Instituto Universitario de Tecnología “Antonio José de Sucre”
Extensión Barquisimeto – Escuela de Informática (78)
Realiza...
usuario. Para solucionarlo se puede crear de un registro, en el cual el
administrador debe evaluar para así, de esta maner...
Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante
un largo tiempo adaptándose a los cambios inter...
for Standardization y por la Comisión Electrotécnica Internacional en el año
2000, con el título de Information technology...
Upcoming SlideShare
Loading in …5
×

Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información

339 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
339
On SlideShare
0
From Embeds
0
Number of Embeds
28
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información

  1. 1. Instituto Universitario de Tecnología “Antonio José de Sucre” Extensión Barquisimeto – Escuela de Informática (78) Realizado por: Mayckoll M. Gudiño M. CASO ATOLAND C.A. Riegos informáticos: Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas. En informática el riesgo solo tiene que ver con la amenaza que la información puede sufrir, determinando el grado de exposición y la perdida de la misma. La ISO (Organización Internacional de Estándares) define el riesgo informático como: “La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos, generando se así pérdidas o daños”. Actual el riesgo de la información puede ser afectada mediante: Los spam, los virus, los gusanos, Adware y Spyware. Software que se maneja como código malicioso, cabe señalar que estas amenazas existentes de código malicioso no tienen nada, ya que fueron diseñados con inteligencia, con una secuencia bien estructurad, el nombre que deberían recibir es Software con intenciones inadecuadas, provocan poco a poco el exterminio de la productividad y privacidad. Riesgos que corren: No hay planificación para saber que aplicaciones van a tener acceso los usuarios que este asigna. Lo que causa Lentitud a la hora del uso de los servicios y aplicaciones, esto debido a la descoordinación de la asignación de los permisos de acceso de los usuarios por parte del administrador. Es decir que con el formulario llenado por parte de los usuarios, hay una tendencia de confusión del uso de ciertas aplicaciones que no es necesaria para dicho
  2. 2. usuario. Para solucionarlo se puede crear de un registro, en el cual el administrador debe evaluar para así, de esta manera asignar los permisos de acceso de acuerdo al cargo y necesidad que el usuario demande en su puesto de trabajo. No tienen bien definida del programa de antivirus. Tiene riesgo el acceso indebido de posibles hacker, que puedan acceder a la información que puede que sea importante para la empresa. La solución más viable es la debida actualización y configuración del programa de antivirus utilizado por la empresa. Actualización del antivirus mensual, puedo traer varios problemas ya que diariamente se registran diversos virus en la red y al tener todos accesos a internet, esto puede representar un gran riesgo. Esto trae la perdida de información de los usuarios, datos y hasta el mal funcionamiento de las pc´s. Solución que se le da, la actualización diaria del antivirus para que en caso de nuevos programas maliciosos sean debidamente registrados en el mismo. Hacer respaldo de la información más importante de la impresa y guardarla en una copia secundaria y mandarla fuera de la empresa esto en caso de que un catástrofe dentro de la empresa y se pierda la primer respaldo. ESTÁNDARES SOBRE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Un Sistema de Gestión de la Seguridad de la Información (SGSI) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información. El término es utilizado principalmente por la ISO/IEC 27001, aunque no es la única normativa que utiliza este término o concepto. El término se denomina en inglés "Information Security Management System" (ISMS). Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
  3. 3. Como todo proceso de gestión, un SGSI debe seguir siendo eficiente durante un largo tiempo adaptándose a los cambios internos de la organización así como los externos del entorno. ISO/IEC 27000: La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. En este apartado se resumen las distintas normas que componen la serie ISO 27000 y se indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001. ISO/IEC 27001: es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”. Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution (BSI). ISO/IEC 27002: es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000 por la International Organization
  4. 4. for Standardization y por la Comisión Electrotécnica Internacional en el año 2000, con el título de Information technology - Security techniques - Code of practice for information security management. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC 17799 tiene su origen en el British Standard BS 7799-1 que fue publicado por primera vez en 1995.

×