1 / 37

SOFTWARE MEASEGURA

SOFTWARE MEASEGURA. METODOLOGIA PARA SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ISO 27001. Modulo independiente o integrado para la gestión de seguridad de activos informáticos:. EN LA CONFIGURACIÓN SE CREAN (PARAMETRIZAN) LAS TABLAS DEL SISTEMA.

torin
Download Presentation

SOFTWARE MEASEGURA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SOFTWARE MEASEGURA

  2. METODOLOGIA PARA SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION ISO 27001.

  3. Modulo independiente o integrado para la gestión de seguridad de activos informáticos:

  4. EN LA CONFIGURACIÓN SE CREAN (PARAMETRIZAN) LAS TABLAS DEL SISTEMA.

  5. EN LA PRIMERA TABLA DE LA PARAMETIZACION SE INGRESAN LOS TIPOS DE INCIDENTES INFORMATICOS El modulo maneja el requisito de IncidentesInformaticos con apoyo del modulo Mejoraccion.

  6. SE CREAN LOS TIPOS DE ACTIVOS; PUEDE SER LOS QUE SUGIERE LA NORMA ISO 27001

  7. SE INGRESAN LOS DATOS BASICOS DE LOS ACTIVOS INFORMATICOS

  8. SE INGRESAN LOS EFECTOS DE RIESGOS EN ACTIVOS INFORMATICOS Especialmente los requisitosque se analizan en los activosInformaticos: Confiabilidad, Disponibilidad, Integridad

  9. SE INGRESAN LOS OBJETIVOS DE CONTROL DE LA ULTIMA VERSION DE LA NORMA ISO 27002 Si vacambiando la norma se van actualizando los Objetivos de control en estatabla.

  10. AHORA COMIENZA LA METODOLOGIA CON LA VALORACION DE LOS ACTIVOS

  11. EN LA PRIMERA ETAPA DEL METODO SE VALORAN LOS ACTIVOS INFORMATICOS DE ACUERDO A LOS REQUISITOS DE SEGURIDAD DE LA INFORMACION INCLUYENDO LA VALORACION ECONÓMICA. Además de los 3 requisitos a evaluar, se valora la parte económica del activo.

  12. SE OBTIENE EL RESUMEN DE LA VALORACION DE TODOS LOS ACTIVOS INFORMATICOS DE IMPORTANCIA.

  13. PROCESO DE REGISTRAR LAS AMANAZAS Y VULNERABILIDADES DE CADA ACTIVO TENIENDO EN CUENTA LOS 3 REQUISITOS FUNDAMENTALES DE SEGURIDAD DE LA INFORMACION.

  14. Esta etapa es la de mayor análisis ya que por cada activo y por cada requisito de seguridad, se detectan las amenazas que pueden afectar al activo y las vulnerabilidades que por sus limitados controles puede tener el activo:

  15. CON BASE EN LA INFORMACION ANTERIOR SE PUEDEN VALORAR LAS AMENAZAS Y VULNERABILIDADES DEL ACTIVO PARA OBTENER EL RIESGO DE EXPOSICION (FACTOR FUNDAMENTAL PARA CALIFICAR LA SITUACION DEL ACTIVO). Para obtener el riesgo al que esta Expuesto el activo, se cuenta con matriz de 3 por 3.

  16. DESPUES DE DEFINIR AMENZAS Y VULNERABILIDADES SE APLICA EL ICONO EVALUACIÓN DEL RIESGO

  17. DE ESTA MANERA SE OBTENDRAN LOS RIESGOS DE EXPOSICION DE TODOS LOS ACTIVOS

  18. DESPUES DE OBTENER EL RIESGO DE EXPOSICION, SE SELECCIONA EL IMPACTO PARA EVALUAR EL RIESGO Y CALCULAR EL NIVEL DEL MISMO EN LA MATRIZ. Todas estas etapas requieren del buen criterio del consultor o grupo de trabajo que esta ejecutando la metodología. Se utiliza otra matriz para obtener el nivel de riesgo que mostraremos mas adelante.

  19. AL OBTENER EL NIVEL DEL RIESGO PODEMOS REDUCIRLO

  20. CON LOS ANTERIORES DATOS EN LA MATRIZ, EL SISTEMA PRODUCE EL NIVEL DEL RIESGO Y EL TRATAMIENTO QUE SE DEBE REALIZAR AL ACTIVO PARA REDUCIR EL RIESGO. El nivel del riesgo y el Tratamiento son obtenidos de la matriz.

  21. PARA LOS TRATAMIENTOS CON BASE EN IMPLANTACION DE CONTROLES, SE REGISTRA EL CONTROL Y SE SELECCIONA EL OBJETIVO DE CONTROL A IMPLANTAR. En algunos casos se requiere aprobación de la dirección.

  22. POR LA LUPA DE LA PANTALLA ANTERIOR SE PUEDE OBTENER UN DOCUMENTO DE CONTROLES E INCLUSO ACCEDER A LA EXPLICACION DE CADA UNO POR INTERNET.

  23. POR ULTIMO REALIZAMOS EL PLAN DE ACCIÓN

  24. SE REGISTRA LA ACCION PREVENTIVA (ANTES DE QUE OCURRA) O SE REGISTRA LA ACCION POST (DESPUES DE QUE OCURRIO)

  25. SE IMPLANTA EL CONTROL A TRAVES DE PLANES DE ACCION PREVENTIVOS, EN DONDE EL SISTEMA ENVIA PENDIENTES, MAILS Y ALERTAS DE ATRASOS.

  26. PARA ACCIONES POST

  27. EN EL MENU DE INFORMES DEL MODULO SE ENCUENTRA DESDE LA INFORMACION DE LA TRAZABILIDAD DE LA METODOLOGIA HASTA VARIOS GRAFICOS DEL SUBMODULO DE INICIDENTES INFORMATICOS.

  28. SE OBTIENE REPORTE DE ACTIVOS PARA CONSULTAR EL ESTADO DE LAS ACCIONES QUE IMPLANTAN CONTROLES.

  29. A TRAVES DE LA MATRIZ DE EVALUACION DEL RIESGO SE PUEDE OBTENER EL ACTIVO Y SUS DETALLES ACTIVANDO LA CELDA CORRESPONDIENTE.

  30. SE PUEDE OBTENER TODO EL DETALLE (TRAZABILIDAD) DEL ACTIVO DESPUES DE HABER APLICADO LA METODOLOGIA.

  31. EL REPORTE DE DECLARACION DE APLICABILIDAD ES PRODUCIDO CON LOS DATOS MAS IMPORTANTES. El reporte pedido por la norma ISO 27001, donde aparece el activo con su control.

  32. SE DISPONE DE MODULO PARA GESTIONAR LA AUDITORIAS AL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, CON TODAS LAS ETAPAS CORRESPONDIENTES HASTA OBTENER EL INFORME. El modulo de Auditorias hace parte de la norma ISO 27001.

  33. EN EL MODULO DE MEJORAMIENTO SE REGISTRAN LOS INCIDENTES INFORMATICOS PARA TRATARLOS EN FORMA INMEDIATA O PARA ESTABLECER ACCIONES CORRECTIVAS O PREVENTIVAS.

  34. SE DISPONE DE UN SUBMODULO DE INCIDENTES INFORMATICOS QUE PRODUCE VARIOS INFORMES Y GRAFICOS, COMO TIPOS DE INCIDENTES OCURRIDOS.

  35. CANTIDAD DE INCIDENTES POR ACTIVO INFORMATICO, ENTRE OTROS:

  36. OTROS MODULOS QUE SE PUEDEN INCLUIR PARA COMPLEMENTAR Y QUE HACEN PARTE DE LOS REQUISITOS DE LA NORMA ISO 27001:

More Related