Post on 14-Mar-2020
1
GOBIERNO DE ESPAÑA
MINISTERIO DE LA PRESIDENCIA
SEGURIDAD: Multiservicio,
Multisistema, Multiprocesos y
Multiproyectos.
"El Reto de las metodologías para la
gestión de la seguridad"
Septiembre 2010
2
Índice
Introducción1
Metodologías para la Gestión de la Seguridad (Parte -I)2
2.1. ITIL2.2. ISO 270012.3. Magerit2.3. Métrica3.4. Otros: CMMI, COBIT, PMBOK
El Sistema de Gestión de Seguridad para el ENS (Par te-II)3
3.1. ENS como Portfolio de Requisitos de Seguridad3.2. Plan de Adecuación al ENS3.2.1 Alcance, Entradas y Salidas3.2.2 Características del Ámbito de Aplicación: Mult iservicio,
Multisistema, Multiproceso y Multiproyecto3.2.3 Fases y Tareas3.2.4 Productos3.2.5 Organización
3
1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS)
1.- Introducción
• La Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 define la creación del Esquema Nacional de Seguridad (ENS) “cuyo objetivo es el establecimiento de los principios y
requisitos de una política de seguridad en la utilización de los medios
electrónicos que permita una adecuada protección de la información”.
• Según la introducción del ENS, “… la finalidad del Esquema Nacional de
Seguridad es la creación de las condiciones necesarias de confianza en el
uso de los medios electrónicos, a través de medidas para garantizar la
seguridad de la información gestionada por los servicios de administración
electrónica de tal manera que permita a los ciudadanos y a las
Administraciones públicas, el ejercicio de derechos y el cumplimiento de
deberes a través de estos medios”.
4
1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS)
1.- Introducción
• El Esquema Nacional de Seguridad “…persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales…”, garantizando las diferentes dimensiones de la seguridad, tanto del servicio como de la información:
• … y para que esta garantía de la seguridad sea efectiva se deberán implementar las medidas de seguridad indicadas en el ENS, alineadas con el Ciclo de Vida de los Servicios. (Ver Articulo 39)
DIMENSIONES DE SEGURIDAD
INFORMACIÓN SERVICIO
DISPONIBILIDAD �
CONFIDENCIALIDAD �
INTEGRIDAD �
AUTENTICIDAD � �
TRAZABILIDAD � �
5
1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS)
1.- Introducción
Confidencialidad. Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.
Disponibilidad. Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
Integridad. Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada.
Autenticidad. Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos.
Trazabilidad. Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad.
6
1.2 Estructura del ENS
1.- Introducción
• Parte Expositiva
• Parte Dispositiva:
(10 capítulos, 44 artículos)
• Parte final:
Disposiciones adicionales (4)
Disposición transitoria
Disposición derogatoria
Disposiciones finales (3)
• Anexos (5)
Categorización de los sistemas
Medidas de seguridad
Auditoría de seguridad
Glosario
Modelo de cláusula administrativa particular
7
1.3 Contenido del ENS
1.- Introducción
8
1.3 Contenido del ENS
1.- Introducción
9
1.4 Objetivo del Seminario
1.- Introducción
• Describir un Modelo de Adecuación al ENS en un Marco Metodológico concreto (no referenciado en el ENS).
• Se va aportar una correlación, entre diferentes actuaciones que se requieren en una organización para la Adecuación del ENS, y las posibles metodologías a aplicar.
• No se va a aportar una descripción detallada ni del ENS (ya ha habido charlas previas), ni de las Metodologías. Sólo lo suficiente para poder describir el Modelo.
• Puede ayudar a profundización en conceptos y aportar una visión práctica de despliegue de SGSI requerido por el ENS
10
Índice
Introducción1
Metodologías para la Gestión de la Seguridad (Parte -I)2
2.1. ITIL2.2. ISO 270012.3. Magerit2.3. Métrica3.4. Otros: CMMI, COBIT, PMBOK
El Sistema de Gestión de Seguridad para el ENS (Par te-II)3
3.1. ENS como Portfolio de Requisitos de Seguridad3.2. Plan de Adecuación al ENS3.2.1 Alcance, Entradas y Salidas3.2.2 Características del Ámbito de Aplicación: Mult iservicio,
Multisistema, Multiproceso y Multiproyecto3.2.3 Fases y Tareas3.2.4 Productos3.2.5 Organización
11
2.1 ITIL v3.0(Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
• PARA QUÉ : • En el Apartado I de la Parte Expositiva del ENS se indica: “…. Se desarrollará
y perfeccionará en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan.”
• En el articulo 39 Las especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control.
• En punto 5.6.1 de desarrollo de aplicaciones, (mp.sw.1) se requiere la activación de procesos que siguen las buenas prácticas marcadas por ITIL
• Varias medidas de seguridad suponen interfaces con procesos de ITIL
12
2.1 ITIL v3.0 (Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
GestiónOrganización
Procesos
ConocimientoPersonas
Capital
Infraestructura
Aplicaciones
Información
Capacidades RecursosProveedor de Servicios
Activosdel Servicio
Servicios
Valor
Cliente
Resultados del clienteActivos del cliente
FIN
13
2.1 ITIL v30.0(Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
Activo
ENS
Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos.
ITIL
Cualquier Recurso o Capacidad. Los Activos de un Proveedor de Servicio, incluyen todo aquello que se puede atribuir a la entrega del Servicio. Los Activos pueden ser de los siguientes tipos: Administrativos, Organizativos, Procesos, Conocimiento, Personas, Información, Aplicaciones, Infraestructuras y Capital
14
2.1 ITIL v3.0 (Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
Servicio
ENS
Servicios acreditados. Servicios prestados por un sistema con autorización concedida por la autoridad responsable, para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación.
ITIL
Servicio proporcionado a uno o más Clientes por un Proveedor de Servicios de TI. Un Servicio de TI se basa en el uso de las TI y soporta los Procesos de Negocio del Cliente. Un Servicio de TI se compone de una combinación de personas, procesos y tecnologías y debería estar definido en un Acuerdo de Nivel de Servicio
15
2.1 ITIL v3.0(Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
RECURSO
ENS
ITIL
Término genérico que incluye Infraestructuras de TI, personal, dinero o cualquier otra cosa que pueda ayudar a entregar un Servicio de TI. Los Recursos son Activos de una Organización.
CAPACIDAD
ENS
ITIL
La habilidad de una organización para coordinar, gestionar y aplicar recursos con el fin de producir valor.
16
2.1 ITIL v3.0 (Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
Servicio TI X Servicio TI Y
Activos y recursos de TI
Proceso 1 del negocio
Proceso 2 del negocio
Proceso 3del negocio
La TI es un activador para los procesos de negocio
FIN
17
2.1 ITIL v3.0 (Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
PROCESO
ENS
Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado.
ITIL
Conjunto estructurado de Actividades diseñado para la consecución de un Objetivo determinado. Los Procesos requieren de una o más entradas y producen una serie de salidas, ambas previamente definidas. Un Proceso suele incorporar la definición de los roles que intervienen, las responsabilidades, herramientas y controles de gestión necesarios para obtener las salidas de forma eficaz…
18
2.1 ITIL v3.0 (Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
19
2.1 ITIL v3.0 (Information Technology Infrastructure Library)
2.- Metodologías para la Gestión de la Seguridad
FASE ITIL PROCESOS/FUNCIONES
ESTRATEGIA Estrategia del Servicio
Gestión Financiera
Gestión de la Cartera de Servicios(1)
Gestión de la Demanda
DISEÑO Gestión del Catálogo de Servicios
Gestión del Nivel de Servicio
Gestión de la Capacidad
Gestión de la Continuidad de los Servicios de TI
Gestión de la Disponibilidad
Gestión de la Seguridad de la InformaciónGestión del Suministrador
TRANSICCIÓN Planificación y Soporte de la Transición
Gestión de Cambios(1)
Gestión de la Configuración y Activos del Servicio
Gestión de Entregas y Despliegues
Validación y Pruebas del Servicio
Evaluación
Gestión del Conocimiento
OPERACIÓN Gestión de Eventos Servicio de Atención al Usuario
Gestión de Incidencias Gestión de Operaciones TI
Gestión de Peticiones Gestión Técnica
Gestión de Problemas Gestión Aplicaciones
Gestión de Accesos
MEJORA CONTINUA Mejora Continua del Servicio (y del Proceso)
20
2.2 ISO 27001
2.- Metodologías para la Gestión de la Seguridad
• PARA QUÉ :• Anexo III de Auditoria de Seguridad en su punto f) , indica que se auditará
“Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.”
• Es un Requisito Mínimo de Seguridad la mejora continua del proceso de seguridad ( Requisito o) )
• Articulo 26: Mejora continua del proceso de seguridad. “El proceso de seguridad. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información.
21
2.2 ISO 27001
2.- Metodologías para la Gestión de la Seguridad
SGSI
ENS/ISO
Sistema de gestión de la seguridad de la información (SGSI). Sistema de gestión que,
basado en el estudio de los riesgos, se establece para crear, implementar, hacer
funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información.
El sistema de gestión incluye la estructura organizativa, las políticas, las actividades
de planificación, las responsabilidades, las prácticas, los procedimientos, los
procesos y los recursos.
22
2.2 ISO 27001
2.- Metodologías para la Gestión de la Seguridad
Modelo PDCA aplicado a los procesos del SGSI
Crearel SGSI
Implantar y gestionarel SGSI
Supervisar y revisarel SGSI
Mantener y mejorarel SGSI
Verificar
Planificar
ActuarHacer
Partes Interesadas
Requisitos y expectativas de
la seguridad de la información
Partes Interesadas
Seguridad dela información
gestionada
23
2.2 ISO 27001
2.- Metodologías para la Gestión de la Seguridad
Planificar (creación del SGSI) Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización
Hacer (implementación y funcionamiento del SGSI)
Implementar y utilizar la política, controles, procesos y procedimientos del SGSI.
Verificar (supervisión y revisión del SGSI)
Evaluar y, en su caso, medir el rendimiento del proceso contra la política, objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión.
Actuar (mantenimiento y mejora del SGSI)
Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI
24
2.2 ISO 27001
2.- Metodologías para la Gestión de la Seguridad
FASE DEL CICLO DE GESTIÓN DEL SERVICIO (ITIL)
FASE DE PDCA DEL SGSI P Planificar D Hacer C Verificar A Mantener
Actualizar E Estrategia � � D Diseño � � T Transición � � O Operación � � CSI Mejora Continúa � � � �
25
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
• PARA QUÉ :• Principio Básico de Gestión de Riesgos (b) expuesto en el Capítulo 2,
Artículo 4, y desarrollado en al Articulo 6 (Gestión de la Seguridad basada en Riesgos)
• El articulo 9 pide una reevaluación periódica “… para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección …”
• Requisito Mínimo, Articulo 11 b) Análisis y Gestión de Riesgos que se desarrolla en el artículo 13.
• Medida de Protección del grupo de Marco Operacional (op.pl.1) se pide un Análisis de Riesgo textual, tabulado o formal, en función del Nivel del Sistema.
• Múltiples referencias en otras medidas que se apoyan en el Análisis de Riesgos (Gestión Incidentes, Gestión de Cambios, etc.) y que requieren que estésiempre al día (utilizar un enfoque adecuado)
.
26
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
FIN
27
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
TERMINO MAGERIT ENS
RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre
uno o más activos causando daños o perjuicios a la Organización.
Estimación del grado de exposición a que una amenaza se materialice sobre uno o
más
activos causando daños o perjuicios a la organización.
ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una Organización.
Utilización sistemática de la información disponible para identificar peligros y
estimar los riesgos.
GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados.
Actividades coordinadas para dirigir y controlar una organización con
respecto a los riesgos.
AMENAZA Eventos que pueden desencadenar un incidente en la Organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
IMPACTO Consecuencia que sobre un activo tiene la materialización de una
amenaza.
VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una
amenaza. Se determina por dos medidas: frecuencia de ocurrencia y
degradación causada
Una debilidad que puede ser aprovechada por una amenaza.
SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo
RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas
determinadas en el plan de seguridad de la información.
28
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
29
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
FIN
30
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
TERMINO MAGERIT ENS
RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre
uno o más activos causando daños o perjuicios a la Organización.
Estimación del grado de exposición a que una amenaza se materialice sobre uno o
más
activos causando daños o perjuicios a la organización.
ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una Organización.
Utilización sistemática de la información disponible para identificar peligros y
estimar los riesgos.
GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados.
Actividades coordinadas para dirigir y controlar una organización con
respecto a los riesgos.
AMENAZA Eventos que pueden desencadenar un incidente en la Organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
IMPACTO Consecuencia que sobre un activo tiene la materialización de una
amenaza.
VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una
amenaza. Se determina por dos medidas: frecuencia de ocurrencia y
degradación causada
Una debilidad que puede ser aprovechada por una amenaza.
SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo
RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas
determinadas en el plan de seguridad de la información.
31
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
32
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
FIN
33
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
TERMINO MAGERIT ENS
RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre
uno o más activos causando daños o perjuicios a la Organización.
Estimación del grado de exposición a que una amenaza se materialice sobre uno o
más
activos causando daños o perjuicios a la organización.
ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una Organización.
Utilización sistemática de la información disponible para identificar peligros y
estimar los riesgos.
GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir,
impedir, reducir o controlar los riesgos identificados.
Actividades coordinadas para dirigir y controlar una organización con
respecto a los riesgos.
AMENAZA Eventos que pueden desencadenar un incidente en la Organización,
produciendo daños materiales o pérdidas inmateriales en sus activos.
IMPACTO Consecuencia que sobre un activo tiene la materialización de una
amenaza.
VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una
amenaza. Se determina por dos medidas: frecuencia de ocurrencia y
degradación causada
Una debilidad que puede ser aprovechada por una amenaza.
SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo
RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas
determinadas en el plan de seguridad de la información.
34
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
35
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
36
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
37
2.3 Magerit v2.0
2.- Metodologías para la Gestión de la Seguridad
Visión dinámica y mantenible del Análisis de
Riesgos requiere una adecuada estructuración y
manejo de conceptos adicionales: Dominios,
Servicios Internos.
38
2.4 Métrica v3.0
2.- Metodologías para la Gestión de la Seguridad
• PARA QUÉ :• De acuerdo al Artículo 39 (Ciclo de Vida de los Servicios y Sistemas) las
especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas.
• En el punto 5.6.1 de desarrollo de aplicaciones, (mp.sw.1) en elapartado b) se requiere el uso de metodología para el desarrollo para todos los sistemas a partir del nivel medio.
.
39
2.4 Métrica v3.0
2.- Metodologías para la Gestión de la Seguridad
40
2.4 Métrica v3.0
2.- Metodologías para la Gestión de la Seguridad
Tareas afectadas en la Interfaz de Seguridad de Mét rica v3 PSI: Planificación del sistema de información SEG 2: Evaluación del riesgo para la arquitectura tecnológica
PSI-SEG 2.1: Estudio y evaluación del riesgo de las alternativas de arquitectura tecnológica PSI-SEG 2.2: Revisión de la evaluación del riesgo de las alternativas de arquitectura tecnológica
SEG 3: Determinación de la seguridad en el plan de acción PSI-SEG 3.1: Determinación de la seguridad en el plan de acción
EVS: Estudio de viabilidad del sistema SEG 3: Recomendaciones adicionales de seguridad para el SI
EVS-SEG 3.1: Elaboración de recomendaciones de seguridad SEG 4: Evaluación de la seguridad de las alternativas de solución
EVS-SEG 4.1: Valoración y evaluación de la seguridad de las alternativas de solución
SEG 5: Evaluación detallada de la seguridad de la solución propuesta EVS-SEG 5.1: Descripción detallada de la seguridad de la solución propuesta
ASI: Análisis del sistema de información SEG 2: Descripción de las funciones y mecanismos de seguridad
ASI-SEG 2.1: Estudio de las funciones y mecanismos de seguridad a implantar SEG 3: Definición de los criterios de aceptación de la seguridad
ASI-SEG 3.1: Actualización del plan de pruebas DSI: Diseño del sistema de información SEG 2: Especificación de requisitos de seguridad del entorno tecnológico
DSI-SEG 2.1: Análisis de los riesgos del entorno tecnológico SEG 3: Requisitos de seguridad del entorno de construcción
DSI-SEG 3.1: Identificación de los requisitos de seguridad del entorno de construcción
SEG 4: Diseño de pruebas de seguridad DSI-SEG 4.1: Diseño de las pruebas de seguridad
41
2.4 Métrica v3.0
2.- Metodologías para la Gestión de la Seguridad
Tareas afectadas en la Interfaz de Seguridad de Mét rica v3 CSI: Construcción del sistema de información SEG 2: Evaluación de los resultados de pruebas de seguridad
CSI-SEG 2.1: Evaluación de los resultados de pruebas de seguridad SEG 3: Elaboración del plan de formación de seguridad
CSI-SEG 3.1: Elaboración del plan de formación de seguridad IAS: Implantación y aceptación del sistema SEG 2: Revisión de medidas de seguridad en el entorno de operación
IAS-SEG 2.1: Revisión de medidas de seguridad en el entorno de operación SEG 3: Evaluación de resultados de pruebas de seguridad de implantación del sistema
IAS-SEG 3.1: Estudio de los resultados de pruebas de seguridad de implantación del sistema
SEG 5: Revisión de medidas de seguridad en el entorno de producción IAS-SEG 5.1: Revisión de medidas de seguridad en el entorno de producción
MSI: Mantenimiento del sistema de información SEG 2: Especificación e identificación de las funciones y mecanismos de seguridad
MSI-SEG 2.1: Estudio de la petición MSI-SEG 2.2: Análisis de las funciones y mecanismos de se
42
2.5 Otras: CMMI
2.- Metodologías para la Gestión de la Seguridad
43
2.5 Otras: CMMI
2.- Metodologías para la Gestión de la Seguridad
Los 6 niveles definidos en CMMI para medir la capacidad de los procesos son:
•N0.- Incompleto: El proceso no se realiza, o no se consiguen sus objetivos.
•N1.- Ejecutado: El proceso se ejecuta y se logra su objetivo.
•N2.- Gestionado: Además de ejecutarse, el proceso se planifica, se revisa y se evalúa para comprobar que cumple los requisitos.
•N3.- Definido: Además de ser un proceso gestionado se ajusta a la política de procesos que existe en la organización, alineada con las directivas de la empresa.
•N4.- Cuantitativamente gestionado: Además de ser un proceso definido se controla utilizando técnicas cuantitativas.
•N5.- Optimizado: Además de ser un proceso cuantitativamente gestionado, de forma sistemática se revisa y modifica o cambia para adaptarlo a los objetivos del negocio. Mejora continua.
44
2.5 Otras: COBIT
2.- Metodologías para la Gestión de la Seguridad
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para ldel día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sucontrol que es necesario para proteger los activos de sus compañías mediante el desarrollo de un model o de administració n de las tecnolog
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para ldel día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sucontrol que es necesario para proteger los activos de sus compañías mediante el desarrollo de un model o de administració n de las tecnolog
La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores."
Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información.
45
2.5 Otras: COBIT
2.- Metodologías para la Gestión de la Seguridad
46
2.5 Otras: PMBOK
2.- Metodologías para la Gestión de la Seguridad
47
2.- Metodologías para la Gestión de la Seguridad
48
Índice
Introducción1
Metodologías para la Gestión de la Seguridad (Parte -I)2
2.1. ITIL2.2. ISO 270012.3. Magerit2.3. Métrica3.4. Otros: CMMI, COBIT, PMBOK
El Sistema de Gestión de Seguridad para el ENS (Par te-II)3
3.1. ENS como Portfolio de Requisitos de Seguridad3.2. Plan de Adecuación al ENS3.2.1 Alcance, Entradas y Salidas3.2.2 Características del Ámbito de Aplicación: Mult iservicio,
Multisistema, Multiproceso y Multiproyecto3.2.3 Fases y Tareas3.2.4 Productos3.2.5 Organización