ISO

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO Extensión Morona Santiago Carrera: Contabilidad Y Auditoría Periodo Académic

Views 424 Downloads 7 File size 355KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Iso
Iso

136 3 337KB Read more

Iso
Iso

177 10 2MB Read more

ISO
ISO

21 2 321KB Read more

ISO
ISO

105 3 639KB Read more

iso
iso

76 10 177KB Read more

Iso
Iso

151 1 1MB Read more

ISO
ISO

219 7 222KB Read more

ISO 27k (Iso 27001)
ISO 27k (Iso 27001)

161 0 1MB Read more

Iso 14001, Iso 45001
Iso 14001, Iso 45001

48 3 614KB Read more

ISO 9001 ISO 14001 e ISO 45001
ISO 9001 ISO 14001 e ISO 45001

200 9 731KB Read more

Citation preview

ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO Extensión Morona Santiago

Carrera: Contabilidad Y Auditoría Periodo Académico: Marzo-Julio 2019 Asignatura: Auditoria Informática

Tema: “NORMA ISO 27035”

Grupo: 7 Integrantes: Judith Vinza, Cinthya Jimpikit

Nivel: Sexto Nivel

Docente: Ing. Irene García

Fecha: 01 de mayo de 2019

INTRODUCCION. En el presente trabajo se presenta una investigación sobre la NORMA ISO 27035 referente a Gestión de incidentes de seguridad de la información, en el cual nos presenta las pautas a seguir para un oportuno tratamiento de los incidentes encontrados en cuanto a la de seguridad de la información, pues es de conocimiento general que la información es vulnerable de ser modificada o eliminada, para evitar estos eventos e incidentes es necesario mantener una efectiva gestión de seguridad de la información que garantice la confidencialidad de la información . OBJETIVOS OBJETIVO GENERAL Dar a conocer en enfoque y la orientación de la NORMA ISO 27035”Gestión de incidentes de seguridad de la información” para la prevención de incidentes de seguridad de la información. OBJETIVOS ESPECÍFICOS  Investigar el alcance y la composición de la NORMA ISO 27035.  Investigar la importancia del conocimiento y la aplicación de la NORMA ISO 27035 en la seguridad de la información.  Presentar los pasos a seguir para la identificación, detección y solución de problemas y riesgos encontrados.

NORMA ISO 27035 Gestión de incidentes de seguridad de la información Esta Norma proporciona un enfoque estructurado y planificado para:  Detectar, reportar y evaluar los incidentes de seguridad de la información  Responder a y gestionar los incidentes de seguridad de la información  Detectar, evaluar y gestionar las vulnerabilidades de seguridad de la información  Mejorar continuamente la seguridad de la información y la gestión de incidentes, como resultado de gestionar los incidentes y vulnerabilidades de seguridad de la información. Esta Norma proporciona orientación sobre la gestión de incidentes de seguridad de la información, para organizaciones grandes y medianas. Las organizaciones más pequeñas pueden utilizar un conjunto básico de documentos, procesos y rutinas que se describen en esta Norma, dependiendo de su tamaño y tipo de negocio en relación con la situación de riesgo de la seguridad de la información. También proporciona orientación para organizaciones externas que prestan servicios de gestión de incidentes de seguridad de la información. Un enfoque de mejores prácticas destinado a la gestión de la información de incidentes de la seguridad. Los controles de la seguridad de la información no son perfectos debido a que pueden fallar, pueden trabajar solo parcialmente o incluso, a veces, están ausentes, es decir, no están en funcionamiento. Debido a esto, los incidentes pasan debido que los controles preventivos no son totalmente eficaces o fiables. La gestión de incidentes da lugar a que existan controles de detección y correctivas que estarán destinadas a reducir los impactos desfavorables y aprender las lecciones sobre mejoras en el SGSI (sistema de gestión de la seguridad de la información) La norma proporciona un enfoque estructurado para:

 Identificar, comunicar y evaluar los incidentes de la seguridad de la información  Contestar, gestionar los incidentes de la seguridad de la información  Identificar, examinar y gestionar las vulnerabilidades de seguridad de la información  Aumentar la mejora de la continuidad de la seguridad de la información y de la gestión de los incidentes, como respuesta a la gestión de incidentes de la seguridad de la información y de las vulnerabilidades. La orientación de la seguridad de la información en ISO-27035 se puede aplicar a todas las organizaciones, ya sean pequeñas, medianas o grandes. Además, se da orientación de forma específica para las empresas que presten servicios de gestión de incidentes de seguridad de información. ISO / IEC 27035 reemplazó a ISO TR 18044. Fue publicado en 2011, luego revisado y dividido en tres partes. 1. ISO / IEC 27035-1: Principios de gestión de incidentes: Describe los

conceptos y principios que sustentan la gestión de incidentes de seguridad de la información mediante

cinco fases y explica cómo mejorar la gestión de

incidentes.

1. Planifique y prepárese para tratar incidentes, (prepare una política de gestión de incidentes y establezca un equipo competente para tratar los incidentes) 2. Detección e informar incidentes de seguridad de la información 3. Evaluación y decisión: alguien debe evaluar la situación para determinar si de hecho es un incidente, (recabar evidencia forense incluso si retrasa la resolución de los problemas) 4. Responder a los incidentes, es decir, contenerlos, investigarlos y resolverlos 5. Lecciones aprendidas (identificar las cosas que se podrían haber hecho mejor, realizar cambios que mejoran los procesos)

2. ISO / IEC 27035-2: Pautas para planificar y prepararse para la respuesta

al incidente: Se refiere a la garantía de que la organización está lista para responder apropiadamente a incidentes de seguridad de la información que aún pueden ocurrir mediante a respuesta a la pregunta "¿Estamos listos para responder a un incidente?" Promueve el aprendizaje de incidentes para mejorar las cosas para el futuro. Cubre las fases Planificar y preparar y Lecciones aprendidas

del proceso

descrito en la parte 1. 3. ISO / IEC 27035-3: Directrices para las operaciones de respuesta a

incidentes (borrador): Orientación para gestionar y responder de manera eficiente a incidentes de seguridad de la información, utilizando tipos de incidentes típicos para ilustrar un enfoque que cubra las fases de detección e informe, evaluación y decisión y respuesta del proceso descrito en la Parte 1.

 La plataforma tecnológica, ISOTOOLS, facilita a las organizaciones la implantación, automatización y evaluación del estándar iso27035

CONCLUSIONES.  Al finalizar el trabajo hemos podido concluir que el conocimiento y la aplicación de la NORMA ISO 27035 en las organizaciones es de mucha importancia pues nos presenta las pautas a seguir para una oportuna detección de errores e incidentes que puedan violar la confidencialidad de la información.  Con la investigación realizada podemos deducir que la NORMA ISO 27035 refiere a incidentes que pueden afectar a los sistemas y redes de una organización.

BIBLIOGRAFIA. Flores, J. M. (Enero de 2018). SCRIBD. Obtenido de https://es.scribd.com/document/370263240/ISO-27035 ISOTOOLS EXCELLENCE. (2 de Mayo de 2014). Obtenido de https://www.pmgssi.com/2014/05/iso-27035-gestion-de-incidentes-de-seguridad-de-lainformacion/