Preguntas de Diagnostico Sobre Seguridad Informatica
Estándares Internacionales de Seguridad Informática
1. Seguridad informática
BS 17799 es un código de prácticas o de orientación o documento de referencia se
basa en las mejores prácticas de seguridad de la información, esto define un proceso para
evaluar, implementar, mantener y administrar la seguridad de la información.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de
control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue
rebautizado con la norma ISO 27002OBJETIVO.
Objetivo
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro
de las organizaciones, un método de gestión eficaz de la seguridad y para establecer
transacciones y relaciones de confianza entre las empresas.
Alcance
-Aumento de la seguridad efectiva de los Sistemas de información.
- Correcta planificación y gestión de la Seguridad
- Garantías de continuidad del negocio. Auditoría interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organización.
Enfoque
* Responsabilidad de la dirección.
* Enfoque al cliente en las organizaciones educativas.
* La política de calidad en las organizaciones educativas.
* Planificación: Definir los objetivos de calidad y las actividades y recursos necesarios .
Para alcanzar los objetivos
* Responsabilidad, autoridad y comunicación.
* Provisión y gestión de los recursos.
* Recursos humanos competentes.
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso.
Educativo
* Planificación y realización del producto.
* Diseño y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medición.
* Satisfacción del cliente.
* Auditoria Interna ISO.
* Revisión y disposición de las no conformidades.
* Análisis de datos.
* Proceso de mejora.
2. Serie ISO 27000
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier
organización. El aseguramiento de dicha información y de los sistemas que la procesan
es, por tanto, un objetivo de primer nivel para la organización.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de una forma metódica, documentada y basada en unos
objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la
información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por
ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se
indica cómo puede una organización implantar un sistema de gestión de seguridad de la
información (SGSI) basado en ISO 27001.
ISO/IEC 27001
La información tiene una importancia fundamental para el funcionamiento y quizá incluso
sea decisiva para la supervivencia de la organización. El hecho de disponer de la
certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de
información.
ISO/IEC 27001 es la única norma internacional auditable que define los requisitos para un
sistema de gestión de la seguridad de la información (SGSI). La norma se ha concebido
para garantizar la selección de controles de seguridad adecuados y proporcionales.
Ello ayuda a proteger los activos de información y otorga confianza a cualquiera de las
partes interesadas, sobre todo a los clientes. La norma adopta un enfoque por procesos
para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI.
3. ISO/IEC 27OO2
El objetivo del programa de certificación en seguridad de la información es concienciar y
prevenir dichos riesgos. En vez de enfocarse puramente en soluciones tecnológicas, la
gestión de la seguridad de la información según ISO/IEC 27OO2 proporciona una visión
más amplia de los problemas de seguridad relacionados tanto con su información de
negocio como con cualquier persona de su organización – sus dos activos más valiosos.
Los profesionales certificados en seguridad de la información según ISO/IEC27002 son
capaces de ofrecer los siguientes beneficios:
Ayudar en la certificación de la organización en el estándar ISO2700.
Aplicar habilidades prácticas para ayudar a concienciar a su organización sobre la
seguridad
Hacer que ésta se sienta más responsable de prevenir los riesgos.
Conseguir que su cultura se oriente a garantizar dicha seguridad.
ISO/IEC 20000
La serie ISO/IEC 20000 - Service Management normalizada y publicada por las
organizaciones ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) el 14 de diciembre de 2005, es el estándar reconocido
internacionalmente en gestión de servicios de TI (Tecnologías de la Información).
La serie 20000 proviene de la adopción de la serie BS 15000 desarrollada por la entidad
de normalización británica, la British Standards Institution (BSI).