LibCat » Книги » Приключения » unrecognised » Ester Chicano Tejada - Gestión de servicios en el sistema informático. IFCT0609

Ester Chicano Tejada - Gestión de servicios en el sistema informático. IFCT0609

Здесь есть возможность читать онлайн «Ester Chicano Tejada - Gestión de servicios en el sistema informático. IFCT0609» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: unrecognised, на испанском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Gestión de servicios en el sistema informático. IFCT0609
Автор:
Ester Chicano Tejada
Жанр:
unrecognised / на испанском языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
5 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 100
- 1
- 2
- 3
- 4
- 5

Gestión de servicios en el sistema informático. IFCT0609: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Gestión de servicios en el sistema informático. IFCT0609»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Libro especializado que se ajusta al desarrollo de la cualificación profesional y adquisición de certificados de profesionalidad. Manual imprescindible para la formación y la capacitación, que se basa en los principios de la cualificación y dinamización del conocimiento, como premisas para la mejora de la empleabilidad y eficacia para el desempeño del trabajo.

Gestión de servicios en el sistema informático. IFCT0609 — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Gestión de servicios en el sistema informático. IFCT0609», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

En cada una de las secciones se describen los objetivos de los controles para la seguridad de la información, indicándose también una guía para la implantación de estos controles.

2.1. Introducción

La información es un activo especialmente valioso en cualquier organización, sobre todo si se tiene en cuenta que el entorno empresarial está cada vez más interconectado debido al fenómeno de la globalización.

Este fenómeno provoca que la información cada vez sea más vulnerable ante ataques y amenazas, por lo que resulta imprescindible que esté protegida con un nivel de seguridad lo más elevado posible.

Para establecer sistemas de información seguros, la norma ISO 27002 establece una serie de pasos importantes que debe realizar cada empresa u organización (tanto privadas como públicas):

1 Identificar los requerimientos de seguridad, evaluando los distintos riesgos de la organización.

2 Evaluar metódicamente los riesgos de seguridad para establecer prioridades de gestión de riesgos y controles.

3 Selección de los controles adecuados que se deben implantar para reducir los riesgos a un nivel aceptable.

4 Establecimiento de un punto de inicio de la seguridad como, por ejemplo, implantar una serie de controles como esenciales.

5 Identificación de los factores críticos de éxito en la implementación de la seguridad de la información de la organización.

6 Desarrollo y adaptación de controles propios.

2.2. Objeto y campo de aplicación

Los objetivos de control y los controles de la ISO 27002 se diseñan para que, al implementarse, se satisfagan los requerimientos identificados mediante la evaluación de los riesgos de la organización.

Esta normativa, aparte de mostrar y definir unos controles recomendados, también sirve como orientación de partida para las organizaciones con el fin de elaborar e implantar sus propias medidas de seguridad y para fomentar un ambiente de confianza y participación de las distintas áreas organizativas en las actividades relacionadas con la seguridad de la información.

2.3. Términos y definiciones

En este apartado se recogen las definiciones de los términos más utilizados en esta normativa. Los más significativos son los siguientes:

1 Control: medios para manejar el riesgo, incluyendo políticas, procedimientos, prácticas o estructuras organizacionales, que pueden ser administrativas, técnicas, de gestión o de naturaleza legal.

2 Medios de procesamiento de la información: cualquier sistema, servicio o infraestructura de procesamiento de la información.

3 Seguridad de la información: preservación de la confidencialidad, integración y disponibilidad de la información. También puede involucrar otras propiedades como la autenticidad, responsabilidad, no repudiación y confiabilidad.

4 Incidente de seguridad de la información: evento o serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.

5 Análisis del riesgo: uso sistemático de la información para identificar las fuentes y calcular el riesgo.

6 Evaluación del riesgo: proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.

7 Gestión del riesgo: actividades para dirigir y controlar una organización con relación al riesgo.

8 Tratamiento del riesgo: proceso de selección e implementación de medidas para modificar el riesgo.

2.4. Estructura de la norma

La norma ISO/IEC 27002 contiene quince capítulos y once cláusulas de control que incluyen en total treinta y nueve categorías de seguridad principales, además de una cláusula de introducción que trata la evaluación y el tratamiento del riesgo.

Nota

Cada categoría de seguridad contiene un objetivo de control y uno o más controles que se pueden aplicar para lograr dicho objetivo.

2.5. Evaluación y tratamiento del riesgo

En este apartado se describen una serie de indicaciones para:

1 Evaluar los riesgos de seguridad de la información: donde se debe identificar, cuantificar y priorizar los riesgos en comparación con los criterios y los objetivos de la organización. En esta evaluación se tienen en cuenta tanto la magnitud del daño posible como la probabilidad de que este ocurra.

2 Tratar los riesgos de la seguridad de la información: se toman una serie de decisiones sobre si compensa aceptar los riesgos o no. Normalmente, se acepta tomar el riesgo si este es bajo o si, asumiendo los costes del tratamiento, se consigue reducirlo considerablemente.

2.6. Política de seguridad

En este apartado se presenta una serie de documentos referentes a la política de seguridad de la información y a su gestión.

La dirección de una organización debe aprobar un documento donde se recoja una política de seguridad de la información acorde con sus objetivos principales. También se debe encargar de que este documento esté a disposición de todos los empleados y de aquellos agentes externos relevantes para la organización.

Se aconseja que se realice una revisión periódica y sistemática del documento y, en general, de la política de seguridad de la información; además de realizarla también cuando ocurran cambios relevantes que puedan necesitar una modificación de política.

2.7. Organización de la seguridad de la información

Este apartado trata sobre la organización de la seguridad de la información en una organización, tanto a nivel interno como externo.

Del mismo modo que es necesario establecer una estructura organizativa que comprometa a todos los agentes internos a apoyar y garantizar la seguridad de la información, también es imprescindible mantener la seguridad de la información que es gestionada y procesada por agentes externos.

En cuanto a organización interna, es necesario el establecimiento de una estructura firme de recursos técnicos capaces de implantar y mantener un sistema seguro de gestión de información.

Todo ello necesita el respaldo y apoyo de la dirección, que será la que establezca y coordine los distintos roles de los agentes que intervengan en la seguridad.

A nivel externo, se debe asegurar que el acceso de agentes externos a la información no implique una reducción de la seguridad de la misma. Cuando sea necesario trabajar con grupos externos, habrá que realizar una evaluación del riesgo y acordar con estos grupos los controles que se llevarán a cabo para mantener la seguridad.

2.8. Gestión de activos

El objetivo de este apartado es conseguir y mantener una protección adecuada de los activos de la organización (la información es considerada como un activo intangible de la organización).

Definición

Activo de una empresa

Es cualquier bien, tangible o intangible, que pertenece a una empresa u organización.

Es necesario que la organización realice un inventario de todos sus activos. En este inventario, los activos deben estar correctamente identificados en un documento elaborado para ello y, además, deben ser identificados los propietarios de cada uno de ellos (cuya responsabilidad sobre los archivos también debe quedar reflejada en esta documentación).

En cuanto a la información, para asegurar un nivel de protección óptimo, hay que clasificarla según el grado de confidencialidad e importancia que tenga, permitiendo asignar un nivel de protección adicional a aquella información cuya importancia o confidencialidad sea mayor.