SlideShare una empresa de Scribd logo

ATI_EQ5_UN4_RES_CAP12

C
Coatzozon20
Economía y finanzasEmpresariales
1 de 7
Descargar para leer sin conexión
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 1 LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN SGSI propone una metodología de medición de la eficacia de los controles de seguridad SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de riesgo previo, de los controles elegidos y efectivamente implantados para mitigarlo y su comportamiento esperado. ¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD? El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información que supone un ámbito de actuaciones diferentes al de las infraestructuras, aplicativas y sistemas o procesos que la soportan. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. La planificación, implantación y mejora de las métricas de gestión de la seguridad nos permitirán:  Analizar y comprender el estado de seguridad.  Controlar la eficiencia y eficacia de los controles.  Predecir el tiempo y el costo de un proyecto.  Mejorar la gestión de la seguridad de la información. ¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD? En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos de los términos que se refiere como indicadores serian lo que se denominan métricas en el NIST 800-55. CoBIT requiere un conocimiento de los objetivos de negocio por parte de las organizaciones que pretenden implantarlo. En el modelo CoBIT, una vez que se han fijado los objetivos han de establecer, mediante el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los dos tipos de indicadores:  KEY GOAL INDICATOR (KGIS): COBIT considera este indicador como de “lapso” y lo define como la medida de lo que se ha de cumplirse, la distancia entre lo que se ha realizado y el objetivo a cumplir.  KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una indicación o una medida de “como de bien” se están comportando los procesos. COBIT relaciona un indicador con el otro, de la siguiente manera:
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 2 COBIT propone tres tipos de mediciones de los procesos (lo que serían los controles en la familia 27001):  Rendimiento (performance): Key Performance Indicators.  Resultado: Key Goal Indicators.  Madurez: Maturity Models. En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés:  Measurement: proceso de obtención de información sobre la eficacia del SGSI, sus objetivos de control y controles, usando un método y función de medida, un modelo analítico y un criterio de decisión.  Measure: variable que se asigna un valor como resultado de un proceso de medición. CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS COBIT, por ejemplo, establecer tres sistemas o modos de monitorizar si los controles implantados son los adecuados y si se comportan según lo esperado:
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 3  Benclumarking nde la capacidad de los procesos haciendo uso de los modelos de madurez derivados del “Capabiliry Maturity Model” del software Engineering Instinate.  Definición de objetivos y métricas de los procesos TSI según vimos en el apartado anterior, basados en los “balance business scorecard” de Norton y Kaplan.  Activity Goals, basados en objetivos de control detallados de COBIT y que permiten mantener un control sobre su eficiencia. Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y utilizarse para llevar a cabo l mejora de los procesos y resultados relacionados con la seguridad dentro del seguridad dentro del proyecto u organización. EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA SEGURIDAD” La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización. El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de una organización, junto con la identificación y la interacción de estos procesos, así como su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI. VICIÓN GENERAL DE LAS MEDIDAS La medición implica un proceso de obtención de información sobre la eficacia del método SGSI, los objetivos de control individuales y controles que utilizan un método de medición una función de medición y un modelo analítico confrontando la información obtenida a los criterios de decisión.
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 4 La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permite recoge, analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad respecto a la mejor del SGSI o los cambios dentro del mismo. Los objetivos del proceso de medida son:  Evaluar la eficacia de la implantación de los controles de seguridad.  Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua.  Proporcionar un estado de seguridad para distinguir la revisión de la gestión, facilita las mejoras de la seguridad y contribuir a auditorias de seguridad.  Comunicar el valor de la seguridad a la organización.  Servir como aportación al plan de tratamiento de riesgo y de evaluación de riesgos. Tipos de medidas La norma propone la siguiente categorización: a) Derivada b) Base Dentro de cada una de las categorías, las medidas pueden tener dos variedades: a) Cumplimiento b) Rendimiento Las medidas de cumplimiento ayudan a la identificación de lagunas en la implantación y la gestión y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la organización. Las medidas de rendimiento evalúan la eficacia de los controles implementados utilizados para proteger los activos de información de la organización.
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 5 EL PROCESO DE MEDICIÓN Las organizaciones deben limitar la cantidad de medidas que utilizan dentro del mismo periodo de tiempo con el fin de garantizar su capacidad de adoptar los cambios pertinentes como resultado de la información obtenida. Las medidas deben revisarse para verificar que continúan suministrando información valida a la organización: que las fuentes y otros aspectos relacionados con sus atributos son correctos y que los beneficios frente al esfuerzo dan un saldo positivo. COMO SE DESARROLLA UNA “MEDIDA” El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza con la selección de controles y objetivos de control específico para la medición, continúa con la identificación de objetivos de medición, especificación de medidas y finaliza con el establecimiento de recogida y análisis de datos e informes de procesos y herramientas. La selección de controles específicos incluyen los siguientes pasos. a) Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgo, como se describe en la ISO 27001. b) Establecer prioridades entre controles y objetivos de control seleccionados como base en los siguientes criterios:  Los requisitos de stakeholders.  La política de seguridad se la información de la organización.  La información necesaria para satisfacer los requisitos legales, regulatorios y contractuales.
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 6  Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de control. c) Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas. Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de automatización de la actividad de recogida de datos, tales como: a) Auditorías internas o externas. b) Evaluación de riesgo y análisis de riesgo. c) Cuestionario y preguntas. d) Utilización del riesgo de acontecimientos. e) Producción de registros, informes y pistas de auditoria. f) Informes de incidentes, en particular aquellos tienen como resultado un impacto. g) Muestra de estadísticas. h) Pruebas. Las medidas validas deben de contar con varios indicadores:  Estratégica  Cuantitativa  Razonable  Interpretativa  Verificable  Evolutiva  Útil  Indivisible  Repetible El proceso de medición deberá documentarse: a) Los controles y objetivos de control a ser sometidos a medición. b) Los objetivos de medición. c) Los objetivos de negocio sometidos a medición d) Las medidas individuales a ser recogidas y utilizadas. e) El proceso de análisis y recogida de datos. f) El proceso y formato de informes. g) Las funciones y responsabilidades de los stakeholders La operación de las medidas conlleva la recogida y el análisis de los datos utilizados para generarse e incluye actividades que son esenciales para asegurar que las misma se utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas. Esto incluye:
Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 7 a) Integrar los procedimientos de medidas en la operación global de SGSI b) Recoger, almacenar y verificar datos. ¿COMO GENERAR INDICADORES? Los indicadores de gestión se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de información de la organización. Los formatos de informes han de representar de manera visual las medidas y facilitar una explicación verbal de los indicadores. La mecánica del establecimiento de criterios de decisiones es diferente si se trata de mediciones de cumplimiento o de rendimiento.

Recomendados

ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
PECB
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Segunda parte
Segunda parteSegunda parte
Segunda parte
Blue Delacour
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
PECB
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 

Recomendados

ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
PECB
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Segunda parte
Segunda parteSegunda parte
Segunda parte
Blue Delacour
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
PECB
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Diego Cueva Córdova
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemas
franyelis23
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
Carlos Andres Perez Cabrales
 
Indicadores de eficiencia para mantenimiento
Indicadores de eficiencia para mantenimientoIndicadores de eficiencia para mantenimiento
Indicadores de eficiencia para mantenimiento
Diego Nicolalde
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontec
El Es
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
dcordova923
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
Mayerly Urrego Guerrero
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
Grupo Ingertec
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoria
Paola Prada
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
GABRIELCARRASQUEL1
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Internet Security Auditors
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 

Más contenido relacionado

La actualidad más candente

Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 

La actualidad más candente (17)

Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
 
Politicas
PoliticasPoliticas
Politicas
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
SGSI
SGSISGSI
SGSI
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemas
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3Unidad 2 temas1y2 v3
Unidad 2 temas1y2 v3
 
Indicadores de eficiencia para mantenimiento
Indicadores de eficiencia para mantenimientoIndicadores de eficiencia para mantenimiento
Indicadores de eficiencia para mantenimiento
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontec
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoria
 

Similar a ATI_EQ5_UN4_RES_CAP12

Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
danferwan
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Internet Security Auditors
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdfObjetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
danielroldn17
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
santosperez
 
Conferencia MECI
Conferencia MECIConferencia MECI
Conferencia MECI
Global Iso
 

Similar a ATI_EQ5_UN4_RES_CAP12 (20)

Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidad
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Indicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SSTIndicadores de gestión y cuadro de mando integral para el SG-SST
Indicadores de gestión y cuadro de mando integral para el SG-SST
 
indicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptxindicadores de gestion y cuadro de mando integral.pptx
indicadores de gestion y cuadro de mando integral.pptx
 
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdfObjetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
Objetivos_e_Indicadores_de_gestion_SG-SST_680_2016_08_01_14_54_01.pdf
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)Presentación inspecciones de seguridad (1)
Presentación inspecciones de seguridad (1)
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Indicadores de gestion
Indicadores de gestionIndicadores de gestion
Indicadores de gestion
 
Conferencia MECI
Conferencia MECIConferencia MECI
Conferencia MECI
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 

Más de Coatzozon20

Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_
Coatzozon20
 
Entregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TICEntregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TIC
Coatzozon20
 
Caso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-MartCaso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-Mart
Coatzozon20
 
Cap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPMCap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPM
Coatzozon20
 
Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9
Coatzozon20
 
Capitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de ProcesosCapitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de Procesos
Coatzozon20
 
Capitulo 8. Metadatos
Capitulo 8. MetadatosCapitulo 8. Metadatos
Capitulo 8. Metadatos
Coatzozon20
 
Capitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-MartCapitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-Mart
Coatzozon20
 
GEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz RespGEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz Resp
Coatzozon20
 
Arquitectura de integración de servicios
Arquitectura de integración de serviciosArquitectura de integración de servicios
Arquitectura de integración de servicios
Coatzozon20
 
GEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEPGEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEP
Coatzozon20
 
GEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDPGEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDP
Coatzozon20
 
GEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDPGEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDP
Coatzozon20
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
Coatzozon20
 
GEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceuticaGEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceutica
Coatzozon20
 
GEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP OnlineGEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP Online
Coatzozon20
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
Coatzozon20
 
GEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceuticaGEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceutica
Coatzozon20
 
GEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat IniciaciónGEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat Iniciación
Coatzozon20
 

Más de Coatzozon20 (20)

Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_Memoria de Proyecto: Innovación Tecnológica_
Memoria de Proyecto: Innovación Tecnológica_
 
Entregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TICEntregable_Proyecto:Escenarios de aprendizaje con TIC
Entregable_Proyecto:Escenarios de aprendizaje con TIC
 
Caso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-MartCaso de estudio: Integración Empresarial Wal-Mart
Caso de estudio: Integración Empresarial Wal-Mart
 
Cap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPMCap. 9 Caso de éxito BPM
Cap. 9 Caso de éxito BPM
 
Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9Caso de éxito BPM_Cap. 9
Caso de éxito BPM_Cap. 9
 
CAP9_BPM
CAP9_BPMCAP9_BPM
CAP9_BPM
 
Capitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de ProcesosCapitulo 9. Arquitectura de Integración de Procesos
Capitulo 9. Arquitectura de Integración de Procesos
 
Capitulo 8. Metadatos
Capitulo 8. MetadatosCapitulo 8. Metadatos
Capitulo 8. Metadatos
 
Capitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-MartCapitulo 8. Integración empresarial Walt-Mart
Capitulo 8. Integración empresarial Walt-Mart
 
GEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz RespGEP_EQ9_U3_Matriz Resp
GEP_EQ9_U3_Matriz Resp
 
Arquitectura de integración de servicios
Arquitectura de integración de serviciosArquitectura de integración de servicios
Arquitectura de integración de servicios
 
GEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEPGEP_EQA9_I1_U1_Software para GEP
GEP_EQA9_I1_U1_Software para GEP
 
GEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDPGEP_EQA9_P1_U2_SDP
GEP_EQA9_P1_U2_SDP
 
GEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDPGEP_EQA9_T1_U2_SDP
GEP_EQA9_T1_U2_SDP
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
 
GEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceuticaGEP_EQA9_T6_U2_Compañia farmaceutica
GEP_EQA9_T6_U2_Compañia farmaceutica
 
GEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP OnlineGEP_EQA9_T1_U2_SDP Online
GEP_EQA9_T1_U2_SDP Online
 
GEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporteGEP_EQA9_T7_U2_Mejoras transporte
GEP_EQA9_T7_U2_Mejoras transporte
 
GEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceuticaGEP_EQA9_T1_U2_Compañia farmaceutica
GEP_EQA9_T1_U2_Compañia farmaceutica
 
GEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat IniciaciónGEP_EQA9_L1_U2_David y Goliat Iniciación
GEP_EQA9_L1_U2_David y Goliat Iniciación
 

Último

Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptxPresentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
JulissaValderramos
 
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqutad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
iceokey158
 

Último (20)

Razon de liquidez, endeudamiento y rentabilidad y
Razon de liquidez, endeudamiento y rentabilidad yRazon de liquidez, endeudamiento y rentabilidad y
Razon de liquidez, endeudamiento y rentabilidad y
 
1 PRESENTACION MERCADO DE COMPRAS PUBLICAS
1 PRESENTACION MERCADO DE COMPRAS PUBLICAS1 PRESENTACION MERCADO DE COMPRAS PUBLICAS
1 PRESENTACION MERCADO DE COMPRAS PUBLICAS
 
TEMA: LA DEMANDA , LA OFERTA Y EL PUNTO DE EQUILIBRIO.pdf
TEMA: LA DEMANDA , LA OFERTA Y EL PUNTO DE EQUILIBRIO.pdfTEMA: LA DEMANDA , LA OFERTA Y EL PUNTO DE EQUILIBRIO.pdf
TEMA: LA DEMANDA , LA OFERTA Y EL PUNTO DE EQUILIBRIO.pdf
 
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptxPresentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
 
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqutad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
 
JOSE URBINA - Presentacion Sistema Endeudamiento.pptx
JOSE URBINA - Presentacion Sistema Endeudamiento.pptxJOSE URBINA - Presentacion Sistema Endeudamiento.pptx
JOSE URBINA - Presentacion Sistema Endeudamiento.pptx
 
Intervención del Estado en la economía y el mercado competitivo.pdf
Intervención del Estado en la economía y el mercado competitivo.pdfIntervención del Estado en la economía y el mercado competitivo.pdf
Intervención del Estado en la economía y el mercado competitivo.pdf
 
SIRE-RCE. REGISTRO DE COMPRAS.. Y VENTAS
SIRE-RCE. REGISTRO DE COMPRAS.. Y VENTASSIRE-RCE. REGISTRO DE COMPRAS.. Y VENTAS
SIRE-RCE. REGISTRO DE COMPRAS.. Y VENTAS
 
Lecturas de Historia del Pensamiento Económico (Adrian Ravier).pdf
Lecturas de Historia del Pensamiento Económico (Adrian Ravier).pdfLecturas de Historia del Pensamiento Económico (Adrian Ravier).pdf
Lecturas de Historia del Pensamiento Económico (Adrian Ravier).pdf
 
TEORIA DEL CONSUMIDOR.pptxxxxxxxxxxxxxxxxxxxxxxxx
TEORIA DEL CONSUMIDOR.pptxxxxxxxxxxxxxxxxxxxxxxxxTEORIA DEL CONSUMIDOR.pptxxxxxxxxxxxxxxxxxxxxxxxx
TEORIA DEL CONSUMIDOR.pptxxxxxxxxxxxxxxxxxxxxxxxx
 
Procedimiento no contencioso tributario no vinculado
Procedimiento no contencioso tributario no vinculadoProcedimiento no contencioso tributario no vinculado
Procedimiento no contencioso tributario no vinculado
 
Libro sobre el Lavado de Dinero en versión PDF
Libro sobre el Lavado de Dinero en versión PDFLibro sobre el Lavado de Dinero en versión PDF
Libro sobre el Lavado de Dinero en versión PDF
 
Que son y los tipos de costos predeterminados
Que son y los tipos de costos predeterminadosQue son y los tipos de costos predeterminados
Que son y los tipos de costos predeterminados
 
El rey que no amaba a los elefantes. Vida y caida de Juan Carlos I, el ultimo...
El rey que no amaba a los elefantes. Vida y caida de Juan Carlos I, el ultimo...El rey que no amaba a los elefantes. Vida y caida de Juan Carlos I, el ultimo...
El rey que no amaba a los elefantes. Vida y caida de Juan Carlos I, el ultimo...
 
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
Revista Estudiantil de la Carrera de Contaduría Pública de la Universidad May...
 
EL PROCESO DE FISCALIZACION TRIBUTARIA .pptx
EL PROCESO DE FISCALIZACION TRIBUTARIA .pptxEL PROCESO DE FISCALIZACION TRIBUTARIA .pptx
EL PROCESO DE FISCALIZACION TRIBUTARIA .pptx
 
GESTIÓN DE LOS RECURSOS DEL PROYECTO.pdf
GESTIÓN DE LOS RECURSOS DEL PROYECTO.pdfGESTIÓN DE LOS RECURSOS DEL PROYECTO.pdf
GESTIÓN DE LOS RECURSOS DEL PROYECTO.pdf
 
Desempleo en Chile para el año 2022 según criterios externos
Desempleo en Chile para el año 2022 según criterios externosDesempleo en Chile para el año 2022 según criterios externos
Desempleo en Chile para el año 2022 según criterios externos
 
Cuadro Comparativo selección proveedores
Cuadro Comparativo selección proveedoresCuadro Comparativo selección proveedores
Cuadro Comparativo selección proveedores
 
flujogramadepoliconsultorio-policlínico-pampas
flujogramadepoliconsultorio-policlínico-pampasflujogramadepoliconsultorio-policlínico-pampas
flujogramadepoliconsultorio-policlínico-pampas
 

ATI_EQ5_UN4_RES_CAP12

  • 1. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 1 LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN SGSI propone una metodología de medición de la eficacia de los controles de seguridad SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de riesgo previo, de los controles elegidos y efectivamente implantados para mitigarlo y su comportamiento esperado. ¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD? El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información que supone un ámbito de actuaciones diferentes al de las infraestructuras, aplicativas y sistemas o procesos que la soportan. Las métricas de gestión de la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. La planificación, implantación y mejora de las métricas de gestión de la seguridad nos permitirán:  Analizar y comprender el estado de seguridad.  Controlar la eficiencia y eficacia de los controles.  Predecir el tiempo y el costo de un proyecto.  Mejorar la gestión de la seguridad de la información. ¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD? En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos de los términos que se refiere como indicadores serian lo que se denominan métricas en el NIST 800-55. CoBIT requiere un conocimiento de los objetivos de negocio por parte de las organizaciones que pretenden implantarlo. En el modelo CoBIT, una vez que se han fijado los objetivos han de establecer, mediante el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los dos tipos de indicadores:  KEY GOAL INDICATOR (KGIS): COBIT considera este indicador como de “lapso” y lo define como la medida de lo que se ha de cumplirse, la distancia entre lo que se ha realizado y el objetivo a cumplir.  KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una indicación o una medida de “como de bien” se están comportando los procesos. COBIT relaciona un indicador con el otro, de la siguiente manera:
  • 2. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 2 COBIT propone tres tipos de mediciones de los procesos (lo que serían los controles en la familia 27001):  Rendimiento (performance): Key Performance Indicators.  Resultado: Key Goal Indicators.  Madurez: Maturity Models. En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés:  Measurement: proceso de obtención de información sobre la eficacia del SGSI, sus objetivos de control y controles, usando un método y función de medida, un modelo analítico y un criterio de decisión.  Measure: variable que se asigna un valor como resultado de un proceso de medición. CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS COBIT, por ejemplo, establecer tres sistemas o modos de monitorizar si los controles implantados son los adecuados y si se comportan según lo esperado:
  • 3. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 3  Benclumarking nde la capacidad de los procesos haciendo uso de los modelos de madurez derivados del “Capabiliry Maturity Model” del software Engineering Instinate.  Definición de objetivos y métricas de los procesos TSI según vimos en el apartado anterior, basados en los “balance business scorecard” de Norton y Kaplan.  Activity Goals, basados en objetivos de control detallados de COBIT y que permiten mantener un control sobre su eficiencia. Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y utilizarse para llevar a cabo l mejora de los procesos y resultados relacionados con la seguridad dentro del seguridad dentro del proyecto u organización. EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA SEGURIDAD” La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización. El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de una organización, junto con la identificación y la interacción de estos procesos, así como su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI. VICIÓN GENERAL DE LAS MEDIDAS La medición implica un proceso de obtención de información sobre la eficacia del método SGSI, los objetivos de control individuales y controles que utilizan un método de medición una función de medición y un modelo analítico confrontando la información obtenida a los criterios de decisión.
  • 4. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 4 La finalidad del proceso de implantación y desarrollo de medidas de la gestión de seguridad de la información es crear una base en cada organización que permite recoge, analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad respecto a la mejor del SGSI o los cambios dentro del mismo. Los objetivos del proceso de medida son:  Evaluar la eficacia de la implantación de los controles de seguridad.  Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua.  Proporcionar un estado de seguridad para distinguir la revisión de la gestión, facilita las mejoras de la seguridad y contribuir a auditorias de seguridad.  Comunicar el valor de la seguridad a la organización.  Servir como aportación al plan de tratamiento de riesgo y de evaluación de riesgos. Tipos de medidas La norma propone la siguiente categorización: a) Derivada b) Base Dentro de cada una de las categorías, las medidas pueden tener dos variedades: a) Cumplimiento b) Rendimiento Las medidas de cumplimiento ayudan a la identificación de lagunas en la implantación y la gestión y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la organización. Las medidas de rendimiento evalúan la eficacia de los controles implementados utilizados para proteger los activos de información de la organización.
  • 5. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 5 EL PROCESO DE MEDICIÓN Las organizaciones deben limitar la cantidad de medidas que utilizan dentro del mismo periodo de tiempo con el fin de garantizar su capacidad de adoptar los cambios pertinentes como resultado de la información obtenida. Las medidas deben revisarse para verificar que continúan suministrando información valida a la organización: que las fuentes y otros aspectos relacionados con sus atributos son correctos y que los beneficios frente al esfuerzo dan un saldo positivo. COMO SE DESARROLLA UNA “MEDIDA” El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza con la selección de controles y objetivos de control específico para la medición, continúa con la identificación de objetivos de medición, especificación de medidas y finaliza con el establecimiento de recogida y análisis de datos e informes de procesos y herramientas. La selección de controles específicos incluyen los siguientes pasos. a) Identificar los controles y objetivos de control que fueron seleccionados como resultado del análisis de riesgo, como se describe en la ISO 27001. b) Establecer prioridades entre controles y objetivos de control seleccionados como base en los siguientes criterios:  Los requisitos de stakeholders.  La política de seguridad se la información de la organización.  La información necesaria para satisfacer los requisitos legales, regulatorios y contractuales.
  • 6. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 6  Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de control. c) Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas. Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de automatización de la actividad de recogida de datos, tales como: a) Auditorías internas o externas. b) Evaluación de riesgo y análisis de riesgo. c) Cuestionario y preguntas. d) Utilización del riesgo de acontecimientos. e) Producción de registros, informes y pistas de auditoria. f) Informes de incidentes, en particular aquellos tienen como resultado un impacto. g) Muestra de estadísticas. h) Pruebas. Las medidas validas deben de contar con varios indicadores:  Estratégica  Cuantitativa  Razonable  Interpretativa  Verificable  Evolutiva  Útil  Indivisible  Repetible El proceso de medición deberá documentarse: a) Los controles y objetivos de control a ser sometidos a medición. b) Los objetivos de medición. c) Los objetivos de negocio sometidos a medición d) Las medidas individuales a ser recogidas y utilizadas. e) El proceso de análisis y recogida de datos. f) El proceso y formato de informes. g) Las funciones y responsabilidades de los stakeholders La operación de las medidas conlleva la recogida y el análisis de los datos utilizados para generarse e incluye actividades que son esenciales para asegurar que las misma se utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas. Esto incluye:
  • 7. Administración de las tecnologías de información Cap. 12 EQUIPO 5 Página 7 a) Integrar los procedimientos de medidas en la operación global de SGSI b) Recoger, almacenar y verificar datos. ¿COMO GENERAR INDICADORES? Los indicadores de gestión se generan al interpretar las medidas derivadas a la luz de los criterios de decisión o las necesidades de información de la organización. Los formatos de informes han de representar de manera visual las medidas y facilitar una explicación verbal de los indicadores. La mecánica del establecimiento de criterios de decisiones es diferente si se trata de mediciones de cumplimiento o de rendimiento.