lunes, 22 de abril de 2013

Mapa mental CMMI




CMMI (Modelo de Madurez de Capacidad Integrado) pertenece a la familia de modelos desarrollados por el SEI (Software Engineering Institute) para evaluar las capacidades de las organizaciones de ingeniería de sistemas, ingeniería de software, además del desarrollo integrado del producto y del proceso.

CMMI es un modelo descriptivo que detalla los atributos esenciales que deberían caracterizar a una organización en un determinado nivel de maduración.
Es un modelo normativo donde las prácticas detalladas caracterizan los tipos normales de comportamiento esperables en una organización que ejecuta proyectos a gran escala. La mejora continua de los procesos se basa en muchos pasos pequeños y evolutivos en vez de innovaciones revolucionarias.

Niveles



CMMI proporciona un marco para organizar estos pasos evolutivos dentro de cinco niveles de maduración que sientan fundamentos sucesivos para la mejora continua del proceso.

MAPA MENTAL

Mapa mental PMBOK




La Guía del PMBOK® es un estándar en la gestión de proyectos desarrollado por el Project Management Institute (PMI)®.
La Guía del PMBOK® es una colección de procesos (5) y áreas de conocimiento (9) generalmente aceptadas como las mejores prácticas dentro de la gestión de proyectos. La Guía del PMBOK® es un estándar reconocido internacionalmente (ANSI/PMI 99-001-2008) que provee los fundamentos de la gestión de proyectos que son aplicables a un amplio rango de proyectos, incluyendo construcción, software, ingeniería, etc.
La Guía del PMBOK® reconoce 5 grupos de procesos básicos (Iniciación, Planeación, Ejecución, Monitorio y Control, y Cierre)  y 9 áreas de conocimiento comunes a casi todos los proyectos:
1.    Gestión de la Integración
2.    Gestión del Alcance
3.    Gestión del Tiempo
4.    Gestión de la Calidad
5.    Gestión de los Costos
6.    Gestión de los Riesgos
7.    Gestión de Recursos Humanos
8.    Gestión de las Comunicaciones
9.    Gestión de las Adquisiciones

Se traslapan e interactúan a través de un proyecto o fase. Los procesos son descritos en términos de: Entradas (documentos, planes, diseños, etc.), Herramientas y Técnicas (mecanismos aplicados a las entradas) y Salidas (documentos, productos, etc.). 

MAPA MENTAL
 
SECCIÓN 1

SECCIÓN2

SECCIÓN3



Norma ISO 27002



La ISO 27000 es una serie de estándares desarrollados, por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) e indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.
Los rangos de enumeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
Los controles de la norma ISO 27002 tienen la misma denominación que los indicados en el Anexo A de la ISO 27001; por ejemplo, en la ISO 27002 el control 6.1.6 se denomina Contacto con autoridades, mientras que en la ISO 27001 es el A.6.1.6 Contacto con autoridades. Pero la diferencia radica en el nivel de detalle; en general, la ISO 27002 explica un control en toda una página, mientras que la ISO 27001 sólo le dedica una oración a cada uno.
La diferencia está en que la ISO 27002 no distingue entre los controles que son aplicables a una organización determinada y los que no lo son. Por otro lado, la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y, en caso que sea necesario, hasta qué punto deben aplicarse.


Para acceder a más información ingrese aquí : NORMA ISO 27002



















ISO 27002

Planificación

doc_iso27000_all_archivos/image004.gif • Definir alcance del SGSI: en función de características del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable empezar por un alcance limitado). Es importante disponer de un mapa de procesos de negocio, definir claramente los interfaces con el exterior del alcance, determinar las terceras partes (proveedores, clientes...) que tienen influencia sobre la seguridad de la información del alcance, crear mapas de alto nivel de redes y sistemas, definir las ubicaciones físicas, disponer de organigramas organizativos, definir claramente los requisitos legales y contractuales relacionados con seguridad de la información, etc.
• Definir política del SGSI: que incluya el marco general y los objetivos de seguridad de la información de la organización, tenga en cuenta los requisitos de negocio, legales y contractuales en cuanto a seguridad, esté alineada con la gestión de riesgo general, establezca criterios de evaluación de riesgo y sea aprobada por la Dirección. La política del SGSI es normalmente un documento muy general, una especie de "declaración de intenciones" de la Dirección.
• Definir el enfoque de evaluación de riesgos: definir una metodología de evaluación de riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologías de evaluación de riesgos aceptadas internacionalmente (ver sección de Herramientas); la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones de detalle, aunque ISO 27005 sí profundiza en directrices sobre la materia. El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo.
• Inventario de activos: todos aquellos activos de información que tienen algún valor para la organización y que quedan dentro del alcance del SGSI.
• Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
• Identificar los impactos: los que podría suponer una pérdida de la confidencialidad, la integridad o la disponibilidad de cada uno de los activos de información.
• Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.
• Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).
• Selección de controles: seleccionar controles para el tratamiento el riesgo en función de la evaluación anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones habrán de ser justificadas) y otros controles adicionales si se consideran necesarios.
• Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI: hay que recordar que los riesgos de seguridad de la información son riesgos de negocio y sólo la Dirección puede tomar decisiones sobre su aceptación o tratamiento. El riesgo residual es el que queda, aún después de haber aplicado controles (el "riesgo cero" no existe prácticamente en ningún caso).
• Confeccionar una Declaración de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

Implementación

doc_iso27000_all_archivos/image005.gif • Definir plan de tratamiento de riesgos: que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.
• Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados.
• Implementar los controles: todos los que se seleccionaron en la fase anterior.
• Formación y concienciación: de todo el personal en lo relativo a la seguridad de la información.
• Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.
• Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
• Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.

Seguimiento

doc_iso27000_all_archivos/image006.gif • Ejecutar procedimientos y controles de monitorización y revisión: para detectar errores en resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las actividades de seguridad de la información están desarrollándose como estaba planificado, detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las acciones tomadas para resolver incidentes de seguridad han sido eficaces.
• Revisar regularmente la eficacia del SGSI: en función de los resultados de auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias y feedback de todos los interesados.
• Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.
• Revisar regularmente la evaluación de riesgos: los cambios en la organización, tecnología, procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
• Realizar regularmente auditorías internas: para determinar si los controles, procesos y procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de seguridad de la organización, están implementados y mantenidos con eficacia y tienen el rendimiento esperado.
• Revisar regularmente el SGSI por parte de la Dirección: para determinar si el alcance definido sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la política de seguridad o a los objetivos de seguridad de la información.
• Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorización y las revisiones.
• Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del SGSI.

Mejora continua

doc_iso27000_all_archivos/image007.gif • Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior.
• Acciones correctivas: para solucionar no conformidades detectadas.
• Acciones preventivas: para prevenir potenciales no conformidades.
• Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.
• Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.