SlideShare a Scribd company logo

Normas ISO SC27 gestión seguridad TI

L
Lia Nakid

El documento describe los principios y procesos de normalización de la seguridad de la información. Se menciona que la normalización se lleva a cabo a través de organizaciones internacionales como ISO e IEC y que incluye el desarrollo de normas, técnicas, directrices, métricas y evaluaciones para garantizar la seguridad de los sistemas de información.

TechnologyBusiness
1 of 19
Download to read offline
Reglas Políticas guías Normas Prácticas definiciones Medidas organizativas Identificación de requisitos genéricos Papel en las TI Técnicas Desarrollo de técnicas y mecanismos Pasos para garantizar seguridad en los sistemas Desarrollo de guías de seguridad Cuestiones Pone de manifiesto que se lleva a cabo una administración competente Desarrollo del soporte de la gestión Norma Internacional (ISO/IEC) Normalización de algoritmos criptográficos IEC Comisión Electrotécnica Internacional SC 27 Informe Técnico Requisitos, servicios de seguridad y guías GT1 Comités Técnicos Mecanismos y técnicas de seguridad GT2 ISO Organización Internacional deNormalización Subcomités Criterios y evaluación de seguridad GT3 Grupos de Trabajo Normas de Seguridad de Tecnologías de información Organizaciones Grupos de Trabajo Servicios y controles de seguridad GT4 Normas europeas Gestión de identidad y privacidad GT5 CEN Comité Europeo de Normalización Especificaciones técnicas Apoyar difusión y uso denormas de seguridad SubcomitéISO/IEC JTC1/SC 27 Informes técnicos Apoyar integración de sectores público y privado AENOR Asociación Española de Normalización Canalizar normalización nacional e internacional Modo de actuación Gestión de seguridad en Información Apoyar desarrollo de normas de seguridad Gestión de Identidad y privacidad Mantener coherencia Normalización ISO/IEC SC27 Servicios y controles de seguridad Normas UNE relativas a la seguridad Hitos AEN/CTN 71/SC27 Técnicas y mecanismos Contribución a la normalización internacional Evaluación de seguridad de las TI Formación de posición común relativa al voto en los procedimientos Elaboración de proyectos normas nacionales UNE Papel de editor en proyectos de normas nacionales e internacionales Demandas de actuación Traducción de normas ISO/IEC para producción de normas UNE Reuniones internacionales SC27
Marco de normas de gestión de seguridad Sistemas de gestión de la seguridad Coherente con los principios generales del gobierno te TI Análisis y gestión de riesgos Coherente con principios de OCDE Controles y salvaguardas Principios Coherente con sistemas de gestión ISO 9001 Métricas Cobertura Coherente con las guías ISO Auditoría Marco de normas de gestión de seguridad de la información Directrices de implantación Normas relativas a sistemas de gestión de seguridad Difusión y concienciación Norma relativa de análisis y gestión de riesgos Otros aspectos Norma de métricas Servicios de fechado electrónico Normas Gestión de seguridad de la información Normas relativas a controles y salvaguardas algoritmos de cifrado simétricos Normas relativas a auditoría de gestión de seguridad Funciones hash criptográficas Directrices relativas a la difusión y concienciación de seguridad Autenticación de entidades Técnicas y mecanismos Otras normas necesarias para desarrollar áreas técnicas específicas Técnicas criptográficas basadas en curvas elípticas Amenazas identificadas Requisitos de módulos criptográficos Política de seguridad Gestión de claves Objetivos de seguridad Supuestos de seguridad Mecanismos de no repudio Requisitos funcionales Norma ISO/IEC Evaluation criteria for IT secutury Requisitos de aseguramiento Norma ISO/IEC Methodology for IT security Normas Norma ISO/IEC TR Guide for the production of protection rpofiles and security targets
Métrica Porcentaje de datos y operaciones críticas con frecuencia de backup establecida Propósito Evaluar el riesgo debido a backups insuficientes NIST 800-55 Fórmula Archivos críticos con backup establecido/ archivos que requieren backup Indicador % de archivos que requerían backup, copiados conforme a procedimientos Indicadores, métricas o medidas de seguridad Key Goal Indicators de lapso Indicadores Key Performance Indicators de forma CoBIT Rendimiento Medición de procesos Resultado Madurez Métricas de seguridad de la información Propósito Recoger, analizar y comunicar datos de SI Finalidad Conocer, evaluar y gestionar seguridad de SI Analizar y comprender el estado de la seguridad Métricas de gestión de la seguridad Controlar eficacia y eficiencia Permiten Predecir el tiempo y costo de un proyecto Mejorar la gestión de seguridad de la información Benchmarking de capacidad de procesos CMM, Balance scorrecard, métricas de análisis de riesgos Sistemas de monitorización CoBIT Definición de objetivos y métricas de procedimientos Activity goals
Entender requisitos de seguridad Implantar controles para gestionar riesgos Norma 27001 Controlar y revisar comportamiento y eficacia de SGSI Mejora continua basada en mediciones objetivas Métricas o medidas Alcance y objeto de la norma Verificar alcance de requisitos de seguridad Objeto Evaluar eficiencia de implantación Evaluar eficacia de sistema de gestión Proceso de medida Proporcioanr un estado de seguridad para revisión Comunicar el valor de la seguridad Visión general Aportación al plan de tratamiento de riesgos Derivada Base Tipos de medidas Cumplimiento Rendimiento Modelo Proceso de medición Identificación Requisitos de stakeholders Políticas de seguridad Cómo se desarrolla Selección de controles Establecimiento de prioridades Información necesaria Relación costo-beneficio Métricas de seguridad de la información Selección de controles y objetivos de control Auditorías internas o externas Medidas de gestión de la seguridad Evaluación y análisis de riesgos cuestionarios y preguntas Registro de acontecimientos Producción de registros, informes y pistas de auditoría Informes de incidentes Muestras estadísticas Pruebas Identificar y documentar participantes Estratégica Cuantitativa Razonable Cómo medir Interpretativa Cumplir criterios Verificable Evolutiva Útil Indivisible Repetible Controles y objetivos Objetivos de medición Objetos de negocio Documentar Medidas individuales Proceso de análisis de datos Proceso y formato de informes Funciones y responsabilidades de satakeholders Indicadores
Requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar su SGSI Favorece su desarrollo Gestión de riesgo Afianza la posición de la organización Tratamiento del riesgo Ante el mercado Potencia la imagen de marca Aceptación del riesgo Características Constituye un factor competitivo Análisis dle riesgo permite superar barreras técnicas Valoración del riesgo Fidelización y captación de nuevos clientes Evaluación del riesgo Se mejora comunicación con el cliente Riesgo residual Beneficios de sistemas de gestión Ante los clientes Mayor confianza al cliente Alcance Aumento de la satisfacción del cliente Política Conocimiento y depuración de los procesos internacionales Metodología para valoración de riesgo Mejora de procesos y servicios prestados Identificación de riesgos Establecimiento y gestión Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Análisis y evaluación de riesgos ISO 27001 Mejor gestión de los recursos Identificación de tratamientos del riesgo Estímulo para entrar en un proceso de mejora continua Selección de los controles Definir política de seguridad Plan de tratamiento del riesgo Establecer alcance de SGSI eficaciade dichos controles Plan Implantación y puesta en marcha SGSI Realizar análisis de riesgos programas de formación y concienciación Seleccionar los controles cultura de la seguridad Implantar plan de gestión de riesgos Procedimientos para control y revisión Modelo PDCA Do Implantar el SGSI Eficacia del SGSI Implantar los controles Auditorías de seguridad y mediciones Revisar internamente el SGSI Medidas correctivas y preventivas Control y evaluación Check Realizar auditorias internas del SGSI Procedimiento documentado Adoptar las acciones correctivas Sistema de registro Act Adoptar las acciones preventivas Anexos
TSI como recurso crítico Gestión y gobierno Resumen ejecutivo Procesos externalizados Introducción Esquema Elementos externos en la gestión Estructura Legislación y normas sectoriales Contenido central El riesgo de las TSI Apéndices Las TSI están alineadas con el negocio Efectividad o eficacia Las TSI posibilitan la realización de la actividad del negocio Eficiencia Marco de referencia Los recursos de TSI son utilizados de forma responsable Confidencialidad Los riesgos de TSI son gestionados adecuadamente Requerimientos del negocio Integridad Planificar y organizar Disponibilidad Adquirir e implementar Cumplimiento Dominios Confiabilidad Entregar y dar soporte Monitorizar y evaluar Aplicaciones Información Ayuda al gobierno de TSI en su globalidad Recursos de TSI afectados CoBIT 7 Infraestructura Normas complementarias para elementos puntuales de TSI Personal Los riesgos provienen de muchos casos Alineación estratégica La aplicación de CoBIT debe realizarse si el esquema es eficiente Entrega y servicio que añada valor Los criterios y procesos no deben ser rígidos Aplicación Áreas Centrales para el gobierno de TSI Gestión de recursos CoBIT 4 no incluye detalles técnicos sobre determinadas plataformas Gestión del riesgo Su implantación puee ser apoyada por auditoría Apartados Medición del rendimiento CoBIT puede ser aplicada a todas las empresas Objetivos de control del detalle Debe permitir el crecimiento controlado de TSI Directrices de gestión A. Análisis y comprensión del contenido de CoBit Responsabilidades de los distintos niveles de Dirección y gerencia B. Fundamentación de la utilidad Objetivos de actividad C. Definir el valor que aportará Orden de implementación Objetivos de procesos D. Análisis y evaluación del riesgo Cuadro de objetivos y métricas aplicables Indicadores clave de rendimiento E. Definición de los dominios, procesos y actividades de TSI Objetivos de TSI Indicadores de objetivos clave de procesos F.Definición de los controles a implantar Indicafores de objetivos clave de TSI 0-No existente 1-Inicial 2- Repetible Modelo de madurez 3-Definido 4-Gestionado 5-Optimizado
Diseño y planificación Despliegue Gestión de la infraestrctura TI Operaciones Soporte técnico Gestión de aplicaciones Planificación para la aplicación de los servicios de gestión Gestión de incidentes La provisión se orienta más al cliente Gestión de problemas Se describen mejor los servicios Centro de servicios Cliente/Usuario Se manejan mejor la calidad y costo Gestión de cambios Mejora la comunicación con la organización Objetivos La org desarrolla una estructura más clara y eficaz Alcance La dirección tiene más control Organización Elementos de configuración Conceptos básicos Brinda un marco para concretar adecuadamente la externalización Base de datos Calidad global mejorada Planificación Soporte del negocio más fiable Identificación Clientes saben qué esperar Actividades Control incremento en la productividad Negocio Monitorización Procedimietos de continuidad dle servicio de acuerdo a las necesidades del negocio Soporte del servicio Verificación y auditorías Mejores relaciones de trabajo entre los clientes y el proveedor Gestión del incidente Gestión de configuración Sarisfacción del cliente Gestión del problema Beneficios ITIL Libros Infraestructura de TSI y servicios justificados en costos Gestión dle cambio Financieros Gestión de servicios Beneficios financieros a largo plazo Gestión de la versión La plantilla sabe que esperar de las TSI Procesos relacionados Gestión de nivel de servicios Mayor productividad Empleado Gestión financiera Visibilidad y reputación mejorada del departamento de TSI Gestión de la disponibilidad Comprensión más clara de requisitos Gestión de la continuidad Mejor información sobre servicios actuales Gestión de la capacidad Innovación Mayor flexibilidad para el negocio Costos Capacidad mejorara para reconocer tendencias al cambio Problemas Métricas e informes mejorados Gestión de versiones Mejor información sobre los servicios actuales Gestión de niveles de servicio Comunicaciones mejoradas y trabajo inter-equipos Internos Presupuestación Roles y responsabilidades claramente definidos Gestión financiera Contabilidad de TSI Visión más clara de la capacidad de TSI Entrega del servicio Cargos Gestión de la capacidad Gestión de continuidad Gestión de la disponibilidad Gestión de seguridad Perspectiva de negocio Soporte de Servicio Provisión de Servicio
Alcance Términos y definiciones Requisitos de un Sistema de Gestión Planificación e Implementación de la Gestión del Servicio Gestión de Nivel del servicio Generación de informes del servicio Gestión de la continuidad y disponibilidad del servicio Procesos de Provisión de Servicio Presupuestar y contabilizar servicios de TSI Gestión de la capacidad Parte 1. Especificación UNE-ISO/IEC 20000 Gestión de seguridad de la información Gestión de Relaciones con el negocio Procesos de relación Gestión de suministradores Gestión del incidente Procesos de resolución Gestión del problema Subtema Gestión de configuración Procesos de control Gestión del cambio Proceso de entrega de versiones Proceso de gestión d entrega Parte 2. Código de prácticas Guías y recomendaciones relativas a las buenas prácticas de gestión del servicio.
Cuentas significativas Riesgos del negocio y su impacto en el proceso Características Procesos significativos en su impacto en estados contables EL flujo de transacciones Procesos de TSI vinculados Identificar El desarrollo del proceso de cierre Implantación de sistema de control Procesos y controles automatizados dentro de las actividades del negocio Impacto Funciones específicas de TSI Todas las transacciones están autorizadas Desarrollo de aplicaciones Los activos están protegidos contra el uso no autorizado Control de cambios a producción Clasificación de procesos Las transacciones están correctamente registradas Actividades de explotación de sistemas Sección 404 Declaración de responsabilidad sobre la estructura de control Accesos a programas y datos Identificación del marco de operación Identificar las partidas significativas de los estados financieros Exige a la dirección Relice y documente evaluación de efectividad Identificar las posibles aserciones erróneas Aspecto específico de TSI Principales secciones Su informe sea refrendado por el auditor externo Identificar las aserciones acertadas para evaluar la complejidad de sistemas Revisar el informe que se presenta Modelo de gestión del programa de actividades de desarrollo Los estados financieros básicos y la información financiera adicional Gestión de proyectos Ejecutivos certificadores son responsables del establecimiento de controles Análisis y diseño Sección 302 Todos los certificadores han evaluado la efectividad de los controles Procedimientos de selección de paquetes SW/HW Desarrollo de aplicaciones Presentar conlcusiones respecto a la eficacia de los controles Pruebas y aseguramiento de la calidad Informar a auditores independientes las deficiencias significativas Planificación y ejecución de la conversión de datos Sarbanes-Oxley Controles de "Entity-level" Documentación de usuario y técnica y formación Controles de TSI Controles de aplicación Gestión del programa de actividades Controles generales de TSI Pasos especificados, con autorización y seguimiento Controles en construcción Cambios a programas Remota Desarrollo de pruebas Probabilidad de ocurrencia Posible Autorización del paso al entorno de producción Probable Documentación técnoca y de usuario y formación Controles típicos de TSI Intrascendente Existencia de políticas y procedimientos Deficiencias detectadas en el sistema Volumen de error potencial Trascendente Modelo de organización y estión Material Modelo de gestión de la seguridad de las aplicaciones Significativa Modelo de gestión de la seguridad de los datos Niveles de deficiencias Acceso a programas y datos Material Seguridad de la red interna Seguridad de la red perimentral Seguridad física Modelo de gestión de sistemas operativos Existencia de políticas y procedimientos Modelo de organización y gestión Planificación y ejecución de procesos batch Operaciones Gestión de copias de seguridad Procedimientos de recuperación de fallos operativos
Discutir estado de riesgos Alinea la tolerancia al riesgo y la estrategia Consejo de administración Garantizar y evaluar riesgos Relaicona crecimiento, riesgo y retorno de inversión Tomar en cuenta la información de riesgos Amplía las decisiones de respuesta al riesgo Gestión del riesgo Identifica y gestiona riesgos en los distintos niveles Gestores Implantar mecanismos de supervisión Proporciona respuestas integradas a los múltiples riesgos Beneficios Responsabilidades Supervisar riesgos Aprovecha estratégicamente las oportunidades Actividades de control Informa a gestores de riesgos y consejo para establecer supervisión Otro personal Transmitir información que afecte al sistema Ayuda a organizaciones a lograr objetivos y evitar pérdidas COSO Evaluación de riesgos Mejora los sistemas de reporte Auditores internos Recomendaciones de mejoras Ayuda a asegurar el cumplimiento con leyes y reglamentos Implantación de ERM Resuelve todo y con él se pueden tomar deciones básicas Asegurar ligación entre planes y operaciones de TSI Alineamiento estratégico Sólo sirve para catalogar o tomar inventario de riesgos Ejecución del valor aportado por las TSI Entrega de valor COSO y CoBIT Mitos Ofrece un sistema por el cual los reultados son infalibles Utilización efectiva y eficiente de recursos Gestión de recursos ERM versa sobre asuntos financieros y seguros Procesos de medición de objetivos y alineamiento Medición del desempeño Es un modelo muy costoso de implementar
Favorece su desarrollo Requisitos del SGSI Afianza la posición de la organización Gestión de riesgo Ante el mercado Potencia la imagen de marca Tratamiento del riesgo Constituye un factor competitivo Aceptación del riesgo Permite superar barreras técnicas Características Análisis del riesgo Fidelización y captación de nuevos clientes Valoración del riesgo Se mejora comunicación con el cliente Beneficios de sistemas de gestión Ante los clientes Evaluación del riesgo Mayor confianza al cliente Riesgo residual Aumento de la satisfacción del cliente Alcance Conocimiento y depuración de los procesos internacionales Política Mejora de procesos y servicios prestados Valoración de riesgo Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Identificaión de riesgos Establecimiento y gestión Mejor gestión de los recursos ISO 27001 Análisis y evaluación Estímulo para entrar en un proceso de mejora continua Identificación de tratamientos de riesgo Definir políticas de seguridad Selección de controles Establecer alcance de SGSI Plan Plan de tratamiento del riesgo Realizar análisis de riesgos Eficacia de dichos controles Seleccionar los controles Implantación y puesta en marcha SGSI Programas de formación y concienciación Implantar plan de gestión de riesgos Cultura de la seguridad Modelo PDCA Do Implantar el SGSI Procedimientos para control y revisión Implantar los controles Eficacia del SGSI Revisar internamente el SGSI Check Auditorías de seguridad y mediciones Realizar auditorías internas del SGSI Medidas correctivas y preventivas Control y evaluación Adoptar las acciones correctivas Act Procedimiento documentado Adoptar las acciones preventivas Sistema de registro Anexos
Recursos Humanos Política de Seguridad Gestión de Activos Organización de Seguridad Análisis y gestión de riesgos Conceptos Norma ISO 17799 Conformidad legal Seguridad Física Compras, desarrollo y mantenimiento de sistemas Control de acceso Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones
Normas ISO SC27 gestión seguridad TI
Normas ISO SC27 gestión seguridad TI
Normas ISO SC27 gestión seguridad TI
Normas ISO SC27 gestión seguridad TI
Normas ISO SC27 gestión seguridad TI
Normas ISO SC27 gestión seguridad TI
Normas ISO SC27 gestión seguridad TI

Recommended

Caso De Exito
Caso De ExitoCaso De Exito
Caso De Exitoguest6b04e5
 
ISO/IEC 27001
ISO/IEC 27001ISO/IEC 27001
ISO/IEC 27001JorgeGratis
 
Interpretac iso 9001 p1
Interpretac iso 9001 p1Interpretac iso 9001 p1
Interpretac iso 9001 p1Andrea Castro
 
Herramientas estadísticas en el control de calidad
Herramientas estadísticas en el control de calidadHerramientas estadísticas en el control de calidad
Herramientas estadísticas en el control de calidadcelinaruizmorales
 
Manual de Usuario
Manual de UsuarioManual de Usuario
Manual de UsuarioSoledad0
 
Marco conceptual del plan operativo con enfoque estratégico.
Marco conceptual del plan operativo con enfoque estratégico.Marco conceptual del plan operativo con enfoque estratégico.
Marco conceptual del plan operativo con enfoque estratégico.viluvedu
 
Material modulo auditoria del c. i. completo
Material modulo auditoria del c. i. completoMaterial modulo auditoria del c. i. completo
Material modulo auditoria del c. i. completoFernando Rada
 
Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...
Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...
Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...viluvedu
 

Recommended

Caso De Exito
Caso De ExitoCaso De Exito
Caso De Exitoguest6b04e5
 
ISO/IEC 27001
ISO/IEC 27001ISO/IEC 27001
ISO/IEC 27001JorgeGratis
 
Interpretac iso 9001 p1
Interpretac iso 9001 p1Interpretac iso 9001 p1
Interpretac iso 9001 p1Andrea Castro
 
Herramientas estadísticas en el control de calidad
Herramientas estadísticas en el control de calidadHerramientas estadísticas en el control de calidad
Herramientas estadísticas en el control de calidadcelinaruizmorales
 
Manual de Usuario
Manual de UsuarioManual de Usuario
Manual de UsuarioSoledad0
 
Marco conceptual del plan operativo con enfoque estratégico.
Marco conceptual del plan operativo con enfoque estratégico.Marco conceptual del plan operativo con enfoque estratégico.
Marco conceptual del plan operativo con enfoque estratégico.viluvedu
 
Material modulo auditoria del c. i. completo
Material modulo auditoria del c. i. completoMaterial modulo auditoria del c. i. completo
Material modulo auditoria del c. i. completoFernando Rada
 
Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...
Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...
Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...viluvedu
 
Normas tecnicas peruanas sobre ti
Normas tecnicas peruanas sobre tiNormas tecnicas peruanas sobre ti
Normas tecnicas peruanas sobre tiMiguelOncebay2
 
Plan TIM Mineduc
Plan TIM MineducPlan TIM Mineduc
Plan TIM MineducModernizacion y Gobierno Digital - Gobierno de Chile
 
Primer trabajo calidad
Primer trabajo calidadPrimer trabajo calidad
Primer trabajo calidadRolySteveRiveraFernn
 
Tarea 1 sistema calidad carlos
Tarea 1 sistema calidad carlosTarea 1 sistema calidad carlos
Tarea 1 sistema calidad carlosCarlosRobertoDelgado
 
Sistema de Gestión de Calidad
Sistema de Gestión de CalidadSistema de Gestión de Calidad
Sistema de Gestión de CalidadRicardoAlba15
 
Robert orellana espinoza Mapa sistema
Robert orellana espinoza Mapa sistema Robert orellana espinoza Mapa sistema
Robert orellana espinoza Mapa sistema korn_6363
 
Corporate governance of information technology
Corporate governance of information technologyCorporate governance of information technology
Corporate governance of information technologyPatricio R
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Tarea 1 fiorella julca pillman
Tarea 1 fiorella julca pillmanTarea 1 fiorella julca pillman
Tarea 1 fiorella julca pillmanFiorellaJulcaPillman
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsEOI Escuela de Organización Industrial
 
Normas Técnicas
Normas TécnicasNormas Técnicas
Normas Técnicasaom91
 
Primera tarea-SGC
Primera tarea-SGCPrimera tarea-SGC
Primera tarea-SGCkellyMyrella
 
Esquema Metodologico De Proyectos De Negocio
Esquema Metodologico De Proyectos De NegocioEsquema Metodologico De Proyectos De Negocio
Esquema Metodologico De Proyectos De NegocioCanek Riestra
 
Ciclo de vida del desarrollo de sistemas
Ciclo de vida del desarrollo de sistemasCiclo de vida del desarrollo de sistemas
Ciclo de vida del desarrollo de sistemasRick_Ruso
 
Normas tecnicas peruanas
Normas tecnicas peruanasNormas tecnicas peruanas
Normas tecnicas peruanasGloriaOrbegoso
 
Normas
NormasNormas
NormasSteven
 
Taller 2.
Taller 2.Taller 2.
Taller 2.MARILYZULETAROJAS
 
Curso Gerencia De Servicios Mod. Ii Estrategia
Curso Gerencia De Servicios Mod. Ii EstrategiaCurso Gerencia De Servicios Mod. Ii Estrategia
Curso Gerencia De Servicios Mod. Ii EstrategiaHernán Ortiz Arturo
 
Iram iso 9000
Iram iso 9000Iram iso 9000
Iram iso 9000UNR.Facultad de Cs. Ecs y Estadísticas de Rosario.
 
Ensayo Outsourcing2
Ensayo Outsourcing2Ensayo Outsourcing2
Ensayo Outsourcing2Lia Nakid
 
Caso Pink
Caso PinkCaso Pink
Caso PinkLia Nakid
 

More Related Content

Similar to Normas ISO SC27 gestión seguridad TI

Normas tecnicas peruanas sobre ti
Normas tecnicas peruanas sobre tiNormas tecnicas peruanas sobre ti
Normas tecnicas peruanas sobre tiMiguelOncebay2
 
Sistema de Gestión de Calidad
Sistema de Gestión de CalidadSistema de Gestión de Calidad
Sistema de Gestión de CalidadRicardoAlba15
 
Robert orellana espinoza Mapa sistema
Robert orellana espinoza Mapa sistema Robert orellana espinoza Mapa sistema
Robert orellana espinoza Mapa sistema korn_6363
 
Corporate governance of information technology
Corporate governance of information technologyCorporate governance of information technology
Corporate governance of information technologyPatricio R
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónvryancceall
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
Normas Técnicas
Normas TécnicasNormas Técnicas
Normas Técnicasaom91
 
Esquema Metodologico De Proyectos De Negocio
Esquema Metodologico De Proyectos De NegocioEsquema Metodologico De Proyectos De Negocio
Esquema Metodologico De Proyectos De NegocioCanek Riestra
 
Ciclo de vida del desarrollo de sistemas
Ciclo de vida del desarrollo de sistemasCiclo de vida del desarrollo de sistemas
Ciclo de vida del desarrollo de sistemasRick_Ruso
 
Normas tecnicas peruanas
Normas tecnicas peruanasNormas tecnicas peruanas
Normas tecnicas peruanasGloriaOrbegoso
 
Normas
NormasNormas
NormasSteven
 
Curso Gerencia De Servicios Mod. Ii Estrategia
Curso Gerencia De Servicios Mod. Ii EstrategiaCurso Gerencia De Servicios Mod. Ii Estrategia
Curso Gerencia De Servicios Mod. Ii EstrategiaHernán Ortiz Arturo
 

Similar to Normas ISO SC27 gestión seguridad TI (20)

Normas tecnicas peruanas sobre ti
Normas tecnicas peruanas sobre tiNormas tecnicas peruanas sobre ti
Normas tecnicas peruanas sobre ti
 
Plan TIM Mineduc
Plan TIM MineducPlan TIM Mineduc
Plan TIM Mineduc
 
Primer trabajo calidad
Primer trabajo calidadPrimer trabajo calidad
Primer trabajo calidad
 
Tarea 1 sistema calidad carlos
Tarea 1 sistema calidad carlosTarea 1 sistema calidad carlos
Tarea 1 sistema calidad carlos
 
Sistema de Gestión de Calidad
Sistema de Gestión de CalidadSistema de Gestión de Calidad
Sistema de Gestión de Calidad
 
Robert orellana espinoza Mapa sistema
Robert orellana espinoza Mapa sistema Robert orellana espinoza Mapa sistema
Robert orellana espinoza Mapa sistema
 
Corporate governance of information technology
Corporate governance of information technologyCorporate governance of information technology
Corporate governance of information technology
 
Normas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de informaciónNormas generales para la auditoría de sistemas de información
Normas generales para la auditoría de sistemas de información
 
Tarea 1 fiorella julca pillman
Tarea 1 fiorella julca pillmanTarea 1 fiorella julca pillman
Tarea 1 fiorella julca pillman
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
 
Normas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICsNormas (estándares) ISO relativas a TICs
Normas (estándares) ISO relativas a TICs
 
Normas Técnicas
Normas TécnicasNormas Técnicas
Normas Técnicas
 
Primera tarea-SGC
Primera tarea-SGCPrimera tarea-SGC
Primera tarea-SGC
 
Esquema Metodologico De Proyectos De Negocio
Esquema Metodologico De Proyectos De NegocioEsquema Metodologico De Proyectos De Negocio
Esquema Metodologico De Proyectos De Negocio
 
Ciclo de vida del desarrollo de sistemas
Ciclo de vida del desarrollo de sistemasCiclo de vida del desarrollo de sistemas
Ciclo de vida del desarrollo de sistemas
 
Normas tecnicas peruanas
Normas tecnicas peruanasNormas tecnicas peruanas
Normas tecnicas peruanas
 
Normas
NormasNormas
Normas
 
Taller 2.
Taller 2.Taller 2.
Taller 2.
 
Curso Gerencia De Servicios Mod. Ii Estrategia
Curso Gerencia De Servicios Mod. Ii EstrategiaCurso Gerencia De Servicios Mod. Ii Estrategia
Curso Gerencia De Servicios Mod. Ii Estrategia
 
Iram iso 9000
Iram iso 9000Iram iso 9000
Iram iso 9000
 

More from Lia Nakid

Ensayo Outsourcing2
Ensayo Outsourcing2Ensayo Outsourcing2
Ensayo Outsourcing2Lia Nakid
 
Ati Eq6 Exp Itil Y La Norma Une Iso
Ati Eq6 Exp Itil Y La Norma Une IsoAti Eq6 Exp Itil Y La Norma Une Iso
Ati Eq6 Exp Itil Y La Norma Une IsoLia Nakid
 
Mapas Mentales Outsourcing
Mapas Mentales OutsourcingMapas Mentales Outsourcing
Mapas Mentales OutsourcingLia Nakid
 
Mapas Mentales Outsourcing
Mapas Mentales OutsourcingMapas Mentales Outsourcing
Mapas Mentales OutsourcingLia Nakid
 
No Es Outsourcing Porque
No Es Outsourcing PorqueNo Es Outsourcing Porque
No Es Outsourcing PorqueLia Nakid
 
Ati Eq6 T2 Estrategia Tecnologica Tienda Virtual
Ati Eq6 T2 Estrategia Tecnologica Tienda VirtualAti Eq6 T2 Estrategia Tecnologica Tienda Virtual
Ati Eq6 T2 Estrategia Tecnologica Tienda VirtualLia Nakid
 
Ati Eq6 T3 Estrategia Tecnologica Empresa PequeñA
Ati Eq6 T3 Estrategia Tecnologica Empresa PequeñAAti Eq6 T3 Estrategia Tecnologica Empresa PequeñA
Ati Eq6 T3 Estrategia Tecnologica Empresa PequeñALia Nakid
 
Map Cap4.Metodos Pronostico
Map Cap4.Metodos PronosticoMap Cap4.Metodos Pronostico
Map Cap4.Metodos PronosticoLia Nakid
 
Ati Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióN
Ati Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióNAti Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióN
Ati Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióNLia Nakid
 
Caso Orbitel[1]
Caso Orbitel[1]Caso Orbitel[1]
Caso Orbitel[1]Lia Nakid
 
Paquete TecnolóGico Dell
Paquete TecnolóGico DellPaquete TecnolóGico Dell
Paquete TecnolóGico DellLia Nakid
 
Sample Technology Plan1
Sample Technology Plan1Sample Technology Plan1
Sample Technology Plan1Lia Nakid
 
Ati Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGico
Ati Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGicoAti Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGico
Ati Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGicoLia Nakid
 
El Proceso De PlaneacióN TecnolóGica
El Proceso De PlaneacióN TecnolóGicaEl Proceso De PlaneacióN TecnolóGica
El Proceso De PlaneacióN TecnolóGicaLia Nakid
 
Informe Final
Informe FinalInforme Final
Informe FinalLia Nakid
 
Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]
Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]
Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]Lia Nakid
 
Gep2009 Eq9 T13 Pre Hallows EjecucióN Del Proyecto
Gep2009 Eq9 T13 Pre Hallows EjecucióN Del ProyectoGep2009 Eq9 T13 Pre Hallows EjecucióN Del Proyecto
Gep2009 Eq9 T13 Pre Hallows EjecucióN Del ProyectoLia Nakid
 

More from Lia Nakid (20)

Ensayo Outsourcing2
Ensayo Outsourcing2Ensayo Outsourcing2
Ensayo Outsourcing2
 
Caso Pink
Caso PinkCaso Pink
Caso Pink
 
Ati Eq6 Exp Itil Y La Norma Une Iso
Ati Eq6 Exp Itil Y La Norma Une IsoAti Eq6 Exp Itil Y La Norma Une Iso
Ati Eq6 Exp Itil Y La Norma Une Iso
 
Mapas Mentales Outsourcing
Mapas Mentales OutsourcingMapas Mentales Outsourcing
Mapas Mentales Outsourcing
 
Mapas Mentales Outsourcing
Mapas Mentales OutsourcingMapas Mentales Outsourcing
Mapas Mentales Outsourcing
 
No Es Outsourcing Porque
No Es Outsourcing PorqueNo Es Outsourcing Porque
No Es Outsourcing Porque
 
Ati Eq6 T2 Estrategia Tecnologica Tienda Virtual
Ati Eq6 T2 Estrategia Tecnologica Tienda VirtualAti Eq6 T2 Estrategia Tecnologica Tienda Virtual
Ati Eq6 T2 Estrategia Tecnologica Tienda Virtual
 
Ati Eq6 T3 Estrategia Tecnologica Empresa PequeñA
Ati Eq6 T3 Estrategia Tecnologica Empresa PequeñAAti Eq6 T3 Estrategia Tecnologica Empresa PequeñA
Ati Eq6 T3 Estrategia Tecnologica Empresa PequeñA
 
Map Cap4.Metodos Pronostico
Map Cap4.Metodos PronosticoMap Cap4.Metodos Pronostico
Map Cap4.Metodos Pronostico
 
Ati Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióN
Ati Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióNAti Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióN
Ati Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióN
 
Caso Orbitel[1]
Caso Orbitel[1]Caso Orbitel[1]
Caso Orbitel[1]
 
Paquete TecnolóGico Dell
Paquete TecnolóGico DellPaquete TecnolóGico Dell
Paquete TecnolóGico Dell
 
Sample Technology Plan1
Sample Technology Plan1Sample Technology Plan1
Sample Technology Plan1
 
Ati Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGico
Ati Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGicoAti Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGico
Ati Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGico
 
El Proceso De PlaneacióN TecnolóGica
El Proceso De PlaneacióN TecnolóGicaEl Proceso De PlaneacióN TecnolóGica
El Proceso De PlaneacióN TecnolóGica
 
Informe Final
Informe FinalInforme Final
Informe Final
 
Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]
Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]
Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]
 
Gep2009 Eq9 T13 Pre Hallows EjecucióN Del Proyecto
Gep2009 Eq9 T13 Pre Hallows EjecucióN Del ProyectoGep2009 Eq9 T13 Pre Hallows EjecucióN Del Proyecto
Gep2009 Eq9 T13 Pre Hallows EjecucióN Del Proyecto
 
Capitulo 3
Capitulo 3Capitulo 3
Capitulo 3
 
Capitulo 2
Capitulo 2Capitulo 2
Capitulo 2
 

Recently uploaded

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 

Recently uploaded (13)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 

Normas ISO SC27 gestión seguridad TI

  • 1. Reglas Políticas guías Normas Prácticas definiciones Medidas organizativas Identificación de requisitos genéricos Papel en las TI Técnicas Desarrollo de técnicas y mecanismos Pasos para garantizar seguridad en los sistemas Desarrollo de guías de seguridad Cuestiones Pone de manifiesto que se lleva a cabo una administración competente Desarrollo del soporte de la gestión Norma Internacional (ISO/IEC) Normalización de algoritmos criptográficos IEC Comisión Electrotécnica Internacional SC 27 Informe Técnico Requisitos, servicios de seguridad y guías GT1 Comités Técnicos Mecanismos y técnicas de seguridad GT2 ISO Organización Internacional deNormalización Subcomités Criterios y evaluación de seguridad GT3 Grupos de Trabajo Normas de Seguridad de Tecnologías de información Organizaciones Grupos de Trabajo Servicios y controles de seguridad GT4 Normas europeas Gestión de identidad y privacidad GT5 CEN Comité Europeo de Normalización Especificaciones técnicas Apoyar difusión y uso denormas de seguridad SubcomitéISO/IEC JTC1/SC 27 Informes técnicos Apoyar integración de sectores público y privado AENOR Asociación Española de Normalización Canalizar normalización nacional e internacional Modo de actuación Gestión de seguridad en Información Apoyar desarrollo de normas de seguridad Gestión de Identidad y privacidad Mantener coherencia Normalización ISO/IEC SC27 Servicios y controles de seguridad Normas UNE relativas a la seguridad Hitos AEN/CTN 71/SC27 Técnicas y mecanismos Contribución a la normalización internacional Evaluación de seguridad de las TI Formación de posición común relativa al voto en los procedimientos Elaboración de proyectos normas nacionales UNE Papel de editor en proyectos de normas nacionales e internacionales Demandas de actuación Traducción de normas ISO/IEC para producción de normas UNE Reuniones internacionales SC27
  • 2. Marco de normas de gestión de seguridad Sistemas de gestión de la seguridad Coherente con los principios generales del gobierno te TI Análisis y gestión de riesgos Coherente con principios de OCDE Controles y salvaguardas Principios Coherente con sistemas de gestión ISO 9001 Métricas Cobertura Coherente con las guías ISO Auditoría Marco de normas de gestión de seguridad de la información Directrices de implantación Normas relativas a sistemas de gestión de seguridad Difusión y concienciación Norma relativa de análisis y gestión de riesgos Otros aspectos Norma de métricas Servicios de fechado electrónico Normas Gestión de seguridad de la información Normas relativas a controles y salvaguardas algoritmos de cifrado simétricos Normas relativas a auditoría de gestión de seguridad Funciones hash criptográficas Directrices relativas a la difusión y concienciación de seguridad Autenticación de entidades Técnicas y mecanismos Otras normas necesarias para desarrollar áreas técnicas específicas Técnicas criptográficas basadas en curvas elípticas Amenazas identificadas Requisitos de módulos criptográficos Política de seguridad Gestión de claves Objetivos de seguridad Supuestos de seguridad Mecanismos de no repudio Requisitos funcionales Norma ISO/IEC Evaluation criteria for IT secutury Requisitos de aseguramiento Norma ISO/IEC Methodology for IT security Normas Norma ISO/IEC TR Guide for the production of protection rpofiles and security targets
  • 3. Métrica Porcentaje de datos y operaciones críticas con frecuencia de backup establecida Propósito Evaluar el riesgo debido a backups insuficientes NIST 800-55 Fórmula Archivos críticos con backup establecido/ archivos que requieren backup Indicador % de archivos que requerían backup, copiados conforme a procedimientos Indicadores, métricas o medidas de seguridad Key Goal Indicators de lapso Indicadores Key Performance Indicators de forma CoBIT Rendimiento Medición de procesos Resultado Madurez Métricas de seguridad de la información Propósito Recoger, analizar y comunicar datos de SI Finalidad Conocer, evaluar y gestionar seguridad de SI Analizar y comprender el estado de la seguridad Métricas de gestión de la seguridad Controlar eficacia y eficiencia Permiten Predecir el tiempo y costo de un proyecto Mejorar la gestión de seguridad de la información Benchmarking de capacidad de procesos CMM, Balance scorrecard, métricas de análisis de riesgos Sistemas de monitorización CoBIT Definición de objetivos y métricas de procedimientos Activity goals
  • 4. Entender requisitos de seguridad Implantar controles para gestionar riesgos Norma 27001 Controlar y revisar comportamiento y eficacia de SGSI Mejora continua basada en mediciones objetivas Métricas o medidas Alcance y objeto de la norma Verificar alcance de requisitos de seguridad Objeto Evaluar eficiencia de implantación Evaluar eficacia de sistema de gestión Proceso de medida Proporcioanr un estado de seguridad para revisión Comunicar el valor de la seguridad Visión general Aportación al plan de tratamiento de riesgos Derivada Base Tipos de medidas Cumplimiento Rendimiento Modelo Proceso de medición Identificación Requisitos de stakeholders Políticas de seguridad Cómo se desarrolla Selección de controles Establecimiento de prioridades Información necesaria Relación costo-beneficio Métricas de seguridad de la información Selección de controles y objetivos de control Auditorías internas o externas Medidas de gestión de la seguridad Evaluación y análisis de riesgos cuestionarios y preguntas Registro de acontecimientos Producción de registros, informes y pistas de auditoría Informes de incidentes Muestras estadísticas Pruebas Identificar y documentar participantes Estratégica Cuantitativa Razonable Cómo medir Interpretativa Cumplir criterios Verificable Evolutiva Útil Indivisible Repetible Controles y objetivos Objetivos de medición Objetos de negocio Documentar Medidas individuales Proceso de análisis de datos Proceso y formato de informes Funciones y responsabilidades de satakeholders Indicadores
  • 5. Requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar su SGSI Favorece su desarrollo Gestión de riesgo Afianza la posición de la organización Tratamiento del riesgo Ante el mercado Potencia la imagen de marca Aceptación del riesgo Características Constituye un factor competitivo Análisis dle riesgo permite superar barreras técnicas Valoración del riesgo Fidelización y captación de nuevos clientes Evaluación del riesgo Se mejora comunicación con el cliente Riesgo residual Beneficios de sistemas de gestión Ante los clientes Mayor confianza al cliente Alcance Aumento de la satisfacción del cliente Política Conocimiento y depuración de los procesos internacionales Metodología para valoración de riesgo Mejora de procesos y servicios prestados Identificación de riesgos Establecimiento y gestión Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Análisis y evaluación de riesgos ISO 27001 Mejor gestión de los recursos Identificación de tratamientos del riesgo Estímulo para entrar en un proceso de mejora continua Selección de los controles Definir política de seguridad Plan de tratamiento del riesgo Establecer alcance de SGSI eficaciade dichos controles Plan Implantación y puesta en marcha SGSI Realizar análisis de riesgos programas de formación y concienciación Seleccionar los controles cultura de la seguridad Implantar plan de gestión de riesgos Procedimientos para control y revisión Modelo PDCA Do Implantar el SGSI Eficacia del SGSI Implantar los controles Auditorías de seguridad y mediciones Revisar internamente el SGSI Medidas correctivas y preventivas Control y evaluación Check Realizar auditorias internas del SGSI Procedimiento documentado Adoptar las acciones correctivas Sistema de registro Act Adoptar las acciones preventivas Anexos
  • 6. TSI como recurso crítico Gestión y gobierno Resumen ejecutivo Procesos externalizados Introducción Esquema Elementos externos en la gestión Estructura Legislación y normas sectoriales Contenido central El riesgo de las TSI Apéndices Las TSI están alineadas con el negocio Efectividad o eficacia Las TSI posibilitan la realización de la actividad del negocio Eficiencia Marco de referencia Los recursos de TSI son utilizados de forma responsable Confidencialidad Los riesgos de TSI son gestionados adecuadamente Requerimientos del negocio Integridad Planificar y organizar Disponibilidad Adquirir e implementar Cumplimiento Dominios Confiabilidad Entregar y dar soporte Monitorizar y evaluar Aplicaciones Información Ayuda al gobierno de TSI en su globalidad Recursos de TSI afectados CoBIT 7 Infraestructura Normas complementarias para elementos puntuales de TSI Personal Los riesgos provienen de muchos casos Alineación estratégica La aplicación de CoBIT debe realizarse si el esquema es eficiente Entrega y servicio que añada valor Los criterios y procesos no deben ser rígidos Aplicación Áreas Centrales para el gobierno de TSI Gestión de recursos CoBIT 4 no incluye detalles técnicos sobre determinadas plataformas Gestión del riesgo Su implantación puee ser apoyada por auditoría Apartados Medición del rendimiento CoBIT puede ser aplicada a todas las empresas Objetivos de control del detalle Debe permitir el crecimiento controlado de TSI Directrices de gestión A. Análisis y comprensión del contenido de CoBit Responsabilidades de los distintos niveles de Dirección y gerencia B. Fundamentación de la utilidad Objetivos de actividad C. Definir el valor que aportará Orden de implementación Objetivos de procesos D. Análisis y evaluación del riesgo Cuadro de objetivos y métricas aplicables Indicadores clave de rendimiento E. Definición de los dominios, procesos y actividades de TSI Objetivos de TSI Indicadores de objetivos clave de procesos F.Definición de los controles a implantar Indicafores de objetivos clave de TSI 0-No existente 1-Inicial 2- Repetible Modelo de madurez 3-Definido 4-Gestionado 5-Optimizado
  • 7. Diseño y planificación Despliegue Gestión de la infraestrctura TI Operaciones Soporte técnico Gestión de aplicaciones Planificación para la aplicación de los servicios de gestión Gestión de incidentes La provisión se orienta más al cliente Gestión de problemas Se describen mejor los servicios Centro de servicios Cliente/Usuario Se manejan mejor la calidad y costo Gestión de cambios Mejora la comunicación con la organización Objetivos La org desarrolla una estructura más clara y eficaz Alcance La dirección tiene más control Organización Elementos de configuración Conceptos básicos Brinda un marco para concretar adecuadamente la externalización Base de datos Calidad global mejorada Planificación Soporte del negocio más fiable Identificación Clientes saben qué esperar Actividades Control incremento en la productividad Negocio Monitorización Procedimietos de continuidad dle servicio de acuerdo a las necesidades del negocio Soporte del servicio Verificación y auditorías Mejores relaciones de trabajo entre los clientes y el proveedor Gestión del incidente Gestión de configuración Sarisfacción del cliente Gestión del problema Beneficios ITIL Libros Infraestructura de TSI y servicios justificados en costos Gestión dle cambio Financieros Gestión de servicios Beneficios financieros a largo plazo Gestión de la versión La plantilla sabe que esperar de las TSI Procesos relacionados Gestión de nivel de servicios Mayor productividad Empleado Gestión financiera Visibilidad y reputación mejorada del departamento de TSI Gestión de la disponibilidad Comprensión más clara de requisitos Gestión de la continuidad Mejor información sobre servicios actuales Gestión de la capacidad Innovación Mayor flexibilidad para el negocio Costos Capacidad mejorara para reconocer tendencias al cambio Problemas Métricas e informes mejorados Gestión de versiones Mejor información sobre los servicios actuales Gestión de niveles de servicio Comunicaciones mejoradas y trabajo inter-equipos Internos Presupuestación Roles y responsabilidades claramente definidos Gestión financiera Contabilidad de TSI Visión más clara de la capacidad de TSI Entrega del servicio Cargos Gestión de la capacidad Gestión de continuidad Gestión de la disponibilidad Gestión de seguridad Perspectiva de negocio Soporte de Servicio Provisión de Servicio
  • 8. Alcance Términos y definiciones Requisitos de un Sistema de Gestión Planificación e Implementación de la Gestión del Servicio Gestión de Nivel del servicio Generación de informes del servicio Gestión de la continuidad y disponibilidad del servicio Procesos de Provisión de Servicio Presupuestar y contabilizar servicios de TSI Gestión de la capacidad Parte 1. Especificación UNE-ISO/IEC 20000 Gestión de seguridad de la información Gestión de Relaciones con el negocio Procesos de relación Gestión de suministradores Gestión del incidente Procesos de resolución Gestión del problema Subtema Gestión de configuración Procesos de control Gestión del cambio Proceso de entrega de versiones Proceso de gestión d entrega Parte 2. Código de prácticas Guías y recomendaciones relativas a las buenas prácticas de gestión del servicio.
  • 9. Cuentas significativas Riesgos del negocio y su impacto en el proceso Características Procesos significativos en su impacto en estados contables EL flujo de transacciones Procesos de TSI vinculados Identificar El desarrollo del proceso de cierre Implantación de sistema de control Procesos y controles automatizados dentro de las actividades del negocio Impacto Funciones específicas de TSI Todas las transacciones están autorizadas Desarrollo de aplicaciones Los activos están protegidos contra el uso no autorizado Control de cambios a producción Clasificación de procesos Las transacciones están correctamente registradas Actividades de explotación de sistemas Sección 404 Declaración de responsabilidad sobre la estructura de control Accesos a programas y datos Identificación del marco de operación Identificar las partidas significativas de los estados financieros Exige a la dirección Relice y documente evaluación de efectividad Identificar las posibles aserciones erróneas Aspecto específico de TSI Principales secciones Su informe sea refrendado por el auditor externo Identificar las aserciones acertadas para evaluar la complejidad de sistemas Revisar el informe que se presenta Modelo de gestión del programa de actividades de desarrollo Los estados financieros básicos y la información financiera adicional Gestión de proyectos Ejecutivos certificadores son responsables del establecimiento de controles Análisis y diseño Sección 302 Todos los certificadores han evaluado la efectividad de los controles Procedimientos de selección de paquetes SW/HW Desarrollo de aplicaciones Presentar conlcusiones respecto a la eficacia de los controles Pruebas y aseguramiento de la calidad Informar a auditores independientes las deficiencias significativas Planificación y ejecución de la conversión de datos Sarbanes-Oxley Controles de "Entity-level" Documentación de usuario y técnica y formación Controles de TSI Controles de aplicación Gestión del programa de actividades Controles generales de TSI Pasos especificados, con autorización y seguimiento Controles en construcción Cambios a programas Remota Desarrollo de pruebas Probabilidad de ocurrencia Posible Autorización del paso al entorno de producción Probable Documentación técnoca y de usuario y formación Controles típicos de TSI Intrascendente Existencia de políticas y procedimientos Deficiencias detectadas en el sistema Volumen de error potencial Trascendente Modelo de organización y estión Material Modelo de gestión de la seguridad de las aplicaciones Significativa Modelo de gestión de la seguridad de los datos Niveles de deficiencias Acceso a programas y datos Material Seguridad de la red interna Seguridad de la red perimentral Seguridad física Modelo de gestión de sistemas operativos Existencia de políticas y procedimientos Modelo de organización y gestión Planificación y ejecución de procesos batch Operaciones Gestión de copias de seguridad Procedimientos de recuperación de fallos operativos
  • 10. Discutir estado de riesgos Alinea la tolerancia al riesgo y la estrategia Consejo de administración Garantizar y evaluar riesgos Relaicona crecimiento, riesgo y retorno de inversión Tomar en cuenta la información de riesgos Amplía las decisiones de respuesta al riesgo Gestión del riesgo Identifica y gestiona riesgos en los distintos niveles Gestores Implantar mecanismos de supervisión Proporciona respuestas integradas a los múltiples riesgos Beneficios Responsabilidades Supervisar riesgos Aprovecha estratégicamente las oportunidades Actividades de control Informa a gestores de riesgos y consejo para establecer supervisión Otro personal Transmitir información que afecte al sistema Ayuda a organizaciones a lograr objetivos y evitar pérdidas COSO Evaluación de riesgos Mejora los sistemas de reporte Auditores internos Recomendaciones de mejoras Ayuda a asegurar el cumplimiento con leyes y reglamentos Implantación de ERM Resuelve todo y con él se pueden tomar deciones básicas Asegurar ligación entre planes y operaciones de TSI Alineamiento estratégico Sólo sirve para catalogar o tomar inventario de riesgos Ejecución del valor aportado por las TSI Entrega de valor COSO y CoBIT Mitos Ofrece un sistema por el cual los reultados son infalibles Utilización efectiva y eficiente de recursos Gestión de recursos ERM versa sobre asuntos financieros y seguros Procesos de medición de objetivos y alineamiento Medición del desempeño Es un modelo muy costoso de implementar
  • 11. Favorece su desarrollo Requisitos del SGSI Afianza la posición de la organización Gestión de riesgo Ante el mercado Potencia la imagen de marca Tratamiento del riesgo Constituye un factor competitivo Aceptación del riesgo Permite superar barreras técnicas Características Análisis del riesgo Fidelización y captación de nuevos clientes Valoración del riesgo Se mejora comunicación con el cliente Beneficios de sistemas de gestión Ante los clientes Evaluación del riesgo Mayor confianza al cliente Riesgo residual Aumento de la satisfacción del cliente Alcance Conocimiento y depuración de los procesos internacionales Política Mejora de procesos y servicios prestados Valoración de riesgo Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Identificaión de riesgos Establecimiento y gestión Mejor gestión de los recursos ISO 27001 Análisis y evaluación Estímulo para entrar en un proceso de mejora continua Identificación de tratamientos de riesgo Definir políticas de seguridad Selección de controles Establecer alcance de SGSI Plan Plan de tratamiento del riesgo Realizar análisis de riesgos Eficacia de dichos controles Seleccionar los controles Implantación y puesta en marcha SGSI Programas de formación y concienciación Implantar plan de gestión de riesgos Cultura de la seguridad Modelo PDCA Do Implantar el SGSI Procedimientos para control y revisión Implantar los controles Eficacia del SGSI Revisar internamente el SGSI Check Auditorías de seguridad y mediciones Realizar auditorías internas del SGSI Medidas correctivas y preventivas Control y evaluación Adoptar las acciones correctivas Act Procedimiento documentado Adoptar las acciones preventivas Sistema de registro Anexos
  • 12. Recursos Humanos Política de Seguridad Gestión de Activos Organización de Seguridad Análisis y gestión de riesgos Conceptos Norma ISO 17799 Conformidad legal Seguridad Física Compras, desarrollo y mantenimiento de sistemas Control de acceso Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones