Your SlideShare is downloading. ×
Ensayo estandares
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Ensayo estandares

309
views

Published on

Published in: Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
309
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5 NORMAS DE SEGURIDAD DE TECNOLOGIAS DE INFORMACION. Las normas son especificaciones técnicas, de carácter voluntario, consensuadas, elaboradas con la participación de las partes interesadas (fabricantes, usuarios y consumidores, laboratorios, administración, centros de investigación, etc.) y aprobadas por un organismo reconocido. La normalización contribuye a simplificar y a incrementar la fiabilidad y eficiencia de los bienes y servicios que utilizamos, así como a mejorar el bienestar de la sociedad y redunda en el beneficio común. Las normas son por tanto documentos de aplicación voluntaria, elaborados por las partes interesadas, por consenso y aprobados por un organismo reconocido. En el ámbito internacional ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) tienen por objeto favorecer el desarrollo de la normalización en el mundo, con vistas a facilitar los intercambios comerciales y las prestaciones de servicios entre los distintos países. • Órganos de trabajo técnicos de ISO: • Comités técnicos (CT) • Subcomités (SC) • Grupos de Trabajo (GT) • Documentos: - Norma internacional (ISO/IEC) - Informe técnico (TR) El subcomité SC27 se enmarca en la concepción de la seguridad de las tecnologías de la información como pieza fundamental para garantizar la confianza de individuos e instituciones en la sociedad de la información. Se estructura en cinco grupos de trabajo: 1. GT1-requisitos, servicios de seguridad y guías, 2. GT2-mecanismos y técnicas de seguridad, 3. GT3-criterios de evaluación de la seguridad, 4. GT4-servicios y controles de seguridad y 5. GT5-gestion de identidad y privacidad.
  • 2. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5 Gestión de la seguridad de la información.- normas relativas a la gestión de la seguridad de la información, dar cobertura a áreas como sistemas de gestión de la seguridad de la información, análisis y gestión de riesgos, controles y salvaguardas, métricas otros aspectos. Técnicas y mecanismo.- destacan en este ámbito las técnicas y mecanismos criptográficos que tienen un protagonismo singular y creciente en la garantía de dimensiones de la seguridad tales como la confidencialidad, la integridad y la autenticaciónNORMA ISO 27001 GESTION DE LA SEGURIDAD.Normas producidas por organismos oficiales agrupan las siguientescaracterísticas: Especificaciones técnicas basadas en la experiencia y en eldesarrollo tecnológico, voluntarias, accesibles al público, tanto durante suelaboración, pues se producen en órganos de trabajo abiertos a la industria, comodespués, pasan por un periodo de información pública durante el cual cualquierpersona puede presentar alegaciones o comentarios a su contenido.Origen de ISO/IEC 27001:* No existió a nivel internacional una norma que complemente al código de buenasprácticas a través de las especificaciones de los sistemas de gestión de seguridadde la información.* Coexistieron la norma inglesa BS 7799-2 y la norma española UNE 71502. Sepropone el modelo internacionalmente aceptado PDCA.* En el 2004 ya iniciado el MODELO 27000.* Se publica la norma ISO/IEC 27001 referente internacional para los “Sistemas degestión de la seguridad de la información”.Establecimiento y gestión del SGSIAlcance del sistema de gestión, Definir política del SGSI y la metodología para lavaloración del riesgo, identificación de los riesgos, hacer un análisis y evaluaciónde dichos riesgos, identificación de los diferentes tratamientos del riesgo yselección de los controles.Implantación y puesta en marcha del SGSIPreparar un plan de tratamiento del riesgo, medir la eficacia de los controles,
  • 3. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5obtener resultados comparables y reproducibles, crear programas de formación yconcienciación en todas las acciones para el personal de la organización y seposibilitaran la cultura de la seguridad.Control y evaluación del SGSIImplantar procedimientos para el control y la revisión de lo hecho hasta ahora yderivara la eficacia del SGSI a partir de las auditorias de seguridad y lasmediciones para verificar que se estén cumpliendo los requisitos de seguridad. Sedescubren los defectos y mejoras para lo que se tomaran las medidas correctivasy preventivas. Debe estar sustentado por un procedimiento documentado.LAS METRICAS DE SEGURIDAD DE LA INFORMACION.El propósito del proceso de métrica de gestión de la seguridad es recoger, analizary comunicar datos relacionados con los procesos de la seguridad de lainformación, que supone un ámbito de actuación diferente al de lasinfraestructuras, aplicativa y sistemas o procesos que la soportan. Tal vez estematiz nos podría ayudar a diferencias ambas figuras y a centrar el objeto de estecapítulo.Las métricas de gestión de la seguridad de la información tienen por finalidadconocer, evaluar y gestionar la seguridad de los sistemas de información. Ydemostrar objetivamente la eficacia y eficiencia de los controles de seguridad. La métrica seria el porcentaje de datos y operaciones criticas con una frecuencia de backup establecida. El propósito seria el riesgo debido a backups insufucuentes. La formula seria el número de archivos críticos con una frecuencia de backup establecida dividido por el numero de archivos que requieren backup. El indicador seria el 100% lo que indicara que todos los archivos críticos que requieran backup se han copiado conforme a los procedimientos de backup establecidos y documentadosLa norma 27001 adopta un enfoque de proceso para establecer, implantar, poneren funcionamiento, controlar, revisar, mantener y mejorar un Sistema de Gestiónde Seguridad de la Información (SGSI) de una organización.
  • 4. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5La finalidad del proceso de implantación y desarrollo de medidas de la gestión deseguridad de la información es crear una base en cada organización que permitarecoger, analizar y comunicar dato relacionados con procesos SGSI.Los objetivos del proceso de medida son, por tanto:Evaluar la eficacia de la implantación de los controles de seguridad, del sistema degestión de seguridad de la información incluyendo la mejora continua,proporcionar un estado de seguridad para dirigir la revisión de la gestión. Facilitarlas mejoras de la seguridad y contribuir a auditoria de seguridad., comunicar elvalor de la seguridad a la organización y servir como aportación al plan detratamiento de riesgos y de evaluación de riesgos.Tipos de medidas:La norma pone la categorización: derivada, base (dentro de ésta cumplimiento yrendimiento). Para medir es necesario un método específico de medición paracada entidad o combinación critica de atributos con la finalidad de extraer lainformación que puede utilizarse como base para el cálculo de medidas. Puedeimplicar actividades como contar el numero de acontecimientos u observar el pasodel tiempo.Una medida valida habrá de cumplir con los criterios:Estratégica, cuantitativa, razonable, interpretativa, verificable, evolutiva, útil,indivisible y bien definida y repetible. Los indicadores se generan al interpretar lasmedidas derivadas a la luz de los criterios de decisión o las necesidades de lainformación de la organización.NORMA ISO 17799. CODIGO DE BUENAS PRÁCTICAS PARA LOS SGSISistema de Gestión de Seguridad de la Información (SGSI) es una estructuraorganizativa, técnica y procedimental que persigue la seguridad de la informacióna través de un ciclo de análisis de la situación, aplicación de controles, revisión delfuncionamiento y la aplicación permanente de mejoras o correcciones. Es lo quecomúnmente se conoce como el ciclo PDCA aplicando a la seguridad de lainformación, que permite adaptarse a los cambios en la organización y la mejoracontinua.Los SGSI utilizan la norma ISO 17799:2005 como herramienta para conseguir laseguridad definida en la empresa, pero no es en sí misma una norma certificable.Simplemente presenta qué áreas debe contemplar la empresa respecto a laseguridad y propone controles para conseguir los objetivos de la seguridad decada una de estas áreas.
  • 5. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en laempresa para asegurar los Sistemas de Información. Sin embargo, puesto queimplantar estos controles significa una inversión, no serán recomendacionesarbitrarias.Surge de la necesidad de las empresas de garantizar el funcionamiento seguro delos Sistemas de Información garantizando la confidencialidad integridad ydisponibilidad de la información.La norma ISO 17799:2005 es una norma aplicable a cualquier sector, cualquiertamaño de empresa y cualquier país. El análisis de riesgos debe detallar losactivos necesarios para que el sistema de información de la empresa operecorrectamente y detectar cuales amenazas puede alterar su buen funcionamiento.Es conveniente familiarizase con la estructura de la norma para manejarla de laforma más ágil posible. Esta organiza doce secciones la primera es el análisis deriesgos, seguidamente las políticas de seguridad, cuatro secciones enfocadas adefinir las medidas organizativas de la empresa que apoyen la seguridad, lassiguientes se ocupan de aspectos tales como la seguridad de las comunicaciones,operaciones, acceso lógico y gestión adecuada de hardware y software por ultimola norma contempla la necesidad de gestionar adecuadamente medidas queaseguren el cumplimiento legal, regulatorio y contractual.Norma ISO 17799:2005: análisis y gestión de riesgos, política de seguridad,organización de la seguridad, gestión de activo, recursos humanos, seguridadfísica, gestión de comunicaciones y operaciones, control acceso, compra,desarrollo y mantenimiento de sistemas, gestión de incidentes de seguridad,gestión de la continuidad de negocio, conformidad legal.COSOEl control interno es un proceso, ejercicio por el consejo de administración de laentidad, los gestores y otro personal de la organización, diseño para proporcionarseguridad razonable respecto a la consecución de los objetivos en las siguientescategorías:Efectividad y eficiencia de las operacionesConfiabilidad de la información financieraCumplimiento con leyes y regulaciones
  • 6. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5COSO establece un conjunto de estos componentes:Ambiente internoEstablecimiento de objetivosIdentificación de eventosEvaluación de riesgoRespuesta al riesgoActividades de controlInformación y comunicaciónSupervisión.Existe una tercera dimensión al ámbito de aplicación:Entidad: relativo a una organización concreta en su conjunto siendo el más altonivel.División: conjunto de actividades relacionadas como negocios, líneas de producto.Unidad: considerado unitario en la organización empresarial encargado de unfunción, producto o misión concreta.Subsidiaria: organización dependiente de la organización principal. Estaseparación cobra especial importancia en el reporte financiero.Responsabilidades y uso de coso:Consejo de administración.Gestores.Otro personal.Auditores internos.Promete mejoras:Alinea la tolerancia al riesgo y la estrategia.Relaciona crecimiento, riesgo y retorno de la inversión.Amplia las decisiones de respuesta al riesgo.Identifica y gestiona riesgo en los distintos niveles de la entidad.Proporciona respuestas integradas a los múltiples riesgos.Mejora los sistemas de reporte. Ayuda asegurar el cumplimiento con leyes yreglamentos.
  • 7. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5COBIT 4.COBIT.- Control Objectives for Information and Related Technology, es unconjunto estructurado de buenas prácticas y metodologías para su aplicación,cuyo objetivo es facilitar el gobierno de las TSI.Proporcionando un marco de referencia que asegure que:Las TSI están alineadas con el negocio.Las TSI posibilitan la realización de la actividad de negocio al mismo tiempo quecontribuyen a la maximización de los beneficios.Los recursos de las TSI (humanos y técnicos) son utilizados de formaresponsable.Los riesgos de las TSI son gestionados y dirigidos adecuadamente.Se estructura en 34 objetivos de control de alto nivel, que están agrupados encuatro dominios de actividades típicas
  • 8. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5
  • 9. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5 En la implementación practica de COBIT, es necesario seguir un cierto orden:o Análisis y comprensión del contenido de COBIT.o Fundamentación de la utilidad de su implantación y comunicación a la dirección,accionistas y áreas afectadas.o Definir el valor que su implantación aportara.o Análisis y evaluación del riesgo.Las implantaciones de COBIT están realizando de forma exitosacomplementariamente con:o ITILo ISO 27001Es probablemente un modelo o herramienta un conjunto de buenas prácticas.Ninguna norma debe elevarse al pedestal de “verdad incontestable”.ITILInformation Technology Infrastructure Library; (Biblioteca para la Infraestructura delas Tecnologías de la Información TSI).Fue desarrollada por la Agencia Central de Computación y Telecomunicaciones(CCTA), de Gran Bretaña. Consta de un conjunto de libros publicados quepermiten mejorar la calidad de los servicios de TSI que presta una organización asus clientes.Cada uno de los libros:o Soporte de servicio
  • 10. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5o Provisión de servicioo Gestión de seguridado Perspectiva de negocioo Planificación para la implementación de los servicios de gestión.o Gestión de aplicacioneso Gestión de la infraestructura TSI* Diseño y planificación*Despliegue*Operaciones*Soporte técnicoITIL define los objetivos, las actividades y las entradas y salidas de los procesosde la organización TSI. Sin embargo, ITIL no brinda una descripción específica dela forma en la que se deben implementar estas actividades.Gestión de servicios: soporte de servicio, gestión del incidente, gestión delproblema, gestión de configuración, gestión del cambio, gestión de la entrega.Gestión de nivel de servicio, gestión financiera de servicios, gestión de lacapacidad, gestión de la disponibilidad.Ventajas de ITIL para el cliente/usuario: la provisión de servicios TSI se orientamás al cliente y los acuerdos sobre la calidad del servicio mejoran la relación entreel departamento TSI y el cliente. Se describen mejor los servicios, en lenguajemás cómodo para el cliente. Se manejan mejor la calidad y el coste del servicio.Mejora la comunicación con la organización TSI al acordar los puntos de contacto.Ventajas para la organización: desarrolla una estructura más clara. La direccióntiene más control y los cambios resultan más fáciles de manejar. Una estructurade proceso eficaz brinda un marco para concretar de manera más adecuada laexternalización de algunos de los elementos de los servicios.Beneficios al negocio: calidad mejorada global de las operaciones del negocio, alasegurar que los procesos de TSI son la base de los procesos del negocio.Soporte del negocio más fiable por gestión de incidencia, gestión del cambio ycentro de servicio. Incremento en la productividad del negocio y de la plantilla delcliente debido a que los servicios de TSI son más fiables y están disponibles.Beneficios financieros: infraestructura de TSI y servicios de TSI justificados encostes.
  • 11. UNIDAD 4 ENSAYO DE ESTANDARES EQUIPO 5SARBANES-OXLEYExige básicamente la existencia de un sistema de control interno sobre lainformación de manera tal que cualquiera actividad dentro del desarrollo de losdiferentes procesos de negocio de la empresa tuviera una ejecución no adecuadoa las practicas formales y controladas de la empresa, este evento pudiera serdetectado corregido de forma tal que garantice que el reporte financiero de lacompañía responde a un proceso formalmente aprobado y adecuadamentesupervisado.El objetivo principal de la Ley es que mediante el sistema de control interno sepueda dar garantía de validez a la información de estados financieros.Concebir un modelo en el cual se desarrollen como mínimo los siguientes pasos:El modelo SOX representa un esquema d soporte legal para una serie deactividades de control que deberían realizarse no por imperio de una ley, sino porla propia conciencia de control dentro de las organizaciones.