir al desarrollo
informático de las diferentes áreas de la compañía. Para los efectos de este
instrumento se entenderá por:
COMITÉ
Al equipo integrado por la Gerencia, los Jefes de área y el personal administrativo
(ocasionalmente) convocado para fines específicos como:
Administración de informática.
Está integrada por la Gerencia y Jefes de área, las cuales son responsables de:
Artículo 2º
Artículo 3º
Artículo 4º
Área - Responsable -
Cargo -
Nombre del Equipo -
Observación -
Tabla 14 - Formato de Inventario
Artículo 5º
Los equipos para uso interno se instalarán en lugares adecuados, lejos de polvo
y tráfico de personas.
Artículo 6º
Artículo 7º
Artículo 8º
Artículo 9º
ANTIVIRUS
Artículo 10º
Hacer una revisión al menos diaria para actualizar la definición del software
antivirus.
DISPOSITIVOS DE SOPORTE
Artículo 11º
RESPALDOS
Artículo 12º
MANTENIMIENTO DE EQUIPOS
Artículo 13º
Artículo 14º
CONEXIONES EXTERNAS
Artículo 15º
Debe asegurarse que la totalidad del tráfico entrante y saliente de la red interna, sea
filtrado y controlado por un firewall prohibiendo el pasaje de todo el tráfico que no se
encuentre expresamente autorizado.
Todas las conexiones a Internet de la empresa deben traspasar un servidor Proxy una
vez que han traspasado el firewall.
PROPIEDAD DE LA INFORMACIÓN
Artículo 16º
QUEDA PROHIBIDO
Artículo 17º
Artículo 18º
Artículo 19º
Cada día surgen nuevas formas de delitos informáticos, los cuales el SGSI, tiene como
objetivo proteger toda la información de relevancia en un sistema, de acuerdo con el
plan establecido para la implementación de controles:
Prioridad de implantación.
Fecha de implantación.
Responsable de la implantación.
III.5.1 CAPACITACIÓN
IV. ANEXO
IV.2 IMPLANTACIÓN
IV.3 CERTIFICACIÓN
ISO 27002.- Guía de buenas prácticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad de la información con 11
dominios, 39 objetivos de control y 133 controles.
PDCA (Plan, Do, Check, Act), también conocido como "Círculo de Deming o círculo de
Gabo", es una estrategia de mejora continua de la calidad en cuatro pasos:
CHECK (VERIFICAR).- es una fase que tiene como objetivo revisar y evaluar el
desempeño (eficiencia y eficacia) del SGSI.
ACT (MEJORAR).- en esta fase se realizan cambios cuando sea necesario para
llevar de vuelta el SGSI a máximo rendimiento.
Gestión de activos.
Inventario de activos.
Responsable de los activos.
Acuerdos sobre el uso aceptable de los activos.
Clasificación de la información
Directrices de clasificación.
Marcado y tratamiento de la información.
Control
Lineamiento de implementación
Se debieran aislar los ítems que requieren protección especial para reducir el
nivel general de la protección requerida;
Control
Lineamiento de implementación
Se debieran cumplir con todos los requerimientos impuestos por las pólizas de
seguros.
Control
Lineamiento de implementación
Otra información
Objetivo
Control
Lineamiento de implementación
La gerencia debiera asegurarse que las copias de los planes de continuidad del negocio
estén actualizadas y protegidas con el mismo nivel de seguridad aplicado en el local
principal.
Otro material necesario para ejecutar los planes de continuidad también debiera
almacenarse en el local remoto.
Otra información
Se debiera notar que estos planes y actividades de gestión de crisis pueden ser
diferentes a los de la gestión de la continuidad del negocio; es decir, puede ocurrir una
crisis que puede ser acomodada por los procedimientos gerenciales normales.
Control
Lineamiento de implementación
Las pruebas del plan de continuidad del negocio debieran asegurar que todos los
miembros del equipo de recuperación y otro personal relevante estén al tanto de los
planes y su responsabilidad con la continuidad del negocio y la seguridad de la
información, y que conozcan su papel cuando se invoque el plan.
Pruebas de los medios y servicios del proveedor (asegurando que los servicios y
productos provistos externamente cumplan con el compromiso contraído).
Los ejemplos de los cambios que se debieran considerar cuando se actualizan los
planes de continuidad del negocio son la adquisición de equipo nuevo, actualización de
los sistemas y cambios en:
Personal
Estrategia comercial
Legislación
Control
Lineamiento de la implementación
Código malicioso.
Contención.
Otra información
Control
Lineamiento de implementación
Otra información
Objetivo:
Control
Lineamiento de implementación
Establecer una política formal para proteger contra riesgos asociados con la
obtención de archivos, ya sea a través de redes externas o cualquier otro
medio, indicando las medidas de protección a tomarse.
Otra información
Control
Lineamiento de implementación
Otra información
Objetivo
Control
Lineamiento de implementación
Otra información
Control
Lineamiento de implementación
Otra información
Objetivo
Todos los activos debieran ser inventariados y contar con un propietario nombrado.
Control
Lineamiento de implementación
Otra información
Los inventarios de los activos ayudan a asegurar que se realice una protección efectiva
de los activos, y también puede requerir de otros propósitos comerciales; como planes
de salud y seguridad, seguros o razones financieras (gestión de activos). El proceso de
compilar un inventario de activos es un pre-requisito importante de la gestión del
riesgo.
Control
Lineamiento de implementación
Un proceso comercial.
Una aplicación.
Otra información
Se pueden delegar las tareas rutinarias; por ejemplo, a un custodio que supervisa el
activo diariamente, pero la responsabilidad permanece con el propietario.
En los sistemas de información complejos podría ser útil designar grupos de activos, los
cuales actúan juntos para proporcionar una función particular como “servicios”. En
este caso el propietario es responsable de la entrega del servicio, incluyendo el
funcionamiento de los activos que los proveen.
Control
Lineamiento de implementación
Todos los empleados, contratistas y terceros debieran seguir las reglas para el uso
aceptable de la información y los activos asociados con los medios del procesamiento
de la información, incluyendo:
Objetivo
Control
Lineamiento de implementación
Otra información
Con frecuencia, la información deja de ser sensible o crítica después de cierto período
de tiempo, por ejemplo, cuando la información se ha hecho pública. Se debieran tomar
en cuenta estos aspectos, ya que la sobre-clasificación puede llevar a la
implementación de controles innecesarios resultando en un gasto adicional.
Control
Se debiera desarrollar e implementar un conjunto apropiado de procedimientos para
el etiquetado y manejo de la información en concordancia con el esquema de
clasificación adoptado por la organización.
Lineamiento de implementación
Otra información
EQUIPOS MÓVILES
Figura - 5 La empresa
Figura - 14 Recepción 1
Figura - 18 Impresión
Figura - 15 Recepción 2
Figura - 19 Sellado