miércoles, 22 de julio de 2015

LA GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES EN LA SEGURIDAD INFORMÁTICA

LA GESTIÓN DE LAS COMUNICACIONES Y OPERACIONES EN LA SEGURIDAD INFORMÁTICA

La gestión de comunicaciones y operaciones,  son la forma de cómo se administra y supervisa todo lo referente a  la actividad y comunicación de  la empresa, a  través del control de  la  información o servicio que se entrega dentro de ella.

La gestión de las comunicaciones y operaciones es una sección de la norma ISO 17799 y considera:

  • Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
  • Dar Respaldo de información, gestión de la seguridad de las redes, intercambio de información y monitoreo.
  • Evita al máximo el riesgo de fallas en el sistema, incluido el hardware y software.

Objetivos:  
                                                            
Determinar los requerimientos necesarios para garantizar el resguardo y protección de la información.
Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información.
 Procesos considerados en la G.C.O:
  • Procedimientos y responsabilidades operacionales.
  • Gestión de servicios de terceros.
  • Planificación y aceptación de sistemas.
  • Protección contra código malicioso.
  • Copias de seguridad.
  • Gestión de la seguridad de red.
  • Gestión de dispositivos de almacenamiento.
  • Control sobre el intercambio de información entre sociedades.
  • Control de los servicios de comercio electrónico.

1. Procedimientos y responsabilidades operacionales

Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, como:

  • Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad.
  • Procedimientos para Planes de Contingencia, Análisis e Identificación de las causas de un incidente, Colección de pistas de auditoría, Reporte a las autoridades, etc.
2. Gestión de servicios de terceros

Consiste en controlar y supervisar a personas o organizaciones que trabajan en conjunto con la empresa, que cumplan los mismos requisitos de seguridad para garantizar la protección de la información de la empresa.
Es sencillamente regular el papel de estas terceras partes y lograr que se comprometan a cumplir los mismos estándares de gestión de las comunicaciones  y operaciones que se dan en la empresa.

3. Planificación y aceptación de sistemas

Objetivo:

  • Minimizar los riesgos de fallas en los sistemas.
  • Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento.
  • Deben establecerse criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptación.
4. Protección contra código malicioso

Objetivo:

  • Proteger la integridad del Software y la Información.
  • Controles contra Software Malicioso:
  • Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado.
  • Política para proteger contra los riesgos asociados al obtener archivos o software de redes externas.
  • Instalación y actualización regular de Antivirus y software escaneador de computadoras cono una medida preventiva.
5. Copias de seguridad

Objetivo:

  • Mantener la integridad y disponibilidad del procesamiento de la información y servicios de comunicación.
  • Hacer copias en forma regular de la información esencial del negocio y del software. Se pueden utilizar los siguientes controles:
  • Documentación de los Backups, copias adicionales y almacenadas en una localidad remota.
  • Los Backups se deben proteger físicamente y contra las condiciones del ambiente.
6. Gestión de la seguridad de red

Objetivo:

  • Asegurar la protección de la información en las redes así como de su infraestructura.
  • Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados.
  • También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas.

7. Control de los servicios de comercio electrónico

Objetivo:
  • Prevenir el robo o fraude que se puede dar en las transacciones comerciales a través de Internet.
  • El comercio electrónico presenta los siguientes riesgos:
    • Vulnerabilidad en las transacciones o acceso no autorizado.
    • Robo de información personal como números de cuenta o contraseñas.

8. Monitorización de sistemas
  • Los objetivos de una infraestructura de monitorización de sistemas informáticos son principalmente la prevención de incidencias y pérdida de información y conocer el aprovechamiento de los recursos TIC disponibles.
  • Con ello se asegura un correcto flujo de la información y preservación de la misma.









Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)