CISSA CERTIFIED

INFORMATION
SYSTEM SECURITY
ADVISOR
Firmado por: YANAPTI SRL
Motivo: Responsable de
elaboracin
Fecha y hora: 31.07.2013
10:04:00

www.yanapti.com

INTRODUCCION AL SGSI

HISTORIA DE LA NORMA
2013

Draft 27005:2013

Finales 2005
Julio Agosto 2005
Junio 2005

Noviembre 2003
Septiembre 2002

1999

1998
1995

NB 17799:2005
ISO/IEC 17799:2005
Adopcin como NB

Nueva versin de BS 7799-2

2001
Diciembre 2000

Renombrada a ISO 27005

Revisin de BS 7799-2
Estndar Sueco SS 62 77 99 Parte 1 y 2
ISO/IEC
17799:2000
Nueva versin de BS 7799 Parte 1 y 2

BS 7799 Parte 2

BS 7799 Parte 1

www.yanapti.com

LOS ESTNDARES DE LA SERIES ISO IEC 27000

ISO/IEC

Descripcin

27000

Vocabulario y definiciones

27001

Especificacin de la estructura metodolgica

27002

Cdigo de prcticas (basada en ISO17799:2005)

27003

Gua de implementacin

27004

Mtricas y medidas

27005

La Administracin del Riesgo (basado BS 7799-3)

27006

Requerimientos para organismos de acreditacin

27035

Gestin de Incidentes

27031

Pruebas de Continuidad

27032

Ciberseguridad

www.yanapti.com

FAMILIA 27000

www.yanapti.com

Compromiso de la Alta Direccin

Iniciativas de negocio
& Procesos

Procesos

Evaluacion de riesgos &

Vulnerabilidades

Legales & Regulatorios

Politica

Modelo de Seguridad
Arquitectura de seguridad
y estandares tcnicos
Guias y Procedimientos
administrativos y de usuario final

Proceso de
Reforzamiento

Proceso de
Monitoreo

Proceso de
Recuperacion

Information Security Management System

www.yanapti.com

Programa de entrenamiento y prevension

Vision y Estrategia de Seguridad

ISO 27001- SGSI

PREGUNTA
Cuales serian los beneficios para el Negocio
Con la implementacin de un SGSI
Con la Certificacin ISO 27001

Desde el punto de vista profesional?

IMPLANTACIN ISO 27001 | VENTAJAS :

Confianza a nuestros clientes
Posicionamiento en el mercado
Competitividad
Planificacin
Resolucin de incidencias
Seguridad
Nuevos clientes
Riesgos
Problemas de seguridad
Improvisacin
Clientes descontentos
Prdida de niveles de servicio

www.yanapti.com

IMPLANTACIN ISO 27001 | BENEFICIOS :

ANTE EL
MERCADO

ANTE LOS
CLIENTES

Afianza la posicin
de su organizacin

Mayor confianza del

cliente

Factor competitivo

Aumenta
satisfaccin

Imagen de marca

GESTIN
ORGANIZACIN
Conocimiento y
depuracin procesos
internos
Mejor gestin de
recursos

Mejor comunicacin

Permite superar
barreras tcnicas
Favorece el
desarrollo

Mejora continua
Nuevos clientes
gracias a las
garantas en la
prestacin de
servicios

Procesos de
negocio ms
seguros

MODELO CONCEPTUAL

www.yanapti.com

Elementos de la Norma
Poltica de
seguridad

Cumplimiento

Organizacin de
la Seguridad

Administracin de

Clasificacin y

la continuidad

integridad

Confidencialidad

Informacin

Gestin
de Incidentes

control de los activos

Seguridad
del personal

Desarrollo y

disponibilidad

mantenimiento
Control de accesos

Seguridad fsica
y ambiental

Gestin de
comunicaciones
y operaciones
11

PROCESO DE
CERTIFICACION

El Camino de la Certificacin.

Tiempo

Efectividad

Cumplimiento
con la Norma

Requerimientos de
Partes Interesadas
www.yanapti.com

El Camino de la Certificacin.

Certificado

Acuerdo de
Confidencialidad

Pre-Estudio/
Implementacin
Implementadores

ISMS

Certificado
ISMS

PreAuditora

Auditora Inicial

Seguimiento

Auditoras
Peridicas

Auditores

Creacin de Valor

www.yanapti.com

El Camino de la Certificacin. Entregables.

Revisin Documental
Documentacin del ISMS
Poltica
Alcance
IT-Documentacin
Declaracin de
Aplicabilidad
Anlisis de Riesgos
Plan de Continuidad del
Negocio

Paso 1
Presentacin del
reporte de Revisin
Documental
Evaluacin Tcnica
Inicial

Paso 2
Presentacin del el
reporte del Paso 1
Implementacin de
ISMS para ser
evaluado
Validacin de la
conformidad con los
requerimientos

Resultados
Reporte

Resultado
Reporte
Non-conformidades, a
ser cerradas antes que
el Paso 2 inicie

Resultado
Reporte
No-Conformidades,
deben cerrarse previo
a la emisin del
certificado
Recomendacin para la
Certificacin

www.yanapti.com

Metodologa de Auditora.
Los auditores verifican que el SGSI

Funcione y sea mantenido

Cumpla con los requerimientos del
estndar ISO 27001

Cumpla con los cdigos de buenas

prcticas; as como, con los requisitos
estatutarios / regulatorios aplicables

Sea EFECTIVO
www.yanapti.com

Qu se revisa en un ejercicio de Auditora?

El auditor verifica:
Como la implementacin de los
controles y objetivos estan conformes
dentro de la organizacin
La selecciones realizadas
El auditor evala:
El Anlisis de Riesgos
El Nivel de Seguridad
Muestreo y juicio objetivo
www.yanapti.com

Qu se revisa en un ejercicio de Auditora?

El auditor verifica:

Compromiso Gerencial.
Que la poltica de seguridad
sea conocida.
Cumplimiento.

- Provee direccin
- Demuestra
compromiso

Muestreo y juicio objetivo

www.yanapti.com

Qu se revisa en un ejercicio de Auditora?

Registros disponibles?

Anlisis de Riesgo
Plan de Continuidad del Negocio
Poltica
Declaracin de Aplicabilidad SoA

Adecuados y
relevantes?
Conocidos y
Probados?
Comunicados?

www.yanapti.com

Qu se revisa en un ejercicio de Auditora?

Registros disponibles?
Seguridad en las descripciones de Puestos y recursos
de la Direccin
Capacitacin a usuarios

Control de Virus
Proteccin de acciones y registros importantes

Proteccin de Datos

www.yanapti.com

Qu se revisa en un ejercicio de Auditora?

Reporte de Incidentes

Cumplimiento con Licencias de uso de Software

Cumplimiento con Requisitos Legales

Cumplimiento con la Poltica de Seguridad

Cumplimiento Tcnico
Controles Regulares?

Registros Disponibles? Seguimientos?

Acciones Preventivas
Identificadas?
www.yanapti.com

Qu se revisa en un ejercicio de Auditora?

Registros Disponibles?

Revisiones Peridicas?
REVISIN GERENCIAL

Compromiso?
Recomendaciones de Mejora?

www.yanapti.com

CERTIFICACIN
Los certificados tienen una validez de 3 aos.
Se requieren auditoras de evaluacin, que van
desde los peridica de 6 hasta los 12 meses
despus de efectuada la primera auditora.
A partir de la publicacin del estndar ISO
27001, BS7799 queda anulado.

www.yanapti.com

METRICAS

www.yanapti.com

Un conjunto definido, convenido

y significativo de mtricas.

Conjunto de Mtricas

Proceso de Medicin

Medicion
del
Desempeo

Evaluacin
Independiente

Proceso de Anlisis
Proceso de medicin manual o
automtico. Incremental - PMI

Control interno cruzado

O Auditoria de sistemas

Accin emergente

Las mtricas resultantes deben ser

Analizadas - SAO

Plan de Accin
C, M o Largo Plazo
Modelo de Madurez

Mtricas de Gobierno

Mtricas de Gestin

Mtricas de Administracin

Mtricas Operativas

27

MONITOREO PREDICTIVO

29

www.yanapti.com

31

MEDICION A NIVEL NEGOCIO

Gobierno
Corporativo

Gestin Integral de Riesgos

Gestin

Ejemplo de implementacion

33

Ejemplo de implementacin

Criterios para las metricas

Estratgica
Cuantitativa
Interpretativa
Efectiva (costo)
Verificable
Significativa

til
Indivisible
Clara
Repetible
Oportuna
Pertinente

Implementacin de mtricas

36

ESTRUCTURA JERARQUICA

37

Sistema de Gestin de Mtricas

38

AUDITORIA E
IMPLEMENTACIN DE PNP
www.yanapti.com

Ventajas PNPs
Fuente permanente y formal
Evitan discusiones subjetivas sobre aspectos
procedimentales
Aseguran la continuidad y coherencia de los
procedimientos
Permiten delegar funciones

Limitaciones PNPs

De redaccin
De costo en su produccin y mantenimiento
De actualizacin y efectividad
De alcance formal dejando aspectos informales
pero importantes
De contenido: Sintetizados en exceso pierden
su utilidad. Abundantes en detalles son
complicados de usar

Elaboracin de PNPs
Recopilacin de informacin
Investigacin documental, observacin, cuestionario
y entrevista.

Procesamiento de informacin
Borrador esquemtico, definicin de forma,
uniformidad y consenso de criterios (verbos, tiempos,
persona)
Datos dinmicos en anexos

Redaccin de borrador
Lenguaje, estilo y tiempo a insumir

Elaboracin de grficas y flujos

Elaboracin de PNPs
Formato y Composicin
Numeracin de pginas: correlativo, por secciones,
por documentos
Composicin: mrgenes, sangras, espacios
Encabezado y pie de pagina
Hoja de revisin y aprobacin

Distribucin y control: impreso o digital

Revisin
Planeado, no planeado

Recomendaciones
Revisin de estndares de referencia
Familia 27000

Revisin de la documentacin existente

Revisin del manual de funciones
Definicin de aspectos de forma
Instancias de revisin y aprobacin
Rol del Comit de Sistemas
Rol de las Jefaturas y reas internas

Recomendaciones
El proyecto de PNPs:
Alcance, definicin, responsabilidades, equipo del
proyecto, revisores, plazos

Difusin al negocio
Islas de Poder y zonas grises

La automatizacin de aspectos operativos

RECOMENDACIONES
La norma o reglamento NO recomienda, sino
impone
Se escribe en 3era persona
No hay ETC.

www.yanapti.com

Cartula

Control de Revisin

Propiedad intelectual
ADVERTENCIA!
MATERIAL REGISTRADO COMO PROPIEDAD
LITERARIA
NO COPIE SIN EL PERMISO CORRESPONDIENTE
Se considera este material clasificado como de uso
RESERVADO, debiendo esto significar que no puede
ser de conocimiento por personas ajenas a la
institucin, en forma total o parcial; la violacin de esta
condicin significar una infraccin al Reglamento
Interno en caso de empleados de YANAPTI y una
violacin Legal de Propiedad Intelectual si son personas
ajenas a la Entidad, dejando a discrecin y derecho del
Negocio la prosecucin de las correspondientes
acciones legales para cubrir todos los daos causados.

Encabezado
NORMA

Emisin

Plan de Contingencias

Pgina

4 de 10

Procedimientos Unidad de Sistemas

Gua General de Seguridad
Documento
Generado por: Unidad de Sistemas

Vigencia :

Modificado :

Aprobado por:

Pie de Pgina
Elabor:

Versin 1.0

Revis:

Clasificacin Reservada

Autoriz:

Pgina 2 de 22

Estructura de polticas y normas

Poltica de Seguridad de la
Informacin

Normas usuarias

Normas de D&M

Normas de Produccion

Normas de Gestion

Mesa de
Ayuda

Uso de PC

Mantenimi
ento

Desarrollo

Cambios

Respaldos

Proyectos

Riesgos

Correo
electrnico

Antivirus

Seguridad

Ambientes

Cintotecas

Seguridad
de Redes

Contratos

Planificacin
estratgica

Contrase
as

Intranet /
Internet

Calidad

CPD

Operacion
es

SLA

Licencias

Superusua
rios

Telkey

Adquisicin

Presupuestos

Problemas
incidentes

Dispositivos

Uso de la
Red

Estructura de guas y manuales

Guas de Seguridad de la
Informacin

Guas usuarias

Guas de D&M

Guas de Produccin

Guas de Gestin

Mesa de
Ayuda

Uso de PC

Mantenimi
ento

Desarrollo

Cambios

Respaldos

Proyectos

Riesgos

Correo
electrnico

Antivirus

Seguridad

Ambientes

Cintotecas

Seguridad
de Redes

Contratos

Planificacin
estratgica

Contrase
as

Intranet /
Internet

Calidad

CPD

Operacion
es

SLA

Licencias

Superusua
rios

Telkey

Adquisicin

Presupuestos

Problemas
incidentes

Dispositivos

Uso de la
Red

GESTION DE RIESGOS

www.yanapti.com

GESTIN DE RIESGOS

GESTION DE RIESGOS

Riesgo aceptado, transferencia, eliminacin

Planes de contingencia

Mitigacin
Anlisis cualitativo y cuantitativo
Matriz de Riesgo. Priorizacion

Evaluacin
Amenazas externas e internas. Causa Efecto.
Categorizacin de Riesgos

Identificacin
Apetito al riesgo
Filosofa de Direccin

Contexto
56

POLTICA DE SEGURIDAD

Aspectos de Forma
Aspectos de Fondo
Difusin
Revisin
Propietario

www.yanapti.com

Estructura de polticas y normas

Poltica de Seguridad de la
Informacin

Normas usuarias

Normas de D&M

Normas de Produccion

Normas de Gestion

Mesa de
Ayuda

Uso de PC

Mantenimi
ento

Desarrollo

Cambios

Respaldos

Proyectos

Riesgos

Correo
electrnico

Antivirus

Seguridad

Ambientes

Cintotecas

Seguridad
de Redes

Contratos

Planificacin
estratgica

Contrase
as

Intranet /
Internet

Calidad

CPD

Operacion
es

SLA

Licencias

Superusua
rios

Telkey

Adquisicin

Presupuestos

Problemas
incidentes

Dispositivos

Uso de la
Red

Estructura de procedimientos
Cliente

Mesa de Ayuda

D&M

PRODUCCION

GERENCIA TI

NEGOCIO

Cambios?

Inicio

Si

Atencin de
Solicitud
PROAMA

Comunicacin
del Cliente

Cambios en
Produccin
PROACP

Registro de
la Solicitud

Confirmacin?

Si

Problemas
e Incidentes
PROAPI

Seguridad?

Solucionado?

Plan de
Continuidad del
Negocio
NEGPCN

Si

A
A

Problemas e
Incidentes?

Si

Registro de
la Solicitud

Seguridad
PROASI

Si

Contratos?

Final
Tipo de Solicitud?

Critica

Telecom y
Redes?

B
Normal - A Produccion

No
Desarrollo
mantenimiento

PROADM

Contratos
PROACT

Si

Requiere
Coordinacin?

Normal - Corresponde a DM

Si

Telecom y
Redes
PROATR

Plan de
Contingencias?

Soporte
Tecnico?

Si

Si

Soporte
Tcnico
PROAST

Plan de
Contingencia
PROAPC

Concluido?
Produccin?
Si

Implementa
cin
PROADM

Si

Produccin
PROAPD

Plan de
Continuidad?

Si

Estructura de guas y manuales

Guas de Seguridad de la
Informacin

Guas usuarias

Guas de D&M

Guas de Produccin

Guas de Gestin

Mesa de
Ayuda

Uso de PC

Mantenimi
ento

Desarrollo

Cambios

Respaldos

Proyectos

Riesgos

Correo
electrnico

Antivirus

Seguridad

Ambientes

Cintotecas

Seguridad
de Redes

Contratos

Planificacin
estratgica

Contrase
as

Intranet /
Internet

Calidad

CPD

Operacion
es

SLA

Licencias

Superusua
rios

Telkey

Adquisicin

Presupuestos

Problemas
incidentes

Dispositivos

Uso de la
Red

ESTRUCTURA DE PNPS
Dominio:
Comprende las principales reas, unidades,
funciones o procesos de la unidad de sistemas

Proceso:
Comprende las principales actividades en cada
dominio

Objetivo de Control
Comprende los subprocesos

Tarea
Actividades puntuales

Ejemplo 1
Dominio:
Administracin del Procesamiento de Datos

Proceso:
Backups y restauracion

Objetivo de Control
Inventario de medios

Tarea
Conteo fsico
Evaluacin del estado

Ejemplo 2
Dominio:
Administracin del Desarrollo y Mantenimiento

Proceso:
Pruebas

Objetivo de Control
Pistas de auditoria

Tarea
Registro de nombre, ip, accin

Ejemplo 3
Dominio:
Administracin del Soporte Tcnico

Proceso:
Alta de Dispositivos

Objetivo de Control
Prueba de Funcionamiento

Tarea
Encendido

DECLARACION DE APLICABILIDAD

www.yanapti.com

DECLARACION DE
APLICABILIDAD

www.yanapti.com

INVENTARIO DE ACTIVOS
Datos Generales
Componentes de Hardware y Software
Con costo de activacin
Con ficha de riesgos
Con ficha de mantenimientos
Costo del mantenimiento

Propietarios y uso estimado

ISO 19011

LA NORMA ISO 27002

E1:POLTICA DE SEGURIDAD
POLTICA DE SEGURIDAD DE LA
INFORMACIN
1.1 Documento de la poltica de seguridad de
Informacin
1.2 Revisin de la poltica de seguridad de la
informacin

www.yanapti.com

70

Practica N 1
Para el siguiente elemento defina preguntas
que puede hacer para evaluar el cumplimiento
de los controles.
Preguntas abiertas
Preguntas cerradas
Preguntas sugestivas

www.yanapti.com

E2:ORGANIZACIN DE LA SEGURIDAD V2005

1 ORGANIZACIN INTERNA
1.1 Compromiso de la Direccin con la seguridad de la informacin
1.2 Coordinacin de seguridad de Informacin
1.3 Asignacin de responsabilidades de seguridad de la informacin
1.4 Proceso de autorizacin para instalaciones de informtica
1.5 Acuerdos de confidencialidad
1.6 Contacto con autoridades
1.7 Contacto con grupos de inters especiales
1.8 Revisin independiente de seguridad de la informacin
2 TERCERAS PARTES
2.1 Identificacin de riesgos relacionados con terceras partes
2.2 Direccin de seguridad en contratos con clientes
2.3 Direccin de seguridad en acuerdos de terceros

72

Practica 2
Para el siguiente elemento defina beneficios de
tener los controles sugeridos por la norma.
Asuma que su entrevistado considera que este
elemento no es muy necesario y ha adoptado
una posicin negativa

www.yanapti.com

E3:CLASIFICACIN Y CONTROL DE ACTIVOS V2005

1 RESPONSABILIDAD POR LOS ACTIVOS

1.1 Inventario de activo
1.2 Propiedad de activo
1.3 Uso aceptable de activo
2 CLASIFICACIN DE LA INFORMACIN
2.1.Pautas de clasificacin
2.2.Rotulado y manejo de la informacin

74

Practica 3
Usted sabe por fuentes de terceros que la
empresa ha tenido un problema de
desvinculacin de un funcionario hace 2 meses.
Durante la entrevista trate de llegar a ese punto
de manera indirecta.
Su entrevistado tratara de negarlo o
minimizarlo.

www.yanapti.com

E4:SEGURIDAD DEL PERSONAL V2005

1 ANTES DEL EMPLEO

1.1 Roles y responsabilidades
1.2 Seleccin
1.3 Trminos y condiciones de empleo
2 DURANTE EL EMPLEO
2.1 Responsabilidades de direccin
2.2 Conciencia de seguridad de Informacin, educacin y
entrenamiento
2.3 Proceso disciplinario
3 TERMINACIN O CAMBIO DE EMPLEO
3.1 Responsabilidades de terminacin
3.2 Devolucin de activo
3.3 Retiro de derechos de acceso

76

Practica 4
Para el siguiente punto, se ha definido efectuar
una visita por las instalaciones del entrevistado
Elabore una lista de puntos que deber prestar
especial atencin durante su recorrido.
Recuerde que son visitas guiadas

www.yanapti.com

E5:SEGURIDAD FSICA Y AMBIENTAL V2005

1 REAS SEGURAS
1.1 Permetro de seguridad fsica
1.2 Controles de entrada fsica
1.3 Asegurando oficinas, espacios, e instalaciones
1.4 Proteccin contra amenazas externas y ambientales
1.5 Funcionamiento en reas seguras
1.6 Acceso pblico, entrega, y reas de carga y descarga
2 SEGURIDAD DE EQUIPO
2.1 Ubicacin de equipo y proteccin
2.2 Utilidades de soporte
2.3 Seguridad del cableado
2.4 Mantenimiento de equipo
2.5 Seguridad de equipo fuera de ambientes
2.6 Disposicin segura o reutilizacin de equipo
2.7 Retiro de bienes

78

Practica 5
Tomar un control para desarrollarlo sugiriendo
ejemplos de riesgos en:

Para terceros con un SLA

Planeamiento de la capacidad
Poltica de respaldos
Sistemas de Logs

www.yanapti.com

E6: GESTIN DE COMUNICACIONES Y OPERACIONES V2005

1 PROCEDIMIENTOS Y RESPONSABILIDADES OPERATIVAS

1.1 Procedimientos documentados

1.2 Direccin de cambio
1.3 Segregacin de funciones
1.4 Separacin de desarrollo, prueba, e instalaciones operativas
2 DIRECCIN DE ENTREGA DE SERVICIOS DE TERCEROS
2.1 Entrega de servicio
2.2 Supervisin y revisin de servicios de tercero
2.3 Direccin de cambios en servicios de terceros
3 PLANIFICACIN DEL SISTEMA Y ACEPTACIN
3.1 Direccin de capacidad
3.2 Aceptacin de sistema
4 PROTECCIN CONTRA CDIGO MALICIOSO Y MVIL
4.1 Control contra cdigo malicioso
4.2 Control contra cdigo mvil
5 RESPALDO
5.1 Respaldo de Informacin

80

E6: GESTIN DE COMUNICACIONES Y OPERACIONES V2005

6 DIRECCIN DE SEGURIDAD DE RED

6.1 Controles de red
6.2 Seguridad de servicios de red
7 MANEJO DE MEDIOS DE
COMUNICACIN
7.1 Direccin de medios de
comunicacin mviles
7.2 Disposicin de medios de
comunicacin
7.3 Procedimientos de manejo de la
informacin
7.4 Seguridad de documentacin de
sistema
8 CAMBIO DE INFORMACIN
8.1 Poltica de cambio de Informacin
y procedimientos
8.2 Acuerdos de intercambio
8.3 Medios de comunicacin fsicos
en trnsito
8.4 Mensajera electrnica
8.5 Sistemas de informacin de
negocio

9 SERVICIOS DE COMERCIO
ELECTRNICOS
9.1 Comercio electrnico
9.2 Transacciones En lnea
9.3 Informacin pblicamente
disponible
10 SUPERVISIN
10.1 logs de auditora
10.2 Empleo de sistema de
supervisin
10.3 Proteccin de informacin de
LOGS
10.4 Administrador y LOGS de
operador
10.5 Logs de error
10.6 Sincronizacin de reloj

81

Practica
Plantee diferentes riesgos y amenazas ante:

los sistemas de identificacin tradicional

Las conexiones remotas
Subdivisin de redes
Privilegios de acceso y uso
Responsabilidades del usuario

www.yanapti.com

E7: CONTROL DE ACCESOS

V2005

1 Requerimientos de negocio para el control de accesos

1.1 Poltica de control de accesos
2 Administracin de accesos de usuarios
2.1 Registro de usuarios
2.2 Administracin de privilegios
2.3 Administracin de contraseas de usuario
2.4 Revisin de derechos de acceso de usuario
3 Responsabilidades del usuario
3.1 Uso de contraseas
3.2 Equipos desatendidos en reas de usuarios
3.3 Poltica de Escritorios y Pantallas limpios
4 Control de acceso a la red
4.1 Poltica de utilizacin de los servicios de red
4.2 Camino forzoso
4.3 Autenticacin de usuarios para conexiones externas
4.4 Proteccin de los puertos (ports) de diagnstico remoto
4.5 Subdivisin de redes
4.6 Control de conexin a la red
4.7 Control de ruteo de red

83

E7:CONTROL DE ACCESOS
V2005
5 Control de acceso al sistema operativo
5.1 Procedimientos de conexin de terminales
5.2 Identificacin y autenticacin de los usuarios
5.3 Sistema de administracin de contraseas
5.4 Uso de utilitarios de sistema
5.5 Desconexin de terminales por tiempo muerto
5.6 Limitacin del horario de conexin
6 Control de acceso a las aplicaciones
6.1 Restriccin del acceso a la informacin
6.2 Aislamiento de sistemas sensibles
7 Computacin mvil y trabajo remoto
7.1 Computacin mvil
7.2 Trabajo remoto

84

Practica
Para el siguiente punto elabore la evaluacin de
brechas y riesgos. En funcin de los resultados
obtenidos de mayor riesgo, elabore
recomendaciones para minimizar la brecha.
Utilice las recomendaciones de la ISO para
formularlas.

www.yanapti.com

E8:DESARROLLO Y MANTENIMIENTO DE SISTEMAS

V2005

1 Requerimientos de seguridad de los sistemas

1.1 Anlisis y especificaciones de los requerimientos
de seguridad
2 Seguridad en los sistemas de aplicacin
2.1 Validacin de datos de entrada
2.2 Controles de procesamiento interno
2.3 Autenticacin de mensajes
2.4 Validacin de los datos de salida
3 Controles criptogrficos
3.1 Poltica de utilizacin de controles criptogrficos
3.2 Administracin de claves

86

E8:DESARROLLO Y MANTENIMIENTO DE SISTEMAS

V2005

4 Seguridad de los archivos del sistema

4.1 Control del software operativo
4.2 Proteccin de los datos de prueba del sistema
4.3 Control de acceso a las bibliotecas de programa fuente
5 Seguridad de los procesos de desarrollo y soporte
5.1 Procedimientos de control de cambios
5.2 Revisin tcnica de los cambios en el sistema operativo
5.3 Restriccin del cambio en los paquetes de software
5.4 Canales ocultos y cdigo troyano
5.5 Desarrollo externo de software
6 Gestion de vulnerabilidades Tecnicas
6.1 Control de vulnerabilidades tcnicas

87

Practica
Para el elemento de incidentes, relate un
incidente de seguridad que tenga en la
memoria (prepare el mismo) e ilustre cada
punto de la norma
Incidente de virus
Incidente de intrusin / extrusin
Incidente de interrupcin de telecomunicaciones

www.yanapti.com

E9: GESTION DE INCIDENTES

DE SEGURIDAD V2005
1 Reporte de incidentes y vulnerabilidades de seguridad

1.1 Reporte de incidentes de seguridad

1.2 Reporte de vulnerabilidades de seguridad
13.2 Gestion y correcin de los incidentes de seguridad
13.2.1 Responsabilidades y Procedimientos
13.2.2 Aprendiendo de los incidentes
13.2.3 Recoleccion de evidencias

89

Practica
Para el elemento Continuidad del Negocio,
ilustre cada punto asumiendo la repeticin de
hechos pasados notables
Octubre Negro (La Paz)
Septiembre Negro (Santa Cruz)
Guerra del agua (Cbba)

www.yanapti.com

E10:ADMINISTRACIN DE LA CONTINUIDAD DE LOS

NEGOCIOS V2005

1 Aspectos de la administracin de la

continuidad de los negocios (PAS 56 BS

25999 ISO DRII)
1.1 Proceso de administracin de la continuidad de
los negocios
1.2 Continuidad del negocio y anlisis del riesgo
1.3 Elaboracin e implementacin de planes de
continuidad de los negocios
1.4 Marco para la planificacin de la continuidad de
los negocios
1.5 Prueba, mantenimiento y reevaluacin de los
planes de continuidad de los negocios

91

Practica
Ilustre el siguiente punto relatando el riesgo de:
No tener registros de Propiedad Intelectual en el
software desarrollado
Tener problemas de Propiedad intelectual por el uso
de material propietario: software, imgenes, videos o
msica.
Usar en la empresa servicios webmail y mensajeria

www.yanapti.com

E11:CUMPLIMIENTO V2005
1 Cumplimiento de requisitos legales

1.1 Identificacin de la legislacin aplicable

1.2 Derechos de propiedad intelectual (DPI)
1.3 Proteccin de los registros de la organizacin
1.4 Proteccin de datos y privacidad de la informacin personal
1.5 Prevencin del uso inadecuado de los recursos de procesamiento
de informacin
1.6 Regulacin de controles para el uso de criptografa
2 Revisiones de la poltica de seguridad y la compatibilidad tcnica
2.1 Cumplimiento de la poltica de seguridad
2.2 Verificacin de la compatibilidad tcnica
3 Consideraciones de auditoria de sistemas
3.1 Controles de auditoria de sistemas
3.2 Proteccin de las herramientas de auditoria de sistemas

93

Practica
En funcin del caso de practica, determine:
Que elementos deben tomarse en cuenta
Que Objetivos de Control son mas apropiados dentro
cada elemento.

www.yanapti.com

GRACIAS!!!
www.yanapti.com