Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Directrices de Auditoria 2

    Enviado por

    Rafael Sosa
    5 visualizações20 páginas
    Como hacer una auditoria y encontrar el Riesgo

    Título original

    DIRECTRICES DE AUDITORIA 2

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Como hacer una auditoria y encontrar el Riesgo

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    5 visualizações20 páginas

    Directrices de Auditoria 2

    Enviado por

    Rafael Sosa
    Como hacer una auditoria y encontrar el Riesgo

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 20

    Clase 2:

    Directrices de Auditoria de Riesgo


    Tecnológico (Estándares)
    Agenda

    • ISO 17799 - ISO 2700x


    • Enfoque de Riesgo Estándares
    • Métricas
    Seguridad de la Información

    Fundamentos:
    La información es un bien que, como otros
    bienes del negocio, tiene valor para una
    organización y consecuentemente necesita ser
    protegida en forma apropiada.
    Seguridad de la Información

    La información puede existir de muchas formas:


    • Impresa.
    • Escrita en papel.
    • Almacenada electrónicamente.
    • Transmitida por mail o por medios electrónicos.
    • Mostrada en películas (video).
    • Hablada en una conversación.
    • En pizarrones, y escritorios.
    Objetivo de la seguridad

    Para proteger la información, es necesario lograr los siguientes


    objetivos:

    Confidencialidad: Asegurar que la información sea accesible


    sólo por aquellos usuarios autorizados para tener acceso.

    Integridad: Salvaguardar que la información y los métodos de


    procesamiento sean exactos y completos.

    Disponibilidad: Asegurar que los usuarios autorizados tengan


    acceso a la información y bienes asociados cuando lo requieran.

    Es muy importante balancear estos 3 aspectos para asegurar la


    información.
    BS7799-1/ISO 17799
    Tecnología de la Información – Código de práctica para la gestión
    de seguridad de la información.

    • La primera versión surgió en 1995.


    • Fue sujeto a revisión en 1999 por parte de BSI (British Standards
    Institute).
    • Se oficializa y lo adopta ISO como ISO 17799 en octubre 2000
    (BS7799-1:2000).
    • Está destinado como “referencia” y colección de mejores prácticas
    en seguridad.
    • Por su carácter optativo, NO se puede usar para certificación, dado
    que NO es de carácter mandatorio.
    • Equivalente a la NCh2777.Of 2003 – ISO 17799:2000.
    • Actualmente versión ISO/IEC 17799:2005
    BS7799-2/ISO 27001

    • La primera versión surgió en 1998.


    • Fue publicado por BSI en septiembre 5 2002.
    • Posteriormente, se transformó en ISO 27001, publicado como tal en
    Octubre 15 2005, reemplazando al BS 7799-2:2002.
    • Se basa en la especificación de un “Information Security
    Management System” para su establecimiento, documentación y
    mantenimiento.
    • Es de carácter mandatorio y puede ser certificable.
    En la actualidad

    La serie ISO 27000 reemplazara a ISO 17799 y a


    UNE 71502:
    – 27000: Definiciones y términos (draft)

    – 27001: Implantación del SGSI (Certificable) evolución de BS-


    7799-2 y equivale a UNE 71502

    – 27002: Transcripción de ISO 17799:2005, catalogo de buenas


    practicas.

    – 27003: Guía de implementación (draft).

    – 27004: Indicadores y metricas (draft).

    – 27005: Gestión y evaluación de riesgos (draft).


    ISO 27001

    Sistema de Gestión de Seguridad de la Información


    (ISMS).

    • Enfoque sistemático para la administración de información para


    que esta permanezca segura.

    • Engloba gente, procesos y sistemas de Tecnología de


    Información.

    • Un ISMS permite la coordinación efectiva de los diferentes


    esfuerzos de seguridad.
    Modelo PDCA
    Modelo PDCA

    • Definir política de seguridad


    • Acciones correctivas • Establecer alcance
    • Acciones preventivas • Análisis de Riesgos
    • Aplicabilidad
    • Definir indicadores

    • Implementar el sistema de gestión de


    • Revisión por la dirección Riesgos
    • Auditorias internas • Implantar el SGSI
    • Auditorias externas • Implantar controles
    • Implantar indicadores
    • Respuesta a incidentes
    Mejora continua de seguridad
    Estructura documentación ISMS
    ISO 27002

    • Constituye un código de buenas prácticas para la


    Gestión de la Seguridad de la Información.

    • Establece la base común para desarrollar normas de


    seguridad dentro de las organizaciones.

    • Define 11 dominios de control que cubren por


    completo la Gestión de la Seguridad de la Información.

    • 39 objetivos de control y 133 controles.


    Dominio 1. Política de Seguridad
    Objetivo:

    • Dar una dirección y soporte a las iniciativas de


    protección de la información, de acuerdo con los
    requerimientos de negocio y de acuerdo con las leyes
    y regulaciones aplicables.

    • Establecer una dirección clara y el respaldo necesario


    para mantener una política de seguridad en toda la
    organización.
    Dominio 7. Control de acceso

    Objetivo:

    • Controlar el acceso a la información, en base a los


    requerimientos de seguridad y las necesidades de la
    organización.

    • Tomar en cuenta las políticas para autorización y


    publicación de información.
    Comparación
    AS/NZS 4360:2004 COSO ERM ISO 27005

    Establecer el contexto Ambiente interno y


    establecer los objetivos
    Identificar Riesgos
    Identificar eventos
    Analizar Riesgos

    Evaluar Riesgos Evaluar Riesgos

    Tratar riesgos Respuesta a los


    riesgos y actividades
    de control

    Monitorear y revisar Monitorear

    Comunicar y consultar Información y


    comunicación
    Circular 1441
    Métricas – AI6
    Administrar Cambios

    Você também pode gostar