Subido por Paul Espinoza

Tarea Intraclase #6.hoyyydocx

Anuncio
UNIVERSIDAD TÉCNICA DE MACHALA
SEGURIDAD DE LA INFORMACIÓN
TRABAJO INTRACLASE#6
ACTIVIDAD N°:
6
FECHA:
19/12/2022
Metodologías, estándares y mejores prácticas de la
UNIDAD N° 2:
seguridad de la información.
TEMA:
NTC ISO/ IEC 27002
Identificar la seguridad de los recursos humanos,
OBJETIVO:
seguridad física y del entorno, gestión de operaciones
y comunicaciones.
PROBLEMA:
Actividad Intra 6
INDICADOR
DE
EVALUACION:
VALORES:
Calificación directa
PERSONALES, ÉTICOS Y PROFESIONALES
TIPO DE ACTIVIDAD
LUGAR
ALCANCE
FORMA
□ Intraclase □ Individual
□Taller
□Práctica de clase
□ Virtual
□Síntesis, esquemas
□Resolución
□Caso de estudio
problemas, ejercicios
□Investigativa
□Ensayo, artículo
□ Grupal
CALIFICACIÓN
de
□Informe de exposición
ESTUDIANTE:
Paul Alexander Espinoza Betancourt
ESTUDIANTE:
Daniel Manuel Paqui Cango
ACTIVIDAD1
Ejercicio de refuerzo - sección 8: seguridad en recursos humanos
Utilizando la norma, explique los controles
8.1.1 Roles y Responsabilidades.
Se trata sobre la definición y documentación de los roles y responsabilidades de todos los
empleados y usuarios de terceras partes por la seguridad, de acuerdo con la política de seguridad
de la información de la organización.
8.2.2 Sensibilización, educación y capacitación en seguridad de la información.
Esta norma nos trata de decir que todos los empleados de la organización y, cuando sea necesario,
los usuarios de terceras partes deberían recibir formación adecuada en concientización y
actualizaciones regulares sobre las políticas y los procedimientos de la organización, según sea
pertinente para sus funciones laborales.
8.3.3 Eliminación de los derechos de acceso.
Habla sobre los derechos de acceso de todos los empleados o usuarios de terceras partes a la
información y a los servicios de procesamiento de información se deberían retirar al finalizar su
contratación laboral, contrato o acuerdo o se deberían ajustar después del cambio.
Ejercicio de refuerzo - sección 9: seguridad física y del entorno
Utilizando la norma, explique los controles
9.1.2 Controles de entrada física.
Esta norma dice que las áreas seguras deberían estar protegidas con controles de acceso
apropiados donde solo se permitirá el acceso a personal autorizado. Por ejemplo, se podrían usar
controles biométricos, digitales, credenciales y revisión mediante un guardia de seguridad donde
le pida identificarse.
9.1.4 Trabajar en zonas seguras.
El área de trabajo debería ser segura y de un ambiente amigable dentro de la organización,
garantizando la seguridad y bienestar tanto físico como mental de los empleados y usuarios.
9.2.5 Seguridad de los equipos fuera de las instalaciones de la organización.
La seguridad y protección para los equipos fuera de las instalaciones debe ser garantizada, ya que
se debe tener en cuenta los diferentes riesgos de trabajar fuera de las instalaciones de la
organización.
Ejercicio de refuerzo - sección 10: gestión de operaciones y comunicaciones
Utilizando la norma, explique los controles
10.1.3 Distribución de funciones.
Este control trata sobre como las funciones y las áreas de responsabilidad se deberían distribuir
correctamente entre los empleados para que cada uno sepa que funcion debe cumplir
exactamente dentro de la organización, también es importante esto para poder reducir las
oportunidades de modificación no autorizada o no intencional, o el uso inadecuado de los activos
de la organización.
10.2.2 Monitoreo y análisis de los servicios de terceros.
Este control nos trata de explicar que los informes, servicios y registros proporcionados por
terceros o externos a la organización deben controlarse y revisarse periódicamente, y los
seguimientos deben realizarse de forma regular mediante auditorías. Las organizaciones deben
mantener un control global adecuado y no pueden ignorar todos los aspectos de seguridad de la
información sensible o crítica o los servicios de procesamiento de información que han sido
procesados, administrados o accedidos por terceros.
10.4.1 Controles contra código malicioso.
Describe los procedimientos para implementar controles de detección, prevención y recuperación
para protegerse de códigos maliciosos. La protección de los códigos maliciosos debe basarse en la
detección de códigos maliciosos y el software de reparación, la conciencia de seguridad, el acceso
adecuado al sistema y el control de la gestión de cambios.
10.5.1 Copia de seguridad de información.
Se refiere a la necesidad de las copias de seguridad (backup) de la información y los programas de
software deben realizarse y probarse periódicamente. Se deben proporcionar servicios de
respaldo adecuados para garantizar que la información importante se pueda restaurar después de
un desastre, error humano o falla del sistema.
10.6.2 Seguridad de los servicios de red.
Este tipo de control describe la necesidad de que los niveles de los servicios de red sean
identificados e incluidos en los acuerdos de nivel de servicio. Esto quiere decir que cualquier
acuerdo sobre servicios de red debe identificar e incluir las características de seguridad, los niveles
de servicio y los requisitos de gestión de todos los servicios de red, independientemente de si
estos servicios se proporcionan en la organización o sean externos.
10.7.1 Gestión de medios removibles
Este control describe la necesidad de controles que se debe establecer para gestionar los medios
removibles. Es decir, todos los niveles y procedimientos de autorización deben estar claramente
documentados.
10.10.2 Monitoreo del uso del sistema
Se deben establecer procedimientos para supervisar y monitorear el uso de los recursos de
procesamiento de la información, los cuales deben revisarse periódicamente. Otro aspecto
importante es el seguimiento que se le debe realizar a los empleados y usuarios para garantizar
que las actividades realizadas sean legales y permitidas.
Descargar