25725514 Paper Auditoria NIST SP800 53 y Cobit

1

NIST SP800-53 Rev.3 con COBIT 4.1

Alvarez Alvarez, Gustavo Alexander

UNIVERSIDAD NACIONAL DE TRUJILLO

Escuela de Informática

1. INTRODUCCION:

El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés, National Institute ofStandards) es una agencia de la Administración de Tecnología del Departamento de Comercio delos Estados Unidos. La misión de este instituto es promover la innovación y la competenciaindustrial en Estados Unidos mediante avances en metrología, normas y tecnología de forma quemejoren la estabilidad económica y la calidad de vida.

Como parte de esta misión, los científicos e ingenieros del NIST continuamente refinan la cienciade la medición (metrología) creando una ingeniería precisa y una manufacturación requerida parala mayoría de los avances tecnológicos actuales. También están directamente involucrados en eldesarrollo y pruebas de normas hechos por el sector privado y agencias de gobierno. El NIST fueoriginalmente llamado Oficina Nacional de Normas (NBS por sus siglas en inglés), un nombre quetuvo desde 1901 hasta 1988. El progreso e innovación tecnológica de Estados Unidos dependen delas habilidades del NIST, especialmente si hablamos de cuatro áreas: biotecnología,nanotecnología, tecnologías de la información y fabricación avanzada.

La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de laInformación. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernosy organizaciones académicas para todos los interesados en la seguridad.Este documento será dedicado al análisis del Documento 800 – 53.

SP 800-53 Rev. 2 (Noviembre, 2007) DRAFT Recommended Security Controls for FederalInformation Systems.

SP 800-53 Rev.1 (Diciembre, 2006) Recommended Security Controls for Federal InformationSystems.

SP 800-53 Rev.3 (Agosto, 2009) Recommended Security Controls for Federal InformationSystems and Organizations.

2. FUNDAMENTOS

2.1. Organización y Estructura del Control de Seguridad

Los controles de seguridad descritos en 800-53 tienen una organización bien definida yestructurada. Para facilidad de selección del Control de Seguridad y las especificaciones de susprocesos se organizan en 17 familias.

2

Id Familia Clase

AC Access Control (Control de Acceso) Técnico

AT Awareness and Training (Sensibilización y Formación) Operativo

AU Audit and Accountability (Auditoria y Rendición de Costos) Técnico

CA Security Assessment and Authorization (Evaluación de la Seguridady Autorización)

Gestión

CM Configuration Management (Gestión de Configuración) Operativo

CP Contingency Planning (Plan de Contingencia) Operativo

IA Identification and Authentication (Identificación y Autentificación) Técnico

IR Incident Response (Respuesta a Incidentes) Operativo

MA Maintenance (Mantenimiento) Operativo

MP Media Protection (Medios de Protección) Operativo

PE Physical and Environmental Protection (Protección Física y delMedio Ambiente)

Operativo

PL Planning (Planeación) Gestión

PS Personnel Security(Seguridad del Personal) Operación

RA Risk Assessment (Evaluación de Riesgos) Gestión

SA System and Services Acquisition (Sistemas y Servicios deAdquisición)

Gestión

SC System and Communications Protection (Sistemas De Protección yComunicación)

Técnico

SI System and Information Integrity (Integridad del Sistema y laInformación)

Operación

PM Program Management (Programa de Gestión) Gestión

Tabla 1.1 Clases, familias e Identificadores de Control de Seguridad

2.2. Líneas Base de Control de Seguridad

Las organizaciones tienen la obligación de mitigar adecuadamente los riesgos derivados deluso de la información y sistemas de información en la ejecución de las misiones y funcionesde negocios.

Un reto importante para las organizaciones es determinar el conjunto adecuado de controlesde seguridad, que si se ejecuta y decidido a ser efectiva, sería más rentable a mitigar el riesgo,mientras cumpla con los requisitos de seguridad definidos por las leyes federales, órdenesejecutivas, directivas, políticas, normas o reglamentos.

Para ayudar a las organizaciones en la toma de la selección adecuada de los controles deseguridad para un sistema de información, se introduce el concepto de los controles dereferencia. Los controles de referencia son el punto de partida para el proceso de selección delos controles de seguridad descritos en SP800-53 y son elegidos en base a la categoría deseguridad y nivel de impacto de los asociados del sistema de información determinado deconformidad con FIPS 199 y FIPS 200 respectivamente. La medida de referencia de control deseguridad es el conjunto mínimo de controles de seguridad para el sistema de información.

3

Debido a que la base de referencia está destinado a ser un punto de partida de aplicacióngeneral, los suplementos a la medida de referencia es probable que sea necesario para lograr lamitigación de riesgos adecuada. La medida de referencia de control de seguridad secompletará sobre la base de una evaluación organizacional de riesgo y los controles queresulta documentado en el plan de seguridad para el sistema de información.

2.3.Controles Comunes

Los controles más comunes son los controles de seguridad que se pueden heredar de uno omás sistemas de información de la organización. La organización asigna la responsabilidad delos controles comunes a los funcionarios apropiados de organización y coordina el desarrollo,implementación, evaluación, autorización y supervisión de los controles. La identificación delos mandos común es más eficaz a cabo como una actividad de toda la organización con laparticipación activa del responsable de información de alto oficial de seguridad de lainformación, el ejecutivo de riesgo (función), se autoriza a los funcionarios, los propietariosde sistema de información, los propietarios de la información / administradores, y lainformación oficiales de seguridad del sistema. La actividad de toda la organizaciónconsidera que las categorías de seguridad y niveles de impacto asociados de los sistemas deinformación dentro de la organización, de conformidad con FIPS 199 y FIPS 200, así comolos controles de seguridad necesarias para mitigar adecuadamente los riesgos derivados de lautilización de esos sistemas.

Por ejemplo, los controles comunes pueden ser identificados para todos los sistemas deinformación de bajo impacto, teniendo en cuenta los controles de seguridad asociados dereferencia en el Apéndice D. ejercicios similares pueden llevarse a cabo por impactomoderado y alto impacto de los sistemas de información también. Cuando los controlescomunes de protección de múltiples sistemas de información de la organización de losdiferentes niveles de impacto, los controles se aplican en relación con el nivel más altoimpacto entre los sistemas.

Muchos de los controles de seguridad necesarios para proteger los sistemas de informaciónde la organización (por ejemplo, los controles de la planificación de contingencia, loscontroles de respuesta a incidentes, la formación de seguridad y control de sensibilización, elpersonal de los controles de seguridad, los controles de protección física y ambiental, y loscontroles de detección de intrusos) son excelentes candidatos para el régimen de controlcomún.

Programa de información de gestión de seguridad de control (véase el anexo G, la familiaPM) también pueden considerarse controles comunes de la organización dado que el controlse emplean en el nivel de organización y suelen atender a múltiples sistemas de información.Mediante la gestión centralizada y documentar el desarrollo, implementación, evaluación,autorización y supervisión de los controles comunes, los gastos de seguridad puede seramortizado a través de múltiples sistemas de información.

Controles comunes son por lo general se documenta en la organización en todo el plan deseguridad de la información del programa a no ser aplicado como parte de un sistema deinformación específica, en cuyo caso los controles están documentados en el plan deseguridad para ese sistema. Las organizaciones tienen la flexibilidad para describir loscontroles comunes en un solo documento o en varios documentos. En el caso de variosdocumentos, los documentos que describen los controles comunes se incluyen como anexos ala información del plan de programa de seguridad. Si la información del plan de seguridad delprograma contiene varios documentos, la organización se especifica en cada documento

4

oficial de la organización o los funcionarios responsables de la elaboración, ejecución,evaluación, autorización y supervisión de los controles respectivos común. Por ejemplo, laorganización podrá exigir que la Oficina de Gestión de Instalaciones desarrollar,implementar, evaluar, autorizar y supervisar continuamente los controles de protección físicay ambiental de la familia del PE cuando dichos controles no se asocian con un determinadosistema de información, sino que, el apoyo a múltiples sistemas.

Cuando los controles comunes se incluyen en un plan de seguridad adicional para un sistemade información (por ejemplo, controles de seguridad de empleados como parte de un sistemade detección de intrusos proporcionar protección frontera heredada por uno o más sistemas deinformación de la organización), la información del plan de seguridad del programa indicaque el plan de seguridad independiente contiene una descripción de los controles comunes.

Los controles de seguridad no designados como controles comunes se consideran sistema decontroles específicos de los controles o híbridos. Sistema de controles específicos son laprincipal responsabilidad de los propietarios de la información y sus respectivos funcionariosde autorización. Organizaciones de asignar una condición híbrida a un control de seguridadcuando una parte del control se considera común y otra parte del control se consideraespecífico del sistema. Por ejemplo, una organización puede implementar la Política deRespuesta a Incidentes de seguridad y control de los procedimientos (IR-1) como controlhíbrido con la parte política de control considera que la parte común y los procedimientos delcontrol considera específico del sistema.

Controles híbridos también pueden servir como plantillas para el refinamiento de control.Una organización puede elegir, por ejemplo, para aplicar el control de seguridad dePlanificación de Contingencias (CP-2) como una plantilla para un plan de contingenciageneralizada para todos los sistemas de información de la organización con los propietariosindividuales del sistema de información adaptar el plan, en su caso, para el sistema de usosespecíficos.

Particionado en los controles de seguridad común, mixto, y el sistema de controlesespecíficos puede resultar en un ahorro significativo a la organización en la aplicación yevaluación de costes, así como una aplicación más coherente de los controles de seguridad entoda la organización. Si bien el concepto de compartimentación de control de seguridad encomún, híbrido, y el sistema de controles específicos es sencillo e intuitivo, la aplicacióndentro de una organización requiere de una planificación importante y la coordinación.

2.4.Control de Seguridad en Ambientes Externos

Las organizaciones son cada vez más dependiente de los servicios del sistema la informaciónproporcionada por los proveedores externos para llevar a cabo importantes misiones yfunciones de negocios. Sistema de servicios externos de información son los servicios seejecutan fuera de los límites de la autorización establecido por la organización de sussistemas de información. Estos servicios externos pueden ser utilizados por, pero no son partede, los sistemas de información de la organización. En algunos casos, los servicios externosdel sistema de información puede reemplazar por completo la funcionalidad de los sistemasde información interna. Las organizaciones son responsables y rendir cuentas de los riesgosincurridos por el uso de los servicios prestados por proveedores externos y la dirección deeste riesgo mediante la aplicación de controles de compensación, cuando el riesgo es mayorque el funcionario que autoriza o la organización está dispuesta a aceptar.

5

Las relaciones con los proveedores externos de servicios estén establecidos en una variedadde maneras, por ejemplo, a través de empresas mixtas, asociaciones comerciales, acuerdos decontratación externa (es decir, a través de contratos, acuerdos interinstitucionales, las líneasde acuerdos comerciales), acuerdos de licencia y / o intercambios de cadena de suministro. Lacreciente dependencia de proveedores externos de servicios y que se están forjando nuevasrelaciones con los proveedores presentan desafíos nuevos y difíciles para la organización,especialmente en el ámbito de la seguridad de la información del sistema. Estos retosincluyen:

Definir los tipos de servicios externos proporcionados a la organización. Describir cómo los servicios externos se protegerán de acuerdo con la seguridad

los requisitos de la organización. La obtención de las garantías necesarias de que el riesgo para las operaciones de la

organización y los bienes, las personas, otras organizaciones, y la Nación derivados de lautilización de los servicios externos es aceptable.

FISMA y la política de la OMB exigir a los prestadores externos manejo de la informaciónfederal o de funcionamiento de sistemas de información en nombre del gobierno federal paracumplir los requisitos de seguridad que las agencias federales. Requisitos de seguridad paralos proveedores externos, incluyendo los controles de seguridad para sistemas deprocesamiento de información, almacenar o transmitir información federal se expresan en loscontratos adecuados u otros acuerdos formales con el Marco de Gestión de Riesgos y normasde seguridad asociados NIST.

Las organizaciones pueden exigir a los proveedores externos para implementar todas lasmedidas en el marco de gestión de riesgos descrito en el capítulo tres, con la excepción delpaso de la autorización de seguridad, que sigue siendo una responsabilidad federal inherenteque está directamente vinculada a la gestión de los riesgos relacionados con el uso delsistema de información externa servicios.

2.5.Aseguramiento del Control de Seguridad

El aseguramiento es la base para la confianza de que los controles de seguridad aplicadas enun sistema de información sean eficaces en su aplicación. El Aseguramiento puede serobtenido en una variedad de maneras, incluyendo:

Las acciones adoptadas por los desarrolladores, implementadores y operadores en laespecificación, diseño, desarrollo, implementación, operación y mantenimiento de loscontroles de seguridad.

Acciones tomadas por los evaluadores de control de seguridad para determinar el gradoen que los controles se aplican correctamente, funcionan según lo previsto, y producir elresultado deseado con respecto al cumplimiento de los requisitos de seguridad para elsistema.

2.6.Revisiones y Extensiones

6

El conjunto de controles de seguridad que figuran en esta publicación representa el estadoactual-de-la-práctica, las salvaguardias y medidas para los sistemas de información federal ylas organizaciones. Los controles de seguridad serán cuidadosamente examinadas y revisadasperiódicamente para reflejar:

La experiencia adquirida en el uso de los controles

Cambio de los requisitos de seguridad

Nuevas amenazas, vulnerabilidades y los métodos de ataque

La disponibilidad de nuevas tecnologías.

Los controles de seguridad en el catálogo de control de seguridad se espera que cambien conel tiempo, como los controles se retiren, revisada, y añadió. Los controles de seguridaddefinidos en las líneas de base baja, moderada y alta también se espera que cambie con eltiempo a medida que el nivel de seguridad y la debida diligencia para mitigar los riesgosdentro de los cambios organizaciones. Además de la necesidad de cambio, la necesidad deestabilidad se abordarán, exigiendo que las adiciones propuestas, supresiones omodificaciones en el catálogo de los controles de seguridad pasan por un riguroso proceso deexamen público para obtener comentarios públicos y privados del sector y crear consensopara los cambios. Un conjunto estable y flexible y técnicamente rigurosa de los controles deseguridad se mantendrá en el catálogo de control de seguridad.

3. EL PROCESO

3.1.Gestión de Riesgo

La selección y especificación de los controles de seguridad para un sistema de información selleva a cabo como parte de una organización en todo el programa de seguridad de lainformación para la gestión del riesgo, es decir, el riesgo para las operaciones de laorganización y los bienes, personas, otras organizaciones y asociados a la Nación elfuncionamiento de un sistema de información. La gestión del riesgo es un elemento clave enel programa de seguridad de la organización de la información y establece un marco eficazpara la selección de los controles de seguridad apropiados para un sistema de información-loscontroles de seguridad necesarias para proteger a los individuos y de las operaciones y losactivos de la organización. El enfoque basado en riesgos para la selección y especificación decontrol de seguridad considera que la eficacia, la eficiencia, y las limitaciones impuestas porlas leyes federales, órdenes ejecutivas, directivas, políticas, reglamentos, normas odirectrices. Las siguientes actividades relacionadas con la gestión del riesgo, incluido comoparte de la Gestión de Riesgos, es fundamental para un programa efectivo de seguridad de lainformación y puede ser aplicado tanto a nuevos sistemas tradicionales de información en elcontexto de la Arquitectura Empresarial Federal y el desarrollo del ciclo de vida del sistema.

Categorizar el sistema de información y la información procesada, almacenada ytransmitida por este sistema basado en un análisis de impacto FIPS 199.

Seleccionar un conjunto inicial de los controles de seguridad de referencia para el sistemade información basado en el nivel de impacto en el sistema y los requisitos mínimos deseguridad definidas en FIPS 200; aplicar la adaptación de orientación; complementar loscontroles de seguridad de base a medida basada en una evaluación de la organización deriesgo y las condiciones locales, incluyendo el medio ambiente de funcionamiento,organización, requisitos de seguridad específicos, la información sobre amenazas

7

específicas, análisis de costo-beneficio, o circunstancias especiales, y especificar losrequisitos de seguridad.

Aplicación de los controles de seguridad y describir cómo los controles están empleadosen el sistema de información y de su entorno de operación.

Evaluar los controles de seguridad utilizando los procedimientos de evaluaciónadecuados para determinar la medida en que los controles se aplicancorrectamente, funcionan según lo previsto, y producir el resultado deseado conrespecto al cumplimiento de los requisitos de seguridad para el sistema.

Autorizar el funcionamiento del sistema de información basado en una determinación delriesgo para las operaciones de la organización y los bienes, personas, otrasorganizaciones, y la Nación como resultado de la operación del sistema de información yla decisión de que este riesgo es aceptable.

Supervisar los controles de seguridad en el sistema de información en forma permanenteincluyendo la evaluación de la eficacia del control, la documentación de cambios en elsistema o de su entorno de operación, realizar análisis de impacto en la seguridad de loscambios asociados, e informar el estado de seguridad del sistema de organización a losfuncionarios designados.

Paso 5

•AUTORIZAR• Sistemas de Información

Paso 6

•MONITORIZAR• Controles de Seguridad

FRAMEWORK DEGESTIÓN DE

RIESGO

Ciclo de Vida Seguro

Punto de Inicio

ESTRATEGIA DEGESTION DE RIESGO

Entradas de la OrganizaciónLeyes, Normas,

Política de OrientaciónMetas y objetivos estratégicosRequisitos de Seguridad de la

InformaciónLas Prioridades y la

disponibilidad de Recursos

Descripción de ArquitecturaMisión / Procesos de NegocioModelos de referencia FEASegmento de soluciones y

arquitecturasSistema de Información de

Fronteras

Repetir si es necesario

7






Paso 1

•CATEGORIZAR• Sistemas de Información

Paso 2•SELECCIONAR

•Controles de Seguridad

Paso 3•IMPLEMENTAR


Paso 4•EVALUAR


Paso 5

•AUTORIZAR• Sistemas de Información

Paso 6

•MONITORIZAR• Controles de Seguridad


RIESGO


Punto de Inicio








Fronteras


7






Paso 2•SELECCIONAR


Paso 3•IMPLEMENTAR



RIESGO


Punto de Inicio








Fronteras


8

Figura 3.1 Framework para la Gestión de Riesgo

3.2.Categorización del Sistema de Gestión

FIPS 199, la norma obligatoria de clasificación de seguridad, se basa en una simple y bienestablecido concepto-para determinar las prioridades de seguridad adecuadas para lossistemas de información de la organización y, posteriormente, aplicar las medidas adecuadaspara proteger adecuadamente los sistemas. Los controles de seguridad aplicados a undeterminado sistema de información se corresponden con los posibles efectos adversos sobrelas operaciones de la organización, los activos de la organización, los individuos, otrasorganizaciones, y la Nación debería haber una pérdida de confidencialidad, integridad odisponibilidad. FIPS 199 exige que las organizaciones de clasificar sus sistemas deinformación como de bajo impacto, moderado de impacto o de alto impacto para losobjetivos de seguridad de la confidencialidad, integridad y disponibilidad (RMF Paso 1). Elimpacto potencial de los valores asignados a los objetivos de seguridad correspondientes, sonlos valores más altos (es decir, alta marca de agua) de entre las categorías de seguridad que sehayan determinado para cada tipo de información procesada, almacenada o transmitida porlos sistemas de información.

ó = ( , ), ( , ),( , )Donde los valores aceptables para el impacto potencial son bajo, moderado o alto.

Como los valores de impacto potencial de la confidencialidad, integridad y disponibilidadpueden no ser siempre la misma para un determinado sistema de información, el altoconcepto de la marca de agua se introduce en FIPS 200 para determinar el nivel de impactodel sistema de información con el expreso propósito de seleccionar un conjunto inicial de loscontroles de seguridad de una de las tres líneas de base de control de seguridad.

3.3.Selección de Controles de Seguridad

Una vez que se determina el nivel de impacto del sistema de información, la organizacióninicia el proceso de control de seguridad de selección (RMF Paso 2). Hay tres pasos en elproceso de selección de control llevadas a cabo de forma consecutiva:

(i) la selección de la serie inicial de los controles de seguridad de base(ii) la adaptación de los controles de seguridad de base(iii) que complementa la línea de base a medida.

Las secciones siguientes describen cada uno de estos pasos en mayor detalle.

Selección de los Lineamientos del Control de Seguridad

El primer paso en la selección de los controles de seguridad para el sistema de información eselegir el conjunto adecuado de controles de referencia. La selección de la serie inicial de loscontroles de seguridad de referencia se basa en el nivel de impacto del sistema de

9

información que determine el proceso de categorización de seguridad que se describen en lasección 3.2. La organización selecciona uno de los tres conjuntos de controles de seguridadde referencia en el apéndice D correspondiente a la incidencia de bajo, moderado impacto, ode alta calificación de impacto del sistema de información. Tenga en cuenta que no todos loscontroles de seguridad son asignados a las líneas de base, tal como indica la frase noseleccionados. Del mismo modo, no todas las mejoras de control son asignados a las líneas debase, según lo indicado por el control de seguridad no está seleccionado, o el número entreparéntesis mejora, que no figuran en ninguna base.

Adaptación de los lineamientos del control de seguridad

Después de seleccionar el conjunto inicial de los controles de seguridad de referencia en elapéndice D, la organización inicia el proceso de adaptación a modificar adecuadamente yalinear los controles con las condiciones específicas dentro de la organización (es decir, lascondiciones específicas para el sistema de información o de su entorno de funcionamiento).El proceso de adaptación incluye:

• Aplicación de información orientativa para la seguridad de referencia inicial de loscontroles para obtener un conjunto preliminar de los controles aplicables a la base dereferencia a medida

• Selección (o especificar) compensar los controles de seguridad, si es necesario, paraajustar el conjunto preliminar de controles para obtener un conjunto equivalente, seconsideró más factible de implementar

• Organización Especificar los parámetros definidos en los controles de seguridad através de la asignación explícita y las instrucciones de selección para completar ladefinición de la línea de base a medida.

Para lograr un costo-efectiva, enfoque basado en riesgos para proporcionar seguridad de lainformación adecuada organización a nivel mundial, la línea de base adaptar las actividadesson coordinadas y aprobada por los correspondientes funcionarios de la organización (porejemplo, se autoriza a los funcionarios, se autoriza a los representantes oficiales designados,ejecutivo de riesgo (función), los directores de información, o agentes de seguridad de lainformación) antes de la aplicación de los controles de seguridad. Las organizaciones tienenla flexibilidad necesaria para realizar el proceso de adaptación en el nivel de organizaciónpara todos los sistemas de información (ya sea como línea de base medida necesaria o comopunto de partida para un sistema específico de adaptación), en el nivel individual de sistemade información, o mediante una combinación de la organización nivel y el sistema deenfoques específicos. Adaptación de las decisiones de los controles de seguridad para todoslos afectados en la línea de base seleccionados, incluyendo las razones específicas de esasdecisiones, están documentados en el plan de seguridad para el sistema de información yaprobado por los correspondientes funcionarios de organización como parte del proceso deaprobación del plan de seguridad.

Amplitud de la Orientación

La determinación del alcance de orientación proporciona a las organizaciones con lostérminos y condiciones específicos sobre la aplicabilidad y la aplicación de los controles deseguridad individuales en las líneas de base de control de seguridad. Aplicación de

10

información orientativa ayuda a asegurar que las organizaciones de aplicar únicamente loscontroles que son esenciales para proporcionar el nivel adecuado de protección para elsistema de información basado en misión o requisitos específicos de las empresas y entornosparticulares de operación. Hay varias consideraciones de alcance se describe a continuación,que pueden afectar a cómo los controles de seguridad de base se han aplicado y ejecutado porlas organizaciones:

Consideraciones relacionadas con los Controles Comunes

Controles de seguridad designado por la organización como los controles comunes, en lamayoría de los casos, gestionadas por una entidad de organización que no sea elpropietario de la red de la información. Decisiones de la organización en la que loscontroles de seguridad son considerados como controles comunes en gran medida puedeafectar a la responsabilidad de los propietarios individuales del sistema de informacióncon respecto a la aplicación de los controles en una línea de base en particular. Cadacontrol de seguridad en la medida y completada conjunto de controles para un sistema deinformación se identifica en el plan de seguridad como un sistema común y específica, oun híbrido de control

Consideraciones Relacionadas con los Objetivos de Seguridad

Controles de seguridad que el apoyo de sólo uno o dos de la confidencialidad, integridado disponibilidad de los objetivos de seguridad pueden ser degradados a la del controlcorrespondiente en un nivel inicial inferior (o modificados o eliminados si no se definenen un nivel inicial inferior) si y sólo si, la degradación acción:

(i) es coherente con la categoría de seguridad FIPS 199 para el objetivo de seguridadsoportadas (s) antes de pasar al nivel de 200 FIPS de impacto (es decir, de alta marcade agua)

(ii) el apoyo de una evaluación organizacional de riesgo;(iii)no afecten negativamente el nivel de protección de la seguridad de la información

pertinente en el sistema de información.

Consideraciones Relacionadas con la Asignación de Componentes del Sistema

Controles de seguridad en la línea de base representan un sistema de información amplioconjunto de controles que no sean necesarias o aplicables a cada componente en elsistema. Controles de seguridad sólo se aplican a los componentes del sistema deinformación que proporcionar o apoyar la capacidad de seguridad dirigida por el controly son fuentes de riesgo de ser mitigado por el control. Por ejemplo, los controles deauditoría son generalmente asignados a los componentes de un sistema de informaciónque proporcionan la capacidad de auditoría (por ejemplo, servidores, etc) y no se aplicannecesariamente a todos los usuarios de estaciones de trabajo de nivel dentro de laorganización, o cuando el sistema de información los componentes son de un solousuario, no en red, o parte de una red físicamente aislados, uno o más de estascaracterísticas puede proveer una fundamentación adecuada para no asignar los controlesseleccionados para ese componente. Las organizaciones a evaluar el inventario de loscomponentes del sistema de información para determinar que los controles de seguridadaplicables a los diversos componentes y, posteriormente, tomar decisiones explícitassobre dónde asignar los controles a fin de satisfacer los requisitos de seguridad de laorganización.

11

Consideraciones Relacionadas con la Tecnología

Los controles de seguridad que se refieren a tecnologías específicas (por ejemplo,inalámbricas, criptografía, infraestructura de clave pública) sólo son aplicables si esastecnologías están empleadas o que son necesarios para ser empleados en el sistema deinformación. Controles de seguridad que pueden ser apoyadas por mecanismosautomatizados que no requieren el desarrollo de mecanismos como si los mecanismostodavía no existen o no son fácilmente disponibles en comerciales o gubernamentalesfuera de los productos disponibles. Por ejemplo, mecanismos automatizados pueden serutilizados para mantener al día, completa, exacta, y configuraciones de referencia de fácilacceso de los sistemas de información de la organización. Si los mecanismos automáticosno están fácilmente disponibles, rentable, o sea técnicamente posible, compensar a loscontroles de seguridad, implementado a través de mecanismos o procedimientos noautomatizado, se utilizan para satisfacer las necesidades específicas de control deseguridad (ver los términos y condiciones para la selección y aplicación de los controlesde compensación más adelante).

Consideraciones Relacionadas con la Infraestructura Física

Los controles de seguridad que se refieren a las instalaciones de la organización (porejemplo, los controles físicos, como las cerraduras y los guardias, los controlesambientales de temperatura, humedad, luz, fuego y poder) son aplicables únicamente alas partes de las instalaciones que proporcionan directamente a la protección, el apoyo, ose relacionan con el sistema de información (incluyendo sus activos de tecnología deinformación como el correo electrónico o servidores web, granjas de servidores, centrosde datos, redes de nodos, estaciones de trabajo, dispositivos de protección de frontera, yequipo de comunicaciones).

Consideraciones Relacionadas a las Políticas / Regulaciones

Controles de seguridad que se ocupan de las cuestiones regidas por las leyes federales,órdenes ejecutivas, directivas, políticas, normas o reglamentos (por ejemplo, lasevaluaciones de impacto en la privacidad) se exigirán únicamente si el empleo de estoscontroles es coherente con el tipo de información y sistemas de información cubierta porlas leyes aplicables, órdenes ejecutivas, directivas, políticas, normas o reglamentos.

Consideraciones Relacionadas con lo Operacional / Medio Ambiente

Los controles de seguridad que se basan en supuestos concretos sobre el entornooperativo sólo son aplicables si el sistema de información empleado en el medioambiente asumido. Por ejemplo, algunos controles de seguridad física no puede seraplicable al espacio basado en sistemas de información y controles de temperatura yhumedad pueden no ser aplicables a los sensores remotos que existen fuera de lasinstalaciones interiores que contengan sistemas de información.

12

Consideraciones Relacionadas con la Escalabilidad

Los controles de seguridad son escalables, con respecto a la amplitud y el rigor de laaplicación. La escalabilidad es guiada por la categorización de los 199 de seguridad FIPSy 200 asociados FIPS impacto a nivel del sistema de información protegida. Por ejemplo,un plan de contingencia para un sistema de alta incidencia de información pueden sermuy largos y contienen una cantidad significativa de detalle de implementación. Encontraste, un plan de contingencia para un sistema de bajo impacto de la informaciónpuede ser considerablemente más corta y contienen detalle de implementación muchomenos. Discreción de uso de las organizaciones en la aplicación de los controles deseguridad a los sistemas de información, tomando en consideración los factores deescalabilidad en entornos particulares. Este enfoque facilita un análisis coste-efectiva,enfoque basado en riesgos para la aplicación de control de seguridad que gasta másrecursos que los necesarios, sin embargo, logra suficiente y de mitigación de riesgos deseguridad adecuadas.

Consideraciones Relacionadas con el Acceso publico

Cuando se permite el acceso del público a los sistemas de información de laorganización, los controles de seguridad se aplican con discreción, ya que algunoscontroles de seguridad de las líneas de base de control específicos (por ejemplo, laidentificación y autenticación, el personal de los controles de seguridad) pueden no seraplicables al acceso público. Por ejemplo, mientras que los controles de referencia exijanla identificación y autentificación de personal de la organización que mantener y apoyarlos sistemas de información que prestan los servicios de acceso público, los mismoscontroles que podrían no ser necesarios para el acceso a los sistemas de información através de interfaces públicas para obtener información disponible al público. Por otrolado, la identificación y autenticación sería necesario para los usuarios de los sistemas deacceso a la información a través de interfaces públicas en algunos casos, por ejemplo,acceder o modificar su información personal.

Compensación de Control de Seguridad

Organizaciones puede resultar necesario en ocasiones, a emplear los controles decompensación de seguridad. Esto puede ocurrir, por ejemplo, cuando una organización esincapaz de implementar un control de seguridad en la línea de base o cuando, debido a lanaturaleza específica de un sistema de información o de su entorno de operación, el controlen la línea de base no es un medios rentables de la obtención de la reducción del riesgonecesarias. Un control de la seguridad es una compensación de gestión, operativos o decontrol técnico (es decir, la salvaguardia o de contramedida) empleados por una organizaciónen lugar de un control de seguridad recomendadas en las líneas de base de bajo, moderado oalto descrito en el apéndice D, que proporciona un equivalente o nivel comparable deprotección para un sistema de información y la información procesada, almacenada otransmitida por este sistema. Controles de compensación, elegidas normalmente después de laaplicación de las consideraciones de alcance en la confección de orientación para el conjuntoinicial de los controles de seguridad de base. Por ejemplo, controles de compensación puedenser necesitados por la organización cuando la aplicación de tecnología basada enconsideraciones de hacer frente a la falta de capacidad para apoyar los mecanismos

13

automatizados, como parte de un control de seguridad o el requisito de mejora de control. Uncontrol de compensación de un sistema de información sólo pueden ser empleados en lassiguientes condiciones:

• La organización selecciona el control de compensación de NIST Special Publication800-53, o si un control adecuado de compensación no está disponible, la organizaciónadopta un control adecuado de compensación de otro origen;

• La organización ofrece apoyo justificación de cómo el control de compensaciónofrece una capacidad de seguridad equivalente en el sistema de información y por quélos relacionados con el control de seguridad de base no puede ser empleada;

• La organización evalúa y acepta formalmente el riesgo asociado a emplear el controlde compensación en el sistema de información.

3.4.Monitoreo de Controles de Seguridad

Después de los controles de seguridad se aplican y se evaluó su eficacia, el sistema deinformación está autorizada para operar conforme a la estrategia de gestión de la organizaciónde riesgo (RMF los pasos 3, 4 y 5). Posteriormente, inicia la organización específica deseguimiento de las acciones como parte de un programa amplio de monitoreo continuo. Elprograma continuo de monitoreo incluye una evaluación continua de la eficacia de control deseguridad para determinar si existe la necesidad de modificar o actualizar el actual despliegueconjunto de controles de seguridad sobre la base de los cambios en el sistema de informacióno de su entorno de operación (RMF Paso 6).

En particular, la organización vuelve sobre una base regular, las actividades de gestión deriesgos descrito en el Marco de Gestión de Riesgos. Además de las actividades en cursorelacionadas con la aplicación del Marco de Gestión de Riesgos, hay ciertos eventos quepueden desencadenar la inmediata necesidad de evaluar el estado de seguridad del sistema deinformación y si es necesario, modificar o actualizar los controles de seguridad actuales.Estos eventos incluyen, por ejemplo:

Un incidente en los resultados de una violación al sistema de información, produciendouna pérdida de confianza por la organización en la confidencialidad, integridad odisponibilidad de la información procesada, almacenada o transmitida por el sistema;

Un recién identificada, creíble, un sistema de información relacionada con la amenaza alas operaciones de la organización y los bienes, personas, organizaciones, o la Nación seidentifica sobre la base de información de inteligencia, información policial o de otrasfuentes fidedignas de información;

Cambios significativos en la configuración del sistema de información a través de laeliminación o adición de hardware nuevo o actualizado, el software o el firmware o loscambios en el entorno operativo podría degradar el estado de seguridad del sistema,

Cambios significativos en la estrategia de la organización de gestión de riesgos, lapolítica de seguridad de la información, con el apoyo de misiones y funciones denegocios, o información procesada, almacenada o transmitida por el sistema deinformación.

Cuando ocurren estos eventos, las organizaciones, como mínimo, las siguientes acciones:

Reconfirmar la categoría de seguridad y el nivel de impacto del sistema de información.La organización revisa la categoría de seguridad FIPS 199 y FIPS 200 impacto a nivel delsistema de información para confirmar que la categoría de seguridad y el nivel de impacto en

14

el sistema previamente establecido y aprobado por el funcionario que autoriza siguen siendoválidos. El análisis resultante puede proporcionar nuevas perspectivas en cuanto a laimportancia global del sistema de información al permitir a la organización para cumplir sumisión y responsabilidades de negocios.

Evaluar el estado actual de seguridad del sistema de información y el riesgo para lasoperaciones de la organización y los bienes, las personas, otras organizaciones, y la Nación.La organización investiga la vulnerabilidad del sistema de información (o vulnerabilidades)explotados por la fuente de la amenaza (o con potencial de explotación por una fuente de laamenaza) y los controles de seguridad a cabo actualmente en el sistema como se describe enel plan de seguridad. La explotación de vulnerabilidades del sistema de información por unafuente de amenaza puede deberse a uno o más factores, incluyendo pero no limitado a:

(i) la falta de controles de seguridad a cabo actualmente;(ii) falta de controles de seguridad;(iii) la fuerza insuficiente de controles de seguridad(iv) un aumento en la capacidad de la fuente de amenaza. Utilizando los resultados de la

evaluación de la situación de seguridad actual, la organización vuelve a evaluar losriesgos derivados de la utilización del sistema de información.

Planificar y emprender las acciones correctivas necesarias. Basándose en los resultados deuna evaluación actualizada sobre riesgos, la organización determina qué los controles deseguridad adicionales y / o equipamiento de control o medidas correctivas para los controlesexistentes son necesarias para mitigar los riesgos adecuadamente. El plan de seguridad para elsistema de información se actualiza para reflejar los cambios iniciales en el plan original. Unplan de acción y puntos de referencia se ha desarrollado para las deficiencias observadas odeficiencias que no son inmediatamente corregidos y para la aplicación de cualquieractualización de seguridad de control o controles adicionales.

Después de los controles de seguridad y / o mejoras de control se han aplicado y las otrasdebilidades o deficiencias corregidas, los controles se evaluó la eficacia para determinar si loscontroles se aplican correctamente, funcionan según lo previsto, y producir los resultadosdeseados con respecto a la reunión de seguridad requisitos para el sistema de información. Sies necesario, el plan de seguridad se actualiza para reflejar las medidas adicionalescorrectivas adoptadas por la organización para mitigar el riesgo.

Considere la posibilidad de autorizar de nuevo el sistema de información.Dependiendo de la severidad del evento, el impacto adverso sobre las operaciones de laorganización y los bienes, personas, otras organizaciones, y la Nación, y el alcance de lasacciones correctivas necesarias para subsanar las deficiencias identificadas o deficiencias enel sistema de información, la organización puede necesitar a considerar la reautorización delsistema de información de conformidad con las disposiciones del NIST Special Publication800-37. El funcionario que autoriza toma la determinación final sobre la necesidad de volvera autorizar el sistema de información en consulta con el ejecutivo de riesgo (función), elsistema y la misión o de los propietarios de negocios, el alto oficial de seguridad de lainformación, y el director de información. El funcionario que autoriza podrán optar porrealizar una reautorización limitado al centrarse sólo en los componentes afectados delsistema de información y los controles de seguridad asociados y / o equipamiento de controlque se han cambiado durante la actualización. Autorizar a los funcionarios disponen desuficiente información de las evaluaciones de control de seguridad para iniciar, con un gradoadecuado de confianza, las acciones correctivas necesarias.

15

4. COBIT

COBIT 4.1 (Control OBjectives for Information and related Technology | Objetivos de Controlpara tecnología de la información y relacionada). Publicada originalmente como Los procesos ylas medidas de control de la vinculación a las necesidades del negocio, fue inicialmente utilizadoprincipalmente por la comunidad de seguros en relación con el negocio y los dueños del proceso.Con la incorporación de pautas de manejo en 1998, COBIT fue utilizado con más frecuencia comoun marco de gestión, proporcionando herramientas de gestión tales como métricas y modelos demadurez para complementar el sistema de control. Con el lanzamiento de COBI T 4.0 en 2005, seconvirtió en una más completa estructura de gobierno IT. Las actualizaciones incrementales a COBI T 4.0 se hicieron en 2007, ya que pueden verse como un ajuste del marco, no los cambiosfundamentales. La versión actual es COBI T 4.1.

Es el modelo para la Gobernabilidad de la TI desarrollado por la Information Systems Audit andControl Association (ISACA) y el IT Governance Institute (ITGI). Tiene 34 objetivos nivel altosque cubren 215 objetivos de control clasificados en cuatro dominios: El plan y Organiza, Adquierey Pone en práctica, Entrega y Apoya, y Supervisa y Evalúa. Enfatiza el cumplimiento normativo,ayuda a las organizaciones a incrementar el valor de TI., apoya el alineamiento con el negocio ysimplifica la implantación del COBIT. Esta versión no invalida el trabajo efectuado con lasversiones anteriores del COBIT, sino que mejora el trabajo hecho.

Representa los esfuerzos de literalmente cientos de expertos de voluntario de en el mundo entero.Lo ofrecen como una descarga libre desde http://www.isaca.org/cobit/ y como una ventaja especialpara miembros ISACA, está disponible a miembros exclusivamente durante un período de dossemanas. Es un marco de gobernabilidad en TI que permite a gerentes acortar el hueco entreexigencias de control, cuestiones técnicas y riesgos de negocio. COBIT permite el desarrollo clarode política y la práctica buena para el control de TI en todas partes de organizaciones.

La última versión del ITGI - COBIT ® 4.1 - acentúa el cumplimiento regulador, ayuda aorganizaciones a aumentar el valor logrado de TI, permite la alineación y simplifica la puesta enpráctica del marco COBIT. Esto no invalida el trabajo hecho basado en las versiones mástempranas de COBIT, pero en cambio puede ser usado realzar el trabajo ya hecho basado sobreaquellas versiones más tempranas. Cuando actividades principales son planeadas para iniciativasde gobernación TI, o cuando una revisión y reparación del marco de control de la empresa esesperada (prevista), le recomiendan comenzar fresco con COBIT 4.0. COBIT 4.0 actividades deregalos en una manera más dinamizada y práctica tan la mejora continua de la gobernación TI esmás fácil que alguna vez para alcanzar.

Esta nueva versión refleja la armonización aumentada con otras normas detalladas, el énfasismayor sobre la gobernación TI, el dinamizar de conceptos y lengua, y el análisis detallado deconceptos de métrico, entre otras mejoras. El nuevo volumen, consistiendo en más de 200 páginas,incluye una descripción ejecutiva, el marco, el contenido principal (el control de alto nivelobjetivos de control objetivos, detallados, directrices de dirección y el modelo de madurez) paracada uno de los 34 procesos, y varios apéndices.

4.1. Función de COBIT

Independientemente de la realidad tecnológica de cada caso concreto, COBIT determina, conel respaldo de las principales normas técnicas internacionales, un conjunto de mejoresprácticas para la seguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias paraalinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestionar recursos y

http://www.isaca.org/cobit/

16

medir el desempeño, el cumplimiento de metas y el nivel de madurez de los procesos de laorganización.

Proporciona a gerentes, interventores, y usuarios TI con un juego de medidas generalmenteaceptadas, indicadores, procesos y las mejores prácticas para ayudar a ellos en el maximizarlas ventajas sacadas por el empleo de tecnología de información y desarrollo de lagobernación apropiada TI y el control en una empresa.

Proporciona ventajas a gerentes, TI usuarios, e interventores. Los gerentes se benefician deCOBIT porque esto provee de ellos de una fundación sobre cual TI las decisionesrelacionadas e inversiones pueden estar basadas. La toma de decisiones es más eficaz porqueCOBIT ayuda la dirección en la definición de un plan de TI estratégico, la definición de laarquitectura de la información, la adquisición del hardware necesario TI y el software paraejecutar una estrategia TI, la aseguración del servicio continuo, y la supervisión delfuncionamiento del sistema TI. TI usuarios se benefician de COBIT debido al aseguramientoproporcionado a ellos si los usos que ayudan en la reunión, el tratamiento, y el reportaje deinformación cumplen con COBIT ya que esto implica mandos y la seguridad es en el lugarpara gobernar los procesos. COBIT beneficia a interventores porque esto les ayuda aidentificar cuestiones de control de TI dentro de la infraestructura TI de una empresa. Estotambién les ayuda a corroborar sus conclusiones de auditoría.

La misión COBIT es " para investigar, desarrollar, hacer público y promover un juegoautoritario, actualizado, internacional de objetivos de control de tecnología de informacióngeneralmente aceptados para el empleo cotidiano por directores comerciales e interventores. "Los gerentes, interventores, y usuarios se benefician del desarrollo de COBIT porque esto lesayuda a entender sus sistemas TI y decidir el nivel de seguridad (valor) y control que esnecesario para proteger el activo de sus empresas por el desarrollo de un modelo degobernación TI.

4.2. FRAMEWORK COBIT

Es un kit de programas de COBIT que se completo es un juego que consiste en seispublicaciones:

1. Resumen(Sumario) Ejecutivo2. Marco3. Objetivos de Control4. Directrices de auditoria5. Instrumento de puesta en práctica6. Directrices de Dirección

Resumen (Sumario) Ejecutivo

Las decisiones de negocio están basadas en la información oportuna, relevante y concisa.Expresamente diseñado para directores ejecutivos embutidos de tiempo y gerentes, elResumen (Sumario) COBIT Ejecutivo, consiste en una descripción ejecutiva que proporcionauna conciencia cuidadosa y el entendimiento de los conceptos claves del COBIT y principios.También incluido es un resumen del Marco, que proporciona un entendimiento más detalladode estos conceptos y principios, identificando los cuatro dominios del COBIT (laPlanificación y la Organización, la Adquisición y la Puesta en práctica, la Entrega y el Apoyo,la Supervisión) y 34 procesos de TI.-

17

Marco

Una organización acertada es construida sobre un marco sólido de datos e información. ElMarco explica como los procesos de TI entregan la información que el negocio tiene quealcanzar sus objetivos. Esta entrega es controlada por 34 objetivos de control de alto nivel, unpara cada proceso de TI, contenida en los cuatro dominios. El Marco se identifica cuál de lossiete criterios de la información (la eficacia, la eficacia, la confidencialidad, la integridad, ladisponibilidad, el cumplimiento y la fiabilidad), así como que recursos TI (la gente, usos,tecnología, instalaciones y datos) son importantes para los procesos de TI para totalmenteapoyar el objetivo de negocio.-

Objetivos de Control

La llave al mantenimiento de la rentabilidad en un ambiente que se cambia tecnológicamentees como bien usted mantiene el control. Los Objetivos de Control del COBIT proveen laperspicacia (idea) crítica tuvo que delinear una práctica clara de política y buena para mandosde TI. Incluido son las declaraciones de resultados deseados u objetivos para ser alcanzadospor poniendo en práctica los 215 objetivos de control específicos, detallados en todas partesde los 34 procesos de TI.-

Directrices De auditoria

Analice, evalúa, haga de intérprete, reaccione, el instrumento. Para alcanzar sus objetivosdeseados y objetivos usted y coherentemente constantemente debe revisar susprocedimientos. Directrices de auditoría perfilan y aconsejan actividades reales ser realizadascorrespondiente a cada uno de los 34 objetivos de control de TI de alto nivel, justificando elriesgo de objetivos de control no siendo encontrados. Directrices de auditoría son uninstrumento inestimable para interventores de sistemas de información en el aseguramientode dirección que provee y/o el consejo para la mejora.

Instrumento de puesta en práctica

Un Instrumento de Puesta en práctica , que contiene la Conciencia de Dirección y elDiagnóstico de Control de TI, y la Guía de Puesta en práctica, FAQs, estudios de caso deorganizaciones actualmente que usan COBIT, y las presentaciones de diapositiva que puedenser usadas introducir COBIT en organizaciones. El nuevo Juego de Instrumento es diseñadopara facilitar la puesta en práctica de COBIT, relacionar lecciones cultas de organizacionesque rápidamente y satisfactoriamente aplicado COBIT en sus ambientes de trabajo, y ladirección de plomo(ventajosa) para preguntar sobre cada COBIT tratan: ¿Este dominio esimportante para nuestros objetivos de negocio? ¿Bien es realizado? ¿Quién lo hace y quien esresponsable? ¿Son formalizados los procesos y el control?

Directrices de Dirección

Para asegurar una empresa acertada, usted con eficacia debe manejar la unión eficaz entreprocesos de negocio y sistemas de información. Las nuevas Directrices de Dirección soncompuestas de Modelos de Madurez, ayudar determinar las etapas y los niveles deexpectativa de control y compararlos contra normas de industria; Factores de Éxito Críticos,para identificar las acciones más importantes para alcanzar control de los procesos de TI;Indicadores de Objetivo Claves, para definir los niveles objetivo de funcionamiento; eIndicadores de Funcionamiento Claves, para medir si un proceso de control de TI encuentrasu objetivo. Estas Directrices de Dirección ayudarán a contestar las preguntas depreocupación (interés) inmediata a todo los que tienen una estaca (un interés) en el éxito de laempresa.

18

4.3. KIT COBIT

Figura 4.3 Diagrama del Kit de Soluciones de COBIT

4.4. Implementación de COBIT

Organizaciones acertadas entienden las ventajas de tecnología de información (TI) y usaneste conocimiento para conducir el valor de sus accionistas. Ellos reconocen la dependenciacrítica de muchos procesos de negocio sobre TI, la necesidad de cumplir con demandas decumplimiento crecientes reguladoras y las ventajas de riesgo directivo con eficacia. Paraayudar organizaciones en satisfactoriamente la reunión de desafíos de hoy de negocio, elInstituto de Gobernación TI ® (ITGI) ha publicado la versión 4.1 de Objetivos de Controlpara la Información y ha relacionado la Tecnología (COBIT ®).

Riesgos Relacionado con el Manejo del Negocio:

• El empleo bajo sobre objetivos de negocio en el Marco COBIT• seleccionan, procesa y controla TI apropiado por la organización de los Objetivos de

Control de COBIT• funcionan del plan de negocio de organización• evalúan procedimientos y los resultados con Directrices de Revisión de cuentas de

COBIT• evalúan el estado de la organización, identifican factores de éxito críticos, miden el

funcionamiento con las Directrices de Dirección

19

COBIT para desarrollar un conjunto sano de procesos:• escogen los Objetivos de Control que caben los objetivos de negocio• identifican los modelos de industria que proporcionan la dirección para apoyar

procesos (CMMI, Poblar CMM, ITIL)

COBIT cubre cuatro dominios: Planificación y Organización Adquiera e Instrumento Entregue y Apoyo Monitor y Evalúa

La Planificación y la Organización

La Planificación y el dominio de Organización cubren el empleo de tecnología y como mejoresto puede ser usado en una empresa ayudar alcanzar los objetivos de la empresa y objetivos.Esto también destaca la forma de organización e infraestructural TI debe tomar para alcanzarlos resultados óptimos y generar la mayor parte de ventajas del empleo de TI. La mesasiguiente cataloga los objetivos de control nivel altos para el dominio de Organización y laPlanificación.

Objetivos De Control Nivel Altos

Planificación y Organización

PO1 Definen un Plan de TI EstratégicoPO2 Definen la Información ArquitecturaPO3 Determinan Dirección TecnológicaPO4 Definen los Procesos de TI, Organización y RelacionesPO5 Manejan la Inversión TIPO6 Comunican Objetivos de Dirección y DirecciónPO7 Manejan Recursos TI HumanosPO8 Manejan CalidadPO9 Evalúan y Manejan Riesgos de TIPO10 Manejan Proyectos

Adquiera e InstrumentoIdentificación de sus exigencias TI, adquiriendo la tecnología, y poniéndolo en práctica(realización) dentro de los procesos de negocio corrientes de la empresa. Este dominiotambién dirige el desarrollo de un plan de mantenimiento que una empresa debería adoptarpara prolongar la vida de un sistema TI y sus componentes. La mesa siguiente cataloga losobjetivos de control nivel altos para el dominio de Puesta en práctica y la Adquisición.


Adquiera e Instrumento

AI1 Identifican Soluciones AutomatizadasAI2 Adquieren y Mantienen Software De aplicaciónAI3 Adquieren y Mantienen Infraestructura de TecnologíaAI4 Permiten Operación y Usan AI5 Procuran Recursos TIAI6 Manejan CambiosAI7 Instalan y Acreditan Soluciones y Cambios

20

Entrega y Apoyo

La Entrega y el dominio de Apoyo enfocan en los aspectos de entrega de la tecnología deinformación. Esto cubre áreas como la ejecución de los usos dentro del sistema TI y susresultados, así como, los procesos de apoyo que permiten la ejecución eficaz y eficiente deestos sistemas TI. Estos procesos de apoyo incluyen cuestiones de seguridad y educación(entrenamiento). La mesa siguiente cataloga los objetivos de control nivel altos para eldominio de Apoyo y la Entrega.


Entregue y Apoyo

DS1 Definen y Manejan Niveles de ServicioDS2 Manejan Servicios de TerceroDS3 Manejan Funcionamiento y CapacidadDS4 Aseguran Servicio ContinuoDS5 Aseguran Seguridad de SistemasDS6 Identifican y Asignan GastosDS7 Educan y Entrenan a UsuariosDS8 Manejan Escritorio de Servicio e IncidentesDS9 Manejan la ConfiguraciónDS10 Manejan ProblemasDS11 Manejan DatosDS12 Manejan el Ambiente FísicoDS13 Manejan Operaciones

Monitor y Evaluación

La Supervisión y el dominio de Evaluación tratan con la estrategia de una empresa en laevaluación de las necesidades de la empresa y si realmente la corriente TI el sistema todavíaencuentra los objetivos para los cuales fue diseñado y los mandos necesarios de cumplir conexigencias reguladoras. La supervisión también cubre la cuestión de una evaluaciónindependiente de la eficacia de sistema TI en su capacidad de encontrar objetivos de negocioy los procesos de control de la empresa por interventores internos y externos. La mesasiguiente cataloga los objetivos de control nivel altos para la Supervisión del dominio.


Monitor y Evalúa

ME1 Supervisan y Evalúan Procesos de TIME2 Supervisan y Evalúan Control InternoME3 Aseguran Cumplimiento ReguladorME4 Proporcionan Gobernación TI

21

5. CONCLUSIONES La óptima gestión de la seguridad requiere métricas estandarizadas. La selección de métricas depende de las políticas y la madurez de la organización. El proceso de implantación de métricas debe ser progresivo. El proceso de implantación debe contar con apoyo de la dirección y recursos suficientes. El proceso debe ser controlado y revisado de manera continua convirtiéndose en proceso de

mejora continua.

6. BIBLIOGRAFIA[1] NIST, “SP 800-53-rev3-final-errata”, http://csrc.nist.gov/publications/, 2009[2] Gobernance Institute, “COBIT4.1”, http://www.itgi.org/, 2007[3] William Bentley – Peter T. Davis, “Lean SIX Sigma Secrets for the CIO”, 2010[4] Robert Barton, “Global IT Management – A Practical Approach”, 2003

http://csrc.nist.gov/publications/

http://www.itgi.org/

Date post:	04-Jul-2015
Category:	Documents
Upload:	chirri-corp
View:	93 times
Download:	2 times

25725514 Paper Auditoria NIST SP800 53 y Cobit

Documents