Resumen. Abstract. Fundación Leonidas Ortega Moreira is a non-governmental organization. FLOMnet, the Technology Area, is one its Departments.

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Resumen. Abstract. Fundación Leonidas Ortega Moreira is a non-governmental organization. FLOMnet, the Technology Area, is one its Departments."

Transcripción

1 EVALUACIÓN DE CUMPLIMIENTO Y ESTABLECIMIENTO DE UN PLAN DE REMEDIACIÓN BASADO EN LAS NORMAS DE LA ISO 27001; CASO: DEPARTAMENTO DE FLOMNET FUNDACIÓN LEONIDAS ORTEGA MOREIRA. Saríah Lizette López Fierro Facultad de Sistemas y Telecomunicaciones (FISTE) Universidad Espíritu Santo (UEES) Samborondón, Ecuador Resumen La Fundación Leonidas Ortega Moreira es una organización no gubernamental. Entre los departamentos que apoyan a esta institución, se encuentra el Departamento de Tecnología, también reconocido como FLOMnet. FLOMnet brinda servicios, tanto a internos de la Fundación, por medio del soporte técnico; así también, como a externos, por medio del programa de capacitaciones, internet público y cafetería. Con el fin de confirmar si la prestación de estos servicios se está dando en base a medidas de seguridad apropiadas, el presente trabajo pretende evaluar y analizar el Nivel de Madurez Actual de FLOMnet, por medio de estándares internacionales de la seguridad de información (tales como, ISO 27000, MARGERIT, COBIT). Así también, de acuerdo a los resultados obtenidos, se otorgarán las recomendaciones necesarias para asegurar a los procesos del departamento, por medio de Salvaguardas de la Seguridad de Información, y encaminar al mismo a la obtención del Certificado del Sistema de Gestión de la Seguridad de la Información (SGSI) ISO Palabras Clave: Fundación Leonidas Ortega Moreira, FLOMnet, Seguridad de Información, Nivel de Madurez Actual ISO 27000, MARGERIT, COBIT, Sistema de Gestión de la Seguridad de Información (SGSI), Salvaguardas de la Seguridad de la Información. Abstract Fundación Leonidas Ortega Moreira is a non-governmental organization. FLOMnet, the Technology Area, is one its Departments. FLOMnet gives Technical Support to all the Foundation Departments but also offers different courses, public internet and cafeteria service to externals. Pretending to verify if those services offered, are done according to appropriate security controls, this work objective is to analyze and evaluate FLOMnet s Actual Capability Maturity, by the guidance of Information Security International Standards (such as, ISO 27000, MARGERIT, COBIT). In addition, according to the results, it will be shown recommendations, known also as Information Security Safeguards for assuring the Department processes, and guide it to reach de Information Security Management System (ISMS) ISO Certification. Keywords: Fundación Leonidas Ortega Moreira, FLOMnet, Information Security, Information Security Management System (ISMS), Capability Maturity, Information Security Safeguards. 1

2 1. Introducción La revolución de las tecnologías de la información y de las comunicaciones (TICs) en un mundo cada vez más globalizado, ha permitido a los pequeños empresarios expandir con mayor agilidad el límite de sus organizaciones y vencer los obstáculos de espacio y tiempo. Mas esta ventaja no sólo es percibida por aquellos empresarios; es también palpada por individuos externos, que por medio de la tecnología han encontrado puntos vulnerables. Esto les ha otorgado acceso a los equipos de las empresas, y han podido observar, plagiar, modificar o robar información almacenada en los servidores de las mismas. La firma Symantec 1 realizó una encuesta sobre Seguridad y Almacenamiento enfocada en las pequeñas y medianas empresas, en ésta obtuvo la relación de que por cada tres compañías, una tiene problemas con la seguridad de su información. Aquella encuesta fue realizada a más de 1425 organizaciones. Esta investigación reveló la opinión de los empresarios en definir las barreras del por qué no han creado un entorno más seguro. Los resultados fueron los siguientes: Partiendo de los resultados de aquella pesquisa y, considerando que la Fundación posee características similares al grupo encuestado; se observa la importancia de vigilar por los procesos actuales de los departamentos de la empresa, enfocados en la seguridad de los activos de información. Y a su vez, la gran necesidad de establecer un plan de remediación para cubrir todos aquellos huecos de seguridad detectados. 2. Objetivos Objetivo General Evaluar el Cumplimiento actual de FlomNet Departamento de Tecnología de la Fundación Leonidas Ortega Moreira- en base a normas de estandarización internacionales sobre la Seguridad de Información 2, y 1 Carencia de habilidades por parte de los empleados. Presupuestos limitados. Tiempo y la falta de conciencia sobre las actuales amenazas de la seguridad de tecnologías de la información. (Symantec) es una empresa líder mundial en el mercado de servicios de seguridad de las aplicaciones. 2 ISO 27001, ISO 27002, MARGERIT, COBIT. establecer un Plan de Remediación para responder ante los hallazgos 3 detectados. Objetivos Específicos Identificar los riesgos, amenazas y vulnerabilidades, de los activos y procesos en el área de FlomNet. Evaluar los riesgos detectados, y su impacto a FLOMnet en caso de ocurrencia. Planificar un modelo de aplicación de buenas prácticas de seguridad de información, como respuesta a los resultados obtenidos, en base a normas de estandarización internacionales. 3. Situación Práctica que se propone mejorar La Fundación Leonidas Ortega Moreira está centrada en servir y contribuir a mejorar la calidad de la educación en el país, con la ejecución trascendente de programas de capacitación, bibliotecas, becas, tecnologías y otros idiomas, en los sectores urbano, urbano marginales y rurales del país 4. Así como en toda empresa, la información, es un activo vital para esta organización. La correcta seguridad del mismo, es crítico para las operaciones diarias de la empresa, teniendo dependencia directa su estabilidad como organización. Por ello, al ser una fundación en servicio a la comunidad, debiendo calidad y seguridad en sus transacciones y operaciones diarias, se observa la importancia de asegurar sus procesos por medio de estándares reconocidos. El propósito del presente proyecto, es revisar los procesos operativos en el departamento de FlomNet, considerando que la unidad en mención es la responsable de la tecnología en la Fundación Leonidas Ortega Moreira. Y también -por sus otras funciones o servicios- de coordinar el ingreso de externos a la institución. Dicha revisión se la realiza de acuerdo a los estándares establecidos por la ISO 27001, permitiéndole de esta forma: - Mayor seguridad en sus procesos, - Ahorro en costos involucrados en auditorías internas. - Una guía para encaminar a la empresa a la obtención del certificado internacional ISO/IEC Véase Aplicación de Términos en Antecedentes: Marco Conceptual (4.2) 4 Nosotros: Misión 2

3 En base al procedimiento de trabajo adoptado y recomendado por la certificadora Norma ISO (PDCA 5 ), el presente proyecto de titulación incluirá una evaluación completa de las dos primeras fases. De acuerdo a las especificaciones internacionales, esta involucrará 6 : Análisis de Brecha El establecimiento de objetivos necesarios para alcanzar los resultados (Plan). Planificación de procesos (Do). 4. Solución Propuesta Se evaluarán los procedimientos actuales, en relación a la seguridad que éstos prestan a los activos de información calificados como críticos por el departamento de tecnología. Así también, una vez confirmada la evaluación y de acuerdo a ésta-, se otorgará una remediación adecuada para establecer de manera apropiada un Sistema de Gestión de Seguridad de Información, en base a los estándares internacionales. Lo expuesto estará presentado en dos puntos: 4.1 Análisis de Brecha (GAP Analysis) Por medio del Análisis de Brecha se puede conocer la relación existente entre la Seguridad de Información Actual otorgada en el Departamento de FLOMnet, y la Seguridad de Información Deseada 7 por el departamento. Esta relación se la hace al medir el desempeño de una organización con respecto a las mejores prácticas, estándares, políticas internas o contractuales y regulaciones legales. En otras palabras, el Análisis de Brecha compara lo que existe actualmente en una organización contra lo que es requerido en seguridad de la información 8. Para el análisis se propone el empleo de los siguientes pasos: 5 PDCA Plan-Do-Check-Act, o también conocido como el ciclo de Deming - 6 SGS Sistema de Gestión de la Seguridad de la Información ISO/IEC 27001: Training Services Book, pg13. 7 Revisar Objetivo General (2.1), establecimientos de un Sistema de Gestión Seguridad de Información en base a normas internacionales. 8 (CiberGroup - Empresas de Tecnología de Información) - Definición del Alcance del SGSI deseado. - Identificación de actividades principales, procesos relacionados y activos involucrados en FLOMnet. - Aplicación del Modelo de Madurez 9 Actual de Capacidades en la Ingeniería de Sistemas. - Comprobación de los controles que están siendo aplicados, en base a la Norma ISO/IEC Anexo A. SGSI deseado 4.2 Diseño de un Sistema de Gestión para la Seguridad de la Información (SGSI). Para la implantación de un SGSI, la familia de estándares se apoya en el Ciclo de Deming o Modelo de PDCA. Debido a que el alcance del presente trabajo abarcará las dos primeras etapas de dicho ciclo, para el diseño del SGSI, se tendrá como principal referencia los controles (4.21 y 4.2.2), exigidos por la ISO 27001, es decir: - Planificación de un SGSI para FLOMnet (Plan); comprende la cláusula del Estándar Internacional ISO/IEC Se dividirá su desarrollo en dos pasos: o o Actividades Principales, Procesos y Activos Definir el ámbito y política del SGSI Proceso de análisis y valoración de riesgos (Evaluación de Riesgos) - Recomendaciones para el Diseño de un SGSI en FLOMnet (Do); comprende la cláusula del Estándar Internacional ISO/IEC Resultados 5.1 Análisis de Brecha Modelo de Madurez de Capacidades en la Ingeniería de Sistemas Comparación con la Norma ISO/IEC Anexo A Para poder analizar la situación de seguridad actual de FLOMnet, es necesario identificar y clasificar los activos pertenecientes al departamento, para ello se recomienda el 9 Def. 1 (Modelo CMMI 7)Madurez de un proceso es un indicador de la capacidad para construir un software- de calidad. Def 2. (U.N.A.M.) El CMMI es un modelo de procesos (no de mejora) que muestra la madurez de una organización basándose en la capacidad de sus procesos. 3

4 uso del Método de las Elipses; así también tasar los mismos por medio de las características de información recomendados por COBIT (Confidencialidad, Disponibilidad, Integridad, Confiabilidad, Cumplimiento, Eficiencia, Efectividad) para determinar aquellos críticos y generar medidas de seguridad respectivas. Nivel de Madurez Por medio de la Matriz General del Nivel de Madurez, se confirmó que FLOMnet cumple con el 66,67% de las características requeridas para pertenecer al Nivel 1. Norma ISO/IEC Así también, el estado actual de seguridad de información en FLOMnet puede realizarse al verificar qué cantidad de controles exigidos por la Norma ISO/IEC se están aplicando. Para ello, se realizó una Lista de Verificación 10 con los requeirmientos. En porcentajes del total de controles los cumplidos por FLOMnet: Porcentaje de Cumplimiento Actual - Controles de Norma ISO/IEC El mismo resultado fue otorgado por la Matriz Por Proceso del Nivel de Madurez. Y finalmente se confirma el nivel actual 1, con la tercera matriz (Matriz por Calificación General de Procesos de Modelo de Madurez). En ésta, de los procesos identificados por el departamento, y de acuerdo al valor general dado a casa nivel, se obtuvieron los siguientes resultados: Del total de 42 procesos detectados ( ), el porcentaje de cumplimiento por nivel fue: Nivel 3 9% Nivel 2 29% Nivel 4 0% Nivel 5 0% Nivel 1 62% Nivel 0 0% Después de la aplicación de las tres matrices, se concluye que el nivel de Madurez Actual sobre la Seguridad de la Información de FLOMnet, es el 1, Nivel de Inicio o Ad- Hoc. Es decir, el departamento y sus administradores reconocen sobre la importancia de aplicar seguridades en sus procesos, existen procesos que procurar proteger a sus activos, mas no siempre son efectivos. En la presente gráfica se puede observar que el 54% de los controles no están siendo cumplidos. El 18% de Controles que no Aplican, se justifica es requerido por la norma-, en el Declaración de Aplicabilidad, las razones de su obviación. Matriz de Riesgos Consolidada Después de medir el estado actual de FLOMnet y de haber tasado activos La Matriz de Riesgo Consolidada nos da una visión sobre las prioridades de inversión en la seguridad de información 11 ; en otras palabras este cuadro nos muestra los activos críticos que requieren de atención inmediata ya que están expuestos a riesgos que representa impacto considerable en la Fundación. 10 Véase en Marco Conceptual. 11 (GlobalTecSecurity) Matriz de Riesgo Consolidada 4

5 6. Viabilidad de la Propuesta Para la correcta implementación del SGSI se requiere de la Fundación: 5.2 Recomendaciones para el Diseño de un SGSI Para poder guiar al Departamento Técnico de la FLOM para que alcance la Certificación ISO 27001, se recomienda el Tratamiento de Riesgos, por medio de MARGERIT 12. De acuerdo a MARGERIT las salvaguardas 13 permiten hacer frente a las amenazas. Aquellas recomendadas son: - Salvaguardas de tipo general - Salvaguardas para la protección de servicios - Salvaguardas para la protección de los datos / información - Salvaguardas para la protección de las aplicaciones (software) - Salvaguardas para la protección de los equipos (hardware) Salvaguardas para la protección de las comunicaciones - Salvaguardas de Seguridad Física - Salvaguardas relativas al personal - Salvaguardas para la Externalización Las salvaguardas vigilan cuatro diferentes aspectos para limitar el impacto de los riesgos: - Procedimientos - Política de personal - Soluciones técnicas o Software o Hardware o Comunicación - Infraestructura física En general, los tipos de salvaguardas presentados, responderán a los tipos de Activos identificados. 12 (Presidencia)MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, del Ministerio de Administraciones Públicas de España. MAGERIT es el el acrónimo de la Metodología de Análisis y Gestión de Riesgos de IT, también el nombre árabe que tenía la antigua Madrid. 13 (Ministerio de Administraciones Públicas - Madrid, 2006) Adquisición de un nuevo equipo, con características mínimas de (1MB de RAM, 160 de Disco, Intel Pentium IV), que mismo que sería empelado como servidor frontera para la fundación, otorgando mayor seguridad en sus redes. Compromiso de parte de la Gerencia en sostener el SGSI. Compromiso del parte de los empleados en la adaptación a los procedimientos nuevos. La implementación de un SGSI toma entre 6 meses y un año 14. Telconet necesitó de un año y cuatro meses para implementarlo. Se estima que debido a los pocos procesos requeridos para cumplir con los controles, y la cantidad de integrantes involucrados, el cumplimiento del SGSI en FLOMnet se lo podría realizar en 6 meses. El cronograma de trabajo e implementación, sería el siguiente: Revisión y Actualización de Activos de Información Mediciones y Evaluaciones Comunicación a personal sobre el propósito. Mes 1 Mes 2 Elaboración del Manual de SGSI (alcance, detalle de procesos, responsabili dades) Comunicació n continua Implement ación de procesos Evaluación de impacto obtenido Comunicaci ón continua Mes 3 Mes 4-5 Revisión de procesos Mejoras, correcciones Continua comunicación Revisión constante del SGSI Comunicación continua En caso de que la fundación requiera aplicar para obtener el certificado ISO 27001, el tiempo se extendería a 9 meses, considerando las tres auditorías principales. Y el costo de dicha certificación por 3 años es de $ IVA (véase Anexo M); representando el presente trabajo una PreAuditoría, la Fundación Ahorra $ IVA. 7. Conclusión Se identificaron los activos; para ello, se detallaron también sus procesos y funciones correspondientes. La técnica recomendada fue El Método de la Elipse. Al conocer el estado de los procesos y cuidado actual de los activos, se procedió a realizar un Análisis de Brecha, de 14 (AixaCorpore - Protección de Datos, 2005) Mes 6 5

6 esta manera se constató el estado actual de FLOMnet, con respecto a las recomendaciones hechas por la Estándar. Para el Análisis de Brecha, se realizaron matrices comparativas, por medio del CCMI o Modelo de Madurez. Al conocer el estado actual de FLOMnet, y las especificaciones que debería de cumplir para alcanzar las recomendaciones de la Norma, se solicitó al Departamento la identificación de activos de mayor importancia- de acuerdo al criterio propio. En base a aquel reconocimiento, se procedió a evaluar los riesgos actuales de los activos, por el mismo se identificaron sus amenazas y vulnerabilidades. Aquellos resultados obtenidos, revelaron los activos de alto impacto o críticos, por los cuales se deben tomar medidas inmediatas. Reconociendo los activos críticos para el Departamento, por medio de las guías dadas por MARGERIT, se respondieron ante las vulnerabilidades y amenazas aplicando Salvaguardas para la Seguridad de la Información. Este último paso, otorga a FLOMnet, una guía de los procesos que debe de adaptar, para responder ante los requisitos demandados por la ISO/IEC El presente trabajo demostró la factibilidad de guiar a una pequeña organización, para que cumpla con Normas Internacionales de la Seguridad de Información. A pesar del desconocimiento existente o la poca importancia brindada por parte de las pequeñas y medianas empresas a las certificaciones, se ha demostrado la factibilidad del poder implantar un SGSI en base a normas internacionales. Así también se ha demostrado que para las pequeñas instituciones, la inversión económica es mínima, debido a que sus procesos recién se están implantando y éstos pueden fácilmente corregirse. Como también, debido a que los equipos tecnológicos son limitados, y las redes pequeñas la compra de otros activos tecnológicos para fortalecer la seguridad de información es mínima. Para este tipo de organizaciones, el lograr una correcta implementación del SGSI, principalmente se necesita de un compromiso general por toda la empresa. Si los directivos y demás empleados, confirman su aceptación al sistema y resuelven con tranquilidad, las primeras molestias que la adaptación genere, es fácil visualizar el éxito. 8. Referencias SGS del Ecuador S.A. (2009). Sistemas de Gestión de la Seguridad de la Información ISO/IEC 27001:2005. Quito, Pichincha, Ecuador. ISO/IEC (2009, May 01). Information technology Security techniques Information security management systems Overview and Vocabulary. Retrieved July 07, 2010, from ISO27001 Security. (2007, Septiembre 20). Statement of Applicability. Retrieved Julio 2010, from NTP-ISO/IEC 17799:2007. (2007). Código de buenas prácticas para la gestión de la seguridad de la información. Achillo, L. E. (n.d.). SGSI - CASO DE ESTUDIO Consultores en Informática Global SRL. Retrieved Febrero 2010, from ion/pdf/maggetsi2_104.pdf?phpsessid=461e2596b f8b866c4bdd9090 CiberGroup - Empresas de Tecnología de Información. (n.d.). GAP Análisis. Retrieved Agosto 2010, from iew=article&id=180&itemid=174 DANTE. (n.d.). MARGERIT. Retrieved from Ing. Reynaldo C. de la Fuente, D. (2009). Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001). Retrieved Julio 2010, from López, R. I. (2004). MODELO para medir la MADUREZ de los PROCESOS y FUNCIONES del HELP DESK. Monterrey. Madrid, M. d., & v.2, M. (2005, Junio 16). Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información, 2. Retrieved from Symantec. (n.d.). Company. Retrieved Febrero 2010, from eid=smb_survey&inid=mx_ghp_smb_survey 6

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

Information Technology Infrastructure Library

Information Technology Infrastructure Library Information Technology Infrastructure Library Information Technology Infrastructure Library (ITIL) es un conjunto de mejores prácticas que pretenden facilitar la entrega de informa ción de alta calidad

Más detalles

Orientación Técnica y Metodológicas Compromisos de Gestión

Orientación Técnica y Metodológicas Compromisos de Gestión Orientación Técnica y Metodológicas Compromisos de Gestión 2014 La finalidad de este documento es dar a conocer los principales aspectos técnicos y las directrices a través de los cuáles será evaluado

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS ISO 27001 INTEGRANTE: CARLA CUEVAS ADRIAN VILLALBA MATERIA: AUDITORIA DE SISTEMAS FECHA: 11 DE

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS OBJETIVO: Conocer el marco conceptual de la auditoría informática CONCEPTO Es un examen crítico con carácter objetivo para evaluar la eficiencia y eficacia en el uso de los recursos

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática Agenda Sección 1: Principios

Más detalles

Situación Actual. Al presupuesto asignado. Supervisión y Control a los servicios proporcionados por proveedores. Retraso en la atención oportuna

Situación Actual. Al presupuesto asignado. Supervisión y Control a los servicios proporcionados por proveedores. Retraso en la atención oportuna Situación Actual Las actividades emanadas de los procesos que se llevan a cabo en la Subdirección, requieren fortalecer los controles y seguimientos, por ejemplo: Al presupuesto asignado. Supervisión y

Más detalles

ISO y la serie de Normas ISO 9000

ISO y la serie de Normas ISO 9000 ISO y la serie de Normas ISO 9000 La International Organization for Standardization (ISO) es la agencia internacional especializada para la estandarización, abarcando actualmente los cuerpos nacionales

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz 1, Gustavo Adolfo Herazo Pérez

Andrés Fabián Díaz, Gloria Isabel Collazos, Hermes Cortez Lozano, Leidy Johanna Ortiz 1, Gustavo Adolfo Herazo Pérez 1 IMPLEMENTACION DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) EN LA COMUNIDAD NUESTRA SEÑORA DE GRACIA, ALINEADO TECNOLÓGICAMENTE CON LA NORMA ISO 27001 Andrés Fabián Díaz, Gloria Isabel

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

La integración de procesos

La integración de procesos El Grupo TQS ofrece soluciones Servicios avanzadas Profesionales de aplicación práctica gracias a la sinergia entre Consultores de Consultoría especializados en TIe Ingenieros & Ingeniería de Sistemas

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA.

DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA. DISEÑO DE UN SISTEMA DE GESTIÓN EN CONTROL Y SEGURIDAD BASADO EN LA NORMA BASC PARA LA EMPRESA TRANSPORTES Y SERVICIOS ASOCIADOS SYTSA CÍA. LTDA. Erika Moncayo, Mauricio Campaña, Fernando Solís 1 Universidad

Más detalles

El Análisis de Riesgo en la seguridad de la información

El Análisis de Riesgo en la seguridad de la información Publicaciones en Ciencias y Tecnología. Vol 4, 2010 N 0 2, pp.33 37, ISSN:1856-8890,Dep.Legal pp200702la2730 El Análisis de Riesgo en la seguridad de la información * Manuel Mujica, ** Yenny Alvarez Recibido:

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

examen de muestra ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009

examen de muestra ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009 examen de muestra IS20FB.LA_1.0 ISO/IEC 20000 Foundation Bridge in IT Service Management according to ISO/IEC 20000 edición noviembre 2009 índice 2 introducción 3 examen de muestra 8 soluciones 18 evaluación

Más detalles

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital AUTOR: Ing. Elvin Suarez Sekimoto Email: peluka_chino@hotmail.com U.A.P.-I.T.P.R. CARRERA CONTABILIDAD PUERTO

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

XII JICS 25 y 26 de noviembre de 2010

XII JICS 25 y 26 de noviembre de 2010 Sistema de Gestión Integrado según las normas ISO 9001, ISO/IEC 20000 e ISO/IEC 27001TI Antoni Lluís Mesquida, Antònia Mas, Esperança Amengual, Ignacio Cabestrero XII Jornadas de Innovación y Calidad del

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Ana Andrés Luis Gómez Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

ISO y la serie de Normas ISO 9000

ISO y la serie de Normas ISO 9000 ISO y la serie de Normas ISO 9000 Se formó el comité técnico 176 (ISO/TC176) de la ISO en 1979 cuyo propósito fue armonizar la actividad internacional de aumento en la gerencia de la calidad y estándares

Más detalles

Gobierno y Modelado de la Seguridad de la Información en las Organizaciones

Gobierno y Modelado de la Seguridad de la Información en las Organizaciones Gobierno y Modelado de la Seguridad de la Información en las Organizaciones Escuela Politécnica de Madrid Ingeniería Técnica en Informática de Gestión 2011 Autor: Sandra Ontoria Gonzalo Tutor: Antonio

Más detalles

Retos y desafíos de un Sistema de Gestión de Seguridad de la Información

Retos y desafíos de un Sistema de Gestión de Seguridad de la Información Retos y desafíos de un Sistema de Gestión de Seguridad de la Información El verdadero objetivo de la seguridad no es eliminar la inseguridad, es enseñarnos a convivir con ella. Richard D. García Rondón,

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

EVALUACIÓN DEL NIVEL DE MADUREZ DE UN SGC BASADO EN LA NORMA ISO 9004:2009; ÁREA DE AUDITORÍA.

EVALUACIÓN DEL NIVEL DE MADUREZ DE UN SGC BASADO EN LA NORMA ISO 9004:2009; ÁREA DE AUDITORÍA. EVALUACIÓN DEL NIVEL DE MADUREZ DE UN SGC BASADO EN LA NORMA ISO 900:2009; ÁREA DE AUDITORÍA. EVALUATION OF MATURITY LEVEL MANAGEMENT SYSTEM BASED ON QUALITY ISO 900:2009; AUDIT AREA. John David Guerrero

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

METHODOLOGY FOR ASSESSMENT OF THE R&D PROCESS MATURITY OF AN ORGANIZATION

METHODOLOGY FOR ASSESSMENT OF THE R&D PROCESS MATURITY OF AN ORGANIZATION METHODOLOGY FOR ASSESSMENT OF THE R&D PROCESS MATURITY OF AN ORGANIZATION González González, R.; Rodríguez Montequín, V.; Villanueva Balsera, J.; Barros Alonso, S. Universidad de Oviedo Several standards,

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría INTRODUCCIÓN El conocimiento y habilidades relacionadas

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen de muestra EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen tipo EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

JAIME EDUARDO MEDINA ARIAS

JAIME EDUARDO MEDINA ARIAS DEFINICIÓN DEL PROCESO DE AUDITORÍA INTERNA DEL ASPECTO ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN PARA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SOPORTADO EN TICs JAIME EDUARDO MEDINA

Más detalles

Pontificia Universidad Católica del Ecuador FACULTAD DE INGENIERÍA. CARRERA DE INGENIERÍA DE SISTEMAS

Pontificia Universidad Católica del Ecuador FACULTAD DE INGENIERÍA. CARRERA DE INGENIERÍA DE SISTEMAS 1. DATOS INFORMATIVOS FACULTAD: INGENIERÍA CARRERA: Sistemas Asignatura/Módulo: Evaluación de Sistemas Código: 11869 Plan de estudios: Nivel: Séptimo Prerrequisitos: 10507 Base de Datos II, 15614 Teoría

Más detalles

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C. Tendencias en la Implementación de Sistemas de Gestión de Servicios y Seguridad de TI Septiembre, 2008 Maricarmen García CBCP maricarmen.garcia@secureit.com.mx Contenido Introducción a ALAPSI Situación

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Programa de Certificación para personas en Estándares Internacionales ISO. Cursos de Certificación ISO

Programa de Certificación para personas en Estándares Internacionales ISO. Cursos de Certificación ISO Programa de Certificación para personas en Estándares Internacionales ISO www.sttsoluciones.com.mx P- 1 de 1 México, D.F., a 11 de julio de 2013. Lic. Raúl González Lic. Andrés Simón México FIRST Presente

Más detalles

Implementación efectiva de un SGSI ISO 27001.

Implementación efectiva de un SGSI ISO 27001. MÉXICO COSTA RICA PANAMÁ COLOMBIA ECUADOR PERÚ BRASIL URUGUAY CHILE ARGENTINA Implementación efectiva de un SGSI ISO 27001. Rodrigo Baldecchi Q. Gerente Corporativo de Calidad 04-SEP-14 ÍNDICE 1. Encuadre

Más detalles

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de:

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de: OWASP AppSec Aguascalientes 2011 The OWASP Foundation http://www.owasp.org Citas La seguridad 2.0 Pablo Lugo G - La seguridad no es un producto, es un proceso. Bruce Schneier. Experto en seguridad. - La

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI Seminario de Actualización: Gobernabilidad de Tecnología de Información Organismos relacionados con TI Catedra Sistemas de Información para la Gestión Docentes: - Martha Medina de Gillieri Jorge López

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL

Más detalles

Scientia Et Technica ISSN: 0122-1701 scientia@utp.edu.co Universidad Tecnológica de Pereira Colombia

Scientia Et Technica ISSN: 0122-1701 scientia@utp.edu.co Universidad Tecnológica de Pereira Colombia Scientia Et Technica ISSN: 0122-1701 scientia@utp.edu.co Colombia LADINO A., MARTHA ISABEL; VILLA S., PAULA ANDREA; LÓPEZ E., ANA MARÍA FUNDAMENTOS DE ISO 27001 Y SU APLICACIÓN EN LAS EMPRESAS Scientia

Más detalles

BPMS ESCM CMMI COBIT EFQM ISO IT MARK ITIL PMI TOGAF TSP. Arquitectura empresarial Integrado. del sector TIC. de Información Tecnologías relacionadas

BPMS ESCM CMMI COBIT EFQM ISO IT MARK ITIL PMI TOGAF TSP. Arquitectura empresarial Integrado. del sector TIC. de Información Tecnologías relacionadas MATRIZ CONCEPTUAL BPMS ESCM CMMI COBIT EFQM ISO IT MARK ITIL PMI TOGAF TSP NOMBRE COMPLETO Business Process Management o esourcing Capability Mode o Capability Maturity Model Control Objectives for European

Más detalles

ESTUDIO DE LA MADUREZ DE GESTIÓN DE PROYECTOS PARA EL C.E.E.

ESTUDIO DE LA MADUREZ DE GESTIÓN DE PROYECTOS PARA EL C.E.E. ESTUDIO DE LA MADUREZ DE GESTIÓN DE PROYECTOS PARA EL C.E.E. Henry Paúl Dávila Egresado del Programa Administración de la Construcción, de la Universidad de las Fuerzas Armadas ESPE, henrypauldavila@gmail.com.

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática

Más detalles

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7

1 PRINCIPIOS GENERALES DE AUDITORÍA DE SEGURIDAD VIAL. 3 2 PROCEDIMIENTOS DE AUDITORÍA. 7 LINEAMIENTOS GENERALES PARA LA ESTRUCTURACIÓN DE UN DOCUMENTO PARA EL ASEGURAMIENTO DE LA CALIDAD EN LA APLICACIÓN DE LAS AUDITORÍAS DE SEGURIDAD VIAL EN COLOMBIA 1 PRINCIPIOS GENERALES DE AUDITORÍA DE

Más detalles

TRABAJO DE GRADO PARTICIPANTES WILSON ARENALES GONZALEZ CÓD. 1412010614 LEIDY JOHANNA AVENDAÑO ROMERO CÓD. 1412010501

TRABAJO DE GRADO PARTICIPANTES WILSON ARENALES GONZALEZ CÓD. 1412010614 LEIDY JOHANNA AVENDAÑO ROMERO CÓD. 1412010501 DISEÑO DE UN MODELO DE ANÁLISIS Y DIAGNOSTICO DEL NIVEL DE MADUREZ EN SI PARA EN MIPYMES DE ASESORIA LEGAL Y OFICINAS DE ABOGADOS, COMO BASE PARA LA IMPLEMENTACION DE LA NORMA ISO27002. TRABAJO DE GRADO

Más detalles

Certificación ISO 27001 - Preparación

Certificación ISO 27001 - Preparación Certificación ISO 27001 - Preparación Lic. Raúl l Castellanos CISM, PCI-QSA, Lead Auditor ISO-27001 rcastellanos@cybsec.com Qué es la ISO 27001? Es un modelo para: Establecer Implementar Operar Monitorear

Más detalles

Un análisis del alineamiento definido por el ITGI y la OGC orientado a definir criterios claros de puesta en práctica del alineamiento.

Un análisis del alineamiento definido por el ITGI y la OGC orientado a definir criterios claros de puesta en práctica del alineamiento. Implementación integrada de marcos GTI COBIT constituye la perspectiva Top Down del GTI o Gobierno de TI e ITIL V3, ISO 27001, PMBOK y otros la perspectiva Bottom Up. Este artículo describe un estilo de

Más detalles

LUIS GERARDO RUIZ AGUDELO

LUIS GERARDO RUIZ AGUDELO MANUAL DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA LA CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL UNISARC DE ACUERDO A LAS NORMAS ISO/IEC 27001 LUIS GERARDO RUIZ AGUDELO CORPORACIÓN UNIVERSITARIA

Más detalles

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas 9 El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas LEZAMA- Valeria Universidad Iberoamericana. Recibido 21 de Enero, 2014; Aceptado

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

140 Horas académicas

140 Horas académicas DIPLOMADO GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA DE SISTEMAS 140 Horas académicas MÓDULO I - SEGURIDAD INFORMÁTICA EMPRESARIAL (20 horas: teoría interactiva) Contenido Introducción a la

Más detalles

Cómo Asegurar la Calidad de Servicios de TI?

Cómo Asegurar la Calidad de Servicios de TI? Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V. Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática

Más detalles

CS.04. Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5. Ing. Claudio Schicht, PMP, ITIL EXPERT

CS.04. Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5. Ing. Claudio Schicht, PMP, ITIL EXPERT CS.04 Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5 (HABILITAN PARA OBTENER CERTIFICACION) Ing. Claudio Schicht, PMP, ITIL EXPERT 1. Introducción: Desde

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

Diseño e Implementación de un Sistema de Gestión de Calidad Integrado

Diseño e Implementación de un Sistema de Gestión de Calidad Integrado Operación DR-L1053 Apoyo al Programa de Protección Social y el Sector Salud PROYECTO Diseño e Implementación de un Sistema de Gestión de Calidad Integrado Santo Domingo, R. D. Enero, 2015 Índice 1. Información

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

Número de Grupo Plataforma UVIRTUAL

Número de Grupo Plataforma UVIRTUAL Número de Grupo Plataforma UVIRTUAL 03 GRUPO / ÁREA DISCIPLINAR Sistemas de Información LÍNEA DE INVESTIGACIÓN / ÁREA ESPECÍFICA DE CONOCIMIENTO Gerencia de Proyectos De Sistemas De Información - Auditoría

Más detalles

Formación * * La experiencia con nuestros clientes nos demuestra que los intereses suelen centrarse entre otros en los siguientes:

Formación * * La experiencia con nuestros clientes nos demuestra que los intereses suelen centrarse entre otros en los siguientes: Formación La aplicación de mejores prácticas en gestión de servicios dentro de las organizaciones tendría que ir acompañada de la concienciación y educación apropiadas de todas las personas que intervienen.

Más detalles