Entendiendo un Modelo de Soluciones de Seguridad en Informática
Estrategia
Cumplimiento Regulaciones
Reducir Riesgos
Reducir Costos Administrativos
Mejorar Eficiencia de Procesos
Asegurar Propiedad Intelectual
Asegurar Información Cliente
Defenderse Contra Dsiputas Legales
Retorno de la Inversión
Política
Cumplimiento Regulaciones
Reducir Riesgos
Limitar Exposición Legal
Cumplimiento Personas
Observancia y Recurso
Reglas Claras
Consecuencias Claras
Línea Base Para Reglamento
Arquitectura
Mejorar Eficiencia de Procesos
Reducir Costos Administrativos
Costo de Propiedad
Uso de las Tecnologías
Cumplimiento Estándares
Administración Integrada
Proceso de Actualización y Soporte
Retorno de la Inversión
Diseño
Rendimiento
Importancia Técnica
Cumplimiento Estándares
Herramientas Integradas
Licenciamiento
Uso de las Tecnologías
Proceso de Actualización y Soporte
Facilidad de Uso
Escalabilidad
Flexibilidad
Soporte Multi-Plataforma
Implementación
Rendimiento
Importancia Técnica
Cumplimiento Estándares
Herramientas Integradas
Uso de las Tecnologías
Proceso de Actualización y Soporte
Facilidad de Uso
Escalabilidad
Flexibilidad
Costo
Licenciamiento
Negocio
Técnico
Muchas compañías de tecnología de información han desarrollado tecnologías para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologías sólo atienden necesidades específicas dentro de todo el ambiente de seguridad de la información. Pocas compañías tienen desarrolladas tecnologías para integrar, fácilmente, con otras tecnologías para ayudar a proveer un más uniforme, más controlado y, por tanto, más seguro ambiente operativo.
Especialista en Seguridad, PricewaterhouseCoopers
Estándares
(Gp:) Clasificación de Activos y su Control
(Gp:) Personal de Seguridad
(Gp:) Seguridad Física y Ambiental
(Gp:) Administración y Operación de Comunicaciones
(Gp:) Control de Acceso
(Gp:) Desarrollo y Mantenimiento de Sistemas
(Gp:) Contingencia Business Continuity
(Gp:) Compliance Cumplimiento de Aspectos Legales, Técnicos y Auditoría
El Modelo es la Aplicación de Estándares
(Gp:) Políticas de Seguridad y Seguridad Organizacional
Riesgos: Son aquellos que pueden amenazar el logro del objetivo del proceso. (Amenaza, debilidad, síntoma de rendimiento deficiente, oportunidad de mejoramiento)
Controles: Son políticas y procedimientos, implantados o no, que proporcionan la seguridad de que los riesgos de negocio han sido reducidos a un nivel aceptable.
Riesgos y Controles de Procesos
RIESGOS
CONTROLES
Para identificar los riesgos se clasifican en:
De negocio
Financieros
Operativos
De cumplimiento
Fraude
Para identificar los controles se clasifican en:
Informática
Atribuciones
Procedimientos
Documentación
Sistema de información gerencial
ACTIVIDAD
(Gp:) Probabilidad e Impacto del Riesgo (C)
(Gp:) 1 2 3
(Gp:) 3
2
1
(Gp:) IMPACTO EN LA ORGANIZACION
(Gp:)
PROBABILIDAD DE OCURRENCIA (P.O)
(Gp:)
1 Es poco probable que ocurra
2 Es medianamente probable que ocurra
3 Es altamente probable que ocurra
(Gp:)
1 Sería de bajo impacto
2 Sería de mediano impacto
3 Sería de alto impacto
(Gp:)
IMPACTO EN LA ORGANIZACIÓN (I)
P
R
O
B
A
B
I
L
I
D
A
D
(Gp:) CALIFICACION DEL RIESGO
(Gp:) Alto
(Gp:) 3
(Gp:) Medio
(Gp:) 2
(Gp:) Bajo
(Gp:) 1
(Gp:) Riesgo Remanente (R)
(Gp:) SITUACION ACTUAL (SA)
DEL CONTROL INTERNO
(Gp:)
1 Cubre en gran parte el riesgo
2 Cubre medianamente el riesgo
3 No existe ningún tipo de medida
(Gp:) SITUACION ACTUAL- CONTROL INTERNO
(Gp:) 1 2 3
(Gp:) 9
6
3
(Gp:) C
R
I
T
I
C
I
D
A
D
(Gp:) D
E
L
R
I
E
S
G
O
Matriz de Evaluación de Riesgos
El Estándar de Seguridad – ISO 17799
El estándar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comité técnico de la ISO en Diciembre del año 2000.
El estándar hace referencia a diez aspectos primordiales para la seguridad informática.
Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Física, Cumplimiento, Seguridad Personal, Seguridad de la Organización, Administración de Operaciones, Control y Clasificación de la Información y Políticas de Seguridad.
ESTANDAR ISO 17799 – Políticas
(Gp:) Políticas de Seguridad y Seguridad Organizacional
Políticas de Seguridad:
Documento de la Política de Seguridad
Revisión y Evaluación
Seguridad Organizacional
Infraestructura
Ente colegiado de Seguridad Informática
Coordinación de Seguridad Informática
Nombramiento de Responsables de SI
Proceso de autorización para oficinas de SI
Personal especializado en SI
Cooperación entre Organizaciones
Revisión independiente de SI
Seguridad de Ingreso a Terceros
Identificación de riesgos por Ingreso de 3ros
Requisitos en Contratos con 3ros
Outsourcing
Requisitos en Contratos de Outsourcing
ESTANDAR ISO 17799 Clasificación de Activos
Responsabilidad por Activos
Inventario de Activos
Clasificación de Información
Guías de Clasificación.
Manipulación y marcación de Información
(Gp:) Clasificación de Activos y su Control
Página siguiente |