View
32
Download
4
Category
Preview:
Citation preview
AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD
• INTRODUCCIÓN
• ANÁLISIS Y GESTIÓN DE RIESGOS
• SEGURIDAD DE TI EN LA ORGANIZACIÓN
• SEGURIDAD DE TI EN LA TECNOLOGÍA
• MARCO NORMATIVO
• MARCO LEGISLATIVO
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
PANORÁMICA GENERAL SOBRE NORMAS DE SEGURIDAD DE TI
(Amutio, 2007)
Necesidad/obligación de demostrar que se realiza una gestión competente, efectiva y continua de la seguridad en el marco de los riesgos detectados y de que se han adoptado aquellas medidas adecuadas y proporcionadas a los riesgos a los que
está expuesta la organización
Conjunto articulado, sistemático, estructurado, coherente y lo más completo posible de normas
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ORGANISMOS DE NORNALIZACIÓN
Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Español: AENOR
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Amutio (2007)
ISO/IEC JTC1/SC27
•La identificación de requisitos genéricos, incluyendo requisitos metodológicos de los servicios de seguridad para los sistemas de TSI.
•El desarrollo de técnicas y mecanismos de seguridad, incluyendo los procedimientos de registro y las relaciones de los componentes de seguridad.
•El desarrollo de guías de seguridad y documentos interpretativos.
•El desarrollo del soporte a la gestión, documentación y normas, incluyendo por ejemplo, terminología y criterios de evaluación.
•La normalización de algoritmos criptográficos para los servicios de integridad, autenticación y no repudio; así como la normalización de algoritmos criptográficos de los servicios de confidencialidad para ser utilizados conforme a las políticas internacionalmente aceptadas.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Amutio (2007)
ISO/IEC JTC1/SC27
GT1: requisitos, servicios de seguridad y guías. Identificación de los requisitos de los componentes de aplicaciones y sistemas; de desarrollar normas para los servicios de seguridad; de desarrollar soporte interpretativo y, en general, de los aspectos relacionados con los sistemas de gestión de seguridad de la información.
GT2: mecanismos y técnicas de seguridad. Mecanismos relacionados con la autenticación, el control de acceso, la confidencialidad, el no repudio, la gestión de claves y la integridad de los datos; así como de técnicas criptográficas o no criptográficas.
GT3: criterios de evaluación de la seguridad. Evaluación de la seguridad de los productos y sistemas de tecnologías de la información. Se distinguen fundamentalmente los criterios de evaluación de la seguridad y la metodología para la aplicación de los citados criterios.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Amutio (2007)
ISO/IEC JTC1/SC27
GT4: Servicios y controles de seguridad. Normas y recomendaciones para servicios y aplicaciones sobre los que se implantan controles y se logran los objetivos definidos por las especificaciones del sistema de gestión de seguridad de la información; también se ocupa de la identificación de requisitos para la elaboración de normas sobre continuidad de negocio, cyber-seguridad y subcontratación.
GT5: Gestión de identidad y privacidad. Gestión de la identidad de las personas, protección de datos personales y técnicas biométricas aplicadas a este ámbito. Además, se ocupa de identificar requisitos para el desarrollo de normas en materia de control de acceso.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Amutio (2007)
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ORGANISMOS DE NORNALIZACIÓN
Internacionales: ISO/IEC/UIT-T
Europeos: CEN/CENELEC/ETSI
Americano: COPANT
Español: AENOR
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
NORMAS MÁS RELEVANTES
• UNE 71501 (IS 13335), guías para la gestión de la seguridad de las TI
• IS 15408, criterios comunes para la evaluación de la seguridad de las TI
• Serie 27000
• ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM®)
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
UNE 71501, guías para la gestión de la seguridad de las TI
• UNE 71501 -1 (TR 13335-1): Visión básica de conceptos y modelos usados para describir la gestión de la seguridad de TI dirigida a los responsables de seg.
• UNE 71501 -2 (TR 13335-2): Planificación y gestión de la seguridad de TI para directivos responsables de desarrollo y uso de SI
• UNE 71501 -3 (TR 13335-3): Técnicas de seguridad para implicados en actividades de gestión durante CV
• UNE 71501 -4 (TR 13335-4): Selección de salvaguardas técnicas y organizativas en entorno no abierto
• UNE 71501 -5 (TR 13335-5): Selección de salvaguardas en entorno abierto a redes externas
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
IS 15408: criterios comunes para la evaluación de la seguridad de las TI
Bañon (2003)
Regula la evaluación objetiva, repetible y comparable de las propiedades de seguridad de productos y sistemas de información. Supone:
• Un acuerdo internacional sobre los requisitos exigibles al método de desarrollo y sobre siete niveles discretos de esfuerzo en el desarrollo, que incluye la especificación del trabajo de los evaluadores en cada nivel
• Un catálogo coherente y relacionado de funciones de seguridad que permiten establecer un lenguaje común para la expresión de la seguridad de los productos
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
IS 15408
•15408 -1: Define conceptos, procesos y paradigmas utilizados
•15408-2: Define el catálogo funcional con notas aclaratorias a su aplicación
•15408-3: Define el modelo de desarrollo seguro, los siete niveles de esfuerzo y las acciones de evaluación correspondientes
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Criterios comunes y su certificaciónJiménez (2003)
- Son de aplicación a las medidas de seguridad de TI implementadas en Hw, Fw o Sw.
- Son ajenos a su finalidad:
- Medidas de seguridad de tipo administrativo
- Control de radiaciones electromagnéticas
- La metodología de evaluación y el marco administrativo y legal bajo el cual se pueden aplicar
- Los procedimientos para el uso de los resultados de la evaluación en la acreditación
- Criterios para la valoración de las cualidades inherentes de los algoritmos criptográficos
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Numeración Estado de situación
27000 En proyecto: Information security management fundamentals and vocabulary.
27001 ISO/IEC IS 27001:2005 Information technology Security techniques - Information security management systems. Norma disponible desde el 14 de octubre de 2005.
27002 ISO/IEC IS 17799:2005 Information technology – Security techniques – Code of practice for information security management. Norma disponible desde el 10 de junio de 2005. La numeración '27002' entra en vigor en abril de 2007.
27003 En proyecto: Information security management system implementation guidance.
27004 En proyecto: Information technology Security techniques - Information security management measurements.
27005 En proyecto: Information Security Risk Management.
27006 En proyecto: Requirements for the accreditation of bodies providing certification of information security management systems.
27007 En reserva.
27008 En reserva.
27009 En reserva.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Áreas Proyectos, normas e informes técnicos
Riesgos 27005
Política 27000, 27001, 17799
Organización de la seguridad de la información 27001, 17799
Gestión de activos 27005, 15816
Recursos humanos -
Entorno físico -
Communicaciones y gestión de explotación 18028-1, 18028-2, 18028-3, 18028-4, 18028-5
Control de acceso 14516, 15816, 15945
Adquisición y mantenimiento 15945
Gestión de incidents 15947, 18043, 18044
Gestión de la continuidad 24762
Conformidad 13335-2
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ISO 27001(García, 2007)
“Sistemas de Gestión de la Seguridad de la Información”
Ante el mercado:
•Favorece su desarrollo
•Afianza la posición de la organización
•Potencia la imagen de marca
•Constituye un factor competitivo respecto a la competencia
•Permite superar barreras técnicas
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ISO 27001(García, 2007)
Ante los clientes:•Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la prestación de servicios •Se mejora la comunicación con el cliente •Mayor confianza al cliente (empresas, particulares, etc)•Aumento de la satisfacción del cliente (empresas, particulares, etc)
Ante la gestión de la organización:•Conocimiento y depuración de los procesos internos•Mejora de los procesos y de los servicios prestados•Ahorro de tiempo y de recursos necesarios•Mejor gestión de los recursos•Estímulo para entrar en un proceso de mejora continua
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
“Esta norma internacional especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI
documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para
la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales
o partes de las mismas”
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Establecimiento y gestión del SGSI
- definir el alcance del sistema de gestión,
- definir la política del SGSI
- definir la metodología para la valoración del riesgo
- identificar los riesgos
- elaborar un análisis y evaluación de dichos riesgos
- identificar los diferentes tratamientos del riesgo
- seleccionar los controles y objetivos de los mismos que posibilitarán dicho tratamiento.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Implantación y puesta en marcha del SGSI
- preparar un plan de tratamiento del riesgo
- implantar los controles que se hayan seleccionado
- medir la eficacia de dichos controles
- crear programas de formación y concienciación
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Control y evaluación del SGSI
- implantar una serie de procedimientos para el control y la revisión
- puesta en marcha de una serie de revisiones regulares sobre la eficacia del SGSI, a partir de los resultados de las auditorías de seguridad y de las mediciones
- tomar las medidas correctivas y preventivas
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ISO 27004(Llaneza, 2007)
• El Proyecto de Norma 27004 contiene técnicas para medir el comportamiento de los controles implantados en atención a un análisis de riesgos previo
• Objetivos del proceso de medida: • Evaluar la eficacia de la implantación de los controles de seguridad. • Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua. • Proporcionar un estado de seguridad para dirigir la revisión de la gestión, facilitar las mejoras de la seguridad y contribuir a auditorías de seguridad. • Comunicar el valor de la seguridad a la organización. • Servir como aportación al plan de tratamiento de riesgos y de evaluación de riesgos.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Control
Implementación
SGSI
Efectividad
Control
Entidad atributo
atributo
atributo
Resultado
Criterio de Deci sión
Indicador
Modelo Analítico
Medida Derivada
Función de Medición
Medida Base Método de Medida
Objetivo de
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Partes Interesadas Partes Interesadas
Prepararse para las medidas
- Requisitos de negocio- Política de Seguridad- Gestión de Riesgo- Selección de Control
Mejoras
- Identificar mejoras- Redefinir controles- Actualizar medidas
Definir Medidas
- Identificar los requisitos de negocio para medir e informar- Determinar las medidas de efectividad requeridas para los controles elegidos
Recoger y analizar datos
- Medidas de control- Conciencia
Evaluar e informar de los resultados
- Supervisar- Auditar- Medir
Información de Requisitos de Seguridad y Expectativas
Información de Seguridad Gestionada
Establecer SGSI
Monitorizar y Revisar el SGSI
Implementar y Manejar el SGSI
Mantener y Mejorar el SGSI
Plan
Do
Check
Act
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Desarrollo de una medida
Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgos, como se describe en la ISO/IEC 27001.
Establecer prioridades entre controles y objetivos de control seleccionados con base en los siguientes criterios:
• Los requisitos de los stakeholders.• La política de seguridad de la información de la organización.• La información necesaria para satisfacer los requisitos legales,
regulatorios y contractuales.• La relación coste-beneficio del rendimiento de cada control
individual u objetivo de control.
Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Métodos de medición
• Auditorías internas o externas.
• Evaluación de riesgos y análisis de riesgos.
• Cuestionarios y preguntas.
• Utilización del registro de acontecimientos.
• Producción de registros, informes y pistas de auditoría.
• Informes de incidentes
• Muestras estadísticas.
• Pruebas.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Participantes o “stakeholders” involucrados en cada medida,
• El propietario de la información y medida
• El cliente
• El recolector
• El comunicador
• El revisor
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Criterios para medidas válidas
- Estratégica
- Cuantitativa
- Razonable
- Interpretativa
- Verificable
- Evolutiva
- Útil
- Indivisible y bien definida
- Repetible
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ISO 17799/27002(Prats, 2007)
• La norma ISO 17799 es un conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información.
• Los objetivos de seguridad recogen aquellos aspectos fundamentales que se deben analizar para conseguir un sistema seguro en cada una de las áreas que los agrupa. Para conseguir cada uno de estos objetivos la norma propone una serie de medidas o recomendaciones (controles) que son los que en definitiva aplicaremos para la gestión del riesgo analizado.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ANÁLISIS Y GESTIÓN DE RIESGOS • Realizar un Análisis de Riesgos formal en la organización.
• Realizar el Análisis de Riesgos en base a una metodología documentada y aprobada formalmente.
• El Análisis de Riesgos debe contemplar los activos, vulnerabilidades, las amenazas, los impactos y la evaluación del riesgo.
• Incluir en el análisis de riesgos todos los activos incluidos en el alcance del SGSI y considerar las relaciones externas.
• Aprobar por la dirección los riesgos residuales.
• Establecer criterios formales para clasificar el riesgo.
• Establecer una clasificación de riesgos y aprobar por la dirección las decisiones sobre cada uno de ellos (asumir, reducir, eliminar o transferir).
• Los riesgos deben quedar a un nivel aceptado por la dirección.
• Tener en cuenta principios de proporcionalidad en la selección de controles considerando todos los costes asociados.
• Cada control debe tener asociada una forma objetiva de verificar su eficacia.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
POLÍTICA DE SEGURIDAD
• Documento de Política de Seguridad de la Información.
•Revisión de la Política de Seguridad de la Información.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ORGANIZACIÓN DE LA SEGURIDAD
Organización interna
•Comisión de gestión para la Seguridad de la Información.
•Coordinación de la Seguridad de la Información.
•Asignación de responsabilidades sobre Seguridad de la Información.
•Proceso de autorización de recursos para el tratamiento de la información.
•Acuerdos de confidencialidad.
•Contactos con autoridades.
•Contactos con grupos de interés.
•Revisión Independiente de la Seguridad de la Información.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ORGANIZACIÓN DE LA SEGURIDAD
Partes externas
•Identificación de riesgos relacionados con terceros.
•Seguridad en las relaciones con clientes.
•Seguridad en contratos con terceras partes.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIóN DE ACTIVOS
Responsabilidad de los activos
•Inventario de activos.
•Propiedad de los activos.
•Uso aceptable de activos de información
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIóN DE ACTIVOS
Clasificación de la información
•Guías de clasificación.
•Marcado y tratamiento de la información.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
RECURSOS HUMANOS
Antes de la contratación
•Perfiles y responsabilidad•Revisión y verificación•Términos y condiciones de la relación laboral
Durante la contratación•Gestión de responsabilidades•Educación y capacitación en seguridad de la información•Procesos disciplinarios
A la finalización del contrato•Responsabilidades en la finalización•Devolución de activos•Retirada de los derechos de acceso
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
SEGURIDAD FÍSICA
Áreas seguras
•Perímetro de seguridad física
•Controles físicos de accesos
•Seguridad de oficinas, despachos y recursos
•Protección ante amenazas externas y de entorno
•El trabajo en las áreas de seguridad
•Acceso y salida pública y Zonas de carga y descarga
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
SEGURIDAD FÍSICA
Seguridad de los equipos
•Localización y protección del Equipamiento
•Suministros
•Seguridad del cableado
•Mantenimiento de equipos
•Seguridad de equipos fuera de los locales de la Organización
•Seguridad en la reutilización o eliminación de equipos
•Salida de propiedades
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Procedimientos y responsabilidades
•Documentación de procedimientos operativos
•Gestión de cambios
•Segregación de tareas
•Separación de entornos de desarrollo, pruebas y operación
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Gestión de la externalización
•Prestación de servicios
•Monitorización y revisión de servicios de terceras partes
•Gestión de cambios
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Planificación y aceptación
•Planificación de capacidades
•Aceptación de Sistemas
Control contra código malicioso y código móvil
•Control contra código malicioso•Control contra código móvil
Copias de seguridad•Copia de la información
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Gestión de la seguridad de red
•Controles de redes
•Seguridad en servicios de red
Gestión de soportes •Gestión de soportes removibles
•Eliminación de soportes
•Procedimientos de utilización de la información
•Seguridad de la documentación de sistemas
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Intercambio de información
•Políticas y procedimientos para intercambio de información•Acuerdos para intercambio•Seguridad de soportes en tránsito•Seguridad de la mensajería electrónica•Sistemas de información de negocio
Servicios de comercio electrónico •Comercio electrónico•Transacciones online
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIÓN DE COMUNICACIONES Y OPERACIONES
Monitorización
•Registros de auditoría
•Revisión de uso de sistemas
•Protección de logs
•Logs de administradores y operadores
•Logs de fallo del sistema
•Sincronización de relojes
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
CONTROL DE ACCESO
Requerimientos del negocio para el control de accesos
Política de control de accesos
Gestión de accesos de usuario
•Registro de usuarios•Gestión de privilegios•Gestión de contraseñas de usuario•Revisión de los derechos de acceso de los usuarios
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
CONTROL DE ACCESO
Responsabilidades de los usuarios
•Uso de contraseñas•Equipamiento informático de usuario desatendido•Política de pantallas y mesas limpias
Control de accesos en red •Política de uso de los servicios de red•Autenticación para conexiones externas•Identificación de equipos en la red•Protección a puertos de diagnóstico remoto y configuración•Segregación en las redes•Control de conexión a las redes•Control de enrutamiento en red
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
CONTROL DE ACCESO
Control de accesos al sistema operativo
•Procedimientos de log-on seguro
•Identificación y autenticación de los usuarios
•Sistema de gestión de contraseñas
•Utilización de utilidades del sistema
•Timeout de sesiones
•Limitación del tiempo de conexión
Control de acceso a la información y aplicaciones
•Restricción de acceso a la información
•Aislamiento de sistemas sensibles
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
CONTROL DE ACCESO
Portátiles y teletrabajo
•Informática móvil y comunicaciones
•Teletrabajo
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Requerimientos de seguridad de los sistemas
Análisis y especificación de los requerimientos de seguridad
Procesamiento correcto de aplicaciones •Validación de los datos de entrada•Control de proceso interno•Integridad de mensajes•Validación de los datos de salida
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Controles criptográficos
•Política de uso de los controles criptográficos•Gestión de claves
Seguridad de los ficheros del sistema
•Control del software en explotación•Protección de los datos de prueba del sistema•Control de acceso al código fuente
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
COMPRAS, DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Seguridad en los procesos de desarrollo y soporte
•Procedimientos de cambios operacionales•Revisión técnica de aplicaciones tras cambios del sistema operativo•Restricción de cambios a paquetes de software•Fugas de información•Desarrollo externalizado
Gestión de vulnerabilidades
Control de vulnerabilidades técnicas
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIÓN DE INCIDENTES DE SEGURIDAD
Comunicación de eventos y debilidades de seguridad
•Notificación de eventos de seguridad•Notificación de debilidades
Gestión de incidentes y mejora de seguridad
•Responsabilidad y procedimientos•Aprendiendo de los incidentes•Recolección de evidencias
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
GESTIÓN DE LA CONTINUIDAD DE NEGOCIO
Aspectos de la seguridad de la información en la gestión de la continuidad del negocio
•Aspectos de la gestión de la continuidad de negocio•Inclusión de seguridad en el proceso de gestión de continuidad de negocio•Continuidad del negocio y análisis de riesgos•Redacción e implantación de planes de continuidad incluida la seguridad de la información•Marco de planificación de la continuidad del negocio•Prueba, mantenimiento y reevaluación de los planes de continuidad
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
CONFORMIDAD LEGAL
Cumplimiento de los requerimientos de seguridad
•Identificación de la legislación aplicable•Derechos de propiedad intelectual•Salvaguarda de los registros de la organización•Protección de datos de carácter personal y de la intimidad de las personas•Evitar el mal uso de los recursos de tratamiento de información•Reglamentación de los controles de cifrado
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
CONFORMIDAD LEGAL
Conformidad con políticas, estándares y cumplimiento técnico
•Controles de auditoría de sistemas de información
•Protección de las herramientas de auditoría de sistemas de información
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
ISO/IEC 21827: 2002 Systems Security Engineering Capability Maturity Model (SSE-CMM®)
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
SCOPE
• The SSE-CMM addresses security engineering activities that span the entire trusted product or secure system life cycle, including concept definition, requirements analysis, design, development, integration, installation, operations, maintenance, and decommissioning.
• The SSE-CMM applies to secure product developers, secure system developers and integrators, and organizations that provide security services and security engineering.
• The SSE-CMM applies to all types and sizes of security engineeringorganizations, such as commercial, government, and academic.
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
SYSTEMS SECURITY ENGINEERING PROCESS AREAS
• PA01 Administer Security Controls• PA02 Assess Impact• PA03 Assess Security Risk• PA04 Assess Threat• PA05 Assess Vulnerability• PA06 Build Assurance Argument• PA07 Coordinate Security• PA08 Monitor Security Posture• PA09 Provide Security Input• PA10 Specify Security Needs• PA11 Verify and Validate Security
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
PROCESS AREAS RELATED TO PROJECT AND ORGANIZATIONAL PRACTICES
• PA12 – Ensure Quality• PA13 – Manage Configuration• PA14 – Manage Project Risk• PA15 – Monitor and Control Technical Effort• PA16 – Plan Technical Effort• PA17 – Define Organization’s Systems Engineering Process• PA18 – Improve Organization’s Systems Engineering Process• PA19 – Manage Product Line Evolution• PA20 – Manage Systems Engineering Support Environment• PA21 – Provide Ongoing Skills and Knowledge• PA22 – Coordinate with Suppliers
AUDITORÍA Y SEGURIDAD INFORMACIÓN MARCO NORMATIVO
Level 1• 1.1 Base Practices are Performed
Level 2• 2.1 Planning Performance• 2.2 Disciplined Performance• 2.3 Verifying Performance• 2.4 Tracking Performance
Level 3• 3.1 Defining a Standard Process• 3.2 Perform the Defined Process• 3.3 Coordinate the Process
Level 4• 4.1 Establishing Measurable Quality Goals• 4.2 Objectively Managing Performance
Level 5• 5.1 Improving Organizational Capability• 5.2 Improving Process Effectiveness
Recommended