Para esta actividad, realizamos una tabla similar a la de actividades anteriores.
Hacer click en la imagen para ampliar su contenido
jueves, 28 de marzo de 2019
jueves, 21 de marzo de 2019
Número de medidas de cada dominio ISO IEC 27002:2013
Hacer click en la imagen para ampliar el contenido.
jueves, 14 de marzo de 2019
Riesgo de dominios
Vamos a realizar una estimación de los riesgos que cubrirían a los dominios de ISO IEC 27002:2013.
Para ampliar la imagen, hacer click sobre ella.
Para ampliar la imagen, hacer click sobre ella.
viernes, 8 de marzo de 2019
Norma ISO IEC 27002
La norma ISO IEC 27002 está estructurada en catorce apartados que describen las áreas de seguridad a tener en cuenta para garantizar la seguridad de la información. Se recomiendan 114 controles, aunque no es necesario cumplirlos todos, pero si tenerlos en cuenta y considerar su posible aplicación.
El resumen de los catorce apartados es el siguiente:
1. Políticas de Seguridad de la información: refleja la importancia de disponer de una adecuada política de seguridad, que se encuentre aprobada por la dirección, que sea comunicada a todo el personal, que sea revisada periódicamente y actualizada con los cambios que se vayan produciendo, tanto en el interior como en el exterior.
2. Organización de la Seguridad de la información: busca estructurar un marco de seguridad eficiente mediante los roles, tareas, seguridad y dispositivos móviles.
3. Seguridad relativa a los Recursos Humanos: la mayoría de incidentes en la seguridad tienen origen en un error humano. Por ello es necesario formar al personal correctamente y concienciarles de la importancia de la información.
4. Gestión de activos: considera la información como activo y se centra en cómo se deben establecer las medidas adecuadas para protegerla de los incidentes, rupturas de la seguridad y alteraciones no deseadas.
5. Control de acceso: habrá personal en la organización que necesite mayor acceso a información que otros, por ello se debe controlar de manera adecuada la información a la que puede disponer cada miembro del personal.
6. Criptografía: se debe considerar el uso de la criptografía para proteger y garantizar la autenticidad, confidencialidad e integridad de la información.
7. Seguridad física y Seguridad del entorno: además de proteger los dispositivos ante virus, hackers, etc, se debe evitar dejarlos a disposición de terceras personas externas a la organización.
8. Seguridad de las Operaciones: se centra en la protección técnica del software malicioso, copias de seguridad, gestión de vulnerabilidad, etc.
9. Seguridad de las Comunicaciones: se trata de garantizar la seguridad y la protección de los medios de transmisión de la información.
10. Adquisiciones, desarrollo y mantenimiento de los sistemas de información: la seguridad abarca toda la organización y debe encontrarse presente como elemento transversal clave dentro del sistema de gestión.
11. Relaciones de proveedores: se debe establecer medidas de seguridad ante las relaciones con terceras partes como pudieran ser los proveedores.
La diferencia más significativa entre ambos es su estructura, ISO IEC 27002:2005 contaba con once secciones principales, mientras que ISO IEC 27002:2013 cuenta con catorce. Las nuevas secciones analizan la criptografía, seguridad de las comunicaciones y las relaciones de los proveedores.
A pesar de que el nuevo estándar tiene más contenido, es más corto y centrado que el anterior. El antiguo estándar contaba con 106 páginas mientras que el nuevo cuenta con 78.
ISO IEC 27002:2013 contiene, además, varias subsecciones que tratan sobre a seguridad de gestión de proyectos (6.1.5), gestión de activos (8.2.3), instalación de software (12.6.2), el desarrollo seguro (14.2.1), los principios de ingeniería de sistemas seguros (14.2.5), entornos de desarrollo seguro (14.2.6), pruebas de seguridad del sistema (14.2.8), seguridad del proveedor (15.1.1, 15.1.2 y 15.1.3), evaluación de los eventos de seguridad (16.1.4), planificación, implementación y verificación de la continuidad de la seguirdad de la información (17.1.1, 17.1.2 y 17.1.3), y el uso de las instalaciones redundantes de procesamiento de la información (17.2.1).
Se debe considerar que la mayoría de las secciones se han reescrito, e incluso, algunas se han dividido o trasladado a otras secciones.
También ha habido cambios en la terminología, por ejemplo, los "privilegios" ahora se denominan "derechos de acceso privilegiado", "contraseñas" se ha sustituido por "información de autenticación", el "código malicioso" ahora es "malware", entre otros.
El resumen de los catorce apartados es el siguiente:
1. Políticas de Seguridad de la información: refleja la importancia de disponer de una adecuada política de seguridad, que se encuentre aprobada por la dirección, que sea comunicada a todo el personal, que sea revisada periódicamente y actualizada con los cambios que se vayan produciendo, tanto en el interior como en el exterior.
2. Organización de la Seguridad de la información: busca estructurar un marco de seguridad eficiente mediante los roles, tareas, seguridad y dispositivos móviles.
3. Seguridad relativa a los Recursos Humanos: la mayoría de incidentes en la seguridad tienen origen en un error humano. Por ello es necesario formar al personal correctamente y concienciarles de la importancia de la información.
4. Gestión de activos: considera la información como activo y se centra en cómo se deben establecer las medidas adecuadas para protegerla de los incidentes, rupturas de la seguridad y alteraciones no deseadas.
5. Control de acceso: habrá personal en la organización que necesite mayor acceso a información que otros, por ello se debe controlar de manera adecuada la información a la que puede disponer cada miembro del personal.
6. Criptografía: se debe considerar el uso de la criptografía para proteger y garantizar la autenticidad, confidencialidad e integridad de la información.
7. Seguridad física y Seguridad del entorno: además de proteger los dispositivos ante virus, hackers, etc, se debe evitar dejarlos a disposición de terceras personas externas a la organización.
8. Seguridad de las Operaciones: se centra en la protección técnica del software malicioso, copias de seguridad, gestión de vulnerabilidad, etc.
9. Seguridad de las Comunicaciones: se trata de garantizar la seguridad y la protección de los medios de transmisión de la información.
10. Adquisiciones, desarrollo y mantenimiento de los sistemas de información: la seguridad abarca toda la organización y debe encontrarse presente como elemento transversal clave dentro del sistema de gestión.
11. Relaciones de proveedores: se debe establecer medidas de seguridad ante las relaciones con terceras partes como pudieran ser los proveedores.
12. Gestión de incidentes de la Seguridad de la Información: se considera necesario estar preparados para responder rápidamente y de forma eficaz a los incidentes que puedan ocurrir y así prevenirlos en el futuro.
13. Aspectos de Seguridad de la Información para la Gestión de la continuidad del negocio: perder información relevante para la organización y no poder recuperarla puede afectar considerablemente a la continuidad de éste.
14. Cumplimiento: en convivencia con la seguridad de la información se encuentra la legislación, normas y políticas aplicables en este campo y por ello, se debe tener presente que tienen una gran importancia en cualquier sistema de gestión y se debe garantizar su cumplimiento y su actualización constante.
Diferencia entre ISO IEC 27002:2005 e ISO IEC 27002:2013.
A pesar de que el nuevo estándar tiene más contenido, es más corto y centrado que el anterior. El antiguo estándar contaba con 106 páginas mientras que el nuevo cuenta con 78.
ISO IEC 27002:2013 contiene, además, varias subsecciones que tratan sobre a seguridad de gestión de proyectos (6.1.5), gestión de activos (8.2.3), instalación de software (12.6.2), el desarrollo seguro (14.2.1), los principios de ingeniería de sistemas seguros (14.2.5), entornos de desarrollo seguro (14.2.6), pruebas de seguridad del sistema (14.2.8), seguridad del proveedor (15.1.1, 15.1.2 y 15.1.3), evaluación de los eventos de seguridad (16.1.4), planificación, implementación y verificación de la continuidad de la seguirdad de la información (17.1.1, 17.1.2 y 17.1.3), y el uso de las instalaciones redundantes de procesamiento de la información (17.2.1).
Se debe considerar que la mayoría de las secciones se han reescrito, e incluso, algunas se han dividido o trasladado a otras secciones.
También ha habido cambios en la terminología, por ejemplo, los "privilegios" ahora se denominan "derechos de acceso privilegiado", "contraseñas" se ha sustituido por "información de autenticación", el "código malicioso" ahora es "malware", entre otros.
Medidas de control de ISO 27002
Vamos a analizar el control 16. Control de accidentes en la seguridad de la información por ser el de mayor utilidad en el caso de un domicilio.
Nos centramos en el 16.1: Gestión de incidentes de seguridad de la información y mejoras en el que encontramos los siguientes puntos:
- 16.1.1. Responsabilidades y procedimientos: se debe establecer las responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes en la seguridad de la información.
- 16.1.2. Notificación de los eventos de seguridad de la información: se deben comunicar los eventos en la seguridad de la comunicación lo más rápido posible mediante los canales de gestión apropiados.
- 16.1.3. Notificación de puntos débiles de la seguridad: todo aquel que sea usuario de los sistemas y servicios de información deben anotar y comunicar cualquier debilidad observada y sospechada en la seguridad de ellos.
- 16.1.4. Valoración de eventos de seguridad de la información y toma de decisiones: debe existir un mecanismo por el cual cuantificar los tipos y costes de los incidentes en la seguridad de la información.
- 16.1.5. Respuesta a los incidentes de seguridad: examinar los procedimientos frente a los incidentes de la seguridad de la información, es decir, saber que es lo que haremos en el caso de un incidente de seguridad.
- 16.1.6. Aprendizaje de los incidentes de seguridad de la información: aprender de los incidentes pasados permitirá no volver a sufrir los mismos daños de la misma forma.
- 16.1.7. Recopilación de evidencias: después de un incidente en la seguridad de información, si implica acción legal (civil o criminal), la evidencia debe ser recolectada, retenida y presentada conforme a las reglas para la evidencia establecidas en la jurisdicción relevante.
viernes, 1 de marzo de 2019
Planificación
Antes de realizar la actividad propuesta, he investigado acerca de algunos software de escritorio y online como posibles opciones para realizar la planificación de una organización:
- Insightly.
- Clubhouse.
- Teamwork Projects.
- JIRA.
- Monday.com.
- Zoho Sprints.
- Targetprocess.
- Paymo.
- Financial Force Project Management.
- Resource Guru.
De estas herramientas para la gestión de proyectos de organizaciones, los únicos que nos dan la opción de realizar diagramas de Gantt son Tamwork Projects, JIRA, monday.com, Targetprocess, Paymo y Financial Force Project Management.
Para la planificación del sistema de gestión, en este caso, de mi casa utilizaremos la herramienta online canva.
Hacer click sobre la imagen para ampliar.
Suscribirse a:
Entradas (Atom)