• Barajar
    Activar
    Desactivar
  • Alphabetizar
    Activar
    Desactivar
  • Frente Primero
    Activar
    Desactivar
  • Ambos lados
    Activar
    Desactivar
  • Leer
    Activar
    Desactivar
Leyendo...
Frente

Cómo estudiar sus tarjetas

Teclas de Derecha/Izquierda: Navegar entre tarjetas.tecla derechatecla izquierda

Teclas Arriba/Abajo: Colvea la carta entre frente y dorso.tecla abajotecla arriba

Tecla H: Muestra pista (3er lado).tecla h

Tecla N: Lea el texto en voz.tecla n

image

Boton play

image

Boton play

image

Progreso

1/39

Click para voltear

39 Cartas en este set

  • Frente
  • Atrás
Gestión de TI
La gestión de ti es una actividad corporativa que incluye procesos administrativos y técnicos enfocados en el adecuado uso de recursos procesos claros y la generación de valor para el cliente interno y externo.
estándar y normas
apoyan la función de hacer referencia y respaldo de la mejora continua y seguridad de la información
Bss 7799, ISO 27001 y 27000
norma que apoyan los entornos de control tecnológico
bss7799
estándar británico
iso 27002 familia ISO 21000
Emisor Bsi Group
Bss7799 british Standart
standar británico que dió origen a la ISO 27002
emisor es BSI Group
en el año 1995 fue escrita por el departamento de gobierno de comercio industria de Gran Bretaña y convertida en la hizo 17,799 durante la discusión sobre la necesidad de internacionalizar los cuerpos normativos en el año 2005 fue incorporada a la familia 27,000 oficialmente como la hizo 27 minutos
bs7799
nace por la necesidad de internacionalizar los cuerpos normativos
27002 iso
es usado por las organizaciones para seleccionar controles dentro de un proceso de implementación de un sistema de gestión de seguridad de la información basado en ISO 27001 o para desarrollar pautas propias de administración de sistemas de información
27002
mejor concienciación sobre la seguridad de la información mayor control sobre activos información sensible oportunidades de identificación y corrección y otras reglamentaciones
cobit control de objetivos para la información relacionados con la tecnología
un marco de trabajo para el gobierno y la gestión de las tecnologías de la información de una organización su principal promotor se declaró que era un estándar enfocado en la función de auditoría sin embargo hoy se considerará partes como el directorio
principios de COBIT 5
1 satisfacer las necesidades de las partes interesadas mediante indicadores claves de metas y procesos
2 cubre la empresa de extremo extremo transversalidad del mapa de funciones ampliando el enfoque de ti a uno organizaciónal.
3 aplicar un marco de referencia único integrado de standares, normas, y mejores prácticas
4 hacer posible un enfoque holístico con factores mínimos a cumplir para funcionar de una manera optima
5 separar al gobierno de la administración la primera al directorio la segunda a la alta administración bajo el liderazgo del ceo o posición equivalente
conceptos clave cobit
GOBIERNO CORPORATIVO
primero debemos saber qué es el gobierno corporativo el cual se define como el conjunto de responsabilidades y prácticas ejecutadas por la junta directiva y la administración estratégica para asegurar tres cosas
el uso responsable de los recursos objetivos corporativos alcanzables y la administración adecuada de riesgos
GOBIERNO TI
el gobierno está alineado con la estrategia corporativa aportando una mirada de eficiencia y seguridad y agregue valor a la organización mediante la gestión del riesgo tecnológico de infraestructura y del ciclo de vida del sol
GESTIÓN
tiene que ver con planificar construir ejecutar y monitorear actividades en línea con la dirección establecida por los órganos de gobierno a fin de alcanzar los objetivos de la empresa de procesos que sirve para crear y sostener un sistema de gobierno sin embargo no entrega el detalle de la implementación personalizado según la organización
cobit
dominio gobierno y gestión cada dominio con objetivos asociados
gobierno evaluar, orientar y supervisar EDM
el órgano de gobierno evalúa las opciones estratégicas orienta a la alta administración y supervisa el logro de la estrategia respecto a la gestión, objetivo


APO gestión
alinear planificar y organizar
BAI gestión
construir adquirir e implementar
Dss gestión
entregar dar servicios y soporte
Mea gestión
supervisar evaluar Y valorar
QUE NO ES COBIT
no es una descripción del entorno ti de una empresa
no es un marco de referencia para procesos de negocio
no es un marco de referencia para la gestión de la tecnología de una empresa
no es un método de toma de decisiones ni de estimación de costos
l
estándares y normas
estándares y las normas de seguridad estas proporcionan lineamientos comunes usualmente delimitados por los actores relevantes de una industria o entes con dedicación exclusiva a estos asuntos que permiten a las organizaciones tener una base clara y común que comenzará a personalizarse según la necesidad
criterios de selección
criterios de selección pudiesen ser interés nacional infraestructura defensa transporte por ejemplo impacto social construcción educación salud entre otros
RAN
un ejemplo nacional es la comisión para el mercado financiero cmf y la recopilación actualizada de normas de bancos mejor conocida como r a n web obligatorio para bancos y empresas asociadas a los mercados de capitales
estándares
tres los estándares también pueden emanar de organizaciones dedicadas como hizo o de entes estatales y tal como ya comentamos son de adhesión voluntaria
norma
norma obligatoria foco en la operación cumplimiento desde el inicio de la empresa
estándar
estándar adhesión voluntaria foco en la calidad y mejora continua cumplimiento desde el momento que decida la empresa
DIFERENCIA ENTRE NORMA Y ESTÁNDAR
se agregan tres objetivos a la estandarización
simplificación reducción de modelos
unificación
permitir intercambiabilidad internacional
especificación lenguaje claro y preciso
norma y estándar
una norma busca regular la operatividad de una organización desde el inicio de sus actividades mientras que un estándar busca la mejora continua de sus procesos desde un punto en la historia de la empresa que es decidida por ella misma bajo criterioso homologables simples y con un lenguaje claro y poco propenso a errores de identificación
operación de la empresa
las normas Norman la operación de la empresa en términos de seguridad liquidez control de aspectos específicos de una industria entre otros en el ámbito nacional tenemos el caso del ministerio de vivienda y urbanismo que tienen su página web un listado de normas técnicas obligatorias relativas al control de calidad
industria de las tarjetas de pago
PCI - DSS
Nist framework
uno parcial
dos riesgo informado
tres repetibles
cuatro adaptativo
iso 15408
llamada commond criteria
que permite que muchas diferente aplicaciones de software puedan ser integradas y probadas en forma o manera segura
isa Slash y s 62,443
industria del automatización que propone una serie de documentos que establece mejores prácticas y recomendaciones para incrementar la seguridad de los sistemas de control Industrial frente a amenazas cibernéticas
vulnerabilidades
Los criterios para clasificar vulnerabilidades puede incluir la puntuación base del CBSS CÓMO VULNERABILITY SCORING SYSTEM la clasificación del proveedor o el tipo de sistema afectado.
métodos para evaluar
varían según el entorno y la estrategia de evaluación de riesgo de la organización
estrategia de evaluación
entrevista al personal y observe el proceso para verificar lo siguiente
se identifiquen nuevas vulnerabilidades de seguridad
se asigne una clasificación de riesgo a las vulnerabilidades
que identifique todas las de alto riesgo y críticas
los procesos que identifiquen las nuevas vulnerabilidades de seguridad incluyan usar fuentes externas conocidas para obtener información sobre vulnerabilidades de seguridad

clasificación de riesgo
identificar mínimamente toda la vulnerabilidad vulnerabilidades que se consideren de alto riesgo para el entorno
la vulnerabilidades se pueden considerar críticas si supone una amenaza inminente para el entorno si afectan los sistemas o si generan un posible riesgo si no se contemplan
sistemas críticos
sistemas de seguridad los dispositivos y sistemas públicos las bases de datos y otros sistemas que almacenan procesan otras miten datos del titular de la tarjeta clasificar los riesgos por ejemplo alto medio o bajo te permite la organizaciónes identificar priorizar y abordar con más rapidez los puntos de más riesgo y reducir la probabilidad de aprovechamiento
clasificación de la vulnerabilidad de seguridad recientemente descubierta
esta obligación en términos de diseño organizacional implica una línea técnica que ejecute análisis periódicos de vulnerabilidades que pueden ser internos o externos con la colaboración interna tiempo recurso de las unidades dueñas de los activos de información para la resolución
PCI-DSS
payment card industry
en caso de que pese y dss fuera un estándar esta página obligaría la organización a revisar sus unidade y hacer un análisis de capacidad instalada para verificar que sus equipos puedan encargarse de la tarea que implica la resolución de vulnerabilidades de tipo alto por ejemplo las que usualmente no tienen más de 30 días para ser resuelto