La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN

Publicada porJenaro Monsivais Modificado hace 10 años

Presentaciones similares

Presentación del tema: "ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN"— Transcripción de la presentación:

1 ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN
AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD INTRODUCCIÓN ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN SEGURIDAD DE TI EN LA TECNOLOGÍA MARCO NORMATIVO MARCO LEGISLATIVO

2 PANORÁMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO PANORÁMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI (Amutio, 2007) Necesidad/obligación de demostrar que se realiza una gestión competente, efectiva y continua de la seguridad en el marco de los riesgos detectados y de que se han adoptado aquellas medidas adecuadas y proporcionadas a los riesgos a los que está expuesta la organización Conjunto articulado, sistemático, estructurado, coherente y lo más completo posible de normas

3 ORGANISMOS DE NORNALIZACIÓN
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANISMOS DE NORNALIZACIÓN Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR

4 Amutio (2007) ISO/IEC JTC1/SC27
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 La identificación de requisitos genéricos, incluyendo requisitos metodológicos de los servicios de seguridad para los sistemas de TSI. El desarrollo de técnicas y mecanismos de seguridad, incluyendo los procedimientos de registro y las relaciones de los componentes de seguridad. El desarrollo de guías de seguridad y documentos interpretativos. El desarrollo del soporte a la gestión, documentación y normas, incluyendo por ejemplo, terminología y criterios de evaluación. La normalización de algoritmos criptográficos para los servicios de integridad, autenticación y no repudio; así como la normalización de algoritmos criptográficos de los servicios de confidencialidad para ser utilizados conforme a las políticas internacionalmente aceptadas.

5 Amutio (2007) ISO/IEC JTC1/SC27 MARCO NORMATIVO
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 GT1: requisitos, servicios de seguridad y guías. Identificación de los requisitos de los componentes de aplicaciones y sistemas; de desarrollar normas para los servicios de seguridad; de desarrollar soporte interpretativo y, en general, de los aspectos relacionados con los sistemas de gestión de seguridad de la información. GT2: mecanismos y técnicas de seguridad. Mecanismos relacionados con la autenticación, el control de acceso, la confidencialidad, el no repudio, la gestión de claves y la integridad de los datos; así como de técnicas criptográficas o no criptográficas. GT3: criterios de evaluación de la seguridad. Evaluación de la seguridad de los productos y sistemas de tecnologías de la información. Se distinguen fundamentalmente los criterios de evaluación de la seguridad y la metodología para la aplicación de los citados criterios.

6 Amutio (2007) ISO/IEC JTC1/SC27 MARCO NORMATIVO
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 GT4: Servicios y controles de seguridad. Normas y recomendaciones para servicios y aplicaciones sobre los que se implantan controles y se logran los objetivos definidos por las especificaciones del sistema de gestión de seguridad de la información; también se ocupa de la identificación de requisitos para la elaboración de normas sobre continuidad de negocio, cyber-seguridad y subcontratación. GT5: Gestión de identidad y privacidad. Gestión de la identidad de las personas, protección de datos personales y técnicas biométricas aplicadas a este ámbito. Además, se ocupa de identificar requisitos para el desarrollo de normas en materia de control de acceso.

7 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO Amutio (2007)

8 ORGANISMOS DE NORNALIZACIÓN
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANISMOS DE NORNALIZACIÓN Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR

9 UNE 71501 (IS 13335), guías para la gestión de la seguridad de las TI
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO NORMAS MÁS RELEVANTES UNE (IS 13335), guías para la gestión de la seguridad de las TI IS 15408, criterios comunes para la evaluación de la seguridad de las TI Serie 27000 ISO/IEC 21827: Systems Security Engineering Capability Maturity Model (SSE-CMM®)

10 UNE 71501, guías para la gestión de la seguridad de las TI
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO UNE 71501, guías para la gestión de la seguridad de las TI UNE (TR ): Visión básica de conceptos y modelos usados para describir la gestión de la seguridad de TI dirigida a los responsables de seg. UNE (TR ): Planificación y gestión de la seguridad de TI para directivos responsables de desarrollo y uso de SI UNE (TR ): Técnicas de seguridad para implicados en actividades de gestión durante CV UNE (TR ): Selección de salvaguardas técnicas y organizativas en entorno no abierto UNE (TR ): Selección de salvaguardas en entorno abierto a redes externas

11 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO IS 15408: criterios comunes para la evaluación de la seguridad de las TI Bañon (2003) Regula la evaluación objetiva, repetible y comparable de las propiedades de seguridad de productos y sistemas de información. Supone: Un acuerdo internacional sobre los requisitos exigibles al método de desarrollo y sobre siete niveles discretos de esfuerzo en el desarrollo, que incluye la especificación del trabajo de los evaluadores en cada nivel Un catálogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje común para la expresión de la seguridad de los productos

12 15408 -1: Define conceptos, procesos y paradigmas utilizados
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO IS 15408 : Define conceptos, procesos y paradigmas utilizados : Define el catálogo funcional con notas aclaratorias a su aplicación : Define el modelo de desarrollo seguro, los siete niveles de esfuerzo y las acciones de evaluación correspondientes

13 Criterios comunes y su certificación
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Criterios comunes y su certificación Jiménez (2003) Son de aplicación a las medidas de seguridad de TI implementadas en Hw, Fw o Sw. Son ajenos a su finalidad: Medidas de seguridad de tipo administrativo Control de radiaciones electromagnéticas La metodología de evaluación y el marco administrativo y legal bajo el cual se pueden aplicar Los procedimientos para el uso de los resultados de la evaluación en la acreditación Criterios para la valoración de las cualidades inherentes de los algoritmos criptográficos

14 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO

15 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO

16 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO ISO 27001 (García, 2007) “Sistemas de Gestión de la Seguridad de la Información” Ante el mercado: Favorece su desarrollo Afianza la posición de la organización Potencia la imagen de marca Constituye un factor competitivo respecto a la competencia Permite superar barreras técnicas

17 ISO 27001 (García, 2007) Ante los clientes:
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO 27001 (García, 2007) Ante los clientes: Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios Se mejora la comunicación con el cliente Mayor confianza al cliente (empresas, particulares, etc) Aumento de la satisfacción del cliente (empresas, particulares, etc) Ante la gestión de la organización: Conocimiento y depuración de los procesos internos Mejora de los procesos y de los servicios prestados Ahorro de tiempo y de recursos necesarios Mejor gestión de los recursos Estímulo para entrar en un proceso de mejora continua

18 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO “Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas”

19 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO

20 Establecimiento y gestión del SGSI
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Establecimiento y gestión del SGSI definir el alcance del sistema de gestión, definir la política del SGSI definir la metodología para la valoración del riesgo identificar los riesgos elaborar un análisis y evaluación de dichos riesgos identificar los diferentes tratamientos del riesgo seleccionar los controles y objetivos de los mismos que posibilitarán dicho tratamiento.

21 Implantación y puesta en marcha del SGSI
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Implantación y puesta en marcha del SGSI preparar un plan de tratamiento del riesgo implantar los controles que se hayan seleccionado medir la eficacia de dichos controles crear programas de formación y concienciación

22 Control y evaluación del SGSI
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Control y evaluación del SGSI implantar una serie de procedimientos para el control y la revisión puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorías de seguridad y de las mediciones tomar las medidas correctivas y preventivas

23 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO ISO 27004 (Llaneza, 2007) El Proyecto de Norma contiene técnicas para medir el comportamiento de los controles implantados en atención a un análisis de riesgos previo Objetivos del proceso de medida: Evaluar la eficacia de la implantación de los controles de seguridad. Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua. Proporcionar un estado de seguridad para dirigir la revisión de la gestión, facilitar las mejoras de la seguridad y contribuir a auditorías de seguridad. Comunicar el valor de la seguridad a la organización. Servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos.

24 SGSI MARCO NORMATIVO AUDITORÍA Y SEGURIDAD INFORMACIÓN Resultado
Objetivo de Control Criterio de Deci sión Efectividad Indicador Control Modelo Analítico Implementación Medida Derivada Función de Medición Entidad atributo atributo atributo Método de Medida Medida Base

25 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO

26 Desarrollo de una medida
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Desarrollo de una medida Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgos, como se describe en la ISO/IEC Establecer prioridades entre controles y objetivos de control seleccionados con base en los siguientes criterios: Los requisitos de los stakeholders. La política de seguridad de la información de la organización. La información necesaria para satisfacer los requisitos legales, regulatorios y contractuales. La relación coste-beneficio del rendimiento de cada control individual u objetivo de control. Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas.

27 Auditorías internas o externas.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Métodos de medición Auditorías internas o externas. Evaluación de riesgos y análisis de riesgos. Cuestionarios y preguntas. Utilización del registro de acontecimientos. Producción de registros, informes y pistas de auditoría. Informes de incidentes Muestras estadísticas. Pruebas.

28 Participantes o “stakeholders” involucrados en cada medida,
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Participantes o “stakeholders” involucrados en cada medida, El propietario de la información y medida El cliente El recolector El comunicador El revisor

29 Criterios para medidas válidas
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Criterios para medidas válidas Estratégica Cuantitativa Razonable Interpretativa Verificable Evolutiva Útil Indivisible y bien definida Repetible

30 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO ISO 17799/27002 (Prats, 2007) La norma ISO es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado.

31 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO

32 ANÁLISIS Y GESTIÓN DE RIESGOS
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ANÁLISIS Y GESTIÓN DE RIESGOS Realizar un Análisis de Riesgos formal en la organización. Realizar el Análisis de Riesgos en base a una metodología documentada y aprobada formalmente. El Análisis de Riesgos debe contemplar los activos, vulnerabilidades, las amenazas, los impactos y la evaluación del riesgo. Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas. Aprobar por la dirección los riesgos residuales. Establecer criterios formales para clasificar el riesgo. Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir). Los riesgos deben quedar a un nivel aceptado por la dirección. Tener en cuenta principios de proporcionalidad en la selección de controles considerando todos los costes asociados. Cada control debe tener asociada una forma objetiva de verificar su eficacia.

33 Revisión de la Política de Seguridad de la Información.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO POLÍTICA DE SEGURIDAD Documento de Política de Seguridad de la Información. Revisión de la Política de Seguridad de la Información.

34 ORGANIZACIÓN DE LA SEGURIDAD
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANIZACIÓN DE LA SEGURIDAD Organización interna Comisión de gestión para la Seguridad de la Información. Coordinación de la Seguridad de la Información. Asignación de responsabilidades sobre Seguridad de la Información. Proceso de autorización de recursos para el tratamiento de la información. Acuerdos de confidencialidad. Contactos con autoridades. Contactos con grupos de interés. Revisión Independiente de la Seguridad de la Información.

35 ORGANIZACIÓN DE LA SEGURIDAD
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANIZACIÓN DE LA SEGURIDAD Partes externas Identificación de riesgos relacionados con terceros. Seguridad en las relaciones con clientes. Seguridad en contratos con terceras partes.

36 Responsabilidad de los activos
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIóN DE ACTIVOS Responsabilidad de los activos Inventario de activos. Propiedad de los activos. Uso aceptable de activos de información

37 Clasificación de la información
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIóN DE ACTIVOS Clasificación de la información Guías de clasificación. Marcado y tratamiento de la información.

38 Antes de la contratación
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO RECURSOS HUMANOS Antes de la contratación Perfiles y responsabilidad Revisión y verificación Términos y condiciones de la relación laboral Durante la contratación Gestión de responsabilidades Educación y capacitación en seguridad de la información Procesos disciplinarios A la finalización del contrato Responsabilidades en la finalización Devolución de activos Retirada de los derechos de acceso

39 Perímetro de seguridad física Controles físicos de accesos
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SEGURIDAD FÍSICA Áreas seguras Perímetro de seguridad física Controles físicos de accesos Seguridad de oficinas, despachos y recursos Protección ante amenazas externas y de entorno El trabajo en las áreas de seguridad Acceso y salida pública y Zonas de carga y descarga

40 Seguridad de los equipos
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SEGURIDAD FÍSICA Seguridad de los equipos Localización y protección del Equipamiento Suministros Seguridad del cableado Mantenimiento de equipos Seguridad de equipos fuera de los locales de la Organización Seguridad en la reutilización o eliminación de equipos Salida de propiedades

41 GESTIÓN DE COMUNICACIONES Y OPERACIONES
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Procedimientos y responsabilidades Documentación de procedimientos operativos Gestión de cambios Segregación de tareas Separación de entornos de desarrollo, pruebas y operación

42 GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la externalización
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la externalización Prestación de servicios Monitorización y revisión de servicios de terceras partes Gestión de cambios

43 GESTIÓN DE COMUNICACIONES Y OPERACIONES Planificación y aceptación
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Planificación y aceptación Planificación de capacidades Aceptación de Sistemas Control contra código malicioso y código móvil Control contra código malicioso Control contra código móvil Copias de seguridad Copia de la información

44 GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la seguridad de red
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la seguridad de red Controles de redes Seguridad en servicios de red Gestión de soportes Gestión de soportes removibles Eliminación de soportes Procedimientos de utilización de la información Seguridad de la documentación de sistemas

45 GESTIÓN DE COMUNICACIONES Y OPERACIONES Intercambio de información
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Intercambio de información Políticas y procedimientos para intercambio de información Acuerdos para intercambio Seguridad de soportes en tránsito Seguridad de la mensajería electrónica Sistemas de información de negocio Servicios de comercio electrónico Comercio electrónico Transacciones online

46 GESTIÓN DE COMUNICACIONES Y OPERACIONES
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Monitorización Registros de auditoría Revisión de uso de sistemas Protección de logs Logs de administradores y operadores Logs de fallo del sistema Sincronización de relojes

47 Requerimientos del negocio para el control de accesos
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Requerimientos del negocio para el control de accesos Política de control de accesos Gestión de accesos de usuario Registro de usuarios Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de los usuarios

48 Responsabilidades de los usuarios
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Responsabilidades de los usuarios Uso de contraseñas Equipamiento informático de usuario desatendido Política de pantallas y mesas limpias Control de accesos en red Política de uso de los servicios de red Autenticación para conexiones externas Identificación de equipos en la red Protección a puertos de diagnóstico remoto y configuración Segregación en las redes Control de conexión a las redes Control de enrutamiento en red

49 Control de accesos al sistema operativo
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Control de accesos al sistema operativo Procedimientos de log-on seguro Identificación y autenticación de los usuarios Sistema de gestión de contraseñas Utilización de utilidades del sistema Timeout de sesiones Limitación del tiempo de conexión Control de acceso a la información y aplicaciones Restricción de acceso a la información Aislamiento de sistemas sensibles

50 Portátiles y teletrabajo
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Portátiles y teletrabajo Informática móvil y comunicaciones Teletrabajo

51 COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas Análisis y especificación de los requerimientos de seguridad Procesamiento correcto de aplicaciones Validación de los datos de entrada Control de proceso interno Integridad de mensajes Validación de los datos de salida

52 COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Controles criptográficos Política de uso de los controles criptográficos Gestión de claves Seguridad de los ficheros del sistema Control del software en explotación Protección de los datos de prueba del sistema Control de acceso al código fuente

53 COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los procesos de desarrollo y soporte Procedimientos de cambios operacionales Revisión técnica de aplicaciones tras cambios del sistema operativo Restricción de cambios a paquetes de software Fugas de información Desarrollo externalizado Gestión de vulnerabilidades Control de vulnerabilidades técnicas

54 GESTIÓN DE INCIDENTES DE SEGURIDAD
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE INCIDENTES DE SEGURIDAD Comunicación de eventos y debilidades de seguridad Notificación de eventos de seguridad Notificación de debilidades Gestión de incidentes y mejora de seguridad Responsabilidad y procedimientos Aprendiendo de los incidentes Recolección de evidencias

55 GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE LA CONTINUIDAD DE NEGOCIO Aspectos de la seguridad de la información en la gestión de la continuidad del negocio Aspectos de la gestión de la continuidad de negocio Inclusión de seguridad en el proceso de gestión de continuidad de negocio Continuidad del negocio y análisis de riesgos Redacción e implantación de planes de continuidad incluida la seguridad de la información Marco de planificación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad

56 Cumplimiento de los requerimientos de seguridad
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONFORMIDAD LEGAL Cumplimiento de los requerimientos de seguridad Identificación de la legislación aplicable Derechos de propiedad intelectual Salvaguarda de los registros de la organización Protección de datos de carácter personal y de la intimidad de las personas Evitar el mal uso de los recursos de tratamiento de información Reglamentación de los controles de cifrado

57 Conformidad con políticas, estándares y cumplimiento técnico
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONFORMIDAD LEGAL Conformidad con políticas, estándares y cumplimiento técnico Controles de auditoría de sistemas de información Protección de las herramientas de auditoría de sistemas de información

58 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO ISO/IEC 21827: Systems Security Engineering Capability Maturity Model (SSE-CMM®)

59 AUDITORÍA Y SEGURIDAD INFORMACIÓN
MARCO NORMATIVO SCOPE • The SSE-CMM addresses security engineering activities that span the entire trusted product or secure system life cycle, including concept definition, requirements analysis, design, development, integration, installation, operations, maintenance, and decommissioning. • The SSE-CMM applies to secure product developers, secure system developers and integrators, and organizations that provide security services and security engineering. • The SSE-CMM applies to all types and sizes of security engineering organizations, such as commercial, government, and academic.

60 SYSTEMS SECURITY ENGINEERING PROCESS AREAS
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SYSTEMS SECURITY ENGINEERING PROCESS AREAS • PA01 Administer Security Controls • PA02 Assess Impact • PA03 Assess Security Risk • PA04 Assess Threat • PA05 Assess Vulnerability • PA06 Build Assurance Argument • PA07 Coordinate Security • PA08 Monitor Security Posture • PA09 Provide Security Input • PA10 Specify Security Needs • PA11 Verify and Validate Security

61 PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES • PA12 – Ensure Quality • PA13 – Manage Configuration • PA14 – Manage Project Risk • PA15 – Monitor and Control Technical Effort • PA16 – Plan Technical Effort • PA17 – Define Organization’s Systems Engineering Process • PA18 – Improve Organization’s Systems Engineering Process • PA19 – Manage Product Line Evolution • PA20 – Manage Systems Engineering Support Environment • PA21 – Provide Ongoing Skills and Knowledge • PA22 – Coordinate with Suppliers

62 Level 1 Level 2 Level 3 Level 4 Level 5
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Level 1 • 1.1 Base Practices are Performed Level 2 • 2.1 Planning Performance • 2.2 Disciplined Performance • 2.3 Verifying Performance • 2.4 Tracking Performance Level 3 • 3.1 Defining a Standard Process • 3.2 Perform the Defined Process • 3.3 Coordinate the Process Level 4 • 4.1 Establishing Measurable Quality Goals • 4.2 Objectively Managing Performance Level 5 • 5.1 Improving Organizational Capability • 5.2 Improving Process Effectiveness

Descargar ppt "ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN"

Presentaciones similares

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Unidad III Sistemas de gestión de la calidad ISO 9000

Unidad III Sistemas de gestión de la calidad ISO 9000
Universidad Nacional de Ingeniería UNI-Norte

Universidad Nacional de Ingeniería UNI-Norte
Aclaraciones de la Realización del Producto

Aclaraciones de la Realización del Producto
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
SAN SALVADOR, EL SALVADOR, JULIO DE 2009

SAN SALVADOR, EL SALVADOR, JULIO DE 2009
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
TEMA 4.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (I): ANTECEDENTES

TEMA 4.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (I): ANTECEDENTES
Comprimido ARCHIformativo

Comprimido ARCHIformativo
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
SISTEMA DE GESTIÓN DE CALIDAD

SISTEMA DE GESTIÓN DE CALIDAD
Www.iso27002.es.

El Proceso de la Auditoría - ISO

El Proceso de la Auditoría - ISO
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

Presentaciones similares

Anuncios Google