SlideShare une entreprise Scribd logo

Resumen capitulo 12

Télécharger en tant que DOCX, PDF
D
danferwan

TechnologieBusiness
1  sur  7
Administración de las tecnologías de información EQUIPO 5 Página 1 LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN SGSI propone una metodología de medición de la eficacia de los controles de seguridad SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de riesgo previo,de loscontroles elegidosyefectivamente implantadosparamitigarloysucomportamiento esperado. ¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD? El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información que supone un ámbito de actuacionesdiferentesal de lasinfraestructuras,aplicativasysistemasoprocesosque lasoportan. Las métricasde gestiónde la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. La planificación,implantaciónymejorade lasmétricasde gestión de la seguridad nos permitirán:  Analizar y comprender el estado de seguridad.  Controlar la eficiencia y eficacia de los controles.  Predecir el tiempo y el costo de un proyecto.  Mejorar la gestión de la seguridad de la información. ¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD? En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos de los términosque se refiere comoindicadoresserianloque se denominan métricas en el NIST 800-55. CoBIT requiere unconocimiento de los objetivos de negocio por parte de las organizaciones que pretenden implantarlo. En el modeloCoBIT, unavezque se han fijadolosobjetivoshande establecer,mediante el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los dos tipos de indicadores:  KEY GOAL INDICATOR(KGIS):COBIT considera este indicador como de “lapso” y lo define como lamedidade loque se ha de cumplirse,ladistanciaentre loque se ha realizado y el objetivo a cumplir.  KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una indicación o una medida de “como de bien” se están comportando los procesos. COBIT relaciona un indicador con el otro, de la siguiente manera:
Administración de las tecnologías de información EQUIPO 5 Página 2 COBIT propone trestipos de medicionesde losprocesos(loque serianlos controles en la familia 27001):  Rendimiento (performance): key Performance Indicatos.  Resultado: Key Goal Indicators.  Madurez: Maturity Models. En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés:  Measurement: proceso de obtención de información sobre la eficacia del SGSI, sus objetivos de control y controles, usando un método y función de medida, un modelo analítico y un criterio de decisión.  Measure: variable que se asigna un valor como resultado de un proceso de medición. CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS COBIT,por ejemplo,establecertressistemasomodosde monitorizarsi los controles implantados son los adecuados y si se comportan según lo esperado:  Benclumarkingnde lacapacidadde losprocesoshaciendousode losmodelosde madurez derivados del “Capabiliry Maturity Model” del software Engineering Instinate.
Administración de las tecnologías de información EQUIPO 5 Página 3  Definición de objetivos y métricas del los procesos TSI según vimos en el apartado anterior, basados en los “balance business scorecard” de Norton y Kaplan.  Activity Goals , basados en objetivos de control detallados de COBIT y que permiten mantener un control sobre su eficiencia. Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y utilizarse para llevara cabo l mejora de los procesos y resultados relacionados con la seguridad dentro del seguridad dentro del proyecto u organización. EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA SEGURIDAD” La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización. El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de una organización, junto con la identificación y la interacción de estos procesos, así como su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI. VICIÓN GENERAL DE LAS MEDIDAS La mediciónimplicaunprocesode obtenciónde informaciónsobre laeficaciadel métodoSGSI,los objetivosde control individualesy controles que utilizan un método de medición una función de mediciónyunmodeloanalíticoconfrontando la información obtenida a los criterios de decisión. La finalidaddelprocesode implantaciónydesarrollode medidas de la gestión de seguridad de la información es crear una base en cada organización que permite recoge, analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad respecto a la mejor del SGSI o los cambios dentro del mismo.
Administración de las tecnologías de información EQUIPO 5 Página 4 Los objetivos del proceso de medida son:  Evaluar la eficacia de la implantación de los controles de seguridad.  Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua.  Proporcionar un estado de seguridad para distinguir la revisión de la gestión, facilita las mejoras de la seguridad y contribuir a auditorias de seguridad.  Comunicar el valor de la seguridad a la organización.  Servir como aportación al plan de tratamiento de riesgo y de evaluación de riesgos. Tipos de medidas La norma propone la siguiente categorización: a) Derivada b) Base Dentro de cada una de las categorías, las medidas pueden tener dos variedades: a) Cumplimiento b) Rendimiento Las medidasde cumplimientoayudanalaidentificaciónde lagunasenlaimplantaciónylagestión y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la organización. Las medidasde rendimiento evalúan la eficacia de los controles implementados utilizados para proteger los activos de información de la organización.
Administración de las tecnologías de información EQUIPO 5 Página 5 EL PROCESO DE MEDICIÓN Las organizacionesdebenlimitarlacantidadde medidasque utilizandentrodel mismoperiodode tiempoconel finde garantizar su capacidad de adoptar los cambios pertinentes como resultado de la información obtenida. Las medidas deben revisarse para verificar que continúan suministrando información valida ala organización:que lasfuentesy otros aspectos relacionados con sus atributos son correctos y que los beneficios frente al esfuerzo dan un saldo positivo. COMO SE DESARROLLA UNA “MEDIDA” El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza con la selección de controles y objetivos de control específico para la medición, continúa con la identificación de objetivos de medición, especificación de medidas y finaliza con el establecimiento de recogida y análisis de datos e informes de procesos y herramientas. La selección de controles específicos incluyen los siguientes pasos. a) Identificarloscontroles y objetivos de control que fueron seleccionados como resultado del análisis de riesgo, como se describe en la ISO 27001. b) Establecerprioridadesentre controlesyobjetivosde control seleccionados como base en los siguientes criterios:  Los requisitos de stakeholders.  La política de seguridad se la información de la organización.  La informaciónnecesariaparasatisfacerlosrequisitoslegales,regulatorios y contrctuales.
Administración de las tecnologías de información EQUIPO 5 Página 6  Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de control. c) Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas. Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de automatización de la actividad de recogida de datos, tales como: a) Auditorías internas o externas. b) Evaluación de riesgo y análisis de riesgo. c) Cuestionario y preguntas. d) Utilización del riesgo de acontecimientos. e) Producción de registros, informes y pistas de auditoria. f) Informes de incidentes, en particular aquellos tienen como resultado un impacto. g) Muestra de estadísticas. h) Pruebas. Las medidas validas deben de contar con varios indicadores:  Estratégica  Cuantitativa  Razonable  Interpretativa  Verificable  Evolutiva  Útil  Indivisible  Repetible El proceso de medición deberá documentarse: a) Los controles y objetivos de control a ser sometidos a medición. b) Los objetivos de medición. c) Los objetivos de negocio sometidos a medición d) Las medidas individuales a ser recogidas y utilizadas. e) El proceso de análisis y recogida de datos. f) El proceso y formato de informes. g) Las funciones y responsabilidades de los stakeholders La operaciónde lasmedidasconllevalarecogidayel análisis de losdatosutilizadosparagenerarse e incluye actividadesque sonesenciales para asegurar que las misma se utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas. Esto incluye:
Administración de las tecnologías de información EQUIPO 5 Página 7 a) Integrar los procedimientos de medidas en la operación global de SGSI b) Recoger, almacenar y verificar datos. ¿COMO GENERAR INDICADORES? Los indicadoresde gestión se generanal interpretarlasmedidasderivadasalaluz de loscriterios de decisiónolasnecesidadesde informaciónde laorganización. Los formatos de informes han de representar de manera visual las medidas y facilitar una explicaciónverbal de losindicadores.Lamecánicadel establecimientode criterios de decisioneses diferente si se trata de mediciones de cumplimiento o de rendimiento.

Recommandé

ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...PECB
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontecEl Es
 
SGSI
SGSISGSI
SGSIAngelica Lopez
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 

Recommandé

ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...
Programa de concienciación, el eslabón mas débil de la cadena de seguridad: L...PECB
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Indicadores de gestión icontec
Indicadores de gestión icontecIndicadores de gestión icontec
Indicadores de gestión icontecEl Es
 
SGSI
SGSISGSI
SGSIAngelica Lopez
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001darkprophet
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoriaPaola Prada
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcmsPrimala Sistema de Gestion
 
La guia-met as-08-07-auditorias
La guia-met as-08-07-auditoriasLa guia-met as-08-07-auditorias
La guia-met as-08-07-auditoriasJulian Melo
 
Iso27001
Iso27001Iso27001
Iso27001ANDRULANCO2014
 
Proyecto de grado webcast
Proyecto de grado webcastProyecto de grado webcast
Proyecto de grado webcastalfonsoug
 
Auditoria de sistemas de informacion
Auditoria de sistemas de informacionAuditoria de sistemas de informacion
Auditoria de sistemas de informacionAnairam Campos
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listomaricelcc
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - IngertecGrupo Ingertec
 
Conceptos relativos a la auditoria
Conceptos relativos a la auditoriaConceptos relativos a la auditoria
Conceptos relativos a la auditoriaLAHugoHdez
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Trabajo fin de Máster
Trabajo fin de MásterTrabajo fin de Máster
Trabajo fin de MásterMaría José Ruiz Hidalgo
 
Matriz1
Matriz1Matriz1
Matriz1mirepineros
 
Modulo 4 Mercadeo I
Modulo 4 Mercadeo IModulo 4 Mercadeo I
Modulo 4 Mercadeo IDuilio Leiva
 
Ped
PedPed
Pedeboadaspsm
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Politicas
PoliticasPoliticas
PoliticasJannina Lamber
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadJhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 

Contenu connexe

Tendances

Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoriaPaola Prada
 
La guia-met as-08-07-auditorias
La guia-met as-08-07-auditoriasLa guia-met as-08-07-auditorias
La guia-met as-08-07-auditoriasJulian Melo
 
Proyecto de grado webcast
Proyecto de grado webcastProyecto de grado webcast
Proyecto de grado webcastalfonsoug
 
Auditoria de sistemas de informacion
Auditoria de sistemas de informacionAuditoria de sistemas de informacion
Auditoria de sistemas de informacionAnairam Campos
 
Conceptos relativos a la auditoria
Conceptos relativos a la auditoriaConceptos relativos a la auditoria
Conceptos relativos a la auditoriaLAHugoHdez
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemasYony Laurente
 
Modulo 4 Mercadeo I
Modulo 4 Mercadeo IModulo 4 Mercadeo I
Modulo 4 Mercadeo IDuilio Leiva
 

Tendances (16)

Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Modelo plan auditoria
Modelo plan auditoriaModelo plan auditoria
Modelo plan auditoria
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcms
 
La guia-met as-08-07-auditorias
La guia-met as-08-07-auditoriasLa guia-met as-08-07-auditorias
La guia-met as-08-07-auditorias
 
Iso27001
Iso27001Iso27001
Iso27001
 
Proyecto de grado webcast
Proyecto de grado webcastProyecto de grado webcast
Proyecto de grado webcast
 
Auditoria de sistemas de informacion
Auditoria de sistemas de informacionAuditoria de sistemas de informacion
Auditoria de sistemas de informacion
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listo
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
 
Conceptos relativos a la auditoria
Conceptos relativos a la auditoriaConceptos relativos a la auditoria
Conceptos relativos a la auditoria
 
Auditoria de-sistemas
Auditoria de-sistemasAuditoria de-sistemas
Auditoria de-sistemas
 
Trabajo fin de Máster
Trabajo fin de MásterTrabajo fin de Máster
Trabajo fin de Máster
 
Matriz1
Matriz1Matriz1
Matriz1
 
Modulo 4 Mercadeo I
Modulo 4 Mercadeo IModulo 4 Mercadeo I
Modulo 4 Mercadeo I
 
Ped
PedPed
Ped
 

Similaire à Resumen capitulo 12

Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadJhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacionAlexander Cruz
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Orlin Jose Reyes
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Gladisichau
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 

Similaire à Resumen capitulo 12 (20)

Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Politicas
PoliticasPoliticas
Politicas
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
 
Gabriel auditoria
Gabriel auditoriaGabriel auditoria
Gabriel auditoria
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Resumen de la norma ISO 27001
Resumen de la norma ISO 27001Resumen de la norma ISO 27001
Resumen de la norma ISO 27001
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Modulo III, parte 2
Modulo III, parte 2Modulo III, parte 2
Modulo III, parte 2
 

Plus de danferwan

MEJORAS EN EL TRANSPORTE
MEJORAS EN EL TRANSPORTEMEJORAS EN EL TRANSPORTE
MEJORAS EN EL TRANSPORTEdanferwan
 
Conceptos de la administración de proyectos
Conceptos de la administración de proyectosConceptos de la administración de proyectos
Conceptos de la administración de proyectosdanferwan
 
ResGLOSARIO DE ADMINISTRACION EXITOSA DE PROYECTOS
ResGLOSARIO DE ADMINISTRACION EXITOSA DE PROYECTOSResGLOSARIO DE ADMINISTRACION EXITOSA DE PROYECTOS
ResGLOSARIO DE ADMINISTRACION EXITOSA DE PROYECTOSdanferwan
 
UN FABRICANTE DE APARATOS ELECTRÓNICOS
UN FABRICANTE DE APARATOS ELECTRÓNICOSUN FABRICANTE DE APARATOS ELECTRÓNICOS
UN FABRICANTE DE APARATOS ELECTRÓNICOSdanferwan
 
SISTEMAS DE INFORMACIÓN MÉDICA
SISTEMAS DE INFORMACIÓN MÉDICASISTEMAS DE INFORMACIÓN MÉDICA
SISTEMAS DE INFORMACIÓN MÉDICAdanferwan
 
/strong><object height="510" width="477"><param /><param /><param...
/strong><object height="510" width="477"><param /><param /><param.../strong><object height="510" width="477"><param /><param /><param...
/strong><object height="510" width="477"><param /><param /><param...danferwan
 
SISTEMAS DE INFORMACIÓN MÉDICA
SISTEMAS DE INFORMACIÓN MÉDICASISTEMAS DE INFORMACIÓN MÉDICA
SISTEMAS DE INFORMACIÓN MÉDICAdanferwan
 
Solicitud de propuesta online 06-2010
Solicitud de propuesta online 06-2010Solicitud de propuesta online 06-2010
Solicitud de propuesta online 06-2010danferwan
 
UNA COMPAÑÍA FARMACÉUTICA DE TAMAÑO MEDIO
UNA COMPAÑÍA FARMACÉUTICA DE TAMAÑO MEDIOUNA COMPAÑÍA FARMACÉUTICA DE TAMAÑO MEDIO
UNA COMPAÑÍA FARMACÉUTICA DE TAMAÑO MEDIOdanferwan
 
T6 u2 daniel_ruiz_fernandez
T6 u2 daniel_ruiz_fernandezT6 u2 daniel_ruiz_fernandez
T6 u2 daniel_ruiz_fernandezdanferwan
 
Reseña l2 u2_daniel_ruiz _fernandez
Reseña l2 u2_daniel_ruiz _fernandezReseña l2 u2_daniel_ruiz _fernandez
Reseña l2 u2_daniel_ruiz _fernandezdanferwan
 
L1 u1 daniel_ruiz _fernandez
L1 u1 daniel_ruiz _fernandezL1 u1 daniel_ruiz _fernandez
L1 u1 daniel_ruiz _fernandezdanferwan
 
Ati planes de ti
Ati planes de tiAti planes de ti
Ati planes de tidanferwan
 
Ati cap10 eq5_exp_normas
Ati cap10 eq5_exp_normasAti cap10 eq5_exp_normas
Ati cap10 eq5_exp_normasdanferwan
 
Ati cap10 eq5_exp_normas
Ati cap10 eq5_exp_normasAti cap10 eq5_exp_normas
Ati cap10 eq5_exp_normasdanferwan
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12danferwan
 

Plus de danferwan (19)

Cap 8 tarea
Cap 8 tareaCap 8 tarea
Cap 8 tarea
 
MEJORAS EN EL TRANSPORTE
MEJORAS EN EL TRANSPORTEMEJORAS EN EL TRANSPORTE
MEJORAS EN EL TRANSPORTE
 
Conceptos de la administración de proyectos
Conceptos de la administración de proyectosConceptos de la administración de proyectos
Conceptos de la administración de proyectos
 
ResGLOSARIO DE ADMINISTRACION EXITOSA DE PROYECTOS
ResGLOSARIO DE ADMINISTRACION EXITOSA DE PROYECTOSResGLOSARIO DE ADMINISTRACION EXITOSA DE PROYECTOS
ResGLOSARIO DE ADMINISTRACION EXITOSA DE PROYECTOS
 
UN FABRICANTE DE APARATOS ELECTRÓNICOS
UN FABRICANTE DE APARATOS ELECTRÓNICOSUN FABRICANTE DE APARATOS ELECTRÓNICOS
UN FABRICANTE DE APARATOS ELECTRÓNICOS
 
SISTEMAS DE INFORMACIÓN MÉDICA
SISTEMAS DE INFORMACIÓN MÉDICASISTEMAS DE INFORMACIÓN MÉDICA
SISTEMAS DE INFORMACIÓN MÉDICA
 
/strong><object height="510" width="477"><param /><param /><param...
/strong><object height="510" width="477"><param /><param /><param.../strong><object height="510" width="477"><param /><param /><param...
/strong><object height="510" width="477"><param /><param /><param...
 
SISTEMAS DE INFORMACIÓN MÉDICA
SISTEMAS DE INFORMACIÓN MÉDICASISTEMAS DE INFORMACIÓN MÉDICA
SISTEMAS DE INFORMACIÓN MÉDICA
 
Solicitud de propuesta online 06-2010
Solicitud de propuesta online 06-2010Solicitud de propuesta online 06-2010
Solicitud de propuesta online 06-2010
 
UNA COMPAÑÍA FARMACÉUTICA DE TAMAÑO MEDIO
UNA COMPAÑÍA FARMACÉUTICA DE TAMAÑO MEDIOUNA COMPAÑÍA FARMACÉUTICA DE TAMAÑO MEDIO
UNA COMPAÑÍA FARMACÉUTICA DE TAMAÑO MEDIO
 
T6 u2 daniel_ruiz_fernandez
T6 u2 daniel_ruiz_fernandezT6 u2 daniel_ruiz_fernandez
T6 u2 daniel_ruiz_fernandez
 
Reseña l2 u2_daniel_ruiz _fernandez
Reseña l2 u2_daniel_ruiz _fernandezReseña l2 u2_daniel_ruiz _fernandez
Reseña l2 u2_daniel_ruiz _fernandez
 
L1 u1 daniel_ruiz _fernandez
L1 u1 daniel_ruiz _fernandezL1 u1 daniel_ruiz _fernandez
L1 u1 daniel_ruiz _fernandez
 
Ati planes de ti
Ati planes de tiAti planes de ti
Ati planes de ti
 
Winkinomiks
WinkinomiksWinkinomiks
Winkinomiks
 
Ati cap10 eq5_exp_normas
Ati cap10 eq5_exp_normasAti cap10 eq5_exp_normas
Ati cap10 eq5_exp_normas
 
Ati cap10 eq5_exp_normas
Ati cap10 eq5_exp_normasAti cap10 eq5_exp_normas
Ati cap10 eq5_exp_normas
 
Resumen capitulo 12
Resumen capitulo 12Resumen capitulo 12
Resumen capitulo 12
 
Comparacion
ComparacionComparacion
Comparacion
 

Dernier

Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Dernier (11)

Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Resumen capitulo 12

  • 1. Administración de las tecnologías de información EQUIPO 5 Página 1 LAS MÉTRICAS DE SEGURIDAD DE LA INFORMACIÓN SGSI propone una metodología de medición de la eficacia de los controles de seguridad SI implantados que varían, como es obvio, de un entidad a otra en atención al análisis de riesgo previo,de loscontroles elegidosyefectivamente implantadosparamitigarloysucomportamiento esperado. ¿MÉTRICAS DE SEGURIDAD O MÉTRICAS DE GESTIÓN DE LA SEGURIDAD? El propósito del proceso de métrica de gestión de la seguridad es recoger, analizar y comunicar datos relacionados con los procesos de la seguridad de la información que supone un ámbito de actuacionesdiferentesal de lasinfraestructuras,aplicativasysistemasoprocesosque lasoportan. Las métricasde gestiónde la seguridad de la información tienen por finalidad conocer, evaluar y gestionar la seguridad de los sistemas de información. La planificación,implantaciónymejorade lasmétricasde gestión de la seguridad nos permitirán:  Analizar y comprender el estado de seguridad.  Controlar la eficiencia y eficacia de los controles.  Predecir el tiempo y el costo de un proyecto.  Mejorar la gestión de la seguridad de la información. ¿INDICADORES, MÉTRICAS O MEDIDAS DE SEGURIDAD? En CoBIT 4.0 la cuestión terminológica se complica un tanto de tal modo que en algunos de los términosque se refiere comoindicadoresserianloque se denominan métricas en el NIST 800-55. CoBIT requiere unconocimiento de los objetivos de negocio por parte de las organizaciones que pretenden implantarlo. En el modeloCoBIT, unavezque se han fijadolosobjetivoshande establecer,mediante el uso de indicadores en qué medida se están lográndolos mismo. Y así se definen los dos tipos de indicadores:  KEY GOAL INDICATOR(KGIS):COBIT considera este indicador como de “lapso” y lo define como lamedidade loque se ha de cumplirse,ladistanciaentre loque se ha realizado y el objetivo a cumplir.  KEY PERFORMACE INDICATORS: COBIT considera estos indicadores una indicación o una medida de “como de bien” se están comportando los procesos. COBIT relaciona un indicador con el otro, de la siguiente manera:
  • 2. Administración de las tecnologías de información EQUIPO 5 Página 2 COBIT propone trestipos de medicionesde losprocesos(loque serianlos controles en la familia 27001):  Rendimiento (performance): key Performance Indicatos.  Resultado: Key Goal Indicators.  Madurez: Maturity Models. En norma ISO de la familia 27001, como veremos, se ha suprimido el término métrica, por redundante, y se ha sustituido por el de medida en sus dos acepciones en inglés:  Measurement: proceso de obtención de información sobre la eficacia del SGSI, sus objetivos de control y controles, usando un método y función de medida, un modelo analítico y un criterio de decisión.  Measure: variable que se asigna un valor como resultado de un proceso de medición. CMM, BALANCE SCORICARD Y MÉTRICAS DE ANÁLISIS DE RIESGOS COBIT,por ejemplo,establecertressistemasomodosde monitorizarsi los controles implantados son los adecuados y si se comportan según lo esperado:  Benclumarkingnde lacapacidadde losprocesoshaciendousode losmodelosde madurez derivados del “Capabiliry Maturity Model” del software Engineering Instinate.
  • 3. Administración de las tecnologías de información EQUIPO 5 Página 3  Definición de objetivos y métricas del los procesos TSI según vimos en el apartado anterior, basados en los “balance business scorecard” de Norton y Kaplan.  Activity Goals , basados en objetivos de control detallados de COBIT y que permiten mantener un control sobre su eficiencia. Las medidas, por tanto deben integrarse en el ciclo de la gestión de la organización y utilizarse para llevara cabo l mejora de los procesos y resultados relacionados con la seguridad dentro del seguridad dentro del proyecto u organización. EL PROYECTO DE NORMA ISO 27004 “MEDIDAS DE LA GESTIÓN DE LA SEGURIDAD” La norma ISO 27001 adopta un enfoque de proceso para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI de una organización. El “enfoque de proceso” se refiere a la aplicación de un sistema de procesos dentro de una organización, junto con la identificación y la interacción de estos procesos, así como su gestión, adoptando el modelo (PDAC) que se aplica para estructurar todos los procesos del SGSI. VICIÓN GENERAL DE LAS MEDIDAS La mediciónimplicaunprocesode obtenciónde informaciónsobre laeficaciadel métodoSGSI,los objetivosde control individualesy controles que utilizan un método de medición una función de mediciónyunmodeloanalíticoconfrontando la información obtenida a los criterios de decisión. La finalidaddelprocesode implantaciónydesarrollode medidas de la gestión de seguridad de la información es crear una base en cada organización que permite recoge, analizar y comunicar datos relacionados con procesos SGSI. El propio sistema de medida de la gestión debe utilizarse para la toma de decisiones relacionadas con la seguridad respecto a la mejor del SGSI o los cambios dentro del mismo.
  • 4. Administración de las tecnologías de información EQUIPO 5 Página 4 Los objetivos del proceso de medida son:  Evaluar la eficacia de la implantación de los controles de seguridad.  Evaluar la eficacia del sistema de gestión de seguridad de la información incluyendo la mejora continua.  Proporcionar un estado de seguridad para distinguir la revisión de la gestión, facilita las mejoras de la seguridad y contribuir a auditorias de seguridad.  Comunicar el valor de la seguridad a la organización.  Servir como aportación al plan de tratamiento de riesgo y de evaluación de riesgos. Tipos de medidas La norma propone la siguiente categorización: a) Derivada b) Base Dentro de cada una de las categorías, las medidas pueden tener dos variedades: a) Cumplimiento b) Rendimiento Las medidasde cumplimientoayudanalaidentificaciónde lagunasenlaimplantaciónylagestión y la gestión de la política, controles individuales, objetivos de control y proceso de ISMS en la organización. Las medidasde rendimiento evalúan la eficacia de los controles implementados utilizados para proteger los activos de información de la organización.
  • 5. Administración de las tecnologías de información EQUIPO 5 Página 5 EL PROCESO DE MEDICIÓN Las organizacionesdebenlimitarlacantidadde medidasque utilizandentrodel mismoperiodode tiempoconel finde garantizar su capacidad de adoptar los cambios pertinentes como resultado de la información obtenida. Las medidas deben revisarse para verificar que continúan suministrando información valida ala organización:que lasfuentesy otros aspectos relacionados con sus atributos son correctos y que los beneficios frente al esfuerzo dan un saldo positivo. COMO SE DESARROLLA UNA “MEDIDA” El proceso para desarrollar una medida ha de planificarse y documentarse, y comienza con la selección de controles y objetivos de control específico para la medición, continúa con la identificación de objetivos de medición, especificación de medidas y finaliza con el establecimiento de recogida y análisis de datos e informes de procesos y herramientas. La selección de controles específicos incluyen los siguientes pasos. a) Identificarloscontroles y objetivos de control que fueron seleccionados como resultado del análisis de riesgo, como se describe en la ISO 27001. b) Establecerprioridadesentre controlesyobjetivosde control seleccionados como base en los siguientes criterios:  Los requisitos de stakeholders.  La política de seguridad se la información de la organización.  La informaciónnecesariaparasatisfacerlosrequisitoslegales,regulatorios y contrctuales.
  • 6. Administración de las tecnologías de información EQUIPO 5 Página 6  Lo religión coste-beneficio del rendimiento de cada control individual u objetivo de control. c) Seleccionar los controles y objetivos de control específicos a incluir en el programa de medición según las prioridades identificadas. Los métodos de medición puede ser subjetivos u objetivos, dependiendo del grado de automatización de la actividad de recogida de datos, tales como: a) Auditorías internas o externas. b) Evaluación de riesgo y análisis de riesgo. c) Cuestionario y preguntas. d) Utilización del riesgo de acontecimientos. e) Producción de registros, informes y pistas de auditoria. f) Informes de incidentes, en particular aquellos tienen como resultado un impacto. g) Muestra de estadísticas. h) Pruebas. Las medidas validas deben de contar con varios indicadores:  Estratégica  Cuantitativa  Razonable  Interpretativa  Verificable  Evolutiva  Útil  Indivisible  Repetible El proceso de medición deberá documentarse: a) Los controles y objetivos de control a ser sometidos a medición. b) Los objetivos de medición. c) Los objetivos de negocio sometidos a medición d) Las medidas individuales a ser recogidas y utilizadas. e) El proceso de análisis y recogida de datos. f) El proceso y formato de informes. g) Las funciones y responsabilidades de los stakeholders La operaciónde lasmedidasconllevalarecogidayel análisis de losdatosutilizadosparagenerarse e incluye actividadesque sonesenciales para asegurar que las misma se utilizan para competir el estado de SGSI e identificar las acciones de mejoras adecuadas. Esto incluye:
  • 7. Administración de las tecnologías de información EQUIPO 5 Página 7 a) Integrar los procedimientos de medidas en la operación global de SGSI b) Recoger, almacenar y verificar datos. ¿COMO GENERAR INDICADORES? Los indicadoresde gestión se generanal interpretarlasmedidasderivadasalaluz de loscriterios de decisiónolasnecesidadesde informaciónde laorganización. Los formatos de informes han de representar de manera visual las medidas y facilitar una explicaciónverbal de losindicadores.Lamecánicadel establecimientode criterios de decisioneses diferente si se trata de mediciones de cumplimiento o de rendimiento.