- La ponderación en porcentaje
- El nivel de amenaza estimada cubierta en valores de 0 a 10
- La probabilidad acierto en la protección en dos decimales con valores de 0 a 1
- El riesgo cubierto de dominio en dos decimales
jueves, 21 de marzo de 2019
ACTIVIDAD 2 TEMA 6
A continuación voy a enseñaros una hoja de cálculo, creada con Excel, basada en la norma ISO/IEC 27002. En esta hoja, las filas representan cada uno de los 11 dominios de seguridad y las columnas representan:
jueves, 7 de marzo de 2019
DIFERENCIA ENTRE ISO/IEC 27002:2005 E ISO/IEC 27002:2013
La norma ISO/IEC 27002 está compuesta por las siguientes cláusulas de control:
- Política de seguridad
- Organización de la seguridad de información
- Administración de activos
- Seguridad de los recursos humanos
- Seguridad física y ambiental
- Administración de las comunicaciones y operaciones
- Control de acceso
- Adquisición, desarrollo y mantenimiento de sistemas de información
- Administración de incidentes de seguridad de información
- Administración de la continuidad de negocios
- Cumplimiento
La diferencia entre la ISO/IEC 27002:2005 y la ISO/IEC 2013 es que la versión de 2005 tiene 11 dominios, 133 controles para llevar a cabo los 39 objetivos de control que tiene, mientras que la versión de 2013 tiene 14 dominios, 114 controles para llevar a cabo los 35 objetivos de control que tiene.
En definitiva, la versión de 2013 está más actualizada en cuanto a dominios, habiendo añadido 3 nuevos, pero en cuanto a los controles y sus objetivos han disminuido.
martes, 5 de marzo de 2019
MEDIDAS DE CONTROL DE LA ISO 27002
Tomando el catálogo de medidas de control de la ISO 27002, he seleccionado la número 8 que es la Gestión de Activos.
El objetivo de la norma ISO 27002 es que la empresa tenga unos conocimientos sobre todos los activos que tiene como parte clave de la administración de riesgos. Los activos de información tienen que estar ordenados según la sensibilidad y criticidad de la información que tienen como objetivo señalar como se tiene que tratar y proteger la información.
RESPONSABILIDAD SOBRE LOS ACTIVOS
Los activos de información según la norma ISO 27002 tienen que ser justificados y tener asignado un propietario y deberán identificarlos para todos los activos asignándoles responsabilidades de mantenimiento de los distintos controles. Las actividades de control del riesgo son:
- Inventario de activos: deben estar identificados, manteniendo un inventario con los más importantes.
- Propiedad de los activos: toda la información y activos del inventario relacionados con los recursos para el tratamiento de la información tienen que pertenecer a una parte de la organización.
- Uso aceptable de los activos: se tiene que identificar, documentar e implantar regulaciones para el buen uso de la información y los activos del inventario relacionados con los recursos para el tratamiento de la información.
- Devolución de activos: todos los empleados y usuarios relacionados con la organización tienen que devolver todos los activos de dicha organización de los que sean poseedores una vez finalizado el contrato de empleo.
CLASIFICACIÓN DE LA INFORMACIÓN
Se debe clasificar la información para indicar la necesidad, las prioridades y el nivel de protección previsto para su tratamiento. Las actividades de control del riesgo son:
- Directrices de clasificación: la información debe clasificarse según su valor, requisitos legales, sensibilidad y criticidad para la organización.
- Etiquetado y manipulado de la información: tiene que desarrollar e implantarse un conjunto adecuado de procedimientos para etiquetar y tratar la información, según la clasificación adoptada por la organización.
- Manipulación de activos: tiene que desarrollar e implantarse procesos para manipular los activos acordados con la clasificación de la información adoptada por la organización.
MANEJO DE LOS SOPORTES DE ALMACENAMIENTO
Los medios deben ser controlados y protegidos. Las actividades de control del riesgo son:
- Gestión de soportes extraíbles: hay que establecer procesos para la gestión de los medios informáticos removibles de acuerdo con la clasificación adoptada por la organización.
- Eliminación de soportes: hay que eliminar los medios de forma segura y sin riesgo cuando ya no se necesiten, utilizando procedimientos formales.
- Soportes físicos en tránsito: hay que proteger los medios que contienen información contra el acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.
El objetivo de la norma ISO 27002 es que la empresa tenga unos conocimientos sobre todos los activos que tiene como parte clave de la administración de riesgos. Los activos de información tienen que estar ordenados según la sensibilidad y criticidad de la información que tienen como objetivo señalar como se tiene que tratar y proteger la información.
RESPONSABILIDAD SOBRE LOS ACTIVOS
Los activos de información según la norma ISO 27002 tienen que ser justificados y tener asignado un propietario y deberán identificarlos para todos los activos asignándoles responsabilidades de mantenimiento de los distintos controles. Las actividades de control del riesgo son:
- Inventario de activos: deben estar identificados, manteniendo un inventario con los más importantes.
- Propiedad de los activos: toda la información y activos del inventario relacionados con los recursos para el tratamiento de la información tienen que pertenecer a una parte de la organización.
- Uso aceptable de los activos: se tiene que identificar, documentar e implantar regulaciones para el buen uso de la información y los activos del inventario relacionados con los recursos para el tratamiento de la información.
- Devolución de activos: todos los empleados y usuarios relacionados con la organización tienen que devolver todos los activos de dicha organización de los que sean poseedores una vez finalizado el contrato de empleo.
CLASIFICACIÓN DE LA INFORMACIÓN
Se debe clasificar la información para indicar la necesidad, las prioridades y el nivel de protección previsto para su tratamiento. Las actividades de control del riesgo son:
- Directrices de clasificación: la información debe clasificarse según su valor, requisitos legales, sensibilidad y criticidad para la organización.
- Etiquetado y manipulado de la información: tiene que desarrollar e implantarse un conjunto adecuado de procedimientos para etiquetar y tratar la información, según la clasificación adoptada por la organización.
- Manipulación de activos: tiene que desarrollar e implantarse procesos para manipular los activos acordados con la clasificación de la información adoptada por la organización.
MANEJO DE LOS SOPORTES DE ALMACENAMIENTO
Los medios deben ser controlados y protegidos. Las actividades de control del riesgo son:
- Gestión de soportes extraíbles: hay que establecer procesos para la gestión de los medios informáticos removibles de acuerdo con la clasificación adoptada por la organización.
- Eliminación de soportes: hay que eliminar los medios de forma segura y sin riesgo cuando ya no se necesiten, utilizando procedimientos formales.
- Soportes físicos en tránsito: hay que proteger los medios que contienen información contra el acceso no autorizado, mal uso o corrupción durante el transporte fuera de los límites físicos de la organización.
FASES DE LA IMPLANTACIÓN DE UN SGSI MEDIANTE GANTT
A continuación, voy a mostrar un diagrama de Gantt, mediante la página web Canva, en la que salen las 7 fases de la implantación del Sistema de Gestión de la Seguridad de la Información (SGSI) divididas en 7 semanas.
Suscribirse a:
Entradas (Atom)