INSTITUTO POLITÉCNICO NACIONAL

Tamaño: px
Comenzar la demostración a partir de la página:

Download "INSTITUTO POLITÉCNICO NACIONAL"

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA SECCIÓN DE ESTUDIOS DE POSGRADO E INVESTIGACIÓN REVISIÓN DE NORMAS Y ESTÁNDARES DE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Trabajo que para obtener el grado de Especialista en Seguridad Informática y Tecnologías de la Información P R E S E N T A Ing. Fernando Alcántar Hernández Asesor: Dr. José de Jesús Vázquez Gómez. Ciudad de México, Junio de 2009

2 ACTA DE REVISIÓN DE TESINA II

3 CARTA DE CESIÓN DE DERECHOS III

4 IV AGRADECIMIENTOS Y DEDICATORIA Al Dr. José de Jesús Vázquez Gómez: Quien gracias a su profesionalismo y espíritu institucional, dedicó su valioso tiempo para realizar el presente trabajo. A mi esposa: Por brindarme su enorme apoyo durante todo este tiempo.

5 ÍNDICE GENERAL V PRELIMINARES ACTA DE REVISIÓN DE TESINA... II CARTA DE CESIÓN DE DERECHOS... III AGRADECIMIENTOS Y DEDICATORIA... IV ÍNDICE GENERAL... V ÍNDICE DE FIGURAS... VII ÍNDICE DE TABLAS... VII RESUMEN... VIII ABSTRACT... IX INTRODUCCIÓN.... X OBJETIVO GENERAL.... XII OBJETIVOS PARTICULARES... XII JUSTIFICACIÓN.... XIII CAPÍTULO I. SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA (SGSI). 1.1 MARCO DE REFERENCIA DEL SGSI DESCRIPCIÓN Alineación del SGSI a las misiones de la organización y de seguridad de la organización Análisis de riesgos Controles de seguridad Políticas de seguridad informática Monitoreo del sistema Recuperación y continuidad del negocio Cultura de seguridad en la organización CAPÍTULO II. ISO/IEC 27001: DESCRIPCIÓN El SGSI en ISO/IEC 27001: CAPÍTULO III. ENISA (EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY). 3.1 DESCRIPCIÓN CAPÍTULO IV. NIST SP MARCO DE REFERENCIA FIPS FIPS NIST SP CAPÍTULO V. DEPARTAMENTO DE DEFENSA DE LOS ESTADOS UNIDOS DE AMÉRICA. 5.1 MARCO DE REFERENCIA DIRECTIVA DEL DoD

6 5.3 INSTRUCCIÓN DEL DoD , IMPLEMENTACIÓN DEL IA CAPÍTULO VI. COMPARATIVA DE LOS SISTEMAS DE GESTIÓN DE SEGURIDAD INFORMÁTICA DESCRIPCIÓN PARÁMETROS DE COMPARACIÓN ALCANCE EVALUACIÓN DE RIESGOS POLÍTICA DE SEGURIDAD PROCESO DE GESTIÓN CONTROLES DE SEGURIDAD CONCLUSIONES RECOMENDACIONES REFERENCIAS BIBLIOGRÁFICAS REFERENCIAS CIBEROGRÁFICAS VI

7 VII ÍNDICE DE FIGURAS Figura 1. Modelo PDCA aplicado a los procesos SGSI Figura 2. Estructura de un SGSI Figura 3. Marco de Administración de Riesgo (Risk Amanagement Framework) ÍNDICE DE TABLAS Tabla 1. Controles de seguridad en ISO/IEC Tabla 2. Identificadores, familias y clases de controles de seguridad Tabla 3. Temas de Control de IA Tabla 4. Comparativa del alcance de los SGSI Tabla 5. Comparativa de metodología de análisis de riesgos Tabla 6. Comparativa de implementación de políticas de seguridad Tabla 7. Comparativa de procesos de gestión Tabla 8. Comparativa de controles de seguridad

8 VIII RESUMEN En el presente trabajo se lleva a cabo una revisión de cuatro documentos relacionados con sistemas de gestión de seguridad de la información emitidos por las siguientes organizaciones: Organización de Estándares Internacionales en su documento ISO/IEC 27001:2005, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos de América en su publicación especial SP , la Agencia de Seguridad de la Información y redes de la Unión Europea y el Departamento de Defensa de los Estados Unidos de América en su Directiva y en la instrucción El objeto de la revisión es realizar una comparativa de los controles de seguridad que implementan, en la que se señalen sus diferencias y se determine cuales serían adecuados a organizaciones de tipo privadas, gubernamentales y militares.

9 IX ABSTRACT The present study conducts a review of four documents relating to information security management systems, issued by the following organizations: International Standards Organization through ISO/IEC 27001:2005, the National Institute of Standards and Technology of United States of America through Special Publication SP , European Network Information Security Agency and the Department of Defense of the United States of America through Directive and Instruction The purpose of the review is to conduct a security controls comparative giving their differences and determine which would be appropriate to private, governmental and military organizations.

10 X INTRODUCCIÓN. En este trabajo se realiza la revisión de algunos estándares y documentación relativos a la administración de la seguridad informática, con el fin de elaborar posteriormente una comparativa en la que se resalten los aspectos característicos y más sobresalientes de cada uno de los documentos revisados y que esto a su vez sirva como referencia para llevar a cabo la administración de un área de seguridad informática en una organización. En el primer capítulo se define el Sistema de Gestión de Seguridad de la Información, sus características y la importancia de su implementación. En el capítulo dos se describe el estándar internacional ISO 27001, el cual es de origen británico y es utilizado en numerosas organizaciones de diferentes países debido a la importancia que ha adquirido y a su apego a la Organización Internacional para la Estandarización (International Organization for Standarization, ISO). La Agencia de Seguridad de la Información de la Unión Europea (European Network Information Security Agency, ENISA), es una institución de gran influencia en los aspectos de seguridad de la información en diferentes países de la Unión Europea, por lo que se aborda en el capítulo tres de este documento para su revisión. La Publicación Especial del Instituto Nacional de Estándares y Tecnología (National Institute of Standarts and Technology, NIST) del Departamento de Comercio de Administración de los Estados Unidos de América, es un documento

11 XI que sirve de guía en la aplicación de controles de seguridad informática en organizaciones gubernamentales de los Estados Unidos de América y se menciona en el capítulo cuatro. En el quinto capítulo se habla sobre documentación existente en el Departamento de Defensa de los Estados Unidos de América, la cual se eligió debido a que históricamente, se ha observado que las organizaciones militares de los países desarrollados han tenido gran influencia en el progreso tecnológico. Posteriormente se elabora una comparativa de los documentos revisados en los capítulos anteriores y se presenta en el capítulo seis. Por último, se muestran las conclusiones del presente trabajo y se hacen algunas recomendaciones.

12 XII OBJETIVO GENERAL. Revisar normas y estándares en materia de gestión de seguridad de la información, con el fin de señalar sus principales características y que a su vez permita al administrador de seguridad de Tecnologías de la Información (TI) en una organización, seleccionar la documentación que mejor se adapte a las necesidades de su empresa. OBJETIVOS PARTICULARES. Revisar normas y estándares nacionales y/o internacionales relativos a Gestión de Seguridad de la Información. Señalar las características más sobresalientes de cada uno de los documentos revisados. Elaborar una comparativa en la que se señalen las diferencias entre los estándares seleccionados.

13 XIII JUSTIFICACIÓN. Diferentes organizaciones en la actualidad basan su administración en lo que se denomina el Gobierno Corporativo, el cual especifica la distribución de los derechos y responsabilidades entre los diferentes participantes de la organización y provee también una estructura a través de la cual se establecen los objetivos, los medios para alcanzarlos y la forma de hacer un seguimiento a su desempeño. Asimismo, se observa que las organizaciones utilizan de manera cotidiana las Tecnologías de la Información (TI) con el fin de coadyuvar en el desarrollo de las actividades diarias y apoyar la obtención de los objetivos planteados. Debido a que las TI son parte importante en las organizaciones, se denota la existencia de un área responsable de la administración de su empleo y que algunos autores denominan Gobierno de TI. Por otro lado, existen riesgos inmersos en el empleo inadecuado de las TI que pueden afectar la confidencialidad, disponibilidad o integridad de la información. Para ello, cualquier organización que haga uso de las TI requiere de un área dedicada a la observación de los aspectos de seguridad informática, con el objeto de mantener un nivel de riesgo aceptable para la propia organización. En este sentido, hoy en día existen diferentes soluciones o controles que brindan seguridad en los sistemas de información de una organización, pero se requiere que sean administradas adecuadamente, es decir, que se inviertan los recursos necesarios para la protección de los activos y que se orienten los esfuerzos hacia aquellos sistemas que presenten mayor riesgo de sufrir pérdida, robo, daño ó modificación.

14 XIV La administración de los recursos y esfuerzos invertidos en la protección de los activos de TI en una organización se conoce como Sistema de Gestión de Seguridad de la Información (SGSI). 1 Existen organizaciones que eligen la adquisición de soluciones de seguridad informática muy costosas pensando que solucionarán sus problemas y otras que invierten muy pocos recursos creyendo que no será necesario debido a que nunca antes se ha presentado un problema de seguridad. Entonces, el SGSI se encarga entre otras cosas, de identificar los riesgos existentes en la organización y con el conocimiento y aprobación de los interesados de la propia organización, administrarlos de manera adecuada y continua. Si no existe una administración adecuada de los riesgos, es probable caer en el error de invertir demasiados recursos en riesgos que no sean de alta prioridad para la organización y desproteger aquellos que sí lo son, o por el contrario, de no invertir en aquellos que presentan una mayor prioridad. 1 Conocido también como ISMS (Information Security Management System), por sus siglas en inglés.

15 1 CAPÍTULO I. SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA (SGSI). 1.1 MARCO DE REFERENCIA DEL SGSI. Algunos autores denominan al proceso de SGSI como gobierno de seguridad en TI o como una parte fundamental de éste, el cual se encuentra contenido dentro del Gobierno de TI y éste a su vez dentro del Gobierno Corporativo. Por lo tanto, a continuación se muestran definiciones de cada uno de estos conceptos. Gobierno Corporativo. El gobierno corporativo puede ser entendido como: El proceso mediante el cual, el consejo de administración de una entidad asegura el logro sostenido de sus objetivos, así como la protección del patrimonio y de los intereses de todos sus stakeholders (grupos de interés), a quienes debe ofrecer transparencia en las prácticas de administración y control de calidad [1]. El gobierno corporativo tiene injerencia sobre el desarrollo de todas las áreas de trabajo de la organización, y un buen sistema de gobierno corporativo permite alcanzar las metas y objetivos. Es el proceso más general en la administración de la organización. Gobierno de TI. El gobierno de TI tiene como objetivo la alineación del empleo de las TI a la misión de la organización con el fin de generar valor

16 2 para la misma y a su vez, preservar el valor generado mediante una adecuada administración. Determina el marco para la toma de decisiones y la responsabilidad para fomentar el comportamiento adecuado en el uso de las TI y persigue la automatización de los procesos de la organización. Para llevar a cabo las actividades que cumplan con los objetivos de la organización, se requiere de los diferentes servicios que proporcionan las TI, las cuales deben estar alineadas y deben permitir a la organización tomar ventaja total de su información para maximizar sus beneficios, capitalizar oportunidades y ganar ventaja competitiva. Gobierno de Seguridad en TI. El proceso de gobierno de seguridad de TI determina las directrices a seguir, el alineamiento estratégico de las actividades de seguridad informática con la organización para la generación de valor, realiza la gestión de los riesgos existentes en los activos informáticos y mide su desempeño para realizar el ciclo de mejora continua. El gobierno de seguridad de TI tiene como objetivo la protección de los intereses de todos aquellos que dependen de la información y de los sistemas y comunicaciones que lo habilitan contra daños que afecten su disponibilidad, confidencialidad e integridad. 1.2 DESCRIPCIÓN. La seguridad informática puede describirse como un conjunto de actividades orientadas a la protección de la información y de los activos informáticos en una organización, con el fin de garantizar su integridad, confidencialidad y disponibilidad. Un SGSI es un sistema que identifica los riesgos de seguridad de la información existentes en la organización, los presenta con niveles de

17 3 prioridad ante un comité encargado de definir la cantidad de recursos que se deberán invertir y establece políticas y procedimientos basados en los objetivos de la organización. Coordina las actividades de seguridad informática para dar cumplimiento a los objetivos de gobierno. En general, un SGSI cumple con los siguientes puntos fundamentales: Se mantiene alineado a la misión de la organización y a la misión de seguridad de la organización. Propone un análisis de riesgos. Plantea la elaboración de políticas de seguridad Informática. Sugiere controles de seguridad. Propone el monitoreo del sistema. Establece esquemas de recuperación y continuidad del negocio. Fomenta una cultura de seguridad en la organización. Cada uno de los puntos señalados anteriormente, establece una parte importante del SGSI y pueden variar en su implementación de acuerdo al estándar o norma del que se refiera pero, sobre todo, dependen de las necesidades reales de cada organización. A continuación se describirá cada uno de los puntos Alineación del SGSI a las misiones de la organización y de seguridad de la organización. Como ya se ha mencionado anteriormente, el SGSI debe estar alineado a los objetivos de la misión de la organización y a la misión de seguridad de la organización, donde se busca establecer y mantener un estado de armonía entre los recursos relacionados con las TI y las aspiraciones estratégicas de la organización.

18 4 En este punto se deben identificar de forma específica los recursos y procesos relacionados con la seguridad de TI y determinar el impacto que tienen en los objetivos y metas de la organización. Si la misión de seguridad no se encuentra alineada a la misión de la organización, el SGSI podría proteger diferentes aspectos de seguridad, pero tal vez no sean los más importantes para la organización, o sea, aquellos que le generan valor y que permiten que se alcancen los objetivos establecidos Análisis de riesgos. El análisis de riesgos es uno de los primeros pasos a realizar en un SGSI, debido a que en base a la evaluación de amenazas y vulnerabilidades en los activos de una organización, permite determinar cuáles serán los controles de seguridad específicos que deberán ser implementados. En este punto se establece una metodología, la cual contiene una fase de identificación de riesgos, análisis y evaluación del impacto y una selección de controles que los mitiguen. Al final del análisis de riesgos, la organización se encuentra en posibilidad de tomar una decisión en cuanto al tratamiento del riesgo, que puede ser mitigado, transferido o aceptado. Los análisis de riesgos suelen dividirse en dos tipos fundamentales: cuantitativos y cualitativos. Los análisis de riesgos cuantitativos se basan en la probabilidad de que se produzca un hecho y la probable pérdida obtenida de que ese hecho

19 5 se produzca. Normalmente se determinan valores numéricos, los resultados que se obtienen son objetivos y se expresan en porcentajes, probabilidades de ocurrencia de amenazas, entre otros. Un análisis de riesgos de este tipo puede ser complejo debido a los cálculos que deben realizarse, además de requerir una considerable inversión de tiempo y esfuerzos. Cuando la organización no cuenta con datos estadísticos, es difícil realizar un análisis cuantitativo. El análisis de riesgos cualitativo es la metodología más utilizada. En este enfoque, no es necesario conocer la probabilidad y sólo se emplea la pérdida potencial como factor de cálculo. Los resultados que se obtienen en este tipo de análisis son subjetivos y los cálculos a realizar son sencillos. El éxito de un análisis de este tipo depende en buena medida del conocimiento de la organización que tenga el equipo encargado de realizar este análisis. El análisis de riesgos hace uso de los siguientes conceptos para su desarrollo: Amenaza. Hecho que puede producir un daño. Las amenazas pueden ser naturales o hechas por el hombre. Vulnerabilidad. Debilidad o falla. En seguridad informática comúnmente se refiere a la debilidad o falla en un sistema. Riesgo. Un riesgo es un evento que tiene la característica de ser incierto y que en caso de ocurrir, tendrá un efecto negativo. En otras palabras, es la probabilidad o posibilidad de que una amenaza aproveche una vulnerabilidad. Una metodología de análisis de riesgos, de manera general, comprende

20 6 los siguientes pasos: Establece el alcance, conforme a los procesos críticos de TI de la Organización. Define los activos informáticos que se van a analizar, que deben ser componentes del proceso de TI. Identifica las amenazas que pueden comprometer la seguridad de los activos. Determina la probabilidad o posibilidad de ocurrencia de las amenazas. Determina el impacto de las amenazas. Recomienda controles que disminuyan la probabilidad de los riesgos, ajustándose a las necesidades de la organización,. Documenta el proceso Controles de seguridad. Los controles de seguridad pueden ir enfocados a proteger los activos o los procesos de TI existentes en una organización, de acuerdo a la clasificación que utilice y proponga el SGSI para ello. Los controles pueden ser clasificados como administrativos, físicos o técnicos. Los controles administrativos comprenden las políticas y procedimientos de seguridad. Las políticas establecen qué es lo que se les permite o prohíbe hacer a los usuarios, y los procedimientos son la descripción de las tareas que se deben realizar para la protección de los activos. Algunos ejemplos de controles administrativos son: Asignación de responsabilidades. Supervisión o auditorías. Recuperación tras fallos.

21 7 Elaboración de planes de contingencia. A los controles que delimitan el acceso físico a los activos informáticos se les denomina controles físicos. También entran en esta categoría las fuentes de alimentación ininterrumpida de suministro de energía. Estos pueden ser: Cerraduras. Bloqueadores de teclados. Vigilantes de seguridad. Alarmas. Sistemas de detección de fuego y humo. Los controles técnicos son aquellos que se implementan a través de hardware, software o una combinación de ambos, los cuales pueden funcionar de forma automatizada. Ejemplos de estos controles son: Antivirus. Firma digital. Tarjetas inteligentes. Sistemas de detección de intrusos. A los controles de seguridad también se les conoce como mecanismos o salvaguardas de seguridad Políticas de seguridad informática. Una política de seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales qué está y que no está permitido en el área de seguridad durante la operación general del sistema [2].

22 8 El RFC 1244 define la política de seguridad como: una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán. [3] La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema. Las políticas de seguridad como parte integral de un SGSI, tienen la intención de definir Qué? Por qué? De qué? y Cómo? se debe proteger la información. Tratan a su vez de ser el medio de interpretación de la seguridad para toda la organización [4]. Algunos de los principios que manejan las políticas de seguridad son: Responsabilidad. Autorización. Mínimo privilegio. Separación de cargo. Auditoría. Redundancia. Reducción de riesgo. Confidencialidad, integridad y disponibilidad Monitoreo del sistema. El monitoreo del sistema contempla la supervisión del funcionamiento de los controles implementados y permite llevar a cabo una retroalimentación del sistema para mantener un ciclo de mejora en las fases que lo conforman.

23 9 Con el monitoreo se pretende detectar errores de procesamiento, brechas de seguridad, revisar el desempeño de las personas en las actividades de seguridad, entre otras. Una vez que se han obtenido los resultados, se detallan, archivan y reportan a los responsables con el objeto de que establezcan medidas preventivas de refuerzo. Esta actividad se realiza en base a auditorías, comentarios de fallas por parte de las áreas involucradas, incidentes ocurridos, revisión inhouse, etc Recuperación y continuidad del negocio. La recuperación y continuidad del negocio consiste en mantener en operación a una organización después de que ha ocurrido una contingencia, la cual se puede presentar por causas naturales como son inundaciones, terremotos e incendios o por causas provocadas por el hombre, ya sea de tipo intencionales o por errores. La organización elabora un plan comúnmente denominado de recuperación de desastres, en el cual se determinan los activos que puede requerir en caso de presentarse una contingencia para mantener la operación normal o por lo menos, para mantener un nivel de operación que considere aceptable. Tales activos son considerados dentro de un esquema en el cual se encuentran en un sitio alterno y lejano al original, con el fin de evitar que éste también sea afectado por la contingencia. Además, se establecen procedimientos en los cuales se indican las acciones a realizar por parte del personal perteneciente a la

24 10 organización. El plan se da a conocer a la totalidad de individuos y para poder garantizar su éxito, se deben realizar simulacros de reacción para determinar el grado de conocimiento del plan y el entrenamiento por parte del personal, así como los tiempos de respuesta a este tipo de eventos. Por otro lado, también existen esquemas que consideran la contratación de una entidad externa que proporciona la infraestructura para llevar a cabo la recuperación del negocio Cultura de seguridad en la organización. En este rubro el responsable de la gestión de seguridad de la información realiza actividades tendientes a fortalecer la cultura de seguridad en el personal de la organización. Debido a que comúnmente el factor humano representa el eslabón más débil dentro de la cadena de seguridad [5], gran parte de los trabajos de seguridad se orientan a la creación de conciencia en el personal y en su entrenamiento para la aplicación correcta de medidas y buenas prácticas. La creación de conciencia en el personal se puede materializar a través de programas que contengan pláticas, conferencias, videos, revistas, entre otros; en los cuales se indica la importancia de la aplicación de medidas de seguridad y las consecuencias en la organización o inclusive, en los individuos por no llevarlas a cabo. En el entrenamiento se proporciona capacitación al personal para realizar una adecuada implementación de controles de seguridad en los diferentes aspectos en los que se tiene injerencia dentro de un sistema de información. El entrenamiento se puede enmarcar dentro de un programa periódico que mantenga una capacitación continua.

25 CONCLUSIONES. Se observa que de acuerdo al empleo existente de TI en las organizaciones, se presenta la necesidad de contar con un SGSI el cual mantenga una ubicación en el organigrama, que a su vez es denominado por algunos autores como gobierno de seguridad en TI. El gobierno de seguridad en TI debe estar alineado a la misión y objetivos de la organización. Asimismo, el SGSI parte normalmente de la elaboración de un análisis de riesgos, en el cual se describen amenazas, vulnerabilidades en los activos, riesgos y su impacto en la organización. En base a los resultados obtenidos del análisis de riesgos, se pueden determinar los controles de seguridad que se deben implementar, los cuales pueden ser de tipo administrativos, físicos y/ó técnicos. Una vez que se implementan los controles de seguridad, se realiza un monitoreo en el que se pretende detectar fallas en su implementación para llevar a cabo una retroalimentación de todo el sistema, permitiendo a su vez, un proceso de mejora continua que mantenga actualizado al SGSI.

26 12 CAPÍTULO II. ISO/IEC 27001: DESCRIPCIÓN. La ISO/IEC 27001:2005, Information Technology -- Security techniques -- Information security management systems -- Requirements (Requerimientos -- Sistemas de gestión de seguridad de la información -- Técnicas de seguridad -- Tecnologías de la Información) [6] es un estándar internacional publicado por la Organización Internacional para la Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC). El documento tiene sus orígenes en el Estándar Británico BS7799 emitido por el Instituto de Normas Británico (British Standard Institute, BSI) y fue adoptado, bajo la supervisión del grupo de trabajo Tecnologías de la Información del Comité Técnico ISO/IEC JTC 1 1. El citado estándar es parte de la familia de estándares ISO-2700x [7], el cual incluye los siguientes estándares: ISO/IEC 27000: Overview and vocabulary. ISO/IEC 27001: Requirements. ISO/IEC 27002: Code of practice for information security 1 Join Technical Comité No. 1

27 13 management. ISO/IEC Implementation guidance. ISO/IEC Measurement. ISO/IEC 27005: Information security risk management. ISO/IEC 27006: Requirements for bodies providing audit and certification of information security management systems. El estándar ISO/IEC es el documento que describe los requerimientos del SGSI, mientras que los demás tratan de forma específica algunos temas relacionados con el sistema. El ISO/IEC hace mención de los controles específicos que se deben implementar en el SGSI y es la evolución del estándar ISO/IEC 17799:2005. Los estándares y actualmente se encuentran en fase de desarrollo. El estándar ISO/IEC 27001:2005 se basa en los procesos establecidos en el modelo de mejora continua PDCA (Plan, Do, Check, Act), por lo que a lo largo de todo el desarrollo del sistema de gestión sugiere establecer, implementar, operar, monitorear, mantener y mejorar continuamente el SGSI. El modelo PDCA manifiesta lo siguiente en cada una de sus etapas: Plan. (Establecer el SGSI). Establece la política, objetivos, proceso y procedimientos del SGSI relevantes para manejar el riesgo y mejorar la seguridad de la información para entregar resultados en concordancia

28 14 con las políticas y objetivos generales de la organización. Do. (Implementar el SGSI). Implementa y opera la política, controles, procesos y procedimientos del SGSI. Check. (Monitorear y revisar el SGSI). Evalúa y, donde sea aplicable, mide el desempeño del proceso en comparación con la política, objetivos y experiencias prácticas del SGSI y reporta los resultados a la gerencia para su revisión. Act. (Mantener y mejorar el SGSI). Toma acciones correctivas y preventivas basadas en los resultados de la auditoría interna del SGSI y la revisión gerencial u otra información relevante, para lograr la mejora continua del SGSI. En la Figura 2.1 se muestra que el proceso del SGSI toma como entrada los requerimientos y expectativas de la seguridad de información de las partes interesadas, internamente desarrolla el modelo PDCA en un ciclo continuo, y en la salida entrega resultados que satisfacen los requerimientos y expectativas que se plantearon inicialmente. De manera interna, se observa la interacción de las etapas que conforman al ciclo PDCA; la etapa de Plan establece el SGSI, la cual permite la implementación y operación en la etapa de Do, una vez que se cuenta con ello, se monitorea y revisa el sistema en la etapa de Check y con los resultados obtenidos, se retroalimenta el sistema para mantenerlo y mejorarlo en la etapa de Act.

29 15 Partes interesadas Plan Establecer el SGSI Partes interesadas Requerimientos y expectativas de la seguridad de información. Do Implementar y operar el SGSI Desarrollar, mantener y mejorar el ciclo. Monitorear y revisar el SGSI Mantener y mejorar el SGSI Act Seguridad de información manejada. Check Figura 1. Modelo PDCA aplicado a los procesos SGSI. Modelo PDCA, ISO/IEC 27001:2005 De manera general, el estándar ISO/IEC 27001:2005 se divide en 9 puntos principales y 3 anexos como se menciona a continuación: 0 Introducción. 1 Alcance. 2 Referencias normativas. 3 Términos y definiciones. 4 Sistema de gestión de seguridad de la información. 5 Responsabilidades de la gerencia. 6 Auditorías internas. 7 Revisión gerencial del SGSI. 8 Mejoramiento del SGSI.

30 16 Anexos. En el primer punto, se habla de manera general sobre el objetivo del estándar, el enfoque que tiene hacia el modelo PDCA y sobre la compatibilidad que tiene con los estándares ISO 9001:2000 y 14001:2004. En el punto 1 se trata el alcance del estándar, donde se manifiesta que puede ser aplicado a cualquier tipo de organización, ya sea gubernamental, comercial, o sin fines de lucro. En el punto de referencias normativas, se hace mención del estándar ISO/IEC 17799:2005, Tecnología de la información Técnicas de seguridad Código de práctica para la gestión de la seguridad de la información, del cual se hace hincapié en la importancia que tiene para la aplicación del estándar ISO/IEC En el punto 3 se mencionan 16 términos y definiciones que son utilizados a lo largo del estándar. El punto 4 del estándar, describe el SGSI a detalle y se divide en tres partes principales: Requerimientos generales.

31 17 Establecimiento y manejo del SGSI. Requerimientos de documentación. El punto de Responsabilidades de la gerencia, hace mención del compromiso de la gerencia y Gestión de recursos. El punto 6 propone la elaboración de un programa de auditoría para verificar que se cumplan los objetivos de control, controles, procesos y procedimientos del SGSI. En la revisión gerencial del SGSI, se plantea la revisión programada del SGSI por parte de la gerencia de la organización para asegurarse de su conveniencia y efectividad. En el punto 8 se habla sobre la mejora continua de la efectividad del sistema, la cual deberá ser basada en los resultados de la auditoría y del análisis de los eventos monitoreados, para llevar a cabo acciones correctivas y preventivas. En los anexos se manifiestan tres temas: Objetivos de control y controles. Principios OECD 2 y el modelo PDCA. Correspondencia entre los estándares ISO 9001:2000 e ISO 14001: OECD, Lineamientos OECD para la Seguridad de los Sistemas y Redes de Información Hacia una cultura de seguridad. Paris: OECD, Julio 2002,

32 18 con el estándar ISO/IEC 27001:2005. Debido a que la descripción principal del SGSI se encuentra contenida en los puntos 4, 5, 6 y 8, a continuación serán revisados de manera detallada. 2.2 El SGSI en ISO/IEC 27001:2005. Para el establecimiento del SGSI, el estándar ISO/IEC 27001:2005, propone lo siguiente: Definir el alcance y los límites del SGSI en términos de las características del negocio. Definir una política de seguridad. Definir el enfoque de valuación del riesgo. Identificar los riesgos. Analizar y evaluar el riesgo. Identificar y evaluar las opciones para el tratamiento de los riesgos. Seleccionar objetivos de control y controles para el tratamiento de riesgos. En la definición de la política, el estándar señala que debe incluir un marco referencial para el establecimiento de sus objetivos, que tome en cuenta los requerimientos de la organización en la parte de seguridad, que se establezca el criterio con el que se evaluará el riesgo y que sea aprobada por la gerencia.

33 19 Para el enfoque de valuación de riesgo de la organización, se propone la identificación de una metodología de cálculo de riesgo y el desarrollo de criterios para aceptar el riesgo e identificar los niveles de riesgo aceptables. Para ello, propone la revisión del estándar ISO/IEC TR , Tecnología de Información Lineamiento para la gestión de la seguridad TI Técnicas para la gestión de la seguridad TI. Los puntos Identificar los riesgos, Analizar y evaluar el riesgo e Identificar y evaluar las opciones para el tratamiento de los riesgos, van relacionados con el punto anterior y se refieren al manejo de riesgos en la organización. En la parte de selección de objetivos de control y controles, el estándar hace referencia al anexo A, el cual maneja una tabla con los objetivos de control y controles que se encuentran alineados, inclusive en la numeración, a los establecidos en el estándar ISO/IEC 17799:2005. La tabla establece once categorías de seguridad principales acompañadas de 38 objetivos de control y 133 controles de seguridad, como se muestra a continuación: CATEGORÍA DE SEGURIDAD PRINCIPAL A.5 Política de seguridad. A.6 Organización de la seguridad de la información. OBJETIVO DE CONTROL A.5.1 Política de seguridad de la información. A.6.1 Organización interna. CONTROL A Documento de la política de seguridad de la información. A Revisión de la política de seguridad de la información. A Administración del compromiso de seguridad de la información. A Coordinación de la seguridad de la información.

34 20 CATEGORÍA DE SEGURIDAD PRINCIPAL A.6 Organización de la seguridad de la información. A.7 Gestión de activos. A.8 Seguridad en el personal. A.9 Seguridad física y del entorno. OBJETIVO DE CONTROL A.6.1 Organización interna. A.6.2 Partes externas. A.7.1 Responsabilidad de los activos. A.7.2 Clasificación de la información. A.8.1 Antes del contrato. A.8.2 Durante el empleo. A.8.3 Terminación o cambio de empleo. A.9.1 Áreas seguras. CONTROL A Asignación de responsabilidades de seguridad de la información. A Proceso de autorización para facilidades de procesamiento de información. A Acuerdos de confidencialidad. A Contacto con autoridades. A Contacto con grupos de interés especial. A Revisión independiente de la seguridad de la información. A Identificación de riesgos relativos a partes externas. A Orientación de la seguridad cuando se trata con clientes. A Orientación de la seguridad en acuerdos con terceros. A Inventario de activos. A Propiedad de activos. A Uso aceptable de activos. A Guías para la clasificación. A Manejo y etiquetado de información. A Roles y responsabilidades. A Antecedentes. A Términos y condiciones de contrato. A Administración de responsabilidades. A Concientización, educación y entrenamiento en seguridad de la información. A Proceso disciplinario. A Responsabilidades por terminación en el empleo. A Devolución de activos. A Eliminación de derechos de acceso. A Perímetro de seguridad física.

35 21 CATEGORÍA DE SEGURIDAD PRINCIPAL A.9 Seguridad física y del entorno. A.10 Gestión en las comunicaciones y operaciones. OBJETIVO DE CONTROL A.9.1 Áreas seguras. A.9.2 Seguridad en el equipo. A.10.1 Procedimientos operacionales y responsabilidades. A.10.2 Gestión de entrega de servicio a terceros. A.10.3 Planeación y aprobación del sistema. A.10.4 Protección contra código malicioso y código móvil. A.10.5 Respaldos. A.10.6 Gestión de seguridad en red. A.10.7 Manejo de medios. CONTROL A Controles físicos de entrada. A Seguridad en oficinas, áreas e instalaciones. A Protección contra amenazas externas y de entorno. A Trabajo en áreas seguras. A Acceso público, áreas de entrega y recepción. A Colocación y protección de equipo. A Utilidades de soporte. A Seguridad en el cableado. A Mantenimiento de equipo. A Seguridad en equipo en localidades externas. A Seguridad en el desecho o reutilización de equipo. A Eliminación de propiedad. A Procedimientos de operación documentados. A Gestión de cambios. A Segregación de obligaciones. A Separación de instalaciones de desarrollo, de prueba y operación. A Entrega de servicio. A Monitoreo y revisión de servicios a terceros. A Gestión de cambios de terceros. A Administración de capacidades. A Aceptación de sistema. A Controles contra código malicioso. A Controles contra código móvil. A Información de respaldos. A Controles de red. A Seguridad de servicios de red. A Administración de medios removibles. A Eliminación de medios A Procedimientos de manejo de información.

36 22 CATEGORÍA DE SEGURIDAD PRINCIPAL A.10 Gestión en las comunicaciones y operaciones. A.11 Control de acceso. OBJETIVO DE CONTROL A.10.7 Manejo de medios. A.10.8 Intercambio de información. A.10.9 Servicios de comercio electrónico. A Monitoreo. A.11.1 Requerimientos del negocio para el control de acceso. A.11.2 Administración de acceso de usuario. A.11.3 Responsabilidades de usuarios. A.11.4 Control de acceso de red. CONTROL A Seguridad en la documentación del sistema. A Política y procedimientos de intercambio de información. A Acuerdos de intercambio. A Medios físicos en tránsito. A Mensajería electrónica. A Sistemas de información del negocio. A Comercio electrónico. A Transacciones en línea. A Información en publicidad disponible. A Auditoría de registros. A Monitoreo del uso del sistema. A Protección de la información de registros. A Registros de administradores y operadores. A Registro de errores. A Sincronización de relojes. A Política de control de acceso. A Registro de usuarios. A Administración de privilegios. A Administración de passwords de usuarios. A Revisión de derechos de acceso de usuarios. A Empleo de passwords. A Desatención de equipo de usuario. A Política de escritorios y pantallas limpios. A Política del empleo de servicios de red. A Autenticación de usuarios para conexiones externas. A Identificación de equipos en las redes.

37 23 CATEGORÍA DE SEGURIDAD PRINCIPAL A.11 Control de acceso. A.12 Adquisición, desarrollo y mantenimiento de sistemas de información. OBJETIVO DE CONTROL A.11.4 Control de acceso de red. A.11.5 Control de acceso en el sistema operativo. A.11.6 Control de acceso en la información y aplicaciones. A.11.7 Cómputo móvil y teletrabajo. A.12.1 Requerimientos de seguridad de sistemas de información. A.12.2 Procesamiento correcto en las aplicaciones. A.12.3 Controles criptográficos. A.12.4 Seguridad en archivos de sistema. CONTROL A Diagnóstico remoto y configuración de protección de puertos. A Segregación en redes. A Control de las conexiones de red. A Control del ruteo de red. A Procedimientos de seguridad en inicio de sesión. A Identificación y autenticación de usuarios. A Sistema de administración de passwords. A Empleo de utilidades de sistema. A Finalización de sesiones. A Límite del tiempo de conexión. A Restricción de acceso a la información. A Aislamiento de sistemas sensibles. A Cómputo móvil y teletrabajo. A Teletrabajo. A Requerimientos, análisis y especificaciones de seguridad. A Validación de datos de entrada. A Control de procesamiento interno. A Integridad de mensajes. A Validación de datos de salida. A Política de empleo de controles criptográficos. A Administración de llaves. A Control de software operativo. A Protección de datos de prueba de sistema. A Control de acceso para código fuente de programas.

38 24 CATEGORÍA DE SEGURIDAD PRINCIPAL A.12 Adquisición, desarrollo y mantenimiento de sistemas de información. A.13 Gestión de incidentes de seguridad de información. A.14 Gestión de continuidad del negocio. A.15 Cumplimiento. OBJETIVO DE CONTROL A.12.5 Seguridad en el desarrollo y soporte de procesos. A.12.6 Administración de vulnerabilidades técnicas. A.13.1 Reporte de eventos de seguridad de información y vulnerabilidades. A.13.2 Gestión de incidentes de seguridad de información y mejoras. A.14.1 Aspectos de seguridad de la información de la gestión de continuidad del negocio. A.15.1 Cumplimiento con requerimientos legales. CONTROL A Procedimientos de control de cambios. A Revisión técnica de aplicaciones después de realizar cambios en el sistema operativo. A Restricciones en cambios de paquetes de software. A Fuga de información. A Contratación externa para desarrollo de software. A Control de vulnerabilidades técnicas. A Reporte de eventos de seguridad de información. A Reporte de vulnerabilidades de seguridad. A Responsabilidades y procedimientos. A Aprendizaje en incidentes de seguridad de información. A Colección de evidencia. A Incluir seguridad en la información del proceso de gestión de continuidad del negocio. A Continuidad del negocio y gestión de riesgos. A Desarrollo e implementación de planes de continuidad incluyendo seguridad de la información. A Marco de planeación de continuidad del negocio. A Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio. A Identificación de legislación aplicable. A Derechos de propiedad intelectual. A Protección de grabaciones de organizacionales.

39 25 CATEGORÍA DE SEGURIDAD PRINCIPAL A.15 Cumplimiento. OBJETIVO DE CONTROL A.15.1 Cumplimiento con requerimientos legales. A.15.2 Cumplimiento con políticas y estándares de seguridad y cumplimiento técnico. A.15.3 Consideraciones en auditoría de sistemas de información. CONTROL A Protección de la privacidad y datos personales. A Prevención de abuso de procesamiento de información. A Regulación de controles criptográficos. A Cumplimiento con políticas y estándares de seguridad. A Verificación de cumplimiento técnico. A Controles de auditoría en sistemas de información. A Protección de herramientas de auditoría de sistemas de información. Tabla 1. Controles de seguridad en ISO/IEC Para la implementación y operación del SGSI, se plantea lo siguiente: Formulación de un plan de tratamiento del riesgo. Implementación del plan de tratamiento del riesgo. Implementación de los controles seleccionados para satisfacer los objetivos de control. Definir métricas para la efectividad de los controles o grupos de controles seleccionados. Implementar programas de capacitación. Manejo de las operaciones del SGSI. Manejo de los recursos. Implementación de procedimientos para detección y respuesta de incidentes de seguridad.

40 26 En el monitoreo y revisión del SGSI se plantea: Ejecución de procedimientos de monitoreo y revisión. Revisiones regulares de la efectividad del SGSI. Medición de la efectividad de los controles. Revisión de las evaluaciones de riesgo. Realizar auditorías internas. Revisión gerencial del SGSI. Actualización de los planes de seguridad. Registrar las acciones y eventos que pudieran tener impacto sobre el desempeño del SGSI. Para el mantenimiento y mejora del SGSI se propone realizar lo que se menciona a continuación: Implementar las mejoras identificadas. Tomar las acciones correctivas y preventivas apropiadas. Comunicar los resultados y acciones a todas las partes interesadas. Asegurar que las mejoras logren los objetivos señalados. El estándar aborda una parte de documentación en el punto del SGSI, en la cual recomienda mencionar los enunciados de la política del SGSI, el alcance, los procedimientos y controles, una descripción de la metodología del análisis de riesgo, el reporte del análisis de riesgo, el plan del tratamiento del riesgo,

41 27 todos los procedimientos necesarios para asegurar la planeación, operación y control de los procesos del SGSI y las métricas de la efectividad de los controles de seguridad. También recomienda manejar un control de cambios en la documentación que se genere y llevar un registro de la misma. El estándar señala además, el aspecto de responsabilidad de la gerencia, en la cual se propone la existencia de evidencia para plantear el compromiso que tiene con el establecimiento, implementación, monitoreo, revisión, mantenimiento, y mejoramiento del SGSI. Recomienda que la organización proporcione los recursos necesarios para la implementación y desarrollo del sistema, así como la capacitación para el personal participante. En la parte de auditoría, el estándar indica que se lleven a cabo revisiones periódicas para determinar que los objetivos de control, controles, procesos y procedimientos del SGSI cumplan con los requerimientos del estándar y con la normatividad interna. Asimismo, menciona que la norma ISO 19011: podría ser una guía para llevar a cabo auditorías internas. También se hace mención de que la gerencia realice revisiones periódicas del SGSI, para asegurarse de su efectividad. En lo correspondiente al mejoramiento del SGSI, el estándar propone llevar a cabo acciones correctivas para eliminar inconformidades con los requerimientos 3 ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing.

42 28 del sistema y evitar recurrencias. De igual manera, propone realizar acciones preventivas para eliminar inconformidades potenciales de los requerimientos del sistema y evitar su ocurrencia. 2.3 CONCLUSIONES. Se observa que el estándar ISO/IEC 27001:2005, en el punto número 4 de su contenido, propone la alineación del SGSI con los objetivos de la organización, y propone además, contar con una política de seguridad en la cual se señalen los requerimientos de seguridad. Maneja también, el desarrollo de un análisis de riesgos aunque no proporciona una metodología específica, sólo hace referencia a un documento que puede ser utilizado como guía para la selección de una metodología adecuada. Los controles de seguridad que propone, son los establecidos en el anexo A, los cuales corresponden al estándar ISO/IEC 17799:2005. Asimismo, a lo largo del documento se hace mención sobre el proceso de monitoreo y mejora continua, el cual está basado en la metodología PDCA y se habla sobre ello de manera más detallada en el último punto del estándar.

43 29 CAPÍTULO III. ENISA (EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY). 3.1 DESCRIPCIÓN. La Unión Europea cuenta con varias agencias especializadas y descentralizadas en apoyo a los estados Miembros y a los ciudadanos, las cuales responden a la necesidad de hacer frente a nuevas tareas de carácter jurídico, técnico y científico. Las Agencias se agrupan en cinco categorías: Agencias comunitarias. Agencias de política exterior y de seguridad común. Agencias de cooperación policial y judicial en materia penal. Agencias ejecutivas. Agencias y organismos de Euratom 1. Dentro de las agencias comunitarias se encuentra la Agencia Europea de Seguridad en las Redes y de la Información (ENISA, European Network and Information Security Agency), la cual funciona como un centro de asesoramiento sobre cuestiones de seguridad en las redes y de la información, tanto para los estados miembros, como para las instituciones de la Unión Europea [8]. 1 Euratom, Tratado de la Comunidad Europea de la Energía Atómica.

44 30 Las tareas de la ENISA son: Asesorar y asistir a la Comisión y a los Estados miembros en materia de seguridad de la información y en hacer frente a los problemas de seguridad del material y de los programas informáticos (hardware y software) en contacto con el sector empresarial. Recoger y analizar datos sobre las incidencias que se producen en Europa en materia de seguridad. Fomentar la evaluación y los métodos de gestión de los riesgos para mejorar la capacidad de hacer frente a cualquier amenaza a la seguridad de la información. Intercambiar buenas prácticas en materia de sensibilización y fomentar la cooperación entre los diferentes actores en el ámbito de la seguridad de la información, especialmente potenciando en el mundo empresarial acuerdos de asociación entre el sector público y el privado. Respaldar el establecimiento de normas para productos y servicios relacionados con la sociedad de la información. Para la materialización de sus labores, la ENISA lleva a cabo una serie de publicaciones, tales como conferencias o eventos de seguridad, buenas prácticas en materia de equipos de respuesta a incidentes, buenas prácticas para la concientización del personal, temas sobre antivirus, ingeniería social, análisis de riesgos, redes, entre otros. Dentro de los documentos que se encuentran publicados en el sitio web de la ENISA, no se cuenta con alguno que esté orientado exclusivamente al establecimiento de un SGSI, sin embargo, existe un sitio dedicado completamente a la gestión del riesgo (Risk Management) en el cual se hace mención de los SGSI.

45 31 La ENISA considera la gestión del riesgo como la parte principal del SGSI, por lo que en su sitio web publica amplia información del tema referido, en el cual indica su importancia, describe su proceso, propone una estrategia para su implementación y cita diferentes metodologías y herramientas existentes. El tema en el cual la ENISA hace referencia al SGSI dentro de su publicación de gestión de riesgos es Administración de Riesgos y Sistemas de Gestión de Seguridad de la Información (Risk Management and Information Security Management Systems) [9], el cual a su vez, se divide en tres puntos: La necesidad de un SGSI (The Need for ISMS). Factores críticos de éxito para los SGSI (Critical success factors for ISMS). La estructura del SGSI (The ISMS Framework). La necesidad de un SGSI. En este punto se hace hincapié sobre el hecho de que la seguridad requiere de una administración y no debe considerarse únicamente como un tema puramente técnico. La ENISA sustenta lo anterior en datos estadísticos de expertos en seguridad, tales como el hecho de que un administrador de seguridad invierte una tercera parte de su tiempo en aspectos técnicos y las otras dos terceras partes en aspectos administrativos como el desarrollo de políticas y procedimientos, elaboración de análisis de riegos y planes de continuidad del negocio, difusión sobre concientización de seguridad, por mencionar algunos. Asimismo, señala que el establecimiento, mantenimiento y actualización de un SGSI provee un indicador de que una organización está utilizando un enfoque sistemático para realizar la identificación, evaluación y gestión de los riesgos de seguridad de la información. Factores críticos de éxito para los SGSI. Se menciona que un SGSI debe de contar con lo siguiente para que sea efectivo:

46 32 Tener el compromiso inquebrantable del soporte por parte de la alta gerencia de la organización. Ser administrado de manera central, basado en una estrategia y una política comunes para toda la organización. Ser parte integral de la administración completa de la organización, la cual esté relacionada al enfoque de gestión del riesgo, a los objetivos de control y controles de seguridad y al grado de aseguramiento requerido. Tener objetivos de seguridad y que las actividades estén alineadas a los objetivos del negocio. Llevar a cabo sólo las tareas necesarias y evitar exceso de controles y de recursos. Cumplir de manera integral con la filosofía de la organización. Basar el SGSI en capacitación y concientización continuos del personal que conforma a la organización. Nunca considerar al proceso como terminado. Se indica además, que el establecimiento del SGSI involucra establecer la estructura de gestión, implementar los controles seleccionados, documentar el sistema, aplicar el control apropiado para la documentación, y mantener registros que demuestren su cumplimiento. La estructura del SGSI. Se señala que el objetivo principal del SGSI es la implementación de medidas apropiadas para eliminar o minimizar el impacto de las diferentes amenazas y vulnerabilidades de la organización. Manifiesta además, que no solamente el tamaño de la organización sino sus actividades específicas de negocio, dictan sus requerimientos de seguridad en un nivel operacional, regulatorio y legal. Se señala que las pequeñas organizaciones con limitada infraestructura de sistemas de información, de quienes no se demanda manejo de almacenamiento y procesamiento de datos personales o confidenciales,

47 33 muestran menores riesgos o riesgos de baja probabilidad de impacto. Por lo que estas organizaciones están orientadas a mantener un SGSI no independiente y que forma parte de un proceso más amplio de administración de riesgos. Por otro lado, las grandes organizaciones como bancos e instituciones financieras, de telecomunicaciones, hospitales e instituciones de salud y públicas o gubernamentales, tienen bastantes razones para manejar su información de manera muy seria. Por lo tanto, los requerimientos legales y regulatorios están dirigidos al manejo de datos sensibles y personales, que demandan de una mayor atención y prioridad en la administración de riesgos de seguridad de la información. Por lo que la única alternativa, es contar con el desarrollo e implementación de un proceso separado e independiente denominado SGSI. En la figura 3.1 se muestran los 6 pasos para el desarrollo de un SGSI que se manejan en el presente punto. Figura 2. Estructura de un SGSI. Framework, RM & ISMS, ENISA.

48 34 Los 6 pasos mostrados en la figura 2 son: Definición de la política de seguridad. Definición del alcance del SGSI. Evaluación del riesgo. Administración del riesgo. Selección de los controles apropiados. Declaración de aplicabilidad. Se establece que los procesos de evaluación y administración del riesgo, conforman el corazón del SGSI y que el primero de ellos se transforma en manejo de reglas y políticas de seguridad y el otro, transforma objetivos del SGSI en planes específicos para la implementación de controles y mecanismos que minimicen vulnerabilidades y amenazas. Los procesos y amenazas relativos a los pasos 5 y 6 (selección de controles apropiados y declaración de aplicabilidad) no son parte de los riesgos de información. Los controles están orientados a las acciones operativas que se requieren para la implementación técnica, mantenimiento y control de las medidas de seguridad. Los controles de seguridad pueden ser derivados de conjuntos de controles y mecanismos existentes que se encuentran incluidos comúnmente en estándares y guías de seguridad, o pueden ser el resultado de una combinación de controles propuestos para los requerimientos de una organización específica. El último paso, se refiere a la documentación de los riesgos identificados y aplicados a la organización con la implementación técnica de los mecanismos de seguridad que la citada organización ha decidido utilizar.

49 35 Se indica además, que los primeros pasos relativos a la definición de la política de seguridad y a la definición del alcance del SGSI están orientados a la administración y a temas estratégicos, mientras que los procesos de gestión de riesgos son inherentes a la operación del día a día. 3.2 CONCLUSIONES. A pesar de que la ENISA carece de una publicación en la que haga referencia exclusivamente a los sistemas de gestión de seguridad de la información, en uno de sus artículos se enfoca al tema de gestión de riesgos en el cual hace mención de la importancia de contar con un SGSI, de algunos factores que son determinantes para su buen funcionamiento y describe su estructura. La ENISA considera la gestión del riesgo (evaluación y administración) como la parte principal de un SGSI, por lo que dedica una publicación completa a la evaluación, tratamiento, aceptación, monitoreo y revisión de riesgos; hace mención y describe diferentes metodologías y herramientas existentes para la gestión de riesgos y su implementación. Si se hace referencia a la estructura de un SGSI, se observa que la información que publica la ENISA, en su mayoría está enfocada a buenas prácticas para la implementación de diferentes controles de seguridad y al análisis de riesgos, del cual propone una gestión completa y lo toma como base para la creación de políticas de seguridad y para realizar un monitoreo de los controles de seguridad implementados.

50 36 CAPÍTULO IV. NIST SP MARCO DE REFERENCIA. El gobierno de los Estados Unidos de América, en reconocimiento a la importancia que tiene la seguridad de la información para los intereses de seguridad nacional y económicos de su país, emitió en el año 2002 la ley Federal Information Security Management Act of 2002 (FISMA) 1 en la que se decretan las medidas que deben aplicarse con el fin de asegurar la información y los sistemas de información federal. En esta ley se designa al Instituto Nacional de Estándares y Tecnología (NIST, National Institute of Standards and Technology), para el desarrollo de estándares y guías de seguridad: Estándares que sean utilizados por todas las agencias federales para que lleven a cabo la categorización de su información y de sus sistemas de información, basados en el objetivo de proveer niveles apropiados de seguridad en la información de acuerdo a un rango de niveles de riesgo. Guías que recomienden los tipos de información y sistemas de información que deban ser incluidos en cada categoría. Los requerimientos mínimos de seguridad de la información para cada categoría de la información y sistemas de información. 1 Publicado en el título III de la Public Law del 17 de diciembre del 2002.

51 37 Los estándares y guías en los cuales se encuentran contenidos los lineamientos para brindar seguridad a la información y a los sistemas de información federal de los Estados Unidos de América y que pretenden dar cumplimiento con lo establecido en la ley FISMA, son el FIPS-199, FIPS-200 y NIST SP El estándar FIPS-199 sirve para determinar la categorización de seguridad de la información y de los sistemas de información en una organización federal, el FIPS-200 muestra los requerimientos de seguridad mínimos con los que debe cumplir y el NIST SP propone un conjunto de controles de seguridad base para aplicar de manera apropiada. Los dos primeros estándares sirven de referencia al NIST SP , siendo esté último el que propone un esquema de administración de controles de seguridad más amplio. A continuación se hará una breve revisión de los estándares FIPS-199 y FIPS- 200 antes de abordar la publicación especial FIPS-199. El estándar FIPS-199 es la publicación número 199 del NIST de los Estándares de Procesamiento de Información Federal (Federal Information Processing Standards), la cual se titula Standards for Security Categorization of Federal Information and Information Systems y tiene como objeto dar cumplimiento a lo establecido en FISMA de 2002 [10]. Las categorías de seguridad que establece el estándar están basadas en el impacto potencial que tendría una organización si ocurriera un evento que ponga en peligro la información y los sistemas de información necesarios para cumplir con su misión. Para ello, establece tres objetivos de seguridad:

52 38 Confidencialidad (Confidentiality). Preservar restricciones autorizadas en el acceso y revelación de información, incluyendo los medios para la protección de la privacidad de datos personales y la propiedad de información. Define la pérdida de confidencialidad como la revelación no autorizada de información. Integridad (Integrity). Proteger contra la modificación o destrucción indebida de información, e incluye el aseguramiento de no repudio y autenticidad de información. Una pérdida de integridad es la modificación o destrucción no autorizada de información. Disponibilidad (Availability). Asegurar el acceso y el uso de información en tiempo y de manera confiable. La pérdida de disponibilidad es la interrupción del acceso o uso de la información o de un sistema de información. FIPS-199 indica tres niveles de impacto potencial, para los cuales debe existir una brecha de seguridad (pérdida de confidencialidad, integridad o disponibilidad). Impacto potencial BAJO si, se espera que la pérdida de confidencialidad, integridad o disponibilidad tenga un efecto adverso limitado en las operaciones, activos o en los individuos de la organización. Impacto potencial MODERADO si, se espera que la pérdida de confidencialidad, integridad o disponibilidad tenga un efecto adverso serio en las operaciones, activos o en los individuos de la organización. Impacto potencial ALTO si, se espera que la pérdida de confidencialidad, integridad o disponibilidad tenga un efecto adverso severo o catastrófico en las operaciones, activos o en los individuos de la

53 39 organización. El formato general que se utiliza para realizar la categorización de seguridad en un tipo de información ó tipo de sistema de información es el siguiente: SC Information type or Information system type = {(confidentiality, impact), (integrity, impact), (availability, impact)} Donde los valores aceptables para el impacto potencial son BAJO, MODERADO, ALTO o NO APLICABLE para el caso de tipo de información y BAJO, MODERADO o ALTO para el tipo de sistema de información FIPS-200. El estándar FIPS-200 Requerimientos de seguridad mínimos para información y sistemas de información federal, al igual que FIPS-199, tiene como objeto dar cumplimiento a lo establecido en FISMA de 2002 [11]. FIPS-200 cubre diecisiete áreas relativas a seguridad con la intención de proteger la confidencialidad, integridad y disponibilidad de los sistemas de información federal y la información que se procesa, almacena y transmite por estos sistemas. Las diecisiete áreas son las siguientes: - Control de Acceso (Access Control, AC). - Concientización y Entrenamiento (Awareness and Training, AT). - Auditoría y responsabilidad (Audit and Accountability, AU). - Certificación, Acreditación y Evaluación de Seguridad, (Certification, Accreditation and Security Evaluation, CA). - Administración de Configuraciones (Configuration Management, CM).

54 40 - Planes de contingencia (Contingency Planning, CP). - Identificación y Autenticación (Identification and Authentication, IA). - Respuesta a Incidentes (Incident Response, IR). - Mantenimiento (Maintenance, MA). - Protección de Medios (Media Protection, MP). - Protección Física y del Entorno (Physical and Environmental Protection, PE). - Planeación (Planning, PL). - Seguridad en el Personal (Personnel Security, PS). - Evaluación de Riesgos (Risk Assessment, RA). - Adquisición de Sistemas y Servicios (System and Services Acquisition, SA). - Protección de Sistemas y Comunicaciones (System and Communications Protection, SC). - Integridad en los Sistemas e Información (System and Information Integrity, SI). Los controles de seguridad que se seleccionen en la organización para alcanzar los requerimientos de seguridad mínimos manejados en este estándar, deben basarse en lo que se encuentra contenido en la Publicación Especial del NIST. 4.2 NIST SP El NIST, como instituto que forma parte del Departamento de Comercio de los Estados Unidos de América, tiene como misión promover la innovación y la competitividad industrial a través del progreso de la ciencia, estándares y tecnología, de tal manera que mejore la seguridad económica y proporcione calidad de vida [12]. Como ya se mencionó anteriormente, la publicación especial del NIST

55 41 propone un conjunto de controles de seguridad con el fin de que sean implementados en una organización para brindar protección a la información y a los sistemas de información de tipo federal [13]. Para la organización y estructura de los controles de seguridad que establece el NIST SP , se utiliza una clasificación de diecisiete familias de controles de seguridad manejadas en el FIPS-200, a las cuales asigna un identificador de dos caracteres, además de incluirlas dentro de tres clases generales de seguridad: de administración, operacionales y técnicos (Tabla 4.1). Asimismo, para identificar un control de seguridad dentro de una familia de controles, se le agrega un identificador numérico. IDENTIFICADOR FAMILIA CLASE AC Control de Acceso Técnico AT Concientización y Entrenamiento Operacional AU Auditoría y Responsabilidad Técnico CA Evaluación de Seguridad y Autorización Administración CM Administración de Configuraciones Operacional CP Planes de Contingencia Operacional IA Identificación y Autenticación Técnico IR Respuesta a Incidentes Operacional MA Mantenimiento Operacional MP Protección de Medios Operacional PE Protección Física y de Entorno Operacional PL Planeación Administración PS Seguridad en el Personal Operacional RA Evaluación de Riesgos Administración SA Adquisición de Sistemas y Servicios Administración SC Protección de Sistemas y Comunicaciones Técnico SI Integridad del Sistema e Información Operacional Tabla 2. Identificadores, familias y clases de controles de seguridad. La estructura de los controles de seguridad que maneja el NIST SP está conformada por cuatro secciones clave:

56 42 Sección de Control. Provee un estado conciso de la capacidad de seguridad específica necesaria para proteger un aspecto particular de una organización o sistema de información. Sección de Mejoras de Control. Proporciona estados de capacidad de control para dar funcionalidad a un control básico y/o para incrementar la fortaleza de un control. Sección de Guía adicional. Provee información adicional y relativa al control de seguridad específico. Sección de Referencias. Incluye una lista de leyes federales aplicables, Órdenes ejecutivas, políticas, directivas, estándares y guías que son relevantes para un control de seguridad particular o para una mejora de control. El NIST SP , encuadra al proceso de selección y especificación de controles de seguridad dentro de un programa de seguridad de la información que se encuentra orientado a la administración del riesgo. Para ello, establece un Marco de Administración del Riesgo (Risk Management Framework, RMF) que cuenta con las siguientes actividades: Categoriza (Categorize) el sistema de información y la información procesada, almacenada y transmitida por el propio sistema, basado en un análisis de impacto del FIPS-199. Selecciona (Select) un conjunto de controles de seguridad de referencia para el sistema de información basado en la categorización de seguridad del FIPS-199 y en los requerimientos mínimos de seguridad definidos en el FIPS-200. Indica la adecuación de los controles en base a una evaluación de riesgos y propone como guía la publicación especial

57 43 Guía de Administración de Riesgos para Sistemas de Tecnologías de Información (Risk Management Guide for Information Technology Systems). Implementa (Implement) los controles de seguridad y describe cómo son empleados en componentes de hardware, software o firmware específicos del sistema de información. Evalúa (Assess) los controles de seguridad utilizando procedimientos de evaluación apropiados para determinar que operen como se tiene previsto y que produzcan los resultados deseados respecto a lo acordado en los requerimientos de seguridad del sistema. Autorizar (Authorize) la operación del sistema de información basada en una determinación del riesgo para los activos y operaciones organizacionales, individuos, otras organizaciones y la Nación como resultado de la operación del sistema de información y la decisión de que el riesgo es aceptable. Monitorear (Monitor) los controles de seguridad en el sistema de información en el que se incluya la evaluación de la efectividad del control, la documentación de cambios en el sistema o en su entorno de operación, conducir los análisis de impacto de seguridad de los cambios asociados y reportar el estado de seguridad del sistema a las autoridades organizacionales designadas. La figura 4.1 ilustra las actividades específicas en el Marco de Administración del Riesgo, los estándares y guías asociados con cada actividad. El paso 1 se refiere a la categorización del sistema de seguridad que establece el estándar FIPS-199 y el cual se mencionó anteriormente.

58 44 El paso 2 relativo a la selección de controles de seguridad, se encuentra conformado a su vez por tres pasos: - Seleccionar los controles de seguridad de referencia iniciales. - Adaptar los controles de seguridad de referencia. - Complementar los controles de referencia adaptados. NIST SP , Rev. 3. Figura 3. Marco de Administración de Riesgo (Risk Amanagement Framework). Después de que los controles de seguridad son implementados (paso 3 del RMF), evaluados en efectividad (paso 4 del RMF) y el sistema de información es autorizado (paso 5 del RMF) para entrar en operación de acuerdo a la estrategia de administración de riesgo de la organización, se inician las acciones específicas de seguimiento como parte de un programa continuo de

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0

LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0 LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0 LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0. Ministerio de Tecnologías de la Información

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

Aspectos Generales Sobre Seguridad de la Información

Aspectos Generales Sobre Seguridad de la Información Aspectos Generales Sobre Seguridad de la Información Eric Morán Añazco MBA, PMP, Lead Auditor ISO 27001 Consulting Division Manager eric.moran@myt.com.pe M&T Consulting M&T Consulting Calle Las Begonias

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

World BASC Organization Business Alliance for Secure Commerce (BASC) NORMA BASC TABLA DE CONTENIDO 2. REFERENCIAS NORMATIVAS... 6

World BASC Organization Business Alliance for Secure Commerce (BASC) NORMA BASC TABLA DE CONTENIDO 2. REFERENCIAS NORMATIVAS... 6 Página: Página 1 de 13 TABLA DE CONTENIDO 0. INTRODUCCIÓN... 3 0.1. Prólogo... 3 0.2. Justificación... 4 1. OBJETO ALCANCE APLICACIÓN Y EXCLUSIONES... 5 1.1. Objeto y Alcance... 5 1.2. Para Usar Esta Norma...

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto

ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital AUTOR: Ing. Elvin Suarez Sekimoto Email: peluka_chino@hotmail.com U.A.P.-I.T.P.R. CARRERA CONTABILIDAD PUERTO

Más detalles

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial) Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial) Titulación certificada por EUROINNOVA BUSINESS SCHOOL Perito

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría INTRODUCCIÓN El conocimiento y habilidades relacionadas

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Ana Andrés Luis Gómez Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

Trabajo final de Máster

Trabajo final de Máster MÁSTER INTERUNIVERSITARIO EN SEGURIDAD DE LAS TIC Trabajo final de Máster Actualización del Sistema de Gestión de Seguridad de la Información de una empresa a la norma ISO/IEC Fase 5 Auditoria de cumplimiento

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Soho Chile Julio 2013

Soho Chile Julio 2013 Diagnóstico de Seguridad de la Información ISO/IEC 27001:2005 Soho Chile Julio 2013 Tabla de Contenidos Resumen Ejecutivo... 2 Recomendaciones Generales... 4 1. Introducción... 6 2. Objetivos... 6 3. Alcances...

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

ISO-27001 e ISO-27004 Viena 2007

ISO-27001 e ISO-27004 Viena 2007 ISO-27001 e ISO-27004 Viena 2007 Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com PRÓLOGO Uno de los aspectos más importantes que se debe destacar del estándar ISO 27001, es la importancia que

Más detalles

NTE INEN-ISO/IEC 27033-1 Primera edición

NTE INEN-ISO/IEC 27033-1 Primera edición Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27033-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27033-1:2009,

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

LOS INDICADORES DE GESTIÓN

LOS INDICADORES DE GESTIÓN LOS INDICADORES DE GESTIÓN Autor: Carlos Mario Pérez Jaramillo Todas las actividades pueden medirse con parámetros que enfocados a la toma de decisiones son señales para monitorear la gestión, así se asegura

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

Ing. Nicolás Serrano nserrano@bcu.gub.uy

Ing. Nicolás Serrano nserrano@bcu.gub.uy Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del

Más detalles