Upload File

iso

38
1.1. introducción Tiene un requisito para gestionar la seguridad de la información con el fin de garantizar continuidad del negocio y minimizar los daños de negocios mediante la prevención y minimizando el impacto de los incidentes de seguridad, y la protección de la Los activos de información Organizaciones en términos de confidencialidad, La rápida expansión de los negocios y la criticidad de la información sistemas ha llevado a la decisión de investigar a fondo todos los aspectos de Seguridad de la Información. También existe la preocupación de que la infraestructura no ha sido revisado desde la instalación y una revisión completa de TI Se requiere sistemas y seguridad para garantizar el control de la red es mantenido. Una auditoría de la seguridad interna completa inicial ha sido el encargado de Trinidad de Seguridad para llevarse a cabo en conjunción con un externa prueba de penetración. El objetivo de la auditoría fue identificar áreas de impacto para el negocio y hacer recomendaciones para reducir el impacto identificado. La auditoría abarcó las siguientes áreas: política de Seguridad

Upload: luismartinez

Post on 14-Nov-2015

224 views

Category:

Documents


0 download

Report

DESCRIPTION

habla todo sobre iso 140001

TRANSCRIPT

1.1. introduccinTiene un requisito para gestionar la seguridad de la informacin con el fin de garantizarcontinuidad del negocio y minimizar los daos de negocios mediante la prevenciny minimizando el impacto de los incidentes de seguridad, y la proteccin de laLos activos de informacin Organizaciones en trminos de confidencialidad,

La rpida expansin de los negocios y la criticidad de la informacinsistemas ha llevado a la decisin de investigar a fondo todos los aspectos deSeguridad de la Informacin. Tambin existe la preocupacin de que la infraestructurano ha sido revisado desde la instalacin y una revisin completa de TISe requiere sistemas y seguridad para garantizar el control de la red esmantenido.Una auditora de la seguridad interna completa inicial ha sido el encargado deTrinidad de Seguridad para llevarse a cabo en conjuncin con un externaprueba de penetracin.El objetivo de la auditora fue identificar reas de impacto para el negocioy hacer recomendaciones para reducir el impacto identificado. La auditora abarc las siguientes reas:poltica de SeguridadSeguridad Organizacionalgestin de activosRecursos de la Seguridad HumanaSeguridad fsica y ambienteComunicaciones y Gestin de OperacionesControl de Acceso criticidad Fijar Tiempo DescripcinROJO (ALTO) EMPRESA La prdida de clientes.Vergenza pblica significativa (negativopublicidad en mltiples publicaciones).El costo de ms de 10.000 libras.Indicacin del usuario / industria escal hastaEl presidente o director general.La prdida de la disponibilidad del sistema para una extendidaperodo de tiempoBuena oportunidad de la accin legal significativacontra la empresaAMBAR(MEDIO) 1-3 Meses Costo de ms de 5000Indicacin del usuario escal a unejecutivo.VERDE(BAJO) 6 Meses molestias.

Sistemas de informacin Adquisicin, desarrollo ymantenimientoGestin de IncidentesGestin de la Continuidad del Negocioconformidad

1.2. Auditora SinopsisEn general, el impacto que es alta, con la estructura actual de TI. hasta la fechaTI ha sido entregado de manera informal con algunos de Seguridadcontroles establecidos. Seguridad de TI no ha sido una consideracin debido ala dinmica de fluidos de la empresa y el cambio rpido.La infraestructura de TI actual refleja el crecimiento reactiva movimiento rpidode la empresa. Este mtodo de crecimiento presenta un riesgo significativopara el negocio. Un incidente de seguridad dentro de la infraestructura haratiene un alto impacto como existen pocos controles para contener, mitigar ogestionar este tipo de eventos.Lo ms preocupante sera el impacto para el negocio debera clienteDatos estar expuesto, o riesgos para lo contrario. Los costos financierosde tal incidente sera elevado y podra salir de la organizacinincurrir en responsabilidad legal y reclamaciones importantes por daos y perjuicios.

1.3. Informacin del sistema de criticidad DefinicionesLos siguientes valores de criticidad de datos se usan en estedocumento.

PANORAMA 2 AUDITORA

2.1. introduccinServicios de seguridad de Trinidad (Trinidad) ha sido solicitada por proporcionaruna auditora de seguridad de TI independiente de su operacin. Esta auditoraproporcionarle una "instantnea" de su postura de seguridad de TI actualen comparacin con los estndares de la industria y las mejores prcticas.El informe compilado (este documento) propondr un cierto nmerode recomendaciones. La urgencia y la prioridad dada a la remediacinLas soluciones se basan en una "Impacto" nivel (rojo, mbar y verde(GAR)).Nuestro agradecimiento al personal y los directores de los que ayud con laAuditora y proporcion la informacin u orientacin necesaria para esteinformePersonal que hablamos durante la auditora se enumeran en el Apndice D.3 INTERNO DE OBSERVACIN DE AUDITORA

3.1. poltica de SeguridadEsta seccin cubre diferentes tipos de documentacin y lasistema de gestin de documentos que deben formar parte de una de TISistema de Gestin de la Informacin.La valoracin global del impacto de esta rea es [ALTO].Sin la documentacin necesaria, el sistema no puede ser re-construido, fcilmente entregado, problemas-shot o actualizado.

3.1.1 Polticas

Objetivo de negocioLos documentos de poltica se utilizan para establecer la forma en que el negociodesea mantener su TI y ayuda a la gestin de proporcionar direcciny el apoyo a la seguridad de la informacin en toda la organizacin.Una poltica tambin proporciona a la organizacin con una lnea de base sobre la que todosSe puede comprobar en contra de su cumplimiento. Diferentes polticas puedentener diferentes pblicos es decir que algunos pueden estar dirigidas a los usuarios finalesotros en los usuarios tcnicos.Polticas como una poltica de uso de Internet estn dirigidos a que establecela poltica de negocios en la forma en que la Internet puede serutilizado por los empleados.Las polticas deben ser claras y comprensibles para sulectores.

observacinHay un "Manual del Empleado", que se requiere para ser expedido atodo el personal nuevo y est disponible para todo el personal a travs de la intranet.Es una coleccin de declaraciones de poltica e informacin. Ha sidodiseado para tratar de cubrir todas las reas un empleado necesita en un solodocumento para facilitar su consulta - Se requiere que todo el personal que lea y firmela aceptacin del documento durante la induccin inicial de la empresa.No hubo evidencia visto (es decir, control de versiones, crticas etc) queel documento ha sido revisado para asegurarse de su conveniencia,adecuacin y eficacia.Varios miembros del personal sugiri el documento se cre "porquetiene que tenerlo "y fue seguido con un correo electrnico diciendo" no te preocupesnada va a cambiar "- debe esta percepcin ser verdad esta voluntadsocavar gestiones compromiso con el proceso.

Hay evidencia de que la poltica actual se ha aplicado resultanteen los procedimientos disciplinarios y en ltima instancia, el despido de un corte claroabuso de la instalacin de Internet.El documento manual del empleado no es suficiente para tomar lalugar de una Poltica de Seguridad de la Informacin formal, Poltica de Uso Aceptableu otros requisitos de la poltica. En l se enumeran brevemente Virus Protection, uso deEquipo y directrices correo electrnico y Poltica de Internet, pero esno adecuado para cubrir todos los aspectos de seguridad de la informacin, tales comoControl de acceso, el trabajo a distancia, la directiva de contraseas, escritorio Claro /Clear Screen etc.

impactoSin polticas,4 *** no tiene lnea de base sobre la que para comprobar que todos los sistemas de TI sonconforme.4 Las polticas proporcionan un nivel de gobierno corporativo y externacumplimiento de auditora.4 Los terceros que proporcionan los sistemas de TI no tienen una gua ocriterios sobre los que entregan tambin.4 Sin polticas de usuario para que rige el uso de las TI, lo hara ***estar en condiciones de iniciar una accin civil, penal o de otro tipo contraempleados.

recomendaciones*** Deben identificar las polticas clave necesarias y producirlos en lneacon la norma ISO 27001. Las polticas como las siguientes deben ser considerados:Informacin Poltica de SeguridadPoltica de Continuidad de NegocioPoltica de uso de Internet (web y correo electrnico)Directiva de contraseasClaro turstica, Poltica claro de la pantalla/ Poltica Trabajar remoto mvil

3.1.2 Normas

Objetivos de negocioDocumentos de normas proporcionan detalles tcnicos o especficos en el caminoen el que se debe configurar o entregado. Si todo lo que se construye a un conjuntode normas que suaviza el proceso de apoyo.

observacinHay un estndar para el escritorio construye - sin embargo, se observ ladocumento necesita actualizacin y revisin.Tambin hay directrices en el *** TI Gua de Documentacin de configuracinconexiones de acceso remoto y algunas otras tareas de administracin.Este documento necesita una reforma y completar.Con un pequeo equipo de TI es inevitable que el personal se especializan en diferentesreas y generar un conjunto de conocimientos que debe ser compartida consus colegas.

impactoCon limitados normas actualizadas en su lugar, es probable que los dispositivos sonconfigurado segn sea necesario con poca estandarizacin, quepuede conducir a la de apoyo y mantenimiento cuestiones. Tambin hace que el trabajode nuevo personal de apoyo tcnico difcil, ya que tendran quevolver a crear una generacin de cero para cualquier dispositivo dado.Este es un riesgo para la Continuidad del Negocio

recomendaciones*** Debe crear y documentar plenamente las siguientes normas comomnimo:Actualizado Build estndar de estacin de trabajoEstndar de compilacin del servidorLaptop BuildsNormas para reforzar la seguridadLas normas de desarrollo de Sistemas y Control de Cambios*** Debe garantizar:4 guas deben tener un dueo del documento nominado4 Estas guas deben ser revisados en cualquier cambio en elsistemas o por lo menos anualmente4 Los guas deben ser de fcil acceso en caso de un incidente ysi es necesario, debe contener los datos de contacto de apoyocontratos, terceros y proveedores que puedan ser necesarios.4 Tambin deben considerar un ajuste de una base de conocimientos,idealmente mediante una mejor utilizacin del sistema Helpdesk existente paraasegurar la continuidad del negocio en cualquier eventualidad4 Considere el uso de nombres de usuario / contraseas en el procedimientodocumentos. A menos estricto control de acceso a la configuracindocumentos est disponible, entonces es una buena prctica para omitircontraseas de documentacin. Administrador de detalles,Contraseas y otros materiales sensibles debern registrarseen sobres sellados y almacenados en un dispositivo de seguridad o similar, de modoque sean accesibles en caso de una emergencia sin embargo, suuso puede ser monitorizado.

3.1.3 Guas de As Built

Objetivos de negocioComo se producen guas construidas para todos los dispositivos que no tienen un soporteridas o difieren de una norma (es decir Firewall). Una gua de como se construyproporciona la empresa con la documentacin de apoyo parala resolucin de problemas y re-construye la informacin en caso de undesastre.

observacionesNo como guas construidas son en existencia.La infraestructura de red, como el sistema de telfono, Firewall de,Los routers y switches eran toda la disposicin inicialmente por los contratistas externoso ex empleados. Actualmente no existe documentacin sobre elconfiguracin de estos dispositivos cuando se libera o cualquier gua asolucionar o mantener los dispositivos

impactoSin Guas Como edificio, los gastos de apoyo sern ms altos como problemastiro es ms lento. En el caso de un desastre, laempresa podra experimentar tiempo de inactividad significativo porque leccionesy configuraciones se vuelven a crear.La eficacia del equipo de TI se reduce por ser dependiente decontratos de soporte, terceros o reparacin reactiva en elcaso de un incidente.

recomendaciones4 Todos los nuevos dispositivos y dispositivos heredados crticos deben tener comoguas construidas creados.4 guas deben tener un dueo del documento nominado4 Estas guas deben ser revisados en cualquier cambio en elsistemas o por lo menos anualmente4 Los guas deben ser de fcil acceso en caso de un incidente ysi es necesario, debe contener los datos de contacto de apoyocontratos, terceros y proveedores que puedan ser necesarios.

3.1.4 Diseo Documentacin

Objetivos de negocioDocumentacin de diseo proporciona la arquitectura de alto nivel de la TImedio ambiente para el negocio, que representa cmo todo el entorno de TIse mantiene unida. Esta documentacin es importante para proporcionar unala planificacin de las ayudas para mejoras en el futuro y de una visin de apoyo.

observacinDocumentacin de diseo Limited para la infraestructura de TI estaba enla existencia.Diagramas de red estaban en necesidad de actualizacin,

impactoNuevas mejoras en el medio ambiente no sern correctamenteintegrado que lleva a un aumento de los costes de desarrollo y de apoyo. nuevoLos recursos de TI tendrn que aprender el medio ambiente a travs del descubrimiento,que conduce a la prdida de tiempo y aumento de los costos. En el caso de unafallo catastrfico que sera difcil de recuperar tan poco esdocumentado.

recomendacionesUn documento de diseo de alto nivel debera ser producido que incluye lacomo mnimo lo siguiente:Esquema de direccionamiento IPDiagrama de Red LgicoNivel Diagrama de Red IPdatos de la obrasitio Contactosdetalles de circuitosInventario de equiposContrato y Mantenimiento detallesOtras recomendaciones incluyen:4 documentacin actual debe ser revisado y actualizado. esrecomend que el departamento de TI utilizan una red visualherramienta de diseo (Microsoft Visio o similar) para que puedancrear y mantener fcilmente los documentos de diseo de red.4 guas deben tener un dueo del documento nominado4 Estas guas deben ser revisados en cualquier cambio en elsistemas o por lo menos anualmente

4 Los guas deben ser de fcil acceso en caso de un incidente ysi es necesario, debe contener los datos de contacto de apoyocontratos, terceros y proveedores que puedan ser necesarios.

3.2. Organizacin de la Seguridad de la InformacinEste control de seguridad describe cmo se asegura la gestinimplementacin de seguridad de la informacin dentro de una organizacin. ellaproporciona un foro para la revisin y aprobacin de las polticas de seguridad yasignacin de roles y responsabilidades de seguridad.Esta seccin cubre diferentes tipos de documentacin y lasistema de gestin de documentos que deben formar parte de unSistema de Gestin de la Informacin.La valoracin global del impacto de esta rea es [ALTO].

Objetivos de negocioUn marco de gestin debe establecerse para iniciar ycontrolar la aplicacin de la seguridad de la informacin dentro de laorganizacin. Liderazgo gerencial adecuado deber estarestablecido para aprobar la poltica de seguridad de la informacin, asignarroles de seguridad y coordinar la implementacin de la seguridad en todola organizacin. Si es necesario, una fuente de informacin especializadaConsejo de seguridad debe establecerse y estar disponible en elorganizacin. Los contactos con especialistas externos de seguridad deben serdesarrollado para mantenerse al da con las tendencias industriales, supervisar la calidad ymtodos de evaluacin y proporcionar puntos adecuados de enlace cuandohacer frente a los incidentes de seguridad.Este control de seguridad describe cmo se asegura la gestinimplementacin de seguridad de la informacin dentro de una organizacin. ellaproporciona un foro para la revisin y aprobacin de las polticas de seguridad yasignacin de roles y responsabilidades de seguridad.

observacinNinguna organizacin formal de seguridad est en su lugar dentro de ***.Responsabilidades de seguridad de informacin no fueron vistos en cualquier trabajodescripciones muestreados.El personal de TI y otras personas con responsabilidades de seguridad clave tenerno tena ningn entrenamiento formal o conciencia cmo gestionar mejor la seguridaddentro de la organizacin. En general, la organizacin ha tenido que reaccionar anteincidentes y no est actualmente en condiciones de gestionar proactivamenteseguridad para minimizar el riesgo para el negocio.El equipo de TI no tienen entrenamiento formal de Seguridad de la Informacin.La impresin que se da a partir de las entrevistas es que la Seguridad es ampliamentevisto como un problema de TI / responsabilidad.

Un proceso de Gestin de Riesgo formal no parece estar en su lugar,a pesar de todo el mundo en el negocio de reconocer el valor de laInformacin que tratan y ejemplos de incidentes que llevan aprdidas significativas y / o vergenza a ***.Los acuerdos de confidencialidad y acuerdos de no divulgacin sonpiezas estndar del *** de negocios en el trato con los clientes.A "Auditora de Confidencialidad" fue comisionado en junio de 2006 por unConsultor (Gill Pritchard). En este documento se revis el Negocioprocesos que estaban preocupados por la proteccin de la confidencialidad del cliente.Varias de las acciones recomendadas se han llevado a cabo yhay evidencia de compromiso de la direccin que siga examinandoeste lado del negocio.Hay poca evidencia de cualquier gestin de documentos o cambiosistema de control. Todos los documentos de la empresa estn destinados a ser disponiblesen la intranet; conciencia general de esto es bajo.Con la excepcin del manual del empleado no hay evidenciade cualquier control de versiones o de control de cambios para los documentos clave.Esto es esencial para asegurar que slo las versiones actuales de las polticas yprocedimientos, el espectculo propietario de los documentos y dereferencia a los cambios anteriores y modificaciones a las polticas yprocedimientos.

impactoLa responsabilidad de la seguridad dentro de *** no se delega ypor lo tanto, es inexistente. Los incidentes de seguridad se necesitar ms tiempo para detectar,contener, mitigar y gestionar el aumento de la prdida financiera para laorganizacin.La eficacia de los controles de seguridad establecidos son imposiblesde medir.

recomendaciones*** Debe llevar a cabo lo siguiente, como mnimo:4 Asegrese de respaldo a nivel de Director (a incluir la correspondienterecursos) para un programa de Gestin de Seguridad de la Informacin4 Designar responsabilidad para la seguridad de un individuo4 Asegrese de que el personal clave con responsabilidades de seguridad sondebidamente capacitado y consciente (como la informtica personal, equipoLos lderes, a los responsables de recursos humanos e instalaciones, etc.) ysus descripciones de trabajo se actualizan para reflejar suresponsabilidades.4 Equipo de TI debe investigar un proveedor independiente de SeguridadPor supuesto, como la Seguridad + CompTIA o Certificado ISEB enPrincipios de Informacin de Gestin de Seguridad como un nivel de entradaintroduccin a los principios de seguridad de TI4 Personal de TI deben ser alentados a asistir a reuniones de informacin de la industriay seminarios (generalmente gratis) especialmente eventos tales comoSeminarios, exposiciones ISO27001 Infosecurity Europe y cualquierpresentaciones de proveedores para mantener su actual y la ayuda al conocimientodesarrollo personal.

4 El personal de TI debe inscribirse para recibir alertas de seguridad de Microsoft, la seguridadEnfoque RSS y otros portales de seguridad y de TI para mantener suconocimiento de las amenazas actuales y la evolucin hasta la fecha.

4 La organizacin debe mirar a los requisitos de ISO9000y considerar la implementacin de un Sistema de Gestin de la Calidad -esto ser de gran ayuda a la empresa a reconocer el valor desu documentacin y garantizar la rendicin de cuentas correspondiente.

4 formacin ms especfica debe ser considerada para permitir Personal de TIpara gestionar los firewalls, servidores, etc. de forma ms eficaz

4 Incluya la responsabilidad de seguridad en todos los empleados de trabajodescripciones4 Establecer un programa de formacin y sensibilizacin de todo el personal areforzar los objetivos y metas de negocio 'y subrayar labeneficios de mantener las "mejores prcticas" en materia de seguridad4 Mantener la "Auditora de Confidencialidad" para cubrir los procesos dentro deel negocio, considere un habitual de Auditora de Sistemas de TIcomparar contra una lnea de base y probar la efectividad de cualquierPrograma de mejora de la seguridad.4 Establecer una relacin con un socio de confianza para la seguridadasesoramiento y verificaciones independientes de la eficacia decontroles establecidos

3.3. gestin de activosGestin de activos tanto fsicos e intelectuales son importantes parael mantenimiento de la proteccin adecuada. Determina la propiedad,rendicin de cuentas y la proteccin de los activos de informacin.La valoracin global del impacto de esta rea es [ALTO].

Objetivo de negocioTodos los principales activos de informacin deben ser contabilizados y tienen unpropietario nominado. Rendicin de cuentas para activos ayuda a garantizar quese mantiene la proteccin adecuada. Los propietarios deben ser identificados paralos principales activos y la responsabilidad por el mantenimiento de lacontroles apropiados deben ser asignados. La responsabilidad decontroles de aplicacin pueden ser delegadas. Rendicin de cuentas debepermanecer con el propietario nominado del activo.

observacinControl de los activos de hardware est en su lugar.El control de los activos de informacin (datos, copia impresa, medios de comunicacin, etc.) no fueen su lugar. No hay informacin Clasificacin Esquema.La comprensin de los datos sensibles, donde se almacena dentro de lanegocio estaba presente pero no hay controles existen para proteger a estedatos.La sensibilizacin del personal de los efectos de la prdida, divulgacin, modificacin odestruccin de los datos fue buena; sin embargo, sera imposiblecumplir la proteccin de estos datos si no se identifica fcilmente y suimportancia obvia.Los datos almacenados en los ordenadores porttiles de venta del equipo se consideran sensibles(Cliente y Empresariales de datos) y potencialmente perjudicial si confidencialidaderan violado, sin embargo no se tomaron controles adicionales para protegerestos datosExisten ejemplos en los correos electrnicos y cartas confidenciales han sidoerrneamente enviado o para personas equivocadas.Detalles confidenciales de clientes han salido en las cartas a los compradores potenciales- Causando una oferta de indemnizacin al cliente

impactoSin un sistema de clasificacin de la informacin electrnica, controlesno puede ser introducido para proteger los datos. Esto podra significar la prdida dedatos debido a la falta de controles (es decir, los datos que se envan por correo-e de laempresa o la informacin confidencial que se publican en la websitio).Sin Identificar primero sus activos de informacin, una empresa no puedepara empezar a protegerlos de violaciones de la confidencialidad, integridad odisponibilidadEn algunos casos, la empresa puede incurrir en responsabilidad legal oimportantes sanciones econmicas en caso de incumplimiento de las responsabilidades

recomendaciones4 Llevar a cabo una auditora de Activos de Informacin para capturar toda la llavedocumentos de negocio, datos y documentacin. Esto debe entoncesser revisados para asegurar el control de versin adecuada de estosactivos para asegurar se utiliza slo los datos actuales. Los propietarios de lalos datos deben ser asignados y revisiones peridicas de laInformacin Registro de Activos realiz (en los cambios oanualmente)

4 Considere ISO 9000 como marco para una CalidadSistema de Gestin4 Un sistema bsico de informacin de clasificacin electrnica debe serintroducido y utilizado para marcar todos los datos. (Es decir pblico,confidencial, secreta).4 controles pertinentes debern ser utilizados para proteger clasificadoes decir, el sistema operativo de datos de control de acceso en confidencialarchivos y carpetas, presentacin con cerradura de documentos de papel baseetctera

3.4. Recursos de la Seguridad HumanaLa evaluacin y la asignacin de las responsabilidades de seguridad de los empleados yconciencia permite una gestin ms eficaz de los recursos humanos.Responsabilidades de seguridad deben ser determinados durante el reclutamientode todo el personal y mientras dure su empleo.La valoracin global del impacto de esta rea es [ALTO].

Objetivos de negocioResponsabilidades de seguridad debern dirigirse a la contratacinetapa, incluidos en los contratos, y se control durante un individuo deempleo. Los reclutas potenciales deben ser evaluados adecuadamenteespecialmente para los trabajos delicados. Todos los empleados y terceros usuarios deinstalaciones de procesamiento de informacin deben firmar una declaracin de confidencialidad (nodivulgacin) acuerdo.

observacinNo existe una poltica de contratacin formal o procedimiento.*** Actualmente cuentan con asesores externos para cuestiones de recursos humanos, la creacin de polticasy asesoramiento legal.La contratacin se lleva a cabo generalmente en un proceso de 2 pasos, Primeraentrevista por el Team Leader seguido de una entrevista de ms de una persona mayorgerente.Hay evidencia de referencias se comprueban despus de un incidentecon un empleado. *** Toma una referencia escrita y telefnica para todosempleados. Esto necesita ser formalizado y registrado. datos personaldebe ser manejado apropiadamente con referencia a los datosLey de Proteccin.Se requiere que todos los empleados de leer y firmar el EmpleadoManual de este documento ha sido elaborado por un HR externatercero especialista.No hay controles en su lugar para que la Organizacin para monitoreare informar sobre Internet, correo electrnico o del uso en red. Hay unadeseo gestin para tratar todos los empleados como adultos y fomentarun cultivo positivo; Sin embargo ha habido incidentes en el pasado de

abuso de los empleados de los sistemas y el software malicioso que causaDenegacin de servicio en la red. Estos incidentes seran ms fciles deinvestigar y minimizar con controles apropiados en el lugarNo hay ningn requisito para los controles de seguridad de CRB o ms en ***Una induccin se realiza con los nuevos empleados que pasan el tiempo en cadadepartamento. Sin embargo, este proceso debe incluir formalesConcienciacin sobre la seguridad de la Informacin y miembro del personal y el supervisorsign-off en la terminacin.Hay un proceso disciplinario formal que se ha utilizado envarias ocasiones.No hay evidencia de un procedimiento formal Dejadores.

impactoPotencialmente empleados pueden eliminar, corrupto, descargar y distribuirinformacin sensible de los sistemas internos y de Internet. *** Est enriesgo de no ser capaz de cumplir o probar el mal uso de la TIinfraestructura, ni justifica la razn para hacer un empleadoredundante.Empleados, contratistas y agentes temporales pueden ser poco clara de suresponsabilidades*** Puede fallar en sus responsabilidades de deber de cuidar a sus empleadosprotegerlos contra el acoso, la intimidacin y el estrs excesivo

recomendaciones4 Poner en prctica una poltica de contratacin formal y DejadoresProcedimiento.4 Asegrese Trminos y condiciones de empleo y laManual del empleado son revisados para incluir informacinlas responsabilidades de seguridad.4 Los usuarios deben recibir entrenamiento formal en el correo electrnico e Internetmejores prcticas de seguridad, incluyendo los sistemas internos yprocedimientos de respuesta a incidentes.4 Las descripciones de trabajo deben contener las mejores prcticas de seguridadresponsabilidades4 Implementar un Internet y correo electrnico de filtro de contenido que esto ayudar enel caso de una accin legal de recursos humanos y garantizar la Organizacincumple con el deber de las responsabilidades de cuidado - no es necesarioaplicar una poltica de bloquear todo el contenido, sin embargo, esnecesario para retener la capacidad de monitorear e informar sobre uso.4 Las polticas nuevas, enmiendas o cambios en elinfraestructura para permitir el monitoreo debe ser comunicadaplenamente a los empleados para asegurar la comprensin de los riesgos,las medidas adoptadas y los beneficios de cualquier cambio, as como aabordar cualquier preocupacin.

4 Asegrese de que el rpido retorno de los activos y la eliminacin de los derechos de accesoen el caso de cualquier abandono. Asegurar que abandonan siguen un "de-induccin "proceso que se le recuerde de su cursoresponsabilidades a la proteccin y confidencialidad de los datos.

3.5. Seguridad fsica y ambienteAsegurar reas fsicas y entornos de trabajo dentro de laorganizacin contribuye significativamente a la seguridad informticagestin. Cualquier persona que se ocupa de sus instalaciones fsicas,si son empleados, proveedores o clientes, toca una teclapapel en la determinacin de la proteccin de seguridad de la organizacin.La valoracin global del impacto de esta rea es [ALTO].

Objetivos de negocioEvitar el acceso no autorizado, daos e interferencias a los negocioslocales e informacin. Informacin empresarial crtica o sensibleinstalaciones de procesamiento deben ser alojados en zonas seguras, protegidas porun permetro de seguridad definido, con barreras de seguridad adecuadas ycontroles de entrada. Deben ser protegidos fsicamente deacceso no autorizado, daos e interferencias.La proteccin prevista debe ser proporcional a la identificadariesgos. Se recomienda un escritorio y una poltica clara de pantalla transparente parareducir el riesgo de acceso no autorizado o dao de papeles, los medios de comunicaciny la informacin de las instalaciones de procesamiento.

impactoEl negocio est en riesgo de permitir el acceso desautorizado a suinstalaciones y sistemas. Este acceso no-autorizado podra conducir al robo,fugas de informacin confidencial y daos maliciosos deinformacin o equipo.

3.5.1Physical Seguridad

observacinHay 3 edificios en el sitio Kingsclere. Recepcin principal (NuevoEdificios), Plantagenate casa y la reina Isabelle Casa.Todas las puertas externas e internas se dejan desbloqueado durante todo el da.Existe la preocupacin de que el personal de la entrega y otros visitantes no lo haranecesariamente ser impugnada por personal mientras se movan a travs de laedificiosDe momento no hay pases de visitantes emitidos y los visitantes no sonnecesarios para iniciar sesin. El personal de recepcin no mantener una lista de esperalos visitantes.

No se cree que es la hostilidad hacia los visitantes ms rigurosocontroles de los clientes de *** que desean mantener el papeleoasocindose con *** al mnimo para proteger la privacidad /confidencialidad de sus relaciones con la empresa.se reconoce que esto no puede continuar y procedimientos visitante debeser apretados, especialmente con las preocupaciones planteadas acerca autorizadoacceso a los edificios y los visitantes sin escolta.Recepcin principal (nuevos edificios)El personal de recepcin estn situados en la planta baja a travs de la entradapuerta y otra serie de puertas que sin embargo el acceso a las escaleras de laprimer piso se alcanza antes de que un visitante llega a la recepcin.El personal de recepcin no tienen un botn de silencio "Pnico" para dar la alarma encaso de cualquier problema o para advertir de los visitantes.Reina Isabel y Plantagenate CasaSe plante la inquietud de que en un nmero de clientes de ocasin ylos visitantes han vagado en los edificios en busca de recepcin ootras reas. Existe el riesgo de que el personal que trabaja en confidencial omateriales sensibles pueden verse comprometidos por estos visitantes si sonsin escolta.Hay una recepcin atendida en el primer piso para los visitantes de la ReinaIsabelle CasaHay una recepcin temporal Situado en la planta baja dePlantagenate Casa.Disposicin del edificio significa que el departamento de TI / zona es unva para el personal que transitan entre las partes de la oficina - esto esindeseable desde un punto de vista de seguridad debido a la incapacidad para bloquearla sala de informtica y el riesgo de acceso no autorizado a los sistemas /papeleo. Se entiende esto est siendo revisado.Dentro de los edificios de los lderes individuales del equipo son responsables dehacer cumplir los requisitos de seguridad de edificios y entrenar y supervisarsu personal.No existe un nico punto de contacto para la Seguridad FsicaLos jefes de equipo no est seguro de si un cdigo de alarma para todos o por equipo.Hay demasiados titulares clave (la mayora del personal tienen) algunos miembros del personaltener acceso a un edificio algunos tienen acceso a todos - la falta de poltica/ consistenciaLimpiadores son tambin titulares de las claves del cdigo de titulares / alarma. - Sin contratose evidenci entre la empresa de limpieza y ***Servicio de seguridad para el Parque de negocios lleva a cabo rondas formales de todola noche y tiene una lista llamada del personal en caso de problemas - *** personalque vive la mayora de locales son los principales contactos de llamada.Puerta al parque empresarial est cerrado durante la noche.

Los jefes de equipo expresaron preocupaciones acerca de la seguridad de datos, debido a lanaturaleza del trabajo. Escritorios claros son alentados por la gestin enregularmente boletines / correos electrnicos y sesiones informativas de equipo - sin embargo no formalesexiste la poltica Incidentes habituales incluyen ventanas que se dejan abiertas o alarma que suenadebido al personal no tener datos correctos u otros problemas.Los edificios planificados por reformas durante el prximo ao yse puso de manifiesto durante la auditora que las cerraduras para puertas exteriores fueronen el proceso de ser cambiado.Residuos "bidones sobre ruedas" confidenciales estn situados por el desbloqueo externopuertas de cada oficina. (Se observ los contenedores estaban cerradas)Comerciantes y empresas de entrega pareca tener escoltael acceso a travs del edificio.

recomendaciones*** Debe llevar a cabo lo siguiente, como mnimo:4 Revise todos los accesos a los edificios y dentro de los pisos u oficinas encada edificio y considerar una solucin de seguridad tales comotarjetas de proximidad o tarjetas magnticas que permiten centralizadogestin de tarjetas de acceso y presentacin de informes sobre el acceso /revocacin de derechos con prontitud.4 Cdigo de alarmas tienen que ser modificado cuando una tecla hojas titular- Esto es actualmente poco prctico debido a la gran nmero de clavetitulares - racionalizacin del deber titular de la clave o el empleode un servicio de seguridad especial (con referencias adecuadas) paraabrir / cerrar la oficina deben ser investigados4 Debe haber un punto de contacto para los conductores de entrega yoficios personas, aisladas del procesamiento de la informacininstalaciones.4 residuos Confidencial y otro material sensible deben seralmacena de una manera apropiada a la sensibilidad de lamaterial. Considere un lugar que se puede asegurar en todoresiduos confidencial puede ser recogida por el contratista externoen un horario fijo.

3.5.2 Equipo de Emplazamiento y Seguridad

observacinLa sala principal del servidor que est situado en la planta baja de laEdificio "Plantagenate House"En el momento de la auditora de la puerta de la sala de servidores se desbloqueay un poco abierta. Esto fue en gran parte que ver con la inadecuada /Aire acondicionado defectuoso. El aire acondicionado se fij durante la tercerada de la auditora in situ Kingsclere - sin embargo, la puerta de la habitacin del servidorpermanecido abierto durante el tiempo de duracin. El cdigo de la cerradura de la puerta eratambin pegado a la ventana de la puerta de la sala de servidores.A pesar de las puertas estn desbloqueados todos los servidores con acceso por unaConmutador KVM - al momento de la auditora ninguno de los camareros eran contraseaprotegidos - todos fueron iniciar sesin como administrador y acceso completodisponible.Todos los servidores deben estar cerradas cuando no est en uso - local / dominiopoltica de seguridad debe especificar los servidores se bloquean automticamente despus de unperodo de inactividadHay una gran ventana en la sala de servidores - persianas no cierran correctamentesignifica contenidos visibles desde el exterior - til para un intruso potencial.Parece ser de cobre tubo de fontanera que atraviesa el techoanular a travs de la sala de servidores.Paneles Switch / parche en cada otros edificios estn abiertos y en pblicozonas (recepcin y armario desbloqueado)Nuevo edificio de recepcin - Tablero de conexiones y equipos de conmutacin esinstalado en un armario que tambin se utiliza para almacenar la tintoreraequipo

recomendaciones*** Debe llevar a cabo lo siguiente, como mnimo:4 Inicie una llave de la habitacin del servidor y el acceso de registro, para realizar un seguimiento autorizadoel acceso a la sala de servidores y otras reas clave.4 Inicie una "Trabajo Realizado" sala de servidores log - para realizar un seguimiento de todoservicio impactando eventos. Esto podra ser grabado en elsistema Helpdesk existente4 Como parte de la renovacin de la ubicacin de la sala de servidoresdebe tenerse en cuenta. Tenga en cuenta la ubicacin de las tuberas,ventilacin y calefaccin, etc. para asegurar que no haya lquidospasando por encima de los servidores, Aire acondicionado es adecuado y construidopara la redundancia4 La ubicacin de armarios y paneles de conexin para el otroedificios deben ser revisados, un rea especializada debe serprevisto los equipos informticos que se almacenan de forma segura o comomnimos de los gabinetes existentes estn bloqueadas

3.6. Comunicaciones y OperacionesadministracinEste control incluye la entrega segura y la gestin del diariooperaciones de las instalaciones de procesamiento de informacin y redes.La valoracin global del impacto de esta rea es [ALTO].

Objetivos de negocioGarantizar el funcionamiento correcto y seguro del procesamiento de la informacininstalaciones. Responsabilidades y procedimientos para la gestin yfuncionamiento de todas las instalaciones de procesamiento de la informacin debe serestablecida. Esto incluye el desarrollo de la operacin apropiadainstrucciones y procedimientos de respuesta a incidentes.La segregacin de funciones se debe implementar, en su caso,reducir el riesgo de uso indebido del sistema negligente o deliberada.

impactoPCs y servidores son vulnerables a los pantalones internos y externos.Los controles de acceso no se implementan. Servidores y PC no est construido para unasegurar norma, dejando los servicios de un-requerido activo. redservicios no son redundantes dejando puntos nicos de fallo crtico parasistemas.La mala gestin de la capacidad dar lugar a la incapacidad para planificar el futurorequisitos y potencialmente conducir a fallo del sistema.

Procedimientos y Responsabilidades 3.6.1Operational

observacinNo existen procedimientos operativos o tareas. Los registros son monitoreadosslo en caso de problemas o incidentes. En algunos casos, los datoscontenida en los registros no se conserven durante un periodo de tiempo suficiente paraser de alguna utilidad.No existe un procedimiento formal de control de cambio para cualquier cambio en TIinfraestructura, sistemas o aplicaciones.Hay un ordenador porttil disponible para pruebas fuera de lnea del desarrollosistemas. Se entiende que el equipo est investigando VisualSourceSafe para ayudar en el desarrollo y control de cdigo fuente.No hay segregacin del deber para cualquiera de los puestos clave dentro de ***.No hay ninguna comprobacin de control o la integridad de la calidad de los datos introducidos oreas como incidentes han ocurrido, de - cambiado en las aplicacioneslas aplicaciones se han asegurado y los controles aplicados, pero en generallas aplicaciones necesitan una revisin completa. Actualmente no hay recursospara implementar esto.*** Actualmente utilizar software Camin-IT para la gestin de llamadas Helpdesk -TI estn considerando el uso de la funcin de gestin de activos incorporado comobien pero no han instalado o probado todava.Actualmente todas las llamadas de asistencia tcnica que se reciben en la sala de TI a travs de correo electrnico,telfono o en persona. El personal de TI a continuacin, llevar a cabo la respuesta a incidentes.Solamente los incidentes o las llamadas que implican una prdida de servicio para 10 usuarios oms se registran en el sistema de camiones-IT Helpdesk.Se expres preocupacin por el personal de TI en toda la longitud de tiempo que se necesita para iniciar sesinuna llamada en el sistema - frecuencia pasan ms tiempo necesario para resolverla llamada.

recomendaciones4 El equipo de TI deben desarrollar un diario, semanal y mensualProcedimiento tareas operativas. Los cheques deben ser llevadas a caboy firmado por. El registro debe ser auditado por la administracin de TIy disposicin de los auditores externos, como ejemplos de cumplimientoa las mejores prcticas.4 El *** Documento de TI debe ser revisado y actualizado paraasegrese de que contiene las tareas operacionales4 El sistema de asistencia debe ser revisada - se trata de unarequisito de que todos los incidentes y llamadas de asistencia tcnica deben serconectado e informado sobre la gestin de incidencias, identificar tendencias,


Unimet.pdf · Familia de normas ISO 14000 ISO-14040:2006 ISO-14050:2009 ISO-14001:2004 ISO-14004:2004 ISO-14063:2006 (4) ISO-14031:1999 ISO-14015:2001 ISO-14020:2000

ISO 690 y ISO 690-2

COVID19gicaingenieros.com/l3/brochure/brochure_IPERCCOVID19.pdf9001:2015, ISO 14001:2015, ISO 55001:2014: ISO 31000:2018, ISO 19011:2018, ISO 17021:2012; ISO 17024:2012). Ingeniero

iso 1400, iso 1800

L.Britto Consultores | ISO 9001 | ISO 14001 | ISO 45001

CILINDRO SERIE “ ISO 15552” TIPO 3 Ø 32÷100 mm · ISO ISO NON ISO NON ISO NON ISO NON ISO NON ISO NON ISO NON ISO NON ISO Limite sup. 0 25 50 75 100 125 150 175 200 225 Carrera

Implementacion iso 27001 - openaccess.uoc.eduopenaccess.uoc.edu/webapps/o2/bitstream/10609/... · Conociendo la ISO 27001 – ISO 27002 ISO 27001 La ISO 27001 es una norma internacional

Implementacion ISO 200Implementacion ISO 2000000

barfab.cobarfab.co/pdf/738e6be8f4ee2ef2a74f88ed4c82f7a2_FinalCatalogueBarf... · 'Barfab ISO 900112008 OHSAS 18001:2007 , ISO 14001:2004 , — (I_MS) ISO 10002 , ISO/TEC 17025 , ISO

ISO 9001:2015 Farsi - mahdi.hashemitabar.commahdi.hashemitabar.com/.../ISO/iso-9001-2015-farsi.pdf · ﺖﯿﻔﯿﮐ ﺖﯾﺮﯾﺪﻣ ﻢﺘﺴﯿﺳ تﺎﻣاﺰﻟا. iso 9001:2015

ISO 22301, ISO 31000, TIA 942 e ISO 27005

ISO 9001Preguntas Auditoria ISO 19011

 · TS EN ISO 6892-1 TS EN ISO 4136 TS EN ISO 7438 -rs ISO 5173 TS EN ISO 148-1 TS EN ISO 9016 TS EN ISO 6507-1 TS EN ISO 9015-1 TS EN ISO 6508-1 TS EN ISO 17639 API 1104 TS EN ISO

ISO 15926, OWL, and ISO 10303

ISO 31000 & ISO 22301 BSI

MODALIDADES DE ESTUDIO DIPLOMADO INTERNACIONAL · 2019-07-24 · los participantes en las normas ISO 9001, ISO 14001, ISO 45001, ISO 26000, ISO 31000, ISO 19011, ISO 37001, ISO 27001

ISO 27001: Resumen del proceso de implementación … · ISO 27001: Resumen del ... ISO 27001 ISO 27004 ISO 27002 ISO 27005 ... de riesgos Alcance del SGSI, Política, objetivos Informe

ISO 21001:2018 - ntecouncil.org · ISO 21001:2018 285 1995 ISO 21001:2018 ISO ISO 21001:2018

ISO 14001:2015 - leyesingenieriaindustrial.files.wordpress.com · Mejora Continua ISO 14001”, llevado a cabo por ISO/TC207 / SC 1. Historia de ISO 14001 ISO 14001:1996 En 1996 ISO

Fusión - Tigre · 2017. 3. 14. · vst/b/50 hdt a hdt b iso 1183 iso 1133 iso 1133 iso 1133 iso 527/1 + 2 iso 527/1 + 2 iso 527/1 + 2 din 53505 din 53453 din 53453 iso 179/r iso

ISO/TS 18173:2005 BS EN 1559- 2: 2014 ISO 17635 : 2010 ISO 5817: 2014 ISO 6520-1: 2007 ISO 10042: 2005/ Cor.l ISO 8596: 2009 ISO 16810: 2012 ISO 16811: 2012 ISO 16823: 2012 ISO 16826:

22000 ISO 22000&— HACCP&ISO ISO 22000ne ISO 22000 Auth …order.nissyoku.co.jp/book/iso22000/contents.pdf · 2020. 9. 15. · 22000 ISO 22000&— HACCP&ISO ISO 22000ne ISO 22000

ISO 9001 - bcj.or.jp iso9001.pdf · ISO)* ISO %ISO 9001&‡…b4—H%…–b 4ƒ— p%⁄‹˚˜1›D−‰F ƒ&4 .*67D&Wˇtu % ISO( JV.„%#J,“ ... ISO 9001& %G&nop &rs1q

Cambios Iso 9001 - Iso 14001

Normas Iso 9001 e Iso 9000

ISO 9001:2000 - ISO 27000

Iso 9001 iso 14001

Portafolio de servicios Digital - sige.org.mx...Nuestro Portafolio de Servicios CAPACITACIÓN ISO 9001 ISO 14001 ISO 45001 ISO 19011 ISO 22301 ISO 21001 ISO/IEC 20000-1 ISO/IEC 29110

Conferencia sobre CMMI, ISO 12207/ISO 15504 y COMPETISOFT /ISO 29110

HSPM ISO 9000/ISO 14001 - ftis.org.tw

Presentación de PowerPoint€¦ · NORMA ISO 9001 ISO 13485 ISO 15189 17025 ISO 22000 HACCP FSSC 22000 ISO 14001 OHSAS 18001 ISO 27001 NMX-R-026 ISO 28000 y NEEC APLICABLE A. Tod0

HERRAMIENTA INTEGRAL PARA LA IMPLANTACIÓN DE ISO … INFOSEC CRUCERO VIP... · herramienta integral para la implantaciÓn de iso 27001, iso 31000, iso 20000, iso 22301, iso 9001,

ISO 9001 ISO 14001 Certificate

DIFERENCIAS : ISO 9001 - ISO 15187

PARALELO CMMI ISO 12207 ISO 15504