PRUEBA DE ENSAYO A. Revise el punto 10.4 del capítulo 10 del libro base, páginas 291 a 294, “ISO 27002:2005 – Seguridad física y del entorno”. Proponga Usted en cada aspecto de esta norma, una política necesaria que debería tener la organización (20 aspectos). No es válido si hace copias exactas de normas o políticas de organizaciones que ya las tienen definidas. 1. Perímetro de seguridad: El acceso al área de servidores de la organización debe ser mediante tarjetas de control de entrada. 2. Controles físicos de entrada: Relojes biométricos como protección de control de entrada y salida del personal autorizado que dispone de permiso de acceso. 3. Mantenimiento de los equipos: Los equipos deben mantenerse cada tres meses dando un control preventivo y correctivo. 4. Instalaciones de suministro: Los equipos deben protegerse contra cortes de luz y otros problemas a causa de fallas en suministros básicos. 5. Equipo de usuario desatendido: Exigir la presentación de credenciales o documentos válidos y si es el caso comprobar su identidad. 6. Seguridad de cableado: Se colocan UPS, estabilizadores, polos a tierra, para rayos. 7. Documentación de procedimientos operativos: Documentar y mantener los procedimientos de operación y ponerlos a disposición de todos los usuarios que lo necesiten. 8. Continuidad del negocio y análisis de impactos: Realizar réplicas de discos en tiempo real de cada centro de datos, pruebas de recuperación de desastres. 9. Supervisión y revisión de los servicios prestados por terceros: Esta gestión se la debe realizar cada día, monitorear y realizar auditorías de los servicios prestados por terceros. 10. Controles contra software malicioso: Todos los equipos y servidores tendrán instalados programas antivirus con su correspondiente firewall. 11. Sistemas de información empresariales. Interconexión de sistemas empresariales debe estar controlada y gestionada correctamente su modificación de accesos. 12. Transacciones en línea: Las transacciones en línea se realizan mediante encriptación del canal de comunicación, ya sea por certificados digitales u otros medios. 13. Supervisión del uso del sistema Establecer y supervisar procedimientos para supervisar el uso de los recursos de tratamiento de la información. 14. Ordenadores portátiles y comunicaciones móviles: Actualizar cada año los equipos de escritorio a equipos portátiles para el mejor manejo y supervisión. 15. Análisis y especificación de los requisitos de seguridad: Evaluar especificaciones y características de los nuevos equipos, y aplicar los controles y políticas. 16. Procedimientos de control de cambios: El procedimiento deberá considerar el nivel de organización, los sistemas afectados, los cambios realizados entre otros, paso por paso y registrarlo. 17. Externalización del desarrollo de software. Contratos de licencia, propiedad de código, requisitos de calidad y seguridad del software. 18. Políticas de uso de los servicios de red. Habilitar el acceso previa autorización de la persona encargada mediando solicitud. 19. Uso de contraseñas Requerir a los usuarios las buenas prácticas de seguridad, en el uso de contraseñas. 20. Inventario de activos. Realizar cada trimestre un inventario detallado de equipos, servidores y otros dispositivos de propiedad de la empresa.
