Ayuda con políticas
Hola amigo, saludos.
¿Le comento mi caso?. Actualmente se esta tratando de llevar a cabo la adopción de una serie de normas de seguridad en donde trabajo que cumplan con algunos lineamientos del Cobit e ISO17799, a mi me ecomendaron una serie de cosas, pero la verdad es que no tengo mucha idea como llevarla a cabo o como documentarlas, hablar de capacitación en la empresa es prácticamente imposible, por eso le pido fervientemente me ayude a lmenos dándome guías o documentos de cómo poder hacer esto que le detallo a continuación.
Establecer, ¿mantener y documentar un sistema de Administración de la Seguridad de la información o? ¿Plan de seguridad de la información?. Las actividades mínimas para dicho plan son:
a) Definición de una política de seguridad.
b) Evaluación de riesgos de seguridad a las que está expuesta la información.
c) Selección de controles y objetivos de control indicando porqué se incluyeron/excluyeron.
d) Plan de implementación de los controles y procedimientos de revisión periódicas.
e) Mantenimiento de registros que permitan verificar el cumplimiento de las normas estándares, políticas, procedimientos y otros definidos por la organización.
f) Mantenimiento de las pistas de auditoría adecuadas.
Desde ya, le doy mis más fervientes gracias y espero me pueda ayudar pues no tengo idea de cómo hacer esto.
Gracias de nuevo y reciba de mi un caluroso saludo.
¿Le comento mi caso?. Actualmente se esta tratando de llevar a cabo la adopción de una serie de normas de seguridad en donde trabajo que cumplan con algunos lineamientos del Cobit e ISO17799, a mi me ecomendaron una serie de cosas, pero la verdad es que no tengo mucha idea como llevarla a cabo o como documentarlas, hablar de capacitación en la empresa es prácticamente imposible, por eso le pido fervientemente me ayude a lmenos dándome guías o documentos de cómo poder hacer esto que le detallo a continuación.
Establecer, ¿mantener y documentar un sistema de Administración de la Seguridad de la información o? ¿Plan de seguridad de la información?. Las actividades mínimas para dicho plan son:
a) Definición de una política de seguridad.
b) Evaluación de riesgos de seguridad a las que está expuesta la información.
c) Selección de controles y objetivos de control indicando porqué se incluyeron/excluyeron.
d) Plan de implementación de los controles y procedimientos de revisión periódicas.
e) Mantenimiento de registros que permitan verificar el cumplimiento de las normas estándares, políticas, procedimientos y otros definidos por la organización.
f) Mantenimiento de las pistas de auditoría adecuadas.
Desde ya, le doy mis más fervientes gracias y espero me pueda ayudar pues no tengo idea de cómo hacer esto.
Gracias de nuevo y reciba de mi un caluroso saludo.
Respuesta de Daniel Gomez
1
¿Cómo estas azambca? Bueno el proceso para cumplir con COBIT e ISO17799 es laborioso.
Lo primero que necesitas es un levantamiento de información sobre los procesos informáticos ya que estamos hablando de seguridad informática, por ejemplo reunirte con algunas personas de un departamento y que te expliquen la plataforma en hardware/software que usan, los procesos que tiene, etc. Porque si es seguridad de información tienes que ir por cuatro frentes:
- Seguridades físicas
- Seguridades en la Base de Datos
- Seguridades en los Aplicativos
- Seguridades en otras Tecnologías de Información
En estos cuatro grandes grupos tienes que hacer un mapeo de todos los procesos que existen. Por ejemplo: el proceso de realizar una factura
Llega el cliente, se hace una orden de pedido la cual es ingresada al sistema y luego es aprobado por la persona POR, para después ser revisada por la persona Y y entregada a bodega para que la persona Z despache los productos y sea revisada por la persona A que el pedido está listo.
Aquí te lo planteo de una forma MACRO, porque tendrás que desmenuzarlo hasta el mínimo debido a que la persona que ingresa la factura lo hace en el sistema ABC y debes conocer todo en detalle.
Con el análisis de todos estos procesos, puedes realizar los puntos a, b, c.
Para las otras actividades debes concordar con el área responsable de esos procesos que necesitan revisión y poder evaluar un plan de implementación, para eso están las reuniones, las cartas de responsabilidad, etc.
De verdad este es un tema extenso y aquí te doy ciertas pautas, si tienes alguna duda en especifico puedes escribirme, y también puedes encontrar más información sobre COBIT en
http://www.isaca.org/
Lo primero que necesitas es un levantamiento de información sobre los procesos informáticos ya que estamos hablando de seguridad informática, por ejemplo reunirte con algunas personas de un departamento y que te expliquen la plataforma en hardware/software que usan, los procesos que tiene, etc. Porque si es seguridad de información tienes que ir por cuatro frentes:
- Seguridades físicas
- Seguridades en la Base de Datos
- Seguridades en los Aplicativos
- Seguridades en otras Tecnologías de Información
En estos cuatro grandes grupos tienes que hacer un mapeo de todos los procesos que existen. Por ejemplo: el proceso de realizar una factura
Llega el cliente, se hace una orden de pedido la cual es ingresada al sistema y luego es aprobado por la persona POR, para después ser revisada por la persona Y y entregada a bodega para que la persona Z despache los productos y sea revisada por la persona A que el pedido está listo.
Aquí te lo planteo de una forma MACRO, porque tendrás que desmenuzarlo hasta el mínimo debido a que la persona que ingresa la factura lo hace en el sistema ABC y debes conocer todo en detalle.
Con el análisis de todos estos procesos, puedes realizar los puntos a, b, c.
Para las otras actividades debes concordar con el área responsable de esos procesos que necesitan revisión y poder evaluar un plan de implementación, para eso están las reuniones, las cartas de responsabilidad, etc.
De verdad este es un tema extenso y aquí te doy ciertas pautas, si tienes alguna duda en especifico puedes escribirme, y también puedes encontrar más información sobre COBIT en
http://www.isaca.org/
1 respuesta más de otro experto
Respuesta de tachen
1
Lamento decirte que no puedo ayudarte demasiado, ya que cada proyecto de empresa es un mundo. Y cada empresa tiene sus "manias" y quiere esto de tal forma y esto de tal otra. Por lo que me dices del ISO17799 te indico unos links que te pueden ayudar:
http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm
http://www.bsiamericas.com/Mex+Seguridad+en+Informacion/Resumen/Que+es+un+ISMS.xalter
http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml
http://www.enterate.unam.mx/Articulos/2005/febrero/seguridad.htm
http://www.bsiamericas.com/Mex+Seguridad+en+Informacion/Resumen/Que+es+un+ISMS.xalter
http://www.monografias.com/trabajos/seguinfo/seguinfo.shtml