1. Normas ISO/IEC 27001 y sus Once Políticas.
ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de
cualquier sector o parte del mundo. La norma es particularmente interesante si la protección
de la información es crítica, como en finanzas, sanidad sector público y tecnología de la
información (TI).
ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por
encargo de otros, por ejemplo, empresas de subcontratación de TI.
Esta es importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la
supervivencia de una organización. El hecho de disponer de la certificación según ISO/IEC
27001 le ayuda a gestionar y proteger sus valiosos activos de información.
Es tan importante porque ayuda a proteger los activos de información y otorga confianza a
cualquiera de las partes interesadas, sobre todo a los clientes.
Esta es la única norma que define los requisitos para un sistema de gestión de la seguridad de
la información (SGSI). Esta ha logrado garantizar la selección de controles de seguridad
adecuados y proporcionales. Incuso La norma adopta un enfoque por procesos para
establecer, implementar, operar, supervisar, revisar, mantener y mejorar un SGSI.
La norma tiene muchas ventajas tales como:
Demuestra la garantía independiente de los controles internos y cumple los requisitos de
gestión corporativa y de continuidad de la actividad comercial.
Señala independientemente que se respetan las leyes y normativas que sean de aplicación.
Es competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la
seguridad de su información es primordial.
Verifica independientemente que los riesgos de la organización estén correctamente
identificados, evaluados y gestionados al tiempo que formaliza los procesos, procedimientos y
documentación de protección de la información.
Manifiesta el compromiso de la cúpula directiva de su organización con la seguridad de la
información.
2. La versión de 2005 del estándar incluye las siguientes once secciones principales:
1. Política de Seguridad de la Información.
2. Organización de la Seguridad de la Información.
3. Gestión de Activos de Información.
4. Seguridad de los Recursos Humanos.
5. Seguridad Física y Ambiental.
6. Gestión de las Comunicaciones y Operaciones.
7. Control de Accesos.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
9. Gestión de Incidentes en la Seguridad de la Información.
10. Gestión de Continuidad del Negocio.
11. Cumplimiento.
Con la aprobación de la norma ISO/IEC 27001 en octubre de 2005 y la reserva de la
numeración 27.000 para la seguridad de la información, se espera que ISO/IEC 17799:2005
pase a ser renombrado como ISO/IEC 27002 en la revisión y actualización de sus contenidos
en el 2007.
La norma ISO/IEC 27001 (Information technology - Security techniques - Information security
management systems - Requirements) sí es certificable y especifica los requisitos necesarios
para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la
Información
3. Análisis sobre el Caso ATOLAND C.A.
Riegos informáticos
Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un
objetivo. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas.
En informática el riesgo solo tiene que ver con la amenaza que la información puede
sufrir, determinando el grado de exposición y la perdida de la misma.
La ISO (Organización Internacional de Estándares) define el riesgo informático como:
“La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente en un
activo o grupos de activos, generando se así pérdidas o daños”
Actual el riesgo de la información puede ser afectada mediante: Los spam, los virus, los
gusanos, Adware y Spyware. Software que se maneja como código malicioso, cabe señalar
que estas amenazas existentes de código malicioso no tienen nada, ya que fueron
diseñados con inteligencia, con una secuencia bien estructurad, el nombre que deberían
recibir es Software con intenciones inadecuadas, provocan poco a poco el exterminio de la
productividad y privacidad.
Riesgos que corren
No hay planificación para saber que aplicaciones van a tener acceso los usuarios
que este asigna. Lo que causa Lentitud a la hora del uso de los servicios y
aplicaciones, esto debido a la descoordinación de la asignación de los permisos de
acceso de los usuarios por parte del administrador. Es decir que con el formulario
llenado por parte de los usuarios, hay una tendencia de confusión del uso de
ciertas aplicaciones que no es necesaria para dicho usuario. Para solucionarlo se
puede crear de un registro, en el cual el administrador debe evaluar para así, de
4. esta manera asignar los permisos de acceso de acuerdo al cargo y necesidad que el
usuario demande en su puesto de trabajo.
No tienen bien definida del programa de antivirus. tiene riesgo el acceso indebido
de posibles hacker, que puedan acceder a la información que puede que sea
importante para la empresa. La solución más viable es la debida actualización y
configuración del programa de antivirus utilizado por la empresa.
Actualización del antivirus mensual, puedo traer varios problemas ya que
diariamente se registran diversos virus en la red y al tener todos accesos a
internet, esto puede representar un gran riesgo. Esto trae la perdida de
información de los usuarios, datos y hasta el mal funcionamiento de las pc´s.
Solución que se le da, la actualización diaria del antivirus para que en caso de
nuevos programas maliciosos sean debidamente registrados en el mismo.
Hacer respaldo de la información más importante de la impresa y guardarla en
una copia secundaria y mandarla fuera de la empresa esto en caso de que un
catástrofe dentro de la empresa y se pierda la primer respaldo.