Home  »   12. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información »  12 1 Requisitos de seguridad de los sistemas »  12.1.1. Análisis y especificación de los requisitos de seguridad

12.1.1. Análisis y especificación de los requisitos de seguridad

Tags:  

Control:

Las demandas de nuevos sistemas de información para el negocio o mejoras de los sistemas ya existentes deberían especificar los requisitos de los controles de seguridad.

Posibles Soluciones a este control:

Applipedia

Base de datos proporcionada en abierto por Palo Alto Network Research y su equipo de investigación para que aprender más sobre el nivel de riesgo de las aplicaciones que utilizan la red. El equipo de investigación continuamente actualiza las aplicaciones (mediante una tecnología pendiente de patente) el tráfico de la clasificación, con aplicaciones nuevas y emergentes a una tasa promedio de cuatro por semana. La base de datos identifica cada aplicación además de ofrecer una descripción de la aplicación, los puertos que utiliza, características de comportamiento, entre otros.

Application Research Center
Cabinet Office UK

Comparativa realizada por el Gobierno Británico sobre las alternaticas Open Source a soluciones propietario y en el que se incluyen soluciones de seguridad junto a comentarios pertinentes que permiten una valoración inicial de referencia antes de introducir posibles cambios.

Open Source Options
CSIRT Comunitat Valenciana Informes sobre realizados por CSIRT-CV con guías para la configuración segura de servicios como Dropbox o dispositivos móviles entre otros. Informes Csirt-CV
CVE Details La web proporciona un fácil utilizar el interfaz web para los datos de vulnerabilidades CVE. Se puede buscar por proveedores, productos y versiones, y ver las entradas CVE y vulnerabilidades relacionadas con ellos. Puede ver las estadísticas sobre proveedores, productos y versiones de los productos. Base de datos CVE
ENISA El presente documento en español permite realizar una evaluación informada de los riesgos y ventajas para la seguridad que presenta el uso de la computación en nube, y ofrece orientaciones sobre protección para los usuarios actuales y futuros de la computación en nube. Evaluación de riesgos Cloud
FFIEC

Guía del FFIEC (Federal Financial Institutions Examination Council), en inglés, sobre cómo implantar un proceso de desarrollo y adquisición de TI eficaz en una organización. La acompaña una lista de verificación -checklist-, útil para auditar dicho proceso.

FFIEC D&A IT Handbook

ISO

ISO/IEC 21827 es la norma, en inglés, que especifica el "Systems Security Engineering - Capability Maturity Model", que describe las características esenciales del proceso de ingeniería de seguridad en una organización. ISO/IEC 21827 no prescribe un proceso o secuencia particular, sino que recoge las prácticas generales del sector.

ISO/IEC 21827
Métrica 3

La metodología MÉTRICA Versión 3 ofrece a las organizaciones un instrumento útil para la sistematización de las actividades que dan soporte al ciclo de vida del software. Está promovida por el Gobierno español.

Métrica v3 
NIST

El documento publicado resume la justificación de un Protocolo de Uso (EUP) de la Historia Clínica Electrónica (EHR) y describe los procedimientos para la evaluación del diseño y pruebas de rendimiento de los usuarios de estos sistemas.

Documento
OWASP

La guía de desarrollo de OWASP (Open Web Application Security Project) ayuda a crear aplicaciones web seguras. Disponible también en español.

OWASP Guide Project 


Post a comment

Your Name or E-mail ID (mandatory)





 RSS of this page

Written by:   Version:   Last Edited By:   Modified

Información de contacto

http://www.iso27000.es/ISO27002/contacto.gif