1 ¿Cómo evaluar la seguridad de la información? Tercer seminario sobre Política de Seguridad de la Información Yuko Shiraishi JICA expert team 23_25 de septiembre de 2014

2 Contenido ¿Qué es una auditoría? 2.1 Práctica 3 Evaluación por auditoría 2 ¿Cómo evaluar la política? 1 2 ¿Quién realiza? 2.2 Ambiente para una auditoría 2.3 Métodos a utilizar 2.4

3 1. ¿Cómo evaluar la política?

4 4 Si ocurrió un incidente Hay Política? No se ha cumplido Hay que formular una nueva política Revisar la política Hay que buscar verdadera causa no SíSí

5 5 Validez de la política Hay Política? No se ha cumplido Hay que formar nueva política Revisar la política no

6 6 Conformidad de la política Hay Política? No se ha cumplido Hay que formar nueva política Revisar la política Hay que buscar verdadera causa SíSí

7 Para prevenir un incidente 7 Hay Política? No se ha cumplido Hay que formar nueva política Revisar la política no 1) Verificar validez de la política 2) Verificar comformidad de la política SíSí

8 Verificación de la validez de la política 8 Política Comparar con estandares/modelos de referencia (ISO27001, buenas prácticas de la industria, etc) los controles Requerimientos generales Verificar conformidad según el análisis de riesgo Verificar si hay medidas contra amenazas recientes Requerimientos específicos de organismo

9 Se confirmará en un entorno real o simulado que los requisitos para el uso y aplicación del producto ha sido totalmente cumplido y conforme de acuerdo a la intención de las partes interesadas, mediante la presentación de evidencias objetivas tales como el resultado de la observación, la medición y pruebas. ISO9000 dice de conformidad 9 Muy importante conservar evidencias ISO 9000 es un conjunto de normas sobre calidad y gestión de calidad ISO9000 validación

10 10 ISO27001 dice que 10.1 No conformidad y acciones correctivas Cuando se produce una no conformidad, la organización deberá: a) reaccionar a la no conformidad, y según sea el caso: 1) tomar medidas para controlar y corregirlo; y 2) hacer frente a las consecuencias; b) evaluar la necesidad de acciones para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir 10.1 No conformidad y acciones correctivas Cuando se produce una no conformidad, la organización deberá: a) reaccionar a la no conformidad, y según sea el caso: 1) tomar medidas para controlar y corregirlo; y 2) hacer frente a las consecuencias; b) evaluar la necesidad de acciones para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir ISO27001 2013

11 Conformidad y efectividad 11 Hay Política? Se ha cumplido Hay que formar nueva política Revisar la política no SíSí Es efectivo SíSí SíSí no Comformidad y efectividad aprovada

12 ¿Cómo evaluar la política? 12 Evaluación de la política Autoevaluación Auditoría interna Auditoría externa Test de intrusión Análisis forense

13 Auto evaluación de IPA Security IPA （ INFORMATION-TECHNOLOGY PROMOTION AGENCY) （ http://www.ipa.go.jp/security/english/benchmar k_system.html http://www.ipa.go.jp/security/english/benchmar k_system.html Una herramienta de autoevaluación para comprobar el nivel de medidas de seguridad de la empresa Responder preguntas sobre perfil de la empresa y 27 artículos de contramedidas de seguridad. 13

14 Otros ejemplos de autoevaluación Grupo de Trabajo SIRA – https://formsira.rediris.es/BIEN!!! https://formsira.rediris.es/ – El Grupo de Trabajo SIRA (Grupo de Trabajo de Seguridad Informática en la Red Académica) – http://www.rediris.es/cert/tareas/actividades/sira/ http://www.rediris.es/cert/tareas/actividades/sira/ – Basado en ISO27001:2005 PCI(Payment Card Industry (PCI) – http://www.pcihispano.com/publicadas-las-nuevas- versiones-de-los-cuestionarios-de-auto-evaluacion-saq- de-pci-dss/ https://www.pcisecuritystandards.org/documents /SAQ_A-EP_v3.pdf 14

15 2. Evaluación por auditoría (1) ¿Qué es una auditoría?

16 ¿Qué es una auditoría? 16 AspectosConcepto Observaciones QuíenAuditores cualificados en especial-Auditor de las instituciones públicas -Contadores públicos, -Auditor interno De acuerdo con Las normas establecidas oficialmente en las organizaciones Sin normas de criterio, no se puede realizar una auditoría PosiciónUn estado independiente Cómo audita Examinar por un método conforme a las normas oficiales de auditoría Se debe cumplir las normas auditoras Finalmente expresa La conclusión como la opinión pública de auditoría Qué fuerza tiene la opinión Tiene autoridad pública, al mismo tiempo se requiere asumir la responsabilidad pública del auditor sobre la opinión manisfestada

17 Conceptos importantes 1.Criterio de auditoría – Una serie de políticas, procedimientos, o requerimientos para ser utilizado como una base para la comparación con la evidencia de auditoría 2.Evidencia de auditoría – Información, registro, descripción de los hechos o otros datos que en relación con los criterios de auditoría se puede verificar 17

18 Tipos de las auditorías (qué audita) 18 Examina registro contable de los estados financieros Auditoría Financiera Se centra en si se llevan a cabo de acuerdo con las reglas oficiales internas y externas (reglas de funcionamiento interno, leyes y reglamentos, etc). Auditoría de Cumplimiento Examinan si cada trabajo se realiza de una manera eficiente y eficaz por las instituciones auditadas, Auditoría Operacional Audita los resultados del proyecto y el impacto del proyecto. Auditoria de Rendimiento

19 ¿Qué hace auditoría de seguridad? Un examen de validez de la política – Certificación para ISO27001 Un examen y validación del cumplimiento de los controles y procedimientos establecidos de acuerdo al análisis de riesgo Efectividad de implementación de la política Evaluación de la confidencialidad, integridad y disponibilidad de activos 19

20 SGSI? ISO27001? ISO27002? Un estándar para la seguridad de la información (Sistema de Gestión de Seguridad de la Información) 14 dominios 113 controles 14 dominios 113 controles PHVA (PDCA) Liderazgo Análisis de riesgo Confidencialidad Integridad Disponibilidad PHVA (PDCA) Liderazgo Análisis de riesgo Confidencialidad Integridad Disponibilidad ISO27001 9. Control de acceso 10. Criptografía 9. Control de acceso 10. Criptografía SGSI Anexo A una guía de buenas prácticas 14 dominios 113 controles ISO27002 9. Control de acceso objectivo lineamiento 10. Criptografía objectivo lineamiento 9. Control de acceso objectivo lineamiento 10. Criptografía objectivo lineamiento Más detallada y precisa 20

21 Cumpliemiento de todos los requerimientos un estándar para la seguridad de la información (Sistema de Gestión de Seguridad de la Información) 14 dominios 113 controles 14 dominios 113 controles PHVA (PDCA) Liderazgo Análisis de riesgo Confidencialidad Integridad Disponibilidad PHVA (PDCA) Liderazgo Análisis de riesgo Confidencialidad Integridad Disponibilidad 9. Control de acceso 10. Criptografía 9. Control de acceso 10. Criptografía SGSI Anexo A una guía de buenas prácticas 14 dominios 113 controles 9. Control de acceso objectivo lineamiento 10. Criptografía objectivo lineamiento 9. Control de acceso objectivo lineamiento 10. Criptografía objectivo lineamiento Más detallada y precisa ISO27001 ISO27002 21

22 Objetivo de auditorías Dar confiabilidad de la seguridad – A partes interesados – A propia organización Descubrir oportunidades de mejora a la dirección de la organización 22 Rendición de cuentas Para lograr el objetivo de la organización y el resultado planificado

23 ¿Cómo la realizan? Revisan la realización de controles y gestiones adecuadas y correctas de seguridad de la información, científicamente – Documentación (procediminentos, lineamientos, logs, registros) – Revisan los hechos (usuarios) – Revisan qué es adecuado y correcto 23 Muy importante conservar los documentos para demostrar que no solo está escrito en la política sino que está efectivamente implementado y mantenido

24 Dónde estamos Formular directiva/lineamiento Aplicar medidas Monitorear y Revisar Actuar Plan ISMS (SGSI) Modificar y mejorar Planear Hacer Verificar 24

25 Estamos aquí Formular directiva/lineamiento Aplicar medidas Monitorear y Revisar Plan ISMS (SGSI) Modificar y mejorar Después de evaluar, hay que modificar y mejorar Actuar Planear Hacer Verificar 25 el primer día de seminario estábamos revisando los lineamientos y las formas de monitoreo. Hoy estamos con la evaluación.

26 ¿Por qué PHVA? Porque las tácticas de los ataques cambian Porque el entorno de sistema cambia – Versión de aplicativo – Función de sistema – Expanción de sistema – Introducción de nuevos equipos Porque las medidas no han sido apropiadas Un personal se ha ido, otro nuevo ha ingresado No analizó bien el impacto de introducir la política al desarrolo de trabajo real 26

27 Auditoría interna vs. externa [Méritos] Conoce mejor las tareas y trabajos Menos costoso [Demeritos] Dificil señalar las vulnerabilidades o requisitos no comformes [Méritos] No tiene interés Independiente Facil s eñalar sugerencias [Demeritos] Costoso No sabe bien de servicios o funciones de negocio 27 Interna Externa

28 Madurez de seguridad 28 no está impleme ntado sólo una parte de ella está implement ada. Diseminado pero la situación de la aplicación no ha sido revisada. constante mente revisados por los responsa bles refleja de forma dinámica los cambios de entorno de seguridad. Diseminado y implementado No hay política

29 ¿Cuál es mejor? [Ejemplo] Promover la conciencia de los empleados hacia seguridad [Ejemplo] La madurez de la seguridad es muy avanzada Aprovechar la presión externa para facilitar la evaluación de conformidad 29 Interna Externa

30 Diferencia de auditor de sistema Evalua las funciones del sistema de inforamción La eficiencia de la inversión en el sistema de información es adecuada El sistema está construida y/o mantenido de acuerdo con el propósito de la organización Confiabilidad, seguridad y eficiencia de los sistemas de información estará garantizada Ciclo de vida del sistema Evalua los activos de información cuya gestión la entidad responsabiiza Los activos de seguridad están administrados y usados de acuerdo con la política o normas. La confidencialidad, integridad y disponibilidad de los activos están aseguradas Ciclo de vida de los activos de la información 30 Auditoría de sistema Auditoría de seguridad

31 Plan de auditoría 31 5W1HPlanObservaciones QuéObjetivos de la auditoríaPrevención de Información de fugas, prevenir el acceso no autorizado, y demás CuándoEl período de implementación de la auditoría Por quéMotivo de auditoría -Revisión de controles -Incrementos no previstos de costos. -Obligaciones Legales CómoEstructura administrativa de auditoría DóndeEl alcance y la necesidad de la auditoría, Presupuesto - Auditoría de confidencialidad - Auditoría de sistema de red - Conformidad de políticas QuiénResponsable de auditoríaQuién es responsable

32 2. Evaluación por auditoría (2) Quién realiza una auditoría

33 Tipos de las auditorías 33 Auditorías internas Realizada por un departamiento de la propia organización pero debe ser independiente del auditado Las auditorías de primera parte Realizada por las partes que tienen interés en la organización, por ejemplo los clientes, u otras personas en su nombre Las auditorías de segunda parte Realizada por una organización auditora externa e independiente, como por ejemplo las que ofrecen registro o certificación de conformidad con los requisitos de una norma de ISO27001 Auditoría de tercera parte

34 Auditor? Auditado? 34 Organización Externa Clientes No hay interés Hay interés Las auditorías de 1ª parte Las auditorías de 2ª parte Las auditorías de 3ª parte Auditado (Auditor) Auditor

35 Es usted ? useted 1 4 5 2 3 6 integro 35

36 Es usted ? 1 4 5 2 3 6 integro ecuánime useted 36

37 Es usted ? 1 4 5 2 3 6 integro ecuánime cuidado useted 37

38 Es usted ? 1 4 5 2 3 6 integro ecuánime cuidado confidencial useted 38

39 Es usted ? 1 4 5 2 3 6 integro ecuánime racional cuidado confidencial useted 39

40 Es usted ? 1 4 5 2 3 6 objetivo integro ecuánime racional cuidado confidencial useted 40

41 Felicidades!!! Es usted un auditor ideal. 41

42 6 Principios de la auditoria Integridad – El fundamento de la profesionalidad Presentación ecuánime – La obligación de informar con veracidad y exatitud Debido cuidado profesional – La aplicación de diligencia y juicio al auditar Confidencialidad – Seguridad de la información 42

43 6 Principios de la auditoria Enfoque basado en la evidencia – El método racional para alcanzar conclusiones de la auditoria fiables y reproducibles en un proceso de auditoria sistemático Independencia – La base para la inparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría 43 (ISO 19011´2011)

44 Buena auditoría, o no? 44 El auditor comparó y verificó la conformidad con los requisítos. Finalmente indicó las partes no cumplidas y persentó hallazgos.

45 Buena auditoria, o no? 45 No es suficiente mostrar solo los incumplidos Los auditores deberian darles las recomendaciones y asesoramientos Hay que mostrar las verdaderas causas de los problemas y las mejores propuestas para solucionarlos

46 2. Evaluación por auditoría (3) Un ambiente para una auditoría

47 Si el empleado dice 47 [empleado] -Perdón, se me olvidó registrar la información.

48 Cómo respondería usted? 48 [usted] 1.Qué cosa! Cómo puedes olvidarlo, y más que falta muy poco para la auditoría!!! 2.Qué raro que se te haya olvidado! Dime si te ha pasado algo. [empleado] -Perdón, se me olvidó registrar la información

49 Si no hay confianza 49 No hay confianzaLa gente oculta la informaciónFalta de información correcta No hay mejoras continuas sin evaluación correcta No hay desarrollo de organismo sin mejoras continuas Un entorno ideal es donde se pueda discutir e informar situación real y sin miedo

50 Entorno problemático Cuando no se sabe la verdadera causa Solo hay castigos El auditor busca para cumplir su obligación Los auditados se sienten desgraciados por recibir evaluación “no conformidad” y ocultan por miedo los problemas existentes para lograr una buena evaluación – Pasa lo mismo en el chequeo médico 50

51 Evaluar la necesidad de acciones para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir ni se produzcan en otros lugares, a través de: 1) La revisión de la no conformidad 2) Determinar las causas de la no conformidad 3) Determinar si existen no conformidades similares Evaluar la necesidad de acciones para eliminar las causas de no conformidad, con el fin de que no vuelva a ocurrir ni se produzcan en otros lugares, a través de: 1) La revisión de la no conformidad 2) Determinar las causas de la no conformidad 3) Determinar si existen no conformidades similares Las acciones correctivas 51 (ISO 27001 10.1 b) Los auditores tienen que determinar las causas

52 2. Evaluación por auditoría (4) Herramientas a utilizar

53 Métodos a Utilizar 53 Revisión documental Entrevista Observación directa de los sitios de interés Cuestionario

54 Preguntas cerradas/abiertas Preguntas cerradas – Sí o no – Se emplea para verificar los hechos – No se emplea para preguntar Preguntas abiertas – Se emplea para verificar el grado de entendimiento o problemas – “¿Me puede explicar brevemente la política de su entidad?” 54

55 Ejemplos de preguntas PreguntasCerradaAbierta Pregunta sobre entendimiento ¿Entiende el procedimiento? ¿Me puede explicar el procedimiento? Verificación de implementación actual ¿Está implementando el procedimiento? ¿Me puede mostrar cómo implementa? ¿Me puede mostrar el registro de implementación? ¿Me puede mostrar el lugar de implementación? Verificación de problemas¿Hay algún problema en el procedimiento? ¿Si no cumple el procedimiento, qué va a pasar? ¿Entiende la vulnerabilidad de la seguridad? “Qué medidas adicionales hay después de analisis de riesgo ” 55

56 Herramienta más poderosa Lista de chequeo Verificar la suficiencia y cumplimiento de todos los parámetros de seguridad tanto física como lógica en la organización. 56

57 Lista de chequeo Meritos – Se puede estandarizar la auditoría – Más efectivo – Guarda como evidentcia de auditoría – Mejorar la calidad de autitoría – Válido para verificar conformidad Demeritos – Se ignoran otras actividades que no están en la lista – No es válido para comprobar la efectividad de la política 57

58 Ejemplo de lista de chequeo 58 Item a evaluar actividades auditorías a efectuar Datos auditoriosMétodos Eemplo de procedimiento e implementación auditoría ELIMINACIÓN SEGURA O LA REUTILIZACIÓN DE LOS EQUIPOS ¿Los dispositivos de almacenamiento que contienen información sensible son destruidos o reutilizados de forma segura? -registro de destrucción -registro de reutilización -informe de actividades del personal -revisión documental -entrevista con los responsables de seguridad - visitas a los sitios de eliminación y reutilización -Verificar el procesamiento de destrucción de forma segura -Comprobar cuál es la eliminación de forma segura

59 Ejemplo de lista de chequeo 59 Item a evaluar-Actividades auditorías a efectuar Datos auditoriosMétodos Ejemplo de procedimiento e implementación auditoría Los controles de acceso para restringir la divulgación no autorizada, modificación o destrucción de información, incluyendo los controles de acceso físico y lógico, los procedimientos para otorgar, revisar, actualizar y revocar el acceso a los sistemas, datos e instalaciones.

60 Ejemplo de lista de chequeo 60 Item a evaluar actividades auditorías a efectuar Datos auditoriosMétodos Eemplo de procedimiento e implementación auditoría Los controles de acceso para restringir la divulgación no autorizada, modificación o destrucción de la información, incluyendo los controles de acceso físico y lógico, los procedimientos para otorgar, revisar, actualizar y revocar el acceso a los sistemas, datos e instalaciones. -registro de control de acceso -contrato con outsorcing -documento de procedimientos -revisión documental -entrevista con los responsables de seguridad -entrevista con los contratistas -Por medio del cuestionaio, preguntar al personal de prodimiento sobre cotrol de acceso - Comprobar si en realidad no se puede divulgar, modifacar ni destruir la información.

61 61 Ejemplo de lista de chequeo

62 2. Qué es una auditoría (5) Final de la auditoría

63 Finalización de la auditoría Informe de auditoría Revisión gerencial – Presentación de informes para la revisión gerencial – El objetivo de la auditoría interna es dar consejos y asesoramiento a la alta dirección para la continua mejora del organismo 63

64 La alta gerencia debe revisar el sistema de gestión de seguridad de la información de la organización en intervalos planificados para asegurarse de su conveniencia, adecuación y eficacia. Revisión de gestión 64 (ISO 27001 9.3)

65 ¿Cómo superar las dificultades de aplicación de política? El palo y la zanahoria – No solamente sanción y castigo, sino otorgar premios, recompensas para el cumplimiento, pronto reporte de incidencia, y demás Capacitación sobre impactos (daños) que causan las amanazas – Explicación de la razón de cada norma 65 http://www.ehowenespanol.com/teoria-del- palo-zanahoria-hechos_391407/

66 Cómo evaluar con herramientas

67 iLogScanner V3.0 Analiza log de Apache para verificar los ataques – SQL Injection – OS Command Injection – Directory traversal – XSS En Japones http://www.ipa.go.jp/security/vuln/iLogScanner/ articles.html#top http://www.ipa.go.jp/security/vuln/iLogScanner/ articles.html#top 67

68 Website Reputation Checker Tool www.urlvoid.com/ (IP no válido) 68

69 Herramienta de comprobación de configuración SSL 69 https://sslcheck.globalsign.com/es

70 Resultado del mismo https://sslcheck.globalsign.com/es/sslcheck?host=sslcheck.globalsign.com#108.162.232.194 70

71 SugarSync https://sslcheck.globalsign.com/es/sslcheck?host=app.sugarsync.com#74.201.86.55 71

72 Herramientas gratis vulnerabilidad LAPSE+ – http://evalues.es/?q=node/14 https://code.google.com/p/lapse- plus/downloads/detail?name=LapsePlus_2.8. 1.jar&can=2&q= 72

73 How to 1.Descargar LapsePlus_2.8.1.jar – http://evalues.es/?q=node/1 http://evalues.es/?q=node/1 2.Colocar el archivo jar bajo al directorio de “plugins” Eclipse 3.Colocar los fuentes de programa al Eclipse 73

74 74

75 75

76 76

77 Ejecutar 77

78 Analisis 78

79 Vamos a practicar

80 10 amenazas más graves 2014 80 amenazasriesgo prioridad 1Espionage e inteligencia a la organización usando el correo electrónico dirigido Robo de informaión confidencial 2Login, uso no autorizadoRobo de informaión Robo de dinero 3Alteración de página WebEscala Robo de informaión 4Fuga de información de usuarios a través de servicio web Robo de informaión 5Transferencia bancaria no autorizadoRobo de dinero 6Instalación de software malicioso en smartphoneRobo de informaión 7Publicación de información al SNS (facebook, twitter, etc) Mala fama y impresión de organización 8Fuga de información debido a la pérdida o configuración no adecuada Robo de informaión 9fraude y amenaza por virus ( encriptación de información de usuarios) Solicitud de dinero 10Denegación de servicioPerjuicio de negocio

81 Formulario2_ Análisis de 10 amenazas.doc 81 No. amenazasriesgo tomar medida s RazónMedidas actuales Nuevas medidas a tomar priori dad Costo de daños 1 Espionage y inteligencia a la organización por el correo electrónico objetivo Robo de informaión confidencial Si / No 2 El login o el uso no autorizado Robo de informaión Robo de dinero Si / No 3 Alteración de página Web Escala Robo de informaión Si / No 4 Fuga de información de usuarios a través de servicio web Robo de informaión Si / No

82 82 Formulario3_Informe de auditoria.doc Informe de auditoria interna Sección Nombre Tipo[periódico / cuando necesario]Fecha Actos detectados ISO num. Correspondiente Razón de no conformidad, No conformidad[Grave / Leve]Sugerencia[si / no]

83 End

84 Qué es PDCA Act Plan ISMS (SGSI) Formular directiva/lineamiento Aplicar medidas Modificar y mejorar PlanDo Check Monitorear y Revisar 84

85 Para que es la discusion en el seminario Para que son los seminarios tecnicos – Solo para capacitacion de personal Hay que aplicar el conocimiento a la formulacion de politica Hay que aplicar el conocimeinto para mejorar el sistema de seguridad en la organizacion Despues del seminario… 85

86 http://www.soumu.go.jp/denshijiti/jyouhou_k ansa/ http://www.soumu.go.jp/denshijiti/jyouhou_k ansa/ 監査実施要綱 86

87 Ejemplo de lista de chequeo 87 Item a evaluar-Actividades auditorías a efectuar Datos auditadosMétodos Ejemplo de procedimiento e implementación auditoría la política de cumplimiento de las actividades asignadas por el personal de procesamiento de información están establecidas y documentadas. -política /lineamientos de seguridad -contrato de personal -informe de actividades del personal -revisión documental -entrevista con los responsables de seguridad - visita a las areas ingreso/salida de la unidad -Por medio de cuestionaio, preguntar al personal de procesamiento de información si está ---- -Cumpliendo la política y en caso contrario el personal sabe que será relevado de su cargo.

88 Lista de verificación 88 Item a evaluar CumpleNo Cumple Observaciones ¿La información de la empresa se encuentra siempre disponible para cumplir sus propósitos? ¿Existe algún análisis de riesgos en la organización? ¿La información susceptible de robo, pérdida o daño se encuentra protegida y resguardada? ¿Existe Documentación en cuanto a: políticas aplicables, análisis de riesgos, descripción de procesos, lista de controles. ¿La empresa tiene conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas?

89 89 各機関における情報セキュリティガイドラインの実施とモニ タリング結果のまとめ（第 1 回） 各機関の情報セキュリティポリシーの妥当性評価 各機関の参加による公文書の電子化システム実現に関するス ケジュール準備 Socialización del resultado de la implementación de la pauta de la seguridad de la información y el monitoreo que realizó cada entidad (Primera parte) Evaluación de la pertinencia de la política de la seguridad de la información de cada entidad Elaboración de cronograma para la implementación del sistema de documentos oficiales electrónicos con la participación de cada entidad

90 1.Requerimientos generales – Comparar con estandard/modelos de referencia (ISO27001, buenas prácticas de la industria, etc) Para el certificación de ISO27001 se requiere validación de todos los controles 2.Requerimientos de organismo – Conformidad según el análisis de riesgo – Verificar si hay medidas contra amenazas recientes 3.Evaluación de conformidad de la política – Auto evaluación – Evaluación por terceros 4.Monitoreos continuos y periódicos – Log, registros, procedimientos Verificación de la adecuación de la política 90

91 Herramientas a Utilizar Lista de verificación. Revisión documental Observación directa de los sitios de interés 91 http://www.csigsac.com/joomla16/index.php/12-novedades/38-check- list-iso

92 Check List 20101109_Soumu_jyouhou_kansa_guideline.pdf ポリシー１つ１つの確認事項 92

93 Procedimiento de Auditoría Realizar una visita a la empresa para revisar su infraestructura. Dicha revisión se llevara a cabo mediante la observación directa del auditor. Evaluar la infraestructura en pro de la seguridad empresarial. Realizar las debidas recomendaciones para realizar el mejoramiento de la seguridad de la compañía. Realización de listas de verificación para evaluar el desempeño de la empresa en seguridad de la información. Realizar la respectiva revisión documental. 93

94 Vamos a hacer autoevaluación

95 Información que Administrador de IT deberia colectar Hay que estar al tanto de la situación actual de la seguridad – Qué tipo de ataques son más frecuentes – Cuáles son los ataques a su organización y los organismos similares ？ – Cuáles son la medidas en su organización y los organismos similares ？ – Qué medidas se encuentran 95

96 Secure Web site check http://freesoft.tvbok.com/tips/security/urlwe b.html http://freesoft.tvbok.com/tips/security/urlwe b.html https://sslcheck.globalsign.com/es 96