Seminario Calidad 2014 Material de Consulta

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seminario Calidad 2014 Material de Consulta"

Transcripción

1

2

3 ISO/IEC 27001:2013 SGSI Sistemas de Gestión de la Seguridad de la Información

4 Discurso sobre Cybersecurity 29 de Mayo de 2009 none of this progress would be possible, and none of these 21st century challenges can be fully met, without America's digital infrastructure -- the backbone that underpins a prosperous economy and a strong military and an open and efficient government. Without that foundation we can't get the job done. It's long been said that the revolutions in communications and information technology have given birth to a virtual world. But make no mistake: This world -- cyberspace -- is a world that we depend on every single day. It's our hardware and our software, our desktops and laptops and cell phones and Blackberries that have become woven into every aspect of our lives. It's the broadband networks beneath us and the wireless signals around us, the local networks in our schools and hospitals and businesses, and the massive grids that power our nation. It's the classified military and intelligence networks that keep us safe, and the World Wide Web that has made us more interconnected than at any time in human history. So cyberspace is real. And so are the risks that come with it. 2 2

5 Discurso sobre Cybersecurity 29 de Mayo de 2009 It's the great irony of our Information Age -- the very technologies that empower us to create and to build also empower those who would disrupt and destroy. And this paradox -- seen and unseen -- is something that we experience every day. It's about the privacy and the economic security of American families. We rely on the Internet to pay our bills, to bank, to shop, to file our taxes. But we've had to learn a whole new vocabulary just to stay ahead of the cyber criminals who would do us harm -- spyware and malware and spoofing and phishing and botnets. Millions of Americans have been victimized, their privacy violated, their identities stolen, their lives upended, and their wallets emptied. According to one survey, in the past two years alone cyber crime has cost Americans more than $8 billion. In one brazen act last year, thieves used stolen credit card information to steal millions of dollars from 130 ATM machines in 49 cities around the world -- and they did it in just 30 minutes. In short, America's economic prosperity in the 21st century will depend on cybersecurity. And this is also a matter of public safety and national security. We count on computer networks to deliver our oil and gas, our power and our water. We rely on them for public transportation and air traffic control. Yet we know that cyber intruders have probed our electrical grid and that in other countries cyber attacks have plunged entire cities into darkness. 3 3

6 Qué ha pasado después de este discurso? 4 4

7 Veamos un ejemplo personal Dejar la computadora portátil en el asiento trasero o la cajuela del auto Políticas: Las computadoras portátiles nunca se deben dejar desatendidas en el auto. Estacionarse siempre donde exista algún tipo de protección física (estacionamiento). Tecnología: Establecer el uso de contraseñas robustas. Encriptación de la información en el disco duro del equipo de cómputo portátil. Respaldar la información en un sitio central cada semana al menos. Acuerdo legal. Hacer legalmente responsable al personal por los daños causados, en caso de no seguir los controles establecidos. Procedimientos: Monitorear que se realicen los respaldos y sean exitosos. Monitorear que se usen los controles tecnológicos establecidos. Reporte y seguimiento de incidentes. Aplicación de medidas disciplinarias. Entrenamiento: Entrenar al personal sobre los controles (políticas, tecnologías, acuerdo legal y procedimientos). 5 5

8 Veamos un ejemplo en una empresa Red Bancos alrededor del mundo Cliente: Asiste a sucursal o utiliza banca por internet Solicita transferencia Internacional Banco Cuenta origen (moneda) Banco Cuenta destino (moneda) Uso de software obsoleto Mainframe: Sistema Operativo Subsistema Transaccional Base de Datos Software aplicativo especializado para transferencias internacionales (SWIFT). Sistema mundial para transferencias internacionales i entre bancos SWIFT: Society for Worldwide Interbank Financial Telecommunication Políticas: Mantener información vigente del software instalado. Mantener información vigente de la fecha de expiración de las versiones de software. Tecnología: Herramientas de control de activos (control de software: instalación, licenciamiento, expiración, etc.) Acuerdo legal. Hacer legalmente responsable al proveedor de notificar con tiempo suficiente la expiración del software. Procedimientos: Gestión de activos y configuración (conocer la base instalada de software, versiones y fechas de expiración). Gestión de Cambios y Liberaciones (actualización periódica del software). Gestión de proveedores es (contratos, acuerdos, niveles de servicio, reuniones periódicas). Entrenamiento: Entrenar al personal de soporte técnico sobre las políticas, tecnología, acuerdos con proveedores y procedimientos. 6 6

9 Dónde utilizamos información? 7

10 Era de la Información Procesamiento Almacenamiento Ancho de Banda 8

11 Era de la Información Internet of things Cybersecurity 9

12 Era de la Información Big Data Visualization Cloud Computing 10

13 Era de la Información Mobile Computing Censura y control 11

14 Era de la Información Interactive Public Display 3D Imaging and Multimedia Applications 12

15 Era de la Información Interfaces Cerebro Computadora Robótica 13

16 Era de la Información Países sin manejo de efectivo * Estudio MasterCard

17 Información La información son datos que han sido procesados y puestos en una forma útil para el usuario. 15

18 Dónde manejamos información? 16

19 La Información: Un activo valioso y crítico 17

20 Seguridad de la Información Preservación de la: Confidencialidad Acceden quienes están autorizados Integridad Es precisa, confiable y completa Disponibilidad Etádi Está disponibleibl cuando se necesita 18

21 Organización ideal 19

22 Organización en riesgo 20

23 Marco Legal, Normativo y Contractual Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental Ley Federal de Contabilidad Gubernamental MAAGTIC Ley Federal de Protección de Datos Personales Código de Comercio Circular Única de Bancos PCI SOX etc. Circular Única de Bancos: II. Factor de Autenticación Categoría 2: Se compone de información que solo el Usuario conozca e ingrese a través de un Dispositivo de Acceso, tales como Contraseñas y Números de Identificación Personal (NIP), y deberán cumplir con las características siguientes: (46) a) En ningún caso se podrá utilizar como tales, la información siguiente: (46) i El Identificador de Usuario. (46) ii El nombre de la Institución. (46) iii Más de dos caracteres idénticos en forma consecutiva. (46) iv Más de dos caracteres consecutivos numéricos o alfabéticos. (46) No resultará aplicable lo previsto en el presente inciso para el caso de Pago Móvil, Banca Móvil y las operaciones realizadas a través de Cajeros Automáticos y Terminales punto de Venta, siempre que las Instituciones informen al Usuario al momento de la contratación, de la importancia de la composición de las Contraseñas para estos servicios. (46) b) Su longitud deberá ser de al menos seis caracteres, salvo por lo siguiente i Cuatro caracteres para los servicios ofrecidos a través de Cajeros Automáticos y Terminales Punto de Venta. ii Cinco caracteres para Pago Móvil, y iii Ocho caracteres para Banca por Internet. 21

24 Incidente de seguridad de la información El último rally fue después de que el CEO aconsejó a los empleados comprar la acción, aunque él había estado vendiendo, recuperando 16.1 MUSD en acciones vendidas. Una compañía fuerte se hubiera recuperado, a partir de un precio más bajo pero razonable, sin embargo esta empresa había ocultado miles de millones de dólares en deudas y pérdidas operativas a través de complejos esquemas contables, una vez que esto salió a la luz los inversionistas desaparecieron. 22

25 Han escuchado de algún incidente de seguridad de la información? 23

26 Por qué es importante su gestión? Compartir contraseñas Acceso a sitios no autorizados Uso indebido de equipo de cómputo Equipos desatendidos Documentos perdidos Robo Bases de datos destruidas Mantenimiento i no controlado Respaldos inservibles Redes de comunicación caídas Aplicaciones mal diseñadas Intrusión Conversaciones en lugares públicos sobre temas clave Cambios no planeados/autorizados Destrucción/disposición inadecuadas USB s sin control Inadecuada separación de funciones Infraestructura del centro de cómputo Efectos del clima Personal no controlado Terceros / outsourcing sin control Incumplimiento i legal/contractuall/ l Contratos extraviados Controles no observados 24

27 Ciclo de la información Genera Procesa Transfiere Corporativo Centro Espejo Almacena Red Dispone Clientes/ Proveedores Oficinas Regionales Oficinas Internacionales 25

28 Importancia de la Información Activo vital en la organización. Da una ventaja competitiva Permite mantener la operación Asociada al flujo de efectivo y rentabilidad Cumplir requerimientos legales y contractuales Permite proyectar una imagen pública y comercial 26

29 Ventajas de la Gestión Organizacional Legal Operativa Comercial Financiera Recursos Humanos 27

30 Gestión del Riesgo Planear Identificar, Dimensionar y Valorar los Riesgos Hacer Seleccionar, implementar y operar los controles para tratar los riesgos Gestión del Riesgo Actuar Mantener y mejorar los controles de los riesgos Checar Monitoreo y revisión de los riesgos 28

31 Valoración de Riesgos Amenazas: Terrorismo Manifestaciones Terremoto Fuego Activos Inundación Información Robo Procesos Servicios Fraude Huracán Software Hardware Infraestructura Personal Imagen etc. Falla de HW/SW Acceso no autorizado Uso ilegal del SW Falla de energía Fuga de información Errores Humanos Cambios fallidos Fallas de la red Responsabilidad legal o contractual 29

32 Valoración de Riesgos Vulnerabilidades d Falta de entrenamiento Personal molesto Falta de protección física Falta de mantenimiento Ubicación inadecuada de instalaciones Aplicaciones complicadas Falta de control de cambios Inadecuada separación de funciones Puertos de servicio ii no controlados Pruebas inadecuadas a las aplicaciones Falta de control de los datos de prueba Falta de monitoreo Falta de políticas Falta de procedimientos Falta de un plan de continuidad Falta de supervisión de proveedores Instalaciones inadecuadas 30

33 Valoración de Riesgos Acceso no autorizado Personal Molesto: Empleado envía Al DG de la compañía desde la cuenta de su gerente Cambios fallidos Falta de Control de Cambios: Personal de soporte realiza cambio de configuración en ambiente SAN en hora pico y tira la red, afectando todos los servicios Activos Impacto/Consecuencia a la organización: Financiero Legal Contractual Público Cliente Personal Ubicación del CC: Ventanas hacia la calle, se pone bomba casera en macetón frente a la ventana RIESGO Terrorismo 31

34 Valoración de Riesgos 32

35 Controles Controles Información / Procesos de la organización Objetivos Controles Controles 33

36 ISO/IEC Familia 34

37 ISO/IEC Familia ISO/IEC 27000:2012, Information Technology Security Techniques Information Security Management Systems Overview andvocabulary ISO/IEC 27001: 2013, Information Technology Security Techniques Information Security Management Systems Requirements ISO/IEC 27002:2013, Information Technology Security Techniques Code of Practice for Information Security controls ISO/IEC 27005:2011, Information Technology Security Techniques Information Security Risk Management ISO/IEC 27007:2011 Information Technology Security Techniques Guidelines for Information Security Management Systems Auditing ISO 19011: 2011 Guidelines for Auditing Management Systems 35

38 ISO/IEC Familia 1. ISO/IEC 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidance 2. ISO/IEC 27004:2009 Information technology -- Security techniques -- Information security management -- Measurement 3. ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management 4. ISO/IEC 27006:2011 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems 5. ISO/IEC 27007:2011 Information Technology - Security Techniques Guidelines for Information Security Management Systems Auditing 6. ISO/IEC TR 27008:2011 Information technology -- Security techniques Guidelines for auditors on information security controls 36

39 ISO/IEC Familia 7. ISO/IEC 27011:2008 Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC ISO/IEC 27031:2011 Information technology -- Security techniques Guidelines for information and communications technology readiness for business continuity (consultar también: ISO 22301:2012) 9. ISO/IEC 27799:2008 Health informatics -- Information security management in health using ISO/IEC ISO/IEC 24762:2008 Information technology -- Security techniques -- Guidelines for information and communications technology disaster recovery services etc. 37

40 ISO/IEC SGSI Contexto de la organización Entender la organización y su contexto, Entender la necesidades y expectativas de las partes interesadas, Determinar el alcance del sistema de gestión de seguridad de la información, Sistema de Gestión de seguridad de la información Liderazgo Liderazgo y compromiso, Política, Roles, responsabilidades y autoridades organizacionales Planeación Acciones para abordar los riesgos y las oportunidades, Objetivos de seguridad de la información y la planeación para lograrlos Soporte Recursos, Competencia, Concientización, Comunicación e Información documentada Operación Planeación y control de la operación, Valoración de riesgos de seguridad de la información, Tratamiento de riesgos de seguridad de la información Evaluación del desempeño Monitoreo, medición, análisis y evaluación, Auditoría interna, Revisión por la dirección Mejora No conformidad y acción correctiva, Mejora continua 38

41 ISO/IEC Cláusulas 0. Introducción 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización Entender la organización y su contexto Entender las necesidades y expectativas de las partes interesadas Determinar el alcance del sistema de gestión de seguridad de la información Sistema de gestión de seguridad de la información 5. Liderazgo Liderazgo y compromiso Política Roles, responsabilidades y autoridades organizacionales 6. Planeación Acciones para abordar el riesgo y las oportunidades d Objetivos de seguridad de la información y la planeación para lograrlos 39

42 ISO/IEC Cláusulas 7. Soporte Recursos Competencia Concientización Comunicación Información documentada 8. Operación Planeación y control de la operación Valoración de riesgos de seguridad d de la información ió Tratamiento de riesgos de seguridad de la información 9. Evaluación del desempeño Monitoreo, medición, análisis y evaluación Auditoría Interna Revisión por la dirección 10. Mejora No conformidad y acción correctiva Mejora continua 40

43 ISO/IEC Anexo A A.5 Políticas de seguridad de la información A.5.1 Guía gerencial para la seguridad de la información A.6 Organización de la seguridad de la información A.6.1 Organización interna A.6.2 Dispositivos móviles y trabajo remoto A.7 Seguridad de los recursos humanos A.7.1 Antes del empleo A.7.2 Durante el empleo A.7.3 Terminación y cambio de empleo A.8 Gestión de activos A.8.1 Responsabilidad por los activos A.8.2 Clasificación de la información A.8.3 Manejo de medios A.9 Control de acceso A.9.1 Requerimientos del negocio de control de acceso A.9.2 Gestión de Acceso de los Usuarios A.9.3 Responsabilidades d de los usuarios A.9.4 Control de acceso al sistema y aplicaciones 41

44 ISO/IEC Anexo A A.10 Criptografía A Controles criptográficos A.11 Seguridad física y ambiental A.11.1 Áreas seguras A.11.2 Equipo A12S A.12 Seguridad dde las operaciones A.12.1 Responsabilidades y Procedimientos de Operación A.12.2 Protección contra código malicioso A.12.3 Respaldo A.12.4 Registro de bitácoras y monitoreo A.12.5 Control del software de producción A.12.6 Gestión de vulnerabilidades técnicas A.12.7 Consideraciones de auditoría de los sistemas de información A.13 Seguridad de las comunicaciones A.13.1 Gestión de seguridad de la red A.13.2 Transferencia de información 42

45 ISO/IEC Anexo A A.14 Adquisición, desarrollo y mantenimiento de sistemas A.14.1 Requerimientos de seguridad de los sistemas de información A.14.2 Seguridad en los procesos de desarrollo y soporte A.14.3 Datos de prueba A.15 Relaciones con proveedores A Seguridad de la información en las relaciones con proveedores A.15.2 Gestión de la entrega de servicios del proveedor A.16 Gestión de incidentes de seguridad de la información A.16.1 Gestión de incidentes de seguridad de la información y mejoras 43

46 ISO/IEC Anexo A A.17 Aspectos de seguridad de la información de la gestión de la continuidad del negocio A.17.1 Continuidad de la seguridad de la información A.17.2 Redundancias A.18 Cumplimiento A Cumplimiento de los requerimientos legales y contractuales A.18.2 Revisiones de seguridad de la información 14 cláusulas, 35 objetivos de control y 114 controles 44

47 ISO/IEC Información Documentada 1. Alcance del SGSI. 2. Política de seguridad d de la información. ió 3. Proceso de valoración de riesgos de seguridad de la información. 4. Proceso de tratamiento de riesgos de seguridad de la información. 5. Declaración de aplicabilidad. 6. Plan de tratamiento to de riesgos. 7. Objetivos de seguridad de la información. 8. Competencias. 9. Determinada como necesaria por la organización para la eficacia del SGSI. 10. De origen externo determinada como necesaria para el SGSI. 45

48 ISO/IEC Información Documentada 11. Determinada como necesaria para tener confianza de que los procesos se ejecutan como se planearon. 12. Resultados de la valoración de riesgos de seguridad de la información. 13. Resultados del tratamientos t t de riesgos de seguridad de la información. 14. Resultados del monitoreo y medición. 15. Programas de auditorías. 16. Resultados de auditorías. 17. Resultados de la revisiones por la dirección. 18. No conformidades, acciones tomadas y resultados de las acciones correctivas. 19. Requerida de acuerdo a los controles seleccionados. 46

49 ISO/IEC Certificación IAF International Accreditation Forum Asociación mundial de organismos de acreditación de la evaluación de la conformidad OA OC Organismos de Acreditación Organización Organismo de Certificación Organización Certificada Organismos nacionales que acreditan a los Organismos de Certificación, a fin de que puedan realizar auditorías de certificación. En México existe la ema : Entidad Mexicana de Acreditación. Norma ISO 17011, evaluación de pares. Organizaciones acreditadas para llevara a cabo auditorías de certificación bajo normas internacionales. Norma: ISO y otras (ISO/IEC 27006), evaluación de acreditación. Organización interesada en certificarse bajo una norma internacional y que es auditada por un Organismos de Certificación acreditado. Norma ISO/IEC y otras. 47

50 ISO/IEC Certificación P C V1 V2 V3 V4 V5 R años Pre-certificación (P) - Una vez, en sitio. Certificación (C) Etapa 1: revisión documental y otros, remota o en sitio. Etapa 2: en sitio. Auditoría de Vigilancia (V): Una cada seis meses, hasta completar 5 auditorías, ciclo de dos años y medio (al menos una al año). Auditoría de Seguimiento (S): Cuando existan no-conformidades derivadas de una auditoría. Auditoría de Re-certificación (R): Una al cumplir el 3er año de la certificación. 48

51 Seguridad de la Información Es únicamente un tema del área de TIC? Respuesta:!NO!, es una tema de la organización en su conjunto. AnexoA de ISO 27001: 46% - TI 30% - Organización, documentación 9% - Seguridad Física 6% - Legal 5% - Proveedores y Clientes 4% - Recursos Humanos 49

52 Cómo convencer a la alta dirección? Es realmente necesario?. Cumplimiento legal, normativo y contractual Establecer una ventaja competitiva Reducción de costos, mediante la reducción de incidentes. Optimización de la operaciones, mediante la clara definición de roles y responsabilidades Encaja con la estrategia de la organización?. Simplemente explicar como la falta de confidencialidad, integridad y/o disponibilidad de la información pondrá en riesgo la realización de la estrategia de la organización. Cómo reducir los costos?. Calcular el retorno sobre la inversión en seguridad. La mayoría de los incidentes se deben al comportamiento humano, por lo tanto es más barato invertir en políticas, procesos, procedimientos, entrenamiento y concientización, comparado con la tecnología. Cómo mediremos el éxito?. Establecer objetivos claros y medibles. Contar con un esquema de medición. Contar con mecanismos para actuar cuando existan desviaciones. 50

53 Fin Dudas Preguntas Comentarios 51

54 ISO/IEC 27001:2013 SGSI Sistemas de Gestión de la Seguridad de la Información

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría INTRODUCCIÓN El conocimiento y habilidades relacionadas

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C. Tendencias en la Implementación de Sistemas de Gestión de Servicios y Seguridad de TI Septiembre, 2008 Maricarmen García CBCP maricarmen.garcia@secureit.com.mx Contenido Introducción a ALAPSI Situación

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

La gestión de la seguridad en la empresa:

La gestión de la seguridad en la empresa: EN PORTADA La gestión de la seguridad en la empresa: Introducción Vivimos en un mundo globalizado y cada vez más competitivo, en el que las empresas se encuentran con nuevos desafíos que hacen necesaria

Más detalles

Getronics Gana Flexibilidad y Competitividad en Servicios de TI con Soluciones de CA Technologies

Getronics Gana Flexibilidad y Competitividad en Servicios de TI con Soluciones de CA Technologies CUSTOMER SUCCESS STORY Julio 2013 Getronics Gana Flexibilidad y Competitividad en Servicios de TI con Soluciones de CA Technologies PERFIL DEL CLIENTE Industria: Servicios de TI Compañía: Getronics Empleados:

Más detalles

Bootcamp de Certificación 2015

Bootcamp de Certificación 2015 CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada

Más detalles

LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002

LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002 LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002 NORMA ISO 27002:2013 Esta nueva versión mantiene las cláusulas 0, 1, 2 y 3 de la versión 2005 aunque intercala otra referida a Referencias Normativas

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002

LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002 LAS NUEVAS VERSIONES DE LAS NORMAS ISO 27001 e ISO 27002 NORMA ISO 27002:2013 Ing. Carlos Ormella Meyer Antes de comenzar con el tema propiamente dicho diremos que para las referencias a las distintas

Más detalles

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina Estado del arte de la seguridad de la información Julio César Ardita jardita@cybsec.com 21 de Octubre de 2014 Buenos Aires - Argentina Agenda Incidentes de seguridad El rol del CISO Presión de las regulaciones

Más detalles

Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador

Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador Seguridad de la Información: Cómo evitar pérdidas en el sector asegurador Jorge Villar (jorge_villar@symantec.com) Gerente de Ingeniería, Symantec México Junio 10, 2008 Agenda 1 2 3 Quién es Symantec?

Más detalles

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Servicios en seguridad de la información Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción a la seguridad Evaluación de Riesgo. Implementación de la seguridad Planes para

Más detalles

Segurinfo Santa Fé 2014. Tendencias de Gestión de Seguridad de la Información. Andrés L. Gil Rosario, Diciembre 2014

Segurinfo Santa Fé 2014. Tendencias de Gestión de Seguridad de la Información. Andrés L. Gil Rosario, Diciembre 2014 Segurinfo Santa Fé 2014 Tendencias de Gestión de Seguridad de la Información Andrés L. Gil Rosario, Diciembre 2014 Agenda Seguridad de la Información y Cyber Riesgos Hoy Principales tendencias en Gestión

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN.

EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. EL MUNDO CAMBIA. CADA VEZ MÁS RÁPIDO. LA SEGURIDAD, TAMBIÉN. * COMPROMETIDOS CON LA SEGURIDAD* *Comprometidos con tu vida digital, comprometidos con tu tranquilidad, comprometidos con tu negocio. [ 3 ]

Más detalles

Tendencias generales

Tendencias generales Tendencias generales Globalización La cadena de valor se amplia e integra Creciente competencia Mercados más complejos y comunicados Hay un incremento acelerado del trabajo en colaboración El negocio depende

Más detalles

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

ISO 27001:2013 Todo lo que usted necesita saber acerca de los nuevos cambios

ISO 27001:2013 Todo lo que usted necesita saber acerca de los nuevos cambios ISO 27001:2013 Todo lo que usted necesita saber acerca de los nuevos cambios Cambios respecto a ISO 27001:2005 William Hálaby CISSP, PMP (ISC) 2 Capitulo Colombia BoardMember Si usted asistió a esta charla

Más detalles

Temas de Seguridad y Privacidad en Cloud Computing

Temas de Seguridad y Privacidad en Cloud Computing Fuente: Marko Hölbl LSI SIN (10)02 Temas de Seguridad y Privacidad en Cloud Computing CEPIS El Consejo Europeo de Sociedades Profesionales de Informática (CEPIS) es una organización sin ánimo de lucro

Más detalles

ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios

ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios Judit Laguardia jlaguardia@orcilatam.com ORCI Latam Agenda Introducción a la Gestión de Servicios (ITIL ) ISO/IEC 20000: Qué es y por qué se

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

INSTITUTO POLITÉCNICO NACIONAL

INSTITUTO POLITÉCNICO NACIONAL INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN REVISIÓN DE NORMAS Y ESTÁNDARES DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE

Más detalles

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos

Más detalles

Kuapay, Inc. Seminario Internacional Modernización de los medios de pago en Chile

Kuapay, Inc. Seminario Internacional Modernización de los medios de pago en Chile Kuapay, Inc. Seminario Internacional Modernización de los medios de pago en Chile Our value proposition Kuapay s motto and mission Convert electronic transactions into a commodity Easy Cheap!!! Accessible

Más detalles

Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel

Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel Enterprise Risk Services Riesgos Tecnológicos Llevando a la Auditoría Interna de TI al siguiente nivel Junio, 2013 Por qué estamos aquí? Entender los factores que están impulsando a cambiar la Auditoría

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014 Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina Guatemala Julio 2014 Agenda Introducción Tendencias Seguridad 2014 Conclusiones 2014 - Deloitte Introducción

Más detalles

Certificación ISO 27001 - Preparación

Certificación ISO 27001 - Preparación Certificación ISO 27001 - Preparación Lic. Raúl l Castellanos CISM, PCI-QSA, Lead Auditor ISO-27001 rcastellanos@cybsec.com Qué es la ISO 27001? Es un modelo para: Establecer Implementar Operar Monitorear

Más detalles

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

El Análisis de Riesgo en la seguridad de la información

El Análisis de Riesgo en la seguridad de la información Publicaciones en Ciencias y Tecnología. Vol 4, 2010 N 0 2, pp.33 37, ISSN:1856-8890,Dep.Legal pp200702la2730 El Análisis de Riesgo en la seguridad de la información * Manuel Mujica, ** Yenny Alvarez Recibido:

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Recibir BOLETÍN ELECTRÓNICO

Recibir BOLETÍN ELECTRÓNICO Documento Informativo 78/2012 27 diciembre de 2012 Visitar la WEB Recibir BOLETÍN ELECTRÓNICO DE LA CIBERSEGURIDAD EN LA SEGURIDAD NACIONAL DE LA CIBERSEGURIDAD EN LA SEGURIDAD NACIONAL Resumen: La ciberseguridad

Más detalles

Recuperación y Continuidad del Negocio

Recuperación y Continuidad del Negocio Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento

Más detalles

Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de Latinoamérica

Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de Latinoamérica Retos Clave Contra el Fraude Electrónico en las Instituciones Bancarias y Financieras de Latinoamérica TABLA DE CONTENIDO Panorama Actual de los Mercados de Seguridad Electrónica Anti-Fraude en Latinoamérica.

Más detalles

SISTEMA DE GESTIÓN DE SERVICIOS TIC BASADO EN LA NORMA ISO/IEC 20000 Msc. Alice Naranjo S., Marcelo Granda

SISTEMA DE GESTIÓN DE SERVICIOS TIC BASADO EN LA NORMA ISO/IEC 20000 Msc. Alice Naranjo S., Marcelo Granda PLANEACIÓN Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SERVICIOS TIC BASADO EN LA NORMA ISO/IEC 20000 Msc. Alice Naranjo S., Marcelo Granda CONTENIDO: Introducción Objetivos Metodología Revisión de literatura

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

La decisión de irse a la nube. requiere tener en cuenta aspectos: Técnicos Económicos Modelo de gestión y JURÍDICOS

La decisión de irse a la nube. requiere tener en cuenta aspectos: Técnicos Económicos Modelo de gestión y JURÍDICOS CONGRESO DINTEL CLOUD COMPUTING Digitalización en la Red PROTECCIÓN DE LOS DATOS PERSONALES EN CLOUD COMPUTING María José Blanco Antón Subdirectora General Registro General de Protección de Datos Madrid,

Más detalles

INFORMACIÓN ENVIADA Y CERTIFICACIONES DE AZURE. pandasecurity.com

INFORMACIÓN ENVIADA Y CERTIFICACIONES DE AZURE. pandasecurity.com INFORMACIÓN ENVIADA Y CERTIFICACIONES DE AZURE pandasecurity.com 2 01 Qué información es enviada/guardada en la nube? 04 Qué seguridad tiene la plataforma donde se alojan los datos? 02 Se comparte algún

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

NTE INEN-ISO/IEC 27033-1 Primera edición

NTE INEN-ISO/IEC 27033-1 Primera edición Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27033-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27033-1:2009,

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

"Metodolog#a de Comprobaci$n ISO 17.799% & ' 12( 12(1 (3. Página 1

Metodolog#a de Comprobaci$n ISO 17.799% & ' 12( 12(1 (3. Página 1 !! "Metodolog#a de Comprobaci$n ISO 17.799% & ' () *+,-.-/0 12( 12(1 (3 Página 1 Proposición Desarrollar una metodología que se utilice para identificar cuales son las diferencias existentes en una empresa

Más detalles

La seguridad informática comienza con la seguridad física

La seguridad informática comienza con la seguridad física La seguridad informática comienza con la seguridad física Arturo Maqueo RCDD Offer Marketing Specialist Data Centers All content in this presentation is protected 2008 American Power Conversion Corporation

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

BEST PRACTICES FOR SECURITY

BEST PRACTICES FOR SECURITY BEST PRACTICES FOR SECURITY BEST PRACTICES (ITIL, COBIT, ISO 17799) IT mgmt Mejores prácticas ITIL, COBIT, ISO 17799, ISO 9002, Capability Maturity Model (CMM ), Project in Controlled Environments (PRINCE),

Más detalles

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas

El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas 9 El Gobierno TI es el único camino posible para asegurar que las áreas de sistemas contribuyen al éxito de las empresas LEZAMA- Valeria Universidad Iberoamericana. Recibido 21 de Enero, 2014; Aceptado

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Certificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

Certificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4. Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Elaborado por: Yezid Ospina Piñeros Líder de Seguridad de la (E) Gerencia Implementación de la Estrategia Revisado por: Katerine Llanos Orozco Líder SIG (E) Gerencia Implementación de la Estrategia Aprobado

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa.

Sistemas de Información para la Gestión Fac.de Cs. Económicas, Jurídicas y Sociales U.N.Sa. UNIDAD 1: GESTION DE SISTEMAS Y TECNOLOGÍA DE INFORMACIÓN 1. Gobierno de TI: Alineamiento estratégico. Entrega de Valor. Administración de riesgos. Administración de Recursos. de desempeño. Aseguramiento

Más detalles

Aspectos Generales Sobre Seguridad de la Información

Aspectos Generales Sobre Seguridad de la Información Aspectos Generales Sobre Seguridad de la Información Eric Morán Añazco MBA, PMP, Lead Auditor ISO 27001 Consulting Division Manager eric.moran@myt.com.pe M&T Consulting M&T Consulting Calle Las Begonias

Más detalles

INNOVACIÓN Tecnologías de información La nueva Era. Javier Cordero Torres Presidente y Director General Oracle México Febrero 27, 2015

INNOVACIÓN Tecnologías de información La nueva Era. Javier Cordero Torres Presidente y Director General Oracle México Febrero 27, 2015 INNOVACIÓN Tecnologías de información La nueva Era Javier Cordero Torres Presidente y Director General Oracle México Febrero 27, 2015 Oracle Confidential Internal/Restricted/Highly Restricted 3 4 OF WORLD

Más detalles

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las

Más detalles

Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013)

Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) 1) Qué documentos y registros son necesarios? La siguiente lista detalla la cantidad mínima de documentos y registros requeridos

Más detalles

ISO 20000 - Gestión de Servicios TI

ISO 20000 - Gestión de Servicios TI ISO 20000 - Gestión de Servicios TI Aumentando la competitividad con Servicios TI de alta calidad Versión 1 1. Escenario de situación 2. La ISO 20000 como solución para la gestión de servicios TI 3. Beneficios

Más detalles

ISO 19770 (SAM), por dónde empezamos?

ISO 19770 (SAM), por dónde empezamos? ISO 19770 (SAM), por dónde empezamos? Qué es ISO/IEC 19770-1? La ISO 19770 se ha desarrollado a fin de permitir a una organización demostrar que está efectuando la gestión de activos de software, comúnmente

Más detalles

Cloud Computing. Su aplicación en la Banca Privada Argentina.

Cloud Computing. Su aplicación en la Banca Privada Argentina. Cloud Computing. Su aplicación en la Banca Privada Argentina. Presentada por: Noceti, Héctor Management Systems Manager / Southern Cone Logicalis Aclaración: Todos los derechos reservados. No está permitida

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

MEDIOS DE PAGO ELECTRONICO

MEDIOS DE PAGO ELECTRONICO MEDIOS DE PAGO ELECTRONICO Crecimiento del comercio electrónico en América Latina será de 59 billones de dólares en el 2012. 59 42 16 22 30 2008 2009 2010 2011 2012 Fuente: Estudio de VISA 6859 E-commerce

Más detalles

Gobierno Corporativo Comité de Auditoría de Alto Valor: Guía Práctica

Gobierno Corporativo Comité de Auditoría de Alto Valor: Guía Práctica Gobierno Corporativo Comité de Auditoría de Alto Valor: Guía Práctica Jaime Bueno Miranda Consejero Externo KPMG Colombia Líder ACI Advisory Board Colombia Panamá, Septiembre 26, 2013 Contenido 0. Objetivo

Más detalles

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte

Evolución de la estrategia de seguridad de la información basada en indicadores. Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Evolución de la estrategia de seguridad de la información basada en indicadores Wilmar Arturo Castellanos CGEIT, CISM, CISA Deloitte Agenda Planeación estratégica de seguridad Gobierno de Seguridad Indicadores

Más detalles

Cómo aprovechar mejor el Webinar

Cómo aprovechar mejor el Webinar Cómo aprovechar mejor el Webinar Utilice la herramienta de P&R (Preguntas y Respuestas) con la opción preguntar a todos los miembros del panel (DNV) marcada. Esta herramienta puede ser utilizada en cualquier

Más detalles