ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN

Slides:



Advertisements
Presentaciones similares
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Advertisements

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Unidad III Sistemas de gestión de la calidad ISO 9000
Universidad Nacional de Ingeniería UNI-Norte
Aclaraciones de la Realización del Producto
Aspectos Organizativos para la Seguridad
SAN SALVADOR, EL SALVADOR, JULIO DE 2009
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
TEMA 4.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (I): ANTECEDENTES
Comprimido ARCHIformativo
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
SISTEMA DE GESTIÓN DE CALIDAD

El Proceso de la Auditoría - ISO
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Medición, Análisis y Mejora
Auditoria Informática Unidad II
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Sistema de Control de Gestión.
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
UNE-EN ISO/IEC Requisitos generales para la competencia de los laboratorios de ensayo y calibración.
SISTEMAS DE GESTIÓN DE LA ENERGÍA Aportes de la nueva Norma UNIT-ISO 50001 a la mejora del desempeño energético.
SISTEMA DOBLE INTEGRADO
Presentación de la Norma Técnica de Seguridad de la Información
Desde la seguridad de la información hasta los Sistemas de Riesgo, Continuidad y Cumplimiento - Integración SGSI - Governance & Compliance.
GESTIÓN INTEGRADA DE CALIDAD
Sistemas de gestión de la calidad en empresas que desarrollan con Genexus Amalia Álvarez Balbi Gastón Mousqués
Tres niveles de la calidad
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD EN EL TRABAJO (SG-SST)
¿Para qué ISO 17025? Ser reconocido como competente en la realización de ensayos específicos. La satisfacción de los clientes y mayor confianza en los.
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
¡Bienvenido al curso AUDITORES 17020:2012!
Modulo 7: Gestión de la Calidad Tema 4: ISO20000
Plan de Sistemas de Información (PSI)
TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II):
1. 2 Oferta académica Introducción 3 Objetivos  Comprender el concepto de Seguridad de la Información como un proceso relacionado con la gestión del.
AUDITOR AMBIENTAL LÍDER ISO 14001:2004 Introducción a los Sistemas de Gestión Ambiental.
Programa de Auditoría Interna
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
Dirección y mejora de procesos
IX.ESTÁNDARES Y ORGANIZACIONES.
SGSI: Sistemas de Gestión de la Seguridad de la Información
OBJETIVOS DE CONTROL INTERNO APLICABLES A LA AUDITORIA EN INFORMATICA
ISO 9000:2000 EFQM. MODELO EUROPEO.
CERTIFICACIÓN ISO 9001.
 
Metodologías Lsi. Katia Tapia A., Mae.
UNIVERSIDAD "ALONSO DE OJEDA" UNIVERSIDAD "ALONSO DE OJEDA"
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
AUDITORÍAS MEDIOAMBIENTALES
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
Sistemas integrados de gestión
Universidad Latina CONTROL INTERNO.
LAR 145 Capítulo C.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
SISTEMA DE GESTIÓN DE LA CALIDAD ISO 9001: AUDITORÍA INTERNA
OFICINA DE CONTROL INTERNO Segunda Jornada de Inducción y Reinducción (Bogotá, Octubre 21 de 2015 )
Presentación de la Norma Técnica de Seguridad de la Información.
MODULO 4 Sistema Integrado de gestión 1 Sistema Integrado de gestión – conceptos, fundamentos y requisitos comunes MÓDULO 4.
ISO
Transcripción de la presentación:

ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD INTRODUCCIÓN ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN SEGURIDAD DE TI EN LA TECNOLOGÍA MARCO NORMATIVO MARCO LEGISLATIVO

PANORÁMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO PANORÁMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI (Amutio, 2007) Necesidad/obligación de demostrar que se realiza una gestión competente, efectiva y continua de la seguridad en el marco de los riesgos detectados y de que se han adoptado aquellas medidas adecuadas y proporcionadas a los riesgos a los que está expuesta la organización Conjunto articulado, sistemático, estructurado, coherente y lo más completo posible de normas

ORGANISMOS DE NORNALIZACIÓN AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANISMOS DE NORNALIZACIÓN Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR

Amutio (2007) ISO/IEC JTC1/SC27 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 La identificación de requisitos genéricos, incluyendo requisitos metodológicos de los servicios de seguridad para los sistemas de TSI. El desarrollo de técnicas y mecanismos de seguridad, incluyendo los procedimientos de registro y las relaciones de los componentes de seguridad. El desarrollo de guías de seguridad y documentos interpretativos. El desarrollo del soporte a la gestión, documentación y normas, incluyendo por ejemplo, terminología y criterios de evaluación. La normalización de algoritmos criptográficos para los servicios de integridad, autenticación y no repudio; así como la normalización de algoritmos criptográficos de los servicios de confidencialidad para ser utilizados conforme a las políticas internacionalmente aceptadas.

Amutio (2007) ISO/IEC JTC1/SC27 MARCO NORMATIVO AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 GT1: requisitos, servicios de seguridad y guías. Identificación de los requisitos de los componentes de aplicaciones y sistemas; de desarrollar normas para los servicios de seguridad; de desarrollar soporte interpretativo y, en general, de los aspectos relacionados con los sistemas de gestión de seguridad de la información. GT2: mecanismos y técnicas de seguridad. Mecanismos relacionados con la autenticación, el control de acceso, la confidencialidad, el no repudio, la gestión de claves y la integridad de los datos; así como de técnicas criptográficas o no criptográficas. GT3: criterios de evaluación de la seguridad. Evaluación de la seguridad de los productos y sistemas de tecnologías de la información. Se distinguen fundamentalmente los criterios de evaluación de la seguridad y la metodología para la aplicación de los citados criterios.

Amutio (2007) ISO/IEC JTC1/SC27 MARCO NORMATIVO AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007) ISO/IEC JTC1/SC27 GT4: Servicios y controles de seguridad. Normas y recomendaciones para servicios y aplicaciones sobre los que se implantan controles y se logran los objetivos definidos por las especificaciones del sistema de gestión de seguridad de la información; también se ocupa de la identificación de requisitos para la elaboración de normas sobre continuidad de negocio, cyber-seguridad y subcontratación. GT5: Gestión de identidad y privacidad. Gestión de la identidad de las personas, protección de datos personales y técnicas biométricas aplicadas a este ámbito. Además, se ocupa de identificar requisitos para el desarrollo de normas en materia de control de acceso.

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Amutio (2007)

ORGANISMOS DE NORNALIZACIÓN AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANISMOS DE NORNALIZACIÓN Internacionales: ISO/IEC/UIT-T Europeos: CEN/CENELEC/ETSI Americano: COPANT Español: AENOR

UNE 71501 (IS 13335), guías para la gestión de la seguridad de las TI AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO NORMAS MÁS RELEVANTES UNE 71501 (IS 13335), guías para la gestión de la seguridad de las TI IS 15408, criterios comunes para la evaluación de la seguridad de las TI Serie 27000 ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM®)

UNE 71501, guías para la gestión de la seguridad de las TI AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO UNE 71501, guías para la gestión de la seguridad de las TI UNE 71501 -1 (TR 13335-1): Visión básica de conceptos y modelos usados para describir la gestión de la seguridad de TI dirigida a los responsables de seg. UNE 71501 -2 (TR 13335-2): Planificación y gestión de la seguridad de TI para directivos responsables de desarrollo y uso de SI UNE 71501 -3 (TR 13335-3): Técnicas de seguridad para implicados en actividades de gestión durante CV UNE 71501 -4 (TR 13335-4): Selección de salvaguardas técnicas y organizativas en entorno no abierto UNE 71501 -5 (TR 13335-5): Selección de salvaguardas en entorno abierto a redes externas

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO IS 15408: criterios comunes para la evaluación de la seguridad de las TI Bañon (2003) Regula la evaluación objetiva, repetible y comparable de las propiedades de seguridad de productos y sistemas de información. Supone: Un acuerdo internacional sobre los requisitos exigibles al método de desarrollo y sobre siete niveles discretos de esfuerzo en el desarrollo, que incluye la especificación del trabajo de los evaluadores en cada nivel Un catálogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje común para la expresión de la seguridad de los productos

15408 -1: Define conceptos, procesos y paradigmas utilizados AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO IS 15408 15408 -1: Define conceptos, procesos y paradigmas utilizados 15408-2: Define el catálogo funcional con notas aclaratorias a su aplicación 15408-3: Define el modelo de desarrollo seguro, los siete niveles de esfuerzo y las acciones de evaluación correspondientes

Criterios comunes y su certificación AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Criterios comunes y su certificación Jiménez (2003) Son de aplicación a las medidas de seguridad de TI implementadas en Hw, Fw o Sw. Son ajenos a su finalidad: Medidas de seguridad de tipo administrativo Control de radiaciones electromagnéticas La metodología de evaluación y el marco administrativo y legal bajo el cual se pueden aplicar Los procedimientos para el uso de los resultados de la evaluación en la acreditación Criterios para la valoración de las cualidades inherentes de los algoritmos criptográficos

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO 27001 (García, 2007) “Sistemas de Gestión de la Seguridad de la Información” Ante el mercado: Favorece su desarrollo Afianza la posición de la organización Potencia la imagen de marca Constituye un factor competitivo respecto a la competencia Permite superar barreras técnicas

ISO 27001 (García, 2007) Ante los clientes: AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO 27001 (García, 2007) Ante los clientes: Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios Se mejora la comunicación con el cliente Mayor confianza al cliente (empresas, particulares, etc) Aumento de la satisfacción del cliente (empresas, particulares, etc) Ante la gestión de la organización: Conocimiento y depuración de los procesos internos Mejora de los procesos y de los servicios prestados Ahorro de tiempo y de recursos necesarios Mejor gestión de los recursos Estímulo para entrar en un proceso de mejora continua

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO “Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas”

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

Establecimiento y gestión del SGSI AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Establecimiento y gestión del SGSI definir el alcance del sistema de gestión, definir la política del SGSI definir la metodología para la valoración del riesgo identificar los riesgos elaborar un análisis y evaluación de dichos riesgos identificar los diferentes tratamientos del riesgo seleccionar los controles y objetivos de los mismos que posibilitarán dicho tratamiento.

Implantación y puesta en marcha del SGSI AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Implantación y puesta en marcha del SGSI preparar un plan de tratamiento del riesgo implantar los controles que se hayan seleccionado medir la eficacia de dichos controles crear programas de formación y concienciación

Control y evaluación del SGSI AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Control y evaluación del SGSI implantar una serie de procedimientos para el control y la revisión puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorías de seguridad y de las mediciones tomar las medidas correctivas y preventivas

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO 27004 (Llaneza, 2007) El Proyecto de Norma 27004 contiene técnicas para medir el comportamiento de los controles implantados en atención a un análisis de riesgos previo Objetivos del proceso de medida: Evaluar la eficacia de la implantación de los controles de seguridad. Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua. Proporcionar un estado de seguridad para dirigir la revisión de la gestión, facilitar las mejoras de la seguridad y contribuir a auditorías de seguridad. Comunicar el valor de la seguridad a la organización. Servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos.

SGSI MARCO NORMATIVO AUDITORÍA Y SEGURIDAD INFORMACIÓN Resultado Objetivo de Control Criterio de Deci sión Efectividad Indicador Control Modelo Analítico Implementación Medida Derivada Función de Medición Entidad atributo atributo atributo Método de Medida Medida Base

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

Desarrollo de una medida AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Desarrollo de una medida Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgos, como se describe en la ISO/IEC 27001. Establecer prioridades entre controles y objetivos de control seleccionados con base en los siguientes criterios: Los requisitos de los stakeholders. La política de seguridad de la información de la organización. La información necesaria para satisfacer los requisitos legales, regulatorios y contractuales. La relación coste-beneficio del rendimiento de cada control individual u objetivo de control. Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas.

Auditorías internas o externas. AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Métodos de medición Auditorías internas o externas. Evaluación de riesgos y análisis de riesgos. Cuestionarios y preguntas. Utilización del registro de acontecimientos. Producción de registros, informes y pistas de auditoría. Informes de incidentes Muestras estadísticas. Pruebas.

Participantes o “stakeholders” involucrados en cada medida, AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Participantes o “stakeholders” involucrados en cada medida, El propietario de la información y medida El cliente El recolector El comunicador El revisor

Criterios para medidas válidas AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Criterios para medidas válidas Estratégica Cuantitativa Razonable Interpretativa Verificable Evolutiva Útil Indivisible y bien definida Repetible

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO 17799/27002 (Prats, 2007) La norma ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información. Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado.

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO

ANÁLISIS Y GESTIÓN DE RIESGOS AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ANÁLISIS Y GESTIÓN DE RIESGOS Realizar un Análisis de Riesgos formal en la organización. Realizar el Análisis de Riesgos en base a una metodología documentada y aprobada formalmente. El Análisis de Riesgos debe contemplar los activos, vulnerabilidades, las amenazas, los impactos y la evaluación del riesgo. Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas. Aprobar por la dirección los riesgos residuales. Establecer criterios formales para clasificar el riesgo. Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir). Los riesgos deben quedar a un nivel aceptado por la dirección. Tener en cuenta principios de proporcionalidad en la selección de controles considerando todos los costes asociados. Cada control debe tener asociada una forma objetiva de verificar su eficacia.

Revisión de la Política de Seguridad de la Información. AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO POLÍTICA DE SEGURIDAD Documento de Política de Seguridad de la Información. Revisión de la Política de Seguridad de la Información.

ORGANIZACIÓN DE LA SEGURIDAD AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANIZACIÓN DE LA SEGURIDAD Organización interna Comisión de gestión para la Seguridad de la Información. Coordinación de la Seguridad de la Información. Asignación de responsabilidades sobre Seguridad de la Información. Proceso de autorización de recursos para el tratamiento de la información. Acuerdos de confidencialidad. Contactos con autoridades. Contactos con grupos de interés. Revisión Independiente de la Seguridad de la Información.

ORGANIZACIÓN DE LA SEGURIDAD AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ORGANIZACIÓN DE LA SEGURIDAD Partes externas Identificación de riesgos relacionados con terceros. Seguridad en las relaciones con clientes. Seguridad en contratos con terceras partes.

Responsabilidad de los activos AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIóN DE ACTIVOS Responsabilidad de los activos Inventario de activos. Propiedad de los activos. Uso aceptable de activos de información

Clasificación de la información AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIóN DE ACTIVOS Clasificación de la información Guías de clasificación. Marcado y tratamiento de la información.

Antes de la contratación AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO RECURSOS HUMANOS Antes de la contratación Perfiles y responsabilidad Revisión y verificación Términos y condiciones de la relación laboral Durante la contratación Gestión de responsabilidades Educación y capacitación en seguridad de la información Procesos disciplinarios A la finalización del contrato Responsabilidades en la finalización Devolución de activos Retirada de los derechos de acceso

Perímetro de seguridad física Controles físicos de accesos AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SEGURIDAD FÍSICA Áreas seguras Perímetro de seguridad física Controles físicos de accesos Seguridad de oficinas, despachos y recursos Protección ante amenazas externas y de entorno El trabajo en las áreas de seguridad Acceso y salida pública y Zonas de carga y descarga

Seguridad de los equipos AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SEGURIDAD FÍSICA Seguridad de los equipos Localización y protección del Equipamiento Suministros Seguridad del cableado Mantenimiento de equipos Seguridad de equipos fuera de los locales de la Organización Seguridad en la reutilización o eliminación de equipos Salida de propiedades

GESTIÓN DE COMUNICACIONES Y OPERACIONES AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Procedimientos y responsabilidades Documentación de procedimientos operativos Gestión de cambios Segregación de tareas Separación de entornos de desarrollo, pruebas y operación

GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la externalización AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la externalización Prestación de servicios Monitorización y revisión de servicios de terceras partes Gestión de cambios

GESTIÓN DE COMUNICACIONES Y OPERACIONES Planificación y aceptación AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Planificación y aceptación Planificación de capacidades Aceptación de Sistemas Control contra código malicioso y código móvil Control contra código malicioso Control contra código móvil Copias de seguridad Copia de la información

GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la seguridad de red AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Gestión de la seguridad de red Controles de redes Seguridad en servicios de red Gestión de soportes Gestión de soportes removibles Eliminación de soportes Procedimientos de utilización de la información Seguridad de la documentación de sistemas

GESTIÓN DE COMUNICACIONES Y OPERACIONES Intercambio de información AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Intercambio de información Políticas y procedimientos para intercambio de información Acuerdos para intercambio Seguridad de soportes en tránsito Seguridad de la mensajería electrónica Sistemas de información de negocio Servicios de comercio electrónico Comercio electrónico Transacciones online

GESTIÓN DE COMUNICACIONES Y OPERACIONES AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE COMUNICACIONES Y OPERACIONES Monitorización Registros de auditoría Revisión de uso de sistemas Protección de logs Logs de administradores y operadores Logs de fallo del sistema Sincronización de relojes

Requerimientos del negocio para el control de accesos AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Requerimientos del negocio para el control de accesos Política de control de accesos Gestión de accesos de usuario Registro de usuarios Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de los usuarios

Responsabilidades de los usuarios AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Responsabilidades de los usuarios Uso de contraseñas Equipamiento informático de usuario desatendido Política de pantallas y mesas limpias Control de accesos en red Política de uso de los servicios de red Autenticación para conexiones externas Identificación de equipos en la red Protección a puertos de diagnóstico remoto y configuración Segregación en las redes Control de conexión a las redes Control de enrutamiento en red

Control de accesos al sistema operativo AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Control de accesos al sistema operativo Procedimientos de log-on seguro Identificación y autenticación de los usuarios Sistema de gestión de contraseñas Utilización de utilidades del sistema Timeout de sesiones Limitación del tiempo de conexión Control de acceso a la información y aplicaciones Restricción de acceso a la información Aislamiento de sistemas sensibles

Portátiles y teletrabajo AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONTROL DE ACCESO Portátiles y teletrabajo Informática móvil y comunicaciones Teletrabajo

COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas Análisis y especificación de los requerimientos de seguridad Procesamiento correcto de aplicaciones Validación de los datos de entrada Control de proceso interno Integridad de mensajes Validación de los datos de salida

COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Controles criptográficos Política de uso de los controles criptográficos Gestión de claves Seguridad de los ficheros del sistema Control del software en explotación Protección de los datos de prueba del sistema Control de acceso al código fuente

COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los procesos de desarrollo y soporte Procedimientos de cambios operacionales Revisión técnica de aplicaciones tras cambios del sistema operativo Restricción de cambios a paquetes de software Fugas de información Desarrollo externalizado Gestión de vulnerabilidades Control de vulnerabilidades técnicas

GESTIÓN DE INCIDENTES DE SEGURIDAD AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE INCIDENTES DE SEGURIDAD Comunicación de eventos y debilidades de seguridad Notificación de eventos de seguridad Notificación de debilidades Gestión de incidentes y mejora de seguridad Responsabilidad y procedimientos Aprendiendo de los incidentes Recolección de evidencias

GESTIÓN DE LA CONTINUIDAD DE NEGOCIO AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO GESTIÓN DE LA CONTINUIDAD DE NEGOCIO Aspectos de la seguridad de la información en la gestión de la continuidad del negocio Aspectos de la gestión de la continuidad de negocio Inclusión de seguridad en el proceso de gestión de continuidad de negocio Continuidad del negocio y análisis de riesgos Redacción e implantación de planes de continuidad incluida la seguridad de la información Marco de planificación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad

Cumplimiento de los requerimientos de seguridad AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONFORMIDAD LEGAL Cumplimiento de los requerimientos de seguridad Identificación de la legislación aplicable Derechos de propiedad intelectual Salvaguarda de los registros de la organización Protección de datos de carácter personal y de la intimidad de las personas Evitar el mal uso de los recursos de tratamiento de información Reglamentación de los controles de cifrado

Conformidad con políticas, estándares y cumplimiento técnico AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO CONFORMIDAD LEGAL Conformidad con políticas, estándares y cumplimiento técnico Controles de auditoría de sistemas de información Protección de las herramientas de auditoría de sistemas de información

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM®)

AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SCOPE • The SSE-CMM addresses security engineering activities that span the entire trusted product or secure system life cycle, including concept definition, requirements analysis, design, development, integration, installation, operations, maintenance, and decommissioning. • The SSE-CMM applies to secure product developers, secure system developers and integrators, and organizations that provide security services and security engineering. • The SSE-CMM applies to all types and sizes of security engineering organizations, such as commercial, government, and academic.

SYSTEMS SECURITY ENGINEERING PROCESS AREAS AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO SYSTEMS SECURITY ENGINEERING PROCESS AREAS • PA01 Administer Security Controls • PA02 Assess Impact • PA03 Assess Security Risk • PA04 Assess Threat • PA05 Assess Vulnerability • PA06 Build Assurance Argument • PA07 Coordinate Security • PA08 Monitor Security Posture • PA09 Provide Security Input • PA10 Specify Security Needs • PA11 Verify and Validate Security

PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES • PA12 – Ensure Quality • PA13 – Manage Configuration • PA14 – Manage Project Risk • PA15 – Monitor and Control Technical Effort • PA16 – Plan Technical Effort • PA17 – Define Organization’s Systems Engineering Process • PA18 – Improve Organization’s Systems Engineering Process • PA19 – Manage Product Line Evolution • PA20 – Manage Systems Engineering Support Environment • PA21 – Provide Ongoing Skills and Knowledge • PA22 – Coordinate with Suppliers

Level 1 Level 2 Level 3 Level 4 Level 5 AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO Level 1 • 1.1 Base Practices are Performed Level 2 • 2.1 Planning Performance • 2.2 Disciplined Performance • 2.3 Verifying Performance • 2.4 Tracking Performance Level 3 • 3.1 Defining a Standard Process • 3.2 Perform the Defined Process • 3.3 Coordinate the Process Level 4 • 4.1 Establishing Measurable Quality Goals • 4.2 Objectively Managing Performance Level 5 • 5.1 Improving Organizational Capability • 5.2 Improving Process Effectiveness