software measegura. metodologia para sistema de gestion de seguridad de la informacion iso 27001
TRANSCRIPT
SOFTWAREMEASEGURA
METODOLOGIA PARA SISTEMA DE GESTION DE
SEGURIDAD DE LA INFORMACION ISO 27001.
Modulo independiente o integrado para la gestión de seguridad de activos informáticos:
EN LA CONFIGURACIÓN SE CREAN (PARAMETRIZAN) LAS TABLAS DEL SISTEMA.
EN LA PRIMERA TABLA DE LA PARAMETIZACION SE INGRESAN LOS TIPOS DE INCIDENTES INFORMATICOS
El modulo maneja el requisito de Incidentes Informaticos con apoyo del modulo Mejoraccion.
SE CREAN LOS TIPOS DE ACTIVOS; PUEDE SER LOS QUE SUGIERE LA NORMA ISO 27001
SE INGRESAN LOS DATOS BASICOS DE LOS ACTIVOS INFORMATICOS
SE INGRESAN LOS EFECTOS DE RIESGOS EN ACTIVOS INFORMATICOS
Especialmente los requisitos que se analizan en los activos Informaticos: Confiabilidad, Disponibilidad, Integridad
SE INGRESAN LOS OBJETIVOS DE CONTROL DE LA ULTIMA VERSION DE LA NORMA ISO 27002
Si va cambiando la norma se van actualizando los Objetivos de control en esta tabla.
AHORA COMIENZA LA METODOLOGIA CON LA VALORACION DE LOS ACTIVOS
EN LA PRIMERA ETAPA DEL METODO SE VALORAN LOS ACTIVOS INFORMATICOS DE ACUERDO A LOS REQUISITOS DE SEGURIDAD DE LA INFORMACION INCLUYENDO LA VALORACION ECONÓMICA.
Además de los 3 requisitos a evaluar, se valora la parte económica del activo.
SE OBTIENE EL RESUMEN DE LA VALORACION DE TODOS LOS ACTIVOS INFORMATICOS DE IMPORTANCIA.
PROCESO DE REGISTRAR LAS AMANAZAS Y VULNERABILIDADES DE CADA ACTIVO TENIENDO EN CUENTA LOS 3 REQUISITOS FUNDAMENTALES DE SEGURIDAD DE LA INFORMACION.
Esta etapa es la de mayor análisis ya que por cada activo y por cada requisito de seguridad, se detectan las amenazas que pueden afectar al activo y las vulnerabilidades que por sus limitados controles puede tener el activo:
CON BASE EN LA INFORMACION ANTERIOR SE PUEDEN VALORAR LAS AMENAZAS Y VULNERABILIDADES DEL ACTIVO PARA OBTENER EL RIESGO DE EXPOSICION (FACTOR FUNDAMENTAL PARA CALIFICAR LA SITUACION DEL ACTIVO).
Para obtener el riesgo al que esta Expuesto el activo, se cuenta con matriz de 3 por 3.
DESPUES DE DEFINIR AMENZAS Y VULNERABILIDADES SE APLICA EL ICONO EVALUACIÓN DEL RIESGO
DE ESTA MANERA SE OBTENDRAN LOS RIESGOS DE EXPOSICION DE TODOS LOS ACTIVOS
DESPUES DE OBTENER EL RIESGO DE EXPOSICION, SE SELECCIONA EL IMPACTO PARA EVALUAR EL RIESGO Y CALCULAR EL NIVEL DEL MISMO EN LA MATRIZ.
Todas estas etapas requieren del buen criterio del consultor o grupo de trabajo que esta ejecutando la metodología. Se utiliza otra matriz para obtener el nivel de riesgo que mostraremos mas adelante.
AL OBTENER EL NIVEL DEL RIESGO PODEMOS REDUCIRLO
CON LOS ANTERIORES DATOS EN LA MATRIZ, EL SISTEMA PRODUCE EL NIVEL DEL RIESGO Y EL TRATAMIENTO QUE SE DEBE REALIZAR AL ACTIVO PARA REDUCIR EL RIESGO.
El nivel del riesgo y el Tratamiento son obtenidos de la matriz.
PARA LOS TRATAMIENTOS CON BASE EN IMPLANTACION DE CONTROLES, SE REGISTRA EL CONTROL Y SE SELECCIONA EL OBJETIVO DE CONTROL A IMPLANTAR.
En algunos casos se requiere aprobación de la dirección.
POR LA LUPA DE LA PANTALLA ANTERIOR SE PUEDE OBTENER UN DOCUMENTO DE CONTROLES E INCLUSO ACCEDER A LA EXPLICACION DE CADA UNO POR INTERNET.
POR ULTIMO REALIZAMOS EL PLAN DE ACCIÓN
SE REGISTRA LA ACCION PREVENTIVA (ANTES DE QUE OCURRA)O SE REGISTRA LA ACCION POST (DESPUES DE QUE OCURRIO)
SE IMPLANTA EL CONTROL A TRAVES DE PLANES DE ACCION PREVENTIVOS, EN DONDE EL SISTEMA ENVIA PENDIENTES, MAILS Y ALERTAS DE ATRASOS.
PARA ACCIONES POST
EN EL MENU DE INFORMES DEL MODULO SE ENCUENTRA DESDE LA INFORMACION DE LA TRAZABILIDAD DE LA METODOLOGIA HASTA VARIOS GRAFICOS DEL SUBMODULO DE INICIDENTES INFORMATICOS.
SE OBTIENE REPORTE DE ACTIVOS PARA CONSULTAR EL ESTADO DE LAS ACCIONES QUE IMPLANTAN CONTROLES.
A TRAVES DE LA MATRIZ DE EVALUACION DEL RIESGO SE PUEDE OBTENER EL ACTIVO Y SUS DETALLES ACTIVANDO LA CELDA CORRESPONDIENTE.
SE PUEDE OBTENER TODO EL DETALLE (TRAZABILIDAD) DEL ACTIVO DESPUES DE HABER APLICADO LA METODOLOGIA.
EL REPORTE DE DECLARACION DE APLICABILIDAD ES PRODUCIDO CON LOS DATOS MAS IMPORTANTES.
El reporte pedido por la norma ISO 27001, donde aparece el activo con su control.
SE DISPONE DE MODULO PARA GESTIONAR LA AUDITORIAS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, CON TODAS LAS ETAPAS CORRESPONDIENTES HASTA OBTENER EL INFORME.
El modulo de Auditorias hace parte de la norma ISO 27001.
EN EL MODULO DE MEJORAMIENTO SE REGISTRAN LOS INCIDENTES INFORMATICOS PARA TRATARLOS EN FORMA INMEDIATA O PARA ESTABLECER ACCIONES CORRECTIVAS O PREVENTIVAS.
SE DISPONE DE UN SUBMODULO DE INCIDENTES INFORMATICOS QUE PRODUCE VARIOS INFORMES Y GRAFICOS, COMO TIPOS DE INCIDENTES OCURRIDOS.
CANTIDAD DE INCIDENTES POR ACTIVO INFORMATICO, ENTRE OTROS:
OTROS MODULOS QUE SE PUEDEN INCLUIR PARA COMPLEMENTAR Y QUE HACEN PARTE DE LOS REQUISITOS DE LA NORMA ISO 27001:
