Analiza estándares internacionales de seguridad informática

Slides:



Advertisements
Presentaciones similares
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
Advertisements

Que es ITIL? ITIL® (IT Infrastructure Library) es el marco de procesos de Gestión de Servicios de TI más aceptado. ITIL® proporciona un conjunto de mejores.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
CERTIFICACION ISO 9000, ,12207 Y MODELO CMM
Nombre: Claudia Grandi Bustillos
CENTRO DE LA TECNOLOGIA DEL DISEÑO Y LA PRODUCTIVIDAD EMPRESARIAL
METODOLOGÍAS ÁGILES “PROCESO UNIFICADO ÁGIL (AUP)
Carla Cuevas Noya Adrian Aramiz Villalba Salinas
ITIL V3 Information Technology Infrastructure Library
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Sistema de Gestión de la Calidad
Republica Bolivariana de Venezuela U.G.M.A 7mo semestre Ing. Sistema
PRESENTADO POR: PEREZ MEDEL DULCE MARIA PERALES MORALES ESTHER IVONNE
Auditoria Interna de Un SGSI
Yeimi Constanza Patiño
Evaluación de Productos
Auditoría de Sistemas y Software Trabajo Práctico ITIL Alumnas: Ayude Mariela Fernandez Alicia Malagrino Natalia.
GESTION NIVELES DE SERVICIO.
SISTEMA DOBLE INTEGRADO
Tema 2: Tareas de la gestión de la calidad
Glosarios de términos. TI: Tecnologías de información. Es la adquisición, procesamiento, almacenamiento y difusión de información de voz, imagen, texto.
1 Implementación de ISO 9000 Grupo # 8 Yomarie Gómez Carmen Mercado María Lugo 1.
El papel de los estándares como referencia: Del IT Governance al IT Security Governance.
DIRECTRICES PARA LA MEJORA DEL DESEMPEÑO
SISTEMAS DE GESTION Y HERRAMIENTAS DE CALIDAD
Gestión de la Continuidad del negocio BS BCI
Entrega de Servicios de TI1Copyright 2008 Tecnotrend SC Entrega de Servicios de TI.
Aura Viviana Cárdenas Edgar Rafael Jiménez. Una política de seguridad informática es una forma de comunicarse con los usuarios, ya que las mismas establecen.
COBIT 4.1 SISTESEG.
Universidad Técnica Nacional Auditoría de Sistemas Tema: COBIT 4.1
Gestión eficiente de las tecnologías de información con metodología ITIL: un marco inicial para la administración de Aleph Mtro. Gerardo Morales Sánchez.
ITIL ITIL significa Information Technology Infrastructure Library (Biblioteca de la Infraestructura de las Tecnologías de Información). Como su nombre.
Yohel Herrera Zuñiga Johnny Ramirez Jose Vargas
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SGSI: Sistemas de Gestión de la Seguridad de la Información
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
El rol de SQA en PIS.
Seguridad de la Información Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una.
Information Technology Infrastructure Library
2.1 Definición & Antecedentes
Metodologías Lsi. Katia Tapia A., Mae.
Control de Calidad de Software
DELITOS EMERGENTES EN INTERNET Y EL DESAFIO DE CARABINEROS DE CHILE EN LA PREVENCIÓN Y CONTROL EN LA ERA INFORMÁTICA Para el desarrollo de este trabajo.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
MATERIA: Fundamentos de TI ALUMNOS: Manuel de Jesús Palacio Hernández.
(Control Objectives for Information and related Technology)
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
Estructurar tus ideas para hacerlas realidad
Jefe del Sistema de Gestión de la Calidad y Ecoeficiencia
AUDITORÍAS MEDIOAMBIENTALES
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
QUÉ ES ITIl? (Information technology infrastucture library)
Este documento es propiedad de Servicios Profesionales en Recursos Humanos y Tecnologías S.A. de C.V., queda prohibida su reproducción.
Administración de Calidad de Software
Procesos de negocio a los que apoya COBIT y ITIL
Sistema de certificación ISO. La ISO 9000:2000 define la Gestión de la Calidad como las actividades coordinadas para dirigir y controlar una organización.
VI. EVALUACIÓN DE LOS RECURSOS
Planificación de Sistemas de Información
Contenido ¿Qué es la Normalización? Objetivos de la Normalización Que Productos se Normalizan Que son Normas Certificación de Productos Sistemas de Calidad.
Experiencia de México Taller sobre TIC y Compras Públicas.
Lic. Christian García Sección 15 D Prof: Deyanireth Duarte Gerencia de la Calidad y Productividad.
Fue desarrollado durante el 2002, como consecuencia de los acuerdos de la mesa de la Estrategia 6 del Programa para el Desarrollo de la Industria de.
ISO
ISM3 ¿Cuáles son las características generales del marco de referencia asignado? ¿Para qué se utiliza el marco de referencia asignado? ¿Cómo esta articulado.
Transcripción de la presentación:

Analiza estándares internacionales de seguridad informática 1.2 Elabora el plan de seguridad en cómputo acorde con los riesgos determinados y estándares de protección. Analiza estándares internacionales de seguridad informática

estándar

Iso e iec ISO es el acrónimo de International Organization for Standardization. Se trata de la organización desarrolladora y publicadora de Estándares Internacionales IEC IEC nace en 1906 en London, Reino Unido, y desde entonces ha estado proporcionando estándares globales a las industrias electrotécnicas mundiales.

Serie iso 27000 La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. Para la adecuada gestión de la seguridad de la información, es necesario implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad y una evaluación de los riesgos a los que está sometida la información de la organización. ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.

ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Es la norma con arreglo a la cual se certifican por auditores externos de las organizaciones. ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, como en finanzas, sanidad sector público y tecnología de la información (TI). ISO/IEC 27001 también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida

ISO/IEC 27002 (Bs 17799) ISO/IEC 27002 es un código de prácticas o de orientación o documento de referencia se basa en las mejores prácticas de seguridad de la información, esto define un proceso para evaluar, implementar, mantener y administrar la seguridad de la información. Características ISO/IEC 27002 consta de 11 secciones principales, 39 objetivos de control y controles de 134 Política de Seguridad de la Información. Organización de la Seguridad de la Información. Gestión de Activos de Información. Seguridad de los Recursos Humanos. Seguridad Física y Ambiental.

Gestión de las Comunicaciones y Operaciones. Control de Accesos. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. Gestión de Incidentes en la Seguridad de la Información. Gestión de Continuidad del Negocio. Cumplimiento.

Alcance -Aumento de la seguridad efectiva de los Sistemas de información. - Correcta planificación y gestión de la Seguridad - Garantías de continuidad del negocio. Auditoría interna - Incremento de los niveles de confianza de los clientes y socios de negocios. - Aumento del valor comercial y mejora de la imagen de la organización.

Iso 20000 Es el estándar reconocido internacionalmente en gestión de servicios de TI (Tecnologías de la Información).

Una entrega efectiva de los servicios de TI es crucial para las empresas. Hay una percepción de que estos servicios no están alineados con las necesidades y requisitos del negocio. Esto es especialmente importante tanto si se proporciona servicios internamente a clientes como si se está subcontratando proveedores. Una manera de demostrar que los servicios de TI están cumpliendo con las necesidades del negocio es implantar un Sistema de Gestión de Servicios de TI (SGSTI) basado en los requisitos de la norma ISO/IEC 20000.

Ventajas Norma ISO 20000 La norma ISO/IEC 20000 está formada por tres partes bajo el mismo título “Tecnología de la información. Gestión del servicio: ISO 20000-1: Especificaciones Esta parte de la norma ISO 20000 establece los requisitos que necesitan las empresas para diseñar, implementar y mantener la gestión de servicios TI. Esta norma ISO 20000 plantea un mapa de procesos que permite ofrecer servicios de TI con una calidad aceptable para los clientes. ISO 20000-2: Código de buenas prácticas Describe las mejoras prácticas adoptadas por la industria en relación con los procesos de gestión del servicio TI, que permite cubrir las necesidades de negocio del cliente, con los recursos acordados, así como asumir un riesgo entendido y aceptable.

ISO 20000-3: Guía sobre la definición del alcance y aplicabilidad de la norma ISO/IEC 20000-1 Proporciona orientación sobre la definición del alcance, aplicabilidad y la demostración de la conformidad con los proveedores de servicios orientados a satisfacer los requisitos de la norma ISO 20000-1, así como los proveedores de servicios que están planeando mejoras en el servicio con la intención de utilizar la norma como un objetivo de negocio.

ITIL Desarrollada a finales de los 80s, ITIL se ha convertido en un estándar para la administración de servicios. ITIL, Information Technology Infrastructure Library, es una colección de las mejores prácticas observadas en la industria de TI. Es un conjunto de libros en los cuales se encuentran documentados todos los procesos referentes a la provisión de servicios de tecnología de información hacia las organizaciones. ITIL por medio de procedimientos, roles, tareas, y responsabilidades que se pueden adaptar a cualquier organización de TI, genera una descripción detallada de mejores practicas, que permitirán tener mejor comunicación y administración en la organización de TI. Proporciona los elementos necesarios para determinar objetivos de mejora y metas que ayuden a la organización a madurar y crecer.

ITIL esta dividido en 10 procesos Incident management • Problem management • Configuration management • Change management • Release management • Función de service deskService Level management • Financial management for IT service • Availability management • Capacity management • IT service continuity management • Security management

Las ventajas de ITIL para los clientes y usuarios • Mejora la comunicación con los clientes y usuarios finales a través de los diversos puntos de contacto acordados. • Los servicios se detallan en lenguaje del cliente y con más detalles. • Se maneja mejor la calidad y los costos de los servicios. • La entrega de servicios se enfoca mas al cliente, mejorando con ello la calidad de los mismos y relación entre el cliente y el departamento de IT. • Una mayor flexibilidad y adaptabilidad de los servicios.

Ventajas de ITIL para TI • La organización TI desarrolla una estructura más clara, se vuelve más eficaz, y se centra más en los objetivos de la organización. • La administración tiene un mayor control, se estandarizan e identifican los procedimientos, y los cambios resultan más fáciles de manejar. • La estructura de procesos en IT proporciona un marco para concretar de manera mas adecuada los servicios de outsourcing. • A través de las mejores prácticas de ITIL se apoya al cambio en la cultura de TI y su orientación hacia el servicio, y se facilita la introducción de un sistema de administración de calidad. • ITIL proporciona un marco de referencia uniforme para la comunicación interna y con proveedores.

Desventajas • Tiempo y esfuerzo necesario para su implementación. • Que no de se de el cambio en la cultura de las área involucradas. • Que no se vea reflejada una mejora, por falta de entendimiento sobre procesos, indicadores y como pueden ser controlados. • Que el personal no se involucre y se comprometa. • La mejora del servicio y la reducción de costos puede no ser visible. • Que la inversión en herramientas de soporte sea escasa. Los procesos podrán parecer inútiles y no se alcancen las mejoras en los servicios.

COBIT, en inglés: Control Objectives for Information and related Technology Es una guía de mejores prácticas presentado como framework, dirigida al control y supervisión de tecnología de la información (TI). COBIT tiene 34 procesos que cubren 210 objetivos de control (específicos o detallados) clasificados en cuatro dominios: Planificación y Organización (Plan and Organize)) Adquisición e Implantacion (Acquire and Implement) Entrega y Soporte (Deliver and Support) Supervisión y Evaluación (Monitor and Evaluate)

framework En el desarrollo de software, un framework o infraestructura digital, es una estructura conceptual y tecnológica de soporte definido, normalmente con artefactos o módulos de software concretos, que puede servir de base para la organización y desarrollo de software. Típicamente, puede incluir soporte de programas, bibliotecas, y un lenguaje interpretado, entre otras herramientas, para así ayudar a desarrollar y unir los diferentes componentes de un proyecto.

“COBIT 5 para seguridad de la información puede ayudar a las empresas a reducir sus perfiles de riesgo a través de la adecuada administración de la seguridad. La información específica y las tecnologías relacionadas son cada vez más esenciales para las organizaciones, pero la seguridad de la información es esencial para la confianza de los accionistas”

ism3 (Information Security Management Maturity Model, que se pronuncia ISM), es un estandar de ISECOM para la gestión de la seguridad de la información. Está pensado para una mejorar la integración con otras metodologías y normas como COBIT, ITIL o CMMI. Ofrece muchas ventajas para la creación de sistemas de gestión de la seguridad de la información. SM3 pretende alcanzar un nivel de seguridad definido, también conocido como riesgo aceptable, en lugar de buscar la invulnerabilidad. La visión tradicional de que la seguridad de la información trata de la prevención de ataques es incompleta. ISM3 relaciona directamente los objetivos de negocio (como entregar productos a tiempo) de una organización con los objetivos de seguridad (como dar acceso a las bases de datos sólo a los usuarios autorizados).

Algunas características significativas de ISM3 son: Métricas de Seguridad de la Información: "Lo que no se puede medir, no se puede gestionar, y lo que no se puede gestionar, no se puede mejorar", ISM3 hace de la seguridad un proceso medible mediante métricas de gestión de procesos, siendo probablemente el primer estándar que lo hace. Esto permite la mejora continua del proceso, dado que hay criterios para medir la eficacia y eficiencia de los sistemas de gestión de seguridad de la información.

Niveles de Madurez: ISM3 se adapta tanto a organizaciones maduras como a emergentes mediante sus niveles de madurez, los cuales se adaptan a los objetivos de seguridad de la organización y a los recursos que están disponibles.

Basado en Procesos: ISM3 está basado en procesos, lo que lo hace especialmente atractivo para organizaciones que tienen experiencia con ISO9001 o que utilizan ITIL como modelo de gestión de TIC. El uso de ISM3 fomenta la colaboración entre proveedores y usuarios de seguridad de la información, dado que la externalización de procesos de seguridad se simplifica gracias a mecanismos explícitos, como los ANS y la distribución de responsabilidades.

Adopción de las Mejores Prácticas: Una implementación de ISM3 tiene ventajas como las extensas referencias a estándares bien conocidos en cada proceso, así como la distribución explícita de responsabilidades entre los líderes, gestores y el personal técnico usando el concepto de gestión Estratégica, Táctica y Operativa.

Certificación: Los sistemas de gestión basados en ISM3 pueden certificarse bajo ISO9001 o ISO27001, lo que quiere decir que se puede usar ISM3 para implementar un SGSI basado en ISO 27001. Esto también puede ser atractivo para organizaciones que ya están certificadas en ISO9001 y que tienen experiencia e infraestructura para ISO9001.

Accesible: Una de las principales ventajas de ISM es que los Accionistas y Directores pueden ver con mayor facilidad la Seguridad de la Información como una inversión y no como una molestia, dado que es mucho más sencillo medir su rentabilidad y comprender su utilidad.

REFRENCIAS: http://www.soporteremoto.com.mx/help_desk/articulo04.html http://es.wikipedia.org/wiki/Objetivos_de_control_para_la_informaci%C3%B3n_y_tecnolog%C3%ADas_relaciona das http://estandares-y-buenas-practicas.wikispaces.com/ISM3

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.