![Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],NcN2003](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Recommandé
Contenu connexe
Tendances
Tendances (20)
En vedette
En vedette (14)
Similaire à Reglamento medidas seguridad COBIT UNE
Similaire à Reglamento medidas seguridad COBIT UNE (20)
Dernier
Reglamento medidas seguridad COBIT UNE
- 1. Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799 Ramón de la Iglesia Vidal Iván Guardia Hernández www.auditoriabalear.com
- 16. Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799 4. Introducción COBIT NcN2003 En resumen , los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos.
- 53. Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799 Auditoría Informática Balear www.auditoriabalear.com NcN2003 Iván Guardia Hernández Ramón de la Iglesia Vidal COPYRIGHT ® 2003 derechos de modificación reservados.
Notes de l'éditeur
- d) Otras medidas de seguridad exigibles a todos los ficheros. - Las medidas de seguridad exigibles a los accesos mediante redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al de los accesos en modo local (art. 5 RMS) . - El tratamiento de los datos fuera de los locales de ubicación del fichero deberá ser autorizado expresamente por el responsable del fichero, garantizando el nivel de seguridad correspondiente (art. 6 RMS) . - La creación de ficheros temporales deberá efectuarse con cumplimiento de las normas de seguridad correspondientes, y serán borrados una vez que hayan dejado de ser necesarios (art. 7 RMS) . - El responsable del fichero deberá elaborar e implantar la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal (art. 8.1 RMS) . - Las funciones y obligaciones del personal con acceso al sistema de información estarán claramente definidas y documentadas. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones, así como las consecuencias de su incumplimiento (art. 9 RMS) . - Las pruebas con datos reales sólo podrán efectuarse cumpliendo con las medidas de seguridad correspondientes al nivel exigible de acuerdo con la naturaleza de los datos (art. 22 RMS) .
- a) Medidas de seguridad de nivel básico. Requieren: - Existencia de un registro de incidencias en el que conste el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieren derivado de la misma (art. 10 RMS) . - Existencia de una relación actualizada de usuarios que tengan acceso autorizado al sistema de información, con indicación de los recursos a los que tienen acceso ( art. 11.1 y art. 12.3 RMS). - Existencia de mecanismos de identificación y autenticación de los accesos de los usuarios autorizados (login y contraseña). Las contraseñas se asignarán, distribuirán y almacenarán de forma que se garantice su confidencialidad e integridad. Se cambiarán con la periodicidad que se determine y mientras estén vigentes se almacenarán de forma ininteligible (art. 11 RMS) . - Restricción de acceso a los usuarios únicamente a los datos que requieran para el desarrollo de sus funciones (art. 12.1 RMS) .
- - Designación de uno o varios responsables de seguridad (art. 16 RMS). - Sometimiento a auditoría al menos una vez cada dos años (art. 17 RMS). - Establecimiento de mecanismos de acceso que permitan la identificación inequívoca y personalizada de los usuarios (art. 18.1 RMS). - Limitación de los intentos de acceso no autorizados al sistema de información (art. 18.2 RMS). - Establecimiento de medidas de control de acceso físico a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal (art. 19 RMS). - Establecimiento de un registro de entrada/salida de soportes informáticos (art. 20.1 y 2 RMS). - Establecimiento de medidas para impedir la recuperación indebida de información contenida en soportes desechados o ubicados fuera de sus lugares habituales de almacenamiento (art. 20. 3 y 4 RMS). - Consignación en el registro de incidencias de las operaciones de recuperación de datos, que deberán ser autorizados por escrito por el responsable del fichero (art. 21 RMS).
- c) Medidas de seguridad de nivel alto. Además de las anteriores, requieren: - Que los soportes que contengan datos de carácter personal para su distribución incorporen la información cifrada o protegida por cualquier otro mecanismo que garantice la confidencialidad e integridad de los datos (art. 23 RMS) . - Que exista un registro de accesos en el que se recojan los siguientes datos: identificación del usuario, fecha y hora en que se realizó el acceso, fichero accedido, tipo de acceso y si ha sido autorizado o denegado, así como el registro accedido. La información registrada deberá conservarse por un mínimo de dos años (art. 24 RMS) . - Que las copias de seguridad se almacenen en un lugar diferente de aquél en el que se encuentren los equipos informáticos que traten los datos (art. 25 RMS) . - Las transmisiones de datos en redes de comunicación se efectúen mediante cifrado o cualquier otro mecanismo que garantice la confidencialidad e integridad de los datos (art. 26 RMS) .
- Fundada en 1969, ISACA auspicia conferencias nacionales e internacionales, administra globalmente la rendición del examen de certificación mundial CISA (Certified Information Systems Auditor) y desarrolla globalmente estándares de Auditoría y Control en Sistemas de Información. La M isión de ISACA se basa en promover, mejorar y desarrollar las capacidades de nuestros asociados y de la comunidad en lo relacionado con la auditoría, seguridad, control y/o consultoría gerencial , en el campo de los sistemas y tecnologías de información. Para cumplir plenamente con nuestra misión, pretendemos desarrollar fuertes y trasparentes relaciones con el mundo académico participando activamente en carreras de Pregrado, Postítulos o Magíster de nuestro ámbito. A su vez, nuestro contacto empresarial a niveles ejecutivos nos permitirá desarrollar en conjunto, por medio de talleres u otro tipo de eventos las mejores prácticas en Seguridad y Control de Sistemas de Información. Por ultimo, para cumplir con la Política de Educación Continua, para los Auditores CISA, la Asociación desarrollará Seminarios de interés sobre la base de las necesidades del medio tecnológico. 1. El Resumen Ejecutivo consiste de una Visión Ejecutiva, la cual provee a la Administración un entendimiento de los principios y conceptos claves de COBIT y el marco que provee a la Administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. 2. El marco describe en detalle los 34 Objetivos de COntrol de TI a un nivel macro, e identifica los requerimientos del negocio para la informacion e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contiene declaraciones de los resultados deseados o propósitos a ser alcanzados para la implementación de 302 objetivos de control específcos a través de los 34 Procesos de TI. 3. Las Guías de Auditoría, las cuales continen pasos de auditoría sugeridos correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y/o aconsejar sus mejoras. 4. Una Herramienta de implementación, la cual contiene el Conocimiento de la Administración y Diagnóstico de Control de TI, una Guíía de Implementación, FAQ, casos de estudio de organizaciones actualmente usando Cobit, y presentaciones que pueden ser usadas para introducir COBIT dentro de la organización. Esta nueva herramienta es diseñada para facilitar la implementación de COBIT, relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.
- Datos Los elementos de datos en su más amplio sentido, (por ejemplo, externos e internos), estructurados y no estructurados, gráficos, sonido, etc. Aplicaciones Se entiende como sistemas de aplicación la suma de procedimientos manuales y programados Tecnología La tecnología cubre hardware, software, sistemas operativos, sistemas de administración de bases de datos, redes, multimedia, etc. Instalaciones Recursos para alojar y dar soporte a los sistemas de información Personal Habilidades del personal, conocimiento, conciencia y productividad para planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de información
- El marco referencial consta de Objetivos de Control de TI de alto nivel y de una estructura general para su clasificación y presentación. La teoría subyacente para la clasificación seleccionada se refiere a que existen, en esencia, tres niveles de actividades de TI al considerar la administración de sus recursos. Comenzando por la base, encontramos las actividades y tareas necesarias para alcanzar un resultado medible. Las actividades cuentan con un concepto de ciclo de vida, mientras que las tareas son consideradas más discretas. El concepto de ciclo de vida cuenta típicamente con requerimientos de control diferentes a los de actividades discretas. Algunos ejemplos de esta categoría son las actividades de desarrollo de sistemas, administración de la configuración y manejo de cambios. La segunda categoría incluye tareas llevadas a cabo como soporte para la planeación estratégica de TI, evaluación de riesgos, planeación de la calidad, administración de la capacidad y el desempeño. Los procesos se definen entonces en un nivel superior como una serie de actividades o tareas conjuntas con "cortes" naturales (de control). Al nivel más alto, los procesos son agrupados de manera natural en dominios. Su agrupamiento natural es confirmado frecuentemente como dominios de responsabilidad en una estructura organizacional, y está en línea con el ciclo administrativo o ciclo de vida aplicable a los procesos de TI. Por lo tanto, el marco referencial conceptual puede ser enfocado desde tres puntos estratégicos: (1) recursos de TI, (2) requerimientos de negocio para la información y (3) procesos de TI. Estos puntos de vista diferentes permiten al marco referencial ser accedido eficientemente. Con lo anterior como marco de referencia, los dominios son identificados utilizando las palabras que la gerencia utilizaría en las actividades cotidianas de la organización -y no la "jerga 15 " del auditor -. Por lo tanto, cuatro grandes dominios son identificados: planeación y organización, adquisición e implementación; entrega y soporte y monitoreo. Las definiciones para los dominios mencionados son las siguientes: Planeación y organización Este dominio cubre la estrategia y las tácticas y se refiere a la identificación de la forma en que la tecnología de información puede contribuir de la mejor manera al logro de los objetivos del negocio. Además, la consecución de la visión estratégica necesita ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, deberán establecerse una organización y una infraestructura tecnológica apropiadas. Adquisición e Implementación Para llevar a cabo la estrategia de TI, las soluciones de TI deben ser identificadas, desarrolladas o adquiridas, así como implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre los cambios y el mantenimiento realizados a sistemas existentes. Entrega y Soporte En este dominio se hace referencia a la entrega de los servicios requeridos, que abarca desde las operaciones tradicionales hasta el entrenamiento, pasando por seguridad y aspectos de continuidad. Con el fin de proveer servicios, deberán establecerse los procesos de soporte necesarios. Este dominio incluye el procesamiento de los datos por sistemas de aplicación, frecuentemente clasificados como controles de aplicación Monitoreo Todos los procesos necesitan ser evaluados regularmente a través del tiempo para verificar su calidad y suficiencia en cuanto a los requerimientos de control.
- Debe tomarse en cuenta que estos procesos pueden ser aplicados a diferentes niveles dentro de una organización. Por ejemplo, algunos de estos procesos serán aplicados al nivel corporativo, otros al nivel de la función de servicios de información, otros al nivel del propietario de los procesos de negocio. También debe ser tomado en cuenta que el criterio de efectividad de los procesos que planean o entregan soluciones a los requerimientos de negocio, cubrirán algunas veces los criterios de disponibilidad, integridad y confidencialidad. - en la práctica, se han convertido en requerimientos del negocio. Por ejemplo, el proceso de "identificar soluciones automatizadas" deberá ser efectivo en el cumplimiento de requerimientos de disponibilidad, integridad y confidencialidad. Resulta claro que las medidas de control no satisfarán necesariamente los diferentes requerimientos de información del negocio en la misma medida. Se lleva a cabo una clasificación dentro del marco referencial COBIT basada en rigurosos informes y observaciones de procesos por parte de investigadores, expertos y revisores con las estrictas definiciones determinadas previamente. Primario es el grado al cual el objetivo de control definido impacta directamente el requerimiento de información de interés. Secundario es el grado al cual el objetivo de control definido satisface únicamente de forma indirecta o en menor medida el requerimiento de información de interés. Blanco (vacío) podría aplicarse; sin embargo, los requerimientos son satisfechos más apropiadamente por otro criterio en este proceso y/o por otro proceso. Similarmente, todos las medidas de control no necesariamente tendrán impacto en los diferentes recursos de TI a un mismo nivel. Por lo tanto, el Marco Referencial de COBIT indica específicamente la aplicabilidad de los recursos de TI que son administrados en forma específica por el proceso bajo consideración (no por aquellos que simplemente toman parte en el proceso). Esta clasificación es hecha dentro el Marco Referencial de COBIT basado en el mismo proceso riguroso de información proporcionada por los investigadores, expertos y revisores, utilizando las definiciones estrictas indicadas previamente.
- DS 5 Guías: Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solución de problemas. Estos reportes deberán incluir: · intentos no autorizados de acceso al sistema (sign on) · intentos no autorizados de acceso a los recursos del sistema · intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad · privilegios de acceso a recursos por ID de usuario · modificaciones autorizadas a las definiciones y reglas de seguridad · accesos autorizados a los recursos (seleccionados por usuario o recurso) · cambio de estatus de la seguridad del sistema · accesos a las tablas de parámetros de seguridad del sistema operativo
- DS 5 Guías: Se cuenta con reportes de violaciones a la seguridad y procedimientos formales de solución de problemas. Estos reportes deberán incluir: · intentos no autorizados de acceso al sistema (sign on) · intentos no autorizados de acceso a los recursos del sistema · intentos no autorizados para consultar o modificar las definiciones y reglas de seguridad · privilegios de acceso a recursos por ID de usuario · modificaciones autorizadas a las definiciones y reglas de seguridad · accesos autorizados a los recursos (seleccionados por usuario o recurso) · cambio de estatus de la seguridad del sistema · accesos a las tablas de parámetros de seguridad del sistema operativo
- Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a grandes fallos o desastres.
- La Gerencia de la función de servicios de información deberá asegurar que se desarrolle un plan escrito conteniendo lo siguiente: Guías sobre la utilización del Plan de Continuidad; Procedimientos de emergencia para asegurar la integridad de todo el personal afectado; Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre; Procedimientos para salvaguardar y reconstruir las instalaciones; Procedimientos de coordinación con las autoridades públicas; Procedimientos de comunicación con los interesados: empleados, clientes clave, proveedores críticos, accionistas y gerencia; y l Información crítica sobre grupos de continuidad, personal afectado, clientes, proveedores, autoridades públicas y medios de comunicación.
- Existen procedimientos de manejo de problemas para: definir e implementar un sistema de manejo de problemas registrar, analizar y resolver de manera oportuna todos los eventos no-estándar establecer reportes de incidentes para los eventos críticos y la emisión de reportes para usuarios identificar tipos de problemas y metodología de priorización que permitan una variedad de soluciones tomando el riesgo como base definir controles lógicos y físicos de la información de manejo de problemas seguir las tendencias de los problemas para maximizar recursos y reducir la rotación recolectar entradas de datos precisas, actuales, consistentes y utilizables para la emisión de reportes notificar los escalamientos al nivel apropiado de administración determinar si la administración evalúa periódicamente el proceso de manejo de problemas en cuanto a una mayor efectividad y eficiencia Llevando a cabo: Para una selección de problemas reportados, pruebas que aseguren que los procedimientos de manejo de problemas fueron seguidos para todas las actividades no-estándar, incluyendo: registro de todos los eventos no-estándar por proceso seguimiento y solución de todos y cada una de los eventos nivel apropiado de respuesta tomando como base la prioridad del evento escalamiento de problemas para eventos críticos reporte apropiado dentro de la función de servicios de información y grupos usuarios revisiones regulares de efectividad y eficiencia de procesos en cuanto a mejoras expectativas y éxito de programa de mejoras del desempeño