Herramienta de protección de línea de base de BSI IT HITGuard
En el corazón del Compendio de Protección de Línea de Base de TI de BSI se encuentran los llamados módulos de protección de línea de base de TI. Cada módulo trata un tema y aspectos relevantes de seguridad. Si no se cumplen los requisitos de un bloque de construcción, existen recomendaciones concretas de medidas para contrarrestarlo. Junto con los estándares de BSI, el Compendio de Protección de Referencia de TI de BSI constituye una metodología para una gestión sólida de la seguridad de TI.
Nuestro software ISMS HITGuard mapea de manera eficiente los requisitos del Compendio de Protección de Referencia de TI de BSI. HITGuard se adapta de forma flexible a sus necesidades individuales. Por ejemplo, muchos de nuestros clientes están interesados en una combinación de la protección básica de BSI IT y la norma ISO 27001. Eso tampoco es un problema. HITGuard le acompaña y apoya desde el inicio hasta la presentación de los documentos de certificación.
¿El tema es nuevo para usted o necesita apoyo en la implementación, por ejemplo, para obtener la certificación ISO 27001? ¡Nuestro competente equipo estará encantado de ayudarle!
y Betriebsführungsges.m.b.H
Protección de referencia de BSI preparada para el futuro con HITGuard ISMS
TogetherSecure es un licenciatario oficial del Compendio de Protección de la Línea de Base de TI.
Destacados
- Contenido con licencia del Compendio de Protección de Referencia de TI de BSI
- Medidas propuestas para las debilidades encontradas
- Fácil determinación de la cobertura de cumplimiento de los capítulos de los compendios
- Actualización anual del actual Compendio Básico de Protección
- Transferencia automática de capítulos que ya han sido evaluados a una versión más reciente del Compendio. Esto ahorra mucho esfuerzo y evita que sus evaluaciones de riesgos se vuelvan obsoletas.
- Informes listos para auditorías (personalizables)
Procedimiento para la protección estándar con HITGuard
Hay muchos puntos a tener en cuenta a la hora de construir un buen SGSI. La metodología de protección de referencia de TI puede considerarse una guía para lograr el objetivo de un SGSI sostenible y económico sin grandes desvíos.
La mejor manera de ver cómo HITGuard le apoya paso a paso es utilizar el procedimiento recomendado por BSI para la protección estándar (ver gráfico).
1 Evaluación de la situación actual mediante análisis estructural
¿Cuáles son los procesos de negocio importantes en la empresa? ¿Qué información se procesa y almacena en estos procesos de negocio? ¿Qué aplicaciones utilizas para hacer esto? ¿Qué sistemas informáticos están implicados? Estas son preguntas que deben hacerse en el curso de la encuesta de la situación actual.
"El objetivo del análisis estructural es identificar aquellos objetos y describir su interacción, para lo cual las medidas de protección deben definirse en un concepto de seguridad.
El objetivo del análisis estructural no es obtener un inventario completo de todos los componentes técnicos utilizados. Más bien, debe agrupar los objetos de manera sensata en todas las subencuestas" (Fuente: BSI)
Con el software de protección de línea de base de BSI HITGuard, puede mapear sus aplicaciones principales, servicios de infraestructura esenciales, así como hardware central u otros activos de gran importancia en un gráfico y relacionarlos entre sí. Esto le permite llevar a cabo evaluaciones específicas de objetivos que proporcionan información sobre la dependencia de procesos y servicios, por ejemplo, y verificar el cumplimiento de los tiempos de recuperación requeridos.
2 Evaluación de la necesidad de protección
Una vez identificados los objetos pertinentes, el siguiente paso es determinar la necesidad de protección. La pregunta aquí es: ¿Qué daño puede ocurrir si se violan los valores básicos de confidencialidad, integridad o disponibilidad para un objeto?
Überlegen Sie hierzu zuerst mögliche Schadensszenarien (z.B. betriebliche Ausfallzeiten, Gesetzesverstöße, persönliche Unversehrtheit, Reputationsverlust). Anschließend bilden Sie mehrere Klassen je nach Größe des möglichen Schadens. Schreiben Sie dazu monetäre Grenzwerte fest, ab der ein Schaden für Sie z.B. überschaubar (< 10.000 €), beträchtlich (< 500.000 €) oder existenzgefährdend (> 500.000 €) ist. Diese Grenzwerte können je nach Unternehmensgröße sehr unterschiedlich sein.
La necesidad de protección de un objeto depende básicamente de la necesidad de protección de los procesos de negocio y de la información en la que el objeto está involucrado. Por lo tanto, comience a identificar las necesidades de protección de sus procesos, aplicaciones e información. La necesidad de protección se traslada a las aplicaciones, los sistemas informáticos, la infraestructura de red, los edificios, etc.
HITGuard le apoya de muchas maneras: en la creación de las clases de requisitos de protección en la política de riesgos, en el procesamiento estructurado de los análisis y en la herencia automática de los requisitos de protección
3 Modelado
requisitos de protección Durante la modelización, se crea un plan de pruebas para los requisitos de seguridad de los objetos basado en el análisis estructural y en el .
Se debe aplicar al menos un módulo de protección de referencia de TI a cada objeto del concepto de seguridad. Para ello, examine los componentes básicos del compendio de protección de línea base de TI individualmente y considere a qué objetos se pueden aplicar. En el capítulo 2.2 del Compendio se proporciona asistencia a este respecto.
Si no se pudo encontrar ningún componente básico para objetos individuales, se debe llevar a cabo un análisis de riesgos separado para estos objetos.
4 Comprobación de la protección de la línea de base de TI
Sobre la base del plan de inspección creado, ahora se verifican los objetos. Los requisitos de los módulos de protección de referencia de TI pertinentes se revisan pregunta por pregunta. Se determina si las medidas de seguridad existentes son suficientes o si se necesitan mejoras para lograr el nivel de protección necesario.
Un módulo de protección de referencia de TI incluye requisitos básicos que deben cumplirse en cualquier caso, requisitos estándar para los requisitos de protección normales y medidas de seguridad de mayor alcance para sistemas con mayores requisitos de protección.
HITGuard ofrece los contenidos del Compendio de Protección de Referencia de TI de BSI en forma de cuestionarios estructurados . A través del enfoque sistemático, se identifican todas las medidas de seguridad necesarias. Si se detectan debilidades, HITGuard le ofrece sugerencias adecuadas de medidas para reducirlas o eliminarlas.
Los resultados de las comprobaciones deben poder ser verificados posteriormente por terceros (por ejemplo, auditores). No hay problema con nuestro software de protección de línea de base BSI: recibirá documentación actualizada con un solo clic del ratón.
El Compendio de protección de línea de base de TI se actualiza anualmente a medida que evoluciona el estado de la técnica. Por lo tanto, es necesario comprobar regularmente si las precauciones de seguridad adoptadas siguen siendo suficientes. Para ello, puede utilizar HITGuard para volver a evaluar los objetos. Se muestran los ajustes preestablecidos modificados. Para las partes restantes, simplemente puede adoptar las respuestas y justificaciones existentes. Esto reduce significativamente su esfuerzo.
5 Análisis de riesgos
En el siguiente paso, las vulnerabilidades encontradas se convierten en riesgos. Al hacerlo, se agrupan puntos débiles relacionados temáticamente. Para ayudarle a averiguar qué riesgos puede haber, el Compendio de protección de línea de base de TI ofrece una lista de 47 amenazas, que puede encontrar en HITGuard.
A continuación, hay que evaluar cada riesgo. La magnitud del riesgo viene determinada por su probabilidad de ocurrencia y la magnitud de los daños que cabe esperar en caso de ocurrencia. Las categorías que se utilizan para describir la probabilidad de ocurrencia y el alcance de los daños se definen en la política de riesgos.
A partir de la evaluación de los riesgos, se pueden tomar decisiones sobre su tratamiento. La visualización en la matriz de riesgos ayuda a clasificar y priorizar los riesgos. Si las medidas de tratamiento se implementan más tarde, se pueden utilizar para ilustrar su impacto en el riesgo.
6 Aplicación de las medidas
En la mayoría de los casos, las comprobaciones de la protección de la línea de base de TI y los análisis de riesgos conducen a una serie de déficits que posteriormente deben corregirse. Ya sea la falta de medidas de seguridad, la falta de tecnología de seguridad, las debilidades organizativas o similares.
La herramienta de protección de línea base de BSI HITGuard le ayuda a planificar, priorizar e implementar medidas para cerrar las brechas en el concepto de seguridad:
- Cree medidas a partir de las sugerencias del Compendio de protección de línea base de TI.
- Prioriza las acciones en función del riesgo involucrado.
- medidaPlanificar la aplicación en función del alcance de .
- Asigne las medidas a los responsables de los departamentos especializados y sea informado de los progresos a intervalos definibles.
Por último, cree controles con los que, por ejemplo, se compruebe periódicamente el cumplimiento de las directrices o el estado de los parches de un sistema informático en forma de tareas recurrentes.
Puede hacer todo esto de manera fácil y eficiente con el Sistema de Control Interno (ICS) basado en el flujo de trabajo de HITGuard.
Como se mencionó anteriormente, este no es un camino de una sola vez. Planifique llevar a cabo el proceso descrito de forma continua y mantenga su concepto de seguridad y su organización de seguridad actualizados y seguros en todo momento. Nuestros expertos competentes estarán encantados de ayudarle.
Evaluación de los niveles de madurez de los capítulos del Compendio de Protección de Referencia de TI de BSI. (Cuadro de Mando de Riesgos)
Solicite ahora una demo sin compromiso
Descubra cómo puede implementar la metodología de protección de línea de base de BSI IT de manera fácil y eficiente con HITGuard
Caso de éxito
Emons Holding GmbH & Co. KG
Industria del Transporte y la Logística
3.650 empleados
Emons Freight Forwarding & Logistics
Situación: Como empresa de logística internacional, Emons está particularmente comprometida con la protección de los activos de información críticos que forman la base de un servicio al cliente exitoso.
Gol: Implementación de un sistema híbrido de gestión de la seguridad de la información (SGSI) que se basa en gran medida en la familia internacional de normas de ISO y en las recomendaciones del Compendio de Protección de Referencia de TI de BSI.
Implementación: HITGuard ofrece la posibilidad de una implementación híbrida. Los dos estándares de seguridad de la información se pueden utilizar juntos y de manera coordinada. No tienes que elegir uno u otro, pero puedes utilizar las normas y estándares disponibles, así como las bases de conocimiento disponibles en HITGuard en combinación.
Resultado: Emons fue capaz de lograr los resultados deseados rápidamente y ahorrando recursos. El cumplimiento de todos los requisitos internos y externos de seguridad de la información y protección de datos con las especificaciones y recomendaciones de las dos normas es posible con solo pulsar un botón.