1. UNIVERSIDAD TECNÓLOGICA DE LA REGIÓN NORTE DE GUERRERO
INGENIERÍA EN TECNOLÓGIAS DE LA INFORMACIÓN Y
COMUNICACIÓN
SEGURIDAD DE LA INFORMACION
ISO 17799
ING.: JOSÉ FERNANDO CASTRO DOMÍNGUEZ
ALUMNOS(AS):
MIRIAM YESENIA CARRETO FERNÁNDEZ
BERENICE YURIDIA MENDOZA ARAGON
MARIA ISABEL MARTINEZ MILLAN
NELY ABAD NAJERA FLORES
JAQUELINE ADAME CRUZ
GRUPO : 1001
IGUALA, GRO. OCTUBRE 2010
2. ¿QUÉ ES ISO 17799?
Código de buenas prácticas para la gestión de la seguridad de
los sistemas de información
3. DIRIGIDO A
Directivos, cuadros medios, consultores, responsables de sistemas,
responsables de áreas técnicas ,administradores y cualquier persona
interesada en la seguridad de la información.
OBJETIVO
Conocer la forma de cubrir los requerimientos de seguridad de la
Norma ISO 17799 con las herramientas de servidor de Microsoft
4. ISO 17799
Da recomendaciones para gestionar la seguridad
Es una base común para desarrollar ...
normas de seguridad organizativas,
prácticas efectivas de gestión de la seguridad y
la confianza en las relaciones entre organizaciones
Debe usarse conforme a la legislación y reglamentos aplicables
5. La norma ISO 17799 se recomienda implementarla en el
laboratorio de cisco ya que es un buen estándar que ayuda a las
buenas practicas de la seguridad de la información ya que muchas
ocasiones el no seguir un proceso adecuado genera complejidad y
aumenta la posibilidad de riesgos y amenazas de la información.
6. El ISO 17799, al definirse como una guía en la implementación del
sistema de administración de la seguridad de la información, se
orienta a preservar los siguientes principios de la seguridad
informática se puede entender que estos estándares son
auxiliares y serán aplicados en algún momento al implementar el
mismo.
El laboratorio de cisco no cuenta con la Confidencialidad
adecuada, es decir que solamente personal autorizado tenga
acceso a la información.
7. La Integridad no se lleva acabo en el laboratorio por que no existe
información importante o de interés que pueda ser modificada,
alterada o eliminada por los usuarios de igual manera no existe
disponibilidad de la información que sea requerida por usuarios
autorizados.
Toda organización que implemente un marco de referencia tendrá
beneficios al garantizar la existencia de una serie de procesos que
permiten evaluar, mantener y administrar la seguridad de la
información.
8. El éxito de la implementación del estándar de seguridad ISO
17799 requiere de una serie de procedimientos donde,
inicialmente, el análisis de riesgos identificará los activos de la
información y las amenazas a las cuales se encuentra expuesta.
A continuación, se describirán cada una de las diez áreas de
seguridad que se desarrollaran en el laboratorio de cisco con el
objeto de esclarecer los objetivos de estos controles.
9. El laboratorio de cisco cuenta con sus respectivas políticas de
seguridad que son las siguientes:
No esta permitido entrar con bebidas ya que podrá ocasionar
un accidente por derrame del liquido y dañar los equipos de
computo, así como también no introducir alimentos por que
el residuo puede quedar almacenado dentro del
equipo(teclado y CPU).
No dejar entrar a los alumnos al laboratorio con mochilas
para evitar el robo de los dispositivos por que ha existido
casos de extravió de equipo en este laboratorio de cisco.
10. De acuerdo al análisis realizado al laboratorio este no cumple con
la seguridad organizacional que menciona la norma 17799 por que
su infraestructura no es la correcta para un laboratorio de cisco
tomando en cuenta la mala ubicación además de la falta de
seguridad eléctrica adecuada.
11. Los activos existentes en el laboratorio de cisco como son los
cables coaxiales, router’s switch y los computadores no están
inventariados, y esto ocasiona que si existe alguna perdida de
equipo el encargo del laboratorio no tenga el conocimiento de la
falta de los equipos ni de las características de cada uno.
12. En este punto hacemos mención de que el laboratorio de cisco no
cuenta con una persona encargada de los activos y la información
que se maneja, esto ocasiona que cualquier persona no
autorizada haga mal uso del laboratorio.
Es importante contar con una persona responsable y que tenga
conocimientos en la seguridad de la información para que pueda
brindar un buen servicio.
13. En el laboratorio de cisco se deben establecer e identificar los
controles de seguridad, de forma que se puedan establecer
controles en el manejo de equipos, y control de los accesos a las
distintas áreas con base en el tipo de seguridad establecida.
14. El laboratorio de cisco no maneja controles de seguridad en los
equipos ni control de código malicioso.
CONTROL DE ACCESO.
No existe un control de acceso como tal por que los únicos
usuarios que entran al laboratorio son los alumnos y maestros
encargados de la clase ya que en las practicas que se realizan en
el laboratorio no guardan ningún tipo de información importante
que requiera un control de acceso.
15. La organización debe disponer de procedimientos que garanticen
la calidad y seguridad de los sistemas desarrollados para tareas
específicas de la organización.
CONTINUIDAD DE LAS OPERACIONES DE LA
ORGANIZACIÓN.
En este punto hablamos de la recuperación de la información y la
seguridad que debe tener el laboratorio de cisco deberá ser
revisados de manera constante y puestos a prueba con la
finalidad de determinar las limitaciones de los mismos.
16. El laboratorio cuenta con requisitos de seguridad que deben
cumplir todos sus usuarios, éstos se encontrarán formalizados en
los contratos o convenios que tiene la escuela con los
proveedores.
17. Considera la organización como una totalidad y tiene en
consideración todos los posibles aspectos que se pueden ver
afectados ante los posibles incidentes que puedan producirse.
Esta norma se estructura en 10 dominios en los que cada uno de
ellos hace referencia a un aspecto de la seguridad de la
organización:
Política de seguridad
Aspectos organizativos para la seguridad
Clasificación y control de activos
Seguridad del personal
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestión de continuidad del negocio
Conformidad legal
18. La norma ISO 17799 es una buena práctica que puede ser
implementada en el desarrollo de SOFWARE es de gran utilidad
para seguir un proceso para la seguridad de la información esta
norma se basa de posibles aspectos que pudieran afectar la
información.
Se basa de algunos dominios que nos ayudan para lograr un
análisis de las causas y errores que se presentan en el Desarrollo
de SOFTWARE.
19. Esta norma se estructura en diez dominios de control que cubren
por completo todos los aspectos relativos a la seguridad de la
información
20. La norma ISO 17799 es una buena práctica que puede ser
implementada en el desarrollo de SOFWARE es de gran utilidad
para seguir un proceso para la seguridad de la información esta
norma se basa de posibles aspectos que pudieran afectar la
información.
Se basa de algunos dominios que nos ayudan para lograr un
análisis de las causas y errores que se presentan en el Desarrollo
de SOFTWARE.
21. ISO 17799 es una norma internacional que ofrece
recomendaciones para
realizar la gestión de la seguridad de la información dirigidas a los
responsables de iniciar, implantar o mantener la seguridad de una
organización.
ISO 17799 define la información como un activo que posee valor
para la
organización y requiere por tanto de una protección adecuada.
El objetivo de la seguridad de la información es proteger
adecuadamente este activo para asegurar la continuidad del
negocio, minimizar los daños a la organización y maximizar el
retorno de las inversiones y las oportunidades de negocio.
22. La Norma ISO 17799 pretende aportar las base para tener en
consideración todos y cada uno de los aspectos que puede
suponer un accidente en las actividades de una Empresas o
Instituciones. En donde se requerida a los usuarios de los
servicios de información que detecten e informen acerca de toda
debilidad, amenaza, observada o sospechada, respecto a la
seguridad de los sistemas o servicios. No dejar pasar lo
importante que es dañar un equipo, esto es para su propia
protección, ya que dicha prueba de vulnerabilidad prueba las
debilidades y el posible mal uso de los sistema.