La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

©Copyright 2013 ISACA. Todos los derechos reservados. 1.11.3 El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.

Publicada porBenito Murillo Morales Modificado hace 8 años

Presentaciones similares

Presentación del tema: "©Copyright 2013 ISACA. Todos los derechos reservados. 1.11.3 El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de."— Transcripción de la presentación:

1

2 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.11.3 El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de seguridad —Organizando la seguridad de la información —Gestión de Activos —Seguridad de Recursos Humanos —Seguridad física y ambiental —Administración de comunicaciones y operaciones —Control de acceso. —Adquisición, desarrollo y manutención de sistemas de información —Gestión de incidentes de seguridad de la información —Administración de la continuidad de negocio —Cumplimiento

3 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.11.3 El estado deseado Otras aproximaciones —Estándares de Calidad ISO (ISO 9001:2000) —Six Sigma —Publicaciones de NIST y ISF —US Federal Information Security Management Act (FISMA)

4 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.11.4 Objetivos de riesgo Debe alcanzar un nivel de riesgo que la gerencia considere aceptable. Un riesgo aceptable definido determinará los objetivos de control u otras medidas de mitigación del riesgo utilizadas. A su vez, los objetivos de control serán críticos para determinar el tipo, la naturaleza y el alcance de los controles y contramedidas que utilizará la organización para administrar el riesgo. Una forma con la que cuenta el administrador de seguridad de la información para resolver la cuestión del riesgo aceptable es mediante el desarrollo de Tiempo Objetivo de Recuperación (RTOs) que indica el tiempo apropiado de intervención (por ejemplo, durante un apagón).

5 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.11.4 Objetivos de riesgo Desarrollar los objetivos de estrategia correctos: —Por lo general requiere de un enfoque iterativo —Basado en un análisis de costos para alcanzar el estado deseado y los niveles de riesgo aceptable Los controles físicos, de procesos y procedimientos pueden ser más efectivos y menos costosos. A menudo los riesgos de procesos implican el mayor peligro Los controles técnicos probablemente no compensan adecuadamente la gestión deficiente

6 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.12 Determinación del estado actual de la seguridad La determinación del estado actual de la seguridad de la información otra actividad crítica: —Las mismas metodologías o la combinación de éstas que se aplicó para definir los objetivos de la estrategia o el estado deseado.

7 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.12.1 Riesgo actual El estado de riesgo actual se debe determinar mediante una evaluación integral de riesgos Después de la Valorización del Riesgo, debe ejecutarse una evaluación/análisis de impacto al negocio (BIA) – Mostrar el impacto de eventos adversos (por ejemplo, apagones) sobre diferentes períodos de tiempo. – Arrojar parte de la información que se requiere para desarrollar una estrategia eficaz. – El objetivo final de seguridad es brindar confianza en el proceso de negocio y minimizar el impacto que puedan ocasionar los incidentes adversos. – La estrategia debe resolver la diferencia entre niveles aceptables de impacto y el nivel actual de posibles impactos.

8 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.13 Desarrollo de la estrategia de seguridad de la información Para moverse del estado actual al estado deseado. Base para elaborar una hoja de ruta. Un conjunto de objetivos de seguridad de la información junto con procesos, métodos, herramientas y técnicas disponibles proporcionan los medios para elaborar una estrategia de seguridad.

9 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.13.1 Elementos de una estrategia Una estrategia de seguridad necesita incluir: —Recursos necesarios —Limitaciones —Hoja de ruta: Incluye personas, procesos, tecnologías y otros recursos Una arquitectura de seguridad para definir los impulsores del negocio, las relaciones de recursos y los flujos de procesos Alcanzar el estado deseado será una meta a largo plazo de una serie de proyectos.

10 ©Copyright 2013 ISACA. Todos los derechos reservados. 1.13.2 Recursos y limitaciones de la estrategia—Visión general Los recursos incluyen: Políticas Estándares Procedimientos Guías Arquitectura(s) Controles—físicos, técnicos, y procedimentales Contramedidas Defensas en capas Tecnologías Seguridad del personal Estructura organizacional Roles y responsabilidades Habilidades

11 ©Copyright 2013 ISACA. Todos los derechos reservados. Capacitación Concienciación y formación Auditorías Exigencia de cumplimiento Análisis de amenazas Análisis de vulnerabilidades Evaluación de riesgo Evaluación de impacto al negocio Análisis de dependencia de recursos Proveedores de servicios externos Otros proveedores de soporte y aseguramiento organizacional Instalaciones Seguridad ambiental 1.13.2 Recursos y limitaciones de la estrategia—Visión general

Descargar ppt "©Copyright 2013 ISACA. Todos los derechos reservados. 1.11.3 El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de."

Presentaciones similares

SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
LABORATORIOS LETI S.A.V. – Planta Guarenas

LABORATORIOS LETI S.A.V. – Planta Guarenas
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Carla Cuevas Noya Adrian Aramiz Villalba Salinas

Carla Cuevas Noya Adrian Aramiz Villalba Salinas
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Geovanni Aucancela Soliz

Geovanni Aucancela Soliz
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Medición, Análisis y Mejora

Medición, Análisis y Mejora
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Estrategia TI Entendimiento estratégico

Estrategia TI Entendimiento estratégico
Enfoque basado en procesos

Enfoque basado en procesos
Estructura Sistema de Control Interno

Estructura Sistema de Control Interno
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
GESTION NIVELES DE SERVICIO.

GESTION NIVELES DE SERVICIO.
NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS

NORMAS INTERNACIONALES DE AUDITORIA DE SISTEMAS

Presentaciones similares

Anuncios Google