Ignore:
Timestamp:
Sep 30, 2014, 3:59:18 PM (10 years ago)
Author:
Víctor Bravo Bravo <vbravo@…>
Branches:
master, revisionfinal
Children:
b6b24fb
Parents:
9ec9411
Message:

Revision Capitulo 2

File:
1 edited

Legend:

Unmodified
Added
Removed

  • maquetacion/capitulo2/identificacionRiesgos.tex

    r2f5fd50 rbff2774  
    11\section{Identificación de los riesgos a terceros}
    22
    3 Cuando se da acceso a terceras personas ajenas al funcionamiento rutinario de un sistema informático, en primer lugar, se debe llevar
    4 acabo una evaluación de los riesgos  para determinar las implicaciones en la seguridad
    5 y los requerimientos de controles. Para cada grupo de terceras personas
    6 se debería llevar la evaluación y definición de los controles de seguridad.
    7 Se debe considerar el tipo de acceso requerido (físico, lógico) de
    8 acuerdo a las actividades que va a realizar
    9 en la organización. Si se va a requerir del uso de activos lógicos de la institución,
    10 y/o  acceso a determinadas áreas, que pueden ser vitales a la institución,
    11 y de acuerdo a esto, tener
    12 la certeza de permitirlo o no.
     3Cuando se da acceso a terceras personas ajenas al funcionamiento rutinario de los activos de información de la organización, en primer lugar se debe llevar
     4acabo una evaluación de los riesgos para determinar las implicaciones en la seguridad
     5y los requisitos para establecer los controles. Para cada grupo externo de personas
     6se debe llevar a cabo la evaluación y definición de los controles de seguridad.
    137
    148Para este tipo de riesgos se recomienda registrar los siguientes datos:
     
    1610\begin{itemize}
    1711
    18 \item Los medios de procesamientos de información a las cuales necesita
    19 tener acceso (equipos muy especializados, delicados, sensibles, costosos).
     12\item Los medios de procesamientos de información a las cuales se necesita
     13tener acceso.
    2014
    21 \item Evaluar los datos a la que se accede, medido en
    22 diferentes aspectos (Económicos, sociales, morales, entre otra).
     15\item Evaluar el nivel de confidencialidad de los datos a los que se accede.
    2316
    24 \item Especificarle a las terceras personas las costumbres de la institución y de las
    25 personas que trabajan en ella en materia de la seguridad de la información, en relación con a
    26 las costumbres de la comunidad, y otros visitantes.
     17\item Espresarle (por escrito, si es posible)  a las terceras personas las políticas de seguridad de la información de la organización .
    2718
    28 \item Evaluar el nivel de confianza, entendido como qué tanto se confíe
     19\item Evaluar el nivel de confianza entendido como qué tanto se confía
    2920en que terceros no dañen o usufructúen los activos de información de
    30 la institución. Esto puede realizarse utilizando una historia detallada
    31 de incidentes de seguridad, a la cuál pueda aplicarse herramientas estadísticas.
     21la organización. Esto puede realizarse utilizando una historia detallada
     22de incidentes de seguridad, la cuál puede resumirse utilizando herramientas estadísticas.
    3223
    3324\item Configurar los recursos informáticos requeridos.
     
    3627cumplimientos de las políticas de seguridad.
    3728
    38 \item Especificar el nivel de seguridad físico (espacio físico) en su estancia en
    39 la institución y en realizar las actividades de acuerdo con los niveles de confianza,
     29\item Especificar el nivel de seguridad físico (espacio físico) en su estancia dentro de las instalaciones de la
     30la organización y en realizar las actividades de acuerdo con los niveles de confianza,
    4031
    4132\item Disponibilidad de una red inalámbrica o cableada con sólo determinados
    4233servicios de acuerdo a las necesidades de las personas.
    4334
    44 \item Establecer las responsabilidades de la institución por actos de las personas que
    45 utilicen recursos de la institución como el uso del correo institucional, acceso a la
    46 información confidencial de la institución a terceros,
    47 ataques o intento de intrusión contra equipos utilizando la red de la institución.
     35\item Establecer las responsabilidades de los empleados por actos de las personas que
     36utilicen activos de información como el uso del correo institucional, acceso a la
     37información confidencial a terceros,
     38ataques o intento de intrusión contra equipos utilizando la red de la organización.
    4839
    4940\end{itemize}
Note: See TracChangeset for help on using the changeset viewer.