ESTANDAR ISO 17799 – Personal Definición de Roles y Perfiles Incluir la Seguridad en la responsabilidad de roles Política de perfiles en funciones y cargos Acuerdos de confidencialidad Términos y condiciones del contrato de trabajo
Entrenamiento de Usuarios Entrenamiento y Educación en SI
Respuesta a Incidentes de Seguridad y “Malfuncionamiento”
Reportes de Iincidentes de Seguridad Debilidades de reportes de Seguridad Reportes de “Malfuncionamiento” de software Aprendiendo de los incidentes Proceso Disciplinario
(Gp:) Personal de Seguridad
ESTANDAR ISO 17799 – Seguridad Física Areas Seguras Perímetro de Seguridad Física Controles de entrada física Oficinas de Seguridad Trabajo en áreas seguras Areas aisladas de cargue y descargue
Equipos de Seguridad Ubicación y proteción de Equipos Suministros de potencia Cableados de seguridad Mantenimiento de equipos Seguridad de equipos premisas de apagado Reuso o desecho de equipos
Controles Generales
Política de limpieza de escritorios y pantallas Manipulación de Propiedad
(Gp:) Seguridad Física y Ambiental
ESTANDAR ISO 17799 Administración Procedimientos de Operaciones Procedimientos de operación documentados Control de cambio de operaciones Procedimientos de administración de incidentes Segregación de obligaciones Separación de áreas de desarrollo y operaciones Administración de instalaciones externas Planeación de Sistemas “Capacity Planning” – Planeamiento de capacidades Aceptación del sistema Protección de Software Malicioso Control de software malicioso “Housekeeping” – Mantenimiento Back – Ups de Información Logs de Operación Fallas de Logging Administración de Red Controles de red
(Gp:) Administración de Operaciónes y Comunicaciones
ESTANDAR ISO 17799 – Administración Manipulación de Medios y Seguridad Administración de medios removibles Deshecho de medios Procedimientos de administración de información Seguridad de la documentación del sistema obligaciones Separación de áreas de desarrollo y operaciones Administración de instalaciones externas
Intercambio de Información y de Software Acuerdos de intercambio de software e información Seguridad de medios en tránsito Seguridad de Comercio Electrónico Seguridad de Correo Electrónico Seguridad de sistemas de oficina electrónicos Disponibilidad pública de sistemas Otras formas de intercambio de información
(Gp:) Administración de Operaciónes y Comunicaciones
ESTANDAR ISO 17799 – Control de Acceso Requerimientos de Negocios para Control de Acceso Políticas de Control de Acceso
Administración de Acceso de Usuarios Registro de Usuarios Administrración de privilegios Administración de Constraseñas Revisión de derechos de acceso de usuarios
Responsabilidad de Usuarios Utilización de contraseñas Equipo de usuarios desatendidos
(Gp:) Control de Acceso
ESTANDAR ISO 17799 – Control de Acceso Control de Acceso a Red Políticas de uso de servicios de red Acceso reforzado Autenticación de usuarios en conexión externa Autenticación de nodos Diagnóstico Remoto de Protección de Puertos Segregación en redes Control de Conexión de Redes Control de Enrutamiento de Redes Seguridad de servicios de red
Control de acceso a Sistemas Operativos Identificación automática de terminales Procedimientos de Log-on a Terminales Identificación y autenticación de usuarios Sistema de administración de contraseñas Uso de utilidades del sistema Alarma para usuarios de seguridad “Terminal Time-out” Límites de tiempo a estaciones
(Gp:) Control de Acceso
ESTANDAR ISO 17799 – Control de Acceso Control de Acceso de Aplicaciones Restricción de Acceso a información Aislamiento de sistemas sensitivos
Monitoreo de Uso y Acceso a Sistemas Loggin por eventos Identificación automática de terminales Monitoreo de uso del sistema Sincronización de reloj
Computación Móvil y Teletrabajo Computación Móvil Teletrabajo (Gp:) Control de Acceso
ESTANDAR ISO 17799 – Desarrollo y Mantenimiento Requerimientos de Seguridad de Sistemas Rquerimientos, Análisis y Especificaciones de Seguridad
Seguridad en Aplicaciones Validación de ingreso de datos Control de procesamiento Autenticación de mensajes Validación de salida de datos
Controles de Encripción Política de uso de controles de encripción Encripción Firmas digitales Servicios de No repudiación Administración de claves PKI (Gp:) Desarrollo y Mantenimiento de Sistemas
ESTANDAR ISO 17799 – Desarrollo y Mantenimiento
Seguridad de Archivos Control de Sistemas Operativos Protección de Datos Control de acceso a librería de programas
Seguridad en Procesos de Desarrollo y Soporte Procesos de control de cambios Revisión técnica al cambio de S.O. Restricciones en cambios de paquetes de software Canales y código “Trojan” Desarrollo de software en “ousorcing”
(Gp:) Desarrollo y Mantenimiento de Sistemas
ESTANDAR ISO 17799 – Contingencia
Administración de la Contingencia o “Business Continuity Management”
Procesos de Administración de Contingencia Contingencia y Análisis de Impacto Escritura e Implementación de Planes de Contingencia Marco de planeación de la Contingencia Chequeo, Mantenimiento y Reasignación de Planes de Contingencia (Gp:) Contingencia “Business Continuity”
ESTANDAR ISO 17799 – Cumplimiento Cuplimiento de Aspectos Legales Identificación de la legislación aplicable Derechos de Propiedad Intelectual Salvaguarda de Registros Organizacionales Protección de Datos y privacidad de información personal Prevención de ingreso a Edificios de procesos de Información Regulación de controles de encripción Obtención de evidencias Revisión de la Política de Seguridad y su Cumplimiento Técnico Cumplimiento de la política de seguridad Chequeo de cumplimiento técnico Cosideraciones de Auditoría Controles de auditoría de sistemas Protección de las herramientas de auditoría (Gp:) “Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría
Estándares de Seguridad – BS7799 / ISO 17799 OUTSOURCING : Objetivo: Mantener la seguridad de la información cuando la responsabilidad del procesamiento esta en manos de otra organización.
Las negociaciones de outsourcing deben tener definidos claramente en los contratos suscritos, los riesgos, los controles de seguridad y los procedimientos para los sistemas de información que se encuentren dentro de los procesos que estarán en manos de la organización proveedora del outsourcing.
Estándares de Seguridad – BS7799 / ISO 17799 SEGURIDAD EN CONEXIONES CON TERCEROS: Objetivo: Mantener la seguridad de la información de la organización que es accesada por terceros.
El acceso a la información de la organización por parte de terceros debe ser controlado. Se debe hacer un análisis de riesgos para determinar las implicaciones en seguridad y los requerimientos de control. Los controles que se definan deben ser definidos en el contrato que se firme con el tercero.
Estándares de Seguridad – BS7799 / ISO 17799 POLITICA DE SEGURIDAD INFORMATICA: Objetivo: Proveer directrices a la administración y soporte para la seguridad de la información.
La administración debe ser capaz de definir la dirección de las políticas de Seguridad de la información. Además debe establecer un claro y firme compromiso con estas políticas y divulgarlas a través de toda la organización.
Estándares de Seguridad BS7799 / ISO 17799 POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UN ESTANDAR DE SEGURIDAD?
Certificaciones ISO. Si la empresa está sometida a un proceso de compra/venta, alianza estratégica o hace parte de una cadena de valor B2B. Renegociación de primas y reaseguros.
PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA.
| Página siguiente |