Planificacion De Seguridad
Páginas: 17 (4031 palabras)
Publicado: 10 de julio de 2011
-------------------------------------------------
Planificación de la seguridad
Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistemay se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la información, el propietario de lared, y el alto funcionario de la agencia de información de seguridad (SAISO).
Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en el proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben participar en el tratamiento de los controles de seguridad que debenaplicarse a sus sistemas.
[editar]Creación de un Plan de respuesta a incidentes
Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la organización y probarlo regularmente. Un buen plan de respuestas a incidentes puede no sólo minimizar los efectos de una violación sino también, reducir la publicidad negativa.
Desde la perspectiva del equipo de seguridad, noimporta si ocurre una violación o abertura (pues tales eventos son una parte eventual de cuando se hacen negocios usando un método de poca confianza como lo es Internet), si no más bien cuando ocurre. El aspecto positivo de entender la inevitabilidad de una violación a los sistemas (cualquier sistema donde se procese información confidencial, no esta limitado a servicios informáticos) es que permiteal equipo de seguridad desarrollar un curso de acciones para minimizar los daños potenciales. Combinando un curso de acciones con la experiencia le permite al equipo responder a condiciones adversas de una manera formal y oportuna.
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
* Acción inmediata para detener o minimizar el incidente
* Investigación del incidente* Restauración de los recursos afectados
* Reporte del incidente a los canales apropiados
Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se efectúen prácticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la velocidad y laprecisión, minimizando el impacto de la indisponibilidad de los recursos y el daño potencial causado por el sistema en peligro.
Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:
* Un equipo de expertos locales (un Equipo de respuesta a emergencias de computación)
* Una estrategia legal revisada y aprobada
* Soporte financiero de la compañía
* Soporteejecutivo de la gerencia superior
* Un plan de acción factible y probado
* Recursos físicos, tal como almacenamiento redundante, sistemas en stand by y servicios de respaldo
Consideraciones legales Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberían ser desarrollados con miembros del equipo de asesoría jurídica oalguna forma de consultoría general. De la misma forma en que cada compañía debería tener su propia política de seguridad corporativa, cada compañía tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales están más allá del ámbito de este documento, pero se mencionan debido a que la metodología para llevar a cabo el análisis...
Planificación de la seguridad
Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistemay se describen los controles en el lugar o los previstos para cumplir esos requisitos. El plan de seguridad del sistema también delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema. Debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la información, el propietario de lared, y el alto funcionario de la agencia de información de seguridad (SAISO).
Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en el proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben participar en el tratamiento de los controles de seguridad que debenaplicarse a sus sistemas.
[editar]Creación de un Plan de respuesta a incidentes
Es importante formular un plan de respuestas a incidentes, soportarlo a lo largo de la organización y probarlo regularmente. Un buen plan de respuestas a incidentes puede no sólo minimizar los efectos de una violación sino también, reducir la publicidad negativa.
Desde la perspectiva del equipo de seguridad, noimporta si ocurre una violación o abertura (pues tales eventos son una parte eventual de cuando se hacen negocios usando un método de poca confianza como lo es Internet), si no más bien cuando ocurre. El aspecto positivo de entender la inevitabilidad de una violación a los sistemas (cualquier sistema donde se procese información confidencial, no esta limitado a servicios informáticos) es que permiteal equipo de seguridad desarrollar un curso de acciones para minimizar los daños potenciales. Combinando un curso de acciones con la experiencia le permite al equipo responder a condiciones adversas de una manera formal y oportuna.
El plan de respuesta a incidentes puede ser dividido en cuatro fases:
* Acción inmediata para detener o minimizar el incidente
* Investigación del incidente* Restauración de los recursos afectados
* Reporte del incidente a los canales apropiados
Una respuesta a incidentes debe ser decisiva y ejecutarse rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se efectúen prácticas de emergencias y se midan los tiempos de respuesta. De esta forma, es posible desarrollar una metodología que fomenta la velocidad y laprecisión, minimizando el impacto de la indisponibilidad de los recursos y el daño potencial causado por el sistema en peligro.
Un plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:
* Un equipo de expertos locales (un Equipo de respuesta a emergencias de computación)
* Una estrategia legal revisada y aprobada
* Soporte financiero de la compañía
* Soporteejecutivo de la gerencia superior
* Un plan de acción factible y probado
* Recursos físicos, tal como almacenamiento redundante, sistemas en stand by y servicios de respaldo
Consideraciones legales Otros aspectos importantes a considerar en una respuesta a incidentes son las ramificaciones legales. Los planes de seguridad deberían ser desarrollados con miembros del equipo de asesoría jurídica oalguna forma de consultoría general. De la misma forma en que cada compañía debería tener su propia política de seguridad corporativa, cada compañía tiene su forma particular de manejar incidentes desde la perspectiva legal. Las regulaciones locales, de estado o federales están más allá del ámbito de este documento, pero se mencionan debido a que la metodología para llevar a cabo el análisis...
Leer documento completo
Regístrate para leer el documento completo.