IX.ESTÁNDARES Y ORGANIZACIONES.

Slides:



Advertisements
Presentaciones similares
SISTEMASDE GESTION AMBIENTAL
Advertisements

Juan Antonio Pérez-Campanero Atanasio
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto
Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
AUDITORIA DE SISTEMAS Conceptos introductorios
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
ESTANDARES DE SEGURIDAD INFORMATICA – ACIS Junio
Auditoria Informática Unidad II
Estrategia TI Entendimiento estratégico
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Red nacional de información
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
CGR (Contraloría general de la república) Steven Oviedo Rodríguez
Presentación de la Norma Técnica de Seguridad de la Información
Auditoria de Sistemas Ing. En Sist. Héctor Samuel Recinos Agustín.
Licda. Johanna Acuña Loría.
GESTIÓN INTEGRADA DE CALIDAD
“Adopción de SGSI en el Sector Gobierno del PERÚ”
Ing. Diana Elizabeth Tinoco Tinoco
DE SEGURIDAD INFORMÁTICA.
Normas ISO Dr. Rubén Lijteroff Bioseguridad y Gestión Ambiental
Presentado por: José David Orozco Jiménez Marvin Estrada Ugalde
Gestión de la Continuidad del negocio BS BCI
Normas Internacionales
Entrega de Servicios de TI1Copyright 2008 Tecnotrend SC Entrega de Servicios de TI.
AUDITORIA DE LA OFIMATICA
Gestión de Calidad Ley 872 de 2003, Decreto 4110 de 2004,Decretos Departamentales 0025 y 0063 de 2005 (Decretos modificados con la reforma institucional.
SISTEMA DE GESTIÓN AMBIENTAL (SGA), ISO y 14001
TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II):
AUDITORIA INTERNAS DE CALIDAD SONOCO de Colombia Ltda. Curso de Entrenamiento de Auditores Internos de Calidad.
“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.
COBIT KARYL LARA N.. ENTREGA Y SOPORTE A este Dominio le concierne la entrega real de los servicios requeridos, que cubre desde las operaciones tradicionales.
SGSI: Sistemas de Gestión de la Seguridad de la Información
Programa de Auditoría Interna
SEGURIDAD DE LA INFORMACIÓN
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
Seguridad y Auditoria de Sistemas Ciclo
Dirección y mejora de procesos
Proveedores de servicios externos
 
Programa de Administración de Riesgos.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Procesos itil Equipo 8.
(Control Objectives for Information and related Technology)
Daniela Ovando Santander Auditoria de Sistemas
Seguridad informática
Auditoria Computacional
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
Universidad Latina CONTROL INTERNO.
Naturaleza y propósito de estrategias y políticas
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Esquema Nacional de Seguridad
VI. EVALUACIÓN DE LOS RECURSOS
Contenido ¿Qué es la Normalización? Objetivos de la Normalización Que Productos se Normalizan Que son Normas Certificación de Productos Sistemas de Calidad.
Presentación de la Norma Técnica de Seguridad de la Información.
Auditoría y Seguridad de Sistemas de Información Auditoria de Sistemas un Desafío Principales Actividades de la Auditoría de Sistemas Cr. Luis Elissondo.
Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.
MODULO 4 Sistema Integrado de gestión 1 Sistema Integrado de gestión – conceptos, fundamentos y requisitos comunes MÓDULO 4.
Órgano de Control Institucional
ISO
Transcripción de la presentación:

IX.ESTÁNDARES Y ORGANIZACIONES. UNIVERSIDAD LATINA. IX.ESTÁNDARES Y ORGANIZACIONES.

Modelo de Soluciones de Seguridad en Informática Estrategia Cumplimiento Regulaciones Reducir Riesgos Reducir Costos Administrativos Mejorar Eficiencia de Procesos Asegurar Propiedad Intelectual Asegurar Información Cliente Defenderse Contra Dsiputas Legales Retorno de la Inversión Política Cumplimiento Regulaciones Reducir Riesgos Limitar Exposición Legal Cumplimiento Personas Observancia y Recurso Reglas Claras Consecuencias Claras Línea Base Para Reglamento Arquitectura Mejorar Eficiencia de Procesos Reducir Costos Administrativos Costo de Propiedad Uso de las Tecnologías Cumplimiento Estándares Administración Integrada Proceso de Actualización y Soporte Retorno de la Inversión Diseño Rendimiento Importancia Técnica Cumplimiento Estándares Herramientas Integradas Licenciamiento Uso de las Tecnologías Proceso de Actualización y Soporte Facilidad de Uso Escalabilidad Flexibilidad Soporte Multi-Plataforma Implementación Rendimiento Importancia Técnica Cumplimiento Estándares Herramientas Integradas Uso de las Tecnologías Proceso de Actualización y Soporte Facilidad de Uso Escalabilidad Flexibilidad Costo Licenciamiento Negocio Técnico

Paradigma de Seguridad en la Industria “Muchas compañías de tecnología de información han desarrollado tecnologías para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologías sólo atienden necesidades específicas dentro de todo el ambiente de seguridad de la información. Pocas compañías tienen desarrolladas tecnologías para integrar, fácilmente, con otras tecnologías…para ayudar a proveer un más uniforme, más controlado y, por tanto, más seguro ambiente operativo.” Especialista en Seguridad, PricewaterhouseCoopers

Estandares de Seguridad Informatica. Son lineamientos generales internacionales o nacionales que tienen el propósito de lograr una buena administración de la seguridad de la información en las organizaciones.

Propósitos de los estándares. Se pueden mencionar tres razones que justifican su desarrollo e implementación en las organizaciones. 1.- Suministrar normas de seguridad a los fabricantes de productos ya que los estandares permiten establecer una serie de orientaciones y lineamientos para el desarrollo de nuevos productos en la seguridad informática 2.- Definir métricas de evaluación, de certificación y acreditación aplicadas a procesos como técnicas de gestión y al desarrollo y comercialización de productos y servicios de seguridad informática 3.- Trasmitir la confianza necesaria a los usuarios y consumidores

El Modelo es la Aplicación de Estándares Políticas de Seguridad y Seguridad Organizacional Administración y Operación de Comunicaciones Control de Acceso Clasificación de Activos y su Control Desarrollo y Mantenimiento de Sistemas Personal de Seguridad Contingencia “Business Continuity” Seguridad Física y Ambiental “Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría

Riesgos y Controles de Procesos Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente, oportunidad de mejoramiento) Controles: Son políticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable. RIESGOS ACTIVIDAD CONTROLES Para identificar los riesgos se clasifican en: De negocio Financieros Operativos De cumplimiento Fraude Para identificar los controles se clasifican en: Informática Atribuciones Procedimientos Documentación Sistema de información gerencial

El Estándar de Seguridad - ISO 17799 El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000. El estándar hace referencia a diez aspectos primordiales para la seguridad informática. Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Políticas de Seguridad.

ESTANDAR ISO 17799 - Políticas Políticas de Seguridad: Documento de la Política de Seguridad Revisión y Evaluación Seguridad Organizacional Infraestructura Ente colegiado de Seguridad Informática Coordinación de Seguridad Informática Nombramiento de Responsables de SI Proceso de autorización para oficinas de SI Personal especializado en SI Cooperación entre Organizaciones Revisión independiente de SI Seguridad de Ingreso a Terceros Identificación de riesgos por Ingreso de 3ros Requisitos en Contratos con 3ros Outsourcing Requisitos en Contratos de Outsourcing Políticas de Seguridad y Seguridad Organizacional

ESTANDAR ISO 17799 – Clasificación de Activos Responsabilidad por Activos Inventario de Activos Clasificación de Información Guías de Clasificación. Manipulación y marcación de Información Clasificación de Activos y su Control

ESTANDAR ISO 17799 - Personal Definición de Roles y Perfiles Incluir la Seguridad en la responsabilidad de roles Política de perfiles en funciones y cargos Acuerdos de confidencialidad Términos y condiciones del contrato de trabajo Entrenamiento de Usuarios Entrenamiento y Educación en SI Respuesta a Incidentes de Seguridad y “Malfuncionamiento” Reportes de Iincidentes de Seguridad Debilidades de reportes de Seguridad Reportes de “Malfuncionamiento” de software Aprendiendo de los incidentes Proceso Disciplinario Personal de Seguridad

ESTANDAR ISO 17799 – Seguridad Física Areas Seguras Perímetro de Seguridad Física Controles de entrada física Oficinas de Seguridad Trabajo en áreas seguras Areas aisladas de cargue y descargue Equipos de Seguridad Ubicación y proteción de Equipos Suministros de potencia Cableados de seguridad Mantenimiento de equipos Seguridad de equipos premisas de apagado Reuso o desecho de equipos Controles Generales Política de limpieza de escritorios y pantallas Manipulación de Propiedad Seguridad Física y Ambiental

ESTANDAR ISO 17799 Administración Procedimientos de Operaciones Procedimientos de operación documentados Control de cambio de operaciones Procedimientos de administración de incidentes Segregación de obligaciones Separación de áreas de desarrollo y operaciones Administración de instalaciones externas Planeación de Sistemas “Capacity Planning” – Planeamiento de capacidades Aceptación del sistema Protección de Software Malicioso Control de software malicioso “Housekeeping” – Mantenimiento Back – Ups de Información Logs de Operación Fallas de Logging Administración de Red Controles de red Administración de Operaciónes y Comunicaciones

ESTANDAR ISO 17799 - Administración Manipulación de Medios y Seguridad Administración de medios removibles Deshecho de medios Procedimientos de administración de información Seguridad de la documentación del sistema obligaciones Separación de áreas de desarrollo y operaciones Administración de instalaciones externas Intercambio de Información y de Software Acuerdos de intercambio de software e información Seguridad de medios en tránsito Seguridad de Comercio Electrónico Seguridad de Correo Electrónico Seguridad de sistemas de oficina electrónicos Disponibilidad pública de sistemas Otras formas de intercambio de información Administración de Operaciónes y Comunicaciones

ESTANDAR ISO 17799 - Control de Acceso Requerimientos de Negocios para Control de Acceso Políticas de Control de Acceso Administración de Acceso de Usuarios Registro de Usuarios Administrración de privilegios Administración de Constraseñas Revisión de derechos de acceso de usuarios Responsabilidad de Usuarios Utilización de contraseñas Equipo de usuarios desatendidos Control de Acceso

ESTANDAR ISO 17799 – Control de Acceso Control de Acceso a Red Políticas de uso de servicios de red Acceso reforzado Autenticación de usuarios en conexión externa Autenticación de nodos Diagnóstico Remoto de Protección de Puertos Segregación en redes Control de Conexión de Redes Control de Enrutamiento de Redes Seguridad de servicios de red Control de acceso a Sistemas Operativos Identificación automática de terminales Procedimientos de Log-on a Terminales Identificación y autenticación de usuarios Sistema de administración de contraseñas Uso de utilidades del sistema Alarma para usuarios de seguridad “Terminal Time-out” Límites de tiempo a estaciones Control de Acceso

ESTANDAR ISO 17799 – Control de Acceso Control de Acceso de Aplicaciones Restricción de Acceso a información Aislamiento de sistemas sensitivos Monitoreo de Uso y Acceso a Sistemas Loggin por eventos Identificación automática de terminales Monitoreo de uso del sistema Sincronización de reloj Computación Móvil y Teletrabajo Computación Móvil Teletrabajo Control de Acceso

ESTANDAR ISO 17799 – Desarrollo y Mantenimiento Requerimientos de Seguridad de Sistemas Rquerimientos, Análisis y Especificaciones de Seguridad Seguridad en Aplicaciones Validación de ingreso de datos Control de procesamiento Autenticación de mensajes Validación de salida de datos Controles de Encripción Política de uso de controles de encripción Encripción Firmas digitales Servicios de No repudiación Administración de claves PKI Desarrollo y Mantenimiento de Sistemas

ESTANDAR ISO 17799 – Desarrollo y Mantenimiento Seguridad de Archivos Control de Sistemas Operativos Protección de Datos Control de acceso a librería de programas Seguridad en Procesos de Desarrollo y Soporte Procesos de control de cambios Revisión técnica al cambio de S.O. Restricciones en cambios de paquetes de software Canales y código “Trojan” Desarrollo de software en “ousorcing” Desarrollo y Mantenimiento de Sistemas

ESTANDAR ISO 17799 - Contingencia Administración de la Contingencia o “Business Continuity Management” Procesos de Administración de Contingencia Contingencia y Análisis de Impacto Escritura e Implementación de Planes de Contingencia Marco de planeación de la Contingencia Chequeo, Mantenimiento y Reasignación de Planes de Contingencia Contingencia “Business Continuity”

ESTANDAR ISO 17799 - Cumplimiento Cuplimiento de Aspectos Legales Identificación de la legislación aplicable Derechos de Propiedad Intelectual Salvaguarda de Registros Organizacionales Protección de Datos y privacidad de información personal Prevención de ingreso a Edificios de procesos de Información Regulación de controles de encripción Obtención de evidencias Revisión de la Política de Seguridad y su Cumplimiento Técnico Cumplimiento de la política de seguridad Chequeo de cumplimiento técnico Cosideraciones de Auditoría Controles de auditoría de sistemas Protección de las herramientas de auditoría “Compliance” Cumplimiento de Aspectos Legales, Técnicos y Auditoría

Estándares de Seguridad - BS7799 / ISO 17799 OUTSOURCING : Objetivo: Mantener la seguridad de la información cuando la responsabilidad del procesamiento esta en manos de otra organización. Las negociaciones de outsourcing deben tener definidos claramente en los contratos suscritos, los riesgos, los controles de seguridad y los procedimientos para los sistemas de información que se encuentren dentro de los procesos que estarán en manos de la organización proveedora del outsourcing.

Estándares de Seguridad - BS7799 / ISO 17799 SEGURIDAD EN CONEXIONES CON TERCEROS: Objetivo: Mantener la seguridad de la información de la organización que es accesada por terceros. El acceso a la información de la organización por parte de terceros debe ser controlado. Se debe hacer un análisis de riesgos para determinar las implicaciones en seguridad y los requerimientos de control. Los controles que se definan deben ser definidos en el contrato que se firme con el tercero.

Estándares de Seguridad - BS7799 / ISO 17799 POLITICA DE SEGURIDAD INFORMATICA: Objetivo: Proveer directrices a la administración y soporte para la seguridad de la información. La administración debe ser capaz de definir la dirección de las políticas de Seguridad de la información. Además debe establecer un claro y firme compromiso con estas políticas y divulgarlas a través de toda la organización.

Estándares de Seguridad BS7799 / ISO 17799 POR QUE ES IMPORTANTE CONTAR CON LA IMPLANTACION DE UN ESTANDAR DE SEGURIDAD? Certificaciones ISO. Si la empresa está sometida a un proceso de compra/venta, alianza estratégica o hace parte de una cadena de valor B2B. Renegociación de primas y reaseguros. PORQUE BRINDAR SEGURIDAD ES UNA VENTAJA COMPETITIVA.

Organismos responsables de la estandirazación.- Internacionales Comisión Electrónica Internacional .- IEC Organización Internacional de Normalización .- ISO Comités Técnicos .- CT Grupos de Trabajos.- GT Estandares Estadounidenses TCSEC.- Trusted Computer System Evaluation Criteria Criterios de Evaluación de Sistemas Informáticos de Confianza

GRACIAS POR TU ATENCIÓN ..!.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.