AS04006 Proyecto Integrador de TI. Planeación y organización de la función de seguridad



Documentos relacionados
#113 Gobierno de Seguridad de Información

Recuperación y Continuidad del Negocio

CALENDARIO DE CURSOS 2015

DE RIESGOS DE TI. GESTIÓN 1. INTRODUCCIÓN

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301

Technology and Security Risk Services Planes de Continuidad de Negocio

Plan de Continuidad de Operaciones

Programa de Especialización en Auditoria de Tecnologías de Información (IT Audit)

Sistema de Administración del Riesgos Empresariales

Administración de Riesgos. Reglas Prudenciales en Materia de Administración de Riesgos

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes

Cómo Asegurar la Calidad de Servicios de TI?

Ing. Nicolás Serrano

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Ing. Carlos E. Castillo Galindo Superintendencia de Bancos de Guatemala

Curso de Certificación BCI (Certified Business Continuity Institute) basado en la norma ISO22301:2012.

[Guía de auditoría AudiLacteos]

DRP y BCP: Continuidad Operativa

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

Sistemas de información Hacia una Cultura del Control. Pereira 2011

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Continuidad del Negocio y Recuperación de Desastres (BCM Business Continuity Management / DRM Disaster Recovery Management)

metodología de evaluación y control de riesgos

La Seguridad de la Información en la Gestión del Negocio Financiero

Actualización en Protección Contra Incendios y Continuidad del Negocio. Bernardo Lenis Duque

#233 Seguridad desde el punto de vista SOX y Gobernalidad

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

I INTRODUCCIÓN. 1.1 Objetivos

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

Los retos de la Pyme en la elaboración de un DRP. Servicios de Consultoría Empresarial Pedro Antonio González H.

Gestión de la Seguridad de Activos Intelectuales

Requisitos de control para los proveedores externos. Gestión de la continuidad del negocio (BCM)

Gestión de Seguridad Informática

Programa de Continuidad Gubernamental

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Mejora de la Seguridad de la Información para las Pymes Españolas

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

Continuidad de Negocio DRII/BCI/ISO

PLAN DE EMERGENCIAS EN CENTROS COMERCIALES. Conferencista: Andrés Felipe Cuchia G

CALIDAD DEL SOFTWARE TESTS DE EXAMEN ACTUALIZADO SEP TEMA 3 NORMALIZACIÓN Y CERTIFICACIÓN: NORMA ISO 9001:2000

Principales Novedades de la ISO 27001/ISO 27002

Bienestar, seguridad y salud en el trabajo


Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Cómo organizar un proyecto de seguridad de la información en el. M. en C. Ulises Castillo. CISSP, CISM, CISA. Julio, 2009

Free Powerpoint Templates. Paul Calderón

GlobalContinuity: Solución de Gestión a los Planes de Continuidad de Negocio

Continuidad. Más que sólo una palabra. Junio 2014

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

PRESENTACION PARA CLIENTES PLAN DE RECUPERACIÓN ANTE DESASTRES PARA LOS SISTEMAS DE INFORMACIÓN CRÍTICOS DE TIC - DRP

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Lecciones aprendidas en auditorías BCP

Proceso: AI2 Adquirir y mantener software aplicativo

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO

PLANES PARA LA CONTINUIDAD DEL NEGOCIO BUSINESS CONTINUITY MANAGEMENT (BCM)

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

Pontificia Universidad Católica del Ecuador

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información:

Noviembre Continuidad de Negocio Business Continuity Management (BCM)

Plan de Continuidad de Negocio

ISO IMPLEMENTADOR LÍDER CERTIFICADO

Information Security Network Management Solutions

INVITAN AL: Seminario de Plan de Contingencia de Liquidez (Basilea III)

DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD

Sistema de Gestión de Seguridad de la Información

Universidad Autónoma del Estado de México Licenciatura en Informática Administrativa 2003 Programa de Estudios:

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

NORMA ISO Estos cinco apartados no siempre están definidos ni son claros en una empresa.

Administración Datacenter I

Continuidad de Operaciones (COOP) y Continuidad de Gobierno (COG): Guía de implementación para empresas y gobiernos locales

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de Mario López de Ávila Muñoz

Principales Cambios de la ISO 9001:2015

Gestionando la seguridad de la información T14: Esquema Nacional de Seguridad y las Administraciones Públicas (2ª parte)

NTE INEN-ISO XX

NORMATIVA ISO Tasador colaborador con con la la justicia

Tema 1: Organización, funciones y responsabilidades de la función de TI.

Gestión de Riesgo en ING Chile. Diciembre 2006

Buen Gobierno y Continuidad de Negocio

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

DOCUMENTACIÓN E IMPLEMENTACIÓN DE ISO 9001:2008

Comprimido ARCHIformativo ISO 30300

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

TEMA 1: INTRODUCCIÓN A SERVICIOS TI

AUDITORÍA AL GOBIERNO DE TI USANDO COBIT 5. Visión General

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

Sistemas de Pagos de Latinoamérica y el Caribe

LPIC, PSO, PPE, BIA, AGR, Por qué no más sencillo? Gestión integral e integrada de todos estos sistemas. Global SGPIC

Estándares de Seguridad

DIPLOMADO SISTEMAS INTEGRADOS DE GESTIÓN (DSIG)

1 CONSTRUIMOS FUTURO

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

140 Horas académicas

Transcripción:

AS04006 Proyecto Integrador de TI Actividad 12. Planeación y organización de la función de seguridad. 1 Modelo de procesos de seguridad de información (ejemplo) Administración Desarrollo de de Normas y Políticas Continuidad de negocio Control de accesos Respuesta a incidentes 2 1

Nivel de Madurez Desarrollo del programa de seguridad de información Despliegue de estrategia (ejemplo) ++++ +++ Primera Evaluación ISO7799 Respuesta Incidentes Business Continuity Certificado IS027001 ++ Inicial Organización Política Normas Adm. Estrategia Incidentes Evaluaciones Control de Acceso Procesos Críticos de Seguridad de información tiempo 3 Desarrollo de Política Política Corporativa Directriz Políticas Específicas Email, Internet, Redes, Intranet,.. Políticas Estándares Externos (Tecnologías, RFC IEEE) Recomendaciones Best Practices SANS, CERT, AT&T Estándares Internos Guías Baselines Mec.Tec Normatividad Amenazas Específicas Procedimientos Procedimientos Procedimientos Procedimientos Procedim ientos 4 2

Emails Posters Inducción Campañas Medición (exámenes) Firmas de políticas Premios a los que reporten incidentes 5 Administración de Entradas Activos Amenazas (consecuancias) Vulnerabilidades Análisis, Evaluación y Tratamiento de Subprocesos Determinar probabilidad del escenario de riesgo Identificar impacto al negocio Identificar afectación en CID Validar estatus de amenazas Salidas iniciales Plan de tratamiento de Consolidar todo Calcular inciales y Tratamiento de Carta de aceptación de 6 3

Equipo de Respuesta a Incidentes 7 Control de Accesos He gastado medio día reseteando passwords Me tengo que firmar a 11 aplicaciones cada día Me han solicitado 42 accesos de usuarios y los auditores de SOX están acechando Me despidieron hace 4 meses y tengo todavía acceso al sistema de clientes Me contrataron hace dos semanas y todavía estoy esperando accesos a los sistemas 8 4

BCM (Business Continuity Management) Plan de Continuidad BCP (Business Continuity Plan) DRP (Disaster Recovery Plan) Transacciones No Capturadas Declaración De Desastre Recuperación de Registros Vitales Traslado Restauración Del Sistema IPL & Activación de la Red Restauración de BD s Recreación de Transacciones Recuperación Tradicional Recuperación a partir de Registros Vitales (Sist. Operativo, DBMS, Aplicaciones y Datos) Data Shadowing *Elimina los de la Recuperación de Datos (incluye Protección de Transacciones) Hot Standby *Restauración Inmediata (incluye Data Shadowing) 24 12 0 12 24 36 48 60 72 84 Tiempo (Hrs) 9 Incidente Orientación Técnica: Orientación de Procesos: Desarrollo de Política Administración de Respuesta a Incidentes Control de Accesos BCP BCP6 Porcentaje de BCP de procesos de negocios que son auditados Fórmula = X bcp9*100/x bcp7 IRM2 ERI7 CA6 Porcentaje de que son aceptados y que no les ha expirado la fecha de aceptación Fórmula = (X irm3*100/x irm1 Porcentaje de incidentes de Severidad 4 que ocurren en un tiempo determinado. Fórmula = (X eri10*100)/x eri5 Porcentaje de sistemas con restricciones al personal de acceso Fórmula = X ca12*100/x ca1 IRM1 Porcentaje de activos que se les aplicó un análisis de en un período de 1 año Fórmula = (X irm2*100)/x irm1 10 5

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback