El documento habla sobre la adquisición e implementación de tecnologías de la información. Explica los 6 pasos clave en el proceso: 1) identificar soluciones, 2) adquirir y mantener software y arquitectura tecnológica, 3) desarrollar procedimientos relacionados con TI, 4) instalar y acreditar sistemas, 5) administrar cambios, y 6) analizar necesidades. También discute conceptos como identificación de riesgos, seguridad, políticas para sistemas distribuidos, y adquisición y mant
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relacionados con el control de acceso.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
¿De que trata?
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que los eliminen -lo que generalmente no es posible- o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.
La solución SIM - SIEM (Security Information and Event Management) de MANQIT es el resultado de la integración de distintas herramientas software Open Source consideradas estándares de facto por el mercado.
Está concebida con una clara visión integradora para dar solución a las siguientes áreas de la gestión de infraestructuras TI:
- La gestión y resolución de incidencias.
- El inventario.
- La monitorización.
- La gestión del conocimiento.
- La administración remota de los equipos.
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relacionados con el control de acceso.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
¿De que trata?
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que los eliminen -lo que generalmente no es posible- o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto.
La solución SIM - SIEM (Security Information and Event Management) de MANQIT es el resultado de la integración de distintas herramientas software Open Source consideradas estándares de facto por el mercado.
Está concebida con una clara visión integradora para dar solución a las siguientes áreas de la gestión de infraestructuras TI:
- La gestión y resolución de incidencias.
- El inventario.
- La monitorización.
- La gestión del conocimiento.
- La administración remota de los equipos.
1. U niversid ad C entral d el Ecuad or
Estud iante: L lum iquinga Suntaxi Jessica Valeria
C urso: C A 9-4
2. ADQUISICION E INPLEMENTACION
1.- Identificar Soluciones
2.- Adquirir y Mantener
Software de Aplicación
3.- Adquirir y Mantener
Arquitectura Tecnológica
4.- Desarrollar y Mantener
Procedimientos relacionados con
T.I.
5.- Instalar y Acreditar Sistemas.
6.- Administrar Cambios.
3. Necesidades Análisis Compras
Aplicaciones
Funcionalidades Enfoque
Desarrollo
4. IDENTIFICACIÓN DE SOLUCIONES AUTOMATIZADAS
Contratos seleccionados relacionados con la
compra, desarrollo o mantenimiento de software
Requerimientos de usuarios satisfechos
por el sistema existente.
La identificación de paquetes de software
comercial.
Se requieran controles y pistas de
auditoría apropiados.
La administración de la función de
servicios de información.
Acuerdo en el contrato con los
proveedores un plan de aceptación.
Se realiza un análisis de riesgos en línea
de evaluación de riesgos
5. Datos acerca de la
ocurrencia de
acontecimientos
relativos a la seguridad.
-Privacidad e integridad en las comunicaciones.
- Autenticidad del Usuario
Requerimientos de Seguridad:
- Control de Acceso
- Administración de Usuarios.
- Flexibilidad y bajo costo.
Las pistas también pueden ser usadas como base para reconciliaciones de
cuentas, realizar reportes históricos y realizar presupuestos así como hacer
análisis de ventas y cálculos de impuestos sobre estas.
6. ERRORES POTENCIALES EN TECNOLOGÍAS INFORMÁTICAS
Prevención
Permite reducir los
factores de riesgo
Detección Mantenimiento e integridad
de los datos a través de
procedimientos
Represión Mecanismo esencial entre
los sistemas consciente e
inconsciente
Corrección Proceso de control y
modificación
Evaluación Sistema de Aseguramiento y
Gestión de Calidad.
7. EVOLUCIÓN Y ADMINISTRACIÓN DEL RIESGO
Identificación y análisis
de factores que podrían
afectar la consecución
de los objetivos
8. Incluye todos los
recursos informáticos de
Redes de área local ( L A N )
una organización, aún
cuando estos n o estén
interconectados:
Redes de área metropolitana ( M A
N)
Redes nacionales y supranacionales
(WAN)
POLÍTICAS PARA SISTEMAS DISTRIBUIDOS
Son lineamientos que uma 1.- Marco jurídico adecuado
organización debe seguir
para asegurar la Estratos:
confiabilidad de sus 2.- Medidas técnicas
sistemas. administrativas
9. TÉCNICA CIFRADO DE INFORMACIÓN
Es el proceso por el que una información
legible se transforma mediante un
algoritmo (llamado cifra) en información
ilegible, llamada criptograma o secreto.
* Confidencialidad .- Protege la información
contra la lectura no autorizada explicitamente.
* Integridad.- protege la información contra la
modificación sin el permiso del dueño.
* Autenticidad.- se implementa mecanismos NIVELES DE TRABAJO
para verificar quien esta enviando la
información.
* Auditoria.- contar com mecanismos
determinar que es lo que sucede em el sistema.
* Autenticación.- proceso que intenta verificar la
identidad digital del remitente de una comunicación
como una petición para conectarse.
10. ADQUISICÓN Y MANTENIMIENTO DE SOFTWARE APLICADO
Es el proceso de mejora y
optimización del software después
de su entrega al usuario final, así
como también corrección y
prevención de los defectos.
11.
12. Políticas y procedimientos
de las funciones de servicios
de información relacionadas
con el desarrollo del sistema
Futuros Requerimientos y Niveles de
Servicios Operacionales
Manual de Procedimientos para Usuario
Manual de Operaciones
Material de Entrenamiento
13. Verificar y confirmar
que la solución sea
adecuada para el
propósito deseado.
Toma en cuenta:
14. Objetivos:
Minimizar la probabilidad de interrupciones, alteraciones
no autorizadas y errores.
Toma en cuenta:
Identificación de cambios tanto internos como por
parte de proveedores
Procedimientos de categorización, priorización y emergencia
de solicitudes de cambios.
Evaluación del impacto que provocaran los cambios.
Distribución del software.