Upload
meztli-valeriano-orozco
View
4.142
Download
1
Embed Size (px)
Citation preview
1.6 ACTIVOS INFORMATICOS
● Son aquellos recursos (hardware y software) con los que cuenta una empresa.
● Es decir, todo elemento que compone el proceso completo de comunicación, partiendo desde la información, el emisor, el medio de transmisión y receptor.
● Ejemplo: Servidores, Bases de Datos, Ruters, Racks, Programas Instaladores, Cables de Red, etc.
Es preciso llevar un control de los activos (Hardware y Software) que forman parte del Data Center, como :
● Equipos (Monitores, Teclados, Mouse, Gabinetes, Impresoras, Bocinas)
● Los componentes (Disco Duro, Tarjetas de Red, Tarjetas de Video, etc.)
● Además de señalar su ubicación física (dentro de que equipo se encuentran instalados)
● Es importante llevar un control sobre los activos de informática, tanto para control interno como externo.
● Se deben implementar políticas claras para la asignación y control de estos activos.
● Tiene como finalidad ayudar ala evaluación de la eficiencia y eficacia de la gestión administrativa.
Objetivos del Control Interno Informático
● Establecer como prioridad la seguridad y protección de la información del sistema computacional y de los recursos informaticos de la empresa.
● Promover la confiabilidad, oportunidad y claridad de la captación de datos. Su procesamiento en el sistema y la muestra de informes en la empresa.
● Implementar métodos, técnicas y procedimientos necesarios para contribuir al eficiente desarrollo de las funciones, actividades y tareas de los servicios informáticos para satisfacer los requerimientos de sistemas de la empresa.
● Instaurar y hacer cumplir las normas, políticas y procedimientos que regulen las actividades de sistematización de la empresa.
● Establecer las acciones necesarias para el adecuado diseño de sistemas computarizados a fin de que permitan proporcionar eficientemente los servicios de procesamiento de información de la empresa.
1.7 Control de Seguridad
● Luego de identificar los requerimientos de seguridad se deben implementar controles a fin de garantizar que los riesgos se reduzcan a un nivel aceptable.
● No es la acción lo importante si no la forma de hacerlo, ya que la Norma ISO 17799:2000 deja abierta la posibilidad de que se puedan consultar otros estándares para realizar un control cutomizado para la empresa.
● La norma ISO 17799:2000 expone algunos métodos de control reconociendo que cada empresa tiene su distribución y sus formas de manejar los datos.
● Los controles deben seleccionarse, considerando el costo de implementación en relación con los riesgos a reducir y las pérdidas que se producirían en caso de que ocurra una violación de la seguridad
● Además deben tenerse en cuenta los factores no monetarios, como el daño en la reputación de la compañía, por ejemplo:
● Desde el punto de vista legal, los controles que se estiman esenciales para una organización comprenden los siguientes aspectos:
● Protección de datos y confidencialidad de la información personal.
● Protección de registros y documentos de la organización.
● Derechos de propiedad intelectual.
● Por otro lado los controles considerados como práctica recomendada de uso frecuente en la implementación de la seguridad de la información son los siguientes:
● Documentación de la política de seguridad de la información
● Asignación de responsabilidades en materia de seguridad de la información
● Instrucción y entrenamiento en materia de seguridad de la información
● Comunicación de incidentes relativos a la seguridad
● Administración de la continuidad de la empresa
● Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los ambientes.
● Investiga cual es el contenido y el propósito de la Norma ISO 17799:2005