Iso caso de atoland

239 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
239
En SlideShare
0
De insertados
0
Número de insertados
43
Acciones
Compartido
0
Descargas
1
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Iso caso de atoland

  1. 1. Normas ISO/IEC 27001 y sus Once Políticas. ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Esta es importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de una organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información. Es tan importante porque ayuda a proteger los activos de información y otorga confianza a cualquiera de las partes interesadas, sobre todo a los clientes. Esta es la única norma que define los requisitos para un sistema de gestión de la seguridad de la información (SGSI). Esta ha logrado garantizar la selección de controles de seguridad adecuados y proporcionales. Incuso La norma adopta un enfoque por procesos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI. La norma tiene muchas ventajas tales como: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Señala independientemente que se respetan las leyes y normativas que sean de aplicación. Es competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y documentación de protección de la información. Manifiesta el compromiso de la cúpula directiva de su organización con la seguridad de la información.
  2. 2. La versión de 2005 del estándar incluye las siguientes once secciones principales: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005 pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos en el 2007. La norma ISO/IEC 27001 (Information technology - Security techniques - Information security management systems - Requirements) sí es certificable y especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información
  3. 3. Análisis sobre el Caso ATOLAND C.A. Riegos informáticos Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas. En informática el riesgo solo tiene que ver con la amenaza que la información puede sufrir, determinando el grado de exposición y la perdida de la misma. La ISO (Organización Internacional de Estándares) define el riesgo informático como: “La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos, generando se así pérdidas o daños” Actual el riesgo de la información puede ser afectada mediante: Los spam, los virus, los gusanos, Adware y Spyware. Software que se maneja como código malicioso, cabe señalar que estas amenazas existentes de código malicioso no tienen nada, ya que fueron diseñados con inteligencia, con una secuencia bien estructurad, el nombre que deberían recibir es Software con intenciones inadecuadas, provocan poco a poco el exterminio de la productividad y privacidad. Riesgos que corren  No hay planificación para saber que aplicaciones van a tener acceso los usuarios que este asigna. Lo que causa Lentitud a la hora del uso de los servicios y aplicaciones, esto debido a la descoordinación de la asignación de los permisos de acceso de los usuarios por parte del administrador. Es decir que con el formulario llenado por parte de los usuarios, hay una tendencia de confusión del uso de ciertas aplicaciones que no es necesaria para dicho usuario. Para solucionarlo se puede crear de un registro, en el cual el administrador debe evaluar para así, de
  4. 4. esta manera asignar los permisos de acceso de acuerdo al cargo y necesidad que el usuario demande en su puesto de trabajo.  No tienen bien definida del programa de antivirus. tiene riesgo el acceso indebido de posibles hacker, que puedan acceder a la información que puede que sea importante para la empresa. La solución más viable es la debida actualización y configuración del programa de antivirus utilizado por la empresa.  Actualización del antivirus mensual, puedo traer varios problemas ya que diariamente se registran diversos virus en la red y al tener todos accesos a internet, esto puede representar un gran riesgo. Esto trae la perdida de información de los usuarios, datos y hasta el mal funcionamiento de las pc´s. Solución que se le da, la actualización diaria del antivirus para que en caso de nuevos programas maliciosos sean debidamente registrados en el mismo.  Hacer respaldo de la información más importante de la impresa y guardarla en una copia secundaria y mandarla fuera de la empresa esto en caso de que un catástrofe dentro de la empresa y se pierda la primer respaldo.

×