El documento describe los principios y procesos de normalización de la seguridad de la información. Se menciona que la normalización se lleva a cabo a través de organizaciones internacionales como ISO e IEC y que incluye el desarrollo de normas, técnicas, directrices, métricas y evaluaciones para garantizar la seguridad de los sistemas de información.
1. Reglas
Políticas
guías Normas
Prácticas
definiciones
Medidas organizativas
Identificación de requisitos genéricos Papel en las TI
Técnicas
Desarrollo de técnicas y mecanismos
Pasos para garantizar seguridad en los sistemas
Desarrollo de guías de seguridad Cuestiones
Pone de manifiesto que se lleva a cabo una administración competente
Desarrollo del soporte de la gestión
Norma Internacional (ISO/IEC)
Normalización de algoritmos criptográficos IEC Comisión Electrotécnica Internacional
SC 27 Informe Técnico
Requisitos, servicios de seguridad y guías GT1
Comités Técnicos
Mecanismos y técnicas de seguridad GT2
ISO Organización Internacional deNormalización Subcomités
Criterios y evaluación de seguridad GT3 Grupos de Trabajo
Normas de Seguridad de Tecnologías de información Organizaciones Grupos de Trabajo
Servicios y controles de seguridad GT4
Normas europeas
Gestión de identidad y privacidad GT5
CEN Comité Europeo de Normalización Especificaciones técnicas
Apoyar difusión y uso denormas de seguridad
SubcomitéISO/IEC JTC1/SC 27 Informes técnicos
Apoyar integración de sectores público y privado
AENOR Asociación Española de Normalización
Canalizar normalización nacional e internacional Modo de actuación
Gestión de seguridad en Información
Apoyar desarrollo de normas de seguridad
Gestión de Identidad y privacidad
Mantener coherencia
Normalización ISO/IEC SC27 Servicios y controles de seguridad
Normas UNE relativas a la seguridad
Hitos AEN/CTN 71/SC27 Técnicas y mecanismos
Contribución a la normalización internacional
Evaluación de seguridad de las TI
Formación de posición común relativa al voto en los procedimientos
Elaboración de proyectos normas nacionales UNE
Papel de editor en proyectos de normas nacionales e internacionales Demandas de actuación
Traducción de normas ISO/IEC para producción de normas UNE
Reuniones internacionales SC27
2. Marco de normas de gestión de seguridad
Sistemas de gestión de la seguridad
Coherente con los principios generales del gobierno te TI
Análisis y gestión de riesgos
Coherente con principios de OCDE
Controles y salvaguardas Principios
Coherente con sistemas de gestión ISO 9001
Métricas Cobertura
Coherente con las guías ISO
Auditoría
Marco de normas de gestión de seguridad de la información
Directrices de implantación
Normas relativas a sistemas de gestión de seguridad
Difusión y concienciación
Norma relativa de análisis y gestión de riesgos
Otros aspectos
Norma de métricas
Servicios de fechado electrónico Normas
Gestión de seguridad de la información Normas relativas a controles y salvaguardas
algoritmos de cifrado simétricos
Normas relativas a auditoría de gestión de seguridad
Funciones hash criptográficas
Directrices relativas a la difusión y concienciación de seguridad
Autenticación de entidades
Técnicas y mecanismos Otras normas necesarias para desarrollar áreas técnicas específicas
Técnicas criptográficas basadas en curvas elípticas
Amenazas identificadas
Requisitos de módulos criptográficos
Política de seguridad
Gestión de claves
Objetivos de seguridad Supuestos de seguridad
Mecanismos de no repudio
Requisitos funcionales
Norma ISO/IEC Evaluation criteria for IT secutury
Requisitos de aseguramiento
Norma ISO/IEC Methodology for IT security Normas
Norma ISO/IEC TR Guide for the production of protection rpofiles and security targets
3. Métrica Porcentaje de datos y operaciones críticas con frecuencia de backup establecida
Propósito Evaluar el riesgo debido a backups insuficientes
NIST 800-55
Fórmula Archivos críticos con backup establecido/ archivos que requieren backup
Indicador % de archivos que requerían backup, copiados conforme a procedimientos
Indicadores, métricas o medidas de seguridad Key Goal Indicators de lapso
Indicadores
Key Performance Indicators de forma
CoBIT Rendimiento
Medición de procesos Resultado
Madurez
Métricas de seguridad de la información
Propósito Recoger, analizar y comunicar datos de SI
Finalidad Conocer, evaluar y gestionar seguridad de SI
Analizar y comprender el estado de la seguridad
Métricas de gestión de la seguridad
Controlar eficacia y eficiencia
Permiten
Predecir el tiempo y costo de un proyecto
Mejorar la gestión de seguridad de la información
Benchmarking de capacidad de procesos
CMM, Balance scorrecard, métricas de análisis de riesgos Sistemas de monitorización CoBIT Definición de objetivos y métricas de procedimientos
Activity goals
4. Entender requisitos de seguridad
Implantar controles para gestionar riesgos
Norma 27001
Controlar y revisar comportamiento y eficacia de SGSI
Mejora continua basada en mediciones objetivas
Métricas o medidas
Alcance y objeto de la norma Verificar alcance de requisitos de seguridad
Objeto
Evaluar eficiencia de implantación
Evaluar eficacia de sistema de gestión
Proceso de medida Proporcioanr un estado de seguridad para revisión
Comunicar el valor de la seguridad
Visión general Aportación al plan de tratamiento de riesgos
Derivada
Base
Tipos de medidas
Cumplimiento
Rendimiento
Modelo
Proceso de medición
Identificación
Requisitos de stakeholders
Políticas de seguridad
Cómo se desarrolla Selección de controles Establecimiento de prioridades
Información necesaria
Relación costo-beneficio
Métricas de seguridad de la información Selección de controles y objetivos de control
Auditorías internas o externas
Medidas de gestión de la seguridad
Evaluación y análisis de riesgos
cuestionarios y preguntas
Registro de acontecimientos
Producción de registros, informes y pistas de auditoría
Informes de incidentes
Muestras estadísticas
Pruebas
Identificar y documentar participantes
Estratégica
Cuantitativa
Razonable
Cómo medir Interpretativa
Cumplir criterios Verificable
Evolutiva
Útil
Indivisible
Repetible
Controles y objetivos
Objetivos de medición
Objetos de negocio
Documentar Medidas individuales
Proceso de análisis de datos
Proceso y formato de informes
Funciones y responsabilidades de satakeholders
Indicadores
5. Requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar su SGSI
Favorece su desarrollo
Gestión de riesgo
Afianza la posición de la organización
Tratamiento del riesgo
Ante el mercado Potencia la imagen de marca
Aceptación del riesgo
Características Constituye un factor competitivo
Análisis dle riesgo
permite superar barreras técnicas
Valoración del riesgo
Fidelización y captación de nuevos clientes
Evaluación del riesgo
Se mejora comunicación con el cliente
Riesgo residual Beneficios de sistemas de gestión Ante los clientes
Mayor confianza al cliente
Alcance
Aumento de la satisfacción del cliente
Política
Conocimiento y depuración de los procesos internacionales
Metodología para valoración de riesgo
Mejora de procesos y servicios prestados
Identificación de riesgos Establecimiento y gestión
Ante la gestión de la organización Ahorro de tiempo y recursos necesarios
Análisis y evaluación de riesgos
ISO 27001 Mejor gestión de los recursos
Identificación de tratamientos del riesgo
Estímulo para entrar en un proceso de mejora continua
Selección de los controles
Definir política de seguridad
Plan de tratamiento del riesgo
Establecer alcance de SGSI
eficaciade dichos controles Plan
Implantación y puesta en marcha SGSI Realizar análisis de riesgos
programas de formación y concienciación
Seleccionar los controles
cultura de la seguridad
Implantar plan de gestión de riesgos
Procedimientos para control y revisión
Modelo PDCA Do Implantar el SGSI
Eficacia del SGSI
Implantar los controles
Auditorías de seguridad y mediciones
Revisar internamente el SGSI
Medidas correctivas y preventivas Control y evaluación Check
Realizar auditorias internas del SGSI
Procedimiento documentado
Adoptar las acciones correctivas
Sistema de registro Act
Adoptar las acciones preventivas
Anexos
6. TSI como recurso crítico
Gestión y gobierno Resumen ejecutivo
Procesos externalizados Introducción Esquema
Elementos externos en la gestión Estructura
Legislación y normas sectoriales Contenido central
El riesgo de las TSI Apéndices
Las TSI están alineadas con el negocio Efectividad o eficacia
Las TSI posibilitan la realización de la actividad del negocio Eficiencia
Marco de referencia
Los recursos de TSI son utilizados de forma responsable Confidencialidad
Los riesgos de TSI son gestionados adecuadamente Requerimientos del negocio Integridad
Planificar y organizar Disponibilidad
Adquirir e implementar Cumplimiento
Dominios
Confiabilidad
Entregar y dar soporte
Monitorizar y evaluar Aplicaciones
Información
Ayuda al gobierno de TSI en su globalidad Recursos de TSI afectados
CoBIT 7 Infraestructura
Normas complementarias para elementos puntuales de TSI
Personal
Los riesgos provienen de muchos casos
Alineación estratégica
La aplicación de CoBIT debe realizarse si el esquema es eficiente
Entrega y servicio que añada valor
Los criterios y procesos no deben ser rígidos Aplicación
Áreas Centrales para el gobierno de TSI Gestión de recursos
CoBIT 4 no incluye detalles técnicos sobre determinadas plataformas
Gestión del riesgo
Su implantación puee ser apoyada por auditoría Apartados
Medición del rendimiento
CoBIT puede ser aplicada a todas las empresas
Objetivos de control del detalle
Debe permitir el crecimiento controlado de TSI
Directrices de gestión
A. Análisis y comprensión del contenido de CoBit
Responsabilidades de los distintos niveles de Dirección y gerencia
B. Fundamentación de la utilidad
Objetivos de actividad
C. Definir el valor que aportará
Orden de implementación Objetivos de procesos
D. Análisis y evaluación del riesgo
Cuadro de objetivos y métricas aplicables Indicadores clave de rendimiento
E. Definición de los dominios, procesos y actividades de TSI
Objetivos de TSI Indicadores de objetivos clave de procesos
F.Definición de los controles a implantar
Indicafores de objetivos clave de TSI
0-No existente
1-Inicial
2- Repetible
Modelo de madurez
3-Definido
4-Gestionado
5-Optimizado
7. Diseño y planificación
Despliegue
Gestión de la infraestrctura TI
Operaciones
Soporte técnico
Gestión de aplicaciones
Planificación para la aplicación de los servicios de gestión
Gestión de incidentes
La provisión se orienta más al cliente Gestión de problemas
Se describen mejor los servicios Centro de servicios
Cliente/Usuario
Se manejan mejor la calidad y costo Gestión de cambios
Mejora la comunicación con la organización Objetivos
La org desarrolla una estructura más clara y eficaz Alcance
La dirección tiene más control Organización Elementos de configuración
Conceptos básicos
Brinda un marco para concretar adecuadamente la externalización Base de datos
Calidad global mejorada Planificación
Soporte del negocio más fiable Identificación
Clientes saben qué esperar Actividades Control
incremento en la productividad Negocio Monitorización
Procedimietos de continuidad dle servicio de acuerdo a las necesidades del negocio Soporte del servicio Verificación y auditorías
Mejores relaciones de trabajo entre los clientes y el proveedor Gestión del incidente
Gestión de configuración
Sarisfacción del cliente Gestión del problema
Beneficios ITIL Libros
Infraestructura de TSI y servicios justificados en costos Gestión dle cambio
Financieros Gestión de servicios
Beneficios financieros a largo plazo Gestión de la versión
La plantilla sabe que esperar de las TSI Procesos relacionados Gestión de nivel de servicios
Mayor productividad Empleado Gestión financiera
Visibilidad y reputación mejorada del departamento de TSI Gestión de la disponibilidad
Comprensión más clara de requisitos Gestión de la continuidad
Mejor información sobre servicios actuales Gestión de la capacidad
Innovación
Mayor flexibilidad para el negocio Costos
Capacidad mejorara para reconocer tendencias al cambio Problemas
Métricas e informes mejorados Gestión de versiones
Mejor información sobre los servicios actuales Gestión de niveles de servicio
Comunicaciones mejoradas y trabajo inter-equipos Internos Presupuestación
Roles y responsabilidades claramente definidos Gestión financiera Contabilidad de TSI
Visión más clara de la capacidad de TSI Entrega del servicio Cargos
Gestión de la capacidad
Gestión de continuidad
Gestión de la disponibilidad
Gestión de seguridad
Perspectiva de negocio
Soporte de Servicio
Provisión de Servicio
8. Alcance
Términos y definiciones
Requisitos de un Sistema de Gestión
Planificación e Implementación de la Gestión del Servicio
Gestión de Nivel del servicio
Generación de informes del servicio
Gestión de la continuidad y disponibilidad del servicio
Procesos de Provisión de Servicio
Presupuestar y contabilizar servicios de TSI
Gestión de la capacidad
Parte 1. Especificación
UNE-ISO/IEC 20000 Gestión de seguridad de la información
Gestión de Relaciones con el negocio
Procesos de relación
Gestión de suministradores
Gestión del incidente
Procesos de resolución Gestión del problema
Subtema
Gestión de configuración
Procesos de control
Gestión del cambio
Proceso de entrega de versiones Proceso de gestión d entrega
Parte 2. Código de prácticas Guías y recomendaciones relativas a las buenas prácticas de gestión del servicio.
9. Cuentas significativas
Riesgos del negocio y su impacto en el proceso Características
Procesos significativos en su impacto en estados contables
EL flujo de transacciones
Procesos de TSI vinculados Identificar
El desarrollo del proceso de cierre
Implantación de sistema de control
Procesos y controles automatizados dentro de las actividades del negocio
Impacto
Funciones específicas de TSI
Todas las transacciones están autorizadas
Desarrollo de aplicaciones
Los activos están protegidos contra el uso no autorizado
Control de cambios a producción
Clasificación de procesos Las transacciones están correctamente registradas
Actividades de explotación de sistemas
Sección 404 Declaración de responsabilidad sobre la estructura de control
Accesos a programas y datos
Identificación del marco de operación
Identificar las partidas significativas de los estados financieros Exige a la dirección
Relice y documente evaluación de efectividad
Identificar las posibles aserciones erróneas Aspecto específico de TSI
Principales secciones Su informe sea refrendado por el auditor externo
Identificar las aserciones acertadas para evaluar la complejidad de sistemas
Revisar el informe que se presenta
Modelo de gestión del programa de actividades de desarrollo
Los estados financieros básicos y la información financiera adicional
Gestión de proyectos
Ejecutivos certificadores son responsables del establecimiento de controles
Análisis y diseño Sección 302
Todos los certificadores han evaluado la efectividad de los controles
Procedimientos de selección de paquetes SW/HW Desarrollo de aplicaciones
Presentar conlcusiones respecto a la eficacia de los controles
Pruebas y aseguramiento de la calidad
Informar a auditores independientes las deficiencias significativas
Planificación y ejecución de la conversión de datos Sarbanes-Oxley
Controles de "Entity-level"
Documentación de usuario y técnica y formación
Controles de TSI Controles de aplicación
Gestión del programa de actividades
Controles generales de TSI
Pasos especificados, con autorización y seguimiento
Controles en construcción
Cambios a programas Remota
Desarrollo de pruebas
Probabilidad de ocurrencia Posible
Autorización del paso al entorno de producción
Probable
Documentación técnoca y de usuario y formación
Controles típicos de TSI Intrascendente
Existencia de políticas y procedimientos Deficiencias detectadas en el sistema
Volumen de error potencial Trascendente
Modelo de organización y estión
Material
Modelo de gestión de la seguridad de las aplicaciones
Significativa
Modelo de gestión de la seguridad de los datos Niveles de deficiencias
Acceso a programas y datos Material
Seguridad de la red interna
Seguridad de la red perimentral
Seguridad física
Modelo de gestión de sistemas operativos
Existencia de políticas y procedimientos
Modelo de organización y gestión
Planificación y ejecución de procesos batch Operaciones
Gestión de copias de seguridad
Procedimientos de recuperación de fallos operativos
10. Discutir estado de riesgos
Alinea la tolerancia al riesgo y la estrategia
Consejo de administración Garantizar y evaluar riesgos
Relaicona crecimiento, riesgo y retorno de inversión
Tomar en cuenta la información de riesgos
Amplía las decisiones de respuesta al riesgo
Gestión del riesgo
Identifica y gestiona riesgos en los distintos niveles
Gestores Implantar mecanismos de supervisión
Proporciona respuestas integradas a los múltiples riesgos
Beneficios Responsabilidades Supervisar riesgos
Aprovecha estratégicamente las oportunidades
Actividades de control
Informa a gestores de riesgos y consejo para establecer supervisión Otro personal
Transmitir información que afecte al sistema
Ayuda a organizaciones a lograr objetivos y evitar pérdidas
COSO
Evaluación de riesgos
Mejora los sistemas de reporte
Auditores internos Recomendaciones de mejoras
Ayuda a asegurar el cumplimiento con leyes y reglamentos
Implantación de ERM
Resuelve todo y con él se pueden tomar deciones básicas
Asegurar ligación entre planes y operaciones de TSI Alineamiento estratégico
Sólo sirve para catalogar o tomar inventario de riesgos
Ejecución del valor aportado por las TSI Entrega de valor
COSO y CoBIT
Mitos Ofrece un sistema por el cual los reultados son infalibles
Utilización efectiva y eficiente de recursos Gestión de recursos
ERM versa sobre asuntos financieros y seguros
Procesos de medición de objetivos y alineamiento Medición del desempeño
Es un modelo muy costoso de implementar
11. Favorece su desarrollo
Requisitos del SGSI Afianza la posición de la organización
Gestión de riesgo Ante el mercado Potencia la imagen de marca
Tratamiento del riesgo Constituye un factor competitivo
Aceptación del riesgo Permite superar barreras técnicas
Características
Análisis del riesgo Fidelización y captación de nuevos clientes
Valoración del riesgo Se mejora comunicación con el cliente
Beneficios de sistemas de gestión Ante los clientes
Evaluación del riesgo Mayor confianza al cliente
Riesgo residual Aumento de la satisfacción del cliente
Alcance Conocimiento y depuración de los procesos internacionales
Política Mejora de procesos y servicios prestados
Valoración de riesgo Ante la gestión de la organización Ahorro de tiempo y recursos necesarios
Identificaión de riesgos Establecimiento y gestión Mejor gestión de los recursos
ISO 27001
Análisis y evaluación Estímulo para entrar en un proceso de mejora continua
Identificación de tratamientos de riesgo Definir políticas de seguridad
Selección de controles Establecer alcance de SGSI
Plan
Plan de tratamiento del riesgo Realizar análisis de riesgos
Eficacia de dichos controles Seleccionar los controles
Implantación y puesta en marcha SGSI
Programas de formación y concienciación Implantar plan de gestión de riesgos
Cultura de la seguridad Modelo PDCA Do Implantar el SGSI
Procedimientos para control y revisión Implantar los controles
Eficacia del SGSI Revisar internamente el SGSI
Check
Auditorías de seguridad y mediciones Realizar auditorías internas del SGSI
Medidas correctivas y preventivas Control y evaluación Adoptar las acciones correctivas
Act
Procedimiento documentado Adoptar las acciones preventivas
Sistema de registro
Anexos
12. Recursos Humanos Política de Seguridad
Gestión de Activos Organización de Seguridad
Análisis y gestión de riesgos Conceptos
Norma ISO 17799
Conformidad legal Seguridad Física
Compras, desarrollo y mantenimiento de sistemas Control de acceso
Gestión de la continuidad del negocio Gestión de comunicaciones y operaciones