SlideShare una empresa de Scribd logo

Mapas EstáNdares

L
Lia Nakid

El documento describe los principios y procesos de normalización de la seguridad de la información. Se menciona que la normalización se lleva a cabo a través de organizaciones internacionales como ISO e IEC y que incluye el desarrollo de normas, técnicas, directrices, métricas y evaluaciones para garantizar la seguridad de los sistemas de información.

TecnologíaEmpresariales
1 de 19
Descargado 247 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Reglas Políticas guías Normas Prácticas definiciones Medidas organizativas Identificación de requisitos genéricos Papel en las TI Técnicas Desarrollo de técnicas y mecanismos Pasos para garantizar seguridad en los sistemas Desarrollo de guías de seguridad Cuestiones Pone de manifiesto que se lleva a cabo una administración competente Desarrollo del soporte de la gestión Norma Internacional (ISO/IEC) Normalización de algoritmos criptográficos IEC Comisión Electrotécnica Internacional SC 27 Informe Técnico Requisitos, servicios de seguridad y guías GT1 Comités Técnicos Mecanismos y técnicas de seguridad GT2 ISO Organización Internacional deNormalización Subcomités Criterios y evaluación de seguridad GT3 Grupos de Trabajo Normas de Seguridad de Tecnologías de información Organizaciones Grupos de Trabajo Servicios y controles de seguridad GT4 Normas europeas Gestión de identidad y privacidad GT5 CEN Comité Europeo de Normalización Especificaciones técnicas Apoyar difusión y uso denormas de seguridad SubcomitéISO/IEC JTC1/SC 27 Informes técnicos Apoyar integración de sectores público y privado AENOR Asociación Española de Normalización Canalizar normalización nacional e internacional Modo de actuación Gestión de seguridad en Información Apoyar desarrollo de normas de seguridad Gestión de Identidad y privacidad Mantener coherencia Normalización ISO/IEC SC27 Servicios y controles de seguridad Normas UNE relativas a la seguridad Hitos AEN/CTN 71/SC27 Técnicas y mecanismos Contribución a la normalización internacional Evaluación de seguridad de las TI Formación de posición común relativa al voto en los procedimientos Elaboración de proyectos normas nacionales UNE Papel de editor en proyectos de normas nacionales e internacionales Demandas de actuación Traducción de normas ISO/IEC para producción de normas UNE Reuniones internacionales SC27
Marco de normas de gestión de seguridad Sistemas de gestión de la seguridad Coherente con los principios generales del gobierno te TI Análisis y gestión de riesgos Coherente con principios de OCDE Controles y salvaguardas Principios Coherente con sistemas de gestión ISO 9001 Métricas Cobertura Coherente con las guías ISO Auditoría Marco de normas de gestión de seguridad de la información Directrices de implantación Normas relativas a sistemas de gestión de seguridad Difusión y concienciación Norma relativa de análisis y gestión de riesgos Otros aspectos Norma de métricas Servicios de fechado electrónico Normas Gestión de seguridad de la información Normas relativas a controles y salvaguardas algoritmos de cifrado simétricos Normas relativas a auditoría de gestión de seguridad Funciones hash criptográficas Directrices relativas a la difusión y concienciación de seguridad Autenticación de entidades Técnicas y mecanismos Otras normas necesarias para desarrollar áreas técnicas específicas Técnicas criptográficas basadas en curvas elípticas Amenazas identificadas Requisitos de módulos criptográficos Política de seguridad Gestión de claves Objetivos de seguridad Supuestos de seguridad Mecanismos de no repudio Requisitos funcionales Norma ISO/IEC Evaluation criteria for IT secutury Requisitos de aseguramiento Norma ISO/IEC Methodology for IT security Normas Norma ISO/IEC TR Guide for the production of protection rpofiles and security targets
Métrica Porcentaje de datos y operaciones críticas con frecuencia de backup establecida Propósito Evaluar el riesgo debido a backups insuficientes NIST 800-55 Fórmula Archivos críticos con backup establecido/ archivos que requieren backup Indicador % de archivos que requerían backup, copiados conforme a procedimientos Indicadores, métricas o medidas de seguridad Key Goal Indicators de lapso Indicadores Key Performance Indicators de forma CoBIT Rendimiento Medición de procesos Resultado Madurez Métricas de seguridad de la información Propósito Recoger, analizar y comunicar datos de SI Finalidad Conocer, evaluar y gestionar seguridad de SI Analizar y comprender el estado de la seguridad Métricas de gestión de la seguridad Controlar eficacia y eficiencia Permiten Predecir el tiempo y costo de un proyecto Mejorar la gestión de seguridad de la información Benchmarking de capacidad de procesos CMM, Balance scorrecard, métricas de análisis de riesgos Sistemas de monitorización CoBIT Definición de objetivos y métricas de procedimientos Activity goals
Entender requisitos de seguridad Implantar controles para gestionar riesgos Norma 27001 Controlar y revisar comportamiento y eficacia de SGSI Mejora continua basada en mediciones objetivas Métricas o medidas Alcance y objeto de la norma Verificar alcance de requisitos de seguridad Objeto Evaluar eficiencia de implantación Evaluar eficacia de sistema de gestión Proceso de medida Proporcioanr un estado de seguridad para revisión Comunicar el valor de la seguridad Visión general Aportación al plan de tratamiento de riesgos Derivada Base Tipos de medidas Cumplimiento Rendimiento Modelo Proceso de medición Identificación Requisitos de stakeholders Políticas de seguridad Cómo se desarrolla Selección de controles Establecimiento de prioridades Información necesaria Relación costo-beneficio Métricas de seguridad de la información Selección de controles y objetivos de control Auditorías internas o externas Medidas de gestión de la seguridad Evaluación y análisis de riesgos cuestionarios y preguntas Registro de acontecimientos Producción de registros, informes y pistas de auditoría Informes de incidentes Muestras estadísticas Pruebas Identificar y documentar participantes Estratégica Cuantitativa Razonable Cómo medir Interpretativa Cumplir criterios Verificable Evolutiva Útil Indivisible Repetible Controles y objetivos Objetivos de medición Objetos de negocio Documentar Medidas individuales Proceso de análisis de datos Proceso y formato de informes Funciones y responsabilidades de satakeholders Indicadores
Requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar su SGSI Favorece su desarrollo Gestión de riesgo Afianza la posición de la organización Tratamiento del riesgo Ante el mercado Potencia la imagen de marca Aceptación del riesgo Características Constituye un factor competitivo Análisis dle riesgo permite superar barreras técnicas Valoración del riesgo Fidelización y captación de nuevos clientes Evaluación del riesgo Se mejora comunicación con el cliente Riesgo residual Beneficios de sistemas de gestión Ante los clientes Mayor confianza al cliente Alcance Aumento de la satisfacción del cliente Política Conocimiento y depuración de los procesos internacionales Metodología para valoración de riesgo Mejora de procesos y servicios prestados Identificación de riesgos Establecimiento y gestión Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Análisis y evaluación de riesgos ISO 27001 Mejor gestión de los recursos Identificación de tratamientos del riesgo Estímulo para entrar en un proceso de mejora continua Selección de los controles Definir política de seguridad Plan de tratamiento del riesgo Establecer alcance de SGSI eficaciade dichos controles Plan Implantación y puesta en marcha SGSI Realizar análisis de riesgos programas de formación y concienciación Seleccionar los controles cultura de la seguridad Implantar plan de gestión de riesgos Procedimientos para control y revisión Modelo PDCA Do Implantar el SGSI Eficacia del SGSI Implantar los controles Auditorías de seguridad y mediciones Revisar internamente el SGSI Medidas correctivas y preventivas Control y evaluación Check Realizar auditorias internas del SGSI Procedimiento documentado Adoptar las acciones correctivas Sistema de registro Act Adoptar las acciones preventivas Anexos
TSI como recurso crítico Gestión y gobierno Resumen ejecutivo Procesos externalizados Introducción Esquema Elementos externos en la gestión Estructura Legislación y normas sectoriales Contenido central El riesgo de las TSI Apéndices Las TSI están alineadas con el negocio Efectividad o eficacia Las TSI posibilitan la realización de la actividad del negocio Eficiencia Marco de referencia Los recursos de TSI son utilizados de forma responsable Confidencialidad Los riesgos de TSI son gestionados adecuadamente Requerimientos del negocio Integridad Planificar y organizar Disponibilidad Adquirir e implementar Cumplimiento Dominios Confiabilidad Entregar y dar soporte Monitorizar y evaluar Aplicaciones Información Ayuda al gobierno de TSI en su globalidad Recursos de TSI afectados CoBIT 7 Infraestructura Normas complementarias para elementos puntuales de TSI Personal Los riesgos provienen de muchos casos Alineación estratégica La aplicación de CoBIT debe realizarse si el esquema es eficiente Entrega y servicio que añada valor Los criterios y procesos no deben ser rígidos Aplicación Áreas Centrales para el gobierno de TSI Gestión de recursos CoBIT 4 no incluye detalles técnicos sobre determinadas plataformas Gestión del riesgo Su implantación puee ser apoyada por auditoría Apartados Medición del rendimiento CoBIT puede ser aplicada a todas las empresas Objetivos de control del detalle Debe permitir el crecimiento controlado de TSI Directrices de gestión A. Análisis y comprensión del contenido de CoBit Responsabilidades de los distintos niveles de Dirección y gerencia B. Fundamentación de la utilidad Objetivos de actividad C. Definir el valor que aportará Orden de implementación Objetivos de procesos D. Análisis y evaluación del riesgo Cuadro de objetivos y métricas aplicables Indicadores clave de rendimiento E. Definición de los dominios, procesos y actividades de TSI Objetivos de TSI Indicadores de objetivos clave de procesos F.Definición de los controles a implantar Indicafores de objetivos clave de TSI 0-No existente 1-Inicial 2- Repetible Modelo de madurez 3-Definido 4-Gestionado 5-Optimizado
Diseño y planificación Despliegue Gestión de la infraestrctura TI Operaciones Soporte técnico Gestión de aplicaciones Planificación para la aplicación de los servicios de gestión Gestión de incidentes La provisión se orienta más al cliente Gestión de problemas Se describen mejor los servicios Centro de servicios Cliente/Usuario Se manejan mejor la calidad y costo Gestión de cambios Mejora la comunicación con la organización Objetivos La org desarrolla una estructura más clara y eficaz Alcance La dirección tiene más control Organización Elementos de configuración Conceptos básicos Brinda un marco para concretar adecuadamente la externalización Base de datos Calidad global mejorada Planificación Soporte del negocio más fiable Identificación Clientes saben qué esperar Actividades Control incremento en la productividad Negocio Monitorización Procedimietos de continuidad dle servicio de acuerdo a las necesidades del negocio Soporte del servicio Verificación y auditorías Mejores relaciones de trabajo entre los clientes y el proveedor Gestión del incidente Gestión de configuración Sarisfacción del cliente Gestión del problema Beneficios ITIL Libros Infraestructura de TSI y servicios justificados en costos Gestión dle cambio Financieros Gestión de servicios Beneficios financieros a largo plazo Gestión de la versión La plantilla sabe que esperar de las TSI Procesos relacionados Gestión de nivel de servicios Mayor productividad Empleado Gestión financiera Visibilidad y reputación mejorada del departamento de TSI Gestión de la disponibilidad Comprensión más clara de requisitos Gestión de la continuidad Mejor información sobre servicios actuales Gestión de la capacidad Innovación Mayor flexibilidad para el negocio Costos Capacidad mejorara para reconocer tendencias al cambio Problemas Métricas e informes mejorados Gestión de versiones Mejor información sobre los servicios actuales Gestión de niveles de servicio Comunicaciones mejoradas y trabajo inter-equipos Internos Presupuestación Roles y responsabilidades claramente definidos Gestión financiera Contabilidad de TSI Visión más clara de la capacidad de TSI Entrega del servicio Cargos Gestión de la capacidad Gestión de continuidad Gestión de la disponibilidad Gestión de seguridad Perspectiva de negocio Soporte de Servicio Provisión de Servicio
Alcance Términos y definiciones Requisitos de un Sistema de Gestión Planificación e Implementación de la Gestión del Servicio Gestión de Nivel del servicio Generación de informes del servicio Gestión de la continuidad y disponibilidad del servicio Procesos de Provisión de Servicio Presupuestar y contabilizar servicios de TSI Gestión de la capacidad Parte 1. Especificación UNE-ISO/IEC 20000 Gestión de seguridad de la información Gestión de Relaciones con el negocio Procesos de relación Gestión de suministradores Gestión del incidente Procesos de resolución Gestión del problema Subtema Gestión de configuración Procesos de control Gestión del cambio Proceso de entrega de versiones Proceso de gestión d entrega Parte 2. Código de prácticas Guías y recomendaciones relativas a las buenas prácticas de gestión del servicio.
Cuentas significativas Riesgos del negocio y su impacto en el proceso Características Procesos significativos en su impacto en estados contables EL flujo de transacciones Procesos de TSI vinculados Identificar El desarrollo del proceso de cierre Implantación de sistema de control Procesos y controles automatizados dentro de las actividades del negocio Impacto Funciones específicas de TSI Todas las transacciones están autorizadas Desarrollo de aplicaciones Los activos están protegidos contra el uso no autorizado Control de cambios a producción Clasificación de procesos Las transacciones están correctamente registradas Actividades de explotación de sistemas Sección 404 Declaración de responsabilidad sobre la estructura de control Accesos a programas y datos Identificación del marco de operación Identificar las partidas significativas de los estados financieros Exige a la dirección Relice y documente evaluación de efectividad Identificar las posibles aserciones erróneas Aspecto específico de TSI Principales secciones Su informe sea refrendado por el auditor externo Identificar las aserciones acertadas para evaluar la complejidad de sistemas Revisar el informe que se presenta Modelo de gestión del programa de actividades de desarrollo Los estados financieros básicos y la información financiera adicional Gestión de proyectos Ejecutivos certificadores son responsables del establecimiento de controles Análisis y diseño Sección 302 Todos los certificadores han evaluado la efectividad de los controles Procedimientos de selección de paquetes SW/HW Desarrollo de aplicaciones Presentar conlcusiones respecto a la eficacia de los controles Pruebas y aseguramiento de la calidad Informar a auditores independientes las deficiencias significativas Planificación y ejecución de la conversión de datos Sarbanes-Oxley Controles de "Entity-level" Documentación de usuario y técnica y formación Controles de TSI Controles de aplicación Gestión del programa de actividades Controles generales de TSI Pasos especificados, con autorización y seguimiento Controles en construcción Cambios a programas Remota Desarrollo de pruebas Probabilidad de ocurrencia Posible Autorización del paso al entorno de producción Probable Documentación técnoca y de usuario y formación Controles típicos de TSI Intrascendente Existencia de políticas y procedimientos Deficiencias detectadas en el sistema Volumen de error potencial Trascendente Modelo de organización y estión Material Modelo de gestión de la seguridad de las aplicaciones Significativa Modelo de gestión de la seguridad de los datos Niveles de deficiencias Acceso a programas y datos Material Seguridad de la red interna Seguridad de la red perimentral Seguridad física Modelo de gestión de sistemas operativos Existencia de políticas y procedimientos Modelo de organización y gestión Planificación y ejecución de procesos batch Operaciones Gestión de copias de seguridad Procedimientos de recuperación de fallos operativos
Discutir estado de riesgos Alinea la tolerancia al riesgo y la estrategia Consejo de administración Garantizar y evaluar riesgos Relaicona crecimiento, riesgo y retorno de inversión Tomar en cuenta la información de riesgos Amplía las decisiones de respuesta al riesgo Gestión del riesgo Identifica y gestiona riesgos en los distintos niveles Gestores Implantar mecanismos de supervisión Proporciona respuestas integradas a los múltiples riesgos Beneficios Responsabilidades Supervisar riesgos Aprovecha estratégicamente las oportunidades Actividades de control Informa a gestores de riesgos y consejo para establecer supervisión Otro personal Transmitir información que afecte al sistema Ayuda a organizaciones a lograr objetivos y evitar pérdidas COSO Evaluación de riesgos Mejora los sistemas de reporte Auditores internos Recomendaciones de mejoras Ayuda a asegurar el cumplimiento con leyes y reglamentos Implantación de ERM Resuelve todo y con él se pueden tomar deciones básicas Asegurar ligación entre planes y operaciones de TSI Alineamiento estratégico Sólo sirve para catalogar o tomar inventario de riesgos Ejecución del valor aportado por las TSI Entrega de valor COSO y CoBIT Mitos Ofrece un sistema por el cual los reultados son infalibles Utilización efectiva y eficiente de recursos Gestión de recursos ERM versa sobre asuntos financieros y seguros Procesos de medición de objetivos y alineamiento Medición del desempeño Es un modelo muy costoso de implementar
Favorece su desarrollo Requisitos del SGSI Afianza la posición de la organización Gestión de riesgo Ante el mercado Potencia la imagen de marca Tratamiento del riesgo Constituye un factor competitivo Aceptación del riesgo Permite superar barreras técnicas Características Análisis del riesgo Fidelización y captación de nuevos clientes Valoración del riesgo Se mejora comunicación con el cliente Beneficios de sistemas de gestión Ante los clientes Evaluación del riesgo Mayor confianza al cliente Riesgo residual Aumento de la satisfacción del cliente Alcance Conocimiento y depuración de los procesos internacionales Política Mejora de procesos y servicios prestados Valoración de riesgo Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Identificaión de riesgos Establecimiento y gestión Mejor gestión de los recursos ISO 27001 Análisis y evaluación Estímulo para entrar en un proceso de mejora continua Identificación de tratamientos de riesgo Definir políticas de seguridad Selección de controles Establecer alcance de SGSI Plan Plan de tratamiento del riesgo Realizar análisis de riesgos Eficacia de dichos controles Seleccionar los controles Implantación y puesta en marcha SGSI Programas de formación y concienciación Implantar plan de gestión de riesgos Cultura de la seguridad Modelo PDCA Do Implantar el SGSI Procedimientos para control y revisión Implantar los controles Eficacia del SGSI Revisar internamente el SGSI Check Auditorías de seguridad y mediciones Realizar auditorías internas del SGSI Medidas correctivas y preventivas Control y evaluación Adoptar las acciones correctivas Act Procedimiento documentado Adoptar las acciones preventivas Sistema de registro Anexos
Recursos Humanos Política de Seguridad Gestión de Activos Organización de Seguridad Análisis y gestión de riesgos Conceptos Norma ISO 17799 Conformidad legal Seguridad Física Compras, desarrollo y mantenimiento de sistemas Control de acceso Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares
Mapas EstáNdares

Más contenido relacionado

PDF
Caso De Exito
guest6b04e5
 
PDF
ISO/IEC 27001
JorgeGratis
 
PDF
Interpretac iso 9001 p1
Andrea Castro
 
PPT
Herramientas estadísticas en el control de calidad
celinaruizmorales
 
PPTX
Manual de Usuario
Soledad0
 
PDF
Marco conceptual del plan operativo con enfoque estratégico.
viluvedu
 
PPT
Material modulo auditoria del c. i. completo
Fernando Rada
 
PDF
Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...
viluvedu
 
Caso De Exito
guest6b04e5
 
ISO/IEC 27001
JorgeGratis
 
Interpretac iso 9001 p1
Andrea Castro
 
Herramientas estadísticas en el control de calidad
celinaruizmorales
 
Manual de Usuario
Soledad0
 
Marco conceptual del plan operativo con enfoque estratégico.
viluvedu
 
Material modulo auditoria del c. i. completo
Fernando Rada
 
Pdf identificacion y_formulacion_de_proyectos una guia practica basada en el ...
viluvedu
 

Similar a Mapas EstáNdares (20)

PPTX
Estrategia
Lialbert
 
PPTX
Propuesta Modelo Tecnoparque V4
Jhon Fredy Escobar Soto
 
PDF
Proyectos de Ingenieria Mapa Mental
SENA
 
DOC
Espacio de la normalización
erikamarisol
 
PPTX
Administración y auditoria de los sistemas de información
Jose Parada
 
PDF
Art 40 27
Oscar David Vergara Suarez
 
PDF
Visio di-od-01 diagrama de caracterización del proceso - Diseño y Desarrollo
rut_dlc
 
PDF
Mapa niveles ciencias de la Informatica
davidvelavi
 
PPTX
Corporate governance of information technology
Patricio R
 
PDF
E Learning 8
felipehc
 
PPTX
Auditoria de sistema
Numa Baez
 
PDF
Modernización y administración electrónica
modernizacionycalidad
 
DOC
Mapa conceptual - Auditoria de Sistemas
javiermora7
 
PPS
Utpl Computacion Basica Gestion Innovacion
Cecilia Leon
 
DOCX
Mapa unidad numero 1 lea
ladytutoblog
 
PDF
Cartilla 5 dic10 final
zuleyma garces
 
PDF
Mapa 8 periodos de Ciencias de la Informatica
davidvelavi
 
DOCX
Actividad obligatoria 6(1)
vic150cc
 
XLS
Evaluacion continua calificacion 2010 ii
gabymontero2
 
PDF
Mapa conceptual
javiermora7
 
Estrategia
Lialbert
 
Propuesta Modelo Tecnoparque V4
Jhon Fredy Escobar Soto
 
Proyectos de Ingenieria Mapa Mental
SENA
 
Espacio de la normalización
erikamarisol
 
Administración y auditoria de los sistemas de información
Jose Parada
 
Art 40 27
Oscar David Vergara Suarez
 
Visio di-od-01 diagrama de caracterización del proceso - Diseño y Desarrollo
rut_dlc
 
Mapa niveles ciencias de la Informatica
davidvelavi
 
Corporate governance of information technology
Patricio R
 
E Learning 8
felipehc
 
Auditoria de sistema
Numa Baez
 
Modernización y administración electrónica
modernizacionycalidad
 
Mapa conceptual - Auditoria de Sistemas
javiermora7
 
Utpl Computacion Basica Gestion Innovacion
Cecilia Leon
 
Mapa unidad numero 1 lea
ladytutoblog
 
Cartilla 5 dic10 final
zuleyma garces
 
Mapa 8 periodos de Ciencias de la Informatica
davidvelavi
 
Actividad obligatoria 6(1)
vic150cc
 
Evaluacion continua calificacion 2010 ii
gabymontero2
 
Mapa conceptual
javiermora7
 
Publicidad

Más de Lia Nakid (20)

DOCX
Ensayo Outsourcing2
Lia Nakid
 
PDF
Caso Pink
Lia Nakid
 
PPTX
Ati Eq6 Exp Itil Y La Norma Une Iso
Lia Nakid
 
PDF
Mapas Mentales Outsourcing
Lia Nakid
 
PPTX
Mapas Mentales Outsourcing
Lia Nakid
 
DOCX
No Es Outsourcing Porque
Lia Nakid
 
PPTX
Ati Eq6 T2 Estrategia Tecnologica Tienda Virtual
Lia Nakid
 
PPTX
Ati Eq6 T3 Estrategia Tecnologica Empresa PequeñA
Lia Nakid
 
PDF
Map Cap4.Metodos Pronostico
Lia Nakid
 
DOCX
Ati Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióN
Lia Nakid
 
PDF
Caso Orbitel[1]
Lia Nakid
 
PDF
Paquete TecnolóGico Dell
Lia Nakid
 
DOC
Sample Technology Plan1
Lia Nakid
 
PPTX
Ati Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGico
Lia Nakid
 
PPTX
El Proceso De PlaneacióN TecnolóGica
Lia Nakid
 
DOCX
Informe Final
Lia Nakid
 
PPT
Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]
Lia Nakid
 
PPTX
Gep2009 Eq9 T13 Pre Hallows EjecucióN Del Proyecto
Lia Nakid
 
PPT
Capitulo 3
Lia Nakid
 
PPT
Capitulo 2
Lia Nakid
 
Ensayo Outsourcing2
Lia Nakid
 
Caso Pink
Lia Nakid
 
Ati Eq6 Exp Itil Y La Norma Une Iso
Lia Nakid
 
Mapas Mentales Outsourcing
Lia Nakid
 
Mapas Mentales Outsourcing
Lia Nakid
 
No Es Outsourcing Porque
Lia Nakid
 
Ati Eq6 T2 Estrategia Tecnologica Tienda Virtual
Lia Nakid
 
Ati Eq6 T3 Estrategia Tecnologica Empresa PequeñA
Lia Nakid
 
Map Cap4.Metodos Pronostico
Lia Nakid
 
Ati Act1 Eq6 Reñ Dav Is La RevolucióNdela InformacióN
Lia Nakid
 
Caso Orbitel[1]
Lia Nakid
 
Paquete TecnolóGico Dell
Lia Nakid
 
Sample Technology Plan1
Lia Nakid
 
Ati Eq6 L6 Exp Erosa Cap6 AdministracióN Del Cambio TecnolóGico
Lia Nakid
 
El Proceso De PlaneacióN TecnolóGica
Lia Nakid
 
Informe Final
Lia Nakid
 
Sio2009 Eq9 Lec15 Presentacion Gold Bernstein [Autoguardado]
Lia Nakid
 
Gep2009 Eq9 T13 Pre Hallows EjecucióN Del Proyecto
Lia Nakid
 
Capitulo 3
Lia Nakid
 
Capitulo 2
Lia Nakid
 
Publicidad

Último (20)

PDF
Documental Beyond the Code (Dossier Presentación - 2.0)
SardInc
 
PPTX
Presentacion de Alba Curso Auditores Internos ISO 19011
AlexandroDeAlbaGuerr
 
PDF
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
PPTX
la-historia-de-la-medicina Edna Silva.pptx
adairrojas2
 
DOCX
TRABAJO GRUPAL (5) (1).docxjsjsjskskksksk
edeplucasmolina
 
DOCX
TRABAJO GRUPAL (5) (1).docxjesjssjsjjskss
edeplucasmolina
 
PPT
Protocolos de seguridad y mecanismos encriptación
rveiga100
 
DOCX
Trabajo informatica joel torres 10-.....................
santinet611
 
PPTX
Control de calidad en productos de frutas
ayselgonzales27
 
PDF
MANUAL de recursos humanos para ODOO.pdf
GianCruz26
 
PPTX
Uso responsable de la tecnología - EEST N°1
caromalacalza
 
PDF
Taller tecnológico Michelle lobo Velasquez
michelle89milo
 
PDF
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
PPTX
Tema 1 Taller de tecnologia y proceso tecnologico.pptx
Justino Cat
 
PDF
CONTABILIDAD Y TRIBUTACION, EJERCICIO PRACTICO
Pabloisra21Pepe
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PPTX
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
PPTX
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
PPTX
Mecanismos-de-Propagacion de ondas electromagneticas
FernandoAjila
 
PDF
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 
Documental Beyond the Code (Dossier Presentación - 2.0)
SardInc
 
Presentacion de Alba Curso Auditores Internos ISO 19011
AlexandroDeAlbaGuerr
 
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
la-historia-de-la-medicina Edna Silva.pptx
adairrojas2
 
TRABAJO GRUPAL (5) (1).docxjsjsjskskksksk
edeplucasmolina
 
TRABAJO GRUPAL (5) (1).docxjesjssjsjjskss
edeplucasmolina
 
Protocolos de seguridad y mecanismos encriptación
rveiga100
 
Trabajo informatica joel torres 10-.....................
santinet611
 
Control de calidad en productos de frutas
ayselgonzales27
 
MANUAL de recursos humanos para ODOO.pdf
GianCruz26
 
Uso responsable de la tecnología - EEST N°1
caromalacalza
 
Taller tecnológico Michelle lobo Velasquez
michelle89milo
 
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
Tema 1 Taller de tecnologia y proceso tecnologico.pptx
Justino Cat
 
CONTABILIDAD Y TRIBUTACION, EJERCICIO PRACTICO
Pabloisra21Pepe
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
Historia Inteligencia Artificial Ana Romero.pptx
adairrojas2
 
Mecanismos-de-Propagacion de ondas electromagneticas
FernandoAjila
 
Tips de Seguridad para evitar clonar sus claves del portal bancario.pdf
saberpublicidadsas
 

Mapas EstáNdares

  • 1. Reglas Políticas guías Normas Prácticas definiciones Medidas organizativas Identificación de requisitos genéricos Papel en las TI Técnicas Desarrollo de técnicas y mecanismos Pasos para garantizar seguridad en los sistemas Desarrollo de guías de seguridad Cuestiones Pone de manifiesto que se lleva a cabo una administración competente Desarrollo del soporte de la gestión Norma Internacional (ISO/IEC) Normalización de algoritmos criptográficos IEC Comisión Electrotécnica Internacional SC 27 Informe Técnico Requisitos, servicios de seguridad y guías GT1 Comités Técnicos Mecanismos y técnicas de seguridad GT2 ISO Organización Internacional deNormalización Subcomités Criterios y evaluación de seguridad GT3 Grupos de Trabajo Normas de Seguridad de Tecnologías de información Organizaciones Grupos de Trabajo Servicios y controles de seguridad GT4 Normas europeas Gestión de identidad y privacidad GT5 CEN Comité Europeo de Normalización Especificaciones técnicas Apoyar difusión y uso denormas de seguridad SubcomitéISO/IEC JTC1/SC 27 Informes técnicos Apoyar integración de sectores público y privado AENOR Asociación Española de Normalización Canalizar normalización nacional e internacional Modo de actuación Gestión de seguridad en Información Apoyar desarrollo de normas de seguridad Gestión de Identidad y privacidad Mantener coherencia Normalización ISO/IEC SC27 Servicios y controles de seguridad Normas UNE relativas a la seguridad Hitos AEN/CTN 71/SC27 Técnicas y mecanismos Contribución a la normalización internacional Evaluación de seguridad de las TI Formación de posición común relativa al voto en los procedimientos Elaboración de proyectos normas nacionales UNE Papel de editor en proyectos de normas nacionales e internacionales Demandas de actuación Traducción de normas ISO/IEC para producción de normas UNE Reuniones internacionales SC27
  • 2. Marco de normas de gestión de seguridad Sistemas de gestión de la seguridad Coherente con los principios generales del gobierno te TI Análisis y gestión de riesgos Coherente con principios de OCDE Controles y salvaguardas Principios Coherente con sistemas de gestión ISO 9001 Métricas Cobertura Coherente con las guías ISO Auditoría Marco de normas de gestión de seguridad de la información Directrices de implantación Normas relativas a sistemas de gestión de seguridad Difusión y concienciación Norma relativa de análisis y gestión de riesgos Otros aspectos Norma de métricas Servicios de fechado electrónico Normas Gestión de seguridad de la información Normas relativas a controles y salvaguardas algoritmos de cifrado simétricos Normas relativas a auditoría de gestión de seguridad Funciones hash criptográficas Directrices relativas a la difusión y concienciación de seguridad Autenticación de entidades Técnicas y mecanismos Otras normas necesarias para desarrollar áreas técnicas específicas Técnicas criptográficas basadas en curvas elípticas Amenazas identificadas Requisitos de módulos criptográficos Política de seguridad Gestión de claves Objetivos de seguridad Supuestos de seguridad Mecanismos de no repudio Requisitos funcionales Norma ISO/IEC Evaluation criteria for IT secutury Requisitos de aseguramiento Norma ISO/IEC Methodology for IT security Normas Norma ISO/IEC TR Guide for the production of protection rpofiles and security targets
  • 3. Métrica Porcentaje de datos y operaciones críticas con frecuencia de backup establecida Propósito Evaluar el riesgo debido a backups insuficientes NIST 800-55 Fórmula Archivos críticos con backup establecido/ archivos que requieren backup Indicador % de archivos que requerían backup, copiados conforme a procedimientos Indicadores, métricas o medidas de seguridad Key Goal Indicators de lapso Indicadores Key Performance Indicators de forma CoBIT Rendimiento Medición de procesos Resultado Madurez Métricas de seguridad de la información Propósito Recoger, analizar y comunicar datos de SI Finalidad Conocer, evaluar y gestionar seguridad de SI Analizar y comprender el estado de la seguridad Métricas de gestión de la seguridad Controlar eficacia y eficiencia Permiten Predecir el tiempo y costo de un proyecto Mejorar la gestión de seguridad de la información Benchmarking de capacidad de procesos CMM, Balance scorrecard, métricas de análisis de riesgos Sistemas de monitorización CoBIT Definición de objetivos y métricas de procedimientos Activity goals
  • 4. Entender requisitos de seguridad Implantar controles para gestionar riesgos Norma 27001 Controlar y revisar comportamiento y eficacia de SGSI Mejora continua basada en mediciones objetivas Métricas o medidas Alcance y objeto de la norma Verificar alcance de requisitos de seguridad Objeto Evaluar eficiencia de implantación Evaluar eficacia de sistema de gestión Proceso de medida Proporcioanr un estado de seguridad para revisión Comunicar el valor de la seguridad Visión general Aportación al plan de tratamiento de riesgos Derivada Base Tipos de medidas Cumplimiento Rendimiento Modelo Proceso de medición Identificación Requisitos de stakeholders Políticas de seguridad Cómo se desarrolla Selección de controles Establecimiento de prioridades Información necesaria Relación costo-beneficio Métricas de seguridad de la información Selección de controles y objetivos de control Auditorías internas o externas Medidas de gestión de la seguridad Evaluación y análisis de riesgos cuestionarios y preguntas Registro de acontecimientos Producción de registros, informes y pistas de auditoría Informes de incidentes Muestras estadísticas Pruebas Identificar y documentar participantes Estratégica Cuantitativa Razonable Cómo medir Interpretativa Cumplir criterios Verificable Evolutiva Útil Indivisible Repetible Controles y objetivos Objetivos de medición Objetos de negocio Documentar Medidas individuales Proceso de análisis de datos Proceso y formato de informes Funciones y responsabilidades de satakeholders Indicadores
  • 5. Requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar su SGSI Favorece su desarrollo Gestión de riesgo Afianza la posición de la organización Tratamiento del riesgo Ante el mercado Potencia la imagen de marca Aceptación del riesgo Características Constituye un factor competitivo Análisis dle riesgo permite superar barreras técnicas Valoración del riesgo Fidelización y captación de nuevos clientes Evaluación del riesgo Se mejora comunicación con el cliente Riesgo residual Beneficios de sistemas de gestión Ante los clientes Mayor confianza al cliente Alcance Aumento de la satisfacción del cliente Política Conocimiento y depuración de los procesos internacionales Metodología para valoración de riesgo Mejora de procesos y servicios prestados Identificación de riesgos Establecimiento y gestión Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Análisis y evaluación de riesgos ISO 27001 Mejor gestión de los recursos Identificación de tratamientos del riesgo Estímulo para entrar en un proceso de mejora continua Selección de los controles Definir política de seguridad Plan de tratamiento del riesgo Establecer alcance de SGSI eficaciade dichos controles Plan Implantación y puesta en marcha SGSI Realizar análisis de riesgos programas de formación y concienciación Seleccionar los controles cultura de la seguridad Implantar plan de gestión de riesgos Procedimientos para control y revisión Modelo PDCA Do Implantar el SGSI Eficacia del SGSI Implantar los controles Auditorías de seguridad y mediciones Revisar internamente el SGSI Medidas correctivas y preventivas Control y evaluación Check Realizar auditorias internas del SGSI Procedimiento documentado Adoptar las acciones correctivas Sistema de registro Act Adoptar las acciones preventivas Anexos
  • 6. TSI como recurso crítico Gestión y gobierno Resumen ejecutivo Procesos externalizados Introducción Esquema Elementos externos en la gestión Estructura Legislación y normas sectoriales Contenido central El riesgo de las TSI Apéndices Las TSI están alineadas con el negocio Efectividad o eficacia Las TSI posibilitan la realización de la actividad del negocio Eficiencia Marco de referencia Los recursos de TSI son utilizados de forma responsable Confidencialidad Los riesgos de TSI son gestionados adecuadamente Requerimientos del negocio Integridad Planificar y organizar Disponibilidad Adquirir e implementar Cumplimiento Dominios Confiabilidad Entregar y dar soporte Monitorizar y evaluar Aplicaciones Información Ayuda al gobierno de TSI en su globalidad Recursos de TSI afectados CoBIT 7 Infraestructura Normas complementarias para elementos puntuales de TSI Personal Los riesgos provienen de muchos casos Alineación estratégica La aplicación de CoBIT debe realizarse si el esquema es eficiente Entrega y servicio que añada valor Los criterios y procesos no deben ser rígidos Aplicación Áreas Centrales para el gobierno de TSI Gestión de recursos CoBIT 4 no incluye detalles técnicos sobre determinadas plataformas Gestión del riesgo Su implantación puee ser apoyada por auditoría Apartados Medición del rendimiento CoBIT puede ser aplicada a todas las empresas Objetivos de control del detalle Debe permitir el crecimiento controlado de TSI Directrices de gestión A. Análisis y comprensión del contenido de CoBit Responsabilidades de los distintos niveles de Dirección y gerencia B. Fundamentación de la utilidad Objetivos de actividad C. Definir el valor que aportará Orden de implementación Objetivos de procesos D. Análisis y evaluación del riesgo Cuadro de objetivos y métricas aplicables Indicadores clave de rendimiento E. Definición de los dominios, procesos y actividades de TSI Objetivos de TSI Indicadores de objetivos clave de procesos F.Definición de los controles a implantar Indicafores de objetivos clave de TSI 0-No existente 1-Inicial 2- Repetible Modelo de madurez 3-Definido 4-Gestionado 5-Optimizado
  • 7. Diseño y planificación Despliegue Gestión de la infraestrctura TI Operaciones Soporte técnico Gestión de aplicaciones Planificación para la aplicación de los servicios de gestión Gestión de incidentes La provisión se orienta más al cliente Gestión de problemas Se describen mejor los servicios Centro de servicios Cliente/Usuario Se manejan mejor la calidad y costo Gestión de cambios Mejora la comunicación con la organización Objetivos La org desarrolla una estructura más clara y eficaz Alcance La dirección tiene más control Organización Elementos de configuración Conceptos básicos Brinda un marco para concretar adecuadamente la externalización Base de datos Calidad global mejorada Planificación Soporte del negocio más fiable Identificación Clientes saben qué esperar Actividades Control incremento en la productividad Negocio Monitorización Procedimietos de continuidad dle servicio de acuerdo a las necesidades del negocio Soporte del servicio Verificación y auditorías Mejores relaciones de trabajo entre los clientes y el proveedor Gestión del incidente Gestión de configuración Sarisfacción del cliente Gestión del problema Beneficios ITIL Libros Infraestructura de TSI y servicios justificados en costos Gestión dle cambio Financieros Gestión de servicios Beneficios financieros a largo plazo Gestión de la versión La plantilla sabe que esperar de las TSI Procesos relacionados Gestión de nivel de servicios Mayor productividad Empleado Gestión financiera Visibilidad y reputación mejorada del departamento de TSI Gestión de la disponibilidad Comprensión más clara de requisitos Gestión de la continuidad Mejor información sobre servicios actuales Gestión de la capacidad Innovación Mayor flexibilidad para el negocio Costos Capacidad mejorara para reconocer tendencias al cambio Problemas Métricas e informes mejorados Gestión de versiones Mejor información sobre los servicios actuales Gestión de niveles de servicio Comunicaciones mejoradas y trabajo inter-equipos Internos Presupuestación Roles y responsabilidades claramente definidos Gestión financiera Contabilidad de TSI Visión más clara de la capacidad de TSI Entrega del servicio Cargos Gestión de la capacidad Gestión de continuidad Gestión de la disponibilidad Gestión de seguridad Perspectiva de negocio Soporte de Servicio Provisión de Servicio
  • 8. Alcance Términos y definiciones Requisitos de un Sistema de Gestión Planificación e Implementación de la Gestión del Servicio Gestión de Nivel del servicio Generación de informes del servicio Gestión de la continuidad y disponibilidad del servicio Procesos de Provisión de Servicio Presupuestar y contabilizar servicios de TSI Gestión de la capacidad Parte 1. Especificación UNE-ISO/IEC 20000 Gestión de seguridad de la información Gestión de Relaciones con el negocio Procesos de relación Gestión de suministradores Gestión del incidente Procesos de resolución Gestión del problema Subtema Gestión de configuración Procesos de control Gestión del cambio Proceso de entrega de versiones Proceso de gestión d entrega Parte 2. Código de prácticas Guías y recomendaciones relativas a las buenas prácticas de gestión del servicio.
  • 9. Cuentas significativas Riesgos del negocio y su impacto en el proceso Características Procesos significativos en su impacto en estados contables EL flujo de transacciones Procesos de TSI vinculados Identificar El desarrollo del proceso de cierre Implantación de sistema de control Procesos y controles automatizados dentro de las actividades del negocio Impacto Funciones específicas de TSI Todas las transacciones están autorizadas Desarrollo de aplicaciones Los activos están protegidos contra el uso no autorizado Control de cambios a producción Clasificación de procesos Las transacciones están correctamente registradas Actividades de explotación de sistemas Sección 404 Declaración de responsabilidad sobre la estructura de control Accesos a programas y datos Identificación del marco de operación Identificar las partidas significativas de los estados financieros Exige a la dirección Relice y documente evaluación de efectividad Identificar las posibles aserciones erróneas Aspecto específico de TSI Principales secciones Su informe sea refrendado por el auditor externo Identificar las aserciones acertadas para evaluar la complejidad de sistemas Revisar el informe que se presenta Modelo de gestión del programa de actividades de desarrollo Los estados financieros básicos y la información financiera adicional Gestión de proyectos Ejecutivos certificadores son responsables del establecimiento de controles Análisis y diseño Sección 302 Todos los certificadores han evaluado la efectividad de los controles Procedimientos de selección de paquetes SW/HW Desarrollo de aplicaciones Presentar conlcusiones respecto a la eficacia de los controles Pruebas y aseguramiento de la calidad Informar a auditores independientes las deficiencias significativas Planificación y ejecución de la conversión de datos Sarbanes-Oxley Controles de "Entity-level" Documentación de usuario y técnica y formación Controles de TSI Controles de aplicación Gestión del programa de actividades Controles generales de TSI Pasos especificados, con autorización y seguimiento Controles en construcción Cambios a programas Remota Desarrollo de pruebas Probabilidad de ocurrencia Posible Autorización del paso al entorno de producción Probable Documentación técnoca y de usuario y formación Controles típicos de TSI Intrascendente Existencia de políticas y procedimientos Deficiencias detectadas en el sistema Volumen de error potencial Trascendente Modelo de organización y estión Material Modelo de gestión de la seguridad de las aplicaciones Significativa Modelo de gestión de la seguridad de los datos Niveles de deficiencias Acceso a programas y datos Material Seguridad de la red interna Seguridad de la red perimentral Seguridad física Modelo de gestión de sistemas operativos Existencia de políticas y procedimientos Modelo de organización y gestión Planificación y ejecución de procesos batch Operaciones Gestión de copias de seguridad Procedimientos de recuperación de fallos operativos
  • 10. Discutir estado de riesgos Alinea la tolerancia al riesgo y la estrategia Consejo de administración Garantizar y evaluar riesgos Relaicona crecimiento, riesgo y retorno de inversión Tomar en cuenta la información de riesgos Amplía las decisiones de respuesta al riesgo Gestión del riesgo Identifica y gestiona riesgos en los distintos niveles Gestores Implantar mecanismos de supervisión Proporciona respuestas integradas a los múltiples riesgos Beneficios Responsabilidades Supervisar riesgos Aprovecha estratégicamente las oportunidades Actividades de control Informa a gestores de riesgos y consejo para establecer supervisión Otro personal Transmitir información que afecte al sistema Ayuda a organizaciones a lograr objetivos y evitar pérdidas COSO Evaluación de riesgos Mejora los sistemas de reporte Auditores internos Recomendaciones de mejoras Ayuda a asegurar el cumplimiento con leyes y reglamentos Implantación de ERM Resuelve todo y con él se pueden tomar deciones básicas Asegurar ligación entre planes y operaciones de TSI Alineamiento estratégico Sólo sirve para catalogar o tomar inventario de riesgos Ejecución del valor aportado por las TSI Entrega de valor COSO y CoBIT Mitos Ofrece un sistema por el cual los reultados son infalibles Utilización efectiva y eficiente de recursos Gestión de recursos ERM versa sobre asuntos financieros y seguros Procesos de medición de objetivos y alineamiento Medición del desempeño Es un modelo muy costoso de implementar
  • 11. Favorece su desarrollo Requisitos del SGSI Afianza la posición de la organización Gestión de riesgo Ante el mercado Potencia la imagen de marca Tratamiento del riesgo Constituye un factor competitivo Aceptación del riesgo Permite superar barreras técnicas Características Análisis del riesgo Fidelización y captación de nuevos clientes Valoración del riesgo Se mejora comunicación con el cliente Beneficios de sistemas de gestión Ante los clientes Evaluación del riesgo Mayor confianza al cliente Riesgo residual Aumento de la satisfacción del cliente Alcance Conocimiento y depuración de los procesos internacionales Política Mejora de procesos y servicios prestados Valoración de riesgo Ante la gestión de la organización Ahorro de tiempo y recursos necesarios Identificaión de riesgos Establecimiento y gestión Mejor gestión de los recursos ISO 27001 Análisis y evaluación Estímulo para entrar en un proceso de mejora continua Identificación de tratamientos de riesgo Definir políticas de seguridad Selección de controles Establecer alcance de SGSI Plan Plan de tratamiento del riesgo Realizar análisis de riesgos Eficacia de dichos controles Seleccionar los controles Implantación y puesta en marcha SGSI Programas de formación y concienciación Implantar plan de gestión de riesgos Cultura de la seguridad Modelo PDCA Do Implantar el SGSI Procedimientos para control y revisión Implantar los controles Eficacia del SGSI Revisar internamente el SGSI Check Auditorías de seguridad y mediciones Realizar auditorías internas del SGSI Medidas correctivas y preventivas Control y evaluación Adoptar las acciones correctivas Act Procedimiento documentado Adoptar las acciones preventivas Sistema de registro Anexos
  • 12. Recursos Humanos Política de Seguridad Gestión de Activos Organización de Seguridad Análisis y gestión de riesgos Conceptos Norma ISO 17799 Conformidad legal Seguridad Física Compras, desarrollo y mantenimiento de sistemas Control de acceso Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones