Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad
|
|
- Inés Cáceres Márquez
- hace 8 años
- Vistas:
Transcripción
1 SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre
2 Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified Information Security Manager) Agradecimientos
3 Índice 1.- Que es ATCA 2.- Como nace el SGSI 3.- La auditoria PCI-DSS Estado de la seguridad 4.- Integración en el SGSI 5.- Conclusiones Auditoria de seguridad informática Como integrar PCI-DSS en un SGSI
4 ATCA 1.- Que es ATCA
5 1.- Que es ATCA ATCA A.I.E., es una agrupación de interés económico con un Capital Social de Euros distribuido entre sus socios de la forma siguiente: 31 % 13 % 31 % 25 %
6 1.- Que es ATCA En la actualidad, las cuatro Cajas de Ahorros asociadas gestionan en total activos por importe de millones de euros Los recursos de sus clientes superan los millones de euros y las inversiones crediticias totalizan millones de euros En ellas trabajan más de empleados. En cuanto a la red de atención al público, la cifra global es de 1100 sucursales, cajeros automáticos y TPV's.
7 1.- Que es ATCA Mision ATCA debe ser una empresa que, mediante la más eficiente utilización de la tecnología disponible en cada momento, ofrezca a las Cajas de Ahorros Asociadas los productos y servicios que le sean demandados por ellas, en las mejores condiciones de rapidez, calidad y coste, procurando preservar, al máximo posible, la unicidad del aplicativo informático y manteniendo la seguridad en su confidencialidad, disponibilidad e integridad.
8 1.- Que es ATCA Que hacemos ATCA desarrolla, mantiene y explota las aplicaciones del núcleo bancario de las Cajas, el Terminal Financiero, la Banca por Internet y aplicaciones departamentales. La seguridad es una de sus máximas prioridades, obteniendo la certificación para su sistema de gestión de seguridad de la información, conforme a la norma ISO/IEC También en este año se ha conseguido la certificación CMMI Nivel 5, siendo la única empresa con capital Español con esta categoría
9 1.- Que es ATCA Hitos importantes PARAMETRIZACIÓN: Las aplicaciones son comunes para las cuatro Cajas. Las diferencias existentes en productos, tarifas o criterios de gestión se manejan en base a parámetros. Las bases de datos son iguales y se manejan juegos de tablas por Caja. Los procesos son similares, pero se ejecutan una vez por cada Caja. Las Aplicaciones son multi-divisa, multi-entidad y multi-idioma, y se explotan con dos usos horarios (Península y Canarias).
10 1.- Que es ATCA Hitos importantes Certificación en CMMI Nivel 5 (Solo dos empresas en España) Certificación de Seguridad SGSI en ISO (Única en España cuyo alcance es toda la empresa) Desarrollo basado en productos de código abierto: Terminal financiero (Abaco) Banca electrónica Grid batch computing Puesto de trabajo Linux CD Recovery
11 1.- Que es ATCA Hitos importantes File inspector & Audit systems Ossim / nagios Tecleos Auditoria a distancia...
12 SGSI 2.- Por que un SGSI?
13 2.- Cómo nace el SGSI? En el año 2001, La alta dirección apuesta por la seguridad como un valor de servicio, calidad y confiabilidad y no como un gasto ATCA apuesta por lo más difícil de la seguridad: La concienciación. Para ello:
14 2.- Cómo nace el SGSI? Se establece un plan de cuatro años de formación continua en materias de seguridad. Se apuesta por metodologías aplicadas por el gobierno americano Se ponen objetivos de seguridad a todos los empleados (computables en sus nominas) Se crean las primeras métricas de servicio y seguridad En el 2002 ya apostamos por la seguridad en el desarrollo de aplicaciones (Se revisa el 100% del aplicativo bancario)
15 2.- Cómo nace el SGSI? Se forman equipos de seguridad entre las Cajas Asociadas y ATCA Se estudia la seguridad desde el eslabón más débil, el cliente y el usuario Se define la documentación como hito necesario para la puesta en marcha de aplicaciones (no hay documentación no existe programa no se pone) Se adopta CMMI-SSE (Primer PDCA) Se establecen controles 17799
16 2.- Cómo nace el SGSI? Se aplica el principio de transparencia: Plan de auditorias anuales en ATCA: LOPD Controles generales Banco de España VISA Internacional Seguridad en Redes Banca Electrónica y medios de pago **** ISO CMM 5 ITIL
17 2.- Cómo nace el SGSI? Se aplica el principio de transparencia: Informes: Métricas: Semanales de actividades a la dirección Mensuales a Dirección Mensuales al Comité Técnico de coordinación Mensuales al Comité de Seg. de las Cajas Trimestrales a la Comisión delegada de las Cajas Trimestrales al Consejo de Administración de ATCA De servicio De calidad De productividad De seguridad 134 Métricas
18 2.- Cómo nace el SGSI? El madurez de seguridad Viene recomendado por: El conjunto de auditorias: En los últimos tres años son todas de nivel bajo Las consultorías realizadas: Solo en conocimiento La implantación de CMM nivel 5 Desarrollo, configuración del software, pases a entornos Puntos funcion Peer review Gestión Metricas
19 2.- Cómo nace el SGSI? Por lo tanto: El objetivo esta realizado: CONCIENCIACION CONTROLES A falta de: Control del ciclo de vida Que se resuelve en el 2006: Ciclos de vida Mantenimientos de proyectos + Concienciación
20 2.- Cómo nace el SGSI? Necesidad de fidelizar a nuestras entidades financieras Confiabilidad de los clientes en sectores como banca electrónica Asegurar el nivel de desarrollo del software en cuanto a seguridad (0% en ataques de Hacking) Disponer de un cuadro de mandos, sencillo pero útil SI-0015/06 Gestionar los productos desde su ciclo de vida
21 2.- Cómo nace el SGSI? A raiz de las consultorias y Auditorias se aconseja realizar la certificación como proceso de mejora La alta dirección define como alcance toda la compañía El proceso de certificación dura tres semanas Se consigue el SGSI en Agosto de 2006 SI-0015/06
22 Auditoria PCI-DSS Qué hemos hecho nosotros para merecer esto? Madrid, 7 de Noviembre
23 3. Introducción Auditoria PCI - DSS A ) Partimos de que el nivel de seguridad del entorno financiero es alto, debido especialmente a la cantidad de regulaciones y cumplimiento normativo, como por ejemplo la protección de datos de carácter personal B) Desde hace años, las entidades financieras (en España) se han protegido con políticas internas de seguridad de la información e incluso creando comités de trabajo. C)Banco de España, se perfila como regulador aunque no crea ninguna recomendación de seguridad al respecto
24 3. Introducción Auditoria PCI - DSS D) Los problemas de fraude siguen estando en las tarjetas E) En algún caso los malos sistemas de autenticación de las BE y la baja seguridad de los usuarios hacen que las mafias se centren en este negocio llegando a superar al negocio de la droga. F) Según el INTECO, el 80% de los ordenadores españoles tienen algún tipo de Malware, sin que el usuario lo sepa (España a la cabeza del SPAM) Según VERISIGN en el mundo, las infecciones superan el 90%
25 3. Introducción Auditoria PCI - DSS G) Muchas entidades, subcontratan la seguridad ( es bueno?) F) El uso y abuso de los sistemas, el mal diseño de las bases de datos y de las aplicaciones web, han permitido vulneración de datos de titulares de tarjetas (no diremos nombres, solo ejemplos)
26 3.1.- Estado de la seguridad
27 3.1.- Estado de la seguridad
28 3.1.- Estado de la seguridad
29 3.1.- Estado de la seguridad
30 3.1.- Estado de la seguridad
31 3.1.- Estado de la seguridad
32 3. Hitos en la Auditoria PCI - DSS VISA y MASTERCAD regulan la obligatoriedad de que los comercios y empresas con tratamientos de tarjetas se les audite la seguridad En España, la norma padece una parálisis y no queda claro quien ni cuando la debe realizar, tampoco las ventajas de hacerla, solo se intuyen inconvenientes Ante las dudas y partiendo del sentido común, en ATCA se plantea realizar la auditoria exigida por VISA y MASTERCAD E
33 3. Hitos en la Auditoria PCI - DSS Se empieza por la parte de escaneos, una auditoria cada tres meses cuyo alcance es: Sistemas y dispositivos que transmitan,recepcione o procesen datos de tarjetas, en nuestro caso en concreto: DMZ de Banca electrónica (routers, servidores) TPV s Virtuales Aplicativo web
34 3. Hitos en la Auditoria PCI - DSS Auditoria in-situ que consiste: Un trabajo de revisión de todos los sistemas de ATCA, donde se procesen datos de tarjetas (es decir toda la instalación) La duración de la revisión dura dos meses e implica a toda la organización Se realizan 235 intervenciones con sus evidencias, se revisa el aspecto normativo,legal, seguridad en redes, políticas de confidencialidad, empleados
35 3. Hitos en la Auditoria PCI DSS Departamentos afectados Dirección - General Dirección seguridad Dirección de producción y Planificación Dirección de desarrollo Dirección Nuevas tecnologías Calidad
36 3. Hitos en la Auditoria PCI DSS Departamentos afectados Dirección - Seguridad Arquitectura - Seguridad Sistemas - Seguridad Auditorias / Pen test Web Criptografía Comunicaciones Bases de datos
37 3. Hitos en la Auditoria PCI - DSS Para la revisión de los requerimientos se ha considerado la estructura actual en ATCA de ISO y la 17799, así como procedimientos propios, constituida por los siguientes componentes: - Objetivos de Control - Requerimientos principales - Requerimientos y subrequerimientos detallados - Procedimientos de Test
38 3. Hitos en la Auditoria PCI - DSS Los seis objetivos de control definidos por la auditoría fueron: A. Creación y mantenimiento de una red segura B. Protección de los datos almacenados C. Mantenimiento de un programa de gestión de vulnerabilidades D. Implantación de medidas de control de acceso E. Monitorización y revisión periódica de las redes F. Mantenimiento de una Política de Seguridad de la Información
39 3. Hitos en la Auditoria PCI - DSS Requerimientos principales que se detallan a continuación: 1. Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 2. No empleo de contraseñas y otros parámetros de seguridad establecidas por defecto por los proveedores. 3. Protección de los datos almacenados 4. Cifrado de la transmisión de la información sensible a través de redes públicas. 5. Empleo y actualización periódica de programas y software antivirus. 6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros. 7. Restricción del acceso a los datos en función de la necesidad de conocer (con base en el negocio). 8. Asignación de un identificador único para todas las personas con acceso al sistema. 9. Restricción del acceso físico a los datos. 10. Revisión y monitorización de todos los accesos a los recursos de red y a los datos 11. Prueba periódica de la seguridad de los sistemas y los procesos. 12. Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
40 3. Hitos en la Auditoria PCI - DSS Requerimientos principales que se detallan a continuación: 1. Instalación y mantenimiento de la configuración de firewalls para la protección de los datos 2. No empleo de contraseñas y otros parámetros de seguridad establecidas por defecto por los proveedores. 3. Protección de los datos almacenados 4. Cifrado de la transmisión de la información sensible a través de redes públicas. 5. Empleo y actualización periódica de programas y software antivirus. 6. Desarrollo y mantenimiento de sistemas y aplicaciones seguros. 7. Restricción del acceso a los datos en función de la necesidad de conocer (con base en el negocio). 8. Asignación de un identificador único para todas las personas con acceso al sistema. 9. Restricción del acceso físico a los datos. 10. Revisión y monitorización de todos los accesos a los recursos de red y a los datos 11. Prueba periódica de la seguridad de los sistemas y los procesos. 12. Mantenimiento de una política que contemple la seguridad de la información para los empleados y contratistas.
41 3. Resultados en la Auditoria PCI - DSS Informe favorable por parte de la empresa auditora Las incidencias encontradas son de carácter leve y se convierten en recomendaciones de mejora ATCA Cumple el programa PCI-DSS de certificación de la auditoria Los informes se enviaron y esta a disposición de VISA y MASTERCAD
42 3. Mi equipo de trabajo ( todos frikis!!)
43 Integración de la Auditoria PCI-DSS en el SGSI Integración Madrid, 7 de Noviembre
44 4. Integración en el SGSI 1.- Todos los procesos de la auditoria, se definen como objetivos de cumplimiento y se establece un seguimiento mensual por medio de métricas 2.- Los desarrollos de software, (especialmente los de medios de pago) deben de pasar por el visto bueno del departamento de seguridad (Estudio, definición, desarrollo, test, formación y producción) 3.- En todos los entornos, se realizan documentos que deben de aprobarse por los responsables de la petición de desarrollo 4.- Cuando una aplicación viene dada por terceros, deben de cumplir las normas de seguridad de ATCA (ej. Los proveedores externos nunca se conectan de forma remota) 5.- En todos los proyectos debe de haber un responsable de código seguro, designado por el departamento de desarrollo o seguridad.
45 4. Integración en el SGSI Más de 150 Procedimientos de seguridad 60 de ellos dedicados al desarrollo de software seguro 10 de los 60 dedicados a el ciclo de vida del software 3 exclusivos al tratamiento de tarjetas 264 Métricas (117 de seguridad) Objeto: Durante la fase de planificación todos los proyectos deben de identificarse, justificarse, acordarse y documentar. Alcance: Los proyectos de nuevos productos, gestión interna y optimización Las peticiones de trabajo cursadas por las Cajas con causas mtto evolutivo o normativo. Los proyectos y trabajos llevados a cabo por Sistemas que afectan a las plataformas Hw/Sw que prestan servicio de producción
46 Conclusiones Conclusiones Madrid, 7 de Noviembre
47 5. Conclusiones En cuanto al trabajo de la auditoria: Los objetivos están claramente definidos y abarcan todos los aspectos de una organización. Los cuestionarios Un gran esfuerzo en tiempo, dinero y de recursos (No os lo podéis imaginar) Ha sido de gran utilidad la revisión de la auditoria (la seguiremos haciendo, somos frikis y nos gusta que nos sodomicen) Hay que hacer esta u otras parecidas a esta solo por trasparencia o sentido comun
48 5. Conclusiones En cuanto a la norma: La vemos poco efectiva por las siguientes razones: 1. Ambigüedad por parte de VISA y MASTERCAD, no son claros en sus actuaciones, por lo menos en España 2. Por qué las entidades financieras no pasan la auditoría?, somos como entidad más seguros que un comercio? 3. Se va a obligar a los comercios a pasar la auditoría? 4. Estos van a tener alguna ventaja, de la que ya tienen?
49 Preguntas Preguntas? Madrid, 7 de Noviembre
50 Gracias Gracias a todos psanchez@atca.es
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 2 Junio 2011 Índice Servicio Integral
Más detallesSEGURIDAD GESTIONADA
SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesProtección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas
Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence
Más detallesLa garantía del experto en seguridad adaptada
La garantía del experto en seguridad adaptada Víntegris diseña, implanta y gestiona infraestructuras de seguridad de la información para las principales entidades financieras y grandes corporaciones españolas.
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesInformación de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)
PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesRiesgos asociados al CLOUD
Riesgos asociados al CLOUD El Cloud está de moda Según el último barómetro de IDC España, el mercado de software como servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un incremento
Más detallesTecnologías y servicios para la Administración Pública del S.XXI
Tecnologías y servicios para la Administración Pública del S.XXI AudiSec, Seguridad de la Información : QUIÉNES SOMOS Audisec Seguridad de la Información, una empresa dedicada a aportar seguridad a sus
Más detallesCONGRESO SECTORIAL DINTEL DATA CENTERS 2012. ISO 27001, ISO 20000 e ISO 22301 para asegurar la Eficiencia, Disponibilidad y Seguridad en CPDs.
CONGRESO SECTORIAL DINTEL DATA CENTERS 2012 ISO 27001, ISO 20000 e ISO 22301 para asegurar la Eficiencia, Disponibilidad y Seguridad en CPDs. AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información,
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesPCI-DSS Requisitos para su empleo en la nube
01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de
Más detallesSEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesdeterminar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;
Soporte 6Claves para la ISO 14001-2015 BLOQUE 7: Soporte La planificación, como elemento fundamental del Ciclo PDCA (plan-do-check-act) de mejora continua en el que se basa el estándar ISO 14001, resulta
Más detallesImplantación de un SGSI
Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...
Más detallesEntendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015
Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesCómo hacer coexistir el ENS con otras normas ya
Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesLa calidad no está reñida con los costes
QUIÉNES SOMOS Empresa fundada en 2012. Somos una Consultora de Procesos, Sistemas y Tecnologías de la Información que apuesta por las soluciones Open Source a medida, como alternativa en época de crisis.
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesEstándares y Normas de Seguridad
Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesImplantación de la norma ISO 27001 Implantación de la norma ISO 20000 en Pymes Españolas. Financiado por:
Implantación de la norma ISO 27001 Implantación de la norma ISO 20000 en Pymes Españolas Financiado por: 1 PRESENTACIÓN DEL PROYECTO El proyecto AvanzaSec, liderado por Audisec, nace para dar respuesta
Más detallesMejora de la Seguridad de la Información para las Pymes Españolas
Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la
Más detallesLOPD EN LAS EMPRESAS: Oferta de implantación y mantenimiento
LOPD EN LAS EMPRESAS: Oferta de implantación y mantenimiento Av. Cortes Valencianas, 30 1º-A 46015 Valencia. Telf. 902.747.112 www.forlopd.es Info@forlopd.es Forlopd es una consultora especializada en
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesINSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE
SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6
Más detalleswww.seguridadinformacion.com www.esquemanacionaldeseguridad.com
Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS) www.seguridadinformacion.com www.esquemanacionaldeseguridad.com ÍNDICE 1. INTRODUCCIÓN 3 2. GENERALIDADES 4 3. A QUIÉN APLICA 5 4. A QUIENES
Más detallesC/ ACEBO 33 POZUELO DE ALARCON 28224 - MADRID TELEFONO (91) 715 59 55. Curso
CEDS CENTRO DE ESTUDIOS Y DISEÑO DE SISTEMAS C/ ACEBO 33 POZUELO DE ALARCON 28224 - MADRID TELEFONO (91) 715 59 55 Curso Proyectos de Adecuación de los Sistemas Informáticos a la LOPD, RD 1720:2007 y LSSI
Más detallesSISTEMAS Y MANUALES DE LA CALIDAD
SISTEMAS Y MANUALES DE LA CALIDAD NORMATIVAS SOBRE SISTEMAS DE CALIDAD Introducción La experiencia de algunos sectores industriales que por las características particulares de sus productos tenían necesidad
Más detallesLPIC, PSO, PPE, BIA, AGR, Por qué no más sencillo? Gestión integral e integrada de todos estos sistemas. Global SGPIC
LPIC, PSO, PPE, BIA, AGR, Por qué no más sencillo? Gestión integral e integrada de todos estos sistemas. Global SGPIC Alejandro Delgado, Director de Proyectos INDICE 1. Audisec 2. LPIC: oportunidad 3.
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesCURSO DE ESQUEMA NACIONAL DE SEGURIDAD
CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer
Más detallesCreación del comercio electrónico para la empresa Donegear.com. Anexo F Características de los Sistemas de Pago
Anexo F Características de los Sistemas de Pago Pág. 2 Memoria Índice ÍNDICE 2 F.1 TPV Virtual... 3 F.1.1 Banco Popular...3 F.1.2 CyberPac de lacaixa...4 F.1.3 CajaMadrid...5 F.2 Sistemas alternativos
Más detallesGestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi
Gestión de Permisos Bizagi Suite Gestión de Permisos 1 Tabla de Contenido Gestión de Permisos... 3 Definiciones... 3 Rol... 3 Perfil... 3 Permiso... 3 Módulo... 3 Privilegio... 3 Elementos del Proceso...
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesSoluciones Integrales que brindan Calidad, Seguridad y Confianza
Soluciones Integrales que brindan Calidad, Seguridad y Confianza Agenda Introducción Objetivos y Alcance nfoque Metodológico strategia de Implementación 2 Introducción Presidencia instruyó a la Secretaría
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesUtilización del Acceso Remoto VPN. Ministerio del Interior N06
Utilización del Acceso Remoto VPN Ministerio del Interior N06 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso del sistema
Más detallesANTECEDENTES La Ley Orgánica de Protección de Datos de Carácter Personal 15/1999 (LOPD) y su Reglamento de Desarrollo RD 1720/07 en cumplimiento del mandato Constitucional previsto en el Artículo 18, garantiza
Más detallesEjemplo real de implantación de ISO 20000
Ejemplo real de implantación de ISO 20000 Consideraciones previas Antes de empezar qué es ISO 20000? ISO/IEC 20000-1 es una norma internacional que establece los requisitos para certificar la prestación
Más detallesGUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI
GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...
Más detallesEXPERIENCIAS EN LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD PARA EL PROCESO DE PRODUCCIÓN DE SOFTWARE
EXPERIENCIAS EN LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD PARA EL PROCESO DE PRODUCCIÓN DE SOFTWARE MSc. Gloria María Guerrero Llerena J Gestión de la Calidad y Auditoría. CITMATEL E-mail:
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesAuditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.
Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de
Más detallesDossier de empresa. > La empresa > Nuestros servicios > Trabajos realizados > Información de contacto. Más información disponible en: www.unatec.
Dossier de empresa > La empresa > Nuestros servicios > Información de contacto Diciembre 2011 Más información disponible en: www.unatec.es Dossier de empresa > La empresa Quiénes somos? Unatec es una empresa
Más detalles1. Seguridad de la Información... 3. 2. Servicios... 4
Guía de productos y servicios relacionados con la Seguridad de la Información INDICE DE CONTENIDO 1. Seguridad de la Información... 3 2. Servicios... 4 2.1 Implantación Sistema de Gestión de Seguridad
Más detallesInfraestructura Extendida de Seguridad IES
Infraestructura Extendida de Seguridad IES BANCO DE MÉXICO Dirección General de Sistemas de Pagos y Riesgos Dirección de Sistemas de Pagos INDICE 1. INTRODUCCION... 3 2. LA IES DISEÑADA POR BANCO DE MÉXICO...
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesINFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA
INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA con destino a GORE DE ATACAMA ELIMCO SISTEMAS Alfredo Barros Errázuriz 1954
Más detallesMEDIOS DE PAGO ELECTRONICO
MEDIOS DE PAGO ELECTRONICO Crecimiento del comercio electrónico en América Latina será de 59 billones de dólares en el 2012. 59 42 16 22 30 2008 2009 2010 2011 2012 Fuente: Estudio de VISA 6859 E-commerce
Más detalleswww.unjhana.com Unjhana @unjhana
Quiénes somos Somos una empresa que cuenta un equipo de trabajo con más de diez (10) años de experiencia en Gerencia de Proyectos y Gestión de Mantenimiento, relacionados con Telecomunicaciones y Tecnologías
Más detallesGarantía de cumplimiento de los sistemas de información con la normativa actual
Garantía de cumplimiento de los sistemas de información con la normativa actual Implantación de software para conseguir la máxima seguridad de TI y cumplir con la regulación vigente Libro blanco Introducción
Más detallesImplantación de un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2005
Implantación de un Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2005 INDICE 1. Audisec 2. Presentación del proyecto 3. Problemática y contexto 4. Situación actual 5. Beneficios 6. Desarrollo
Más detallesINFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1
INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1 A continuación haremos una descripción de los pasos con que cuenta nuestra metodología de la evaluación
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesREPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ
1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE
ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE MARZO 2007 Este documento contesta las preguntas más frecuentes que se plantean las organizaciones que quieren
Más detallesSGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es
SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado
Más detallesINFORME UCSP Nº: 2011/0070
MINISTERIO DE LA POLICÍA CUERPO NACIONAL DE POLICÍA COMISARÍA GENERAL DE SEGURIDAD CIUDADANA INFORME UCSP Nº: 2011/0070 FECHA 07/07/2011 ASUNTO Centro de control y video vigilancia integrado en central
Más detallesLEGISLACION Y NORMATIVAS COMO FACTORES DETERMINANTES DE LA CALIDAD DEL SOFTWARE
LEGISLACION Y NORMATIVAS COMO FACTORES DETERMINANTES DE LA CALIDAD DEL SOFTWARE 1. Introducción Una de los elementos más relevantes de la evolución de la economía en los últimos años ha sido su internacionalización
Más detallesRESULTADOS CONSULTA CIUDADANA VIRTUAL. Consulta Laboral en Línea
RESULTADOS CONSULTA CIUDADANA VIRTUAL Consulta Laboral en Línea Septiembre, 2015 1 Agradecimientos Ponemos a disposición de ustedes los resultados de la Consulta Ciudadana Virtual, efectuada en julio de
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesProporcionó tales servicios de acuerdo con sus prácticas manifestadas.
Valencia, 17 de Marzo de 2011 Informe de Auditoría Independiente A la Dirección de la Autoridad de Certificación de EDICOM (ACEDICOM): Hemos auditado las Manifestaciones realizadas por los Administradores
Más detallesFIRMA ELECTRÓNICA EN EL MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL SITUACIÓN PRESENTE Y FUTUROS DESARROLLOS
FIRMA ELECTRÓNICA EN EL MINISTERIO DE EMPLEO Y SEGURIDAD SOCIAL SITUACIÓN PRESENTE Y FUTUROS DESARROLLOS Miguel A. Gendive Rivas S. G. Adjunto de Tecnologías de la Información y Comunicaciones Conceptos
Más detallesAviso Legal. Entorno Digital, S.A.
Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos
Más detallesIntroducción. La certificación bajo la norma ISO 27001 garantiza que una empresa tiene implantado un SGSI y refuerza su imagen de marca.
ISO 27001:2005 Introducción La tendencia hacia un mercado global y sus correspondientes desafíos hace que muchas organizaciones, especialmente sus sistemas de información y redes de trabajo, se vean enfrentadas
Más detallesModelo de calidad IT Mark
Modelo de calidad IT Mark Agenda de Trabajo 1. Área de Calidad 2. Introducción IT Mark 3. Proceso del Negocio 3.1 Ten Square. 3.2 Evaluación 3.3 Evidencias 3.4 Presentación de resultados. 4. Proceso de
Más detallesUnidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3
INDICE Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 Unidad 1 Fundamentos ITIL 1.1 Historia y Concepto ITIL nació en la década de 1980, a través de la Agencia Central
Más detallesMOTOR DE RESERVAS NET HOTELES V3.0 SIN COMISIÓN PARA ESTABLECIMIENTOS HOTELEROS. http://www.motordereservas.es
MOTOR DE RESERVAS NET HOTELES V3.0 SIN COMISIÓN PARA ESTABLECIMIENTOS HOTELEROS http://www.motordereservas.es Información y Contratación: 902 193 444 INFORMACION GENERAL El Motor de Reservas Net Hoteles
Más detallesGlobalContinuity: Solución de Gestión a los Planes de Continuidad de Negocio
GlobalContinuity: Solución de Gestión a los Planes de Continuidad de Negocio AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad a sus clientes en el tratamiento
Más detallesNORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN
Resolución de 26 de marzo de 2004, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre consideraciones relativas a la auditoría de entidades
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesCurso de postgrado en Auditoría Informática
Curso de postgrado en Auditoría Informática Mayo 2014 Índice 1. Presentación... 1 2. Objetivos... 2 3. Dirigido para... 2 4. Contenidos... 3 5. Programa... 4 6. Desarrollo del curso... 6 7. Prerrequisitos,
Más detallesEXPERTOS EN CUMPLIMIENTO NORMATIVO
EXPERTOS EN CUMPLIMIENTO NORMATIVO EXPERTOS EN CUMPLIMIENTO NORMATIVO Alcatraz Solutions, expertos en cumplimiento normativo, se ha constituido de un tiempo a esta parte en un referente en el ámbito de
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesSoporte. Misión y Visión
Misión y Visión Misión Proporcionar servicios especializados, agregando valor a sus clientes, concentrando recursos y esfuerzos a través de profesionales innovadores en la solución de problemas utilizando
Más detalles