Implantación de un SGSI

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Implantación de un SGSI"

Transcripción

1 Implantación de un SGSI con e-pulpo

2 ÍNDICE 1 Introducción SGSI y normativas La serie ISO/IEC (SGSI) ISO/IEC Objetivos de control y controles Implantación Porqué implantar un SGSI? Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de Sistemas de Información? Cuánto tiempo lleva la implantación de un SGSI? Cómo dar respuesta a los requisitos sin sobrepasar el presupuesto disponible? Cómo cubrir los requisitos de un SGSI, la Ley Orgánica de Protección de Datos de Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en tres gastos? Requerimientos de un SGSI Acciones con e-pulpo para un SGSI (ISO 27001) ANEXO II: Objetivos de control y Controles (ISO 27002) Sobre Ingenia Implantación de un SGSI con e-pulpo Página 2 de 25

3 1 Introducción Un SGSI es un Sistema de Gestión de Seguridad de la Información, en inglés ISMS Information Security Management System. El SGSI se basa en un conjunto de políticas orientadas a conseguir y a mantener la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de la Información. En un servicio informático que va a implantar un SGSI es importante diferenciar 2 conceptos de seguridad: - Seguridad Informática: Orientada en la protección de la Infraestructura TIC que soporta al negocio. - Seguridad de la Información: Orientada en la protección de los activos de la información fundamentales para el negocio. El estándar de seguridad de la información ISO/IEC 27001, detalla los requisitos para diseñar, implantar, mantener y mejorar un SGSI, basándose en el ciclo de Deming Plan-Do-Check-Act (Planificar-Hacer-Revisar-Actuar). Implantación de un SGSI con e-pulpo Página 3 de 25

4 2 SGSI y normativas Los Sistemas de Gestión de la Seguridad de la Información están asociados a la normativa ISO/IEC 27001, que es un estándar de seguridad internacionalmente reconocido y se enmarca dentro de una serie de estándares conocidos como la familia La serie Esta serie de estándares están asociados a la seguridad de la información. Se describen a continuación brevemente el alcance de cada uno: ISO = Fundamentos ISO = Especificaciones de un SGSI (Certificable) ISO = Código de buenas prácticas ISO = Guía de implantación ISO = Métricas e Indicadores ISO = Guía para el Análisis y Gestión del Riesgo ISO = Especificaciones para organismos certificadores ISO = Guía de requisitos para entidades auditoría y certificación Implantación de un SGSI con e-pulpo Página 4 de 25

5 2.1 ISO/IEC (SGSI) Es un estándar de seguridad de la información. Se publicó por primera vez en Es similar a la normativa española UNE Marca las especificaciones de un SGSI basado en el ciclo Deming y es un estándar que puede ser certificado. La certificación ISO/IEC demuestra: - El cumplimiento de requisitos para la gestión corporativa y la continuidad del negocio. - El valor que tiene la seguridad de la información para la organización debido al compromiso de la cúpula directiva. - La garantía de controles externos a la propia organización. - Que los riesgos de la organización están identificados, evaluados y controlados. - El cumplimiento de leyes y normativas que sean de aplicación. - La mejora continua consecuencia de las revisiones periódicas. Implantación de un SGSI con e-pulpo Página 5 de 25

6 2.2 ISO/IEC Es el segundo estándar de la serie y también se denomina ISO/IEC Describe unas Buenas Prácticas para la gestión de la seguridad de la información tanto en un proceso de implantación como en su mantenimiento. Define el concepto de seguridad de la información como la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (asegurando que la información y sus métodos de proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran). Se estructura en 11 secciones o dominios: 1. Política de Seguridad de la Información. 2. Organización de la Seguridad de la Información. 3. Gestión de Activos de Información. 4. Seguridad de los Recursos Humanos. 5. Seguridad Física y Ambiental. 6. Gestión de las Comunicaciones y Operaciones. 7. Control de Accesos. 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información. 9. Gestión de Incidentes en la Seguridad de la Información. 10. Gestión de Continuidad del Negocio. 11. Cumplimiento. Implantación de un SGSI con e-pulpo Página 6 de 25

7 De estos 11 dominios emanan 39 objetivos de control, y de estos emanan un total de 133 controles. Cada uno tiene asociada una guía de implantación. Una organización que se adecúe a este estándar tendrá en consideración cuáles de estos les aplican y cuáles no. 2.3 Objetivos de control y controles A continuación se muestran algunos ejemplos de los controles recogidos en la normativa ISO/IEC 27002: Dominio o Objetivo de control Control Gestión de Activos o Responsabilidad sobre los activos Uso aceptable de los activos Seguridad ligada a los recursos humanos o Durante el empleo Proceso disciplinario Seguridad Física y del entorno o Áreas seguras Perímetro de seguridad física Controles físicos de entrada Áreas de acceso público Implantación de un SGSI con e-pulpo Página 7 de 25

8 o Seguridad de los equipos Seguridad del cableado Seguridad de los equipos fuera de las instalaciones Gestión de comunicaciones y operaciones o Planificación y aceptación del sistema Gestión de capacidades Aceptación del sistema o Intercambio de información Acuerdos de intercambio Mensajería electrónica o Supervisión Registros de auditoría Registro de fallos Control de acceso o Gestión de acceso de usuario Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de usuario o Control de acceso a la red Identificación de los equipos en las redes Segregación de las redes Control de encaminamiento (routing) de red o Control de acceso al sistema operativo Procedimientos seguros de inicio de sesión Sistema de gestión de contraseñas o Control de acceso a las aplicaciones y a la información Implantación de un SGSI con e-pulpo Página 8 de 25

9 Restricción del acceso a la información Aislamiento de sistemas sensibles Adquisición, desarrollo y mantenimiento de sistemas de información o Tratamiento correcto de las aplicaciones Validación de los datos de entrada Validación de los datos de salida o Controles criptográficos Política de uso Gestión de claves o Seguridad en los procesos de desarrollo y soporte Procedimiento de control de cambios Restricciones a los cambios en el software Fugas de información o Gestión de vulnerabilidades técnicas Control de las vulnerabilidades Cumplimiento o Requisitos legales Identificación de la legislación aplicable Protección de los documentos de la organización Protección de datos de carácter personal Prevención del uso indebido de recursos Regulación de controles criptográficos Implantación de un SGSI con e-pulpo Página 9 de 25

10 3 Implantación 3.1 Porqué implantar un SGSI? Un SGSI permite dotar y mantener seguridad, sobre la información que maneja la organización. Si además se certifica con el estándar ISO/IEC 27001, ofrece una ventaja competitiva, tal como se describe en el apartado Cómo evitar que crezcan las labores que ya debía gestionar el Servicio de Sistemas de Información? Mediante la integración de las labores que se hacen en el servicio de informática bajo un prisma genérico, sin tener como objetivo exclusivo el cumplimiento con una Ley específica. Una vez teniendo la información necesaria, ésta se explota para dar respuesta a cualquier requisito: LOPD, ENS, ITIL (ISO 20000), SGSI (ISO 27001), etc. 3.3 Cuánto tiempo lleva la implantación de un SGSI? Como término medio lleva entre 6 meses y 1 año. Implantación de un SGSI con e-pulpo Página 10 de 25

11 3.4 Cómo dar respuesta a los requisitos sin sobrepasar el presupuesto disponible? Haciendo uso de software libre, como recomienda el informe Propuesta de Recomendaciones a la Administración General del Estado sobre Utilización del Software Libre y de Fuentes Abiertas, del Consejo Superior de Informática y para el Impulso de la Administración Electrónica (Ministerio de Administraciones Públicas, año 2005). 3.5 Cómo cubrir los requisitos de un SGSI, la Ley Orgánica de Protección de Datos de Carácter Personal y el Esquema Nacional de Seguridad sin incurrir en tres gastos? Utilizando las mismas herramientas para una y otra necesidad, sin recurrir a herramientas independientes, inconexas, que obliguen a duplicar la información y a duplicar el trabajo. Implantación de un SGSI con e-pulpo Página 11 de 25

12 4 Requerimientos de un SGSI Leyenda de colores: Color Función e-pulpo cumple con los requerimientos. Los requerimientos no aplican a la finalidad de e-pulpo. Actualmente e-pulpo no cubre esta funcionalidad, pero la cubrirá en siguientes versiones. Requerimientos que aplican a la propia plataforma de e-pulpo y están cubiertos. Implantación de un SGSI con e-pulpo Página 12 de 25

13 4.1 Acciones con e-pulpo para un SGSI (ISO 27001) Apartado Soporte en e-pulpo Creación del SGSI Completando previamente el control (ISO 27002) a) Elaborar y gestionar el alcance e-pulpo dispone de un módulo de Gestión Documental para gestionar la documentación del alcance del SGSI. b) Definir una política e-pulpo dispone de un módulo de Gestión Documental para gestionar la documentación de la política del SGSI. c) Especificar la metodología de evaluación de riesgos e-pulpo dispone de un módulo de Gestión Documental que permite gestionar los documentos de metodología y evaluaciones. d) e) f) g) Análisis y gestión de riesgos e-pulpo está integrado con PILAR (herramienta para el análisis de riesgos), permite crear vía web activos genéricos en para la valoración de los procesos de negocio, ubica los activos en capas, grupos y dominios de seguridad, permite la asignación de clases a los activos, permite establecer las dependencias entre activos, seleccionar los objetivos de control y valorar las salvaguardas. h) i) Aprobar el informe del análisis de riesgos de PILAR e-pulpo dispone de un módulo de Gestión Documental para gestionar el almacenamiento y aprobación del análisis y gestión de riesgos generado con PILAR. Implantación de un SGSI con e-pulpo Página 13 de 25

14 Apartado Soporte en e-pulpo j) Declaración de aplicabilidad e-pulpo está integrado con PILAR (herramienta para el análisis de riesgos), a través de la que se elabora el SOA, que luego se almacena en el módulo de gestión documental Implementación y operación del SGSI a) Plan de tratamiento de riesgos e-pulpo lo tiene cubierto, como se ha indicado para el punto d) de la norma. b) c) Planificar y gestionar el plan de tratamiento de riesgos d) Definición de métricas para evaluar la eficacia de los controles e-pulpo permite hacer el seguimiento de las acciones a realizar a través del módulo de Gestión de Planes de Acción. e-pulpo dispone de un módulo de Métricas y Cuadros de Mando que permite la creación de métricas y hacer su seguimiento con alertas. e) Implementar programas de formación y concienciación e-pulpo permite implementar estos programas desde su módulo de Formación y Concienciación, a través de una plataforma de tele formación. f) Gestionar la operación del SGSI La gestión de la operación la realiza el propio SGSI. g) Gestionar los recursos del SGSI e-pulpo ayuda a la gestión diaria de los recursos para la seguridad a través de la planificación establecida en el Implantación de un SGSI con e-pulpo Página 14 de 25

15 Apartado Soporte en e-pulpo módulo de Gestión de Planes de Acción (donde se pueden observar las tareas asignadas a cada recurso y su disponibilidad con diagramas de Gantt) y Gestión de Tickets (donde se pueden observar las solicitudes e incidencias que debe resolver cada recurso, y en qué momento está planificado ejecutarlo directamente en el calendario). h) Detección temprana de eventos de seguridad e-pulpo realiza un seguimiento de las últimas vulnerabilidades publicadas del software instalado. Además, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitorizamos los sistemas, recibimos alertas y actualizamos en tiempo real el análisis de riesgos Supervisión y revisión del SGSI a) Procedimientos de supervisión y revisión 1) Detectar errores e-pulpo, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), monitoriza los sistemas y recibe alertas en caso de caída. 2) Identificar debilidades e-pulpo, gracias a la conexión con AlienVault OSSIM (herramienta SIEM basada en software libre), realiza auditorías (hacking ético) y recibe alertas en caso de Implantación de un SGSI con e-pulpo Página 15 de 25

16 Apartado detectar vulnerabilidades. Soporte en e-pulpo b) Gestión de informes de auditoría SGSI e-pulpo ofrece la gestión de los informes de auditoría desde su módulo Gestión Documental. c) Gestión de actas de reunión, revisión por la Dirección, etc. e-pulpo permite desde el módulo Gestión Documental la gestión de las actas de reunión y gestión de contenidos para que puedan ser revisadas por la dirección Mantenimiento y mejora del SGSI No aplica a la funcionalidad de e-pulpo como plataforma. 4.3 Requisitos de la documentación e-pulpo permite gestionar la documentación además de proporcionar a través de workflows ciclos para la vida de cada documento. 5 Responsabilidad de la Dirección 5.2 Gestión de los recursos e-pulpo permite la gestión de los recursos desde los módulos Gestión de Activos y Tickets y Gestión de Planes de Acción Provisión de los recursos e-pulpo permite gestionar la provisión de recursos organizando, identificando y supervisando las acciones desde el módulo Gestión de Planes de Acción Concienciación, formación y capacitación e-pulpo dispone del módulo de Formación y concienciación que permite llevar a cabo acciones Implantación de un SGSI con e-pulpo Página 16 de 25

17 Apartado Soporte en e-pulpo formativas para asegurar que el personal dispone del conocimiento adecuado para llevar a cabo sus tareas asignadas. 6 Auditorías internas del SGSI a) cumplen los requisitos de esta norma, legislación y normativas b) cumplen los requisitos de seguridad de la información identificados e-pulpo, a través de su conexión con PILAR, permite medir los niveles de cumplimiento. e-pulpo permite verificar el cumplimiento de los requisitos que se definan en su módulo Gestión de Cuadros de Mando. c) se implantan y se mantienen de forma efectiva e-pulpo permite verificar el nivel de implantación definidos con métricas en su módulo Gestión de Cuadros de Mando. d) dan el resultado esperado e-pulpo permite verificar a través del módulo Cuadros de Mando si se cumplen las expectativas en los resultados. 7 Revisión del SGSI por la Dirección 7.1 Generalidades e-pulpo permite que la Dirección revise la conveniencia y eficacia del SGSI desde los Cuadros de Mando definidos. Implantación de un SGSI con e-pulpo Página 17 de 25

18 Apartado Soporte en e-pulpo 7.2 Datos iniciales de la revisión Desde las diferentes funcionalidades de e-pulpo, como el módulo de Gestión Documental, se pueden gestionar los datos para las auditorias, comentarios, procedimientos, técnicas, estado de las acciones preventivas, y recomendaciones de mejora. 7.3 Resultados de la revisión e-pulpo permite almacenar los informes resultantes en su Gestor documental. 8 Mejora del SGSI a) Plan de acciones correctivas a una no conformidad e-pulpo facilita la creación de tickets sobre acciones desde su módulo de Gestión de Activos y Tickets, o desde el módulo de Gestión de planes de acción. b) Plan de acciones preventivas a una no conformidad e-pulpo facilita la creación de tickets sobre acciones desde su módulo de Gestión de Activos y Tickets. c) Gestionar los planes de acciones correctivas y preventivas e-pulpo permite el seguimiento así como la notificación automática para el seguimiento de las acciones desde su módulo de Gestión de Activos y Tickets. Implantación de un SGSI con e-pulpo Página 18 de 25

19 4.2 ANEXO II: Objetivos de control y Controles (ISO 27002) Apartado Soporte en e-pulpo 5 Política de seguridad 5.1 Política de seguridad de la información e-pulpo permite la revisión del documento de política de seguridad. 6 Aspectos organizativos de la seguridad de la información 6.1 Organización interna e-pulpo se puede utilizar como apoyo, aunque los compromisos, coordinación y asignación de responsabilidades dependen de la organización. 6.2 Relaciones con terceros e-pulpo se utiliza para la identificación de riesgos derivados de las relaciones con terceros. 7 Gestión de activos 7.1 Responsabilidad sobre los activos Permite inventariar activos y asignarles propietarios. 7.2 Clasificación de la información Permite la clasificación de los activos. 8 Seguridad relacionada con los recursos humanos 8.1 Previa a la contratación Permite gestionar la documentación de contratación así Implantación de un SGSI con e-pulpo Página 19 de 25

20 Apartado Soporte en e-pulpo como la asociación a perfiles y/o funciones. 8.2 Mientras dure la contratación e-pulpo dispone de un módulo para la Formación y Concienciación. 8.3 Fin de la contratación o cambio de puesto de trabajo e-pulpo permite asociar activos a personas facilitando de este modo la gestión ante cambios en la contratación. 9 Seguridad física y del entorno 9.1 Áreas seguras e-pulpo permite tratar las áreas seguras como activos de la organización. 9.2 Seguridad del equipamiento e-pulpo facilita la seguridad de equipos clientes y servidores. 10 Gestión de comunicaciones y operaciones 10.1 Responsabilidades y procedimientos de operación e-pulpo gestiona la documentación, así como la gestión del cambio y segregación de tareas Gestión de servicios prestados por terceros A través del módulo de gestión de activos pueden verse claramente las relaciones con terceros, además del uso del módulo de métricas e indicadores Planificación y aceptación de sistemas El módulo Gestión de Proyectos cumple con este Implantación de un SGSI con e-pulpo Página 20 de 25

21 Apartado requerimiento. Soporte en e-pulpo 10.4 Protección frente a código dañino/descargable No aplica a la funcionalidad de e-pulpo como plataforma Copias de seguridad e-pulpo dispone de mecanismos propios de backup Gestión de la seguridad de las redes e-pulpo a través del módulo OSSIM se integra con esta herramienta que permite aumentar la seguridad en redes Tratamiento de soportes de información e-pulpo permite la gestion de los soportes de información como un activos de la organización, relacionado con otros y con una valoracion asociada a su criticidad Intercambios de información No aplica a la funcionalidad de e-pulpo como plataforma Servicios de comercio electrónico No aplica a la funcionalidad de e-pulpo como plataforma Supervisión A través del módulo OSSIM que integra a e-pulpo se puede gestionar los registros para auditorías, administración, operación y análisis de fallos. 11 Control de acceso 11.1 Requisitos del control de acceso e-pulpo permite que la política de seguridad se gestione desde el módulo de gestión documental. Implantación de un SGSI con e-pulpo Página 21 de 25

22 Apartado Soporte en e-pulpo 11.2 Gestión de usuarios e-pulpo tiene gestión propia sobre los usuarios y asignación de privilegios a través de perfiles Responsabilidades de los usuarios e-pulpo dispone de un módulo de Formación y Concienciación para difundir las responsabilidades Control de acceso a la red No aplica a la funcionalidad de e-pulpo como plataforma Control del acceso a sistemas en operación No aplica a la funcionalidad de e-pulpo como plataforma Control de acceso a datos y aplicaciones No aplica a la funcionalidad de e-pulpo como plataforma Equipos móviles y tele-trabajo e-pulpo permite la gestion de equipos moviles como activos del sistema. 12 Adquisición, desarrollo y mantenimiento de los sistemas de información 12.1 Requisitos de seguridad Ofrece los resultados de un análisis de seguridad permitiendo la modificación de procedimientos para lograr el cumplimiento de requisitos Garantías de procesamiento de información e-pulpo como plataforma realiza validación de los datos de entrada Controles criptográficos e-pulpo gestiona las claves de sus propios usuarios. Implantación de un SGSI con e-pulpo Página 22 de 25

23 Apartado Soporte en e-pulpo 12.4 Seguridad de los archivos del sistema e-pulpo protege los la información con trata y procesa Seguridad en los procesos de desarrollo y soporte e-pulpo permite realizar procedimientos de control de cambios desde el módulo de Gestión de Activos y Tickets Gestión de vulnerabilidades e-pulpo permite monitorizar y gestionar vulnerabilidades en el software de forma nativa usando fuentes RSS filtradas según el software en uso. A través del Módulo OSSIM se integra para poder gestionar además vulnerabilidades técnicas. 13 Gestión de incidentes de seguridad de información 13.1 Comunicación de incidencias y debilidades La gestión de tickets permite el aviso por para comunicar las incidencias detectadas Gestión de incidentes y mejoras El ciclo del sistema de "ticketing" permitirá gestionar tales incidencias. 14 Gestión de la continuidad del negocio 14.1 Seguridad de la información en relación a la gestión de la continuidad e-pulpo permite realizar un análisis de impacto para reforzar la continuidad del negocio. Mediante inteligencia artificial es capaz de generar planes de recuperación ante desastres automáticos. Implantación de un SGSI con e-pulpo Página 23 de 25

24 Apartado Soporte en e-pulpo 15 Cumplimiento 15.1 Satisfacción de requisitos legales e-pulpo protege los documentos de la organización, su privacidad e incluso evita el uso indebido de los mismos. Ofrece la gestión de los requisitos de la LOPD, así como auditoría de dicho cumplimiento usando para ello el perfil correspondiente en PILAR Cumplimiento de políticas, normas y reglamentos técnicos 15.3 Consideraciones sobre auditoría de los sistemas de información e-pulpo es una herramienta de apoyo, pero la supervisión debe realizarla la organización. e-pulpo se puede utilizar para realizar una auditoría del cumplimiento. Mediante el Módulo OSSIM es capaz de realizar pruebas de hacking ético. Implantación de un SGSI con e-pulpo Página 24 de 25

25 5 Sobre Ingenia Ingenia es una empresa de servicios en Tecnologías de la Información, Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnológico de Andalucía, siendo sus socios Unicaja, MP Sistemas y Promálaga. Actualmente tiene presencia en Málaga, Sevilla, Madrid y Barcelona, con delegaciones comerciales en México, Argentina y Jordania y una marcada experiencia profesional en proyectos europeos y en el norte de África. La experiencia de dieciocho años que nos avala nos ha permitido diversificar nuestras soluciones y servicios, consiguiendo de este modo un amplio catálogo que nos permite acercar la tecnología, innovación, experiencia y resultados a las necesidades de nuestros clientes. Reconocida por su capacidad e implicación en sus proyectos, Ingenia ha colaborado a lo largo de su trayectoria con una lista de más de mil clientes pertenecientes tanto al sector público como al privado, así como hospitales, universidades, fundaciones, etc., aportándoles valor con soluciones y servicios a medida. Para ello cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia estudiamos cuidadosamente las soluciones a implementar para conseguir los mejores resultados. Más información en y Implantación de un SGSI con e-pulpo Página 25 de 25

Cumplimiento de la LOPD

Cumplimiento de la LOPD Cumplimiento de la LOPD con e-pulpo ÍNDICE 1 Introducción... 3 2 La Ley Orgánica 15/1999 (LOPD)... 4 3 El Real Decreto 1720/2007... 6 4 Implantación... 8 4.1 Porqué implantar la LOPD?... 8 4.2 Cómo evitar

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

e-pulpo: Software libre para la gestión de LOPD, SGSI, ENS, ITIL

e-pulpo: Software libre para la gestión de LOPD, SGSI, ENS, ITIL e-pulpo: Software libre para la gestión de LOPD, SGSI, ENS, ITIL Autor Andrés Méndez Barco Responsable de la Unidad de Producción de Estrategias de Seguridad y Sistemas Licencia

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

ENS Cómo coordinar y gestionar un plan de adecuación? Mecanismos de apoyo a la adecuación al ENS 10-12-1012

ENS Cómo coordinar y gestionar un plan de adecuación? Mecanismos de apoyo a la adecuación al ENS 10-12-1012 ENS Cómo coordinar y gestionar un plan de adecuación? Mecanismos de apoyo a la adecuación al ENS 10-12-1012 Índice de contenidos Introducción al escenario actual: Similitudes y diferencias en la gestión

Más detalles

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

Herramienta e-pulpo: Apoyo al cumplimiento del ENS. Madrid, 22/02/2011

Herramienta e-pulpo: Apoyo al cumplimiento del ENS. Madrid, 22/02/2011 Herramienta e-pulpo: Apoyo al cumplimiento del ENS. Madrid, 22/02/2011 Dónde estamos Ingenia en España Dónde estamos Ingenia en el mundo Pasos para el cumplimiento del ENS Inventariar activos Categorizar

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Mejora de la Seguridad de la Información para las Pymes Españolas

Mejora de la Seguridad de la Información para las Pymes Españolas Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la

Más detalles

Estructura corporativa. Accionariado

Estructura corporativa. Accionariado E-PULPO: Herramienta de software libre de ayuda al despliegue y mantenimiento del ENS Estructura corporativa Accionariado Dónde estamos Ingenia en España Dónde estamos Ingenia en el mundo Evolución plantilla

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

e-pulpo: Herramienta de Software Libre de Ayuda al Cumplimiento Normativo

e-pulpo: Herramienta de Software Libre de Ayuda al Cumplimiento Normativo e-pulpo: Herramienta de Software Libre de Ayuda al Cumplimiento Normativo Estructura corporativa Accionariado Dónde estamos Ingenia en España Dónde estamos Ingenia en el mundo Evolución plantilla y facturación

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

Máster en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001

Máster en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Máster en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Titulación certificada por EUROINNOVA BUSINESS SCHOOL Máster en Gestión Integrada en el Sector Sanitario:

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial) Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial) Titulación certificada por EUROINNOVA BUSINESS SCHOOL Perito

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

E-PULPO: Herramienta de software libre de ayuda al despliegue y mantenimiento de un Sistema de Gestión de la Seguridad

E-PULPO: Herramienta de software libre de ayuda al despliegue y mantenimiento de un Sistema de Gestión de la Seguridad E-PULPO: Herramienta de software libre de ayuda al despliegue y mantenimiento de un Sistema de Gestión de la Seguridad Estructura corporativa Accionariado Dónde estamos Ingenia en España Dónde estamos

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Ana Andrés Luis Gómez Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001

Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Master en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Objetivos: Aportar al alumno/a de forma eficaz todos aquellos conocimientos, habilidades y competencias que

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Ingenia: Seguridad 360º

Ingenia: Seguridad 360º Ingenia: Seguridad 360º Dónde estamos Ingenia en España Dónde estamos Ingenia en el mundo Evolución plantilla y facturación Facturación por sectores La seguridad de la información: Un requisito de nuestros

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] *[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 2 Junio 2011 Índice Servicio Integral

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información Certificado ISO 27001 Seguridad de la Información Protección de Datos Personales y Seguridad de la Información 1 sumario 1. ALARO AVANT 1.1. Estructura 1.2. Servicios 1.3. Equipo 1.4. Credenciales 1.5.

Más detalles

SEGURIDAD GESTIONADA

SEGURIDAD GESTIONADA SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

ISO 27001 Gestión de Seguridad de la Información. Versión 1

ISO 27001 Gestión de Seguridad de la Información. Versión 1 ISO 27001 Gestión de Seguridad de la Información Versión 1 1. Situación actual y perspectivas de la ISO 27001 1. Situación actual y perspectivas de la ISO 27001 2. Conceptos y Definiciones de Seguridad

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

Master Executive en Auditoría y Seguridad de la Información

Master Executive en Auditoría y Seguridad de la Información Master Executive en Auditoría y Seguridad de la Información INTRODUCCIÓN El aumento en la importancia de los Sistemas de Información dentro del tejido empresarial es innegable. Con el paso del tiempo,

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Cómo aprovechar mejor el Webinar

Cómo aprovechar mejor el Webinar Cómo aprovechar mejor el Webinar Utilice la herramienta de P&R (Preguntas y Respuestas) con la opción preguntar a todos los miembros del panel (DNV) marcada. Esta herramienta puede ser utilizada en cualquier

Más detalles

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA GESCONSULTOR 10 RAZONES PARA UTILIZAR GESCONSULTOR SOPORTE

Más detalles

Máster Profesional. Máster en Gestión Hospitalaria y de Servicios Sanitarios

Máster Profesional. Máster en Gestión Hospitalaria y de Servicios Sanitarios Máster Profesional Máster en Gestión Hospitalaria y de Servicios Sanitarios Índice Máster en Gestión Hospitalaria y de Servicios Sanitarios 1. Sobre Inesem 2. Máster en Gestión Hospitalaria y de Servicios

Más detalles

1. Seguridad de la Información... 3. 2. Servicios... 4

1. Seguridad de la Información... 3. 2. Servicios... 4 Guía de productos y servicios relacionados con la Seguridad de la Información INDICE DE CONTENIDO 1. Seguridad de la Información... 3 2. Servicios... 4 2.1 Implantación Sistema de Gestión de Seguridad

Más detalles

Diseño e implantación de un sistema de gestión de la seguridad de la información

Diseño e implantación de un sistema de gestión de la seguridad de la información Diseño e implantación de un sistema de gestión de la seguridad de la información Autor: PM Consultores S.L Tutores: Juan Adolfo Mogrovejo y Raúl Cortijo Casado 1. TÍTULO Diseño e implantación de un sistema

Más detalles

El largo camino de un Plan Director de Seguridad de la Información

El largo camino de un Plan Director de Seguridad de la Información El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Código: IFCT0109 Nivel de cualificación

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Objetivos Generales: Al término de esta acción formativa los participantes alcanzarán los siguientes objetivos: Formar al alumno en los conocimientos

Más detalles

LPIC, PSO, PPE, BIA, AGR, Por qué no más sencillo? Gestión integral e integrada de todos estos sistemas. Global SGPIC

LPIC, PSO, PPE, BIA, AGR, Por qué no más sencillo? Gestión integral e integrada de todos estos sistemas. Global SGPIC LPIC, PSO, PPE, BIA, AGR, Por qué no más sencillo? Gestión integral e integrada de todos estos sistemas. Global SGPIC Alejandro Delgado, Director de Proyectos INDICE 1. Audisec 2. LPIC: oportunidad 3.

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified

Más detalles

PROGRESS 6.21 Anova IT Consulting, S.L.

PROGRESS 6.21 Anova IT Consulting, S.L. PROGRESS 6.21 Anova IT Consulting, S.L. Caso de éxito, Julio 2012 PROGRESS 6.21 Objetivo de la entrevista: Documentar el proceso de implantación de la Norma ISO 9001:2008 y el Modelo de Excelencia EFQM

Más detalles

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática Agenda Sección 1: Principios

Más detalles

Sistema de Gestión de Seguridad de la Información

Sistema de Gestión de Seguridad de la Información Sistema de Gestión de Seguridad de la Información Aspecto Normativo UNIT ISO/IEC 27000 Familia de normas ISO/IEC 27000 Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar

Más detalles

GESCONSULTOR GRC: SISTEMA DE GESTIÓN INTEGRAL DE CUMPLIMIENTO DE MARCOS Y NORMAS

GESCONSULTOR GRC: SISTEMA DE GESTIÓN INTEGRAL DE CUMPLIMIENTO DE MARCOS Y NORMAS Sistema de Información GRC. Gobierno Riesgo Cumplimiento. Multinorma. Funcionalidades diferenciadoras, motor de cumplimiento con máxima flexibilidad para incorporar nuevos marcos normativos y una integración

Más detalles

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence

Más detalles

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente + GENTE + TECNOLOGÍA OUTSOURCING GESTIONADO DE TI / OUTSOURCING DE SERVICE DESK / CONSULTORÍA EN TECNOLOGÍA SOFTWARE FACTORY / DESARROLLO DE APLICACIONES A MEDIDA / BÚSQUEDA Y SELECCIÓN DE RRHH NUESTRO

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes 2.ª edición Luis Gómez Fernández Ana Andrés Álvarez Título: Guía de aplicación de la Norma UNE-ISO/IEC

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

TÉCNICO EN GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS

TÉCNICO EN GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS TÉCNICO EN GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS 1. DESCRIPCIÓN La Ley de Servicios de Sociedad de la Información y Comercio Electrónico (LSSICE) y la Ley Orgánica de Protección

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Gestión de la Seguridad de la Información

Gestión de la Seguridad de la Información Gestión la la UNIVERSIDAD SAN PABLO CEU ESCUELA POLITÉCNICA SUPERIOR Dep. Ingeniería Sist. Electr. y Telecomunicación Preámbulo De qué vamos a hablar? De un molo formal para la Gestión la en Sistemas :

Más detalles

MANUAL DE SEGURIDAD. Aplicaciones de Tramitación Telemática (Platea)

MANUAL DE SEGURIDAD. Aplicaciones de Tramitación Telemática (Platea) JUSTIZIA ETA HERRI ADMINISTRAZIO SAILA Informatika eta Telekomunikazio Zuzendaritza DEPARTAMENTO DE JUSTICIA Y ADMINISTRACIÓN PÚBLICA Dirección de Informática y Telecomunicaciones MANUAL DE SEGURIDAD Aplicaciones

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información

Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información Offering de Seguridad Tecnológica Seguridad de los Sistemas de Información Quiénes somos? NewPoint somos una consultora multinacional tecnológica joven, moderna y dinámica, que cuenta con una trayectoria

Más detalles