- Barajar
ActivarDesactivar
- Alphabetizar
ActivarDesactivar
- Frente Primero
ActivarDesactivar
- Ambos lados
ActivarDesactivar
- Leer
ActivarDesactivar
Leyendo...
Cómo estudiar sus tarjetas
Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda
Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba
Tecla H: Muestra pista (3er lado).tecla h
Tecla N: Lea el texto en voz.tecla n
Boton play
Boton play
39 Cartas en este set
- Frente
- Atrás
Gestión de TI
|
La gestión de ti es una actividad corporativa que incluye procesos administrativos y técnicos enfocados en el adecuado uso de recursos procesos claros y la generación de valor para el cliente interno y externo.
|
estándar y normas
|
apoyan la función de hacer referencia y respaldo de la mejora continua y seguridad de la información
|
Bss 7799, ISO 27001 y 27000
|
norma que apoyan los entornos de control tecnológico
|
bss7799
|
estándar británico
iso 27002 familia ISO 21000 Emisor Bsi Group |
Bss7799 british Standart
|
standar británico que dió origen a la ISO 27002
emisor es BSI Group en el año 1995 fue escrita por el departamento de gobierno de comercio industria de Gran Bretaña y convertida en la hizo 17,799 durante la discusión sobre la necesidad de internacionalizar los cuerpos normativos en el año 2005 fue incorporada a la familia 27,000 oficialmente como la hizo 27 minutos |
bs7799
|
nace por la necesidad de internacionalizar los cuerpos normativos
|
27002 iso
|
es usado por las organizaciones para seleccionar controles dentro de un proceso de implementación de un sistema de gestión de seguridad de la información basado en ISO 27001 o para desarrollar pautas propias de administración de sistemas de información
|
27002
|
mejor concienciación sobre la seguridad de la información mayor control sobre activos información sensible oportunidades de identificación y corrección y otras reglamentaciones
|
cobit control de objetivos para la información relacionados con la tecnología
|
un marco de trabajo para el gobierno y la gestión de las tecnologías de la información de una organización su principal promotor se declaró que era un estándar enfocado en la función de auditoría sin embargo hoy se considerará partes como el directorio
|
principios de COBIT 5
|
1 satisfacer las necesidades de las partes interesadas mediante indicadores claves de metas y procesos
2 cubre la empresa de extremo extremo transversalidad del mapa de funciones ampliando el enfoque de ti a uno organizaciónal. 3 aplicar un marco de referencia único integrado de standares, normas, y mejores prácticas 4 hacer posible un enfoque holístico con factores mínimos a cumplir para funcionar de una manera optima 5 separar al gobierno de la administración la primera al directorio la segunda a la alta administración bajo el liderazgo del ceo o posición equivalente |
conceptos clave cobit
GOBIERNO CORPORATIVO |
primero debemos saber qué es el gobierno corporativo el cual se define como el conjunto de responsabilidades y prácticas ejecutadas por la junta directiva y la administración estratégica para asegurar tres cosas
el uso responsable de los recursos objetivos corporativos alcanzables y la administración adecuada de riesgos |
GOBIERNO TI
|
el gobierno está alineado con la estrategia corporativa aportando una mirada de eficiencia y seguridad y agregue valor a la organización mediante la gestión del riesgo tecnológico de infraestructura y del ciclo de vida del sol
|
GESTIÓN
|
tiene que ver con planificar construir ejecutar y monitorear actividades en línea con la dirección establecida por los órganos de gobierno a fin de alcanzar los objetivos de la empresa de procesos que sirve para crear y sostener un sistema de gobierno sin embargo no entrega el detalle de la implementación personalizado según la organización
|
cobit
|
dominio gobierno y gestión cada dominio con objetivos asociados
gobierno evaluar, orientar y supervisar EDM el órgano de gobierno evalúa las opciones estratégicas orienta a la alta administración y supervisa el logro de la estrategia respecto a la gestión, objetivo |
APO gestión
|
alinear planificar y organizar
|
BAI gestión
|
construir adquirir e implementar
|
Dss gestión
|
entregar dar servicios y soporte
|
Mea gestión
|
supervisar evaluar Y valorar
|
QUE NO ES COBIT
|
no es una descripción del entorno ti de una empresa
no es un marco de referencia para procesos de negocio no es un marco de referencia para la gestión de la tecnología de una empresa no es un método de toma de decisiones ni de estimación de costos l |
estándares y normas
|
estándares y las normas de seguridad estas proporcionan lineamientos comunes usualmente delimitados por los actores relevantes de una industria o entes con dedicación exclusiva a estos asuntos que permiten a las organizaciones tener una base clara y común que comenzará a personalizarse según la necesidad
|
criterios de selección
|
criterios de selección pudiesen ser interés nacional infraestructura defensa transporte por ejemplo impacto social construcción educación salud entre otros
|
RAN
|
un ejemplo nacional es la comisión para el mercado financiero cmf y la recopilación actualizada de normas de bancos mejor conocida como r a n web obligatorio para bancos y empresas asociadas a los mercados de capitales
|
estándares
|
tres los estándares también pueden emanar de organizaciones dedicadas como hizo o de entes estatales y tal como ya comentamos son de adhesión voluntaria
|
norma
|
norma obligatoria foco en la operación cumplimiento desde el inicio de la empresa
|
estándar
|
estándar adhesión voluntaria foco en la calidad y mejora continua cumplimiento desde el momento que decida la empresa
|
DIFERENCIA ENTRE NORMA Y ESTÁNDAR
|
se agregan tres objetivos a la estandarización
simplificación reducción de modelos unificación permitir intercambiabilidad internacional especificación lenguaje claro y preciso |
norma y estándar
|
una norma busca regular la operatividad de una organización desde el inicio de sus actividades mientras que un estándar busca la mejora continua de sus procesos desde un punto en la historia de la empresa que es decidida por ella misma bajo criterioso homologables simples y con un lenguaje claro y poco propenso a errores de identificación
|
operación de la empresa
|
las normas Norman la operación de la empresa en términos de seguridad liquidez control de aspectos específicos de una industria entre otros en el ámbito nacional tenemos el caso del ministerio de vivienda y urbanismo que tienen su página web un listado de normas técnicas obligatorias relativas al control de calidad
|
industria de las tarjetas de pago
|
PCI - DSS
|
Nist framework
|
uno parcial
dos riesgo informado tres repetibles cuatro adaptativo |
iso 15408
|
llamada commond criteria
que permite que muchas diferente aplicaciones de software puedan ser integradas y probadas en forma o manera segura |
isa Slash y s 62,443
|
industria del automatización que propone una serie de documentos que establece mejores prácticas y recomendaciones para incrementar la seguridad de los sistemas de control Industrial frente a amenazas cibernéticas
|
vulnerabilidades
|
Los criterios para clasificar vulnerabilidades puede incluir la puntuación base del CBSS CÓMO VULNERABILITY SCORING SYSTEM la clasificación del proveedor o el tipo de sistema afectado.
|
métodos para evaluar
|
varían según el entorno y la estrategia de evaluación de riesgo de la organización
|
estrategia de evaluación
|
entrevista al personal y observe el proceso para verificar lo siguiente
se identifiquen nuevas vulnerabilidades de seguridad se asigne una clasificación de riesgo a las vulnerabilidades que identifique todas las de alto riesgo y críticas los procesos que identifiquen las nuevas vulnerabilidades de seguridad incluyan usar fuentes externas conocidas para obtener información sobre vulnerabilidades de seguridad |
clasificación de riesgo
|
identificar mínimamente toda la vulnerabilidad vulnerabilidades que se consideren de alto riesgo para el entorno
la vulnerabilidades se pueden considerar críticas si supone una amenaza inminente para el entorno si afectan los sistemas o si generan un posible riesgo si no se contemplan |
sistemas críticos
|
sistemas de seguridad los dispositivos y sistemas públicos las bases de datos y otros sistemas que almacenan procesan otras miten datos del titular de la tarjeta clasificar los riesgos por ejemplo alto medio o bajo te permite la organizaciónes identificar priorizar y abordar con más rapidez los puntos de más riesgo y reducir la probabilidad de aprovechamiento
|
clasificación de la vulnerabilidad de seguridad recientemente descubierta
|
esta obligación en términos de diseño organizacional implica una línea técnica que ejecute análisis periódicos de vulnerabilidades que pueden ser internos o externos con la colaboración interna tiempo recurso de las unidades dueñas de los activos de información para la resolución
|
PCI-DSS
|
payment card industry
en caso de que pese y dss fuera un estándar esta página obligaría la organización a revisar sus unidade y hacer un análisis de capacidad instalada para verificar que sus equipos puedan encargarse de la tarea que implica la resolución de vulnerabilidades de tipo alto por ejemplo las que usualmente no tienen más de 30 días para ser resuelto |