La norma BS 7799 / ISO Para un mejor acercamiento a la seguridad de la información

Tamaño: px
Comenzar la demostración a partir de la página:

Download "La norma BS 7799 / ISO 17799 Para un mejor acercamiento a la seguridad de la información"

Transcripción

1 La norma BS 7799 / ISO Para un mejor acercamiento a la seguridad de la información Documento de presentación Jacquelin Bisson, CISSP Analista en seguridad de la información, Callio Technologies René Saint-Germain, Presidente, Callio Technologies Resumen ejecutivo Para poner en ejecución las buenas prácticas de gestión en seguridad de la información, la mejor referencia es BS 7799 / ISO 17799, una norma reconocida internacionalmente en el dominio y muy utilizada para la redacción de las políticas de seguridad. La norma BS 7799 / ISO es redactada y publicada en dos partes: 1) ISO / CEI Parte 1 Código de buenas prácticas relativas a la gestión de la seguridad de la información. Es una guía que contiene consejos y recomendaciones que permite asegurar la seguridad de la información de la empresa dentro de los diez dominios de aplicación. 2) BS 7799 Parte 2 Las especificaciones relativas a la gestión de la seguridad de la información proponen recomendaciones con el fin de establecer un marco eficaz de gestión de la seguridad de la información. En el momento de una auditoría, es el documento que sirve de guía de evaluación para la certificación. Callio Secura reúne metodología, cuestionarios, guía e informaciones y herramientas necesarias para crear la infraestructura requerida para un sistema de gestión de la seguridad de la información y para acelerar su implantación. En este documento vamos a describir la implantación de la norma a nivel mundial y su adecuación al mercado hispanohablante, con referencias a la nueva certificación española UNE 71502:2004, basada en las normas internacionales ISO/IEC

2 Perfil de la compañía Creada en el año 2001, Callio Technologies, se especializa en el dominio de la seguridad informática. Su primer producto, Callio Secura 17799, es un software que ofrece a las empresas la posibilidad de conformarse a la norma BS 7799 / ISO concerniente a la gestión de la seguridad de las tecnologías de la información. El campo de experiencia de Callio Technologies abarca el análisis de riesgos, la instalación de códigos de buenas prácticas en seguridad y de sistemas de gestión de la seguridad de la información, la redacción de políticas de seguridad basadas en BS 7799 / ISO 17799, las auditorías de seguridad, los planes de contingencia y la formación en gestión del riesgo informático. Nuestra misión es ofrecer a las empresas herramientas de análisis, de ayuda a las decisiones como así también de aplicaciones con el fin de que les permita evaluar, administrar y disminuir sus riesgos informáticos. i

3 Resumen ejecutivo La información es vital y constituye un activo importante para toda empresa. Para poner en ejecución las buenas prácticas de gestión en seguridad de la información, la mejor referencia es BS 7799 / ISO 17799, una norma reconocida internacionalmente en el dominio y muy utilizada para la redacción de las políticas de seguridad. La norma BS 7799 / ISO es redactada y publicada en dos partes: 1) ISO / CEI Parte 1 Código de buenas prácticas relativas a la gestión de la seguridad de la información. Es una guía que contiene consejos y recomendaciones que permite asegurar la seguridad de la información de la empresa dentro de los diez dominios de aplicación. 2) BS 7799 Parte 2 Las especificaciones relativas a la gestión de la seguridad de la información proponen recomendaciones con el fin de establecer un marco eficaz de gestión de la seguridad de la información. En el momento de una auditoría, es el documento que sirve de guía de evaluación para la certificación. Callio Secura reúne metodología, cuestionarios, guía e informaciones y herramientas necesarias para crear la infraestructura requerida para un sistema de gestión de la seguridad de la información y para acelerar su implantación. En España, el mes de marzo de 2004 se promulgó la norma UNE 71502:2004 "Especificaciones para los Sistemas de Gestión de la Seguridad de la Información", que contribuye a definir los requisitos para implantar un SGSI según las norma ISO/IEC Se añade por lo tanto otra posibilidad de obtener una certificación de cumplimiento de su SGSI respecto a la ISO

4 Introducción La seguridad de la información siempre ha sido un desafío muy importante para el conjunto de las Organizaciones. La infección de los sistemas informáticos por el virus "I Love You", los ataques terroristas del 11 de septiembre del 2001 y la importante avería del sistema eléctrico en el noreste de los Estados Unidos son algunos ejemplos muy conocidos que justifican la necesidad de evaluar y de administrar los riesgos relacionados a la información. Desgraciadamente, las organizaciones se olvidan muy a menudo que la seguridad de la información es mucho más que la simple utilización de las tecnologías. En realidad, debería ser un proceso de gestión continua de riesgos que cubra toda la información que debe ser protegida. Existe un grupo de nuevas leyes que hacen legalmente responsables a los directivos de empresas si no protegen sus activos de información bajo amenaza de sanción. La diligencia razonable de los responsables o gerentes está en promover el interés y la prudencia necesaria en evaluar el riesgo y las medidas pertinentes para reducirlo o eliminarlo. 2

5 Qué es la seguridad de la información? "La seguridad de los sistemas de información no es una contradicción de términos... sí lo es la seguridad sin la gerencia de riesgo." (J.Bisson, 2003) La información constituye un activo que, como todos los demás activos comerciales importantes, es valioso para toda organización; por eso es necesario protegerlo de una manera apropiada. La seguridad de la información protege la información contra amenazas muy diversas, para asegurar la continuidad de las actividades de la empresa, minimizar el perjuicio que puede ser causado y maximizar el rendimiento del capital invertido y las posibilidades de negocios. La información se presenta de diversas formas. Puede ser impresa o escrita sobre papel, almacenada en soportes electrónicos, transmitida por correo o utilizando medios electrónicos, expuesta sobre películas o hablada en conversaciones. Cualquiera sea la forma que tenga la información o los medios por los cuales es transmitida o almacenada, ella debe ser siempre protegida de manera apropiada. c) La disponibilidad: asegurar que los usuarios autorizados puedan acceder a la información y a los activos asociados cuando la requieran. La seguridad de la información se obtiene aplicando un conjunto de medidas de control, que pueden tomar la forma de políticas, de prácticas, de procedimientos, de estructuras organizacionales y de funciones de software. Estas medidas de control deben ser establecidas con el fin de que se cumplan los objetivos de seguridad específicos de la organización. Fuente: ISO/CEI Parte 1: Código de buenas prácticas para la gestión de la seguridad de la información La seguridad de la información se caracteriza por como se preserva: a) la confidencialidad: procurar que la información sea accesible sólo a las personas autorizadas a acceder a su utilización. b) la integridad: asegurar la exactitud y la completitud de la información y los métodos de su procesamiento. Fuente: ISO

6 Qué es BS 7799 / ISO 17799? BS 7799 / ISO tiene por objetivo "proporcionar una base común para la elaboración de las normas de seguridad de las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas". La norma es publicada en dos partes: ISO/CEI Parte 1: Código de buenas prácticas relativo a la gestión de la seguridad de la información; BS 7799 Parte 2: Especificaciones relativas a la gestión de la seguridad de la información. ISO/CEI (1ª parte) La norma internacional ISO / IEC fue desarrollada por el organismo British Standards Institución (BSI) como BS 7799 y ha sido adoptada según un " procedimiento de vía rápida " por el Comité técnico mixto ISO/CEI JTC 1, Tecnologías de la Información, de común acuerdo para su aprobación con los organismos nacionales miembros del ISO y del CEI. ISO / IEC se presenta bajo la forma de notas de orientación y recomendaciones. Éstas han sido reunidas a posteriori de las consultas realizadas a las empresas más importantes. Contiene diez dominios específicos compuestos de 36 objetivos y de 127 medidas de seguridad. He aquí una breve reseña de cada uno de los dominios: 1. Política de seguridad: proporcionar directivas y consejos de gestión para mejorar la seguridad de los datos. 2. Seguridad de la organización: facilitar la gestión de la seguridad de la información en el seno de la organización. 3. Clasificación y control de los activos: catalogar los activos y protegerlos eficazmente. 4. Seguridad del personal: reducir los riesgos de error humano, robo, fraude y utilización abusiva de los equipamientos. 5. Seguridad física y medioambiental: impedir la violación, el deterioro y la perturbación de las instalaciones y datos industriales. 6. Gestión de las telecomunicaciones y operaciones: garantizar un funcionamiento seguro y adecuado de los dispositivos de tratamiento de la información. 7. Control de accesos: controlar el acceso a los datos. 8. Desarrollo y mantenimiento de los sistemas: garantizar que la seguridad esté incorporada a los sistemas de información. 9. Gestión de la continuidad de las operaciones de la empresa: reducir los efectos de las interrupciones de actividad y proteger los procesos esenciales de la empresa contra las averías y los siniestros mayores. 10. Conformidad: prevenir los incumplimientos de las leyes penales o civiles, de las obligaciones reglamentarias o contractuales y las exigencias de seguridad.. 4

7 El esquema siguiente sugiere una arquitectura de los diez dominios de la norma. Cada dominio presenta una temática independiente estructurada alrededor de medidas administrativas, lógicas y físicas y según un eje de orientación descendente, es decir, que tendrá un impacto desde el nivel de la dirección hasta el nivel operativo de la organización. Consultar el Anexo B para conocer el índice de la norma ISO Que función Cumple ISO y CEI? La Organización internacional de normalización (ISO) y la Comisión electrotécnica internacional (CEI) constituyen un sistema especializado para la normalización alrededor del mundo. Es a través de comités técnicos que ambos organismos participan conjuntamente en el desarrollo y en la adopción de normas internacionales, como fue el caso para ISO/CEI Los comités técnicos, como el ISO / IEC Joint Technical Committee 1 ( ISO / IEC JTC1), difunden luego la norma a los múltiples organismos nacionales para su escrutinio. En efecto, para ser reconocida internacionalmente, una norma debe obtener la aprobación de, al menos, un 75 % de los organismos nacionales votantes. BS (2 e parte) BS 7799 proporciona las condiciones que se refieren a la gestión de la seguridad de la información. Compuesta de 10 dominios y de 127 controles la norma ISO 17799, se aplica a las etapas de elaboración, de puesta en ejecución y de mantenimiento de un sistema de seguridad. Las organizaciones candidatas al registro son evaluadas con respecto a este documento. Una organización que basa su SGSI sobre las disposiciones de BS 7799 puede obtener el registro de un organismo acreditado. La organización así demuestra a sus socios que su sistema cumple tanto con los estándares de la norma, como así también con las exigencias de controles para la seguridad que son establecidos según sus propias necesidades. 5

8 Es importante entender que una organización que obtiene la certificación BS es también considerada que cumplimenta con la norma ISO Ya numerosos países, como Inglaterra, Australia, Noruega, Brasil y Japón utilizan ampliamente BS como base de certificación para la gestión de su seguridad de la información. Para qué sirve un SGSI? "Para establecer la política y los objetivos de seguridad de la información de la organización y para lograr, a continuación estos objetivos". Un sistema de gestión de la seguridad de la información (SGSI) ofrece un enfoque metodológico para administrar la información sensible con el fin de protegerla. Su ámbito de aplicación incluye a los empleados, los procesos y los sistemas informáticos. La seguridad de la información no se termina en la implementación de un firewall o con la contratación de una empresa de seguridad. En este dominio, es necesario integrar las múltiples iniciativas puestas en ejecución dentro de una estrategia global con el fin de que cada elemento ofrezca un nivel óptimo de protección. Es a este nivel que intervienen los sistemas de gestión de la seguridad de la información permitiendo coordinar los esfuerzos para alcanzar una seguridad óptima. Un sistema de gestión debe incluir un método de evaluación, medidas de protección y un proceso de documentación y de revisión. Esto último es el principio del modelo PHVA (Planificar-Hacer-Verificar-Actuar) desarrollado inicialmente por Walter Shewhart y popularizado por W. Edwards Deming. Por este motivo es conocido frecuentemente como el "Ciclo Deming" que recuerda fuertemente al modelo de gestión de la calidad ISO Planificar - Definir el alcance del SGSI y las políticas de seguridad - Identificar y evaluar los riesgos - Seleccionar los objetivos de control y controles que ayudarán a manejar estos riesgos - Preparar el documento de la declaración de aplicabilidad Hacer - Formular e implementar un plan de reducción de riesgos - Implementar los controles seleccionados a fin de cumplir con los objetivos de dichos controles. Verificar - Efectuar el control de los procedimientos - Proceder a exámenes periódicos para asegurar la eficacia del SGSI - Revisar los niveles de riesgos aceptables y residuales - Instaurar periódicamente auditorías internas para el SGSI Actuar - Implantar las mejoras identificadas al SGSI - Realizar las acciones correctivas y preventivas - Mantener comunicaciones con todos los interesados - Validar las mejoras 6

9 Historia de la norma Desde hace más de cien años, British Normal Institutión (BSI) realiza estudios con el fin de establecer normas eficaces de alta calidad industrial. BS 7799 fue desarrollada a principios de los años 1990 como respuesta a las peticiones de la industria, el gobierno y los comerciantes para crear una estructura común de seguridad de la información. En 1995, el estándar BS 7799 es oficialmente adoptado. Pasaron cuatro años hasta su publicación, en mayo de 1999, de una segunda versión mayor de la norma BS Se aportan numerosas mejoras. En aquella época, la Organización internacional de normalización (ISO) comienza a interesarse en los trabajos publicados por el instituto inglés. En diciembre del 2000, la organización ISO incorpora la primera parte de la norma BS 7799, rebautizada como ISO En septiembre del 2002,realiza una revisión de la segunda parte de la norma BS 7799 con el fin de armonizarla con otras normas de gestión tales como ISO 9001:2000 e ISO 14001:1996 así como con los principios de la Organización de cooperación y de desarrollos económicos (OCDE). Actualmente, existen consultas a nivel internacional para mantener BS 7799/ISO alineado con los principales cambios. Conformidad, certificación y acreditación. Con el fin de evitar confusiones, se brinda una breve definición de estos tres términos en el contexto de un sistema de gestión de la seguridad de la información (SGSI). La conformidad es una auto-evaluación realizada por una organización con el fin de validar que un sistema puesto en operación se ajusta a una norma. La certificación (también llamada registro) es conferida por un organismo acreditado de certificación cuando una organización finaliza con éxito una auditoría independiente. Certificando de esta manera, que el sistema de gestión cumple las exigencias de una norma particular, por ejemplo BS La acreditación constituye los medios por los cuales una organización autorizada (el organismo de acreditación) reconoce formalmente la competencia de un organismo de certificación que debe evaluar, certificar y registrar el SGSI de una organización con respecto a estándares publicados. 7

10 A quién va dirigida ISO 17799? BS 7799 / ISO puede ser utilizada por cualquier tipo de organización o de compañía, privada o pública. Si la organización utiliza sistemas internos o externos que poseen informaciones confidenciales, si depende de estos sistemas para el funcionamiento normal de sus operaciones o si simplemente desea probar su nivel de seguridad de la información conformándose a una norma reconocida, la norma BS 7799 / ISO particularmente pasa a ser muy interesante. El cuadro siguiente muestra los tipos de utilización de la norma. Tipo de empresa Tamaño Objetivo principal Utilización de la norma Pequeña empresa u organismo Empresa media (centralizada o descentralizada) Inferior a 200 empleados Inferior a 1000 empleados Sensibilizar a la dirección general de la seguridad de la información Crear una cultura de seguridad global compatible La norma ISO contiene los temas de seguridad que deben tratarse como base de gestión La norma contiene las prácticas necesarias para constituir una política de seguridad de la información Empresa muy grande Superior a 1000 empleadas Obtener una certificación de seguridad Utilización de BS para crear un documento referencial de seguridad interno Evidentemente, cuanto más elevado es el riesgo en la organización, esta última debe poner más atención a la seguridad de sus datos. Es el caso particular para los sectores gubernamentales, financieros y de salud, como lo demuestra la figura adjunta: 8

11 Beneficios de la norma Evidentemente, el hecho de utilizar la norma ISO o de obtener la certificación BS no prueba que la organización sea 100 % segura. A decir verdad, la seguridad completa no existe a menos de una inactividad total. No obstante, la adopción de la norma internacional proporciona innegablemente ventajas que todo buen gerente debería tener en cuenta. Aspecto organizacional Compromiso: el registro permite garantizar y demostrar la eficacia de los esfuerzos desarrollados para asegurar la organización en todos sus niveles y probar la diligencia razonable de sus administradores. concede a la protección de la información. Una certificación también puede brindar una diferenciación sobre la competencia y en el mercado. Algunas licitaciones internacionales ya comienzan a pedir una gestión ISO Aspecto financiero Reducción de los costos vinculados a los incidentes y posibilidad de disminución de las primas de seguro. Aspecto humano Mejora la sensibilización del personal a la seguridad y a sus responsabilidades en la organización. Aspecto legal Conformidad: el registro permite demostrar a las autoridades competentes que la organización observa todas las leyes y normativas aplicables. En este aspecto, la norma es complementaria de otras normas y legislaciones ya existentes, por ejemplo HIPAA, Privacy Act of 1974, Computer Security Act of 1987, National Infrastructure Act of 1996, Gramm-Leach-Bliley Act of 1999, Government Information Security Reform Act of Aspecto funcional Gestión de los riesgos: obtención de un mejor conocimiento de los sistemas de información, sus fallas y los medios de protección. Garantiza también una mejor disponibilidad de los materiales y datos. Aspecto comercial Credibilidad y confianza: los socios, los accionistas y los clientes se tranquilizan al constatar la importancia que la organización 9

12 Complementariedad de BS 7799 / ISO " La popularidad de la norma BS / ISO se explica en parte por su flexibilidad y su complementariedad con las otras normas existentes en seguridad de la información y de las tecnologías de la información. " Mientras que ISO expone las mejores prácticas de gestión para la seguridad de la información y para la creación de políticas de seguridad, ISO 13335, denominada GMITS - Guidelines for the management of IT Security, constituye su hermano mayor. Esta norma aborda un poco más las tecnologías conectadas a la información y aporta un contenido de valor agregado sobre el enfoque de evaluación de los riesgos. Incluso es posible establecer una comparación de las medidas de protección propuestas en la cuarta guía (Part 4: Selection of safeguards) de la serie, que incluye cinco, ofrecida en ISO a los controles sugeridos en ISO Existe también una fuerte complementariedad entre las normas ISO e ISO Esta última, mejor conocida bajo el nombre de Criterios Comunes, permite certificar los niveles de defensa proporcionados por los dispositivos de seguridad de los sistemas de información. Ella cubre los aspectos técnicos, mientras que ISO cubre aún más los aspectos organizacionales y administrativos de la seguridad. También existe un vínculo entre ISO y los números 18044, 17944, 18028, de la Organización internacional de normalización, como lo resume la figura siguiente: Desde la nueva revisión en el 2002, BS se armoniza en lo sucesivo con las normas de otros sistemas de gestión conocidas, como ISO 9001:2000 e ISO 14001:1996. En efecto, numerosas son las empresas que conocen o poseen un sistema de gestión de la calidad (SGQ) ISO 9001 o un sistema de gestión del medio ambiente (SGE) ISO BS utiliza ahora la misma estructura y tiene las mismas exigencias para elaborar un sistema de gestión de seguridad de la información (SGSI). Consultar el Anexo E para más detalles. 10

13 Complementariedad con las legislaciones existentes Varios gobiernos a través del mundo ya establecieron normativas y proyectos de leyes que precisan la forma en que las compañías deben administrar y controlar la seguridad de la información. El objetivo es simple: forzar a la dirección y a los consejos de administración a ser responsables de la seguridad de la información y motivarlos a demostrar la " diligencia razonable " donde ellos den prueba de la protección de sus activos. Entre estas reglamentaciones, se encuentran Sarbanes-Oxley Act of 2002 (SOX), Gramm-Leach-Bliley Act (GLBA) y Health Insurance Portability and Accountability Act of 1996 (HIPAA), LOPD (Ley Orgánica de Protección de Datos), LSSI (Ley de Servicios de la Sociedad de la Información). Legislación reciente Sarbanes- Oxley Act de 2002 Gramm- Leach-Bliley Act de 1999 Health Insurance Portability and Accountability Act (HIPAA) LOPD (Ley Orgánica de Protección de Datos) Ámbito europeo NIC (Normas Internacionales de Contabilidad) Ámbito europeo Basilea II A quién se aplica? Qué cubre? Cuáles son las multas posibles? A toda compañía registrada bajo el Exchange Act o que tiene una declaración de inscripción en espera bajo Security Act. A las instituciones financieras A toda entidad implicada en la información digitalizada por los cuidados de salud, incluyendo entre otros los proveedores, los empleados y los aseguradores. Cualquier compañía que capture, guarde o trate datos de terceros. A toda entidad que cotice en los mercados de capitales. A las instituciones financieras. Obliga a los jefes de dirección y a directores financieros a prestar juramento que sus declaraciones financieras son completas y exactas. Asegura la protección de las informaciones personales no públicas para la distribución fuera de la red de la institución financiera. Garantiza la portabilidad, la protección de la vida privada y la seguridad de la información médica de los individuos. Asegura la protección de la información personal (no pública) y el derecho a la rectificación y cancelación de los datos por el ciudadano. Calcula el riesgo operativo de negocio por motivo dell funcionamiento o indisponibilidad de las TI. Calcula el riesgo operativo de negocio por motivo del mal funcionamiento o indisponibilidad de las TI. Toda destrucción, modificación o falsificación de los documentos por los miembros de la dirección puede generar multas o penas de encarcelamiento que llegan hasta los diez años. Una violación flagrante de esta ley puede generar una multa considerable y hasta cinco años de prisión. Una violación de esta legislación puede implicar multas de 100 $ a $ o diez años de prisión. Hasta euros Superior a euros Inclusive el retiro de la licencia bancaria. Cuándo la conformidad es obligatoria? El plazo para ajustarse a SOX era el 30 de septiembre de 2003; las organizaciones debían tener un control interno sobre todos sus informes financieros y su gobierno. La fecha real para establecer un programa de seguridad de la información de conformidad con GLBA era el 1 de julio de La fecha límite para conformarse a HIPAA es el 21 de abril de 2005 para las grandes organizaciones y el 21 de abril del 2006 para las pequeñas empresas. Actualmente es obligatorio para todas las empresas. Implantación durante el 2005, obligatorio en el para nivel Fundation, 2007 para el nivel Advanced 11

14 La novedad es que el hecho de conformarse a una u a otra de estas reglamentaciones constituyen ejemplos concretos y prácticos de sistemas de gestión de la seguridad de la información. Por ejemplo, HIPAA aborda los mismos temas que la norma ISO poniendo al mismo tiempo el énfasis sobre la protección de la información privada. Por su parte, el modelo de gestión PHVA (Planificar-Hacer-Verificar- Actuar) de BS se alinea muy bien con las cuatro etapas de GLBA: 1. Identificar y evaluar los riesgos sobre la información de los clientes; 2. Desarrollar un plan que contenga las políticas y procedimientos para administrar y controlar estos riesgos; 3. Poner en ejecución y probar el plan; 4. Ajustar el plan en forma continua. Una conformidad con ISO y BS también permite definir las políticas de seguridad y los procedimientos necesarios para controlar la información sensible de la organización y la referida en SOX. 12

15 Implementación de un SGSI El gráfico siguiente describe cada una de las ocho etapas de implantación de un SGSI: Iniciación del proyecto Asegurar el compromiso dce la dirección. Seleccionar y formar a los miembros del equipo inicial de proyecto. Definición del SGSI Definir el alcance y los límites del marco de gestión de la seguridad de la información. Esta etapa es determinante para el éxito del proyecto. Evaluación de riesgos Diagnosticar el nivel de conformidad ISO Hacer un inventario y evaluar los activos que deben protegerse. Identificar y evaluar las amenazas y vulnerabilidades. Calcular un valor de riesgo asociado. Administración del riesgo Conocer cómo la selección y la implantación de los controles permiten reducir los riesgos a un nivel aceptable para la organización. Formación y Sensibilización Los empleados pueden ser un eslabón débil en la cadena de seguridad de una organización. Aprender a crear un verdadero programa de sensibilización de la seguridad de la información. Preparación para la auditoría Cómo validar un marco de gestión y qué hacer antes de la llegada de un auditor externo para la certificación BS Auditoría Conocer las etapas realizadas por los auditores externos y sobre los organismos de certificación acreditados BS Control y mejora continua Cómo y por qué mejorar la eficacia de un SGSI de acuerdo con el modelo de gestión reconocido por ISO. 13

16 Documentación de un SGSI La documentación de un SGSI es una exigencia importante de la implantación y se articula en torno a dos ejes: 1) La descripción de la estrategia del organismo, sus objetivos, la evaluación de riesgos y las medidas tomadas para atenuarlos. 2) El control y el seguimiento del funcionamiento del SGSI. Existen por lo menos cuatro niveles de documentación como lo demuestra la figura siguiente: Control y mejora continua Nivel 1 Política, evaluación del riesgo, declaración de aplicabilidad Manual de seguridad Nivel 2 Describe el proceso: quién, qué, cuándo, dónde Procedimientos Nivel 3 Describe cómo se efectúan las tareas y las actividades Fichas de trabajo, formularios, etc. Nivel 4 Proporciona pruebas objetivas de conformidad con las exigencias del SGSI Registro Obstáculos Algunos obstáculos pueden encontrarse en la implantación de un SGSI, a saber: - Temor, resistencia a los cambios - Riesgo de que los cambios realizados en un área requieran ajustes en otras áreas - Aumento de los costos - Insuficiente conocimiento del enfoque utilizado - Tareas que parecen insuperables Para ayudar a superarlos, algunos factores de éxito deberían ser considerados. Factores de éxito La experiencia ha probado que los factores enumerados a continuación son a menudo cruciales para garantizar el éxito de la implementación de gestión de la seguridad de la información en una organización. 14

17 a) una política, objetivos y actividades de seguridad que reflejan los objetivos de la empresa. d) Una puesta en ejecución de la gestión de la seguridad que sea compatible con la cultura de la organización. c) un apoyo y un compromiso visibles de la dirección. d) una buena comprensión de las exigencias de seguridad, de la evaluación de los riesgos y de la gestión de los riesgos. e) una presentación eficaz de las cuestiones de seguridad a todos los responsables y empleados. f) la distribución a todos los empleados y a todos los proveedores de las directrices sobre la política y las normas de seguridad de la información. g) una formación y una educación conveniente. h) un sistema de medidas completo y equilibrado utilizado para evaluar la eficacia de la gestión de la seguridad de la información y la aplicación de los requerimientos de mejoras resultantes de dicha evaluación. Resumen de: BS 7799 / ISO Qué es la norma? Una guía de recomendaciones estructuradas, reconocida internacionalmente, dedicada a la seguridad de la información. Un proceso conciso para evaluar, establecer, mantener y administrar la seguridad de la información. El resultado de un consorcio de empresas para responder a las necesidades de la industria. Un proceso equilibrado entre la seguridad física, técnica, procedimientos y la seguridad del personal. La norma no es : Un estándar técnico Una norma tecnológica u orientada al producto. Una metodología de evaluación de equipamiento como los criterios comunes (CC / ISO 15408). Sin embargo, es complementaria y puede aprovechar los niveles de aseguramiento de evaluación encontrado en los Criterios Comunes (EAL). ISO no es un sistema que permite una certificación de la seguridad (por el momento, solo BS y sus derivados nacionales ofrecen un esquema de certificación). ISO no detalla ninguna obligación en cuanto al método de evaluación del riesgo, basta con elegir el que responde a las necesidades. 15

18 Herramientas de software y recursos disponibles Existe hoy en el mercado un gran rango de productos y servicios en seguridad informática. Muchos de ellos se basan en medidas de protección físicas (cerraduras, barreras, cierres, extinguidores, guardianes, etc.) y controles técnicos (firewall, biométrica, encriptación, etc.). Pero cuando llega el momento de adoptar medidas de protección administrativas, las empresas a menudo tienden a olvidarse de su importancia. Sin embargo, la seguridad de la información no es exhaustiva sin la elaboración y la publicación de políticas de seguridad y de procedimientos, de programas de sensibilización y de formación de los empleados sólo para nombrar algunas. La seguridad de la información es un proceso continuo de gestión de los riesgos y necesita herramientas que respondan a estas necesidades. Ciertamente ISO es lo que le hace falta a una empresa para administrar mejor la seguridad de la información. Para ayudar a su implantación, es conveniente utilizar un software multiusuario que reúna toda la información necesaria así como las principales herramientas para lograr el objetivo. Una de estas herramientas debe ser la evaluación de riesgos simple y eficaz, que genere recomendaciones basadas en las buenas prácticas ISO para cada uno de los contextos definidos. Añadiendo a esto una metodología completa, cuestionarios de conformidad, un generador automático de políticas de seguridad, un gestor documental integrado en la Web, ejemplos, plantillas y guías de información sobre la implantación y sobre la auditoría de los controles ISO 17799, los gerentes comprenderán rápidamente que tal herramienta puede economizar mucho tiempo y dinero a la empresa. Para los interesados, tal software existe y se llama Callio Secura 17799, creado por la compañía Callio Technologies inc. Es posible descargar una versión de demostración del software Callio Secura de la siguiente dirección: Naturalmente, también es posible contratar una empresa de asesores para la implantación de la norma, pero es conveniente asegurarse que este último utiliza un software del mismo género. Metodología, método y norma Una metodología es un acercamiento riguroso y estandarizado que utiliza herramientas como cuestionarios y software especializados que permiten hacer el análisis de seguridad de la información. Una metodología utiliza métodos, es decir, medios para llegar eficazmente al resultado deseado. Este resultado habitualmente se formula en una norma. Una norma puede definirse como un documento de referencia basado en un consenso que cubre un amplio interés industrial o económico y establecido por un proceso voluntario. Está claro que el método será la herramienta utilizada para satisfacer las exigencias de una norma. (fuente : OLF) 16

19 Solución de software Una de las principales ventajas de BS 7799 / ISO se sitúa a nivel de la confianza del público. La norma constituye una señal de confianza para la seguridad global de la empresa, al igual que ISO 9000 representa una garantía de la calidad. Aquí una lista de ventajas relacionadas a la implantación de la norma BS 7799/ISO con la aplicación Web Callio Secura 17799: - Disminuir el tiempo de implantación de la norma BS 7799 / ISO como así también los costes asociados. - Centralizar la gestión de las políticas y procedimientos. - Estandarizar el proceso de implantación de la norma BS 7799/ISO Garantizar la eficacia de los procesos establecidos con el fin de reducir los costos de gestión - Facilitar la puesta al día y los ajustes en la documentación 17

20 Conclusión La alineación de la seguridad de la información con la misión de la organización se ha convertido esencial. La confidencialidad, la integridad y la disponibilidad de la información son importantes para mantener la ventaja competitiva, los beneficios disponibles (flujo de caja), la conformidad jurídica y la imagen comercial. Considerar la óptica de una certificación tiende a probar también la diligencia razonable de la alta dirección y de sus gerentes para la protección de sus activos. Desarrollar una política de seguridad de la información basada en ISO se hace pues la infraestructura de base. BS 7799 / ISO es especialmente pertinente en este contexto. En esta fase, se trata que las empresas se informen de las exigencias de la norma y así mejorar los conocimientos relativos a la gestión de la seguridad de la información. Para lograr asegurar la implantación de un sistema de seguridad de la información eficaz y adecuado, el mejor modo es obtener, en combinación con servicios profesionales externos y/o internos, una herramienta de software como la aplicación Web Callio Secura Este software propone cuatro módulos principales, una evaluación del riesgo, una administración del riesgo, un generador de políticas y una herramienta de gestión de documentos. Al mismo tiempo poderoso y de fácil utilización, Callio Secura le permite a los usuarios ajustarse a BS 7799/ISO Más de empresas a través del mundo cumplimentan la norma BS 7799 / ISO incluidas las siguientes: - Fujitsu Limited - KPMG - Marconi Secure Systems - Sony Bank inc. - Toshiba IS Corporate Y usted... piensa implementar el más alto estándar en materia de gestión de riesgos de la información? 18

La gestión de la seguridad en la empresa:

La gestión de la seguridad en la empresa: EN PORTADA La gestión de la seguridad en la empresa: Introducción Vivimos en un mundo globalizado y cada vez más competitivo, en el que las empresas se encuentran con nuevos desafíos que hacen necesaria

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Ana Andrés Luis Gómez Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Otros Estándares. Contenidos WWW.ISO27000.ES. 1. Normas ISO del SC27 2. ISO/IEC 20000 3. ITIL. 4. NIST Serie 800. 5. CobiT 6.

Otros Estándares. Contenidos WWW.ISO27000.ES. 1. Normas ISO del SC27 2. ISO/IEC 20000 3. ITIL. 4. NIST Serie 800. 5. CobiT 6. Otros Estándares Contenidos 1. Normas ISO del SC27 2. ISO/IEC 20000 3. ITIL 4. NIST Serie 800 5. CobiT 6. UNE 71502:2004 7. BS 7799-3 8. PAS 99 9. BS 25999 10. BS 25777 11. COSO-Enterprise Risk Management

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Certificación y Auditoría ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Certificación y Auditoría ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Certificación y Auditoría ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquemas 27001 y 20000 Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Contexto y antecedentes

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

INFORME SOBRE BUENAS PRÁCTICAS EN LA GESTIÓN DE LAS TT.II. ISO 20000: qué deben hacer las organizaciones?

INFORME SOBRE BUENAS PRÁCTICAS EN LA GESTIÓN DE LAS TT.II. ISO 20000: qué deben hacer las organizaciones? INFORME SOBRE BUENAS PRÁCTICAS EN LA GESTIÓN DE LAS TT.II. ISO 20000: qué deben hacer las organizaciones? Índice RESUMEN...1 LA EVOLUCIÓN NATURAL... 2. ITIL...3. COBIT...3. BS 15000...3 LA NORMA ISO 20000

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

ISO 27001 Gestión de Seguridad de la Información. Versión 1

ISO 27001 Gestión de Seguridad de la Información. Versión 1 ISO 27001 Gestión de Seguridad de la Información Versión 1 1. Situación actual y perspectivas de la ISO 27001 1. Situación actual y perspectivas de la ISO 27001 2. Conceptos y Definiciones de Seguridad

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información Certificado ISO 27001 Seguridad de la Información Protección de Datos Personales y Seguridad de la Información 1 sumario 1. ALARO AVANT 1.1. Estructura 1.2. Servicios 1.3. Equipo 1.4. Credenciales 1.5.

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes 2.ª edición Luis Gómez Fernández Ana Andrés Álvarez Título: Guía de aplicación de la Norma UNE-ISO/IEC

Más detalles

NTE INEN-ISO/IEC 27033-1 Primera edición

NTE INEN-ISO/IEC 27033-1 Primera edición Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27033-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27033-1:2009,

Más detalles

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría INTRODUCCIÓN El conocimiento y habilidades relacionadas

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

Retos y desafíos de un Sistema de Gestión de Seguridad de la Información

Retos y desafíos de un Sistema de Gestión de Seguridad de la Información Retos y desafíos de un Sistema de Gestión de Seguridad de la Información El verdadero objetivo de la seguridad no es eliminar la inseguridad, es enseñarnos a convivir con ella. Richard D. García Rondón,

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) de conjunto y vocabulario

Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) de conjunto y vocabulario norma española UNE-ISO/IEC 27000 Octubre 2012 TÍTULO Tecnologías de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Visión de conjunto y vocabulario Information

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

ISO 17799: Metodología práctica para la gestión de la seguridad de la información

ISO 17799: Metodología práctica para la gestión de la seguridad de la información ISO 17799: Metodología práctica para la gestión de la seguridad de la información Andrés Boré Pineda, Ms.Cs., CISSP Gerente de Investigación Orión 2000 bore@orion.cl Agenda Factores relacionados con la

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

ISO y la serie de Normas ISO 9000

ISO y la serie de Normas ISO 9000 ISO y la serie de Normas ISO 9000 La International Organization for Standardization (ISO) es la agencia internacional especializada para la estandarización, abarcando actualmente los cuerpos nacionales

Más detalles

ISO 27000. Contenidos WWW.ISO27000.ES. 1. Origen. 2. La serie 27000. 3. Contenido. 4. Beneficios. 5. Cómo adaptarse? 6. Aspectos Clave.

ISO 27000. Contenidos WWW.ISO27000.ES. 1. Origen. 2. La serie 27000. 3. Contenido. 4. Beneficios. 5. Cómo adaptarse? 6. Aspectos Clave. ISO 27000 Contenidos 1. Origen 2. La serie 27000 3. Contenido 4. Beneficios 5. Cómo adaptarse? 6. Aspectos Clave. La información es un activo vital para el éxito y la continuidad en el mercado de cualquier

Más detalles

SISTEMAS PARA LA IMPLANTACIÓN DE LA GESTIÓN ÉTICA Y SOCIALMENTE RESPONSABLE. SITUACIÓN ACTUAL

SISTEMAS PARA LA IMPLANTACIÓN DE LA GESTIÓN ÉTICA Y SOCIALMENTE RESPONSABLE. SITUACIÓN ACTUAL Papeles de Ética, Economía y Dirección, nº 8, 2003 SISTEMAS PARA LA IMPLANTACIÓN DE LA GESTIÓN ÉTICA Y SOCIALMENTE RESPONSABLE. SITUACIÓN ACTUAL Alberto Urtiaga de Vivar Presidente, FORETICA Germán Granda

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C. Tendencias en la Implementación de Sistemas de Gestión de Servicios y Seguridad de TI Septiembre, 2008 Maricarmen García CBCP maricarmen.garcia@secureit.com.mx Contenido Introducción a ALAPSI Situación

Más detalles

RESUMEN SOBRE LA SOLUCIÓN

RESUMEN SOBRE LA SOLUCIÓN RESUMEN SOBRE LA SOLUCIÓN CA IT Asset Manager Cómo se puede administrar el ciclo de vida de los activos, optimizar el valor de las inversiones de TI y obtener una vista de cartera de todos los activos?

Más detalles

Sistema de Gestión Global en la Empresa Primera parte:

Sistema de Gestión Global en la Empresa Primera parte: Sistema de Gestión Global en la Empresa Primera parte: El siguiente documento es el primero de una serie de tres que tiene por objetivo mostrar como la implementación de un Sistema de Gestión Global dentro

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DE ACTIVOS DE SOFTWARE (SAM). PARTE 1: PROCESOS (ISO/IEC 19770-1:2006, IDT)

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DE ACTIVOS DE SOFTWARE (SAM). PARTE 1: PROCESOS (ISO/IEC 19770-1:2006, IDT) Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 19770-1 Primera edición 2014-01 TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DE ACTIVOS DE SOFTWARE (SAM). PARTE 1: PROCESOS (ISO/IEC 19770-1:2006, IDT)

Más detalles

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO Mtra. Mariela Osorio Domínguez El Modelo Nacional de Gestión de Tecnología considera la Protección del Patrimonio Tecnológico como la salvaguarda y cuidado del patrimonio

Más detalles

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Tendencias en la gestión de la seguridad de la información

Tendencias en la gestión de la seguridad de la información Tendencias en la gestión de la seguridad de la información Seguridad de Tecnología de Información en las empresas La tecnología de información (TI) ha venido reformando los procesos administrativos en

Más detalles

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz I Programa Sectorial ANEI Gestión de la Seguridad de la Información Presentación Madrid, 4 noviembre de 2002 Mario López de Ávila Muñoz Introducción Sobre la Información, la Seguridad y cómo facilitar

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s PRINCE2 & TickIT Jorge Armando Medina Morales Código 1700321660 U n i v e r s i d a d D e C a l d a s F a c u l t a d D e I n g e n i e r í a s I n g e n i e r í a D e S i s t e m a s O c t u b r e 2010

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco?

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI

Más detalles

Orientación Técnica y Metodológicas Compromisos de Gestión

Orientación Técnica y Metodológicas Compromisos de Gestión Orientación Técnica y Metodológicas Compromisos de Gestión 2014 La finalidad de este documento es dar a conocer los principales aspectos técnicos y las directrices a través de los cuáles será evaluado

Más detalles

iii Índice Página Prólogo...iv

iii Índice Página Prólogo...iv NORMA INTERNACIONAL Traducción certificada Certified translation Traduction certifiée ISO 14001 Sistemas de gestión ambiental - Requisitos con orientación para su uso Environmental management systems Requirements

Más detalles

NORMALIZACIÓN Y CERTIFICACIÓN DE LA CALIDAD. Qué se entiende por normalización? Qué es una norma?

NORMALIZACIÓN Y CERTIFICACIÓN DE LA CALIDAD. Qué se entiende por normalización? Qué es una norma? NORMALIZACIÓN Y CERTIFICACIÓN DE LA CALIDAD CONCEPTOS BÁSICOS Qué se entiende por normalización? La normalización es una actividad colectiva encaminada a establecer soluciones a situaciones repetitivas.

Más detalles

CUMPLIMIENTO LEGAL Y GESTIÓN DE LA SEGURIDAD

CUMPLIMIENTO LEGAL Y GESTIÓN DE LA SEGURIDAD CUMPLIMIENTO LEGAL Y GESTIÓN DE LA SEGURIDAD CÓDIGO: FECHA: 22/11/2006 VERSIÓN: 1 CÓDIGO INTERNO: SGISA 4033/06 GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA El presente documento ha

Más detalles

Mestrado em Tecnologia da Informação. Segurança da Informação

Mestrado em Tecnologia da Informação. Segurança da Informação Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Norma ISO 14001: 2015

Norma ISO 14001: 2015 Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas

Más detalles

Seminario ITIL y Seguridad de la información en la práctica. José Antonio Espinal Dir. Tecnología, Tecnofor

Seminario ITIL y Seguridad de la información en la práctica. José Antonio Espinal Dir. Tecnología, Tecnofor Seminario ITIL y Seguridad de la información en la práctica José Antonio Espinal Dir. Tecnología, Tecnofor AGENDA Bienvenida Impacto de la Seguridad de la información en procesos ITIL Qué es un sistema

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital AUTOR: Ing. Elvin Suarez Sekimoto Email: peluka_chino@hotmail.com U.A.P.-I.T.P.R. CARRERA CONTABILIDAD PUERTO

Más detalles

ISO y la serie de Normas ISO 9000

ISO y la serie de Normas ISO 9000 ISO y la serie de Normas ISO 9000 Se formó el comité técnico 176 (ISO/TC176) de la ISO en 1979 cuyo propósito fue armonizar la actividad internacional de aumento en la gerencia de la calidad y estándares

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

PORTADA. Normas ISO 9000. Normas ISO 9000 2.1

PORTADA. Normas ISO 9000. Normas ISO 9000 2.1 PORTADA Normas ISO 9000 2.1 ÍNDICE 1. Introducción 2. ISO 9000:2000 3. ISO 9001:2000 4. ISO 9004:2000 5. Implementación de ISO 9000 2.2 Introducción ISO: INTERNATIONAL ORGANIZATION FOR STANDARIZATION COMITÉS

Más detalles

Norma ISO 14001: 2004

Norma ISO 14001: 2004 Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles