Estándares Internacionales
Enviado por berrios8905 • 5 de Septiembre de 2014 • 8.642 Palabras (35 Páginas) • 190 Visitas
Objetivos
o Comprender que los estándares internacionales son producto de diferentes organizaciones, algunas para uso interno, otras para grupos de personas, grupos de compañías, o una subsección de una industria. Un problema surge cuando diferentes empresas se reúnen, cada uno con una amplia base de información haciendo que entre ellos es sea incompatible. Establecer estándares internacionales es una manera de prevenir o superar este problema.
o Conocer algunos de los estándares internacionales más utilizados en la actualidad.
o Enumerar y definir la finalidad de cada uno de los estándares investigados.
o Comprender la importancia del uso de estándares en las organizaciones actuales.
Introducción
Este trabajo de investigación tiene la finalidad de enumerar y definir algunos de los estándares más utilizados a nivel mundial.
Comenzaremos definiendo la palabra normalización o estandarización es la redacción y aprobación de normas que se establecen para garantizar el acoplamiento de elementos construidos independientemente, así como garantizar el repuesto en caso de ser necesario, garantizar la calidad de los elementos fabricados, la seguridad de funcionamiento y trabajar con responsabilidad social.
Podríamos decir que la estandarización o normalización la podríamos definir de forma genérica, como la actividad encaminada a poner orden en actividades repetitivas que se desarrollan en el ámbito de la industria, la tecnología, la ciencia y la economía con el fin de desarrollar mecanismo de seguridad en esos ambientes para un correcto manejo y orden de las organizaciones.
Índice de la investigación
o PCI-DSS
o ISO 27001
o ITIL
o COBIT
o SOX
o ISO 27005
o AS/NZS 4360:2004
o PMI
o BS 25999
o ISO 17999
o BCP
o DRP
o BIA
o PMI , Y SU PMBOK
o Normas NIST aplicadas a tecnologías de Información
PCI-DSS
PCI Data Security Standard (PCI DSS), es un estándar de seguridad que define el conjunto de requerimientos para gestionar la seguridad, definir políticas y procedimientos de seguridad, arquitectura de red, diseño de software y todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito.
Su finalidad es la reducción del fraude relacionado con las tarjetas de crédito e incrementar la seguridad de estos datos.
Formado por las principales compañías emisoras de tarjetas de crédito (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito.
Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito queda afectada por el cumplimiento de los requerimientos que establece PCI DSS.
PCI DSS cataloga las organizaciones en:
- Comercios o merchants (súper/hipermercados, autopistas, e-commerce, agencias de viajes, etc.).
- Proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.).
- Entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).
Consultoría de implantación de PCI DSS
El primer paso para cumplir con los requerimientos de PCI DSS es realizar un análisis de la organización, identificar los puntos en la cadena de valor donde se transmite, procesa o almacena información de tarjetas de crédito y definir el entorno que debe ser protegido para cumplir con PCI DSS.
Una vez identificado este entorno se deben evaluar los riesgos y definir el programa de cumplimiento que establece y mantiene las medidas de seguridad necesarias para poder cumplir con los 12 requerimientos definidos en el estándar.
Internet Security Auditor, con su servicio de consultoría de implantación tiene como objetivo proporcionar a las organizaciones todo el soporte necesario y guiarles en la definición y mantenimiento del programa de cumplimiento con PCI DSS.
Auditoria de cumplimiento de PCI DSS
Internet Security Auditor está acreditada por el PCI DSS, a través de su certificado QSA, para realizar las auditorías anuales on-site a todas aquellas empresas que por su volumen de transacciones anual (varía en función de la marca de tarjetas de crédito) lo requieran, habiéndose convertido en la primera empresa española en obtener esta certificación por parte del PCI DSS.
En el proceso de auditoría se verifica, mediante muestreo, que los requerimientos establecidos en PCI DSS se están cumpliendo. Y para todos aquellos puntos que no se cumplen se define el plan de acción para solventar las no conformidades.
Validación
La manera en que las empresas validan su cumplimiento con PCI DSS varía en función de varios parámetros:
- Tipo de negocio (comercio o proveedor de servicios)
- Volumen de negocio (total de transacciones anuales)
- Canal (comercio-e por un lado y resto de canales por otro)
- Riesgo del negocio (si han sufrido incidentes por hackers, etc.)
Implantación
La implantación es en donde se hace realidad el programa de cumplimiento PCI DSS. El tiempo de implantación dependerá mucho del trabajo que se haya identificado como necesario para cumplir con PCI DSS, los recursos que se dediquen, el tamaño del entorno de cumplimiento, etc. Es en esta parte donde la empresa debe dedicar los recursos tanto económicos como personales necesarios para que los tiempos marcados en el programa de cumplimiento se alcancen y la empresa pueda conseguir el cumplimiento PCI DSS, reportando la documentación necesaria con el estado de cumplimiento a la entidad financiera
...