La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD INTRODUCCIÓN ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN SEGURIDAD DE TI EN LA.

Presentaciones similares


Presentación del tema: "AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD INTRODUCCIÓN ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN SEGURIDAD DE TI EN LA."— Transcripción de la presentación:

1 AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD INTRODUCCIÓN ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN SEGURIDAD DE TI EN LA TECNOLOGÍA MARCO NORMATIVO MARCO LEGISLATIVO

2 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO PANORÁMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI (Amutio, 2007) Necesidad/obligación de demostrar que se realiza una gestión competente, efectiva y continua de la seguridad en el marco de los riesgos detectados y de que se han adoptado aquellas medidas adecuadas y proporcionadas a los riesgos a los que está expuesta la organización Conjunto articulado, sistemático, estructurado, coherente y lo más completo posible de normas

3 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANISMOS DE NORNALIZACIÓN Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR

4 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 La identificación de requisitos genéricos, incluyendo requisitos metodológicos de los servicios de seguridad para los sistemas de TSI. El desarrollo de técnicas y mecanismos de seguridad, incluyendo los procedimientos de registro y las relaciones de los componentes de seguridad. El desarrollo de guías de seguridad y documentos interpretativos. El desarrollo del soporte a la gestión, documentación y normas, incluyendo por ejemplo, terminología y criterios de evaluación. La normalización de algoritmos criptográficos para los servicios de integridad, autenticación y no repudio; así como la normalización de algoritmos criptográficos de los servicios de confidencialidad para ser utilizados conforme a las políticas internacionalmente aceptadas.

5 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 GT1: requisitos, servicios de seguridad y guías. Identificación de los requisitos de los componentes de aplicaciones y sistemas; de desarrollar normas para los servicios de seguridad; de desarrollar soporte interpretativo y, en general, de los aspectos relacionados con los sistemas de gestión de seguridad de la información. GT2: mecanismos y técnicas de seguridad. Mecanismos relacionados con la autenticación, el control de acceso, la confidencialidad, el no repudio, la gestión de claves y la integridad de los datos; así como de técnicas criptográficas o no criptográficas. GT3: criterios de evaluación de la seguridad. Evaluación de la seguridad de los productos y sistemas de tecnologías de la información. Se distinguen fundamentalmente los criterios de evaluación de la seguridad y la metodología para la aplicación de los citados criterios.

6 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 GT4: Servicios y controles de seguridad. Normas y recomendaciones para servicios y aplicaciones sobre los que se implantan controles y se logran los objetivos definidos por las especificaciones del sistema de gestión de seguridad de la información; también se ocupa de la identificación de requisitos para la elaboración de normas sobre continuidad de negocio, cyber-seguridad y subcontratación. GT5: Gestión de identidad y privacidad. Gestión de la identidad de las personas, protección de datos personales y técnicas biométricas aplicadas a este ámbito. Además, se ocupa de identificar requisitos para el desarrollo de normas en materia de control de acceso.

7 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007)

8 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANISMOS DE NORNALIZACIÓN Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR

9 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO NORMAS MÁS RELEVANTES UNE (IS 13335), guías para la gestión de la seguridad de las TI IS 15408, criterios comunes para la evaluación de la seguridad de las TI Serie ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM®)

10 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO UNE 71501, guías para la gestión de la seguridad de las TI UNE (TR ): Visión básica de conceptos y modelos usados para describir la gestión de la seguridad de TI dirigida a los responsables de seg. UNE (TR ): Planificación y gestión de la seguridad de TI para directivos responsables de desarrollo y uso de SI UNE (TR ): Técnicas de seguridad para implicados en actividades de gestión durante CV UNE (TR ): Selección de salvaguardas técnicas y organizativas en entorno no abierto UNE (TR ): Selección de salvaguardas en entorno abierto a redes externas

11 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO IS 15408: criterios comunes para la evaluación de la seguridad de las TI Bañon (2003) Regula la evaluación objetiva, repetible y comparable de las propiedades de seguridad de productos y sistemas de información. Supone: Un acuerdo internacional sobre los requisitos exigibles al método de desarrollo y sobre siete niveles discretos de esfuerzo en el desarrollo, que incluye la especificación del trabajo de los evaluadores en cada nivel Un catálogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje común para la expresión de la seguridad de los productos

12 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO IS : Define conceptos, procesos y paradigmas utilizados : Define el catálogo funcional con notas aclaratorias a su aplicación : Define el modelo de desarrollo seguro, los siete niveles de esfuerzo y las acciones de evaluación correspondientes

13 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Criterios comunes y su certificación Jiménez (2003) - Son de aplicación a las medidas de seguridad de TI implementadas en Hw, Fw o Sw. - Son ajenos a su finalidad: - Medidas de seguridad de tipo administrativo - Control de radiaciones electromagnéticas - La metodología de evaluación y el marco administrativo y legal bajo el cual se pueden aplicar - Los procedimientos para el uso de los resultados de la evaluación en la acreditación - Criterios para la valoración de las cualidades inherentes de los algoritmos criptográficos

14 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

15 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

16 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO (García, 2007) Sistemas de Gestión de la Seguridad de la Información Ante el mercado: Favorece su desarrollo Afianza la posición de la organización Potencia la imagen de marca Constituye un factor competitivo respecto a la competencia Permite superar barreras técnicas

17 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO (García, 2007) Ante los clientes: Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios Se mejora la comunicación con el cliente Mayor confianza al cliente (empresas, particulares, etc) Aumento de la satisfacción del cliente (empresas, particulares, etc) Ante la gestión de la organización: Conocimiento y depuración de los procesos internos Mejora de los procesos y de los servicios prestados Ahorro de tiempo y de recursos necesarios Mejor gestión de los recursos Estímulo para entrar en un proceso de mejora continua

18 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas

19 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

20 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Establecimiento y gestión del SGSI - definir el alcance del sistema de gestión, - definir la política del SGSI - definir la metodología para la valoración del riesgo - identificar los riesgos - elaborar un análisis y evaluación de dichos riesgos - identificar los diferentes tratamientos del riesgo - seleccionar los controles y objetivos de los mismos que posibilitarán dicho tratamiento.

21 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Implantación y puesta en marcha del SGSI - preparar un plan de tratamiento del riesgo - implantar los controles que se hayan seleccionado - medir la eficacia de dichos controles - crear programas de formación y concienciación

22 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Control y evaluación del SGSI - implantar una serie de procedimientos para el control y la revisión - puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorías de seguridad y de las mediciones - tomar las medidas correctivas y preventivas

23 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO (Llaneza, 2007) El Proyecto de Norma contiene técnicas para medir el comportamiento de los controles implantados en atención a un análisis de riesgos previo Objetivos del proceso de medida: Evaluar la eficacia de la implantación de los controles de seguridad. Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua. Proporcionar un estado de seguridad para dirigir la revisión de la gestión, facilitar las mejoras de la seguridad y contribuir a auditorías de seguridad. Comunicar el valor de la seguridad a la organización. Servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos.

24 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Control Implementación SGSI Efectividad Control Entidad atributo Resultado Criterio de Decisión Indicador Modelo Analítico Medida Derivada Función de Medición Medida Base Método de Medida Objetivo de

25 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

26 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Desarrollo de una medida Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgos, como se describe en la ISO/IEC Establecer prioridades entre controles y objetivos de control seleccionados con base en los siguientes criterios: Los requisitos de los stakeholders. La política de seguridad de la información de la organización. La información necesaria para satisfacer los requisitos legales, regulatorios y contractuales. La relación coste-beneficio del rendimiento de cada control individual u objetivo de control. Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas.

27 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Métodos de medición Auditorías internas o externas. Evaluación de riesgos y análisis de riesgos. Cuestionarios y preguntas. Utilización del registro de acontecimientos. Producción de registros, informes y pistas de auditoría. Informes de incidentes Muestras estadísticas. Pruebas.

28 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Participantes o stakeholders involucrados en cada medida, El propietario de la información y medida El cliente El recolector El comunicador El revisor

29 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Criterios para medidas válidas - Estratégica - Cuantitativa - Razonable - Interpretativa - Verificable - Evolutiva - Útil - Indivisible y bien definida - Repetible

30 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO 17799/27002 (Prats, 2007) La norma ISO es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado.

31 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

32 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ANÁLISIS Y GESTIÓN DE RIESGOS Realizar un Análisis de Riesgos formal en la organización. Realizar el Análisis de Riesgos en base a una metodología documentada y aprobada formalmente. El Análisis de Riesgos debe contemplar los activos, vulnerabilidades, las amenazas, los impactos y la evaluación del riesgo. Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas. Aprobar por la dirección los riesgos residuales. Establecer criterios formales para clasificar el riesgo. Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir). Los riesgos deben quedar a un nivel aceptado por la dirección. Tener en cuenta principios de proporcionalidad en la selección de controles considerando todos los costes asociados. Cada control debe tener asociada una forma objetiva de verificar su eficacia.

33 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO POLÍTICA DE SEGURIDAD Documento de Política de Seguridad de la Información. Revisión de la Política de Seguridad de la Información.

34 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANIZACIÓN DE LA SEGURIDAD Organización interna Comisión de gestión para la Seguridad de la Información. Coordinación de la Seguridad de la Información. Asignación de responsabilidades sobre Seguridad de la Información. Proceso de autorización de recursos para el tratamiento de la información. Acuerdos de confidencialidad. Contactos con autoridades. Contactos con grupos de interés. Revisión Independiente de la Seguridad de la Información.

35 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANIZACIÓN DE LA SEGURIDAD Partes externas Identificación de riesgos relacionados con terceros. Seguridad en las relaciones con clientes. Seguridad en contratos con terceras partes.

36 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIóN DE ACTIVOS Responsabilidad de los activos Inventario de activos. Propiedad de los activos. Uso aceptable de activos de información

37 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIóN DE ACTIVOS Clasificación de la información Guías de clasificación. Marcado y tratamiento de la información.

38 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO RECURSOS HUMANOS Antes de la contratación Perfiles y responsabilidad Revisión y verificación Términos y condiciones de la relación laboral Durante la contratación Gestión de responsabilidades Educación y capacitación en seguridad de la información Procesos disciplinarios A la finalización del contrato Responsabilidades en la finalización Devolución de activos Retirada de los derechos de acceso

39 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SEGURIDAD FÍSICA Áreas seguras Perímetro de seguridad física Controles físicos de accesos Seguridad de oficinas, despachos y recursos Protección ante amenazas externas y de entorno El trabajo en las áreas de seguridad Acceso y salida pública y Zonas de carga y descarga

40 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SEGURIDAD FÍSICA Seguridad de los equipos Localización y protección del Equipamiento Suministros Seguridad del cableado Mantenimiento de equipos Seguridad de equipos fuera de los locales de la Organización Seguridad en la reutilización o eliminación de equipos Salida de propiedades

41 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Procedimientos y responsabilidades Documentación de procedimientos operativos Gestión de cambios Segregación de tareas Separación de entornos de desarrollo, pruebas y operación

42 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la externalización Prestación de servicios Monitorización y revisión de servicios de terceras partes Gestión de cambios

43 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Planificación y aceptación Planificación de capacidades Aceptación de Sistemas Control contra código malicioso y código móvil Control contra código malicioso Control contra código móvil Copias de seguridad Copia de la información

44 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la seguridad de red Controles de redes Seguridad en servicios de red Gestión de soportes Gestión de soportes removibles Eliminación de soportes Procedimientos de utilización de la información Seguridad de la documentación de sistemas

45 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Intercambio de información Políticas y procedimientos para intercambio de información Acuerdos para intercambio Seguridad de soportes en tránsito Seguridad de la mensajería electrónica Sistemas de información de negocio Servicios de comercio electrónico Comercio electrónico Transacciones online

46 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Monitorización Registros de auditoría Revisión de uso de sistemas Protección de logs Logs de administradores y operadores Logs de fallo del sistema Sincronización de relojes

47 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Requerimientos del negocio para el control de accesos Política de control de accesos Gestión de accesos de usuario Registro de usuarios Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de los usuarios

48 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Responsabilidades de los usuarios Uso de contraseñas Equipamiento informático de usuario desatendido Política de pantallas y mesas limpias Control de accesos en red Política de uso de los servicios de red Autenticación para conexiones externas Identificación de equipos en la red Protección a puertos de diagnóstico remoto y configuración Segregación en las redes Control de conexión a las redes Control de enrutamiento en red

49 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Control de accesos al sistema operativo Procedimientos de log-on seguro Identificación y autenticación de los usuarios Sistema de gestión de contraseñas Utilización de utilidades del sistema Timeout de sesiones Limitación del tiempo de conexión Control de acceso a la información y aplicaciones Restricción de acceso a la información Aislamiento de sistemas sensibles

50 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Portátiles y teletrabajo Informática móvil y comunicaciones Teletrabajo

51 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas Análisis y especificación de los requerimientos de seguridad Procesamiento correcto de aplicaciones Validación de los datos de entrada Control de proceso interno Integridad de mensajes Validación de los datos de salida

52 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Controles criptográficos Política de uso de los controles criptográficos Gestión de claves Seguridad de los ficheros del sistema Control del software en explotación Protección de los datos de prueba del sistema Control de acceso al código fuente

53 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los procesos de desarrollo y soporte Procedimientos de cambios operacionales Revisión técnica de aplicaciones tras cambios del sistema operativo Restricción de cambios a paquetes de software Fugas de información Desarrollo externalizado Gestión de vulnerabilidades Control de vulnerabilidades técnicas

54 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE INCIDENTES DE SEGURIDAD Comunicación de eventos y debilidades de seguridad Notificación de eventos de seguridad Notificación de debilidades Gestión de incidentes y mejora de seguridad Responsabilidad y procedimientos Aprendiendo de los incidentes Recolección de evidencias

55 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE LA CONTINUIDAD DE NEGOCIO Aspectos de la seguridad de la información en la gestión de la continuidad del negocio Aspectos de la gestión de la continuidad de negocio Inclusión de seguridad en el proceso de gestión de continuidad de negocio Continuidad del negocio y análisis de riesgos Redacción e implantación de planes de continuidad incluida la seguridad de la información Marco de planificación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad

56 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONFORMIDAD LEGAL Cumplimiento de los requerimientos de seguridad Identificación de la legislación aplicable Derechos de propiedad intelectual Salvaguarda de los registros de la organización Protección de datos de carácter personal y de la intimidad de las personas Evitar el mal uso de los recursos de tratamiento de información Reglamentación de los controles de cifrado

57 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONFORMIDAD LEGAL Conformidad con políticas, estándares y cumplimiento técnico Controles de auditoría de sistemas de información Protección de las herramientas de auditoría de sistemas de información

58 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM®)

59 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SCOPE The SSE-CMM addresses security engineering activities that span the entire trusted product or secure system life cycle, including concept definition, requirements analysis, design, development, integration, installation, operations, maintenance, and decommissioning. The SSE-CMM applies to secure product developers, secure system developers and integrators, and organizations that provide security services and security engineering. The SSE-CMM applies to all types and sizes of security engineering organizations, such as commercial, government, and academic.

60 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SYSTEMS SECURITY ENGINEERING PROCESS AREAS PA01 Administer Security Controls PA02 Assess Impact PA03 Assess Security Risk PA04 Assess Threat PA05 Assess Vulnerability PA06 Build Assurance Argument PA07 Coordinate Security PA08 Monitor Security Posture PA09 Provide Security Input PA10 Specify Security Needs PA11 Verify and Validate Security

61 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES PA12 – Ensure Quality PA13 – Manage Configuration PA14 – Manage Project Risk PA15 – Monitor and Control Technical Effort PA16 – Plan Technical Effort PA17 – Define Organizations Systems Engineering Process PA18 – Improve Organizations Systems Engineering Process PA19 – Manage Product Line Evolution PA20 – Manage Systems Engineering Support Environment PA21 – Provide Ongoing Skills and Knowledge PA22 – Coordinate with Suppliers

62 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Level Base Practices are Performed Level Planning Performance 2.2 Disciplined Performance 2.3 Verifying Performance 2.4 Tracking Performance Level Defining a Standard Process 3.2 Perform the Defined Process 3.3 Coordinate the Process Level Establishing Measurable Quality Goals 4.2 Objectively Managing Performance Level Improving Organizational Capability 5.2 Improving Process Effectiveness


Descargar ppt "AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD INTRODUCCIÓN ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN SEGURIDAD DE TI EN LA."

Presentaciones similares


Anuncios Google