Verificación
Verificación
Verificación
TRABAJO GRUPAL
PROFESIONALES EN FORMACIÓN:
CATEDRA:
SEGURIDAD INFORMATICA II
TEMA:
PROCESO DE VERIFICACIÓN DEL SGSI
SEMESTRE:
NOVENO
DOCENTE:
ING. VÍCTOR FERNANDO GUARANDA SORNOZA
INDICE
1. PROCESO DE VERIFICACIÓN DEL SGSI........................................................................................3
1.1. METODOS DE MEDICION....................................................................................................3
1.2. INDOCADORES DE MEDICION.............................................................................................3
UNIVERSIDAD ESTATAL DEL SUR DE MANABI
Creada el 7 de Febrero del Año 2001, según registro oficial N° 261
FACULTAD DE CIENCIAS TECNICAS
CARRERA DE INGENIERIA EN COMPUTACIÓN Y REDES
El Jefe Administrativo
El Personal
El incumplimiento de las normas será sancionado, por eso se debe cultivar y divulgar las
políticas aplicadas para la seguridad de la empresa.
UNIVERSIDAD ESTATAL DEL SUR DE MANABI
Creada el 7 de Febrero del Año 2001, según registro oficial N° 261
FACULTAD DE CIENCIAS TECNICAS
CARRERA DE INGENIERIA EN COMPUTACIÓN Y REDES
(CPD) o el archivo. Es importante verificar que el CPD dispone de medidas que garanticen
la integridad física de los sistemas de información (climatización, detección y extinción de
incendios, suministro eléctrico de respaldo, etc.)
Seguridad en operaciones: Aspectos como la definición de procedimientos operativos,
sistemas de antivirus, copias de respaldo, gestión de vulnerabilidades, son los puntos a
revisar en uno de los dominios más extensos de la norma.
Seguridad en comunicaciones: La norma dedica un dominio a la seguridad de las
comunicaciones y en especial a la red corporativa, siendo necesario verificar tanto la
existencia de mecanismos para garantizar su seguridad (sistemas firewall, sistemas IDS/
IPS o la segmentación de la red), como su correcta implantación y configuración.
Adquisición, desarrollo y mantenimiento de sistemas: El estudio contempla verificar la
existencia de análisis de requerimientos de seguridad previos al desarrollo y adquisición de
nuevos sistemas de información. Sin olvidar la existencia de una metodología de desarrollo
que tenga en cuenta aspectos de seguridad.
Relaciones con proveedores: En este punto debemos comprobar los aspectos contractuales
en la contratación de terceros (acuerdos de confidencialidad, acuerdos de nivel de servicio,
etc.), así como el seguimiento existente sobre los servicios prestados por estos.
Gestión de incidentes de seguridad de la información: Este punto es uno de los más
importantes de la norma, y para auditarlo debidamente debemos comprobar que existe un
proceso de gestión de incidencias en el que se incluya cómo actuar ante un incidente de
seguridad de la información.
Cumplimiento: En este apartado debe focalizarse la revisión del cumplimiento legal en
aspectos como la LOPD, la gestión de los derechos de propiedad intelectual u otra
legislación aplicable. Adicionalmente debemos comprobar que se realizan revisiones de
seguridad, ya sean por terceros o con carácter interno.