ESCUELA POLITÉCNICA NACIONAL
|
|
- María Ángeles Espinoza Miguélez
- hace 8 años
- Vistas:
Transcripción
1 ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA DE SISTEMAS PLAN DE SEGURIDAD DE LA INFORMACIÓN BASADO EN EL ESTÁNDAR ISO APLICADO A UN CASO DE ESTUDIO. PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN VERÓNICA LUCIA CHAMORRO ALVARADO vchamorroalvarado@gmail.com DIRECTOR: ING. CARLOS MONTENEGRO Carlos.Montenegro@epn.edu.ec Quito, enero 2013
2 ii DECLARACIÓN Yo, Verónica Lucia Chamorro Alvarado, declaro bajo juramento que el trabajo aquí descrito es de mi autoría; que no ha sido previamente presentado para ningún grado o calificación profesional; y, que he consultado las referencias bibliográficas que se incluyen en este documento. A través de la presente declaración cedo mis derechos de propiedad intelectual correspondiente a este trabajo, a la Escuela Politécnica Nacional, según lo establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la normatividad institucional vigente. Verónica Lucia Chamorro Alvarado
3 iii CERTIFICACIÓN Certifico que el presente trabajo fue desarrollado por Verónica Lucia Chamorro Alvarado, bajo mi supervisión. Ing. Carlos Montenegro DIRECTOR DE PROYECTO
4 AGRADECIMIENTOS A ti por todo tu apoyo VERÓNICA CHAMORRO
5 DEDICATORIA A mi madre VERÓNICA CHAMORRO
6 Contenido 1 SEGURIDAD INFORMÁTICA ESTÁNDARES DE SEGURIDAD INFORMÁTICA SEGURIDAD INFORMÁTICA Confidencialidad Integridad Disponibilidad Autenticidad Valor de la Información AMENAZAS EN LA SEGURIDAD INFORMÁTICA Amenaza Tipos de amenazas La amenaza informática del futuro RIESGOS EN LA SEGURIDAD INFORMÁTICA Riesgo Riesgo e impacto Tipos de riesgo PRINCIPALES ESTÁNDARES DE SEGURIDAD INFORMÁTICA El Estándar ISO/IEC EL Estándar ISO/IEC 27001: BS :2006 Sistemas de Gestión de Seguridad de la Información - Parte 3: Guías para la gestión de riesgos de seguridad de la información DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN EL ESTÁNDAR ISO DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA Guía para la gestión de la seguridad de las TI según la ISO TR Gestión del riesgo de seguridad de la información según la ISO IEC 27005: Seguridad de la administración, operación y uso de redes de sistemas de información, y sus interconexiones según la ISO/IEC CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE SEGURIDAD INFORMÁTICA Elementos de seguridad Objetivos, Estrategias y Políticas de seguridad de la empresa Aspectos organizativos de la seguridad informática Gestión de la seguridad informática Análisis estratégico del riesgo Recomendaciones de seguridad TI Sistema de Políticas de seguridad TI Plan de seguridad TI Implementación de seguridades... 47
7 Importancia de la Seguridad del conocimiento Seguimiento PLAN DE SEGURIDAD DE LA INFORMACIÓN CONSIDERACIONES PARA EL DESARROLLO DE UN PLAN DE SEGURIDAD INFORMÁTICO ELABORACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA INTRODUCCIÓN ALCANCE DEL PLAN POLÍTICAS DE SEGURIDAD INFORMÁTICA ENFOQUE PARA LA GESTIÓN DEL RIESGO PROCESO DE CÁLCULO DE RIESGO Análisis de Riesgo Evaluación del riesgo ANÁLISIS DEL RIESGO Identificación de activos Identificación de requerimientos legales y comerciales Tasación de activos Identificación de amenazas y vulnerabilidades Cálculo de las Amenazas y Vulnerabilidades Análisis del Riesgo y su Evaluación Tratamiento del riesgo y el proceso de toma de decisión gerencial RIESGO RESIDUAL Seleccionar Objetivos de Control y Controles para el Tratamiento de Riesgos Preparación de la Declaración de Aplicabilidad Plan de Tratamiento del Riesgo Mantenimiento y Monitoreo del plan de seguridad de la información Revisión de los Riesgos y Evaluación VALIDACIÓN DEL PLAN DE SEGURIDAD EN UN CASO DE ESTUDIO DESCRIPCIÓN DEL CASO DE ESTUDIO SELECCIÓN DESCRIPCIÓN DE LA EMPRESA MISIÓN VISIÓN POLÍTICA DE CALIDAD VALORES-PRINCIPIOS ORGANIGRAMA APLICACIÓN DEL PLAN SITUACIÓN PREVIA DE LA SEGURIDAD INFORMÁTICA DEL CASO DE ESTUDIO... 77
8 3.2.2 ESTABLECIMIENTO DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN AL CASO DE ESTUDIO Alcance del plan de seguridad de la información Políticas del Plan de seguridad de la información Enfoque para la gestión del riesgo Aspectos a contemplar al efectuar el análisis del riesgo Riesgo Residual IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD DE LA INFORMACIÓN AL CASO DE ESTUDIO Acuerdo de Confidencialidad Políticas de Seguridad Informática Asignación de Responsabilidades Uso Aceptable de los Activos de Información Inventario de Activos Instructivo para Etiquetado y Manejo de la Información Instructivo para Revisión de las Políticas de Seguridad Informática Registro de Compromiso de la Dirección con la Seguridad Informática Registro de Contacto con Grupos de Intereses Registro de Contacto con las Autoridades Registro de Revisión Independiente de la Seguridad Informática Registro de Seguimiento de las Políticas de Seguridad Informática ANÁLISIS DE RESULTADOS DEL CASO DE ESTUDIO CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA ANEXOS CD ANEXO 1 ANALISIS PREVIO DE LA EMPRESA..CD
9 ÍNDICE DE TABLAS Tabla 1.1 Riesgo e impacto... 8 Tabla 2.1 Tasación de activos de información Tabla 2.2 Activos de Información y propietarios Tabla 2.3 Clasificación de amenazas Tabla 2.4 Escala de Likert Tabla 2.5 Método para el cálculo del riesgo Tabla 2.6 Escala de riesgo para evaluar significado del riesgo Tabla 2.7 Ejemplo de declaración de aplicabilidad de un proceso Tabla 3.1 Datos del caso de estudio Tabla 3.2 Situación previa de la Seguridad de la Información Tabla 3.3 Activos de Información y Propietarios Tabla 3.4 Tasación de activos de información Tabla 3.5 Activos de Información de Sistemas y Soporte Tabla 3.6 Amenazas y Vulnerabilidades Tabla 3.7 Escala de riesgo y su evaluación Tabla 3.8 Tratamiento del Riesgo Tabla 3.9 Estrategias de tratamiento del riesgo Tabla 3.10 Declaración de aplicabilidad Tabla 3.11 Comparación de la situación previa y actual de la seguridad de la información
10 ÍNDICE DE FIGURAS Ilustración 1.1 Amenazas para la Seguridad Informática... 6 Ilustración 1.2 Modelo PDCA aplicado a los procesos SGSI Ilustración 1.3 Modelo de procesos de gestión de riesgos de BS Ilustración 1.4 Modelo de procesos para la gestión de la Seguridad de la Información Ilustración 1.5 Proceso de análisis detallado de riesgos de ISO/IEC Ilustración 1.6 Proceso de gestión de riesgos de seguridad de la información de ISO/IEC 27005: Ilustración 1.7 Proceso General De Identificación Y Análisis Ilustración 1.8 Relación entre los elementos de seguridad Ilustración 2.1 Relación causa-efecto entre elementos del análisis de riesgo Ilustración 2.2 Proceso de toma de decisiones para el tratamiento del riesgo Ilustración 3.1 Organigrama... 76
11 INTRODUCCIÓN Aplicar un plan de seguridad informática es muy importante dado que en este se establecen las directrices principales para la gestión de la seguridad informática. En el capítulo 1 se describen los estándares de seguridad informática. Además se indican las directrices del estándar ISO IEC que serán utilizadas para realizar el plan de seguridad informática. En el capítulo 2 se realiza el plan de seguridad informática y las consideraciones que se deben tomar en cuenta para realizar dicho plan. En el capítulo 3 se realiza una validación del plan de seguridad de la información aplicado a un caso de estudio específico, al cual se lo describe, se evalúa y se analiza los resultados que se obtienen. En el capítulo 4 se da a conocer las conclusiones y recomendaciones del trabajo realizado.
12 RESUMEN El presente trabajo tiene como objetivo aplicar el estándar ISO para proponer un plan de seguridad de la información en un caso de estudio de una empresa mediana de Desarrollo de Software. El Plan de Seguridad de la Información es la definición de las políticas de seguridad informática y su alineación con la misión y visión de la empresa como se notó en este trabajo ya que las políticas son la parte medular de la seguridad de la información. Al obtener los resultados se pudo analizar cuáles son las políticas de seguridad que requieren más atención para que este plan se pueda implementar adecuadamente, el caso de estudio seleccionado permitió conocer las fortalezas y debilidades que existen en cuanto a la seguridad informática así como también que políticas se deben implementar para mejorar el nivel de seguridad de la información de las empresas de desarrollo software del Ecuador.
13 1 1 SEGURIDAD INFORMÁTICA 1.1 ESTÁNDARES DE SEGURIDAD INFORMÁTICA Actualmente, a consecuencia de los avances tecnológicos que las organizaciones tienen a su disposición y la cantidad de información que manejan, es necesaria que toda esta información sea tratada de la forma adecuada considerándola como uno de los activos de mayor valor para el progreso de la misma. Dado que el uso de Internet se encuentra en aumento, cada vez más organizaciones permiten a sus socios y proveedores acceder a sus sistemas de información. Por lo tanto, es fundamental saber qué recursos de la organización necesitan protección para así controlar el acceso a los mismos y los permisos de los usuarios del sistema de información. Los mismos procedimientos se aplican cuando se permite el acceso a la organización a través de Internet. Además, debido a la tendencia creciente hacia un estilo de vida nómada de hoy en día, el cual permite a los empleados conectarse a los sistemas de información casi desde cualquier lugar, se pide a los empleados que lleven consigo parte del sistema de información fuera de la infraestructura segura de la organización. La mayoría de las organizaciones de nuestro país no le dan la importancia que merece a la seguridad informática por lo que están expuestos a grandes riesgos, tales como pérdida y fuga de información confidencial, documentos adulterados, entre otras. Ser lo que soy, no es nada sin la seguridad William Shakespeare ( ) aplicándolo a nuestros días, en las organizaciones se puede afirmar que al igual que hace cientos de años era importante la seguridad más ahora que vivimos en un mundo globalizado; para que las organizaciones sean pioneras y competitivas deben asegurar su información SEGURIDAD INFORMÁTICA Antes de hablar sobre estándares de seguridad informática se debe tener claro que es y para qué sirve la seguridad informática, cuales sus campos de aplicación y sus ventajas. La seguridad informática se define como el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta
14 2 (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. [1] La seguridad informática es una disciplina que se encarga de proteger la integridad y la privacidad de la información almacenada en un sistema informático. De todas formas, no existe ninguna técnica que permita asegurar la inviolabilidad de un sistema. Un sistema informático puede ser protegido desde un punto de vista lógico (con el desarrollo de software) o físico (vinculado al mantenimiento eléctrico, por ejemplo). Por otra parte, las amenazas pueden proceder desde programas dañinos que se instalan en la computadora del usuario (como un virus) o llegar por vía remota (los delincuentes que se conectan a Internet e ingresan a los distintos sistemas). [2] Entre las herramientas más usuales de la seguridad informática, se encuentran los programas antivirus, los cortafuegos o firewalls, la encriptación de la información y el uso de contraseñas (contraseñas). [2] Un sistema seguro debe ser íntegro (con información modificable sólo por las personas autorizadas), confidencial (los datos tienen que ser legibles únicamente para los usuarios autorizados), irrefutable (el usuario no debe poder negar las acciones que realizó) y tener buena disponibilidad (debe ser estable). De todas formas, como en la mayoría de los ámbitos de la seguridad, lo esencial sigue siendo la capacitación de los usuarios. Una persona que conoce cómo protegerse de las amenazas sabrá utilizar sus recursos de la mejor manera posible para evitar ataques o accidentes. [2] En base a las definiciones mencionadas se puede concluir que la Seguridad Informática se encarga de mantener la integridad, disponibilidad, control y autenticidad de los recursos informáticos tangibles e intangibles de una empresa u organización para cumplir sus propósitos, es decir, que no estén dañados o
15 3 alterados por circunstancias o factores tanto internos como externos. Además faculta a los usuarios para hacer un correcto uso de los medios a su disposición. Una vez que se ha definido la Seguridad Informática y notado su importancia para las organizaciones se debe conocer cuáles son los aspectos a tomar en cuenta en la Seguridad Informática CONFIDENCIALIDAD La confidencialidad ha sido definida por la Organización Internacional de Estandarización (ISO) en la norma ISO como: "garantizar que la información es accesible sólo para aquellos autorizados a tener acceso". Se debe proteger la información contra lecturas no autorizadas y que pueden ser utilizadas para inferir otros elementos de información confidencial Confidencialidad en Informática La confidencialidad se entiende en el ámbito de la seguridad informática, como la protección de datos y de información intercambiada entre un emisor y uno o más destinatarios frente a terceros. Esto debe hacerse independientemente de la seguridad del sistema de comunicación utilizado, de hecho un problema es garantizar la confidencialidad de la comunicación cuando el sistema es inherentemente inseguro (como Internet).[3] En un sistema que garantice la confidencialidad, un tercero que entra en posesión de la información intercambiada entre el remitente y el destinatario no es capaz de extraer cualquier contenido inteligible. Para garantizarla se utilizan mecanismos de cifrado y de ocultación de la comunicación. Digitalmente se puede mantener la confidencialidad de un documento con el uso de llaves asimétricas. Los mecanismos de cifrado garantizan la confidencialidad durante el tiempo necesario para descifrar el mensaje. Por esta razón, es necesario determinar durante cuánto tiempo el mensaje debe seguir siendo confidencial. No existe ningún mecanismo de seguridad absolutamente seguro Información confidencial Para las organizaciones, la tecnología Web se ha convertido en una forma de distribuir información con gran sencillez, tanto internamente, a sus propios
16 4 miembros, como de manera externa, a sus socios en todo el mundo. Esta información confidencial es un blanco atractivo para sus competidores y enemigos INTEGRIDAD Es necesario proteger la información mediante medios de respaldo, documentación, transito de red, etc., contra modificaciones sin permiso las cuales pueden ser producidas por errores de hardware, software y/o personas, de forma intencional o accidental DISPONIBILIDAD Se refiere a la continuidad operativa de la organización, la pérdida de disponibilidad puede implicar, la pérdida de productividad o de credibilidad de la organización. El sistema contiene información o proporciona servicios que deben estar disponibles a tiempo para satisfacer requisitos o evitar pérdidas importantes, como sistemas esenciales de seguridad y protección de la vida AUTENTICIDAD La autenticidad consiste en la confirmación de la identidad de quien hace uso de los recursos; es decir, la garantía para cada una de las partes son realmente quien dicen ser. Un control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el acceso a recursos únicamente a los usuarios autorizados VALOR DE LA INFORMACIÓN Considerando la continuidad de la organización, lo mas critico que debería protegerse son los datos (la información). La información constituye un recurso que en muchos casos no se valora adecuadamente debido a su intangibilidad. Toda organización está expuesta a riesgos y peligros que la hacen vulnerable a sabotajes.
17 AMENAZAS EN LA SEGURIDAD INFORMÁTICA AMENAZA Se considera amenaza a cualquier evento que pueda provocar daños en los sistemas de información, produciendo a la empresa pérdidas materiales o financieras. Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía se debe tener en cuenta amenazas "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización por ejemplo mediante estructura de redes (en el caso de las comunicaciones).[4] Estos fenómenos pueden ser causados por: El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito). Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware. Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, entre otras.). Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos. El personal interno de sistemas: Las luchas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática. En la Ilustración 1.1 se muestra un resumen de las amenazas de seguridad.
18 6 Amenazas de la Seguridad Humanas Desastres Naturales Maliciosas No Maliciosas Incendios Inundaciones Terremotos Externas (hakers) Internas (Empleados inconformes) Empleados Ignorantes TIPOS DE AMENAZAS Ilustración 1.1 Amenazas para la Seguridad Informática Fuente: Varios Autores El hecho de conectar una red a un entorno externo nos da la posibilidad de sufrir un ataque, robo de información o alteración del funcionamiento de la red. Sin embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la seguridad de la misma. De acuerdo con el Instituto de Seguridad Informática (CSI) de San Francisco aproximadamente entre 60 y 80 por ciento de los incidentes de red son causados dentro de la misma. Basado en esto podemos decir que existen dos tipos de amenazas detalladas a continuación Amenazas internas Generalmente estas amenazas pueden ser más serias que las externas por varias razones como son: Los usuarios conocen la red y saben cómo es su funcionamiento.
19 7 Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo. Los IPS y Firewalls son mecanismos no efectivos en amenazas internas. Esta situación se presenta gracias a los esquemas ineficientes de seguridad con los que cuentan la mayoría de las organizaciones a nivel mundial, y porque no existe conocimiento relacionado con la planeación de un esquema de seguridad eficiente que proteja los recursos informáticos de las actuales amenazas combinadas. El resultado es la violación de los sistemas, provocando la pérdida o modificación de los datos sensibles de la organización, lo que puede representar perdidas para la empresa de millones de dólares Amenazas externa Son aquellas amenazas que se originan del exterior de la red. Al no tener información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el administrador de la red puede prevenir una buena parte de los ataques externos LA AMENAZA INFORMÁTICA DEL FUTURO Si en un momento el objetivo de los ataques fue cambiar las plataformas tecnológicas ahora las tendencias cibercriminales indican que la nueva modalidad es manipular los significados de la información digital. El área semántica, era reservada para los humanos, se convirtió ahora en el núcleo de los ataques debido a la evolución de la Web 2.0 y las redes sociales, factores que llevaron al nacimiento de la generación 3.0. Se puede afirmar que la Web 3.0 otorga contenidos y significados de manera tal que pueden ser comprendidos por las computadoras, las cuales por medio de técnicas de inteligencia artificial son capaces de emular y mejorar la obtención de conocimiento, hasta el momento reservada a las personas. [1]
20 RIESGOS EN LA SEGURIDAD INFORMÁTICA RIESGO Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. El riesgo es una media de las posibilidades del incumplimiento o exceso del objetivo planeado. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas. En informática el riesgo solo tiene que ver con la amenaza que la información puede sufrir, determinando el grado de exposición y la pérdida de la misma. La ISO (Organización Internacional de Estándares) define el riesgo informático como: La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos, generándose así pérdidas o daños. [6] Riesgo = vulnerabilidades * amenazas Si no hay amenazas no hay riesgo Si no hay vulnerabilidades no hay riesgo RIESGO E IMPACTO En la actualidad los riesgos informáticos pueden ser por distintas causas, como defectos tecnológicos, negligencia por parte de los usuarios, desastres naturales entre otros, los cuales se muestran en la Tabla 1.1 con los respectivos impactos que producen en las organizaciones. [6] Riesgo Robo de hardware Robo de información Vandalismo Fallas en los equipos Virus Informáticos Equivocaciones Impacto Alto Alto Medio Medio Medio Medio Accesos no autorizados Medio Fraude Fuego Terremotos Bajo Tabla 1.1 Riesgo e impacto Fuente: Varios Autores Muy Bajo Muy Bajo
21 TIPOS DE RIESGO Ataques híbridos Son ataques en los que se mezclan más de una técnica: DOS, DDOS, Exploits, Escaneos, Troyanos, Virus, Buffer Overflows, Inyecciones, entre otras. Suelen ser de muy rápida propagación y siempre se basan en alguna vulnerabilidad de algún sistema. Por ejemplo los gusanos Blaster, Sasser, o Slammer, Buffer Overflows, escaneado de direcciones, transmisión vía Internet, y mimetización en los sistemas, se propagaron por todo el planeta en cuestión de pocas horas gracias a una mezcla de técnicas de uso de vulnerabilidad Ingeniería social Son ataques en los que se intenta engañar a algún usuario para hacerle creer como cierto algo que no lo es. Como el ejemplo que se muestra a continuación: Buenos días, es la secretaria del Director del Departamento? Si dígame, que desea? Soy Pedro, técnico informático del Centro de Apoyo a Usuarios y me han informado para reparar un virus del ordenador del director pero la clave que me han indicado para entrar no es correcta, podría ayudarme, por favor? [9] Otros ataques de este tipo son: Farming, SPAM, Pishing, a los cajeros automáticos, entre otras PRINCIPALES ESTÁNDARES DE SEGURIDAD INFORMÁTICA Dentro de cada una de las organizaciones que tengan su operatividad basada en tecnologías de la información, es recomendable implementar buenas prácticas de seguridad informática, ya que en la mayoría de casos en que no se sigue un proceso de implementación adecuado, se pueden generar vulnerabilidades que aumenten la posibilidad de riesgos en la información. Para el efecto, se crean normas y estándares internacionales de alto nivel para la administración de la seguridad informática como son: la BS 7799, la ISO y la ISO/IEC 27001, entre otras EL ESTÁNDAR ISO/IEC ISO/IEC denominada también como ISO es un estándar para la seguridad de la información publicado por primera vez como ISO/IEC 17799:2000
22 10 por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional en el año 2000, con el título de Técnicas de Seguridad: Código de buenas prácticas para la gestión de seguridad de la información. Tras un periodo de revisión y actualización de los contenidos del estándar, se publicó en el año 2005 el documento actualizado denominado ISO/IEC 17799:2005. El estándar ISO/IEC tiene su origen en el Estándar Británico BS que fue publicado por primera vez en Directrices del estándar ISO/IEC ISO/IEC proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran)". La versión de 2005 del estándar incluye las siguientes once secciones principales: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. Dentro de cada sección, se especifican los objetivos de los distintos controles para la seguridad de la información. Para cada uno de los controles se indica de
23 11 la misma forma una guía para su implantación. El número total de controles suma 133 entre todas las secciones aunque cada organización debe considerar previamente cuántos serán realmente los aplicables según sus propias necesidades EL ESTÁNDAR ISO/IEC 27001:2005 El Estándar Internacional ISO/IEC 27001:2005 ha sido preparado para proporcionar un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información. Según el Estándar la adopción de un SGSI para una organización debe realizarse como parte de las decisiones estratégicas, para lo cual es necesario el compromiso de la gerencia para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del SGSI. [1] El Estándar toma el modelo de procesos Planear Hacer Chequear Actuar (PDCA) que se muestra en la Ilustración 1.2. Partes Interesadas Mantener y mejorar el SGI Planear Establecer el SGSI Partes Interesadas Requerimientos y expectativas de la seguridad de la información Actuar Monitoriar y revisar el SGSI Desarrollar, mantener y mejorar el ciclo Chequear Implementar y operar el SGSI Hacer Ilustración 1.2 Modelo PDCA aplicado a los procesos SGSI Fuente: Estàndar ISO/IEC 27000: 2005 Seguridad de la información manejada También el Estándar utiliza los Lineamientos OECD19 que se aplican a las políticas para la seguridad de los Sistemas y Redes de Información. Estos principios son: Conciencia, Responsabilidad, Respuesta, Evaluación del Riesgo, Diseño e Implementación de la Seguridad, Gestión de la Seguridad y Reevaluación. Para la aplicación de este Estándar se necesita a su vez el estándar ISO/IEC 17799:2005 que es el Código de Práctica para la Gestión de la Seguridad de la
24 12 Información, el cual contiene un conjunto de objetivos de control y controles para desarrollar estándares de seguridad organizacional y prácticas de seguridad efectivas Beneficios El hecho de certificar un SGSI según la norma ISO/IEC puede aportar las siguientes ventajas a la organización[12]: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de la organización con la seguridad de la información. El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora. Nota: las organizaciones que simplemente cumplen la norma ISO/IEC o las recomendaciones de la norma del código profesional, ISO/IEC no logran estas ventajas Implantación La implantación de ISO/IEC en una organización es un proyecto que suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al Sistema de Gestión de la Seguridad de la Información elegido. En general, es recomendable la ayuda de consultores externos. Aquellas organizaciones que hayan adecuado previamente de forma rigurosa sus sistemas de información y sus procesos de trabajo a las exigencias de las normativas legales de protección de datos (por ejemplo, en España la conocida
25 13 LOPD y sus normas de desarrollo, siendo el más importante el Real Decreto 1720/2007, de 21 de diciembre de desarrollo de la Ley Orgánica de Protección de Datos) o que hayan realizado un acercamiento progresivo a la seguridad de la información mediante la aplicación de las buenas prácticas de ISO/IEC 27002, partirán de una posición más ventajosa a la hora de implantar ISO/IEC BS :2006 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN - PARTE 3: GUÍAS PARA LA GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Se definió para soportar la implantación de Sistemas de Gestión de Seguridad de la Información basados en el estándar ISO/IEC 27001:2005 [BS ] [IS ]. Los principales procesos de análisis de riesgos que define son: o Identificación de activos. o Identificación de requerimientos legales y de negocio relevantes para los activos identificados. o Valoración de los activos teniendo en cuenta los requerimientos identificados y el impacto resultante de la pérdida de confidencialidad, integridad o disponibilidad. o Identificación de amenazas y vulnerabilidades relevantes para los activos identificados. o Valoración de la posibilidad de que ocurran las amenazas y vulnerabilidades. Evaluación de riesgos: o Calculo de riesgos o Evaluación de los riesgos teniendo en cuenta una escala de riesgos. Tratamiento de riesgos y decisiones de la dirección. o Determinación de la estrategia de gestión de los riesgos: Reducir Aceptar Transferir Evitar o Evaluación del riesgo residual
26 14 o Definición del plan de tratamiento de riesgos Actividades de gestión continuo del riesgo: o Mantenimiento y monitorización. o Revisiones de la dirección, o Revisiones y reevaluaciones de riesgos, o Auditorías. o Controles de documentación, o Acciones correctivas y preventivas, o Reporting y comunicaciones Los procesos propuestos para la gestión del riesgo definen un ciclo iterativo que se puede comprobar en la Ilustración 1.3. Actividades de gestión continúa de riesgos Mantener y mejorar los controles de riesgos Valoración de riesgos Monitorizar y revisar los riegos Valorar y evacuar los riesgos Seleccionar, implementar y operar controles para tratar los riesgos Tratamiento de riesgos y decisiones de dirección Ilustración 1.3 Modelo de procesos de gestión de riesgos de BS Fuente: Norma BS : DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA EN EL ESTÁNDAR ISO La ISO (Organización Internacional de Normalización) y el ICE (La Comisión Electrotécnica Internacional) forman el sistema especializado para el desarrollo de
27 15 las Normas Internacionales, a través de comités técnicos establecidos para hacer frente a determinados campos de la actividad técnica. Además en circunstancias excepcionales, una comisión técnica podrá proponer la publicación de un Informe Técnico de uno de los siguientes tipos: Tipo 1, cuando el apoyo necesario no se puede obtener por la publicación de una norma internacional, a pesar de los varios esfuerzos. Tipo 2, cuando el tema esté todavía en desarrollo técnico requiriendo una explicación detallada, o cuando por cualquier razón es el futuro, pero no una posibilidad inmediata de un acuerdo sobre una norma internacional. Tipo 3, cuando la comisión técnica ha recogido datos diferentes de los que normalmente se publican en un estándar internacional ("estado del arte", por ejemplo). Los informes técnicos de los tipos 1 y 2 están sujetos a revisión dentro de tres años posterior a la publicación, para decidir si se puede transformar en normas internacionales. Los informes técnicos del tipo 3 no necesariamente tienen que ser revisados, hasta que los datos que proporcionan son considerados como no válidos o inútiles. El propósito del ISO / IEC TR es proporcionar una guía, no soluciones, en aspectos de gestión de la seguridad informática. Los individuos dentro de una organización que son responsables de la seguridad de TI deben ser capaces de adaptar el material de este informe para satisfacer sus necesidades específicas. Sus principales objetivos son: Definir y describir los conceptos relacionados con la gestión de la seguridad informática Identificar las relaciones entre la seguridad de la gestión de las TI y la gestión de las TI en general Presentar varios modelos que se pueden utilizar para explicar la seguridad de TI Proporcionar una orientación general sobre la gestión de la seguridad informática. El documento se articula en las siguientes cinco partes:
28 16 ISO / IEC TR se compone de las siguientes partes, bajo el título de la tecnología de información general - Directrices para la gestión de la seguridad informática: Parte 1: Conceptos y modelos para la seguridad de las Tecnologías de la Información. (Publicada en 2004) [ISO ] Parte 2: Planificación y gestión de la seguridad de las Tecnologías de la Información. (Publicada en 1997, ha quedado obsoleta por la publicación de la última versión de la parte 1) [ISO ] Parte 3: Técnicas para la gestión de la seguridad de las Tecnologías de la Información. (Publicada en 1998, ha quedado obsoleta por la publicación de la norma ISO/IEC 27005:2008) [ISO ] Parte 4: Selección de salvaguardas. (Publicada en 2000, ha quedado obsoleta por la publicación de la norma ISO/IEC 27005:2008) [ISO ] Parte 5: Salvaguardas para conexiones externas. (Publicada en 2001, ha quedado obsoleta por la publicación de la norma ISO/IEC :2006) [ISO ][10] DIRECTRICES PARA LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA GUÍA PARA LA GESTIÓN DE LA SEGURIDAD DE LAS TI SEGÚN LA ISO TR El modelo de procesos propuesto por el informe técnico ISO/IEC para la gestión de la Seguridad de la Información se resume en la Ilustración 1.4.
29 17 Política, estrategia y objetivos de seguridad de TI Objetivos y estrategias de seguridad de TI Política corporativa de Seguridad de TI Opciones de estrategia corporativa de análisis de riesgos Enfoque de Referencia Enfoque Informal Enfoque Detallado Enfoque Combinado Opciones de estrategia corporativa de análisis de riesgos Análisis de riesgos de alto nivel Análisis de riesgos detallado Enfoque de referencia Selección de salvaguardias Aceptación de riesgos Políticas de Seguridad de Sistemas de TI Plan de seguridad de TI Implementación de Salvaguardas Implementación del plan de seguridad TI Concienciación de seguridad Aprobación del Sistema TI Formación de seguridad Seguimiento Revisión de cumplimiento de seguridad Mantenimiento Gestión de cambios Monitoreo Gestión de Incidentes Ilustración 1.4 Modelo de procesos para la gestión de la Seguridad de la Información Fuente: ISO/IEC 13335
30 18 Los procesos de gestión de seguridad de la información incluyen el proceso de análisis detallado de riesgos, que se describe en la Ilustración 1.5. Análisis de riesgos Establecimiento del alcance de la revisión Identificación de activos Valoración de activos Establecimiento de dependencias Valoración de amenazas Valoración de vulnerabilidades Enfoque combinado Valoración de riesgos Selección de salvaguardas NO Identificación/revisió n de restricciones SI Aceptación de riesgos Política de seguridad de sistemas Plan de seguridad de TI Ilustración 1.5 Proceso de análisis detallado de riesgos de ISO/IEC Fuente: ISO/IEC GESTIÓN DEL RIESGO DE SEGURIDAD DE LA INFORMACIÓN SEGÚN LA ISO IEC 27005:2008 La norma ISO/IEC 27005:2008 está basada en los informes técnicos ISO/IEC TR :1998 [ISO ] e ISO/IEC TR :2000 [ISO ]. El proceso de gestión de riesgos se describe de la siguiente manera: Establecimiento del contexto, en el que se definen los objetivos, el alcance y la organización, para todo el proceso.
31 19 Valoración de riesgos, en el que se obtiene toda la información necesaria para conocer, valorar y priorizar los riesgos. Se divide en tres partes: 1. Identificación de riesgos, que consiste en determinar qué puede provocar pérdidas a la organización. 2. Estimación de riesgos, que consiste en utilizar métodos cuantitativos o cualitativos para obtener una cuantificación de los riesgos identificados, teniendo en cuenta los activos, las amenazas y las salvaguardas. 3. Evaluación de riesgos, que consiste en comparar los riesgos estimados con los criterios de evaluación y de aceptación de riesgos definidos en el establecimiento del contexto. Tratamiento de riesgos, en el que se define la estrategia para abordar cada uno de los riesgos valorados: reducción, aceptación, evitación o transferencia. Aceptación de riesgos, en el que se determinan los riesgos que se decide aceptar, y la justificación correspondiente a cada riesgo aceptado. Comunicación de riesgos, en la que todos los grupos de interés intercambian información sobre los riesgos. Monitorización y revisión de riesgos, en la que el análisis de riesgos se actualiza con todos los cambios internos o externos que afectan a la valoración de los riesgos. El proceso de gestión de riesgos definido por la norma ISO/IEC 27005:2008 puede resumirse en la Ilustración 1.6.
32 20 Establecimiento del contexto Comunicación de riesgos Valoración de riesgos Análisis de riesgos Identificación de riesgos Estimación de riesgos Evaluación de riesgos Valoración satisfactoria Tratamiento de riesgos Monitorización y revisión de riesgos Tratamiento satisfactorio Aceptación de riesgos Ilustración 1.6 Proceso de gestión de riesgos de seguridad de la información de ISO/IEC 27005:2008 Fuente: ISO/IEC 27005: SEGURIDAD DE LA ADMINISTRACIÓN, OPERACIÓN Y USO DE REDES DE SISTEMAS DE INFORMACIÓN, Y SUS INTERCONEXIONES SEGÚN LA ISO/IEC El propósito de ISO/IEC es proporcionar una guía detallada sobre los aspectos de seguridad de la administración, operación y uso de redes de sistemas de información, y sus interconexiones. La norma ISO / IEC es la referencia para definir, orientar y describir los conceptos asociados con la gestión de la seguridad de redes, incluida la forma de identificar y analizar las comunicaciones relacionadas con factores que deben tenerse en cuenta para establecer los requisitos de seguridad de red, con una introducción a las áreas de
33 21 control posibles y las áreas técnicas específicas (que se aborda en las diferentes partes de la norma ISO/IEC 18028). La norma ISO / IEC es relevante para cualquier persona involucrada en la posesión, explotación o uso de una red, incluyendo a los altos directivos, además de los gerentes y administradores que tienen responsabilidades específicas para la seguridad de la información. El documento ISO/IEC tiene las siguientes referencias de otras normas: ISO / IEC :2005, Tecnologías de la información- Técnicas de seguridad- La seguridad informática de la red- Parte 2: Arquitectura de seguridad de red. ISO / IEC :2005, Tecnologías de la información- Técnicas de seguridad- La seguridad informática de la red- Parte 3: Asegurar las comunicaciones entre redes que utilizan Gateway de seguridad. ISO / IEC :2005, Tecnologías de la información- Técnicas de seguridad- La seguridad informática de la red- Parte 4: Asegurar el acceso remoto. ISO / IEC :2006, Tecnologías de la información- Técnicas de seguridad- La seguridad informática de la red- Parte 5: Asegurar las comunicaciones a través de redes con VPN ISO / IEC :2004, Tecnologías de la información- Técnicas de seguridad- Gestión de la información y la seguridad de la tecnología de comunicaciones- Parte 1: Conceptos y modelos de información y tecnología de gestión de seguridad de las comunicaciones. ISO / IEC 17799:2005, Tecnología de la información- Técnicas de seguridad- Código de prácticas para gestión de seguridad de tecnologías de la información. ISO / IEC 18044:2004,- Técnicas de seguridad- Seguridad de la información de gestión de incidentes. ISO / IEC 18043:2006, Tecnología de la información- Técnicas de seguridad- Selección, despliegue y operaciones de sistemas de detección de intrusos. La norma tiene un proceso general de identificación y análisis de los factores relacionados con las comunicaciones que se debe tener en cuenta para establecer los requisitos de seguridad y control de red. La Ilustración 1.7 muestra los pasos de este proceso.
34 Ilustración 1.7 Proceso general de identificación y Análisis Fuente: ISO / IEC 18043:
35 23 En la Ilustración 1.7 las líneas de color negro solido representan el camino principal del proceso, y la línea de puntos negro indica donde los tipos de riesgo para la seguridad pueden ser determinados con la ayuda de una evaluación de riesgos y sus resultados CONCEPTOS Y ASPECTOS FUNDAMENTALES DE UN PLAN DE SEGURIDAD INFORMÁTICA ELEMENTOS DE SEGURIDAD Las organización debe definir los elementos de seguridad que se apliquen a su caso, a continuación se describen los elementos de seguridad Principios de Seguridad Los siguientes principios de alto nivel de seguridad son fundamentales para el establecimiento de un eficaz programa de Seguridad de TI La gestión del riesgo Los activos de la empresa deben ser protegidos mediante la adopción de garantías. Las garantías deben ser seleccionadas y gestionadas sobre la base de una adecuada metodología de gestión del riesgo, que evalúe a la organización, los bienes, las amenazas, las vulnerabilidades y el impacto que producen las amenazas, para atender los riesgos y tomar en cuenta las limitaciones Compromiso Se debe especificar los beneficios que obtendrá la empresa al comprometerse con la implementación de seguridad de TI Funciones y responsabilidades Los roles y responsabilidades para la seguridad de TI deben ser claramente comunicadas Objetivos, estrategias y políticas Los riesgos para la seguridad de TI deben ser manejados considerando los objetivos, estrategias y políticas de la organización.
36 Activos En relación con la seguridad de la información, se refiere a cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización. Según [ISO/IEC :2004]: Se debe determinar los activos como cualquier cosa que tiene valor para la organización Bienes La gestión adecuada de los activos es vital para el éxito de la organización, y es una de las principales responsabilidad de todos los niveles de gestión. Los activos de una organización puede ser considerada lo suficientemente valioso como para justificar un cierto grado de protección. Estos pueden incluir, sin limitarse a: Los activos físicos (por ejemplo, equipos informáticos, instalaciones de comunicaciones, edificios). Información / datos (por ejemplo, documentos, bases de datos), software. La capacidad de proporcionar un producto o servicio, personas. Bienes intangibles (imagen de la empresa). Desde una perspectiva de seguridad, no es posible implementar y mantener un programa de seguridad con éxito si los activos de la organización no se identifican. El nivel de detalle para esta práctica se debe medir en términos de tiempo y costo en comparación con el valor de los bienes. El nivel de detalle de los bienes se determinará sobre la base de los objetivos de seguridad. Los atributos de los bienes a ser considerados incluyen su valor y / o sensibilidad, y las garantías que presentan Amenazas Los activos están sujetos a diversos tipos de amenazas. Una amenaza tiene el potencial de causar daño a un activo y por lo tanto a una organización. Este daño puede ocurrir a partir de un ataque a la información, causando destrucción no autorizada, divulgación, modificación, la corrupción y la falta de disponibilidad o pérdida. Una amenaza tiene que explotar una vulnerabilidad existente del activo con el fin de perjudicar a los activos. Las amenazas pueden ser de origen ambiental o humano y, en este último caso, puede ser accidental o deliberada. Amenazas tanto accidental como intencionada deben ser identificadas y su nivel y
37 25 probabilidad de ocurrencia evaluada. Los datos estadísticos disponibles sobre muchos tipos de las amenazas ambientales pueden ser obtenidos y utilizados por una organización, mientras se evalúa las amenazas. Las amenazas tienen características que definen sus relaciones con los elementos de seguridad. Al definir las amenazas se debe tomar en cuenta el entorno y la cultura en la que se encuentra la empresa. Las amenazas pueden ser calificados en términos tales como Alta, Media y Baja, en función del resultado de evaluación de amenazas Vulnerabilidades Una debilidad de un bien, o grupo de bienes, que puede ser explotado por una o más amenazas se conoce como una vulnerabilidad. Las vulnerabilidades asociadas con bienes incluyen debilidades en el diseño físico, organización, procedimientos, personal, gestión, administración, hardware, software o información. Una vulnerabilidad puede existir en ausencia de amenazas correspondiente. Una vulnerabilidad no es más que una condición o un conjunto de condiciones que pueden permitir que una amenaza afecte a un activo. Vulnerabilidades que surgen de diferentes fuentes deben ser consideradas, por ejemplo, los. Intrínsecos o extrínsecos al activo. Las vulnerabilidades deben ser evaluadas individualmente y en conjunto para considerar el contexto operacional. Dentro de un sistema u organización específica, no todas las vulnerabilidades serán susceptibles a una amenaza. Vulnerabilidades que tienen un peligro son de interés inmediato. Sin embargo, como el medio ambiente puede cambiar impredeciblemente, todas las vulnerabilidades deben ser controladas para identificar a los que se han expuesto a nuevas o re-emergentes amenazas. Evaluar las vulnerabilidades es el examen de las debilidades que pueden ser explotadas por las amenazas identificadas. Esta evaluación debe tener en cuenta el medio ambiente y las garantías existentes. La medida de una vulnerabilidad de un sistema particular o bien, es una declaración de la facilidad con la que el sistema o bien puede resultar perjudicado.
38 26 Las vulnerabilidades pueden ser calificados en términos tales como Alta, Media y Baja, en función del resultado de la evaluación de la vulnerabilidad Impacto El impacto es el resultado de un incidente de seguridad de la información, causada por una amenaza, que afecta a los bienes. El impacto podría ser la destrucción de ciertos activos, daños en el sistema de TI, y compromiso de confidencialidad, integridad, disponibilidad, no repudio, la rendición de cuentas, autenticidad o fiabilidad. Impacto indirecto incluye posibles pérdidas financieras, y la pérdida de cuota de mercado o imagen de la empresa. La medición del impacto permite un equilibrio que se hizo entre los resultados previstos de un incidente y el costo de las garantías de protección contra el incidente. Se debe tener en cuenta la probabilidad de ocurrencia de un incidente. Las mediciones cuantitativas y cualitativas del impacto se pueden lograr de varias formas, como: Establecer el costo financiero, Asignar una escala empírica de la gravedad, por ejemplo, del 1 al 10, y El uso de adjetivos seleccionados de una lista predefinida, por ejemplo, Alta, Media y Baja Riesgo El riesgo es la posibilidad de que una amenaza se aprovecha de las vulnerabilidades de un activo o grupo de activos y por lo tanto cause daño a la organización. Amenazas simples o múltiples pueden explotar una o múltiples vulnerabilidades. Para describir los riesgos dentro de la empresa se debe plantear escenarios mediante los cuales se pueda explotar una determinada vulnerabilidad o un grupo de vulnerabilidades que exponen los bienes de daño mediante una o varias amenazas, caracterizando al riesgo por una combinación de dos factores, la probabilidad de que el incidente que se produzca y sus consecuencias Cualquier cambio en los bienes, las amenazas, vulnerabilidades y garantías pueden tener efectos significativos sobre los riesgos. La detección temprana o el conocimiento de los cambios aumentan la oportunidad para tomar las medidas adecuadas para tratar los riesgos. Opciones para el
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesSeguridad de la Información & Norma ISO27001
Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesCómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón
Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesSEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesPROTECCIÓN DEL PATRIMONIO TECNOLÓGICO
PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO Mtra. Mariela Osorio Domínguez El Modelo Nacional de Gestión de Tecnología considera la Protección del Patrimonio Tecnológico como la salvaguarda y cuidado del patrimonio
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesPERFILES OCUPACIONALES
PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan
Más detallesCMMI (Capability Maturity Model Integrated)
CMMI (Capability Maturity Model Integrated) El SEI (software engineering institute) a mediados de los 80 desarrolló el CMM (modelo de madurez de la capacidad de software). CMMI: CMM integrado, una mezcla
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesNORMATIVA ISO 27001. Tasador colaborador con con la la justicia
NORMATIVA ISO 27001 Tasador colaborador con con la la justicia 1 LA SEGURIDAD INFORMÁTICA COMO INVERSIÓN INTRODUCCIÓN A menudo, cuando me he reunido con los departamentos presupuestarios y de finanzas
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto
ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital AUTOR: Ing. Elvin Suarez Sekimoto Email: peluka_chino@hotmail.com U.A.P.-I.T.P.R. CARRERA CONTABILIDAD PUERTO
Más detallesMANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA
MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesTaller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013
Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesESCUELA POLITECNICA NACIONAL
1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para
Más detallesSecretaría General OFICINA NACIONAL DE GESTIÓN Y PATRIMONIO DOCUMENTAL DIRECTRIZ TÉCNICA
Secretaría General OFICINA NACIONAL DE GESTIÓN Y PATRIMONIO DOCUMENTAL DIRECTRIZ TÉCNICA Tratamiento de documentos electrónicos aplicados a documentación de la Universidad Nacional de Colombia (Actualizada
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesLA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA
Más detallesMANUAL DE SEGURIDAD DE LA INFORMACIÓN
MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesCURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información
CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detalles[Guía de auditoría AudiLacteos]
[Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesENFOQUE ISO 9000:2000
ENFOQUE ISO 9000:2000 1 PRESENTACION En 1980 la IOS (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION) organismo de origen europeo, enfoco sus esfuerzos hacia el establecimiento de lineamientos en términos
Más detallesEntendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015
Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro
Más detallesPOLÍTICA DE TECNOLOGÍA DE INFORMACIÓN
TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades
Más detallesSGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es
SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado
Más detallesdeterminar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;
Soporte 6Claves para la ISO 14001-2015 BLOQUE 7: Soporte La planificación, como elemento fundamental del Ciclo PDCA (plan-do-check-act) de mejora continua en el que se basa el estándar ISO 14001, resulta
Más detallesCOMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD
COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma
Más detallesRESUMEN Y CONCLUSIONES DE OHSAS 18.000
RESUMEN Y CONCLUSIONES DE OHSAS 18.000 Durante el segundo semestre de 1999, fue publicada la normativa OHSAS18.000, dando inicio así a la serie de normas internacionales relacionadas con el tema Salud
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesXXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998
XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción
Más detallesNombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: 4.2.2 DIRECCIÓN GENERAL DE EVALUACIÓN
Página 1 de 8 DIRECCIÓN GENERAL DE EVALUACIÓN 7.1 Planificación de la realización del servicio En la Dirección General de Evaluación (DGE) la planificación de la realización del servicio está sustentada
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detallesNuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue
Más detallesIs not jus power, is reliability and trust. Yei Systems S.A. de C.V.
Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática
Más detallesPrincipios de Privacidad y Confidencialidad de la Información
Principios de Privacidad y Confidencialidad de la Información Con el objetivo de mantener nuestro permanente liderazgo en la protección de la privacidad del cliente, Manufacturera 3M S.A de C.V está activamente
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesGestión de Configuración del Software
Gestión de Configuración del Software Facultad de Informática, ciencias de la Comunicación y Técnicas Especiales Herramientas y Procesos de Software Gestión de Configuración de SW Cuando se construye software
Más detallesNorma ISO 9000-3. Francisco D Angelo Douglas García Claudia Herrera Luis Laviosa
Norma ISO 9000-3 Francisco D Angelo Douglas García Claudia Herrera Luis Laviosa Norma ISO 9000-3 Marco Teórico Reseña sobre concepto de calidad y descripción de las normas ISO Norma ISO 9000-3 Generalidades,
Más detallesTEMARIO. Sistemas de Gestión
SISTEMAS DE GESTIÓN TEMARIO Sistemas de Gestión Sistema de Gestión Integrado Gestión de la Calidad Gestión Ambiental Gestión de la Salud y Seguridad Ocupacional Gestión de Energía Acuerdos de producción
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesQué es la ISO 27001?
Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesMestrado em Tecnologia da Informação. Segurança da Informação
Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detallesCómo hacer coexistir el ENS con otras normas ya
Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción
Más detallesRiesgo Operacional. BBVA Bancomer Gestión S.A. de C.V. Sociedad Operadora de Sociedades de Inversión. Metodología
BBVA Bancomer Gestión S.A. de C.V. Sociedad Operadora de Sociedades de Inversión Metodología Contenido Sección I Modelo Estratégico Visión organizacional Formas de gestión: ex-ante y ex-post Sección II
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detallesGestión de Riesgos en Proyectos
GRUPO VISIÓN PROSPECTIVA MÉXICO 2030 Gestión de Riesgos en Proyectos Mauricio Jessurun Solomou mjess@unisolmexico.com Luis Miguel Arroyo lmarroyoi@emsi.com.mx Julio, 2015 Gestión de Riesgos en Proyectos
Más detallesEjemplo Manual de la Calidad
Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a
Más detallesPOLITICA DE PRIVACIDAD DE LA PAGINA WEB
POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la
Más detallescumple y hay evidencias objetivas
Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle
Más detallesArquitectura de seguridad OSI (ISO 7498-2)
Universidad Nacional Autónoma de México Facultad de Ingeniería Criptografía Grupo 2 Arquitectura de seguridad OSI (ISO 7498-2) ALUMNOS: ARGUETA CORTES JAIRO I. MENDOZA GAYTAN JOSE T. ELIZABETH RUBIO MEJÍA
Más detalles