lunes, 21 de abril de 2014

MAPA CONCEPTUAL ISO 17799 Y RESUMEN



MAPA CONCEPTIAL 





RESUMEN  ISO 17799



La ISO 17799 es una guía de buenas prácticas de seguridad informática que presenta una extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática de la IT sino que hace una aproximación holística a la seguridad de la información abarcando todas las funcionalidades de una organización en cuanto a que puedan ser afectadas por la seguridad informática.
¿Es certificable la ISO 17799?
Definitivamente no. La ISO 17799 sólo hace recomendaciones sobre el uso de controles de seguridad. No establece requisitos cuyo cumplimiento pudiere certificarse.
¿Por qué hay confusión en el tema de la certificación?
En gran parte se debe a los errores de traducción de la norma. El original en inglés de la ISO 17799 usa la expresión verbal “should”, un término presente en algunas normas ISO y también del IETF, que por convención expresa una forma condicional a modo de recomendación y no de imposición.
Si la ISO 17799 no es certificable, ¿para qué sirve?
La ISO 17799 es prácticamente igual a la Primera Parte de la norma BS 7799, o sea la BS 7799-1. Esta norma británica tiene una Segunda Parte, BS 7799-2, que usa la expresión verbal “shall”, otro término habitual en ciertas normas, en este caso para expresar mandato u obligación. Los requisitos que se especifican de esta manera se refieren a un Plan de Seguridad constituido por un Sistema de Gestión de Seguridad Informática (SGSI), en el que se aplican los controles de seguridad de la BS 7799-1 (y por lo tanto de la ISO 17799). Los requisitos que se establecen en el SGSI de la BS 7799-2 se pueden auditar y certificar. No hay versión ISO de la BS 7799-2.
¿Además de su capacidad de ser certificable, qué otras características tiene la BS 7799-2?
El cumplimiento de la nueva versión de esta norma, BS 7799-2:2002, constituye el aseguramiento idóneo para las empresas que comparten extranets (como en B2B), así como para los bancos conforme los requisitos del Nuevo Acuerdo de Capitales Basilea II. También proporciona una interesante armonización con otras normas (como la ISO 9001 de Calidad) con el consiguiente beneficio de reducción de esfuerzos y costos.
Entonces, ¿en cuanto a gestión de la seguridad informática es suficiente con la BS 7799-2?
No exactamente, porque en primer lugar el detalle de los controles de seguridad sólo está en la BS 7799-1(y por lo tanto en la ISO 17799). La BS 7799-2 muestra cómo aplicar dichos controles y construir el plan de seguridad correspondiente.

Publicado por en No hay comentarios:

RESUMEN MAGERIT Y MAPA CONCEPTUAL Y VIDEO


MAPA CONCEPTUAL


RESUMEN MAGERIT

Objetivos del magerit
Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo
Ofrecer un método sistemático para analizar tales riesgos.
Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control
Homogeneización de informes


     Mapa de riesgos
     Evaluación de salvaguardas
     Estado de riesgos     Informes de insuficiencias
     Plan de seguridad

Etapas magerit

    Análisis de riesgos
    Gestión de riesgos
    Estimación de riesgos residual

Activos

Son los recursos del sistema de información o relacionados con este, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.
No son del mismo tipo, de acuerdo a esto las amenazas y las salvaguardas son diferentes.

Amenazas

Determinar las que puede afectar cada activo, es decir, posibles hechos que pueden ocurrir, como por ejemplo: desastres naturales y accidentes industriales.


Salvaguardas

Son aquel procedimiento o mecanismos tecnológicos que reducen el riesgo

Determinación del impacto

Es la medida del daño sobre el activo afectado por una amenaza.
     acumulado: su valor acumulado y las amenazas a que esta expuesto
       repercutido: su valor propio y las amenazas a que están expuestos los activos de los que depende.

Determinación del riesgo


Se denomina a la medida del daño probable sobre un sistema.
     Acumulado: Es el calculado sobre el activo teniendo en cuenta el impacto acumulado debido a su amenaza y la frecuencia de la amenaza
     Repercutido: Es el calculado sobre el activo teniendo en cuenta el impacto repercutido debido a su amenaza y la frecuencia de la amenaza

Gestión de riesgo


     Busca un conocimiento más realista de circunstancias que podrían afectar el servicio o proceso.
     Establece prioridades y asigna requisitos de seguridad para afrontar dichas situaciones
     Analiza los riesgos y determina el impacto y riesgo, de tal forma que debe evaluar los siguientes aspectos:

1. La interpretación de los valores de impacto y riesgo residuales.
2. Selección de salvaguardas
3. Pérdidas y ganancias

4. La actitud de la dirección




VIDEO MAGERIT







Publicado por en No hay comentarios:

RESUMEN COBIT












En respuesta a las necesidades descritas en el apartado anterior, el marco COBIT se ha creado con las principales características de ser centrado en las empresas, orientado a los procesos, controles y basada en la medición.
Orientado al negocio
La orientación de negocios es el tema principal de COBIT. Es diseñado para ser empleado no sólo por los prestadores de servicios de TI, los usuarios y auditores, sino también, y más importante, como se una orientación integral para la gestión y los negocios los dueños del proceso.
Criterios de Información de COBIT
Para satisfacer los objetivos de negocio, la información debe ajustarse a criterios de control determinados, que COBIT se refiere como negocio requisitos de información. Sobre la base de la calidad más amplio, fiduciarias y requisitos de seguridad.
Metas de Negocio y de TI
Aunque los criterios de información proporcionan un método genérico para definir los requerimientos de negocio, definiendo un conjunto de negocios y genéricos Objetivos de TI proporciona una base comercial y una más refinada para el establecimiento de requisitos de negocio y el desarrollo de las métricas que permitir la medición en contra de estos objetivos. Todas las empresas de TI utilizan para permitir que las iniciativas empresariales y estos puedan ser representados de los objetivos de negocio de TI.
Los Recursos de TI
La organización de TI ofrece a esas metas claramente definidas por un conjunto de procesos que utiliza habilidades de la gente y la tecnología infraestructura para ejecutar aplicaciones de negocio automatizados vez que aprovechan la información empresarial. Estos recursos, junto con el proceso, constituyen una arquitectura empresarial para TI.
Para responder a los requerimientos de negocio de las TI, la empresa debe invertir en los recursos necesarios para crear una adecuada capacidad técnica (por ejemplo, un sistema de planificación de recursos) para apoyar la capacidad de un negocio (por ejemplo, la aplicación de un suministro por ejemplo, de la cadena) que resulta en el resultado deseado (el aumento de las ventas y los beneficios financieros).

PROCESOS ORIENTADOS
COBIT define las actividades de TI en un modelo de proceso genérico dentro de los cuatro dominios. Estos dominios son Planear y Organizar, Adquirir y Poner en práctica, entregar y dar soporte, y monitoreo y evaluación. Los dominios de mapa para las áreas tradicionales de la responsabilidad de planificar, construir, ejecutar y supervisar.
El marco COBIT proporciona un modelo de proceso de referencia y un lenguaje común para todo el mundo en una empresa para ver y gestionar las actividades de TI.
Planear y Organizar (PO)
Este ámbito abarca la estrategia y táctica, y se refiere a la identificación de la forma en que puede contribuir mejor a la consecución de los objetivos de negocio. Por otra parte, la realización de la visión estratégica necesita ser planeada, comunicada y administrada para diferentes perspectivas. Último, una buena organización así como la infraestructura tecnológica se debe poner en su lugar.
Adquirir e Implementar (AI)
Para llevar a cabo la estrategia de TI, soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas, así como implementado e integrado en el proceso de negocio. Además, los cambios y el mantenimiento de los sistemas existentes son correspondientes a este ámbito para asegurarse de que las soluciones seguir cumpliendo los objetivos de negocio.
Entregar y dar Soporte (DS)
Este dominio se refiere a la prestación efectiva de servicios requeridos, que incluye la prestación de servicios, la gestión de la seguridad y la continuidad, el apoyo de servicios para los usuarios, y gestión de datos y las instalaciones en funcionamiento.
Monitorear y Evaluar (ME)
Todos los procesos de TI necesitan ser evaluados regularmente a través del tiempo por su calidad y cumplimiento de los requisitos de control. Este dominio de direcciones de gestión de la actuación, el seguimiento del control interno, cumplimiento normativo y proporcionar un gobierno. Normalmente aborda las cuestiones de gestión.

BASADO EN CONTROLES
Los Procesos requieren Controles
El control se define como las políticas, procedimientos, prácticas y de organización estructuras diseñadas para proporcionar seguridad razonable de que los objetivos de negocio se lograrán y no deseados eventos serán prevenidos o detectados y corregido.
Un objetivo de control de TI es una declaración del resultado deseado o propósito que se logrado mediante la aplicación de procedimientos de control en una determinada actividad de TI. Objetivos de control de COBIT son los requisitos mínimos para un control efectivo de cada proceso de TI.
Controles del Negocio y Controles de TI
El sistema de la empresa de los controles internos de TI impactos en tres niveles:
  • A nivel de gestión ejecutiva, los objetivos de negocio se definen, se establecen políticas y se toman decisiones acerca de cómo implementar y administrar los recursos de la empresa para ejecutar la estrategia empresarial.
  • A nivel de procesos de negocio, los controles se aplican a las actividades empresariales específicas. La mayoría de los procesos de negocio automatizados e integrada con los sistemas de aplicación, resultando en muchos de los controles a este nivel están automatizando así.
  • Apoyar los procesos de negocio, TI proporciona servicios de TI, por lo general en un servicio común de muchos procesos empresariales, como muchos de los desarrollo y operativos los procesos de TI se proporcionan a la empresa en su conjunto, y gran parte de la infraestructura de TI se proporciona como un servicios comunes.
Controles Generales de TI y Controles de Aplicación
Los controles generales son los controles incorporados en los procesos de TI y servicios. Los ejemplos incluyen:
  • Desarrollo de sistemas
  • Gestión del cambio
  • Seguridad
  • Explotación
COBIT asume el diseño y la implementación de la aplicación automatizada controles a la responsabilidad de las TI, incluidas en el Adquirir y Aplicar de dominio, con base en los requisitos empresariales definidos según los criterios de información de COBIT. El operativo la responsabilidad de gestión y control para los controles de aplicación no está con él, pero con el propietario de procesos de negocio.

             *********************************************************************
  
GENERADORES DE MEDICIÓN
Una necesidad básica de toda empresa es entender el estado de sus propios sistemas de TI y decidir que nivel administración y control debe proporcionar la empresa.

La obtención de una visión objetiva del nivel de desempeño propio de una empresa no es sencilla. ¿Qué se debe medir y como? Las empresas deben medir donde se encuentran y donde se requieren mejoras, e implementan un juego de herramientas gerenciales para monitorear esta mejora.
Modelo de Madurez
Cada vez con mas frecuencia, se les pide a los directivos de empresas corporativas y publicas que se considere que tan bien se esta administrando TI. Como respuesta a esto, se debe desarrollar un plan de negocio para mejorar y alcanzar el nivel apropiado de administración y control sobre la infraestructura de información.
Modelo Genérico de Madurez
0 No existente. Carencia completa de cualquier proceso reconocible. La  empresa no ha reconocido siquiera que existe un problema a resolver.
1 Inicial. Existe evidencia que la empresa a reconocido que los problemas existen y requieren resultados. Sin embargo; no existen procesos estándar en su lugar existen enfoques ad hoc que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado.
2 Repetible. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables.
3 Definido. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que el individuo decida utilizar estos procesos, y es poco probables que se detecten desviaciones. Los procedimientos en si no son sofisticados pero formalizan las prácticas existentes.
4 Administrado. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada.
5. Optimizado. Los procesos se han refinado hasta un nivel de mejor practica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida.
Medición de Desempeño
Las métricas y las metas se definen en COBIT a tres niveles:
  • Las metas y métricas de TI que definen lo que el negocio espera de TI (lo que el negocio usaría para medir a TI)
  • Metas y métricas de procesos que definen lo que el proceso de TI debe generar para <dar soporte a los objetivos de TI (como seria medido el propietario del proceso de TI)
  • Métricas de desempeño de los procesos (miden que tan bien se desempeña el proceso para indicar si es probable alcanzar las metas)
COBIT utiliza dos tipos de métrica: indicadores de metas e indicadores de desempeño. Los indicadores de metas de bajo nivel se convierten en indicadores de desempeño para los niveles altos.
El Modelo del Marco de Trabajo COBIT
El marco de trabajo COBIT, por lo tanto, relaciona los requerimientos de información y de gobierno a los objetivos de la función de servicio de TI.
Nivel de Aceptabilidad General del COBIT
COBIT se basa en el análisis y armonización de estándares y mejores practicas de TI existentes y se adapta a princiios de gobierno generalmente aceptados. Esta posicionado a un nivel alto, impulsado por los requerimientos del negocio, cubre el rango completo de actividades de TI, y se concentra en lo que se debe lograr en lugar de cómo lograr en gobierno, administración y control efectivos. Por lo tanto, funciona como un integrador de prácticas de gobierno de TI y es de interés para la dirección ejecutiva; para la gerencia del negocio, para la gerencia y gobierno de TI. Este diseñado para ser complementario y para ser usado junto con otros estándares y mejores prácticas.


Publicado por en No hay comentarios:

MAPA Y RESUMEN ISO 27001


MAPA  CONCEPTUAL ISO 27001


RESUMEN ISO 27001



La Información es un activo fundamental para el desarrollo, operativa, control y gestión del Modelo de Negocio / Servicio de cualquier Organización.
A través de sus Sistemas de Información se canalizan la práctica totalidad de las actividades corporativas, desde sus aspectos operativos hasta las decisiones gerenciales, siendo estos sistemas elementos clave en el gobierno corporativo de dichas Organizaciones, sea cual sea su tamaño y sector.
La Seguridad de la Información, extendida a todas las infraestructuras físicas, lógicas y organizativas donde se gestiona, se ha convertido en una prioridad al máximo nivel. En los entornos globalizados actuales, donde las transacciones de negocio (Empresas) y servicio (Administraciones Públicas) llevan en su praxis el sufijo “electrónico”, esta prioridad se maximiza ante las especiales características del medio en que se desarrollan y sus riesgos asociados.
Estas cuestiones derivan en la existencia de una serie de Normas estándares, aceptadas como acreditaciones de la Seguridad de la Información universalmente, y cuya implementación aporta a la Organización no solo una certificación reconocida sino, como punto fundamental, una cultura y práctica de la Seguridad que le aporta valores al negocio / servicio en muy diferentes aspectos.
  • • Mejora de la competitividad
  • • Mejora de la imagen corporativa
  • • Protección y continuidad del negocio
  • • Cumplimiento legal y reglamentario
  • • Optimización de recursos e inversión en tecnología
  • • Reducción de costes
La norma ISO/IEC 27001 especifica los requisitos para establecer, implantar, documentar y evaluar un Sistema de Gestión de la Seguridad de la Información (SGSI).
Entre las actividades propias a desarrollar al abordar una implantación a ISO27001 se encuentran:
  • • Definición del alcance del SGSI
  • • Definición de una Política de Seguridad
  • • Definición de una metodología y criterios para el Análisis y Gestión del Riesgo
  • • Identificación de riesgos
  • • Evaluación de los posibles tratamientos del riesgo
  • • Elaboración de un Declaración de Aplicabilidad de controles y requisitos
  • • Desarrollo de un Plan de Tratamiento de Riesgos
  • • Definición de métricas e indicadores de la eficiencia de los controles
  • • Desarrollo de programas de formación y concienciación en seguridad de la información
  • • Gestión de recursos y operaciones
  • • Gestión de incidencias
  • • Elaboración de procedimientos y documentación asociada
Como otras Normas de gestión (ISO 9000, ISO 14001, etc.), los requisitos de esta Norma aplican a todo tipo de Organizaciones, independientemente de su tipo, tamaño o área de actividad. Asimismo,  está basada en un enfoque por procesos y en la mejora continua, por lo tanto es perfectamente compatible e integrable con el resto de sistemas de gestión que ya existan en la Organización.
GesConsultor GRC ofrece una plataforma que integra todos los elementos necesarios para la implantación y gestión completa del ciclo de vida de un SGSI, así como otros requisitos de cumplimiento de aspectos legales, normativos, contractuales y con terceras partes que sean de aplicación al Alcance del Sistema de Gestión.
GesConsultor GRC proporciona, adicionalmente, unas capacidades diferenciadoras en su motor de cumplimiento para incorporar las nuevas versiones de las Normas y, con ello, asegurar el mantenimiento y evolución de los proyectos basados en las mismas. Este es el caso de la familia ISO 27000:2012, con publicación esperada en el año 2013.
La plena integración con  la Capa Operativa de GesConsultor GRC ofrece una colección diferencial de automatismos que permiten conseguir niveles máximos de calidad en la implementación, mantenimiento y evolución del SGSI.  Así, se minimizan las cargas internas de trabajo, sistematizando las operaciones y controles relacionados con la Seguridad TIC y enlazando directamente con los requerimientos de ISO/IEC 27001 (Monitorización, Métricas e Indicadores, Incidentes, Seguridad Gestionada, Vulnerabilidades, Formación, Gestión de Recursos, etc.).


Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)