AUDITORIA INFORMATICA

1. Revise el documento “El Sistema de Gestión de Seguridad de la Información – Norma UNE-ISO/IEC 17799”, subido en el EVA. (3 puntos)

a. Explicación del trabajo:

1. La norma UNE-ISO/IEC 17799 establece diez dominios de control, cada uno de estos tiene objetivos de control (resultados a alcanzar por la implementación de controles) y controles (prácticas que reducen el nivel de riesgo). De estos diez dominios Usted trabajará con el dominio “2. Aspectos organizativos para la seguridad”, “5. Seguridad física y del entorno” y “8. Desarrollo y mantenimiento de sistemas”.

2. Aspectos organizativos para la seguridad.

 Gestionar la seguridad de la información dentro de la organización.

 Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros.

 Mantener la seguridad de la información cuando la responsabilidad de su tratamiento se ha externalizado a otra organización.

 Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tiene cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma.

 Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos.

5. Seguridad física y del entorno.

 Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

 Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización.

 Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información.

 Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio...).

8. Desarrollo y mantenimiento de sistemas.

• Asegurar que la seguridad está incluida dentro de los sistemas de información.

• Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.

• Proteger la confidencialidad, autenticidad e integridad de la información.

• Asegurar que los proyectos de Tecnología de la Información y las actividades complementarias son llevadas a cabo de una forma segura.

• Mantener la seguridad del software y la información de la aplicación del sistema.

• Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos, desarrollo, explotación, mantenimiento.

3. Elabore un CheckList o lista de verificación que permita evaluar el cumplimiento de estos dominios. Tome como ejemplo el ejercicio de la página 26 de este documento.

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD.

SI

INTERMEDIO

NO

OBSERVACIONES

¿Poseen catálogos de los equipos?

¿Cuentan con información detallada de los proveedores del equipo (número de contacto, dirección, etc.)?

Cuándo se presenta un fallo en la maquinaria, ¿Se dispone de los repuestos necesarios para la reparación?

¿Cuenta con un inventario detallado y actualizado de los repuestos o piezas de recambio existentes?

¿Cuenta con las herramientas adecuadas para realizar todas las reparaciones pertinentes?

¿Se encuentran las herramientas al alcance del personal de mantenimiento en caso de una avería?

¿Resulta fácil la ubicación de los diferentes

...