Professional Documents
Culture Documents
DEFINICION DE LA NORMALIZACION A
EMPLEAR
sistema.
x Desastre o Contingencia: interrupcin de la capacidad de acceso a
x Confidencialidad
anlisis de los riesgos a los que la empresa esta expuesta y al diseo de las polticas
de seguridad.
Software
Telecomunicaciones
Hardware
Sistema Elctrico
Datos
Talento Humano
Todo nuestro anlisis se realizara sobre las seis dominios citados anteriormente,
dichos dominios definen los componentes del sistema informtico de la empresa.
Con nuestra tesina pretendemos realizar la fase inicial del proceso de seguridad
informtica, es decir, nuestro trabajo establecer las bases sobre las que se asentara
la implementacin total del sistema de seguridad informtico.
Esta
antecesor.
Se trata de dos estndares que estn muy relacionados pero que desempean
papeles distintos, as mientras que la primera parte se aplica en la etapa de
normalizacin, la segunda parte es aplicable en la etapa de certificacin.
El estndar ISO 27001 esta formado por varios controles que ayudan a
administrar la proteccin de un activo (fsico o intelectual) de una organizacin,
asegurando as el continuo funcionamiento del negocio y la minimizacin de los
daos despus de un desastre.
implementacin,
operacin,
monitorizacin,
revisin,
Este estndar posee once reas de control, cada rea tiene objetivos de
controles y controles existentes.
A continuacin se detallarn las reas de ISO 27001 necesarias para cubrir los
dominios sugeridos por la empresa, as como tambin se justificarn los controles
9
que sern tomados en cuenta dentro del alcance de nuestro proyecto; la norma ISO
completa con sus dominios y controles se muestran en el ANEXO1.
1. POLITICA DE SEGURIDAD
Tomaremos en cuenta este dominio debido a que en la actualidad en esta
organizacin no existen polticas de seguridad adecuadas, por lo tanto nuestro trabajo
consistir en disear un documento de polticas de seguridad, con el fin de que exista
una normativa comn que regule a toda la organizacin.
10
12
3. GESTION DE ACTIVOS
Este dominio ayuda a identificar cuales son los activos de mayor valor para la
organizacin, que nivel de proteccin requiere cada activo y quien es su responsable.
Debemos hacer un listado de los activos de mayor valor con los que
cuenta la empresa en estudio.
13
Se tienen que relacionar los activos con sus propietarios, pues, por
cada activo identificado debe haber un responsable.
14
Con este control se debe asegurar que los usuarios tengan conciencia sobre las
amenazas y problemas de seguridad de la informacin y que estn preparados para
brindar apoyo a las polticas de seguridad en el curso de su trabajo normal.1
Esta parte del control no se contempla dentro del alcance definido, pues nuestro
proyecto se centra ms a la parte de los sistemas informticos, este punto deber ser
tratado con ms detalle con el departamento de RRHH.
15
16
Con este control se pretende evitar el acceso fsico no autorizado que produsca
dao o interferencia a las instalaciones e informacin de la empresa, creando reas
seguras donde se ubicaran los activos de mayor valor.
17
18
19
brindados
travs
de
la
red
para
proteger
la
22
23
6.10 Seguimiento
Este control no esta dentro del alcance definido para el desarrollo de la presente
tesina.
7. CONTROL DE ACCESOS
25
26
27
28
7.7.2 Teletrabajo
31
facilitando el acceso o su
modificacin.
33
Esta rea de control no esta dentro del alcance definido para el desarrollo de la
presente tesina.
Esta rea de control no esta dentro del alcance definido para el desarrollo de la
presente tesina.
11 CONFORMIDAD
Esta rea de control no esta dentro del alcance definido para el desarrollo de la
presente tesina.
34
la aprobacin de la gerencia,
Definicin del SGSI: Para esta fase se realiza una definicin del alcance del
SGSI, se recopilan los documentos de seguridad existentes en la
organizacin.
35
2. Implantacin y Operacin
3. Monitorizacin y Revisin
4. Mantenimiento y Mejora
36
Si en una organizacin cumple con todos los requisitos del ISO 27001, puede
ser necesario ajustar ligeramente su sistema para cumplir con las necesidades
especficas de otros reglamentos, debido a su compatibilidad.
1.3.6 Certificacin
norma britnica British Standard BS 7799-2 publicada por primera vez en 1998, que
se elabor con el propsito de poder certificar los Sistemas de Gestin de la
Seguridad de la Informacin.
38
39