manual de seguridad

CBTis  # 126

LIC. IANY MARIA ALPUCHE TRESS

GRADO: 3 SEMESTRE         GRUPO: A

SOPORTE Y MANTENIMIENTO DE CÓMPUTO

2013-2014

Introducción 

 En este manual de seguridad desarrollaremos conocimientos y actividades sobre cómo aplicar de manera competente un plan de seguridad y que nos facilitaran la solución de problemas que se nos acontecen que nos permitirán reconocer las reglas o políticas de seguridad sobre los formatos de los equipos y como se implementan cuando, donde y quienes.

POLÍTICAS DE SEGURIDAD

·         Hora de entrada: 7:30 am

Ø Hora de salía: 8 pm

Ø Traer el uniforme todos los días y portarlo correctamente (Tener buena presentación)

Ø No entrar con alimentos y bebidas

Ø No fumar

Ø Lavarse las manos antes de tocar el equipo

Ø Tener el aérea de trabajo limpio

Ø  Personas no-correspondientes su área serán desalojadas

Ø Cumplir en 100 % en su trabajo

Ø No cambiar todos los S.O sin autorización

Ø Todos los  dispositivos de almacenamiento, que no tengan algún tipo de virus antes de introducirlo al PC

 LA IMPLEMENTACIÓN

Ø   En la vida cotidiana

Ø   En las grandes y medianas empresas

Ø   Escuelas

QUIENES LO IMPLEMENTAN

Ø  Los usuarios

Ø  Los administradores de seguridad

Ø  Las compañías

CUANDO SE IMPLEMENTA

Ø  En las empresas donde la seguridad es continua

ISM3

 

 

 

 

ISM3

ISM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. ISM3 ve como objetivo de la seguridad de la información el garantizar la consecución de objetivos de negocio. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados)...
Algunas características significativas de ISM3 son:

• Métricas de Seguridad de la Información - "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar" - ISM3 v1.20 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.

• Niveles de Madurez – ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus cinco niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.

• Basado el Procesos - ISM3 v1.20 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.

• Adopción de las Mejores Prácticas – Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.

• Certificación – Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.

• Accesible – Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.

  En lugar de depender exclusivamente de métodos caros de análisis de riesgos, que suponen una barrera a la implantación de sistemas de ISM, ISM3 sigue un punto de vista cualitativo, empezando por analizar los requerimientos de seguridad del negocio. Permite a la empresa aprovechar la infraestructura actual, fortaleciéndola mediante un sistema de calidad, y alcanzado niveles de madurez certificables según el sistema de ISM evoluciona.

  Utiliza un modelo de gestión para diferenciar las tareas de seguridad operativa que previenen y mitigan incidentes de las tareas estratégicas y tácticas que identifican los activos a proteger, las medidas de seguridad a emplear, y los recursos que han de dedicarse a estas. Se describe un proceso de certificación que permite a una organización autoevaluar su madurez, o bien obtener una certificación de un auditor independiente.

 

 

 

 

Los estandares internacionales de seguridad

                 CBTis # 126

                José Felipe Chi sima

                    Iany Maria Alpuche Tress 

                        

                                         Seguridad informática

      Soporte y mantenimiento de equipo de cómputo

                                                     3er semestre

                              Unidad 3

      Los estándares internacionales de seguridad

BS 17799 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información. 

Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y controles de 134 no se utiliza para la evaluación y el registro de esta tarde fue rebautizado con la norma ISO 27002OBJETIVO.
Objetivo
El objetivo es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.

Alcance
-Aumento de la seguridad efectiva de los Sistemas de información.
- Correcta planificación y gestión de la Seguridad
- Garantías de continuidad del negocio.
Auditoría interna
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organización.
Enfoque
* Responsabilidad de la dirección.
* Enfoque al cliente en las organizaciones educativas.
* La política de calidad en las organizaciones educativas.
* Planificación: Definir los objetivos de calidad y las actividades y recursos necesarios .
Para alcanzar los objetivos
* Responsabilidad, autoridad y comunicación.
* Provisión y gestión de los recursos.
* Recursos humanos competentes.
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso.
Educativo
* Planificación y realización del producto.
* Diseño y desarrollo.
* Proceso de compras.
* Control de los dispositivos de seguimiento y medición.
* Satisfacción del cliente.
* Auditoría Interna ISO.
* Revisión y disposición de las no conformidades.
* Análisis de datos.
* Proceso de mejora.

Serie ISO 27000

En fase de desarrollo; su fecha prevista de publicación es Noviembre de 2008. Contendrá términos y definiciones que se emplean en toda la serie 27000. La aplicación de cualquier estándar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos técnicos y de gestión. Esta norma está previsto que sea gratuita, a diferencia de las demás de la serie, que tendrán un coste.

 ISO 27001
La ISO 27001 es un Estándar Internacional de Sistemas de Gestión de Seguridad de la Información que permite a una organización evaluar su riesgo e implementar controles apropiados para preservar la confidencialidad, la integridad y la disponibilidad del valor de la información.
El objetivo fundamental es proteger la información de su organización para que no caiga en manos incorrectas o se pierda para siempre.


ISO 27002
Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. Como se ha mencionado en su apartado correspondiente, la norma ISO27001 contiene un anexo que resume los controles de ISO 27002:2005. En España, aún no está traducida (previsiblemente, a lo largo de 2008). Desde 2006, sí está traducida en Colombia (como ISO 17799) y, desde 2007, en Perú (como ISO 17799; descarga gratuita).


                                   
     ISO 20000
La norma ISO 20000 se concentra en la gestión de problemas de tecnología de la información mediante el uso de un planteamiento de servicio de asistencia - los problemas se clasifican, lo que ayuda a identificar problemas continuados o interrelaciones. La norma considera también la capacidad del sistema, los niveles de gestión necesarios cuando cambia el sistema, la asignación de presupuestos financieros y el control y distribución del software.
La norma ISO 20000 se denominó anteriormente BS 15000 y está alineada con el planteamiento del proceso definido por la IT Infrastructure Library (ITIL - Biblioteca de infraestructuras de tecnología de la información) de The Office of Government Commerce (OGC).

• Desde la publicación en España de la norma ISO 20000 de gestión de servicios de TI, Ozona ha realizado un gran esfuerzo para formar un amplio equipo de consultores ISO 20000 y convertirse en una consultora de referencia en la realización de proyectos de gestión de servicios de TI.
• De esta manera, Ozona se ha convertido en la primera empresa de España que ha certificado a un tercero en la norma ISO 20000.
• Entre los clientes de Ozona se encuentran la primera administración pública, la primera entidad bancaria y la primera PYME en certificar sus servicios con la ISO 20000.
• Desde 2008, cerca de la mitad de todas las certificaciones ISO 20000 obtenidas en España han sido realizadas por clientes de Ozona.
• Ozona ha desarrollado proyectos de certificación ISO 20000, o está desarrollándolos en la actualidad, con las siguientes entidades de certificación: AENOR, APPLUS+, BSI y APCER.

 Como muestra de su compromiso con el éxito de los proyectos, Ozona compromete parte de sus honorarios de consultoría a la obtención final de la certificación ISO 20000 de sus clientes.

Especialización en gestión de servicios de TI

• ITIL e ISO 20000, como referencias en la gestión de servicios  para áreas de informática, requieren un perfil de consultores con una formación en tecnología que no es la habitual de los consultores de calidad clásicos.
• El área de consultoría de Ozona únicamente presta servicios relacionados con proyectos de gestión de servicios ITIL e ISO 20000.
• Todos los consultores de Ozona están certificados en ISO 20.000, que además también cuentan con certificaciones ITIL: Foundation, Practitioner y Service Manager.