Ausejo.net --> Profesional --> Seguridad de la Información --> Políticas de Seguridad

Ausejo.net Políticas de Seguridad

Políticas de Seguridad

Gestión del Riesgo

MAGERIT v1.0 es la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas. Se basa en un conjunto de guías y una herramienta de apoyo denominada RIS2K, existiendo un ejemplo en EXCEL de aplicación de la metodología. El profesor de la UPM, Dr. José Antonio Mañas, ha realizado una herramienta de Análisis y Gestión de riesgos basada en METRICA, denominada Chinchón.

Microsoft publica una Disciplina de Gestión del Riesgo, actualizada en el artículo Identifying and Managing Security Risks. CRAMM, de Insight Consulting, es una metodología de Gestión del Riesgo, de la que existe un Grupo de Usuarios. Puede verse una revisión en SC Magazine.

Métricas

Recientemente se está trabajando en métricas relativas a Seguridad, del OWASP Metrics and Measurement Project , de OWASP.

CISA

Se ha renovado la página web oficial de ISACA, la organización que da soporte al examen CISA. En ella se pùede encontrar información sobre la Certificación CISA, las Guías, estándares y procedimientos y el magazine Global Communiqué. El IT Governance Institute gestiona los objetivos de control COBIT.

Existen varios Capítulos donde puede encontrarse información en Español, como el Capítulo de Chile (que contiene las Guías de Auditoría), el de Panamá, Uruguay y Argentina. El capítulo de Central Indiana mantiene la listas cisaca-l@purdue.edu. Recientemente se ha "revocado" el capítulo de Madrid, pero se está reconstruyendo gracias al personal de la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA). En el marco del III Congreso Iberoamericano de Auditoría y Control de Sistemas de Información CIASI 2001, se celebró el I Encuentro CISAs en España. Existen varias guías de preparación al examen CISA, entre ellas The CISA Prep Guide: Mastering the Certified Information Systems Auditor Exam.

Los distintos Dominios que cubre el CISA actualmente son:

  1. El proceso de Auditoría de Sistemas de Información
  2. Administración, Planificación y Organización de los Sistemas de Información
  3. Infraestructura Técnica y Prácticas Operativas
  4. Protección de los Activos de Información
  5. Recuperación de Desastres y Continuidad de Negocio
  6. Desarrollo, adquisición, implementación y mantenimiento de los Sistemas de Aplicación del Negocio
  7. Evaluación del Proceso de Negocio y Administración del Riesgo

El formato del informe de auditoría viene recogido en las normas Sisa 7 y puede realizarse con algunas técnicas.

  1. Introducción
  2. Objetivos
  3. Alcance
  4. Objetivos
  5. Período de cobertura
  6. Naturaleza y extensión del trabajo de auditoría realizado
  7. Resultados y Hallazgos
  8. Conclusiones
  9. Recomendaciones

Algunos enlaces interesantes sobre auditoría son la Asociación de Auditores y Auditoría y Control de los Sistemas y Tecnologías de la Información y las Comunicaciones (ASIA), y Auditnet. El libro por excelencia de Auditoría de Sistemas de la Información es Information Systems Control and Audit, de Ron Weber.

Políticas de Seguridad

Recuperación de Desastres y Continuidad de Negocio

Plan de contingencias, Plan de Contingencias, Best Practices Checklist, Business Continuity Planning.

Existen varias empresas que recuperan información dañada de medios magnéticos, como por ejemplo ONDATA, SERMAN, King Computer, etc.

Documentación y generación de informes

Todo lo referente a las Políticas de Seguridad implican la generación de mucha documentación y a veces es frecuente realizar traducciones de textos técnicos del Inglés al Español. Para ello se recomienda el Glosario ORCA.


Copyright © agosto 2003 por Rafael Ausejo Prieto.

Validaciones

Valid XHTML 1.1! Valid CSS! Icono de conformidad con el Nivel A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI Etiquetado usando ICRA