0
Reglas
                                                                                                                   ...
Marco de normas de gestión de seguridad

                                              Sistemas de gestión de la seguridad...
Métrica        Porcentaje de datos y operaciones críticas con frecuencia de backup establecida

                          ...
Entender requisitos de seguridad

                                                                 Implantar controles par...
Requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar su SGSI
           ...
TSI como recurso crítico

                                                         Gestión y gobierno                     ...
Diseño y planificación

                                                                                                  ...
Alcance

                                                   Términos y definiciones

                                     ...
Cuentas significativas

                       Riesgos del negocio y su impacto en el proceso            Características

...
Discutir estado de riesgos
                                   Alinea la tolerancia al riesgo y la estrategia
             ...
Favorece su desarrollo

                                                         Requisitos del SGSI                      ...
Recursos Humanos                         Política de Seguridad

                              Gestión de Activos          ...
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Upcoming SlideShare
Loading in...5
×

Mapas EstáNdares

3,419

Published on

Published in: Technology, Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,419
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
243
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Mapas EstáNdares"

  1. 1. Reglas Políticas guías Normas Prácticas definiciones Medidas organizativas Identificación de requisitos genéricos Papel en las TI Técnicas Desarrollo de técnicas y mecanismos Pasos para garantizar seguridad en los sistemas Desarrollo de guías de seguridad Cuestiones Pone de manifiesto que se lleva a cabo una administración competente Desarrollo del soporte de la gestión Norma Internacional (ISO/IEC) Normalización de algoritmos criptográficos IEC Comisión Electrotécnica Internacional SC 27 Informe Técnico Requisitos, servicios de seguridad y guías GT1 Comités Técnicos Mecanismos y técnicas de seguridad GT2 ISO Organización Internacional deNormalización Subcomités Criterios y evaluación de seguridad GT3 Grupos de Trabajo Normas de Seguridad de Tecnologías de información Organizaciones Grupos de Trabajo Servicios y controles de seguridad GT4 Normas europeas Gestión de identidad y privacidad GT5 CEN Comité Europeo de Normalización Especificaciones técnicas Apoyar difusión y uso denormas de seguridad SubcomitéISO/IEC JTC1/SC 27 Informes técnicos Apoyar integración de sectores público y privado AENOR Asociación Española de Normalización Canalizar normalización nacional e internacional Modo de actuación Gestión de seguridad en Información Apoyar desarrollo de normas de seguridad Gestión de Identidad y privacidad Mantener coherencia Normalización ISO/IEC SC27 Servicios y controles de seguridad Normas UNE relativas a la seguridad Hitos AEN/CTN 71/SC27 Técnicas y mecanismos Contribución a la normalización internacional Evaluación de seguridad de las TI Formación de posición común relativa al voto en los procedimientos Elaboración de proyectos normas nacionales UNE Papel de editor en proyectos de normas nacionales e internacionales Demandas de actuación Traducción de normas ISO/IEC para producción de normas UNE Reuniones internacionales SC27
  2. 2. Marco de normas de gestión de seguridad Sistemas de gestión de la seguridad Coherente con los principios generales del gobierno te TI Análisis y gestión de riesgos Coherente con principios de OCDE Controles y salvaguardas Principios Coherente con sistemas de gestión ISO 9001 Métricas Cobertura Coherente con las guías ISO Auditoría Marco de normas de gestión de seguridad de la información Directrices de implantación Normas relativas a sistemas de gestión de seguridad Difusión y concienciación Norma relativa de análisis y gestión de riesgos Otros aspectos Norma de métricas Servicios de fechado electrónico Normas Gestión de seguridad de la información Normas relativas a controles y salvaguardas algoritmos de cifrado simétricos Normas relativas a auditoría de gestión de seguridad Funciones hash criptográficas Directrices relativas a la difusión y concienciación de seguridad Autenticación de entidades Técnicas y mecanismos Otras normas necesarias para desarrollar áreas técnicas específicas Técnicas criptográficas basadas en curvas elípticas Amenazas identificadas Requisitos de módulos criptográficos Política de seguridad Gestión de claves Objetivos de seguridad Supuestos de seguridad Mecanismos de no repudio Requisitos funcionales Norma ISO/IEC Evaluation criteria for IT secutury Requisitos de aseguramiento Norma ISO/IEC Methodology for IT security Normas Norma ISO/IEC TR Guide for the production of protection rpofiles and security targets
  3. 3. Métrica Porcentaje de datos y operaciones críticas con frecuencia de backup establecida Propósito Evaluar el riesgo debido a backups insuficientes NIST 800-55 Fórmula Archivos críticos con backup establecido/ archivos que requieren backup Indicador % de archivos que requerían backup, copiados conforme a procedimientos Indicadores, métricas o medidas de seguridad Key Goal Indicators de lapso Indicadores Key Performance Indicators de forma CoBIT Rendimiento Medición de procesos Resultado Madurez Métricas de seguridad de la información Propósito Recoger, analizar y comunicar datos de SI Finalidad Conocer, evaluar y gestionar seguridad de SI Analizar y comprender el estado de la seguridad Métricas de gestión de la seguridad Controlar eficacia y eficiencia Permiten Predecir el tiempo y costo de un proyecto Mejorar la gestión de seguridad de la información Benchmarking de capacidad de procesos CMM, Balance scorrecard, métricas de análisis de riesgos Sistemas de monitorización CoBIT Definición de objetivos y métricas de procedimientos Activity goals
  4. 4. Entender requisitos de seguridad Implantar controles para gestionar riesgos Norma 27001 Controlar y revisar comportamiento y eficacia de SGSI Mejora continua basada en mediciones objetivas Métricas o medidas Alcance y objeto de la norma Verificar alcance de requisitos de seguridad Objeto Evaluar eficiencia de implantación Evaluar eficacia de sistema de gestión Proceso de medida Proporcioanr un estado de seguridad para revisión Comunicar el valor de la seguridad Visión general Aportación al plan de tratamiento de riesgos Derivada Base Tipos de medidas Cumplimiento Rendimiento Modelo Proceso de medición Identificación Requisitos de stakeholders Políticas de seguridad Cómo se desarrolla Selección de controles Establecimiento de prioridades Información necesaria Relación costo-beneficio Métricas de seguridad de la información Selección de controles y objetivos de control Auditorías internas o externas Medidas de gestión de la seguridad Evaluación y análisis de riesgos cuestionarios y preguntas Registro de acontecimientos Producción de registros, informes y pistas de auditoría Informes de incidentes Muestras estadísticas Pruebas Identificar y documentar participantes Estratégica Cuantitativa Razonable Cómo medir Interpretativa Cumplir criterios Verificable Evolutiva Útil Indivisible Repetible Controles y objetivos Objetivos de medición Objetos de negocio Documentar Medidas individuales Proceso de análisis de datos Proceso y formato de informes Funciones y responsabilidades de satakeholders Indicadores
  5. 5. Requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar su SGSI Favorece su desarrollo Gestión de riesgo Afianza la posición de la organización Tratamiento del riesgo Ante el mercado Potencia la imagen de marca Aceptación del riesgo Características Constituye un factor competitivo Análisis dle riesgo permite superar barreras técnicas Valoración del riesgo Fidelización y captación de nuevos clientes Evaluación del riesgo Se mejora comunicación con el cliente Riesgo residual Beneficios de sistemas de gestión Ante los clientes Mayor confianza al cliente Alcance Aumento de la satisfacción del cliente Política Conocimiento y depuración de los procesos internacionales Metodología para valoración de riesgo Mejora de procesos y servicios prestados Identificación de riesgos Establecimiento y gestión Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Análisis y evaluación de riesgos ISO 27001 Mejor gestión de los recursos Identificación de tratamientos del riesgo Estímulo para entrar en un proceso de mejora continua Selección de los controles Definir política de seguridad Plan de tratamiento del riesgo Establecer alcance de SGSI eficaciade dichos controles Plan Implantación y puesta en marcha SGSI Realizar análisis de riesgos programas de formación y concienciación Seleccionar los controles cultura de la seguridad Implantar plan de gestión de riesgos Procedimientos para control y revisión Modelo PDCA Do Implantar el SGSI Eficacia del SGSI Implantar los controles Auditorías de seguridad y mediciones Revisar internamente el SGSI Medidas correctivas y preventivas Control y evaluación Check Realizar auditorias internas del SGSI Procedimiento documentado Adoptar las acciones correctivas Sistema de registro Act Adoptar las acciones preventivas Anexos
  6. 6. TSI como recurso crítico Gestión y gobierno Resumen ejecutivo Procesos externalizados Introducción Esquema Elementos externos en la gestión Estructura Legislación y normas sectoriales Contenido central El riesgo de las TSI Apéndices Las TSI están alineadas con el negocio Efectividad o eficacia Las TSI posibilitan la realización de la actividad del negocio Eficiencia Marco de referencia Los recursos de TSI son utilizados de forma responsable Confidencialidad Los riesgos de TSI son gestionados adecuadamente Requerimientos del negocio Integridad Planificar y organizar Disponibilidad Adquirir e implementar Cumplimiento Dominios Confiabilidad Entregar y dar soporte Monitorizar y evaluar Aplicaciones Información Ayuda al gobierno de TSI en su globalidad Recursos de TSI afectados CoBIT 7 Infraestructura Normas complementarias para elementos puntuales de TSI Personal Los riesgos provienen de muchos casos Alineación estratégica La aplicación de CoBIT debe realizarse si el esquema es eficiente Entrega y servicio que añada valor Los criterios y procesos no deben ser rígidos Aplicación Áreas Centrales para el gobierno de TSI Gestión de recursos CoBIT 4 no incluye detalles técnicos sobre determinadas plataformas Gestión del riesgo Su implantación puee ser apoyada por auditoría Apartados Medición del rendimiento CoBIT puede ser aplicada a todas las empresas Objetivos de control del detalle Debe permitir el crecimiento controlado de TSI Directrices de gestión A. Análisis y comprensión del contenido de CoBit Responsabilidades de los distintos niveles de Dirección y gerencia B. Fundamentación de la utilidad Objetivos de actividad C. Definir el valor que aportará Orden de implementación Objetivos de procesos D. Análisis y evaluación del riesgo Cuadro de objetivos y métricas aplicables Indicadores clave de rendimiento E. Definición de los dominios, procesos y actividades de TSI Objetivos de TSI Indicadores de objetivos clave de procesos F.Definición de los controles a implantar Indicafores de objetivos clave de TSI 0-No existente 1-Inicial 2- Repetible Modelo de madurez 3-Definido 4-Gestionado 5-Optimizado
  7. 7. Diseño y planificación Despliegue Gestión de la infraestrctura TI Operaciones Soporte técnico Gestión de aplicaciones Planificación para la aplicación de los servicios de gestión Gestión de incidentes La provisión se orienta más al cliente Gestión de problemas Se describen mejor los servicios Centro de servicios Cliente/Usuario Se manejan mejor la calidad y costo Gestión de cambios Mejora la comunicación con la organización Objetivos La org desarrolla una estructura más clara y eficaz Alcance La dirección tiene más control Organización Elementos de configuración Conceptos básicos Brinda un marco para concretar adecuadamente la externalización Base de datos Calidad global mejorada Planificación Soporte del negocio más fiable Identificación Clientes saben qué esperar Actividades Control incremento en la productividad Negocio Monitorización Procedimietos de continuidad dle servicio de acuerdo a las necesidades del negocio Soporte del servicio Verificación y auditorías Mejores relaciones de trabajo entre los clientes y el proveedor Gestión del incidente Gestión de configuración Sarisfacción del cliente Gestión del problema Beneficios ITIL Libros Infraestructura de TSI y servicios justificados en costos Gestión dle cambio Financieros Gestión de servicios Beneficios financieros a largo plazo Gestión de la versión La plantilla sabe que esperar de las TSI Procesos relacionados Gestión de nivel de servicios Mayor productividad Empleado Gestión financiera Visibilidad y reputación mejorada del departamento de TSI Gestión de la disponibilidad Comprensión más clara de requisitos Gestión de la continuidad Mejor información sobre servicios actuales Gestión de la capacidad Innovación Mayor flexibilidad para el negocio Costos Capacidad mejorara para reconocer tendencias al cambio Problemas Métricas e informes mejorados Gestión de versiones Mejor información sobre los servicios actuales Gestión de niveles de servicio Comunicaciones mejoradas y trabajo inter-equipos Internos Presupuestación Roles y responsabilidades claramente definidos Gestión financiera Contabilidad de TSI Visión más clara de la capacidad de TSI Entrega del servicio Cargos Gestión de la capacidad Gestión de continuidad Gestión de la disponibilidad Gestión de seguridad Perspectiva de negocio Soporte de Servicio Provisión de Servicio
  8. 8. Alcance Términos y definiciones Requisitos de un Sistema de Gestión Planificación e Implementación de la Gestión del Servicio Gestión de Nivel del servicio Generación de informes del servicio Gestión de la continuidad y disponibilidad del servicio Procesos de Provisión de Servicio Presupuestar y contabilizar servicios de TSI Gestión de la capacidad Parte 1. Especificación UNE-ISO/IEC 20000 Gestión de seguridad de la información Gestión de Relaciones con el negocio Procesos de relación Gestión de suministradores Gestión del incidente Procesos de resolución Gestión del problema Subtema Gestión de configuración Procesos de control Gestión del cambio Proceso de entrega de versiones Proceso de gestión d entrega Parte 2. Código de prácticas Guías y recomendaciones relativas a las buenas prácticas de gestión del servicio.
  9. 9. Cuentas significativas Riesgos del negocio y su impacto en el proceso Características Procesos significativos en su impacto en estados contables EL flujo de transacciones Procesos de TSI vinculados Identificar El desarrollo del proceso de cierre Implantación de sistema de control Procesos y controles automatizados dentro de las actividades del negocio Impacto Funciones específicas de TSI Todas las transacciones están autorizadas Desarrollo de aplicaciones Los activos están protegidos contra el uso no autorizado Control de cambios a producción Clasificación de procesos Las transacciones están correctamente registradas Actividades de explotación de sistemas Sección 404 Declaración de responsabilidad sobre la estructura de control Accesos a programas y datos Identificación del marco de operación Identificar las partidas significativas de los estados financieros Exige a la dirección Relice y documente evaluación de efectividad Identificar las posibles aserciones erróneas Aspecto específico de TSI Principales secciones Su informe sea refrendado por el auditor externo Identificar las aserciones acertadas para evaluar la complejidad de sistemas Revisar el informe que se presenta Modelo de gestión del programa de actividades de desarrollo Los estados financieros básicos y la información financiera adicional Gestión de proyectos Ejecutivos certificadores son responsables del establecimiento de controles Análisis y diseño Sección 302 Todos los certificadores han evaluado la efectividad de los controles Procedimientos de selección de paquetes SW/HW Desarrollo de aplicaciones Presentar conlcusiones respecto a la eficacia de los controles Pruebas y aseguramiento de la calidad Informar a auditores independientes las deficiencias significativas Planificación y ejecución de la conversión de datos Sarbanes-Oxley Controles de "Entity-level" Documentación de usuario y técnica y formación Controles de TSI Controles de aplicación Gestión del programa de actividades Controles generales de TSI Pasos especificados, con autorización y seguimiento Controles en construcción Cambios a programas Remota Desarrollo de pruebas Probabilidad de ocurrencia Posible Autorización del paso al entorno de producción Probable Documentación técnoca y de usuario y formación Controles típicos de TSI Intrascendente Existencia de políticas y procedimientos Deficiencias detectadas en el sistema Volumen de error potencial Trascendente Modelo de organización y estión Material Modelo de gestión de la seguridad de las aplicaciones Significativa Modelo de gestión de la seguridad de los datos Niveles de deficiencias Acceso a programas y datos Material Seguridad de la red interna Seguridad de la red perimentral Seguridad física Modelo de gestión de sistemas operativos Existencia de políticas y procedimientos Modelo de organización y gestión Planificación y ejecución de procesos batch Operaciones Gestión de copias de seguridad Procedimientos de recuperación de fallos operativos
  10. 10. Discutir estado de riesgos Alinea la tolerancia al riesgo y la estrategia Consejo de administración Garantizar y evaluar riesgos Relaicona crecimiento, riesgo y retorno de inversión Tomar en cuenta la información de riesgos Amplía las decisiones de respuesta al riesgo Gestión del riesgo Identifica y gestiona riesgos en los distintos niveles Gestores Implantar mecanismos de supervisión Proporciona respuestas integradas a los múltiples riesgos Beneficios Responsabilidades Supervisar riesgos Aprovecha estratégicamente las oportunidades Actividades de control Informa a gestores de riesgos y consejo para establecer supervisión Otro personal Transmitir información que afecte al sistema Ayuda a organizaciones a lograr objetivos y evitar pérdidas COSO Evaluación de riesgos Mejora los sistemas de reporte Auditores internos Recomendaciones de mejoras Ayuda a asegurar el cumplimiento con leyes y reglamentos Implantación de ERM Resuelve todo y con él se pueden tomar deciones básicas Asegurar ligación entre planes y operaciones de TSI Alineamiento estratégico Sólo sirve para catalogar o tomar inventario de riesgos Ejecución del valor aportado por las TSI Entrega de valor COSO y CoBIT Mitos Ofrece un sistema por el cual los reultados son infalibles Utilización efectiva y eficiente de recursos Gestión de recursos ERM versa sobre asuntos financieros y seguros Procesos de medición de objetivos y alineamiento Medición del desempeño Es un modelo muy costoso de implementar
  11. 11. Favorece su desarrollo Requisitos del SGSI Afianza la posición de la organización Gestión de riesgo Ante el mercado Potencia la imagen de marca Tratamiento del riesgo Constituye un factor competitivo Aceptación del riesgo Permite superar barreras técnicas Características Análisis del riesgo Fidelización y captación de nuevos clientes Valoración del riesgo Se mejora comunicación con el cliente Beneficios de sistemas de gestión Ante los clientes Evaluación del riesgo Mayor confianza al cliente Riesgo residual Aumento de la satisfacción del cliente Alcance Conocimiento y depuración de los procesos internacionales Política Mejora de procesos y servicios prestados Valoración de riesgo Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Identificaión de riesgos Establecimiento y gestión Mejor gestión de los recursos ISO 27001 Análisis y evaluación Estímulo para entrar en un proceso de mejora continua Identificación de tratamientos de riesgo Definir políticas de seguridad Selección de controles Establecer alcance de SGSI Plan Plan de tratamiento del riesgo Realizar análisis de riesgos Eficacia de dichos controles Seleccionar los controles Implantación y puesta en marcha SGSI Programas de formación y concienciación Implantar plan de gestión de riesgos Cultura de la seguridad Modelo PDCA Do Implantar el SGSI Procedimientos para control y revisión Implantar los controles Eficacia del SGSI Revisar internamente el SGSI Check Auditorías de seguridad y mediciones Realizar auditorías internas del SGSI Medidas correctivas y preventivas Control y evaluación Adoptar las acciones correctivas Act Procedimiento documentado Adoptar las acciones preventivas Sistema de registro Anexos
  12. 12. Recursos Humanos Política de Seguridad Gestión de Activos Organización de Seguridad Análisis y gestión de riesgos Conceptos Norma ISO 17799 Conformidad legal Seguridad Física Compras, desarrollo y mantenimiento de sistemas Control de acceso Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×