COMPONENTES DE LA SEGURIDAD FISICA
La seguridad de los sistemas de información envuelve la protección de la información así como la de los sistemas computacionales usados para grabar, procesar y almacenar la información. También esta involucrada en esta sección la seguridad equipamiento adicional necesario y las personas designadas al manejo de la información.
1.- el edificio: se refiere a realizar una auditoría interna para verificar las funciones jerárquicas, la rotación del personal y para darnos cuenta de las auditorías que se hayan o no realizado en la organización.
2.- Administración de la seguridad: en este punto se verifica que haya un encargado capacitado para cada uno de los departamentos y así brindar la debida seguridad a cada uno de ellos.
3.- Centro de proceso de datos e instalaciones: en este punto se verifica que tengan las instalaciones debidas como lo son: el recibidor principal, sala de operadores, instalaciones eléctricas, almacenes, etc.
4.- Equipos y comunicaciones: en este punto se verifica que existan los equipos de cómputo, dispositivos periféricos así como los dispositivos de necesarios de comunicaciones.
5.- Seguridad física del personal: en este punto se verifica que la organización cuente con la seguridad de su personal en las instalaciones, como son: entradas y salidas seguras, ruta de evacuación en caso de incendios, etc.
COMPONENTES DE LA SEGURIDAD AMBIENTAL
En este nos habla de los componentes que pueden influir en que algo no salga bien o que ocasione problemas en un centro de informatica.
Factores que componen un ambiente. En el lugar de trabajo, estos incluyen el ruido, la calidad del aire, la vibración de la maquinaria, la altura de la estación de trabajo y los materiales con los que tiene contacto el empleado.
Todos estos factores influyen mucho en el ambiente de trabajo del empleado, se sabe de antemano que si el empleado tiene su área de trabajo en condiciones óptimas este desarrollará mucho mejor sus labores.
martes, 27 de abril de 2010
Documentacion de amenazas.
AMENAZAS INTERNAS , EXTERNAS Y HUMANAS
EXTERNAS
Tormentas.
Incendios accidentales.
Inundaciones.
Condiciones climatológicas.
Robo por parte del personal distinto en el que se trabaja o por otras personas.
INTERNAS
Mal manejo de los equipos.
Exceso de humedad.
Hackers.
Robo del equipo informático por parte del personal de la organización o del lugar de trabajo.
Extracción de información confidencial de los miembros de la organización (incluyendo empleados).
HUMANAS
Disturbios.
Sabotajes.
Hackers.
Fraude.
Creación de cualquier tipo de virus.
AMENAZA INTERNA
La extrusión o amenaza interna es el robo de información crítica del negocio por empleados o personal interno dentro del contexto de confianza de la empresa. Hasta no hace poco, la mayoría de las empresas estaban enfocadas en intrusiones o amenazas externas, que generalmente ignoran la amenazas internas. Las amenazas internas conforman el 80% de las pérdidas económicas en América. Sin embargo, existen cada vez más casos en las noticias sobre peligros de fuga de información confidencial de corporaciones e instituciones gubernamentales, quienes finalmente están comenzando a darse cuenta que esto es altamente riesgoso y crítico para la continuidad de la organización
AMENAZA EXTERNA
Se entiende como amenaza externa todo aquello que no tiene nada que ver con los equipos de cómputo, por ejemplo lluvia, tierra o todo aquel fenómeno natural, incendios o el robo de equipo por parte de personas ajenas al centro de cómputo.
AMENAZA HUMANAS
Las amenazas a la seguridad de la información atentan contra su confidencialidad, integridad y disponibilidad. Existen amenazas relacionadas con falla humanas, con ataques malintencionados o con catástrofes naturales. Mediante la materialización de una amenaza podría ocurrir el acceso modificación o eliminación de información no autorizada; la interrupción de un servicio o el procesamiento de un sistema; daños físicos o robo del equipamiento y medios de almacenamiento de información.
EXTERNAS
Tormentas.
Incendios accidentales.
Inundaciones.
Condiciones climatológicas.
Robo por parte del personal distinto en el que se trabaja o por otras personas.
INTERNAS
Mal manejo de los equipos.
Exceso de humedad.
Hackers.
Robo del equipo informático por parte del personal de la organización o del lugar de trabajo.
Extracción de información confidencial de los miembros de la organización (incluyendo empleados).
HUMANAS
Disturbios.
Sabotajes.
Hackers.
Fraude.
Creación de cualquier tipo de virus.
AMENAZA INTERNA
La extrusión o amenaza interna es el robo de información crítica del negocio por empleados o personal interno dentro del contexto de confianza de la empresa. Hasta no hace poco, la mayoría de las empresas estaban enfocadas en intrusiones o amenazas externas, que generalmente ignoran la amenazas internas. Las amenazas internas conforman el 80% de las pérdidas económicas en América. Sin embargo, existen cada vez más casos en las noticias sobre peligros de fuga de información confidencial de corporaciones e instituciones gubernamentales, quienes finalmente están comenzando a darse cuenta que esto es altamente riesgoso y crítico para la continuidad de la organización
AMENAZA EXTERNA
Se entiende como amenaza externa todo aquello que no tiene nada que ver con los equipos de cómputo, por ejemplo lluvia, tierra o todo aquel fenómeno natural, incendios o el robo de equipo por parte de personas ajenas al centro de cómputo.
AMENAZA HUMANAS
Las amenazas a la seguridad de la información atentan contra su confidencialidad, integridad y disponibilidad. Existen amenazas relacionadas con falla humanas, con ataques malintencionados o con catástrofes naturales. Mediante la materialización de una amenaza podría ocurrir el acceso modificación o eliminación de información no autorizada; la interrupción de un servicio o el procesamiento de un sistema; daños físicos o robo del equipamiento y medios de almacenamiento de información.
APUNTES DE SEGURIDAD.............
AQUI ESTAN LOS APUNTES DE AUDITORIA POR SI LES SIRVEN
DE ALGO...
La seguridad física
· Garantiza la integridad de los activos humanos, lógicos y material de un CPD.
· No están claros los límites, dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones.
· Se deben tener medidas para atender los riesgos de fallos, local o general.
Medidas
· Antes
- Obtener y mantener un nivel adecuado de seguridad física sobre los activos.
· Durante
- Ejecutar un plan de contingencia adecuado.
· Después
- Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el fallo.
Antes
· El nivel adecuado de seguridad física o grado de seguridad es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.
· Es un concepto general, no sólo informático, en las que las personas hagan uso particular o profesional de los entornos físicos.
-Ubicación del edificio
-Ubicación del CPD
-Compartimentación
-Elementos de construccion
-Potencia electrica
-Sistemas contra incendios
-Control de accesos
-Seleccion del personal
-Seguridad de los medios
-Medidas de proteccion
-Duplicacion de los medios
Durante
Un desastre es cualquier evento que puede ocurrir y que tiene como capacidad la de interrumpir el proceso normal de una empresa tanto laboral como económicamente .
Se debe afrontar con los medios necesarios:
Plan para recuperación de desastres en este quedan definidos.
Junto con el cent ro alternativo de proceso de datos, ambos forman el plan de contingencia.
El plan de contingencia sin excusa debe tener lo siguiente:
1.- Realizar un análisis de riesgos de los sistemas críticos.
2.- Establecer un periodo crítico de recuperación.
3.- Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
4.- Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos.
5.- Establecer objetivos de recuperación que determinen el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
6.- Designar entre los distintos tipos existentes un centro alternativo de proceso de datos.
7.- Asegurar la capacidad de las comunicaciones.
8.- Asegurar los servicios de back-up
DESPUES
De la gama de seguros pueden darse:
1. Centro de proceso y equipamiento.
2. Reconstrucción de medios de software.
3. Gastos extra.
4. Interrupción del negocio.
5. Documentos y registros valiosos.
6. Errores y omisiones.
7. Cobertura de fidelidad.
8. Transporte de medios.
9. Contratos con proveedores y de mantenimiento.
1.-Areas de seguridad fisica.
El edificio:
Debe encargarse a peritos especializados.
Las áreas que debe checar el auditor de manera directa son:
· Organigrama de la empresa.
· Auditoria interna.
En donde el primero se deberá de verificar las dependencias orgánicas funcionales y jerárquicas.
· Separación de funciones y rotación del personal.
Da la primera y mas amplia visión del centro de procesos. En el caso de la auditoria interna se coloca especial atención en el personal, en los planes de auditoria, historia o historial de auditorias físicas.
2.-Administración de la seguridad:
Debe de existir las siguientes jerarquías:
Director o responsable de la seguridad integral.
Responsable de la seguridad informática.
Administradores de redes.
Administradores de base de datos.
Responsables de la seguridad activa y pasiva del entorno físico.
Normas, procedimientos y planes existentes.
3.-Centro de proceso de datos e instalaciones:
Entorno en donde se encuentre el centro de proceso de datos.
La sala de host.
La sala de operadores.
La sala de impresoras.
Cámaras.
Las oficinas.
Almacenes.
Instalaciones eléctricas.
Aire acondicionado.
4.-Equipos y comunicaciones:
Entiéndase por equipos y comunicaciones las terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de comunicaciones, y equipos de hosting.
5.-Seguridad física del personal:
Accesos seguros. Se debe de proporcionar una ruta de acceso que brinde la seguridad necesaria al personal de la empresa, que se encuentren laborando para la empresa.
Salidas seguras
Medios y rutas de evacuacion, extincion de incendios, sistemas de bloqueos de puertas y ventanas.
Normas y politicas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal.
Fuentes de auditoria fìsica
Debieran estar accesibles:
· Politicas, normas y planes de seguridad
· Auditorias anteriores, generales o parciales
· Contratos de seguros de prooveedores y de mantenimiento
· Actas e informes de tecnicos y consultores
· Informes de acceso y visitas
· Informes sobre pruebas de evacuacion
· Politicas del personal
· Inventarios de sopòrtes (cintoteca, backup, procedimientos de archivos, controles de salida, recuperacion de soporte, control de copias, etc).
Tecnicas y herramientas del auditor
-Tecnicas
· Observacion de las instalaciones, sistemas, cumplimiento de normas y procedimientos. Etc, (tanto del espectador como del actor).
· Revision analitica de:
*Documentacion sobre construccion y preinstalacion
*Documentacion sobre seguridad fisica
*Politicas y normas de actividad de sala
*Normas y procedimientos sobre seguridad fisica de los datos
*Contratos de seguros y de mantenimiento
· Entrevistas con directivos y personal fijo o temporal (no es interrogatorio)
· Consultas de tecnicos y peritos que formen parte de la plantilla o independiente
· Herramientas :
*Cuaderno de campo / grabadora de audio
*Camara fotografica / camara de video
*Su uso debe ser discreto y con autorizacion
Fases de la auditoria fisica
Considerando la metodologia de ISACA (Information Systems Audit and Control Association).
Fase 1.- alcance de la auditoria
Fase 2.- adquisicion de informacion general
Fase 3.- administracion y planificacion
Fase 4.- plan de auditoria
Fase 5.- resultados de las pruebas
Fase 6.- conclusiones y comentarios
Fase 7.- borrador del informe
Fase 8.- discusion con los responsables de area
Fase 9.- infomre final
*Informe- anexo al informe- carpeta de evidencias
Fase 10.- seguimiento de las modificaciones acordadas
SEGURIDAD LOGICA.
Control de red.
· La empresa debe contar con controles que protejan la informacion dispuesta en las redes de in formacion y los ser vicios interconectados, evitando asi accesos no autorizados.
· Debe existir un adecuado de segregacion funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad.
· Deben existir sistermas de seguridad logica de eventos que permiten monitoreo de incidentes de seguridad en redes.
Control de datos.
· La empresa debe contar con controles que protejan la informacion dispuesta en las bases de datos de las aplicaciones evitando asi accesos no autorizados.
· Debe existir un adecuado nivel de segregacion de funciones que regulen las actividades ejecutadas por los administradores de datos.
· Se debe mantener un Log de actividades que registre las actividades de los administradores de datos.
· Los usuarios deben acceder a la informacion contenida en las bases de datos, unicamente atraves de aplicaciones que cuentan con mecacismos de control que aseguran el acceso a la informacion autorizada (clave de acceso a la aplicación).
Encriptacion
· El nivel de proteccion de informacion debe de estar basado en un analisis de riesgos .
· Este analisis debe permitir identificar cuando es necesario encriptar la informacion, el tipo, calidad del algoritmo de encriptacion y el largo de las claves criptograficas, que deberan ser usadas.
· Toda informacion queda clasificada como restringida y confidencial, debe ser almacenada, procesada y transmitida en forma encriptada.
· Todas las claves criptograficas deben de estar protegidas contra modificacion, perdida y destruccion
Administracion de claves
· Las claves deben de estar protegidas contra accesos y modificaciones no autorizadas, perdidas y destrucciones.
· El equipamiento utilizadopara generar y almacenar las claves debe de estar fisicamente protegido.
· La proteccion de las claves debe impedir su visualizacion, a un si se vulnera el acceso al medio que la contiene.
Uso de passwords
las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte debe utilizar una clave segura para el acceso a los sistemas de la organización. Esta clave segura tiene lacondicion de personal e intransferible.
Se le considera debil a una clave o no segura cuando:
1. La clave contiene menos de 8 caracteres.
2. La clave es encontrada en un diccionario.
3. La clave es una palabra de uso comun, tal como puede se: npmbre de un familiar, mascota, colega etc.
4. La clave es fecha de cumpleaños u otra informacion personalcomo direcciones y numeros telefonicos.
Se considera una clave segura cuando:
1. La clave contiene mas de 8 caracteres.
2. La clave contiene caracteres en mayusculas y minusculas.
3. La clave tiene digitos de puntuacion, letras y numeros intercalados.
4. La clave no obedece a una palabra o lenguaje, dialecto o jerga.
5. Facil de recordar.
INTERCAMBIO DE INFORMACION.
Prevenir la perdida, modificacion o acceso no autorizado y el mal uso de la informacion que la empresa intercambia como sus procesos de negocio se permite:
Acuerdos de intercambio: En todos los casos de intercambio de informacion sensible se deben de tomar tosos los resguardos que eviten su revelacion no autorizada. Todo intercambio debe de estr autorizado expresamente por el dueño de esta.
Seguridad de los medios removibles: El dueño de la informacion es quien autoriza a traves de un medio removible desde la organización. Los dispositivos que permiten a alos computadores manejar medios removibles, deben ser habilitados cuando haya una razon de negocio para hacerlo y previa autorizacion del dueño de la informacion.
Seguridad en el comercio electronico: La informacion involucrada en el comercio electronico y que pasa por redes publicas, debe de estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.
Seguridad en el correo electronico: El correo electronico es provisto por la empresa, a los empleados y terceras partes para facilitar el desempeño de sus funciones . la asignacion de esta herramienta de trabajo de hacerse considerando una evaluacion del riesgo. El correo es personalizado, es decir no es aceptable la utilizacion del correo de otra persona, por tanto se asume responsable del envio al remitente y no quien lo firma.
DE ALGO...
La seguridad física
· Garantiza la integridad de los activos humanos, lógicos y material de un CPD.
· No están claros los límites, dominios y responsabilidades de los tres tipos de seguridad que a los usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones.
· Se deben tener medidas para atender los riesgos de fallos, local o general.
Medidas
· Antes
- Obtener y mantener un nivel adecuado de seguridad física sobre los activos.
· Durante
- Ejecutar un plan de contingencia adecuado.
· Después
- Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el fallo.
Antes
· El nivel adecuado de seguridad física o grado de seguridad es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.
· Es un concepto general, no sólo informático, en las que las personas hagan uso particular o profesional de los entornos físicos.
-Ubicación del edificio
-Ubicación del CPD
-Compartimentación
-Elementos de construccion
-Potencia electrica
-Sistemas contra incendios
-Control de accesos
-Seleccion del personal
-Seguridad de los medios
-Medidas de proteccion
-Duplicacion de los medios
Durante
Un desastre es cualquier evento que puede ocurrir y que tiene como capacidad la de interrumpir el proceso normal de una empresa tanto laboral como económicamente .
Se debe afrontar con los medios necesarios:
Plan para recuperación de desastres en este quedan definidos.
Junto con el cent ro alternativo de proceso de datos, ambos forman el plan de contingencia.
El plan de contingencia sin excusa debe tener lo siguiente:
1.- Realizar un análisis de riesgos de los sistemas críticos.
2.- Establecer un periodo crítico de recuperación.
3.- Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
4.- Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos.
5.- Establecer objetivos de recuperación que determinen el periodo de tiempo entre la declaración del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones críticas.
6.- Designar entre los distintos tipos existentes un centro alternativo de proceso de datos.
7.- Asegurar la capacidad de las comunicaciones.
8.- Asegurar los servicios de back-up
DESPUES
De la gama de seguros pueden darse:
1. Centro de proceso y equipamiento.
2. Reconstrucción de medios de software.
3. Gastos extra.
4. Interrupción del negocio.
5. Documentos y registros valiosos.
6. Errores y omisiones.
7. Cobertura de fidelidad.
8. Transporte de medios.
9. Contratos con proveedores y de mantenimiento.
1.-Areas de seguridad fisica.
El edificio:
Debe encargarse a peritos especializados.
Las áreas que debe checar el auditor de manera directa son:
· Organigrama de la empresa.
· Auditoria interna.
En donde el primero se deberá de verificar las dependencias orgánicas funcionales y jerárquicas.
· Separación de funciones y rotación del personal.
Da la primera y mas amplia visión del centro de procesos. En el caso de la auditoria interna se coloca especial atención en el personal, en los planes de auditoria, historia o historial de auditorias físicas.
2.-Administración de la seguridad:
Debe de existir las siguientes jerarquías:
Director o responsable de la seguridad integral.
Responsable de la seguridad informática.
Administradores de redes.
Administradores de base de datos.
Responsables de la seguridad activa y pasiva del entorno físico.
Normas, procedimientos y planes existentes.
3.-Centro de proceso de datos e instalaciones:
Entorno en donde se encuentre el centro de proceso de datos.
La sala de host.
La sala de operadores.
La sala de impresoras.
Cámaras.
Las oficinas.
Almacenes.
Instalaciones eléctricas.
Aire acondicionado.
4.-Equipos y comunicaciones:
Entiéndase por equipos y comunicaciones las terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de comunicaciones, y equipos de hosting.
5.-Seguridad física del personal:
Accesos seguros. Se debe de proporcionar una ruta de acceso que brinde la seguridad necesaria al personal de la empresa, que se encuentren laborando para la empresa.
Salidas seguras
Medios y rutas de evacuacion, extincion de incendios, sistemas de bloqueos de puertas y ventanas.
Normas y politicas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal.
Fuentes de auditoria fìsica
Debieran estar accesibles:
· Politicas, normas y planes de seguridad
· Auditorias anteriores, generales o parciales
· Contratos de seguros de prooveedores y de mantenimiento
· Actas e informes de tecnicos y consultores
· Informes de acceso y visitas
· Informes sobre pruebas de evacuacion
· Politicas del personal
· Inventarios de sopòrtes (cintoteca, backup, procedimientos de archivos, controles de salida, recuperacion de soporte, control de copias, etc).
Tecnicas y herramientas del auditor
-Tecnicas
· Observacion de las instalaciones, sistemas, cumplimiento de normas y procedimientos. Etc, (tanto del espectador como del actor).
· Revision analitica de:
*Documentacion sobre construccion y preinstalacion
*Documentacion sobre seguridad fisica
*Politicas y normas de actividad de sala
*Normas y procedimientos sobre seguridad fisica de los datos
*Contratos de seguros y de mantenimiento
· Entrevistas con directivos y personal fijo o temporal (no es interrogatorio)
· Consultas de tecnicos y peritos que formen parte de la plantilla o independiente
· Herramientas :
*Cuaderno de campo / grabadora de audio
*Camara fotografica / camara de video
*Su uso debe ser discreto y con autorizacion
Fases de la auditoria fisica
Considerando la metodologia de ISACA (Information Systems Audit and Control Association).
Fase 1.- alcance de la auditoria
Fase 2.- adquisicion de informacion general
Fase 3.- administracion y planificacion
Fase 4.- plan de auditoria
Fase 5.- resultados de las pruebas
Fase 6.- conclusiones y comentarios
Fase 7.- borrador del informe
Fase 8.- discusion con los responsables de area
Fase 9.- infomre final
*Informe- anexo al informe- carpeta de evidencias
Fase 10.- seguimiento de las modificaciones acordadas
SEGURIDAD LOGICA.
Control de red.
· La empresa debe contar con controles que protejan la informacion dispuesta en las redes de in formacion y los ser vicios interconectados, evitando asi accesos no autorizados.
· Debe existir un adecuado de segregacion funcional que regule las actividades ejecutadas por los administradores de redes, operaciones y seguridad.
· Deben existir sistermas de seguridad logica de eventos que permiten monitoreo de incidentes de seguridad en redes.
Control de datos.
· La empresa debe contar con controles que protejan la informacion dispuesta en las bases de datos de las aplicaciones evitando asi accesos no autorizados.
· Debe existir un adecuado nivel de segregacion de funciones que regulen las actividades ejecutadas por los administradores de datos.
· Se debe mantener un Log de actividades que registre las actividades de los administradores de datos.
· Los usuarios deben acceder a la informacion contenida en las bases de datos, unicamente atraves de aplicaciones que cuentan con mecacismos de control que aseguran el acceso a la informacion autorizada (clave de acceso a la aplicación).
Encriptacion
· El nivel de proteccion de informacion debe de estar basado en un analisis de riesgos .
· Este analisis debe permitir identificar cuando es necesario encriptar la informacion, el tipo, calidad del algoritmo de encriptacion y el largo de las claves criptograficas, que deberan ser usadas.
· Toda informacion queda clasificada como restringida y confidencial, debe ser almacenada, procesada y transmitida en forma encriptada.
· Todas las claves criptograficas deben de estar protegidas contra modificacion, perdida y destruccion
Administracion de claves
· Las claves deben de estar protegidas contra accesos y modificaciones no autorizadas, perdidas y destrucciones.
· El equipamiento utilizadopara generar y almacenar las claves debe de estar fisicamente protegido.
· La proteccion de las claves debe impedir su visualizacion, a un si se vulnera el acceso al medio que la contiene.
Uso de passwords
las passwords o claves de usuario son un elemento importante de seguridad, por lo tanto, todo empleado o tercera parte debe utilizar una clave segura para el acceso a los sistemas de la organización. Esta clave segura tiene lacondicion de personal e intransferible.
Se le considera debil a una clave o no segura cuando:
1. La clave contiene menos de 8 caracteres.
2. La clave es encontrada en un diccionario.
3. La clave es una palabra de uso comun, tal como puede se: npmbre de un familiar, mascota, colega etc.
4. La clave es fecha de cumpleaños u otra informacion personalcomo direcciones y numeros telefonicos.
Se considera una clave segura cuando:
1. La clave contiene mas de 8 caracteres.
2. La clave contiene caracteres en mayusculas y minusculas.
3. La clave tiene digitos de puntuacion, letras y numeros intercalados.
4. La clave no obedece a una palabra o lenguaje, dialecto o jerga.
5. Facil de recordar.
INTERCAMBIO DE INFORMACION.
Prevenir la perdida, modificacion o acceso no autorizado y el mal uso de la informacion que la empresa intercambia como sus procesos de negocio se permite:
Acuerdos de intercambio: En todos los casos de intercambio de informacion sensible se deben de tomar tosos los resguardos que eviten su revelacion no autorizada. Todo intercambio debe de estr autorizado expresamente por el dueño de esta.
Seguridad de los medios removibles: El dueño de la informacion es quien autoriza a traves de un medio removible desde la organización. Los dispositivos que permiten a alos computadores manejar medios removibles, deben ser habilitados cuando haya una razon de negocio para hacerlo y previa autorizacion del dueño de la informacion.
Seguridad en el comercio electronico: La informacion involucrada en el comercio electronico y que pasa por redes publicas, debe de estar protegida de actividades fraudulentas, disputas contractuales y revelaciones o modificaciones no autorizadas.
Seguridad en el correo electronico: El correo electronico es provisto por la empresa, a los empleados y terceras partes para facilitar el desempeño de sus funciones . la asignacion de esta herramienta de trabajo de hacerse considerando una evaluacion del riesgo. El correo es personalizado, es decir no es aceptable la utilizacion del correo de otra persona, por tanto se asume responsable del envio al remitente y no quien lo firma.
domingo, 21 de marzo de 2010
Capitulo 2.
Dar click para ver el capitulo 2 de la auditoria..
Me habia equivocado y lo habia puesto en el blog de auditoria
disculpenme......
Me habia equivocado y lo habia puesto en el blog de auditoria
disculpenme......
lunes, 1 de marzo de 2010
domingo, 28 de febrero de 2010
NOTA:
Si no se puede abrir el link la informacion esta abajo ok lo
puse porke tenia problemas con el internet......
puse porke tenia problemas con el internet......
Suscribirse a:
Entradas (Atom)