Curso Gestión de Ssistemas de Sseguridad para Rredes  

  

ACTIVIDAD 1Ccontroles y políticas de seguridad se

implementarán en cada fase del ciclo de vida de desarrollo según la norma ISO 27002.  

  

VIVIANA MARCELA BETANCUR RUA   

FACILITADORJUAN CARLOS LUJÁN DUQUE 

    

FUNDACIÓN UNIVERSITARIA CATÓLICA DEL NORTE

2012  

 

Controles y políticas de seguridad que se

implementarán en cada fase del ciclo de vida de

desarrollo según la norma ISO 27002.

IntroducciónLas empresas están en constante evolución y desarrollo, por este motivo requieren estar acorde con las

regulaciones legales y técnicas del entorno, deben implementar normas que les permitan cumplir estos

preceptos, y desarrollar controles para evitar quedarse atrás.

Es importante llevar un balance general con políticas de seguridad, y evitar el trafico de información. Por otro

lado tener un clasificación de la información para evitar el desorden o repetición de esta.

Como todos sabemos, mucha información es vulnerable; puede perderse debido a fallas en elementos físicos,

afectarle un virus informático, desastres naturales, etc.

Es importante que nos quede claro que la correcta aplicación de las Políticas de Seguridad de la Información

mantiene la integridad, confidencialidad y disponibilidad de la misma; y por ello se aclara que este trabajo

involucra un subconjunto de éstas, se habla de políticas y controles de Seguridad Informática, que ayudan a

establecer las Políticas de Seguridad de la Información.

Muy bien!!

Políticas de seguridad

• Seguridad de información.

• Proporcionar la guía y apoyo de la dDirección para la seguridad de la información en relación a los requisitos del

negocio y a las leyes y regulaciones relevantes.

• Confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso.

• Integridad: exactitud y totalidad de la información y los métodos de procesamiento.

• Disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

Controles y políticas de seguridad que se implementan en la Fase 1INGENIERÍA DE SISTEMAS: 

Gestión de las vulnerabilidades técnicas: Reducir los riesgos originados por la explotación de vulnerabilidades técnicas publicadas.

Se debería implantar una gestión de la vulnerabilidad técnica siguiendo un método efectivo, sistemático y cíclico, con la toma de

medidas que confirmen su efectividad.

Documento de política de seguridad de la información: Proporcionar la guía y apoyo de la Dirección para la seguridad de la información

en relación a los requisitos del negocio y a las leyes y regulaciones relevantes.

Protección contra software malicioso y código móvil: Proteger la integridad del software y de la información.

Gestión de redes: Asegurar la protección de la información en las redes y la protección de su infraestructura de apoyo.

Control de acceso en red: Impedir el acceso no autorizado a los servicios en red.

Controles criptográficos: Proteger la confidencialidad, autenticidad o integridad de la información con la ayuda de técnicas criptográficas.

Suministro eléctrico: se deben proteger los equipos contra fallos en el suministro de energía u otras anomalías eléctricas en los equipos

de apoyo.

Seguridad del cableado: Se debe proteger el cableado de energía y de telecomunicaciones que transporten datos o soporten servicios de

información contra posibles interceptaciones o daños.

Mantenimiento de equipos: Se debe mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.

Instalación y protección de equipos: El equipo debería situarse y protegerse para reducir el riesgo de materialización de las amenazas

del entorno, así como las oportunidades de acceso no autorizado.

Aislamiento de sistemas sensibles: Los sistemas sensibles deberían disponer de un entorno informático dedicado (propio).

Existen plagios en partes del texto.

Estos controles físicos no aplican en esta fase

Controles y políticas de seguridad que se implementan en la Etapa 2 Análisis.

Traslado de activos: No deberían sacarse equipos, información o software fuera del local sin una autorización.

Gestión interna de soportes y recuperación: Mantener la integridad y la disponibilidad de los servicios de tratamiento

de información y comunicación.

Utilización y seguridad de los soportes de información: Evitar la divulgación, modificación, retirada o destrucción de

activos no autorizadaos e interrupciones en las actividades de la organización.

Seguridad en información pública: Se debería proteger la integridad de la información que se pone a disposición en

un sistema de acceso público para prevenir modificaciones no autorizadas.

Supervisión de los servicios contratados a terceros: Implementar y mantener un nivel apropiado de seguridad de la

información y de la prestación del servicio en línea con los acuerdos de prestación del servicio por terceros.

Responsabilidad del usuario: Impedir el acceso de usuarios no autorizados y el compromiso o robo de información y

recursos para el tratamiento de la información.

La cooperación de los usuarios autorizados es esencial para una seguridad efectiva.

 

Plagio en parte del texto.

Controles y políticas de seguridad que se implementan en la Fase 3Diseño

Políticas para escritorios y monitores sin información: Políticas para escritorios y monitores limpios de información.

Tratamiento de la seguridad en la relación con los clientes: Se deberían anexar todos los requisitos identificados de

seguridad antes de dar a los clientes acceso a la información o a los activos de la organización.

Control de acceso al sistema operativo: Impedir el acceso no autorizado al sistema operativo de los sistemas. Se deberían utilizar

las prestaciones de seguridad del sistema operativo para permitir el acceso exclusivo a los usuarios autorizados.

Control de acceso a las aplicaciones: Impedir el acceso no autorizado a la información mantenida por los sistemas de las

aplicaciones. Se deberían utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus contenidos.

Acuerdos de Confidencialidad: Se deberían identificar y revisar regularmente en los acuerdos aquellos requisitos de

confidencialidad o no divulgación que contemplan las necesidades de protección de la información de la Organización.

Planificación y aceptación del sistema: Minimizar el riesgo de fallos en los sistemas. Se requiere una planificación y

preparación avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los

sistemas requerida. 

Plagio en el texto.

Controles y políticas de seguridad que se implementan en la Fase 4

Implementación.

Protección contra software malicioso y código móvil: Proteger la integridad del software y de la información.

Gestión interna de soportes y recuperación: Mantener la integridad y la disponibilidad de los servicios de tratamiento de

información y comunicación. Se deberían establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo

para realizar copias de seguridad y probar su puntual recuperación.

Gestión interna de soportes y recuperación: Mantener la integridad y la disponibilidad de los servicios de tratamiento de

información y comunicación.

Políticas y procedimientos de intercambio de información: Se deberían establecer políticas, procedimientos y controles

formales de intercambio con objeto de proteger la información mediante el uso de todo tipo de servicios de comunicación.

Sistemas de información empresariales: Se deberían desarrollar e implementar políticas y procedimientos con el fin de

proteger la información asociada con la interconexión de sistemas de información del negocio.

Gestión de acceso de usuarios: Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los

sistemas de información.

Control de acceso al sistema operativo: Impedir el acceso no autorizado al sistema operativo de los sistemas.

Control de acceso a las aplicaciones: Impedir el acceso no autorizado a la información mantenida por los sistemas de las

aplicaciones. Se deben utilizar dispositivos de seguridad con objeto de restringir el acceso a las aplicaciones y sus contenidos.

Plagio en parte del texto.

Control repetido de la fase anterior, y estos controles

hacen parte de la fase de análisis

Controles y políticas de seguridad que se implementan en la Fase 5

Pruebas

Seguridad de las aplicaciones del sistema: Evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la

información en las aplicaciones. Se deberían diseñar controles apropiados en las propias aplicaciones, incluidas las

desarrolladas por los propios usuarios, para asegurar el procesamiento correcto de la información. Estos controles deberían

incluir la validación de los datos de entrada, el tratamiento interno y los datos de salida.

Seguridad en los procesos de desarrollo y soporte: Mantener la seguridad del software del sistema de aplicaciones y la

información. Se deberían controlar estrictamente los entornos de desarrollo de proyectos y de soporte.

Revisiones de la política de seguridad y de la conformidad técnica: Garantizar la conformidad de los sistemas con las

políticas y estándares de seguridad de la Organización. Se deberían realizar revisiones regulares de la seguridad de los

sistemas de información.

Planificación y aceptación del sistema: Minimizar el riesgo de fallos en los sistemas. Se requiere una planificación y

preparación avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los

sistemas requerida. 

Plagio en el texto

Controles y políticas de seguridad que se implementan en la Fase 6

Documentación.

Acuerdos de Confidencialidad: Se deberían identificar y revisar regularmente en los acuerdos, aquellos requisitos de

confidencialidad o no divulgación que contemplan las necesidades de protección de la información de la Oorganización.

Identificación de los riesgos derivados del acceso de terceros: Se deberían identificar los riesgos a la información de la

organización y a las instalaciones del procesamiento de información de los procesos de negocio que impliquen a terceros y se

deberían implementar controles apropiados antes de conceder el acceso.

Gestión de Activos: Alcanzar y mantener una protección adecuada de los activos de la oOrganización. Todos los activos

deberían ser justificados y tener asignado un propietario. Clasificación de la Información: Asegurar que se aplica un nivel de protección adecuado a la información.

Áreas seguras: Evitar el acceso físico no autorizado, daños o intromisiones en las instalaciones y a la información de la organización.

Documentación de procedimientos operativos: Se deberían documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo necesiten.

Recuperación de la información: Se deberían hacer regularmente copias de seguridad de toda la información esencial del negocio y del software, de acuerdo con la política acordada de recuperación.

Utilización y seguridad de los soportes de información: Evitar la divulgación, modificación, retirada o destrucción de activos no autorizadaos e interrupciones en las actividades de la organización.

Políticas y procedimientos de intercambio de información: Se deberían establecer políticas, procedimientos y controles formales de intercambio con objeto de proteger la información mediante el uso de todo tipo de servicios de comunicación.

Plagio en parte del texto.

El control de clasificación de la

información es en la fase de análisis.

Controles y políticas de seguridad que se implementan en la Fase 7

Mantenimiento.Mantenimiento de equipos: Se deberían mantener adecuadamente los equipos para garantizar su continua disponibilidad e integridad.

Procedimientos y responsabilidades de operación: Asegurar la operación correcta y segura de los recursos de tratamiento de

información.

Planificación y aceptación del sistema: Minimizar el riesgo de fallos en los sistemas. Se requiere una planificación y preparación

avanzadas para garantizar la adecuada capacidad y recursos con objeto de mantener la disponibilidad de los sistemas requerida. 

Monitorización: Detectar actividades de procesamiento de la información no autorizadas. Los sistemas deberían ser monitoreados y

los eventos de la seguridad de información registrados. El registro de los operadores y el registro de fallos debería ser usado para

garantizar la identificación de los problemas del sistema de información.

Utilización y seguridad de los soportes de información: Evitar la divulgación, modificación, retirada o destrucción de activos no

autorizada e interrupciones en las actividades de la organización. Los medios deberían ser controlados y físicamente protegidos.

Gestión de las vulnerabilidades técnicas: Reducir los riesgos originados por la explotación de vulnerabilidades técnicas publicadas.

Gestión de Incidentes de Seguridad de la Información: Comunicación de eventos y debilidades en la seguridad de la información:

Garantizar que los eventos y debilidades en la seguridad asociados con los sistemas de información se comuniquen de modo que se

puedan realizar acciones correctivas oportunas..

Gestión de incidentes y mejoras en la seguridad de la información: Garantizar que se aplica un enfoque consistente y eficaz para

la gestión de los incidentes en la seguridad de información.

Revisiones de la política de seguridad y de la conformidad técnica: Garantizar la conformidad de los sistemas con las políticas y

estándares de seguridad de la Organización.

Plagio en el texto.

CONCLUSIÒN

En cada fase del ciclo de vida de desarrollo se definieron los controles y políticas de seguridad que se deben tener en cuenta en cada una de ellas, lo que permitió establecer los aspectos que involucran la seguridad informática.

El propósito de esta actividad se baso en disminuir el riesgo al cual están sujetos los activos de información en la empresa.

Cibergrafìa

• http://www.iso27000.es/download/ControlesISO27002-2005.pdf

• http://www.iso27002.es/

Gracias…

Recomendaciones

1. En las presentaciones de ppt, no se debe mostrar mucho texto, esto lo hace muy pesado a la vista del receptor.

Solo se debe mostrar la idea principal de lo que se requiere explicar. El resto de texto se dice en la exposición.

2. Muy pequeña la letra, se dificulta la lectura.3. Recordar que cuando se copia texto de internet, se debe

colocar la referencia de donde fue extraída la información. No basta con la cibergrafía. Se debe referenciar cada texto que se tomo de internet.

4. En general veo que leíste acerca de los controles pero en varias fases hay controles que no aplica para que revises.