Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Control de registros.

No description
by

sebastian trujillo

on 14 November 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Control de registros.

ISO (la organización internacional para la estandarización) e IEC (la comisión electrotécnica internacional) forman el sistema especializado para la estandarización universal. Por medio de comités técnicos establecidos para poder lidiar con campos particulares de la actividad técnica.
ISO/IEC 27001 fue preparada por el comité técnico conjunto ISO/IEC JTC 1, Tecnología de la información, subcomité (sc) 27, Técnicas de seguridad TI (tecnología informática).

Este estándar internacional ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información (SGSI).
- La adopción de (SGSI) debe ser una decisión estratégica para una organización.
- El diseño e implementación del (SGSI) es influenciado por las necesidades y objetivos, requerimientos de seguridad, los procesos empleados, el tamaño y estructura de la organización.
- Se debe resaltar que la implementación de (SGSI) se extienda en concordancia con las necesidades de la organización y sus sistemas de apoyo cambien a lo largo del tiempo.

Cualquier actividad que usa recueros y es manejada para permitir la transformación de insumos en outputs (Cualquier sistema de salida de información de un ordenador), se puede considerar un proceso.
Un enfoque del proceso para la gestión de la calidad de la información fomenta que debemos enfatizar la importancia de:
- Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información.
- Implementar y operar controles para manejar los riegos de la seguridad de la información.
- Monitorear y revisar el desempeño y la efectividad del (SGSI).

ADOPCION MODELO (PDCA)
Este estándar internacional adopta el modelo del proceso (PDCA)
Planear, hacer, chequear, actuar. El cual se puede aplicar a todos los procesos (SGSI). El cual produce resultados de seguridad de la información que satisfacen aquellos requerimientos y expectativas.
Ejemplo 1:
Un requerimiento podría ser que las violaciones de seguridad de la información no causen daño financiero a la organización y/o causen vergüenza a la organización.
Ejemplo 2:
Una expectativa podría ser que si ocurre un incidente serio, (tal vez el pirateo del web site eBussines de una organización) Debería contarse con las personas con la capacidad suficiente en los procedimientos adecuados para minimizar el impacto.

IMPLEMENTACION DE LA NORMA ISO 27001 EN GENERAL REQUERIMIENTOS GENERALES.
- La organización debe establecer, implementar, operar, monitorear, mantener y mejorar continuamente un SGSI documentando dentro del contexto de las actividades comerciales generales de la organización y los riesgos que enfrentan. Para este propósito de estándar internacional los procesos se basan en el modelo PDCA.

ESTABLECER Y MANEJAR EL SGSI:
- Definir el alcance y los limites del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología.
- Definir una política SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología que:
1.Incluya un marco referencial para establecer sus objetivos y establezca un sentido de dirección general y principios para la acción con relación a la seguridad de la información.
2.Tomar en cuenta los requerimientos comerciales y legales o reguladores, y las obligaciones de la seguridad contractual.

3. Estar alineado con el contexto de la gestión riesgo estratégico de la organización en el cual se dará el establecimiento y mantenimiento del SGSI.
4. Establecer criterio con el que se debe evaluar el riesgo.
5. Haya sido aprobado por la gerencia.


- Definir el enfoque de evaluación del riesgo de la organización.
1.Identificar una metodología del calculo del riesgo adecuado para el SGSI y los requerimientos identificados de seguridad, legales y reguladores de la información comercial.
2.Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptable.

- Identificar los riesgos:
1.Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos.
2.Identificar las amenazas para aquellos activos.
3.Identificar las vulnerabilidades que podrían ser explotadas por las amenazas.
4.Identificar los impactos que pueden tener las perdidas de confiabilidad, integridad y disponibilidad sobre los activos.


-Analizar y evaluar el riesgo:
1.Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad, tomando en cuenta las consecuencias de una perdida de confidencialidad, integridad o disponibilidad de los activo.
2.Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y los controles implementados actualmente.
3.Calcular los niveles de riesgo
4.Determinar si el riesgo es aceptable o requiere el tratamiento utilizando el criterio de aceptación del riesgo establecido.
-Identificar y evaluar las opciones para el tratamiento de los riesgos, las acciones posibles incluyen:
1.aplicar los controles apropiados.
2.Aceptar los riesgos consciente y objetivamente, siempre que satisfagan satisfactoriamente las políticas y el criterio de aceptación del riesgo.
3.Evitar los riesgos.
4.Transferir los riesgos comerciales asociados a otras entidades; aseguradoras proveedores.

-Seleccionar objetivos de control y controles para el tratamiento de riesgos se deben seleccionar e implementar los objetivos para cumplir con los requerimientos identificados por el procesos de tasación del riesgo y tratamiento del riesgo.

-Obtener la aprobación de la gerencia para los riesgos residuales propuestos.

-Obtener la autorización de la gerencia para implementar y operar SGSI.

-Preparar un enunciado de aplicabilidad.
Que incluya lo siguiente.
1.Los objetivos de control y los controles seleccionados.
2.Los objetivos de control y los controles implementados actualmente.
NOTA:
El enunciado de aplicabilidad proporciona un resumen de las decisiones concernientes con el tratamiento del riesgo. El justificar las exclusiones proporciona un chequeo para asegurar que ningún control haya sido omitido inadvertidamente.

- Monitorear y revisar el SGSI:
la organización debe hacer lo siguiente.
-Ejecutar procedimientos de monitoreo y revisión, y otros controles para.
1.Detectar prontamente los errores en los resultados de procesamiento.
2.Identificar prontamente los incidentes y violaciones de seguridad fallidos y exitosos.
3.Permitir a la gerencia determinar si las actividades de seguridad delegadas a las personas o implementadas mediante la tecnología de información se están realizando como se esperaban.
4.Ayudar a detectar los eventos de seguridad, evitando así los incidentes de seguridad mediante el uso de indicadores.
5.Determinar si son efectivas las acciones tomadas para resolver una violasion de seguridad.


- Realizar revisiones regulares de la efectividad del SGSI (incluyendo satisfacer la política y objetivos de seguridad del SGSI) tomando en cuenta los resultados de auditorias d seguridad, incidentes, mediciones de seguridad, sugerencias y retroalimentación de todas las partes interesadas.
- Medir la efectividad de los controles para verificar que se hayan cumplido los requerimientos de seguridad.


-Revisar las evaluaciones del riesgo a intervalos planeados y revisar el nivel de riesgo residual y riesgo aceptable identificado, tomando en cuenta los cambios en:
a. La organización.
b. Tecnología.
c. Objetivos y procesos comerciales.
d. Amenazas identificadas.
e. Efectividad de los controles implementados.
f. Eventos externos, como cambios en el ambiente legal o regulador, cambios en obligaciones contractuales y cambios en el clima social.
- Realizar auditorias SGSI internas a intervalos planeados.

- Realizar una revisión gerencial del SGSI sobre una base regular para asegurar que el alcance permanezca adecuado y se identifiquen las mejoras en el proceso SGSI.

- Actualizar los planes de seguridad para tomar en cuenta los descubrimientos de las actividades de monitoreo y revisión.

- Registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI.

- Mantener y mejorar el SGSI.
La organización debe realizar regularmente lo siguiente:
a. Implementar las mejoras identificadas en el SGSI.
b. Tomar las acciones correctivas y preventivas apropiadas, aplicar las lecciones aprendidas de las experiencias de seguridad de otras organizaciones y aquellas de la organización misma.
c. Comunicar los resultados y acciones a todas las partes interesadas con un nivel de detalle apropiado de acuerdo a las circunstancias y , cuando sea relevante, acordar como proceder.
d. Asegurar que las mejoras logren sus objetivos señalados.

- REQUERIMIENTOS DE DOCUMENTACION.
La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan ser monitoreadas a las decisiones y políticas gerenciales, y los resultados registrados deben ser reproducibles.
- la documentación SGSI debe incluir:
a. Enunciados documentados de la política SGSI y objetivos.
b. El alcance del SGSI.
c. Procedimientos y controles de soporte del SGSI.
d. Una descripción de la evaluación de la metodología del riesgo.
e. Reporte de evaluación del riesgo.
f. Plan de tratamiento del riesgo.

g. Los procedimientos documentados necesarios por la organización para asegurar la planeación, operación y control de sus procesos de seguridad de la información y describir como medir la efectividad de los controles.
h. Registros requeridos por este estándar internacional.
i. Enunciado de aplicabilidad.

- Control de documentos.
Los documentos requeridos por el SGSI deben ser protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones gerenciales para:

a. Aprobar la idoneidad de los documentos antes de su emisión.
b. Revisar y actualizar los documentos conforme sea necesario y re aprobar los documentos.
c. Asegurar que se identifiquen los cambios y el status de la revisión actual de los documentos.
d. Asegurar que las versiones mas recientes de los documentos relevantes estén disponibles en los puntos de uso.
e. Asegurar que los documentos se mantengan legibles y fácilmente identificables.

f. Asegurar que se identifiquen los documentos de origen externo.
g. Asegurar que se controle la distribución de documentos.
h. Evitar el uso indebido de documentos obsoletos.
i. Aplicarles una identificación adecuada si se vana retener por algún propósito.

- Control de registros.
Se deben establecer y mantener registros para proporcionar evidencia de conformidad con los requerimientos y la operación efectiva del SGSI.
Deben der protegidos y controlados.
Ejemplo.
Los libros de visitantes, los registros de auditoria y las solicitudes de autorización de acceso.


AUDITORIA INTERNA DEL (SGSI)

La organización debe realizar auditorias internas SGSI a intervalos planeados para determinar si los objetivos de control, controles, procesos, y procedimientos del SGSI.
a. Cumplen con los requerimientos de este estándar internacional y la legislación y regulaciones relevantes.
b. Cumplen con los requerimientos de seguridad de la información identificados.
c. Se implementan y se mantienen de manera efectiva.
d. Se realizan conforme a lo esperado.

- Se debe planear un programa de auditoria tomando en consideración el status e importancia de los procesos y áreas al ser auditados así como los resultados de auditorias previas. Se debe definir el criterio, alcance, frecuencia y métodos de auditoria. La selección de los auditores y la realización de las auditorias debe asegurar la objetividad e imparcialidad del proceso de auditoria. Los auditores no deben auditar su propio trabajo.

- Las responsabilidades y requerimientos para la planeación y realización de las auditorias, y para el reporte de los resultados y mantenimiento de registros se deben definir en un procedimiento documentado.

ISO 27001
LIDA LILIANA GARCES ANGULO
ID. 341224
PROF. ARCELIA GUTIERREZ
GESTION TECNOLOGICA


- La gerencia responsable para el área siendo auditada debe asegurar que se den sin demora las acciones para eliminar las no conformidades detectadas y sus causas. Las actividades de seguimiento deben incluir la verificación de las acciones tomadas y el reporte de los resultados de verificación.

Nota.
ISO 19011:2002, lineamiento para auditar sistemas de gestión de calidad y/o ambiental, puede llevar un lineamiento útil para llevar acabo auditorias internas.
Full transcript