jueves, 4 de junio de 2015

la gestión de las comunicaciones y operaciones en la seguridad informatica

         LA GESTIÓN DE LAS COMUNICACIONES Y
OPERACIONES EN LA SEGURIDAD INFORMÁTICA


 
DEFINICIÓN:
La gestión de comunicaciones y operaciones,  son la forma de como se administra y supervisa todo lo referente a  la actividad y comunicación de  la empresa, a  través del control de  la  información o servicio que se entrega dentro de ella. 


La gestión de las comunicaciones y operaciones es una sección de la norma iso 17799 y considera:




Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.

Dar Respaldo de información, gestión de la seguridad de las redes, intercambio de información y monitoreo
Evita al máximo el riesgo de fallas en el sistema, incluido el hardware y software.

objetivos:
  • Determinar los requerimientos necesarios para garantizar el resguardo y protección de la información.
  • Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.
Procesos considerados en la g.c.o
  • Procedimientos y responsabilidades operacionales.
  • Gestión de servicios de terceros.
  • Planificación y aceptación de sistemas.
  • Protección contra código malicioso.
  • Copias de seguridad.
  • Gestión de la seguridad de red.
  • Gestión de dispositivos de almacenamiento.
  • Control sobre el intercambio de información entre sociedades.
  • Control de los servicios de comercio electrónico.
  • Motorización de sistemas.
1. Procedimientos y responsabilidades operacionales.

se debe establecer procedimientos y responsabilidades para el manejo de incidentes
como:
  • Procedimientos que cubre los tipos de incidentes de seguridad (perdidas de servicio, datos, brechas de confidencialidad.
  • Procedimientos para Planes de Contingencia, Análisis e Identificación de las causa de un incidente, Colección de pistas de auditoria, Reporte a las autoridades, etc.
2. Gestión de servicios de terceros.
  • Consiste en controlar y supervisar a personas o organizaciones que trabajan en conjunto con la empresa, que cumpla los mismo requisitos de la seguridad para garantizar la protección de la información de la empresa.
  • Es sencillamente regular el papel de estas terceras partes y lograr que se comprometan a cumplir los mismos estándares de gestión de las comunicaciones y operaciones que se dan en la empresa.
3. PLANIFICACIÓN Y ACEPTACIÓN DE SISTEMAS.

♦ Objetivo:
  • Minimizar los riesgos de fallas en los sistemas.
♦ Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.

♦ Deben establecerse criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptación.

4.Protección contra código malicioso.

♦ Objetivo:
  • Proteger la integridad del Software y la Información.
♦ Controles contra Software Malicioso:
  • Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado.
  • Política para proteger contra los riesgos asociados al obtener archivos o software de redes externas.

  • Instalación y actualización regular de Antivirus y software escaneador de computadoras cono una medida preventiva.

4. COPIAS DE SEGURIDAD

♦ Objetivo:
  • Mantener la integridad y disponibilidad del procesamiento de la información y servicios de comunicación.

♦ Hacer copias en forma regular de la información esencial del negocio y del software. Se pueden utilizar los siguientes controles:
  • Documentación de los Backups, copias adicionales y almacenadas en una localidad remota.
  • Los Back-ups se deben proteger físicamente y contra las condiciones del ambiente.

6. Gestión de la seguridad de red.

♦ Objetivo:

Asegurar la protección de la información en las redes así como de su infraestructura.

♦ Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.

♦ También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas.

7. Gestión de dispositivos de almacenamiento.

♦Objetivo:
  • Prevenir el daño a activos e interrupciones a actividades del negocio.
♦Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado.

♦Los medios que no se ocupen más en la empresa deben ser desechados en forma segura.

♦La documentación de sistemas puede contener información sensitiva por lo que debe ser almacenada con seguridad.


8. Control sobre el intercambio de información entre sociedades.

♦ Objetivo:
  • Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones.
♦ El correo electrónico presenta los siguientes riesgos:
  • Vulnerabilidad de los mensajes o acceso no autorizado.
  • Vulnerabilidad a errores (direcciones incorrectas).
  • Cambio en los esquemas de comunicación (más personal).
  • Consideraciones legales (prueba de origen).
  • Controles para el acceso remoto.
9. Control de los servicios de comercio electrónico

♦ Objetivo:
  • Prevenir el robo o fraude que se puede dar en las transacciones comerciales a través de Internet.
♦ El comercio electrónico presenta los siguientes riesgos:
  • Vulnerabilidad en las transacciones o acceso no autorizado.
  • Robo de información personal como números de cuenta o contraseñas.
10. Monitorización de sistemas.

♦ Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y pérdida de información y conocer el aprovechamiento de los recursos TIC disponibles.

♦ Con ello se asegura un correcto flujo de la información y preservación de la misma.

conclusiones:
  • Se debe considerar que todas las empresas deben dar énfasis en la implantación de una buena plataforma para la  gestión de las comunicaciones  y operaciones de la información en la empresa.
  • Se debe contar con una unidad de seguridad informática en la organización con el apoyo de profesionales capacitados o de consultorías externas expertas en el tema.
  • Impulsar un plan de concientización en el personal para cumplir con la gestión de las comunicaciones y operaciones de una empresa.
  • Utilizar los estándares como AS/NZS ISO/IEC 17799:2001 en donde se dan todas las Normativas para la protección de la información y Seguridad Informática de una empresa.

Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)