Professional Documents
Culture Documents
Enrique Daltabuit
D.G.S.C.A.
U.N.A.M.
Actualmente existe un gran número de estándares
tanto de gestión como de seguridad de la
información, entre los que se encuentran los bien
conocidos: ISO17799 y BS7799-2.
Cada uno de estos estándares toma un punto de
vista principal:
± de procesos como ITIL o COBIT,
± de mejores prácticas como ISO17799 e ISF-SGP,
± de controles como BS7799-2, ISO13335 y SP800-53,
± o de riesgo como hacen OCTAVE y MAGERIT.
Las mejores prácticas tienen un ámbito de
aplicación universal y son fáciles de
entender, pero la implementación resulta
muy compleja.
La orientación al riesgo es la más
satisfactoria desde el punto de vista teórico,
pero puede ser cara y no resulta fácil de
manejar a nivel técnico.
La orientación a los procesos es sencilla de
implementar, pero no garantiza los
resultados.
La orientación a controles es fácil de auditar
y aparentemente garantiza resultados, pero
es muy compleja de implementar y puede
resultar muy poco flexible
Veremos los modelos mas recientes
Publicado por El Comité de Dirección de
COBIT y el IT Governance Institute
La Misión de COBIT:
!
"
Identificar Soluciones Automatizadas
Adquirir y Mantener Software de
Aplicación
Adquirir y Mantener Infraestructura de
Tecnología
Desarrollar y Mantener Procedimientos
Instalar y Acreditar Sistemas
Administrar Cambios
Entrega y Soporte
#Definir y Administrar Niveles de Servicio
#Administrar Servicios de Terceros
#Administrar el Desempeño y la Capacidad
#Asegurar un Servicio Continuo
#Asegurar Seguridad de Sistemas
# Identificar y Asignar Costos
#
Educar y Capacitar a los Usuarios
#Asistir y Asesorar a los Clientes
#Administrar la Configuración
#Administrar Problemas e Incidentes
#Administrar Datos
#Administrar Facilidades
#Administrar Operaciones
Monitoreo
þ
þ
þ
(
MMM
# |
# |
þ
'
'
&
þ *'
'
'
'
'(0'
'
123
þ
'
4
,
/
4
,
/
.
,
,
'
'
'
'
&
.
,
5
6
'
*
,
'
&
,
'
&
'
4
'
4
,
4
+
'
,
&
ISM3 Nivel 0
Se basa en
± Estimación de amenazas;
± Estimación de vulnerabilidades
± Análisis del impacto en las actividades
± Análisis de riesgos
± Análisis del resultado de la inversión en
seguridad
El resultado de la inversión en seguridad se
defina como el cociente de las perdidas
evitadas a los costos de la inversión el
seguridad.
Es una forma de mejorar la asignación de
recursos escasos.
La administración estratégica cumple las
siguientes funciones:
± Liderazgo y coordinación de la seguridad de la
información Seguridad física
± Seguridad den entorno de trabajo m ajeno a ISM3)
± Interacción con las unidades operativas
± Revisión y mejoría de la administración del
sistema de seguridad
± Asignación de recursos a la seguridad de la
información
± Definición de los objetivos de seguridad que sean
consistentes con los objetivos de la organización
protegiendo los intereses de los interesados
± Define los esquemas de delegación de
responsabilidades..
La administración táctica es responsable
ante la administración estratégica del
funcionamiento : del sistema ISM y del uso
de recursos.
! %
± Proporcionar información a la administración
estratégica
± Definir el entorno de la administración operativa :
± Definir los objetivos de seguridad
± Definir la métrica de la eficacia y eficiencia
± Definir las clases de información, las prioridades,
la duración y la calidad de los grupos.
± Definir los entornos y ciclos de vida
± Seleccionar los procesos apropiados para lograr
los objetivos de seguridad
± Administrar el presupuesto, los recursos
humanos y otros recursos asigados a la
seguridad de la información
La selección de los procesos apropiados
para lograr los objetivos de seguridad se
basan en distintas evaluaciones o tipos de
análisis:
Análisis de amenazas
Análisis de vulnerabilidades
Análisis del impacto en las actividades
Análisis de riesgos
Análisis del resultado de la inversión en
seguridad.
Las responsabilidades y los canales de
entrega de reportes deben estar claramente
definidos y documentados.
Los informes estratégicos deben ponerse a
disposición de los interesados según se
estime conveniente y sea consistente con la
legislación, reglamentación y estándares de
gobernabilidad de la organización
Los informes operativos deben estar
disponibles a los administradores
estratégicos y tácticos
Los informes tácticos deben estar
disponibles a los administradores
estratégicos,.
INTEGRACIÓN DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN CON UN
SISTEMA DE GESTIÓN DE LA CALIDAD
± ANDREA MARCELA BARRIENTOS ARCILA
± KAREN ALEXANDRA AREIZA CÓRDOBA
UNIVERSIDAD EAFIT
DEPARTAMENTO DE INFORMÁTICA Y SISTEMAS
MEDELLÍN 2005
El CMMI es un modelo de procesos mno de
mejora) que muestra la madurez de una
organización basándose en la capacidad de
sus procesos y surge como la integración del
CMM mCapability Maturity Model) v.2.0 y de
la ISO 15504 Draft Standar v.1.00.
Basado en el Modelo CMMI y en la Norma
ISO/IEC 17799 se desarrollo un modelo de
madurez para la seguridad de la información,
con el propósito de ayudar a los encargados
de evaluar la seguridad de la información de
la organización,
± a determinar en que nivel o grado se encuentra
está y así tomar ecisiones al respecto que
permitan
± a identificar las fallas que se tienen en un
determinado nivel.