Una vez pasada la fase de reconocimiento de la empresa, en este momento los
pasos a seguir son los siguientes:
De acuerdo a las áreas encontradas en la empresa en las cuales se identifico
especialmente la que maneja el sistema de información. Centraremos nuestro anáilisis especificamente en esta sección de la empresa. Desde la topología de red de la empresa se debe observar donde se úniba el centro de cableado porque esta área se va a revisar para observar sus vulenrabilidades. De igual manera observar como se comunica el área donde esta el sistema de información central con las demás áreas de la empresa esto con fines de observar las vulenerabilidades físicas y de ambiente que puede tener dicha área. Ahora desde la norma ISO 27002 sobre buenas prácticas para la gestión de la seguridad de la información iniciamos nuestra evaluación. Con el reconocimiento realizado en su empresa vamos a "evaluar los riesgos" que presenta la empresa, como ya observamos la 27002 tiene 13 dominios, entones, los vamos a los reducir a los se observa que son mas comunes a la empresa de acuerdo a lo que presentaron en la fase 2. o Dominios y objetivo de control a trabajar 5. POLÍTICA DE SEGURIDAD. 5.1 Política de seguridad de la información 6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMAC. 6.1 Organización interna. 7. GESTIÓN DE ACTIVOS. 7.1 Responsabilidad sobre los activos. 7.2 Clasificación de la información. 9. SEGURIDAD FÍSICA Y DEL ENTORNO. 9.1 Áreas seguras. 9.2 Seguridad de los equipos. 10. GESTIÓN DE COMUNICACIONES Y OPERACIONES. 10.2 Gestión de la provisión de servicios por terceros. 10.4 Protección contra el código malicioso y descargable. 10.6 Gestión de la seguridad de las redes. 10.6.1 Controles de red. 10.6.2 Seguridad de los servicios de red. 10.7 Manipulación de los soportes. 10.8 Intercambio de información. 10.9 Servicios de comercio electrónico. 10.10 Supervisión. 11. CONTROL DE ACCESO. 11.1 Requisitos de negocio para el control de acceso. 11.2 Gestión de acceso de usuario. 11.3 Responsabilidades de usuario. 11.4 Control de acceso a la red. 11.5 Control de acceso al sistema operativo. 11.6 Control de acceso a las aplicaciones y a la información. 11.7 Ordenadores portátiles y teletrabajo. 13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN. 13.1 Notificación de eventos y puntos débiles de seguridad de la información. 13.2 Gestión de incidentes y mejoras de seguridad de la información.
En total son 7 dominios,
Revisen la documentación adjunta:
pdf resumen de la iso 27002
pdf iso 27005, aplicar capitulo 8 de la norma para determinar la evaluación del riesgo. excel - ejemplo lista de chequeo - pueden usar otra
Luego comentaré sobre como ir construyendo la politica de seguridad aplicano
PHVA con la 27001, a partir de los hallazgos anteriores. Felicidades.