Professional Documents
Culture Documents
SSC5501
SSC5501
Unidad I
Normas y políticas de seguridad
• Normas de Seguridad
– PCI-DSS
– SOX
– COBIT
• Es un conjunto de normativas
• Su origen es la BS 7799 de BSI de 1995
• Objetivo principal: proponer “buenas practicas” a las
empresas en el manejo de la Información.
• En 2005 derivo a ISO 27001:2005, usada en la
actualidad.
• Acaba de publicarse una nueva versión de ISO
27001:2013
– http://www.iso27000.es/iso27000.html#seccion2
ISO 27001: 2013
• Política de Seguridad
• Organización de la Seguridad
• Seguridad de recursos humanos
• Gestion de activos
• Control de acceso
• Cifrado
• Seguridad Física y ambiental
Dominios ISO 27001:2013
• Seguridad Operativa
• Seguridad de red
• Gestion de los Sistemas de Información
• Relación con proveedores
• Gestion de Incidentes
• Continuidad de negocio
• Cumplimiento
Sistema de Gestión de Seguridad
de la Información
• Fase 1: Planificar
– Realizar plan de trabajo para la revisión de seguridad
– Estimar los plazos de dicha revisión
– Cotizar con proveedores de Seguridad Informática que realicen
el trabajo
– Definir la metodología de revisión.
– Contar con los elementos necesarios para el análisis
• Código de la aplicación
• Ambiente de QA
• Etc.
Fases del SGSI (cont.)
• Fase 2: Ejecución
– Realizar el análisis de seguridad con la empresa contratada
– Gestionar el proyecto de revisión.
Fases del SGSI (cont.)
• Fase 3: revisar
– Revisión de resultados del análisis de seguridad
– Ponderación de los riesgos asociados.
– Validar si la metodología utilizada fue la adecuada
– Medir si el factor de riesgo estaba bajo el mínimo permitido.
Fases del SGSI (cont.)
• Fase 4: Actuar
– Corregir la aplicación si el factor de riesgo fue sobre el 75%
– Reprograma los plazos del proyecto si fuese necesario.
– Medir el impacto en el negocio.
– Decidir si la aplicación debe ser reconstruida.
– Si se da este ultimo caso, volver a la Fase 1.
Normativa PCI-DSS
6.1Internal Organization
Management Commitment to information
6.1.1
security
6.2External Parties
Identification of risk related to external
6.2.1
parties
Addressing security when dealing with
6.2.2
customers
Addressing security in third party
6.2.3
agreements
Evaluación grafica ISO 27002
Resumen
• Fases de un SGSI
– Plan
– Do
– Check
– Act
• Otras normativas
– PCI-DSS
– SOX
– COBIT
Resumen (cont.)
• Implementación de SGSI
• Otras normas de Seguridad
– HIPPA
– Decreto 83
– NCH 2777
– COBIT
– COSO
• Evaluación de controles
– ISO 27002
Pregunta 1