mapas estándares
DESCRIPTION
TRANSCRIPT
Reglas
guíasPrácticas
Políticas
Medidas organizativas
Técnicas
ISO
IECNorma Internacional (ISO/IEC)
Comités Técnicos
Informe Técnico
CEN
Normas europeas
Subcomités
Grupos de Trabajo
Comisión Electrotécnica Internacional
Especificaciones técnicas
Informes técnicos
Asociación Española de Normalización
SC 27
Identificación de requisitos genéricos
GT1
Normalización de algoritmos criptográficos
Desarrollo del soporte de la gestión
Desarrollo de guías de seguridad
Desarrollo de técnicas y mecanismos
GT2
GT3
Mecanismos y técnicas de seguridad
Requisitos, servicios de seguridad y guías
Criterios y evaluación de seguridad
Modo de actuación
Gestión de identidad y privacidad
GT4
Mantener coherencia
Hitos
GT5
Servicios y controles de seguridad
Apoyar difusión y uso denormas de seguridad
Elaboración de proyectos normas nacionales UNE
Canalizar normalización nacional e internacional
Apoyar integración de sectores público y privado
Papel de editor en proyectos de normas nacionales e internacionales
AEN/CTN 71/SC27Normas UNE relativas a la seguridad
Apoyar desarrollo de normas de seguridad
Demandas de actuación
Reuniones internacionales SC27
Traducción de normas ISO/IEC para producción de normas UNE
Contribución a la normalización internacional
Formación de posición común relativa al voto en los procedimientos
CuestionesPasos para garantizar seguridad en los sistemas
Pone de manifiesto que se lleva a cabo una administración competente
Organización Internacional deNormalización
Comité Europeo de Normalización
AENOR
Gestión de seguridad en Información
Técnicas y mecanismos
Gestión de Identidad y privacidad
Servicios y controles de seguridad
Evaluación de seguridad de las TI
Grupos de Trabajo
Papel en las TI
Normalización ISO/IEC SC27
Organizaciones
definiciones
Normas
SubcomitéISO/IEC JTC1/SC 27
Normas de Seguridad de Tecnologías de información
Coherente con los principios generales del gobierno te TI
Marco de normas de gestión de seguridad
Sistemas de gestión de la seguridad
Coherente con las guías ISO
Principios
Normas relativas a controles y salvaguardas
Coherente con principios de OCDE
Norma de métricas
Norma relativa de análisis y gestión de riesgos
Otras normas necesarias para desarrollar áreas técnicas específicas
Coherente con sistemas de gestión ISO 9001
Marco de normas de gestión de seguridad de la información
Normas relativas a sistemas de gestión de seguridad
Servicios de fechado electrónico
Análisis y gestión de riesgos
Controles y salvaguardas
Funciones hash criptográficas
Auditoría
Métricas
Autenticación de entidades
algoritmos de cifrado simétricos
Directrices de implantación
Requisitos de módulos criptográficos
Difusión y concienciación
Otros aspectos
Mecanismos de no repudio
Técnicas criptográficas basadas en curvas elípticas
Gestión de claves
Normas relativas a auditoría de gestión de seguridad
Amenazas identificadas
Directrices relativas a la difusión y concienciación de seguridad
Política de seguridad
Supuestos de seguridad
Normas
Requisitos funcionales
Objetivos de seguridad
Requisitos de aseguramientoNorma ISO/IEC Evaluation criteria for IT secutury
Normas
Técnicas y mecanismos
Norma ISO/IEC Methodology for IT security
Norma ISO/IEC TR Guide for the production of protection rpofiles and security targets
Gestión de seguridad de la información
Cobertura
Evaluar el riesgo debido a backups insuficientes
CoBIT
Indicador
NIST 800-55
Porcentaje de datos y operaciones críticas con frecuencia de backup establecida
Archivos críticos con backup establecido/ archivos que requieren backup
de lapso
Fórmula
de forma
Propósito
Métrica
Madurez
Rendimiento
Propósito Recoger, analizar y comunicar datos de SI
Conocer, evaluar y gestionar seguridad de SIFinalidad
% de archivos que requerían backup, copiados conforme a procedimientos
Key Performance Indicators
Medición de procesos Resultado
Activity goals
Permiten
CMM, Balance scorrecard, métricas de análisis de riesgos Definición de objetivos y métricas de procedimientos
Benchmarking de capacidad de procesos
Controlar eficacia y eficiencia
Analizar y comprender el estado de la seguridad
Predecir el tiempo y costo de un proyecto
Mejorar la gestión de seguridad de la información
Sistemas de monitorización CoBIT
Métricas de gestión de la seguridad
Key Goal IndicatorsIndicadores
Indicadores, métricas o medidas de seguridad
Métricas de seguridad de la información
Norma 27001
Entender requisitos de seguridad
Modelo
Visión general
Relación costo-beneficio
Información necesaria
Requisitos de stakeholders
Rendimiento
Políticas de seguridad
Identificar y documentar participantes
Estratégica
Cuantitativa
Razonable
Interpretativa
Verificable
Evolutiva
Útil
Indivisible
Repetible
Cumplir criterios
Controles y objetivos
Documentar
Indicadores
Objetivos de medición
Objetos de negocio
Medidas individuales
Proceso de análisis de datos
Proceso y formato de informes
Funciones y responsabilidades de satakeholders
Cómo medir
Pruebas
Producción de registros, informes y pistas de auditoría
Registro de acontecimientos
Métricas de seguridad de la información
Muestras estadísticas
Informes de incidentes
Mejora continua basada en mediciones objetivas
Métricas o medidas
Base
Identificación
Proceso de medición
Verificar alcance de requisitos de seguridad
Objeto
Controlar y revisar comportamiento y eficacia de SGSI
Implantar controles para gestionar riesgos
Comunicar el valor de la seguridad
Evaluar eficiencia de implantación
Evaluar eficacia de sistema de gestión
Proporcioanr un estado de seguridad para revisión
Derivada
Aportación al plan de tratamiento de riesgos
Tipos de medidasCumplimiento
Evaluación y análisis de riesgos
Establecimiento de prioridades
Selección de controles y objetivos de control
Auditorías internas o externasMedidas de gestión de la seguridad
cuestionarios y preguntas
Cómo se desarrolla Selección de controles
Proceso de medida
Alcance y objeto de la norma
Favorece su desarrollo
Afianza la posición de la organización
Potencia la imagen de marca
Constituye un factor competitivo
permite superar barreras técnicas
Fidelización y captación de nuevos clientes
Ante el mercado
Se mejora comunicación con el cliente
Mayor confianza al clienteAnte los clientes
Mejora de procesos y servicios prestados
Ante la gestión de la organización
Aumento de la satisfacción del cliente
Conocimiento y depuración de los procesos internacionales
Ahorro de tiempo y recursos necesarios
Mejor gestión de los recursos
Estímulo para entrar en un proceso de mejora continua
Análisis dle riesgo
Valoración del riesgo
Evaluación del riesgo
Riesgo residual
Definir política de seguridad
Realizar análisis de riesgos
Seleccionar los controles
Do
Implantar los controles
Revisar internamente el SGSICheck
Adoptar las acciones correctivasAct
Adoptar las acciones preventivas
Modelo PDCA Implantar el SGSI
Implantar plan de gestión de riesgos
Realizar auditorias internas del SGSI
Características
Gestión de riesgo
Tratamiento del riesgo
Aceptación del riesgo
Requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar su SGSI
Identificación de riesgos
Metodología para valoración de riesgo
Establecer alcance de SGSIPlan
Política
Alcance
Análisis y evaluación de riesgos
Identificación de tratamientos del riesgo
SGSI
Establecimiento y gestión
Plan de tratamiento del riesgo
eficaciade dichos controles
Selección de los controles
Eficacia del SGSI
programas de formación y concienciación
Medidas correctivas y preventivas
Procedimiento documentado
Implantación y puesta en marcha
Sistema de registro
Control y evaluación
Anexos
cultura de la seguridad
Procedimientos para control y revisión
Auditorías de seguridad y mediciones
ISO 27001
Beneficios de sistemas de gestión
Procesos externalizados
Legislación y normas sectoriales
El riesgo de las TSI
Resumen ejecutivo
Esquema
Las TSI están alineadas con el negocio
Las TSI posibilitan la realización de la actividad del negocio
Monitorizar y evaluar
Los recursos de TSI son utilizados de forma responsable
Efectividad o eficacia
Eficiencia
Confidencialidad
Integridad
Apéndices
Disponibilidad
Cumplimiento
Contenido central
Confiabilidad
Requerimientos del negocio
Aplicaciones
Información
Infraestructura
Personal
Recursos de TSI afectados
Alineación estratégica
Entrega y servicio que añada valor
Gestión del riesgo
Medición del rendimiento
Gestión de recursos
Cuadro de objetivos y métricas aplicables Indicadores clave de rendimiento
Indicadores de objetivos clave de procesos
Indicafores de objetivos clave de TSI
Objetivos de actividad
Objetivos de procesos
Objetivos de TSI
Apartados
Modelo de madurez
0-No existente
1-Inicial
2- Repetible
3-Definido
4-Gestionado
5-Optimizado
Áreas Centrales para el gobierno de TSI
Objetivos de control del detalle
Directrices de gestión
Responsabilidades de los distintos niveles de Dirección y gerencia
Marco de referencia
Los riesgos de TSI son gestionados adecuadamente
Los riesgos provienen de muchos casos
CoBIT 4 no incluye detalles técnicos sobre determinadas plataformas
Su implantación puee ser apoyada por auditoría
CoBIT puede ser aplicada a todas las empresas
Los criterios y procesos no deben ser rígidos
La aplicación de CoBIT debe realizarse si el esquema es eficiente
A. Análisis y comprensión del contenido de CoBit
C. Definir el valor que aportará
B. Fundamentación de la utilidad
D. Análisis y evaluación del riesgo
E. Definición de los dominios, procesos y actividades de TSI
F.Definición de los controles a implantar
TSI como recurso crítico
Gestión y gobierno
Estructura
Debe permitir el crecimiento controlado de TSI
Aplicación
Orden de implementación
Elementos externos en la gestiónIntroducción
Dominios
Normas complementarias para elementos puntuales de TSICoBIT 7
Ayuda al gobierno de TSI en su globalidad
Entregar y dar soporte
Adquirir e implementar
Planificar y organizar
Gestión de seguridad
Diseño y planificación
Despliegue
Operaciones
Soporte técnico
Gestión de servicios
Gestión de la infraestrctura TI
Gestión de aplicaciones
Soporte del servicio
Provisión de Servicio
Soporte de Servicio
Gestión de la disponibilidad
Gestión de cambios
Objetivos
Centro de servicios
Conceptos básicos
Alcance
Gestión de incidentes
Elementos de configuración
Base de datos
Planificación
Identificación
Control
Monitorización
Gestión dle cambio
Gestión de la versión
Gestión de nivel de servicios
Gestión financiera
Gestión de la disponibilidad
Gestión de la continuidad
Gestión de la capacidad
Procesos relacionados
Costos
Problemas
Gestión del problema
Gestión del incidente
Verificación y auditorías
Gestión de configuración
Actividades
Planificación para la aplicación de los servicios de gestión
Gestión de problemas
Gestión de la capacidad
Perspectiva de negocio
Gestión financiera
Gestión de niveles de servicio
Gestión de versiones
Presupuestación
Contabilidad de TSI
CargosEntrega del servicio
Gestión de continuidad
Se describen mejor los servicios
Se manejan mejor la calidad y costo
Mejora la comunicación con la organización
La org desarrolla una estructura más clara y eficaz
La dirección tiene más control
Brinda un marco para concretar adecuadamente la externalización
La provisión se orienta más al cliente
Cliente/Usuario
Calidad global mejorada
Soporte del negocio más fiable
Mejores relaciones de trabajo entre los clientes y el proveedor
incremento en la productividad
Financieros
Organización
Visibilidad y reputación mejorada del departamento de TSI
Beneficios financieros a largo plazo
Empleado
Comprensión más clara de requisitos
Mejor información sobre servicios actuales
Mayor flexibilidad para el negocio Innovación
La plantilla sabe que esperar de las TSI
Infraestructura de TSI y servicios justificados en costos
Capacidad mejorara para reconocer tendencias al cambio
Mayor productividad
Internos
Roles y responsabilidades claramente definidos
Visión más clara de la capacidad de TSI
Comunicaciones mejoradas y trabajo inter-equipos
Mejor información sobre los servicios actuales
Métricas e informes mejorados
Procedimietos de continuidad dle servicio de acuerdo a las necesidades del negocio
Negocio
Clientes saben qué esperar
Sarisfacción del clienteBeneficios LibrosITIL
Alcance
Generación de informes del servicio
Gestión de la continuidad y disponibilidad del servicio
Gestión de la capacidad
Presupuestar y contabilizar servicios de TSI
Términos y definiciones
Gestión de seguridad de la información
Requisitos de un Sistema de Gestión
Planificación e Implementación de la Gestión del Servicio
Gestión de Nivel del servicio
Procesos de Provisión de Servicio
Gestión de Relaciones con el negocio
Subtema
Gestión de configuración
Gestión del cambio
Procesos de resolución
Procesos de control
Proceso de entrega de versiones Proceso de gestión d entrega
Gestión de suministradores
Gestión del incidente
Gestión del problema
Guías y recomendaciones relativas a las buenas prácticas de gestión del servicio.
Procesos de relación
Parte 1. EspecificaciónUNE-ISO/IEC 20000
Parte 2. Código de prácticas
Todas las transacciones están autorizadas
Los activos están protegidos contra el uso no autorizado
Las transacciones están correctamente registradas
Declaración de responsabilidad sobre la estructura de control
Identificación del marco de operación
Relice y documente evaluación de efectividad
Su informe sea refrendado por el auditor externo
Sección 404
Exige a la dirección
Sección 302
Revisar el informe que se presenta
Informar a auditores independientes las deficiencias significativas
Los estados financieros básicos y la información financiera adicional
Ejecutivos certificadores son responsables del establecimiento de controles
Todos los certificadores han evaluado la efectividad de los controles
Riesgos del negocio y su impacto en el proceso
Cuentas significativas
Impacto
Identificar
Características
Desarrollo de aplicaciones
Funciones específicas de TSI
El desarrollo del proceso de cierre
Procesos de TSI vinculados
EL flujo de transacciones
Procesos significativos en su impacto en estados contables
Actividades de explotación de sistemasClasificación de procesos
Control de cambios a producción
Procesos y controles automatizados dentro de las actividades del negocio
Principales secciones
Controles de "Entity-level"
Implantación de sistema de control
Controles de TSI
Controles generales de TSI
Remota
Posible
Probable
Intrascendente
Material
Trascendente
Significativa
MaterialNiveles de deficiencias
Volumen de error potencial
Probabilidad de ocurrencia
Presentar conlcusiones respecto a la eficacia de los controles
Aspecto específico de TSIIdentificar las posibles aserciones erróneas
Identificar las partidas significativas de los estados financieros
Accesos a programas y datos
Deficiencias detectadas en el sistema
Planificación y ejecución de la conversión de datos
Desarrollo de aplicaciones
Gestión del programa de actividades
Análisis y diseño
Pruebas y aseguramiento de la calidad
Documentación de usuario y técnica y formación
Controles en construcción
Desarrollo de pruebasCambios a programas
Procedimientos de selección de paquetes SW/HW
Modelo de organización y estión
Modelo de gestión de la seguridad de las aplicaciones
Existencia de políticas y procedimientos
Acceso a programas y datos
Pasos especificados, con autorización y seguimiento
Modelo de gestión de sistemas operativos
Autorización del paso al entorno de producción
Documentación técnoca y de usuario y formación
Modelo de gestión de la seguridad de los datos
Seguridad de la red perimentral
Seguridad de la red interna
Controles típicos de TSI
Operaciones
Existencia de políticas y procedimientos
Modelo de organización y gestión
Planificación y ejecución de procesos batch
Gestión de copias de seguridad
Procedimientos de recuperación de fallos operativos
Seguridad física
Controles de aplicación
Gestión de proyectos
Modelo de gestión del programa de actividades de desarrollo
Sarbanes-Oxley
Identificar las aserciones acertadas para evaluar la complejidad de sistemas
Garantizar y evaluar riesgos
Discutir estado de riesgos
Tomar en cuenta la información de riesgos
Implantar mecanismos de supervisiónGestores
Consejo de administración
Gestión del riesgo
Supervisar riesgos
Actividades de control
Transmitir información que afecte al sistema
Auditores internos
Evaluación de riesgos
Recomendaciones de mejoras
Implantación de ERM
Alinea la tolerancia al riesgo y la estrategia
Relaicona crecimiento, riesgo y retorno de inversión
Amplía las decisiones de respuesta al riesgo
Identifica y gestiona riesgos en los distintos niveles
Proporciona respuestas integradas a los múltiples riesgos
Ayuda a organizaciones a lograr objetivos y evitar pérdidas
Informa a gestores de riesgos y consejo para establecer supervisión
Aprovecha estratégicamente las oportunidadesBeneficios
Mejora los sistemas de reporte
Asegurar ligación entre planes y operaciones de TSI
Ejecución del valor aportado por las TSI
Alineamiento estratégico
Ayuda a asegurar el cumplimiento con leyes y reglamentos
Medición del desempeñoProcesos de medición de objetivos y alineamiento
Ofrece un sistema por el cual los reultados son infaliblesGestión de recursosUtilización efectiva y eficiente de recursos
Entrega de valorCOSO y CoBIT Mitos
Sólo sirve para catalogar o tomar inventario de riesgos
Resuelve todo y con él se pueden tomar deciones básicas
Otro personal
Responsabilidades
COSO
Es un modelo muy costoso de implementar
ERM versa sobre asuntos financieros y seguros
Favorece su desarrollo
Afianza la posición de la organización
Constituye un factor competitivo
Potencia la imagen de marcaAnte el mercado
Fidelización y captación de nuevos clientes
Se mejora comunicación con el cliente
Mayor confianza al clienteAnte los clientes
Ante la gestión de la organización
Permite superar barreras técnicas
Aumento de la satisfacción del cliente
Conocimiento y depuración de los procesos internacionales
Mejora de procesos y servicios prestados
Ahorro de tiempo y recursos necesarios
Mejor gestión de los recursos
Estímulo para entrar en un proceso de mejora continua
Definir políticas de seguridad
Establecer alcance de SGSI
Realizar análisis de riesgos
Seleccionar los controles
Implantar plan de gestión de riesgos
Implantar el SGSIDo
Implantar los controles
Realizar auditorías internas del SGSI
Adoptar las acciones correctivasAct
CheckRevisar internamente el SGSI
Adoptar las acciones preventivas
Requisitos del SGSI
Gestión de riesgo
Tratamiento del riesgo
Riesgo residual
Análisis del riesgo
Aceptación del riesgo
Valoración del riesgo
Evaluación del riesgo
Alcance
Política
Valoración de riesgo
Establecimiento y gestión
Selección de controles
Análisis y evaluación
Identificaión de riesgos
Plan de tratamiento del riesgo
Eficacia de dichos controles
Identificación de tratamientos de riesgo
Cultura de la seguridad
Control y evaluación
Implantación y puesta en marcha
Procedimientos para control y revisión
Auditorías de seguridad y mediciones
Procedimiento documentado
Sistema de registro
Anexos
Programas de formación y concienciación
Eficacia del SGSI
Medidas correctivas y preventivas
Características
SGSI
Beneficios de sistemas de gestión
Plan
Modelo PDCA
ISO 27001
Organización de Seguridad
Conceptos
Recursos Humanos
Conformidad legal Seguridad Física
Gestión de comunicaciones y operaciones
Control de accesoCompras, desarrollo y mantenimiento de sistemas
Política de Seguridad
Gestión de la continuidad del negocio
Gestión de Activos
Análisis y gestión de riesgosNorma ISO 17799
