SOFTWARE MEASEGURA. METODOLOGIA PARA SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ISO 27001.

Slides:

Advertisements

Presentaciones similares

SEGURIDAD CORPORATIVA

Advertisements

Configuración de Control

Segmento GRC. Segmento GRC IT Governance Segmento E-Governance Otros Segmentos Segmento CRM Segmento E-Governance.

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

COSO I y COSO II.

Estudio del Trabajo.

NECESIDAD DE UN ESTUDIO DE TIEMPO

Control Interno Informático. Concepto

Aclaraciones de la Realización del Producto

Aclaraciones de la Medición,Análisis y Mejora 1 PUNTOS A TRATAR: GENERALIDADES Y PLANIFICACION: La planificación de las mediciones,análisis de los datos.

ANTEPROYECTO DE NORMA BOLIVIANA APNB/ISO/IEC 27005

MECOMPETE PRESENTACIÓN DEL SOFTWARE

COMPROMISO para Evaluación de Proveedores

PRESENTACION DEL SOFTWARE MEQUIPO útil para control de equipos de Medición y otros Presentación Control Equipos Derechos Reservados 2011 Derechos Reservados.

PRESENTACIÓN SOFTWARE MAPADOC

Sistema Único de Beneficiarios de Educación Superior.

METODOLOGIA PARA EVALUAR UNA APLICACIÓN EN FUNCIONAMIENTO

El Analista Gerencial: su Analista Financiero Personal

PRODUCTO NO CONFORME.

Estudio Del Trabajo.

Implantación de Six Sigma

Guía para la evaluación de seguridad en un sistema

AUDITORIA INTERNA.

presentación de ISO.TOOL

Medición, Análisis y Mejora

Universidad de Buenos Aires Facultad de Ciencias Económicas

Evaluación de Productos

Controles internos en Sistemas de Información Universidad de Buenos Aires Facultad de Ciencias Económicas Materia: Sistemas Administrativos.

WESTWIND SYSTEMS COMPONENTES: CICLO DEL PACIENTE “INGRESOS” E “INDICADORES ESTRATEGICOS”

GESTION INTEGRAL APLICADA AL RIESGO QUIMICO

Situaciones Detectadas en la Entidad…

Auditoria de aplicaciones

OBJETIVO Definir los aspectos que los líderes deben tener en cuenta antes, durante y después de los ciclos de auditorías para sacar mayor provecho a las.

ACTIVO DE SEGURIDAD Y SALUD NOVIEMBRE/02. RESOLUCION NO. 31/02 DEROGA LA RESOLUCION NO. 37 DE OCTUBRE 01 DEL MTSS, MEDIANTE LA CUAL SE DEROGO LA RESOLUCION.

EMTEC CENTRALES TELEFONICAS

Metodología de Control Interno, Seguridad y Auditoría Informática

Módulo 12 Herramienta de aseguramiento de la calidad del PSA 1.

METODOLOGÍA ADMINISTRACIÓN DE RIESGOS

Fundamentos de bases de datos:

AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.

Gestor de 360 de Competencias Descripción del Proceso.

PRESENTACIÓN CORTA SOFTWARE MEJORAMISO COMO APOYO A LA IMPLANTACIÓN Y SEGUIMIENTO DE UN SISTEMA DE GESTIÓN

VERSIÓN 05 - FORMATO ACCIONES CORRECTVAS, PREVENTIVAS Y DE MEJORA, PRODUCTO O SERVICIO NO CONFORME 2. ANÁLISIS DE CAUSAS.

Estadística La Estadística tiene por objeto recolectar, organizar, resumir, presentar y analizar datos relativos a un conjunto de objetos, personas, procesos,

Plan de Sistemas de Información (PSI)

Sistema de Invitaciones Para Compras Directas

GRUPO: RAQUEL TOVAR TOVAR JORGE LEMUS PULIDO NATALIA TORRES SALCEDO JAVIER CARDOSO CARDOSO.

ELABORACION DE UN MANUAL PARA LA INTEGRACIÓN DE LOS SISTEMAS DE GESTION DE CALIDAD, MEDIO AMBIENTE Y SEGURIDAD BASADO EN LA NORMA ISO 9001:2000, NORMA.

Diseño de Software y su Proceso

DIRECTRICES PARA LA ELABORACIÓN DE UN ESTUDIO DE IMPACTO AMBIENTAL

PLAN DEL AUDITOR INFORMÁTICO INTEGRANTES: Fabio Guevara Kenneth Ramírez Charlie Mesén.

AUDITORIAS EN SISTEMA DE GESTION INTEGRADA

Bases de Datos.

SGSI: Sistemas de Gestión de la Seguridad de la Información

Universidad de Aconcagua SISTEMA DE GESTION DE CALIDAD

METODOLOGÍA O HERRAMIENTAS PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS

TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN

Introducción al proceso de verificación y validación.

Utilizar Costo Promedio Ponderado en el Software Administrativo SAW

ROL DE FORTALECIMIENTO DE LA CULTURA DEL CONTROL.

Asesoría Relacionada a la Seguridad. Balance de Seguridad.

MUNICIPALIDAD DE SAN BORJA Ursula Adrianzén Godínez Jefe de la Unidad de Recursos Humanos INFORME SEMESTRAL DE DESEMPEÑO DEL PROCESO 1er SEMESTRE 2014.

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

VI. EVALUACIÓN DE LOS RECURSOS

Objetivos de la prueba Los objetivos principales de realizar una prueba son: Detectar un error. Tener un buen caso de prueba, es decir que tenga más probabilidad.

MODULO 4 Sistema Integrado de gestión 1 Sistema Integrado de gestión – conceptos, fundamentos y requisitos comunes MÓDULO 4.

Análisis funcional: interacción con la metodología a seguir en el análisis económico Cr. Alejandro Horjales Diciembre, 2010 III Jornadas Tributarias 2010.

Sistema de Monitoreo y Seguimiento de la Implementación del Sistema Nacional de Evaluación de la Calidad de la Educación SIMSI-SNECE.

Transcripción de la presentación:

SOFTWARE MEASEGURA

METODOLOGIA PARA SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ISO

Modulo independiente o integrado para la gestión de seguridad de activos informáticos:

EN LA CONFIGURACIÓN SE CREAN (PARAMETRIZAN) LAS TABLAS DEL SISTEMA.

EN LA PRIMERA TABLA DE LA PARAMETIZACION SE INGRESAN LOS TIPOS DE INCIDENTES INFORMATICOS El modulo maneja el requisito de Incidentes Informaticos con apoyo del modulo Mejoraccion.

SE CREAN LOS TIPOS DE ACTIVOS; PUEDE SER LOS QUE SUGIERE LA NORMA ISO 27001

SE INGRESAN LOS DATOS BASICOS DE LOS ACTIVOS INFORMATICOS

SE INGRESAN LOS EFECTOS DE RIESGOS EN ACTIVOS INFORMATICOS Especialmente los requisitos que se analizan en los activos Informaticos: Confiabilidad, Disponibilidad, Integridad

SE INGRESAN LOS OBJETIVOS DE CONTROL DE LA ULTIMA VERSION DE LA NORMA ISO Si va cambiando la norma se van actualizando los Objetivos de control en esta tabla.

AHORA COMIENZA LA METODOLOGIA CON LA VALORACION DE LOS ACTIVOS

EN LA PRIMERA ETAPA DEL METODO SE VALORAN LOS ACTIVOS INFORMATICOS DE ACUERDO A LOS REQUISITOS DE SEGURIDAD DE LA INFORMACION INCLUYENDO LA VALORACION ECONÓMICA. Además de los 3 requisitos a evaluar, se valora la parte económica del activo.

SE OBTIENE EL RESUMEN DE LA VALORACION DE TODOS LOS ACTIVOS INFORMATICOS DE IMPORTANCIA.

PROCESO DE REGISTRAR LAS AMANAZAS Y VULNERABILIDADES DE CADA ACTIVO TENIENDO EN CUENTA LOS 3 REQUISITOS FUNDAMENTALES DE SEGURIDAD DE LA INFORMACION.

Esta etapa es la de mayor análisis ya que por cada activo y por cada requisito de seguridad, se detectan las amenazas que pueden afectar al activo y las vulnerabilidades que por sus limitados controles puede tener el activo:

CON BASE EN LA INFORMACION ANTERIOR SE PUEDEN VALORAR LAS AMENAZAS Y VULNERABILIDADES DEL ACTIVO PARA OBTENER EL RIESGO DE EXPOSICION (FACTOR FUNDAMENTAL PARA CALIFICAR LA SITUACION DEL ACTIVO). Para obtener el riesgo al que esta Expuesto el activo, se cuenta con matriz de 3 por 3.

DESPUES DE DEFINIR AMENZAS Y VULNERABILIDADES SE APLICA EL ICONO EVALUACIÓN DEL RIESGO

DE ESTA MANERA SE OBTENDRAN LOS RIESGOS DE EXPOSICION DE TODOS LOS ACTIVOS

DESPUES DE OBTENER EL RIESGO DE EXPOSICION, SE SELECCIONA EL IMPACTO PARA EVALUAR EL RIESGO Y CALCULAR EL NIVEL DEL MISMO EN LA MATRIZ. Todas estas etapas requieren del buen criterio del consultor o grupo de trabajo que esta ejecutando la metodología. Se utiliza otra matriz para obtener el nivel de riesgo que mostraremos mas adelante.

AL OBTENER EL NIVEL DEL RIESGO PODEMOS REDUCIRLO

CON LOS ANTERIORES DATOS EN LA MATRIZ, EL SISTEMA PRODUCE EL NIVEL DEL RIESGO Y EL TRATAMIENTO QUE SE DEBE REALIZAR AL ACTIVO PARA REDUCIR EL RIESGO. El nivel del riesgo y el Tratamiento son obtenidos de la matriz.

PARA LOS TRATAMIENTOS CON BASE EN IMPLANTACION DE CONTROLES, SE REGISTRA EL CONTROL Y SE SELECCIONA EL OBJETIVO DE CONTROL A IMPLANTAR. En algunos casos se requiere aprobación de la dirección.

POR LA LUPA DE LA PANTALLA ANTERIOR SE PUEDE OBTENER UN DOCUMENTO DE CONTROLES E INCLUSO ACCEDER A LA EXPLICACION DE CADA UNO POR INTERNET.

POR ULTIMO REALIZAMOS EL PLAN DE ACCIÓN

SE REGISTRA LA ACCION PREVENTIVA (ANTES DE QUE OCURRA) O SE REGISTRA LA ACCION POST (DESPUES DE QUE OCURRIO)

SE IMPLANTA EL CONTROL A TRAVES DE PLANES DE ACCION PREVENTIVOS, EN DONDE EL SISTEMA ENVIA PENDIENTES, MAILS Y ALERTAS DE ATRASOS.

PARA ACCIONES POST

EN EL MENU DE INFORMES DEL MODULO SE ENCUENTRA DESDE LA INFORMACION DE LA TRAZABILIDAD DE LA METODOLOGIA HASTA VARIOS GRAFICOS DEL SUBMODULO DE INICIDENTES INFORMATICOS.

SE OBTIENE REPORTE DE ACTIVOS PARA CONSULTAR EL ESTADO DE LAS ACCIONES QUE IMPLANTAN CONTROLES.

A TRAVES DE LA MATRIZ DE EVALUACION DEL RIESGO SE PUEDE OBTENER EL ACTIVO Y SUS DETALLES ACTIVANDO LA CELDA CORRESPONDIENTE.

SE PUEDE OBTENER TODO EL DETALLE (TRAZABILIDAD) DEL ACTIVO DESPUES DE HABER APLICADO LA METODOLOGIA.

EL REPORTE DE DECLARACION DE APLICABILIDAD ES PRODUCIDO CON LOS DATOS MAS IMPORTANTES. El reporte pedido por la norma ISO 27001, donde aparece el activo con su control.

SE DISPONE DE MODULO PARA GESTIONAR LA AUDITORIAS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, CON TODAS LAS ETAPAS CORRESPONDIENTES HASTA OBTENER EL INFORME. El modulo de Auditorias hace parte de la norma ISO

EN EL MODULO DE MEJORAMIENTO SE REGISTRAN LOS INCIDENTES INFORMATICOS PARA TRATARLOS EN FORMA INMEDIATA O PARA ESTABLECER ACCIONES CORRECTIVAS O PREVENTIVAS.

SE DISPONE DE UN SUBMODULO DE INCIDENTES INFORMATICOS QUE PRODUCE VARIOS INFORMES Y GRAFICOS, COMO TIPOS DE INCIDENTES OCURRIDOS.

CANTIDAD DE INCIDENTES POR ACTIVO INFORMATICO, ENTRE OTROS:

OTROS MODULOS QUE SE PUEDEN INCLUIR PARA COMPLEMENTAR Y QUE HACEN PARTE DE LOS REQUISITOS DE LA NORMA ISO 27001: