Impacto de las ISO 27000 en organizaciones. Estudio comparativo de herramientas para la implementación de un SGSI

Documentos relacionados
PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Manual de Adminsitración Faranox Version WNS Versiones WNS-MultiBuss

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Cada parte de su organización dispondrá de la información y la generación de informes que necesite. Las ventajas es que usted puede:

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Gestión de Redes IP. Presentación realizada por: Ing. Pablo Borrelli. Gestión de Redes IP 1

Boletín Asesoría Gerencial*

Manual de Procedimientos

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

La Solución informática para su sistema de gestión

Rubén Arreola, ITIL V3 Expert!

IPAM autoritativo. Requisitos actuales del IPAM NOTA DE LA SOLUCIÓN

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014

La Pirámide de Solución de TriActive TRICENTER

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

INTRODUCCIÓN AL MONITOREO ATMOSFÉRICO 214

TOMA DE DECISIONES II

POLITICA DE GESTION DE RIESGOS, ROLES Y RESPONSABLES. Departamento de Estudios y Gestión Estratégica

Control y Gestión de Notas de Gasto Documentación Técnico Comercial

Tecnología de la Información. Administración de Recursos Informáticos

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

Consultoría y Desarrollo de Sistemas CONTROLMAP. Software : Sistema Integral de Registro y Seguimiento de Eventos e Incidencias en Mapas Digitales

Check list. Auditoría interna ISO 9001

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: 1 FECHA DE EMISIÓN: 05/01/09 VALIDADO POR :

Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

Software y servicios de gestión jurídica

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Manual de Procedimientos

Especificaciones de la oferta Administración de dispositivos distribuidos Administración de activos

INGRID Gestión geográfica de activos urbanos y mantenimiento

6 Anexos: 6.1 Definición de Rup:

Software de administración de impresora MarkVision

Estándares de Seguridad

Modelo de Seguridad de la Información. Luis Mauricio Vergara Enero de 2013

Modelo de Mejora de Empresas Proceso de Mejora de Empresas. Versión: 1, 0 Fecha:11/08/11

INFORME FINAL DE AUDITORIA. Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005. Telecomunicaciones.

Soluciones de Negocios Administración de la relación con los Proveedores

MANTENIMIENTO Y SOPORTE

PROYECTO Implementación del SGSI basado en ISO/IEC 27001:2013

ADWEB CRM. Administre su Fuerza de Ventas como una empresa de CLASE MUNDIAL!

Manual de Usuario Comprador Presupuesto

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Appliance. Visibilidad, Monitoreo, Experiencia de Usuario todo al alcance de tu vista...

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI

Software de Gestión de Calidad.

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

PROPUESTA DE UNA GUÍA DE SEGURIDAD INFORMÁTICA INTEGRADA A LA GESTIÓN DE LA CALIDAD.

Eficiencia en la Automatización y Gestión de Servicios

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

Qué es lo que su empresa necesita? Productividad? Organización? Eficiencia? Ahorro? Control? Seguridad?

Perfil del Ingeniero en Información y Control de Gestión

SMV. Superintendencia del Mercado de Valores

1. GENERALIDADES DEL INFORME

Sistemas de Información 12/13 Introducción a la Auditoría y Calidad de Sistemas de Información

Publicación del sitio web en internet. Equipo 6

IMPLEMENTADOR LÍDER ISO 9001 CERTIFICADO

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

AMOS Maintenance and Purchase Cumpliendo la Planificación Eficientemente

4 COMPATIBILIDAD DE ISO/IEC TR CON ISO 9001:2000. Los procesos de ciclo de vida organizacional constan de dos categorías de proceso:

ORGANISMO COORDINADOR DEL SISTEMA ELÉCTRICO NACIONAL INTERCONECTADO DE LA REPÚBLICA DOMINICANA

Definir las acciones para la administración de equipos informáticos y de telecomunicaciones de la Fundación FES.

11/06/2011. Alumno: José Antonio García Andreu Tutor: Jairo Sarrias Guzman

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Ministerio de Relaciones Exteriores República de Colombia

netlabs Invoke :: IP Call Center

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

POR QUE VERYSTOCK NET:

REFORZAMIENTO DE AUDITORES INTERNOS. Instalaciones en Productividad, S.C.

CONCEPTUALIZACIÓN DE UNA UNIDAD DE INTELIGENCIA DE NEGOCIOS EN UNA EMPRESA DE TERCERIZACIÓN DE SERVICIOS. CASO IQ OUTSOURCING S.A.S.

Software de administración de impresoras MarkVision

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

CURSO OFICIAL IMPLEMENTADOR LÍDER ISO 20000

Cómo Desarrollar un plan Estratégico

SERVICIO DE CONTROL PRESENCIAL Y DE CUMPLIMIENTO DE HORAS

Tabla de contenido. Manual B1 Time Task

COPPEL MANUAL TÉCNICO MCC DE SISTEMAS PROGRAMACIÓN DESCRIPCIÓN DEL PROCESO DE ARQUITECTURA DE SOFTWARE

GUÍAS. Módulo de Diseño de software SABER PRO

Sistemas de control Outdoor solutions

1

Aspel-PROD 3.0 Aspel-PROD 3.0 SAE 6.0 SAE 6.0

Controle en tiempo real el monitoreo de todos los equipos y servicios de su red, Con la mayor eficacia y anticipación

Qué es TypMan?

Gerència de Recursos Direcció del Sistema Municipal d Arxius POLÍTICA DE GESTIÓN DOCUMENTAL DEL AYUNTAMIENTO DE BARCELONA

MODULO ADMINISTRATIVO

Actualización del Conjunto de Principios, Políticas, Estándares y Recomendaciones

Enterprise Resource Planning (ERP) SISTEMA DE PLANEACIÓN DE RECURSOS MASTER: ALFREDO CASTRO JIMENEZ

PROCEDIMIENTO OPERATIVO DESARROLLAR SISTEMAS INFORMÁTICOS PDO-COCTI-DTIN-04

Workflows? Sí, cuántos quiere?

RESUMEN EJECUTIVO EFECTOS DEL RUIDO EN LA SALUD

Gobierno, riesgo y cumplimiento

COBIT 5. Niveles de Capacidad Desafío de formalización de procesos Costos y Beneficios. A/P Cristina Borrazás, CISA, CRISC, PMP

Actividades para mejoras. Actividades donde se evalúa constantemente todo el proceso del proyecto para evitar errores y eficientar los procesos.

SCT Software para la calibración de transductores de fuerza. Versión 3.5. Microtest S.A.

Titulo del Proyecto. Alumnos

Cómo las herramientas en línea están revolucionando la implementación de ITIL e ISO 20000

Producto. Información técnica y funcional. Versión 2.8

FICHA DE PRODUCTO TRAZALAB. Soluciones de gestión y vigilancia alimentaria para los laboratorios de análisis de calidad alimentaria (Trazalab)

Transcripción:

Impacto de las ISO 27000 en organizaciones Estudio comparativo de herramientas para la implementación de un SGSI

Objetivos de la Tesis Estudiar la Norma ISO 27001 Analizar aportes de la ISO 27004 al proceso de la ISO 27001 Analizar herramientas de monitoreo y compliance para ver en que medida proveen soporte para implementar un SGSI bajo la ISO 27001. Generar una Especificación de Requerimientos

Objetos de Análisis - ISO 27001 & ISO 27004 ISO 27001: Es la norma principal de requerimientos del sistema de gestión de seguridad de la información. Contiene un Anexo con objetivos de control y controles a ser implementados. ISO 27004: Especifica las métricas y técnicas de medición que pueden ser aplicables para determinar la eficiencia y efectividad de la implementación de un SGSI y de los controles relacionados.

Objetos de Análisis - Conceptos Teóricos Qué es ISO? Qué es un SGSI? La norma define requerimientos generales y genéricos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI.

IRAM-ISO/IEC 27004:2011 - Programa y Modelo de Medición La norma realiza recomendaciones para la implementación de un programa de medición eficaz. Programa y Modelo de Medición

Objetos de Análisis - Herramientas de Monitoreo y Compliance Aquí se hace una reseña de las herramientas que serán analizadas. Monitoreo: Compliance:

- OSSIM Que es OSSIM? Es un herramienta de monitoreo y compliance gratuita y de código abierto aunque también puede encontrarse versiones comerciales mas completas. Analiza comunicación entre hosts Inventario de Activos Valoración de Activos Permite definir políticas y directivas Gestión de Compliance

- OSSIM Vista Principal

- OSSIM Gráfico general de Trafico en la red y discriminado por protocolo

- OSSIM SIEM Eventos de la red

- OSSIM Políticas y Acciones

- OSSIM Políticas y acciones

- OSSIM Directivas de Correlación

- OSSIM Compliance mapping

- OSSIM Directivas de Correlación

- OSSIM Alarmas

- OSSIM Conclusiones Ventajas Análisis de eventos de la red Gran cantidad de plugins Visualización del riesgo Manejo de los controles la norma ISO Limitaciones Complejidad de uso No provee manejo de gestión de la norma ISO

- OpenNMS Que es OpenNMS? Es una herramienta unicamente de monitoreo y es completamente gratuita. Realiza descubrimientos de hosts sin importar en que subredes se encuentren. Está orientada mayormente a servicios. Descubre hosts en distintas subredes/vlans Permite la importación de activos desde otras fuentes Permite diagramar una topologia de red Analiza los servicios disponibles de cada host encontrado Realiza estadisticas de eventos ocurridos discriminados por protocolo Notificaciones programadas Reportes

- OpenNMS Vistazo principal

- OpenNMS Detalle de servicios de un host determinado

- OpenNMS Estadisticas de eventos ocurridos

- OpenNMS Caídas

- OpenNMS Estadisticas de eventos de la red

- OpenNMS Conclusiones Ventajas Descubrimientos dinamico de activos Importación de activos desde una fuente externa Limitaciones Carencia de controles y manejo de gestión de la norma ISO No analiza comunicaciones entre los hosts

- HypericHQ Que es HypericHQ? Es una herramienta comercial de monitoreo que ofrece una versión de prueba por 30 dias. Está basado en un esquema cliente-servidor donde cada agente es instalado en los activos de la red para que esta herramienta pueda descubrirlos automaticamente junto a sus servicios. Centraliza información de cada activo a traves de un dashboard web personalizable Realiza un inventario de activos con su correspondiente Hardware y Software además de su estado actual y metricas en tiempo real. Define alertas, condiciones, y acciones a ejecutar en base a metricas definidas, como las notificaciones Posee un panel de control que discrimina entre eventos del sistema y eventos ocurridos en un activo

- HypericHQ Dashboard web

- HypericHQ Servicios de un activo Disponiblidad de sus servicios

- HypericHQ Indicadores de un activo

- HypericHQ Definición de alerta - Reglas

- HypericHQ Definición de alerta - Esquemas de notificaciones y definición de Plantilla

- HypericHQ Centro de Alertas y Eventos

- HypericHQ Conclusiones Ventajas Acceso de información completa por medio del agente lo que posibilita un mayor control sobre el activo Manejo de esquemas de alertas Limitaciones Configuración sujeta a la ip estática del agente Monitoreo solo del activo y no de la red No posee manejo de la norma ISO 27001

- SecuriaSGSI Que es SecuriaSGSI? Es una heramienta de compliance totalmente gratuita y de código cerrado. Se basa en un esquema cliente-servidor. A través de cuatro módulos principales realiza un seguimiento de la implementación de la norma 27001, puesta en funcionamiento, mantenimiento y mejora continua de un SGSI.

- SecuriaSGSI Como funciona SecuriaSGSI? Sistema Administración Creación del sistema SGSI Definición de usuarios y roles Perfiles de usuario (Rble. Sistema, Rble. Técnico, Usr. Genérico) Aprobadores Responsables de riesgo Sistema Cliente

- SecuriaSGSI Gestión Documental Creación de documento

- SecuriaSGSI Análisis y Gestión de Riesgos Configuración + Análisis = Cálculo del Riesgo

- SecuriaSGSI Activos

- SecuriaSGSI Test Inicial

- SecuriaSGSI Riesgo intrínseco

- SecuriaSGSI Riesgo intrínseco

- SecuriaSGSI Gestión de Incidencias y No conformidades - Incidencias

- SecuriaSGSI Gestión de Incidencias y No conformidades No conformidades

- SecuriaSGSI Mejora continua Nueva acción

- SecuriaSGSI Mejora continua control de eficacia

- SecuriaSGSI Conclusiones Ventajas Muy completa en el manejo de la norma A partir de una incidencia puede generarse una no conformidad A partir de una no conformidad se puede definir una acción correctiva y luego medir su eficacia Limitaciones Definición confusa entre Grupos y Perfiles. La notificaciones no son automáticas Bugs del sistema

- Easy2Comply Que es Easy2Comply? Es una herramienta comercial y de código cerrado que está compuesta por cinco productos diferentes que manejan un control interno, el riesgo, IT-GRC, auditorías y herramientas de compliance. Es altamente configurable y puede adaptarse a cualquier organización y a cualquier norma.

- Easy2Comply Como funciona Easy2Comply? Es un sistema cliente-servidor accedido a traves de un usuario y contraseña El panel principal o dashboard contiene los siguientes items: Documentación y Pérdida / Asesoramiento del Riesgo Eventos de Pérdida / Incidentes de Seguridad Indicadores claves de Riesgo / Métricas de Riesgo Firma Reportes Dashboard Plan de acción Configuración del sistema

- Easy2Comply

- Easy2Comply Centro de aplicación

- Easy2Comply Detalles de un control

- Easy2Comply Plan de acción

- Easy2Comply Incidentes de seguridad

- Easy2Comply

- Easy2Comply Conclusiones Ventajas Herramienta altamente personalizable a los requerimientos de la organizacion Adaptacion a cualquier norma ISO/IEC Seguimiento de revisiones segun calendario Limitaciones No tiene monitorización a nivel de activos ni de red

Conclusiones - Cuadro comparativo y checklist Analisis comparativo de las herramientas

Conclusiones - Herramientas e ISO 27001 Análisis de cumplimiento de las herrmientas segun las secciones de la norma ISO27001

Conclusiones - Especificación de requerimientos Características deseadas Manejo de Activos Tratamiento de Riesgos Gestion de Documentación Compliance Checklist Monitoreo Plan de Pruebas

Conclusiones - Aportes 27004 Aportes de la ISO 27004 Propone el programa de medición Define un modelo y una estructura de medición Da recomendaciones para construírlos Anexo A - Provee un template para registrar los datos recolectados durante la ejecución del programa Anexo B - Provee ejemplos del template anterior

Conclusiones - Aportes de la Tesis Resumiendo Queda una síntesis de la norma 27001 y 27004 Explicitamos los aportes de la 27004 Comparación de herramientas de Monitoreo y Compliance Aplicabilidad de las herramientas investigadas a cada una de las secciones de la norma Especificación de requerimientos para una futura implementación

FIN

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback