Sistemas de Xestión da Seguridade da Información, Auditorías e Plans de Continxencias
- Os Sistemas de Xestión da Seguridade da Información
- Auditorías de Seguridade: Fases
- Contrato e información xeral sobre os sistemas. Clasificación da información
- Recoleccion de datos (footprinting, fingerprinting)
- Análise de Vulnerabilidades (Pentesting) e clasificación
- Xeración de informe
- Establecemento de políticas de seguridade
- Plan de Continxencias
1. Xestión da Seguridade da Información
1.4. Informe de Estado da Seguridade da Información
Recollerase nun único documento unha imaxe da situación actual da organización no que a implantación de medidas técnicas e organizativas de seguridade se refire. Este informe persigue dous obxectivos: Proporcionar unha visión global e detallada do estado da organización en canto á seguridade, e sinalar cales son os aspectos mellorables e a proposta de accións correctivas ordenadas por relevancia. Os distintos apartados do informe serían:
Descrición do estado actual: Se describirán os datos recollidos na recolección técnica de información e o estado actual das redes e sistemas de comunicación. Un exemplo da estrutura sería:
Topoloxía.
Inventario e caracterización dos sistemas máis importantes.
Inventario e caracterización de servizos públicos e privados.
Descrición das medidas de seguridade física implantadas.
Descrición das medidas de seguridade lóxica implantadas.
Listado das políticas e procedementos referentes ao manexo dos sistemas de información.
Análise e recomendacións técnicas: Para cada un dos apartados indicados no punto anterior, se revisarán as implicacións existentes respecto á seguridade e se recomendarán as accións necesarias para paliar os problemas.
Conclusións e propostas de acción: Se clasificarán as accións recomendadas segundo unha gradación baseada na criticidade da aplicación e a cantidade de risco asumido pola non implementación de medidas, se especificará un tempo recomendado para abordar a solución segundo o grao de riso. Como referencia, unha clasificación sería:
Crítico: aplicación inmediata.
Alto: Aplicación en tres meses.
Medio: Aplicación de tres a seis meses.
Baixo: Aplicación de seis a doce meses.
Medidas de Seguridade e Controis Recomendados: Adicionalmente propondranse unha serie de medidas e controis de seguridade aplicables segundo a recomendación das guías de boas prácticas existentes como a norma ISO/IEC 17799/27001. Recoméndase a identificación e descrición das distintas medidas de seguridade e controis aplicables da norma seguida.
Resumo executivo: Se recollerá de forma clara, concisa e nunha linguaxe comprensible evitando termos excesivamente técnicos un resumo dos principais resultados e riscos que a organización está a asumir debido ao estado actual de implantación de medidas. Este apartado probablemente sexa o de maior visibilidade e o que pode influír no apoio da xerencia ao cumprimento das medidas necesarias.