Documente Academic
Documente Profesional
Documente Cultură
Evaluar el posible impacto operativo de los Controlar la realización de las copias de resguardo de
cambios previstos a sistemas y equipamiento y información, así como la prueba periódica de su
verificar su correcta implementación, asignando restauración permiten garantizar la restauración de las
las responsabilidades correspondientes y operaciones en los tiempos de recuperación
administrando los medios técnicos necesarios para establecidos y acotar el periodo máximo de pérdida de
permitir la segregación de los ambientes y información asumible para cada organización.
responsabilidades en el procesamiento.
http://iso27000.es/iso27002_12.html
1.- Asegurar la operación correcta y segura de los medios de procesamiento de la
información mediante el desarrollo de los procedimientos de operación apropiados.
Los entornos de desarrollo, pruebas y operacionales deben permanecer separados para reducir
http://iso27000.es/iso27002_12.html
los riesgos de acceso o de cambios no autorizados en el entorno operacional.
1.- El software y los medios 3.- El software y los recursos de tratamiento de 2.- El código malicioso es código
de procesamiento de la información son vulnerables a la introducción de informático que provoca infracciones
información son vulnerables a software malicioso como virus informáticos, de seguridad para dañar un sistema
la introducción de códigos gusanos de la red, caballos de troya y bombas informático. El malware se refiere
maliciosos y se requiere lógicas. específicamente a software malicioso,
tomar precauciones para pero el código malicioso incluye
evitar y detectar la además scripts de sitios web (applets
introducción de códigos de de Java, controles de ActiveX,
programación maliciosos y contenido insertado, plug-ins, lenguajes
códigos con capacidad de 4.- Los usuarios deben estar al tanto de los de scripts u otros lenguajes de
reproducción y distribución peligros de los códigos maliciosos como el robo programación en páginas web y correo
automática no autorizados y destrucción de la información o daños e electrónico) que pueden aprovechar
para la protección de la inutilización de los sistemas de la organización. vulnerabilidades con el fin de descargar
integridad del software y de la un malware..
información que sustentan.
http://iso27000.es/iso27002_12.html
Mantener la integridad y la disponibilidad Se deben establecer procedimientos Implante procedimientos de backup y
de los servicios de tratamiento de rutinarios para conseguir la estrategia recuperación que satisfagan no sólo requisitos
información y comunicación.. aceptada de respaldo (consultar 14.1) contractuales sino también requisitos de
para realizar copias de seguridad y negocio "internos" de la organización.
probar su puntual recuperación.
Determine cuáles son los activos de Determine cuáles son los activos de
información más importantes y use esta información más importantes y use esta
información para crear una estrategia de información para crear una estrategia de
backup y recuperación. backup y recuperación.
http://iso27000.es/iso27002_12.html
Los sistemas deberían ser monitoreados y los eventos de la seguridad de
información registrados.
La necesidad de implantar procesos de supervisión es más evidente ahora Analice la criticidad e importancia de los datos que va a
que la medición de la eficacia de los controles se ha convertido en un monitorizar y cómo esto afecta a los objetivos globales de
requisito específico. negocio de la organización en relación a la seguridad de la
información.
http://iso27000.es/iso27002_12.html
:
Se deberían producir, mantener y revisar periódicamente los Se debería proteger contra posibles
registros relacionados con eventos de actividad del usuario, alteraciones y accesos no autorizados la información
excepciones, fallas y eventos de seguridad de la información. de los registros.
Se deberían
Se deberían registrar las sincronizar los relojes de todos los sistemas de procesamiento
actividades del administrador y del operador del sistema y los de información pertinentes dentro de una organización o de un
registros asociados se deberían proteger y revisar de manera dominio de seguridad y en relación a una fuente de
regular. sincronización única de referencia.
http://iso27000.es/iso27002_12.html
• Trata de minimizar los riesgos de alteración de los sistemas de información mediante controles de implementación de cambios imponiendo el
cumplimiento de procedimientos formales que garanticen que se cumplan los procedimientos de seguridad y control, respetando la división de
funciones.
• Verificar que los cambios sean gestionados por personal autorizado y en atención a
los términos y condiciones que surjan de la licencia de uso.
• Efectuar un análisis de riesgos previo a los cambios en atención al posible impacto por situaciones adversas.
• Aplicar los cambios en sistemas de prueba y/o de manera escalonada empezando por los sistemas menos críticos además de aplicar
medidas de backups y puntos de restauración junto a actividades adicionales que permitan retornar los sistemas al estado de estabilidad
inicial con ciertas garantías.
• Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario
como de la documentación operativa.
• Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar sus operaciones y envolver a usuarios finales en
pruebas de aceptación del nuevo estado.
http://iso27000.es/iso27002_12.html
Minimizar los riesgos de alteración de los sistemas de información Verificar que los cambios sean gestionados
mediante controles de implementación de cambios imponiendo el por personal autorizado y en atención a los
cumplimiento de procedimientos formales que garanticen que se términos y condiciones que surjan de la
cumplan los procedimientos de seguridad y control, respetando la licencia de uso.
división de funciones.
Efectuar un análisis de riesgos previo a los Aplicar los cambios en sistemas de prueba y/o de manera
cambios en atención al posible impacto por escalonada empezando por los sistemas menos críticos además
situaciones adversas. de aplicar medidas de backups y puntos de restauración junto a
actividades adicionales que permitan retornar los sistemas al
Actualizar la documentación para cada estado de estabilidad inicial con ciertas garantías.
cambio implementado, tanto de los
manuales de usuario como de la
documentación operativa.
Informar a las áreas usuarias antes de la implementación
de un cambio que pueda afectar sus operaciones y
Evite quedarse tan atrás en la rutina de envolver a usuarios finales en pruebas de aceptación del
actualización de versiones que sus sistemas nuevo estado.
queden fuera de soporte por el fabricante.
http://iso27000.es/iso27002_12.html
Maximizar la efectividad del proceso de auditoría de Acordar con el/las área/s que corresponda los
los sistemas de información y minimizar las requerimientos de auditoría.
intromisiones a/desde éste proceso.
Durante las auditorías de los sistemas de información Limitar las verificaciones (p.ej. a un acceso de "sólo lectura" en
deben existir controles para salvaguardar los software y datos de producción) y/o tomar las medidas necesarias a
sistemas operacionales y herramientas de auditoría. efectos de aislar y contrarrestar los efectos de modificaciones
realizadas al finalizar la auditoría (eliminar archivos transitorios,
entidades ficticias y datos incorporados en archivos maestros; revertir
Identificar claramente los recursos TI para llevar a transacciones; revocar privilegios otorgados; ...)
cabo las verificaciones y puestos a disposición de los
auditores (Sistemas de información, Bases de datos,
hardware, software de auditoría, dispositivos Documentar todos los procedimientos de auditoría,
magnéticos, personal, conexiones a red, ...). requerimientos y responsabilidades.
Se deberían planificar y
acordar los requisitos y las actividades de auditoría que involucran la verificación de los sistemas operacionales con
el objetivo de minimizar las interrupciones en los procesos relacionados con el negocio.
http://iso27000.es/iso27002_12.html
http://iso27000.es/iso27002_12.html