INFO. CRIMI.

Prácticas Tema 6

Actividad 1. ISO/IEC 27002:2005 VS ISO/IEC 27002:2013

La norma ISO/IEC 27002:2005 está estructurada en 11 dominios, 39 objetivos de control y 133 controles. 

La norma ISO/IEC 27002:2013 está estructurada en 14 dominios, 35 objetivos de control y 114 controles.

Estas dos normas se diferencian entre sí, tanto por como están estructuradas como por el contenido. En cuanto al contenido, la versión 2013 incluye algunas modificaciones, como por ejemplo: se introducen nuevos objetivos de control como el Cifrado, también el objetivo de control que hace referencia a la "Gestión de comunicaciones y operaciones" de la versión 2005 se desglosa en dos apartados en la versión 2013: "Seguridad en la operativa" y "Seguridad en las telecomunicaciones" etc.

1518693098_presentacion-manuel-collazos1-22-638.jpg

Actividad 2. Hoja de cálculo sobre los dominios de la norma ISO/IEC 27002:2013

Para ver la siguiente hoja de cálculo haga click:

https://drive.google.com/open?id=1cmuI44d91zU2sgm149CSe929QIuNkHk7

Actividad 3. Dominios y número de controles de la norma ISO/IEC 27002:2013

Para ver la siguiente imagen haga click:

https://drive.google.com/open?id=1IxLOFgz9EdEzt6wzz7-RwKcuzGnhk2hh

Actividad 4. Análisis de la seguridad de los recursos humanos.

Para ver la siguiente imagen haga click:

https://drive.google.com/open?id=1YkWPY7gbI4kt9QzAV9rrLHY4BupQOk_U

Actividad 5. Análisis de la seguridad de la información en la gestión de la continuidad del negocio. 

- Planificación de la continuidad de la seguridad de la información. 

 Para asegurar la continuidad de la seguridad de la información tenemos que plantearnos todos los casos posibles que puedan destruir nuestra información. Por ejemplo: robo, modalidades delictivas como hacking, snifing, phising, incendios, inundaciones, terremotos etc. 

Todos estos desastres naturales, y otros provocados, tienen que estar bajo control por el responsable de cada departamento de la organización. Para mejorar la seguridad de la información ante una catástrofe no es suficiente con que una persona se encargue de ello, sino que todos los responsables de cada departamento de la organización tienen que transmitir el mensaje y la confianza necesaria a sus empleados para que estos sigan unas pautas de control y de este modo, la colaboración en grupo disminuirá el riesgo de perder la información. 

Ante casos de desastres naturales, la organización deberá contar con una habitación donde toda la información que se ha guardado el día anterior, deberá estar guardada en aquella habitación (una especie de copia de seguridad). La información guardada puede ser: documentos en papel, discos duros, memoria flash etc. 

Si nos encontramos ante casos de hacking, sniffing etc. La persona afectada deberá comunicar el ataque al responsable de turno. Es muy importante que todos los empleados colaboren, de lo contrario, la planificación de este procedimiento será ineficaz.

- Implantación de la continuidad de la seguridad de la información. 

Una vez planificado el procedimiento, tenemos que implantarlo en nuestra organización. Para ello, tenemos que contar con la colaboración de todo el personal. Además, debemos disponer de los recursos necesarios para abastecernos de: discos duros externos, extintores, aislante contra fuego etc. 

- Verificación, revisión y evaluación de la continuidad de la seguridad de la información. 

Para garantizar la continuidad de la seguridad de la información tenemos que hacer controles periódicamente. Estos controles serán del tipo: realizar análisis de virus, ejecutar programas de borrado seguro, asegurarnos del entorno donde trabajamos (clima de la habitación, ya que los ordenadores se pueden sobrecalentar) etc.

- Disponibilidad de instalaciones para el procesamiento de la información. 

Como lo he dicho en el apartado de la planificación, la organización debe disponer de una habitación donde se guarda toda la información. Esta habitación, además, deberá contener al menos un ordenador para cada departamento de la organización, de modo que, ante una posible catástrofe, la organización podrá continuar con su cometido. 




Comentarios

No hay ningún comentario

Añadir un Comentario: