View
3.270
Download
1
Category
Preview:
Citation preview
Reglamento de Medidas de Seguridad según COBIT y UNE-
ISO/IEC 17799Ramón de la Iglesia Vidal
Iván Guardia Hernández
www.auditoriabalear.comwww.auditoriabalear.com
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
2. Reglamento medidas de seguridad
3. Introducción COBIT
4. Introducción UNE-ISO/IEC 17799
5. Reglamento, COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
7. Conclusiones
8. Bibliografía
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
Reglamento de Medidas de Seguridad: Real Decreto 994/1999, de 11 de Julio. Desarrolla la LOPD.
Objetivo: Establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir.
•Los ficheros automatizados:
•Los centros de tratamiento locales
•Equipos
•Sistemas
•Programas
•Personas que intervengan en el proceso
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
La misión y Objetivos de COBIT es Investigar, Desarrollar, Publicitar y promocionar Objetivos de Control de TI internacionales, actualizados a la realidad actual para ser usado por los Gerentes de Negocios y Auditores.
UNE-ISO/IEC 17799, Código de buenas prácticas de la Gestión de la Seguridad de la Información.
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
2. Reglamento medidas de seguridad
3. Introducción COBIT
4. Introducción UNE-ISO/IEC 17799
5. Reglamento, COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
7. Conclusiones
8. Bibliografía
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
2. Reglamento medidas de seguridad
NcN2003NcN2003
Los Niveles de seguridad posibles son los siguientes:
1. Nivel Básico
2. Nivel Medio
3. Nivel Alto
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
2. Niveles de Seguridad
Medidas de seguridad exigibles a todos los ficheros:
• Los accesos por red están sujetas las mismas medidas de seguridad exigibles del nivel de seguridad local.
• El tratamiento de los datos fuera del local será autorizado expresamente por el responsable del fichero.
• Los ficheros temporales se borrarán una vez usados, también se le aplicará el nivel de seguridad pertinente.
• El responsable del fichero elaborará el documento de seguridad.• Las pruebas con datos reales seguirán las medidas de seguridad
pertinentes.
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Medidas de seguridad de nivel BÁSICO:
• Sistema de Registro de incidencias.• Relación actualizada usuarios/recursos autorizados.• Existencia de mecanismos de identificación y autenticación
de los accesos autorizados.• Restricción solo a los datos necesarios para cumplir cada
función.• Gestión de Soportes informáticos con datos de carácter.• Inventariados.• Acceso restringido.• Copias de seguridad semanalmente.
2. Niveles de Seguridad
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
2. Niveles de Seguridad
NcN2003NcN2003
Medidas de seguridad de nivel MEDIO:
• Designación responsables de seguridad.• Auditoría bienal.• Identificación inequívoca y personalizada de usuarios.• Limitación de los intentos de acceso.• Medidas de control de acceso físico.• Registro de entradas y salidas de soportes informáticos.• Impedir la recuperación indebida de información contenida en
soportes desechados o ubicados fuera de su lugar habitual.• Registro de incidencias de las operaciones de recuperación de
datos autorizadas por escrito.
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Medidas de seguridad de nivel ALTO:
• Los soportes para distribución deberán tener la información cifrada.
• Registro de accesos, autorizados y denegados.• Guardar estos registros durante 2 años.• Copias de seguridad guardadas en sitio diferente.• Transmisiones cifradas.
2. Niveles de Seguridad
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
2. Reglamento medidas de seguridad
3. Introducción COBIT
4. Introducción UNE-ISO/IEC 17799
5. Reglamento, COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
7. Conclusiones
8. Bibliografía
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
• COBIT ha sido desarrollado como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las Tecnologías de Información (TI) que provean un marco de referencia para la Administración, Usuarios y Auditores.
• Con más de 22.000 miembros en 100 países, la Asociación de Auditoría y Control en Sistemas de Información ISACA es un líder reconocido mundialmente en control y seguridad de TI.
• Básicamente consta de 4 libros: • Resumen Ejecutivo• Antecedentes y Marco de Referencia• Guías de Auditoría • Herramientas de Implementación
4. Introducción COBIT
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
El Marco Referencia puede ser utilizado por tres grupos:
• ADMINISTRACION:Para ayudarlos a lograr un balance entre los riesgos y las inversiones en control en un ambiente de tecnología de información frecuentemente impredecible.
• USUARIOS:Para obtener una garantía en cuanto a la seguridad y controles de los servicios de tecnología de información proporcionados internamente o por terceras partes.
• AUDITORES DE SISTEMAS DE INFORMACION:Para dar soporte a las opiniones mostradas a la administración sobre los controles internos.
Además de responder a las necesidades de la audiencia inmediata de la Alta Gerencia, a los auditores y a los profesionales dedicados al control y seguridad, COBIT puede ser utilizado dentro de las empresas por el propietario de procesos de negocio en su responsabilidad de control sobre los aspectos de información del proceso, y por todos aquéllos responsables de TI en la empresa.
4. Introducción COBIT
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Los recursos de TI identificados en COBIT son:
• Datos• Aplicaciones.• Tecnología.
Relación de los recursos de TI con respecto a la entrega de servicios
4. Introducción COBIT
NcN2003NcN2003
• Instalaciones.• Personal.
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
4. Introducción COBIT
NcN2003NcN2003
Existen, tres niveles de actividades
de TI al considerar la
administración de sus recursos.
El marco referencial desde tres puntos estratégicos: • Recursos de TI.• Requerimientos de negocio para la información.• Procesos de TI.
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
4. Introducción COBIT
NcN2003NcN2003
En resumen, los Recursos de TI necesitan ser administrados por un conjunto de procesos agrupados en forma natural, con el fin de proporcionar la información que la empresa necesita para alcanzar
sus objetivos.
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
2. Reglamento medidas de seguridad
3. Introducción COBIT
4. Introducción UNE-ISO/IEC 17799
5. Reglamento, COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
7. Conclusiones
8. BibliografíaNcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
• British Standard Institute en 1999 publica BS7799.
• ISO (Organización Internacional de Normalización) y CEI (Comisión Electrónica Internacional) desarrollan ISO/IEC 17799:2000.
• En el 2002, a nivel nacional, el comité espejo AEN/CTN, adapta al castellano la norma ISO/IEC 17799:2000, dando lugar la norma UNE-ISO/IEC 17799.
3. Introducción UNE-ISO/IEC 17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
• UNE-ISO/IEC 17799, Código de buenas prácticas para la Gestión de la seguridad de la Información.
• La aparición de esta normativa de carácter internacional ha supuesto una buena GUÍA para las empresas que pretenden mantener de forma segura sus activos.
• UNE-ISO/IEC 17799:2000 debe ser utilizada como un índice.
• Deja pendiente las especificaciones para la gestión de la seguridad de los sistemas de información.
3. Introducción UNE-ISO/IEC 17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
• La seguridad se caracteriza por:
• Confidencialidad.• Integridad.• Disponibilidad.
• Establecer requisitos de la seguridad:
• Análisis de RIESGOS. Amenazas, vulnerabilidades e impacto.• Requisitos legales.• Objetivos de negocio.
• CONTROLES.
3. Introducción UNE-ISO/IEC 17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
• La seguridad de la organización la divide en diez partes:
• Política de seguridad.• Aspectos organizativos para la seguridad.• Clasificación y control de activos.• Seguridad ligada al personal.• Seguridad física y del entorno.• Gestión de comunicaciones y operaciones.• Control de accesos.• Desarrollo y mantenimiento de sistemas.• Gestión de continuidad del negocio.• Conformidad.
3. Introducción UNE-ISO/IEC 17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
2. Reglamento medidas de seguridad
3. Introducción COBIT
4. Introducción UNE-ISO/IEC 17799
5. Reglamento, COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
7. Conclusiones
8. BibliografíaNcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
• Documento de Seguridad.• Personal: responsabilidades.• Control de accesos.
• Identificación y autenticación.• Acceso físico.• Acceso informático.
• Entrada/Salida de datos.• Gestión de soportes.• Gestión telemática.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
• Trabajo fuera de los locales.• Continuidad del negocio.
• Copias de seguridad.• Registro de incidencias.
• Ficheros auxiliares.• Pruebas con datos reales.• Ficheros temporales.
• Auditoría.
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Documento de Seguridad.• UNE:
• La Dirección es quien marca las pautas de la política de seguridad. Comité.
• La dirección aprueba, publica y comunica a toda la organización.
• Políticas y normas.• Pleno conocimiento.• Responsables de seguridad. Propietario de los datos.• Inventariado y clasificación de los recursos.• Incidencias: notificación, gestión y respuesta.• Copias de respaldo: copias de seguridad, ensayos,
registrando eventos y monitorizando.• Revisiones objetivas periódicas programadas.• Procedimientos formales destrucción de datos.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Documento de Seguridad.• COBIT:
• La dirección marca las pautas, implanta, y controla la política de seguridad.
• Debe existir un modelo de arquitectura de información actualizado y consistente de los datos corporativos y los sistemas de información asociados a ellos.
• Los datos clasificados deben estar acompañados de:• Quién puede tener acceso.• Quién determina el nivel de acceso apropiado.• La aprobación específica requerida para el
acceso.• Contempla, el Plan de Respaldo y Restauración, el
Plan de Disponibilidad y las Funciones de Respaldo • La documentación de control, políticas y
procedimientos debe estar siempre actualizada.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Personal: responsabilidades.• UNE:
• Comité de gestión de seguridad de la información.• Roles de seguridad.• Coordinar la implantación de la seguridad en toda la
Organización.• Contratos formales a terceros.• Responsabilidades individualizadas de los activos.• Proceso de autorización.• La seguridad debería contemplarse desde las etapas de
selección de personal, incluirse en los contratos y seguirse durante el desarrollo de la relación laboral.
• Acuerdos de confidencialidad.• Formación.• Procedimiento disciplinario.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Personal: responsabilidades.• COBIT:
• Se asignarán responsabilidades formales de seguridad, tanto lógica como física de cada uno de los activos.
• Segregación de funciones.• Funciones, responsabilidades, propiedad y perfil del
puesto, respecto a la información por escrito, y si es necesario, firmado por el personal en forma contractual.
• Existe la figura del responsable de seguridad.• Al contrario que el reglamento, los costes de los
controles no deben exceder a los beneficios. • La Gerencia deberá asegurar que las políticas
organizacionales sean comunicadas y comprendidas por todos los niveles de la organización: Formación.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Control de accesos.• UNE:
• Acceso de terceros.• Política de accesos, las reglas y los derechos de cada
usuario o grupo de usuarios.• Monitoreo de accesos.• Identificación y autenticación.
• Todos los usuarios deberían disponer de un identificador único para su uso personal y exclusivo.
• Uso y gestión de contraseñas de usuario.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Control de accesos.• UNE:
• Proceso de autorización.• Seguimiento de accesos y usos del sistema.• Registro de incidencias.• Acceso físico.
• Perímetro de seguridad física.• Controles físicos de entradas.• Seguridad de instalaciones, despachos y recursos.
• Acceso informático• Gestión de privilegios.• Sincronización de relojes.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Control de accesos.• COBIT:
• Identificación y autenticación.• “El acceso lógico y el uso de los recursos de TI
deberá restringirse a través de la instrumentación de un mecanismo adecuado de autenticación de usuarios identificados y recursos asociados con las reglas de acceso.”
• Las Guías presentan mínimas reglas de passwords, políticas de seguridad y el acceso de los sistemas de información y del control del acceso reiterado.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Control de accesos.• COBIT:
• Acceso físico.• Establece claramente la necesidad de apropiadas
medidas de seguridad física y control de acceso.• Pide la Discreción de las Instalaciones de
Tecnología de Información.• Concreta los detalles en las Guías.
• Acceso informático.• Propiedad y custodia de los datos.• Administración Centralizada de Identificación y
Derechos de Acceso.• Limita el acceso a la “necesidad de conocimiento”• Revisión Gerencial de Cuentas de Usuario .• Las Guías especifican los “Reportes” sobre accesos
al sistema, tanto positivos como negativos. Nada de cuales a registros, genérico.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Entrada/Salida de Datos.• UNE:
• Gestión de soportes.• Inventario de activos.• Marcado y tratamiento de la información.• Extracción de pertenencias.• Utilización de la información.• Eliminación de soportes.• Seguridad de soportes en tránsito.• Controles criptográficos.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Entrada/Salida de Datos.• UNE:
• Gestión telemática.• Controles de red.• Seguridad de los servicios de red Autenticación.• Segregación en las redes.• Controles criptográficos.• Firmas, no repudio.• Seguridad del correo electrónico.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Entrada/Salida de Datos.• COBIT:
• Gestión de soportes.• No especifica tantos detalles de catalogación.• Sí que vigila los controles de E/S de soportes.• Sigue siendo muy riguroso en tema de
autorizaciones.• Protección de información sensible durante
transmisión y transporte.• Protección de información crítica a Ser
Desechada.• La información sensitiva es enviada y recibida
exclusivamente a través de canales seguros.• Administración de Llaves Criptográficas.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Entrada/Salida de Datos.• COBIT:
• Gestión telemática.• Exige: Identificación, Autenticación y Acceso.• Seguridad de Acceso a Datos en Línea.• Control de Operaciones Remotas.• Transmisiones a través de túneles cifrados.• Las guías contemplan las configuraciones del
firewall.
5. Reglamento, COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Trabajo fuera de los locales.• UNE:
• Proceso de autorización de recursos para el tratamiento de la información.
• Informática móvil.• Teletrabajo.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Trabajo fuera de los locales.• COBIT:
• No se recomienda el tratamiento de datos de carácter personal fuera de los locales.
• Se debe respetar la cadena de responsabilidades.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Continuidad del negocio.• UNE:
• Gestión de continuidad del negocio.• Continuidad del negocio y análisis de impactos.• Prueba, mantenimiento y reevaluación de los planes
de continuidad.• Copias de seguridad.
• Recuperación de la información.• Soportes y recuperación.• Diarios de operación.
• Registro de incidencias.• Comunicación, registro, gestión y respuesta de
fallos e incidencias.• Aprendiendo de las incidencias.• Procedimiento disciplinario.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Continuidad del negocio.• COBIT:
Plan de Continuidad de T.I.• Copias de seguridad.
• Existe una figura responsable para ello.• Punto de control de Respaldo y Restauración.• Almacenamiento de Respaldos , tanto dentro
como fuera de las instalaciones. • Contempla en el Plan de continuidad
Procedimientos de respuesta definidos para regresar al negocio al estado en que se encontraba antes del incidente o desastre.
• Calendarización de Trabajos (Backups).• Centro de cómputo y Hardware de Respaldo.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Continuidad del negocio.• COBIT:• Registro de incidencias.
• La Gerencia deberá implementar la capacidad de manejar incidentes de seguridad.
• Se debe tener un claro sistema de Gestión de Problemas: Formularios, procedimientos de notificación, respuesta, solución implantada...
• Pistas de auditoría que permitan el seguimiento de las causas a partir de un incidente.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Ficheros auxiliares.• UNE:
• Pruebas con datos reales.• Separación de los recursos para desarrollo y para
producción.• Protección de los datos de prueba del sistema.
• Ficheros temporales.• La UNE no contempla los ficheros temporales. Se
puede aplicar las mismas guías expuestas para los ficheros de prueba.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Ficheros auxiliares.• COBIT:
• Pruebas con datos reales.• La exposición de la información sensible que se
utiliza durante las pruebas de la aplicación se reduce ya sea con limitaciones severas de acceso o la despersonalización de los datos históricos.
• Más claro en el “CISA Review Manual”. Importancia de la separación de los datos de producción de los de desarrollo.
• Ficheros temporales.• No comentado en CobiT.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Auditoría.• UNE:
• Revisiones regulares de la política de seguridad y de la conformidad técnica.
• Conformidad de la dirección con la política de seguridad. • Minimizar el riesgo de interrupción de los procesos de
negocio y recursos.• Protección de las herramientas de auditoría de sistemas.
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Auditoría.• COBIT:
• Auditoría interna y externa. Complementación.• Monitoreo y Reporte de Control Interno.• Proveer auditoría Independiente (M 4).
• Estatutos de Auditoría • Independencia• Ética y Estándares Profesionales
• El Reporte se destina a la Gerencia
5. Reglamento,COBIT y UNE-ISO/IEC17799
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
2. Reglamento medidas de seguridad
3. Introducción COBIT
4. Introducción UNE-ISO/IEC 17799
5. Reglamento, COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
7. Conclusiones
8. BibliografíaNcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
NcN2003NcN2003
• Herramientas de documentación, formularios y workflow:• Lotus Domino.• Visio.
• Organigrama de las responsabilidades, funciones y recursos.
• Sistemas de correo cifrado y firmado:• Eudora + GnuPG.• Outlook + certificado digital de una autoridad certificadora.
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
NcN2003NcN2003
• Herramientas de encriptación y firmado de discos y ficheros: • WinPT.• PGPDisk.
• Seguridad en redes:• Túnel cifrado: sftp, pop3s.• VPN.
• Continuidad de negocio:• Sistemas RAID: mirroring.
• Hardware.• Software.
• Copias de respaldo periódicas.• Copias de transacciones incrementales.
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
NcN2003NcN2003
• LOGs:• A nivel de aplicación.• A nivel intermedio.• A nivel de SGBD: Oracle 9i.
• Borrados seguros:• Wipe.• Desmagnetizadores.• Destructoras de papel.
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
2. Reglamento medidas de seguridad
3. Introducción COBIT
4. Introducción UNE-ISO/IEC 17799
5. Reglamento, COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
7. Conclusiones
8. BibliografíaNcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
• COBIT y UNE-ISO/IEC 17799 no son excluyentes.
• No te aseguran cumplir el reglamento.
• Son marcos de referencia.
• UNE-ISO/IEC 17799 usa un lenguaje mas próximo al reglamento.
• COBIT sigue una filosofía de control norteamericana.
• Existen soluciones viables.
• El registro de accesos es el punto más conflictivo.
7. Conclusiones
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
1. Introducción
2. Reglamento medidas de seguridad
3. Introducción COBIT
4. Introducción UNE-ISO/IEC 17799
5. Reglamento, COBIT y UNE-ISO/IEC 17799
6. Soluciones practicas
7. Conclusiones
8. BibliografíaNcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
• Real Decreto 994/99 de 11 de junio. Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal.
• Ley Orgánica 15/99 de 13 de Diciembre, de Protección de Datos de Carácter Personal.
• UNE-ISO/IEC 17799 (Tecnología de la Información: Código de buenas prácticas para la Gestión de la Seguridad de la Información).
• UNE 71501-1/-2/-3. Tecnología de la Información.• CobiT (Objetivos de Control para la Información y Tecnologías).• CISA Review Manual 2003 de ISACA.• Information Systems Control and Audit, Ron Weber, Prestice Hall.• Real Decreto 195/2000 de 11 de febrero por el que se establece el
plazo para implementar las Medidas de Seguridad de los Ficheros Automatizados previstas por el Reglamento aprobado por el R.D. 994/1999 de 11 de junio.
8. Bibliografía
NcN2003NcN2003
Reglamento de Medidas de Seguridad según COBIT y UNE-ISO/IEC 17799
Auditoría Informática Auditoría Informática BalearBalear
www.auditoriabalear.comwww.auditoriabalear.comNcN2003NcN2003
Iván Guardia HernándezRamón de la Iglesia Vidal
COPYRIGHT ® 2003 derechos de modificación reservados.
Recommended