Seguridad de la Información. Conferencia. Seguridad de la Información Norma ISO Instructor: Gustavo Bonilla, PMP. Seguridad de la Información
|
|
- Esther Castro Paz
- hace 8 años
- Vistas:
Transcripción
1 Conferencia Norma ISO Instructor: Gustavo Bonilla, PMP Objetivo de la Conferencia Adquirir conocimientos y metodologías de implementación de medidas de seguridad de acuerdo con los requerimientos de Normas Internacionales - Norma ISO 17799: Identificación de los riesgos y requerimientos específicos de la norma en sus 10 dominios. Comprender el proceso de adecuar la compañía para lograr la Certificación. 1
2 Situación Actual Algunos riesgos y su impacto en los negocios ''La seguridad no es un problema que pueda resolverse una vez y para siempre. Es un tira y afloja entre buenos y malos. La clave está en garantizar que la organización está concienciada acerca de la seguridad y la ejercita con sentido común. Algunos datos Miércoles 24 de setiembre de 2003 Año VII N :20 A PARTIR DEL 14 DE OCTUBRE Microsoft cierra la mayoría de sus chats Quiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países. Detenido creador de virus Sasser Resumen: Un estudiante de 18 años, detenido el viernes por la noche en Alemania, confesó ser el autor del virus informático Sasser, que desde el 1. de mayo ha infectado a millones de ordenadores en todo el mundo. El delito podría acarrearle una condena hasta de cinco años de cárcel, anunció ayer la policía alemana. El joven, detenido en Rotemburgo, una pe Relevancia: 40% NACION, Internacionales Sábado 8 de mayo, 2004 INTERNET Nadie logra controlar la epidemia: el correo basura invade las casillas de todo el mundo Apenas 150 spammers norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico. 2
3 Algunas realidades En mi compañía ya tenemos seguridad porque implementamos un firewall.... contratamos una persona para el área.... en la última auditoría de sistemas no me sacaron observaciones importantes.... ya escribí las políticas.... hice un penetration testing y ya arreglamos todo. Algunos datos En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS 3
4 Algunos datos Algunos datos 4
5 Algunas premisas No existe la verdad absoluta en Seguridad Informática. No es posible eliminar todos los riesgos. No se puede ser especialista en todos los temas. La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía. Cada vez los riesgos y el impacto en los negocios son mayores. No se puede dejar de hacer algo en este tema. Principales riesgos Mails anónimos con información crítica o con agresiones Spamming Captura de PC desde el exterior Violación de s Violación de contraseñas Incumplimiento de leyes y regulaciones Violación de la privacidad de los empleados Virus Fraudes informáticos Ingeniería social empleados deshonestos Interrupción de los servicios Acceso clandestino a redes Acceso indebido a documentos impresos Indisponibilidad de información clave Intercepción y modificación de s Robo de información Programas bomba Destrucción de soportes documentales Intercepción de comunicaciones Falsificación de información para terceros Destrucción de equipamiento Pistas para auditar inexistentes o no son chequeadas Robo o extravío de notebooks Software ilegal Agujeros de seguridad de redes conectadas Propiedad de la Información 5
6 Principales riesgos y el impacto en los negocios En estos tipos de problemas es difícil: Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos económicamente, por ejemplo cuánto le cuesta a la compañía 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los resultados de la compañía. Principales riesgos y el impacto en los negocios Se puede estar preparado para que ocurran los menos posibles: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas especializadas 6
7 Normas aplicables Normas aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book ITSEC Information Technology Security Evaluation Criteria: White Book Sans Institute 7
8 Gestión de Seguridad Norma ISO Normas de Gestión ISO International Standards Organization: Normas ISO ISO 9001 Calidad ISO Ambiental ISO La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO Basada en el BRITISH STANDARD ISO (Europa) y NIST (USA). 8
9 Norma ISO Dos partes: NORMALIZACION (Mejores Prácticas) Homologada en Argentina IRAM/ISO/IEC CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS Norma ISO Preservar la: confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la información y los métodos de procesamiento. disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera. 9
10 Metodología y Ciclo de Implementación Pasos de la metodología y ciclo para implementar el estándar Iniciación del Proyecto Descripción Asegure el compromiso de la dirección Seleccione y entrene a los miembros del equipo inicial de proyecto Definición del SGSI (Sistema de Gestión de la ) Evaluación de Riesgos Administración de Riesgos Identifique el alcance y los límites del marco de dirección de seguridad de la información. Este paso es crucial para el éxito del proyecto Realice el inventario y evalúe el activo a proteger Identifique y evalúe amenazas y vulnerabilidades Diagnostique el nivel de cumplimiento con ISO Calcule el valor de riesgos asociados Encuentre como seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo a un nivel aceptable Metodología y Ciclo de Implementación (continuación) Pasos de la metodología y ciclo para implementar el estándar Entrenamiento y concientizacion Descripción Los empleados pueden ser el eslabón más débil en la seguridad de la información de su organización. Aprenda a establecer un programa de concienciación de la seguridad de la información Preparación para la Auditaría Aprenda a validar su marco de seguridad y que debe hacer antes de traer a un auditor externo para la certificación BS UNE Auditoría Control y mejora continua Aprenda más sobre los pasos realizados por auditores externos y averigüe sobre los cuerpos de certificación acreditados BS UNE Aprenda a mejorar la eficiencia de su SGSI conforme al modelo de administración reconocido por la ISO. 10
11 Obstáculos potenciales Miedo, resistencia al cambio Riesgo de contigüidad Costos crecientes Conocimiento insuficiente del acercamiento seleccionado Tareas aparentemente insuperables Factor de éxito Recursos y personal dedicado Personal externo experimentado Buena comprensión del funcionamiento (gestión) y los procesos (operaciones) de gestión del riesgo Comunicaciones frecuentes Sensibilización de gerentes y empleados Compromiso de la dirección superior Estructura del enfoque Las Las 10 Secciones de ISO Cumplimiento Política de seguridad Organización de la Seguridad Administración de la continuidad Desarrollo y mantenimiento integridad Confidencialidad Información disponibilidad Clasificación y control de los activos Seguridad del personal Control de accesos Gestión de comunicaciones y operaciones Seguridad física y medioambiental 11
12 Dominios de Norma ISO Dominio 1 - Política de Seguridad Dominio 1: POLÍTICA DE SEGURIDAD Nivel gerencial debe: aprobar y publicar la política de seguridad comunicarlo a todos los empleados 12
13 Dominio 1: POLÍTICA DE SEGURIDAD Debe incluir: objetivos y alcance generales de seguridad apoyo expreso de la dirección breve explicación de los valores de seguridad de la organización definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información referencias a documentos que puedan respaldar la política Dominio 1: POLÍTICA DE SEGURIDAD Protección Física Autorización Confiabilidad Propiedad Legalidad Política de Seguridad Confidencialidad Disponibilidad Eficiencia Integridad Exactitud Eficacia 13
14 Dominio 2 Organización de la Seguridad Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información Debe establecerse un marco gerencial para iniciar y controlar la implementación. Deben establecerse adecuados foros de gestión de seguridad y responsabilidades para cada usuario en la organización. Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas 14
15 Dominio 2: ORGANIZACION DE LA SEGURIDAD Foros de Gestión aprobar la política de seguridad de la información, asignar funciones de seguridad actualizarse ante cambios coordinar la implementación definir metodologías y procesos específicos de seguridad monitorear incidentes de seguridad lidera el proceso de concientización de usuarios Dominio 2: ORGANIZACION DE LA SEGURIDAD Principales roles y funciones Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Definición Área de Seguridad Informática Área de Legales/RRHH/DD/FORO Control Auditoría Interna Auditoría Externa 15
16 Dominio 2: ORGANIZACION DE LA SEGURIDAD Seguridad frente al acceso por parte de terceros El acceso por parte de terceros debe ser controlado. Debe llevarse a cabo una evaluación de riesgos: determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte. Dominio 2: ORGANIZACION DE LA SEGURIDAD Tipos de terceros personal de mantenimiento y soporte de hardware y software; limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; pasantías de estudiantes y otras designaciones contingentes de corto plazo; consultores. 16
17 Dominio 3 Clasificación y Control de Activos Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS Inventarios de Información e Instalaciones Designar un propietario para cada uno de ellos Clasificación de la información 17
18 Dominio 4 Seguridad del Personal Dominio 4: SEGURIDAD DEL PERSONAL Seguridad en la definición de puestos de trabajo y la asignación de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeño como empleado. 18
19 Dominio 4: SEGURIDAD DEL PERSONAL Capacitación del usuario Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales. Dominio 4: SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalías en materia de seguridad Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos. 19
20 Dominio 4: SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización. Dominio 5 Seguridad Física y Ambiental 20
21 Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados, daños e interferencia a: sedes instalaciones información Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Perímetro de seguridad física Controles de acceso físico Seguridad del equipamiento Suministros de energía Cableado de energía eléctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del ámbito de la organización Políticas de escritorios y pantallas limpias Retiro de bienes 21
22 Dominio 6 Gestión de Operaciones y Comunicaciones Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información. Se debe implementar la separación de funciones cuando corresponda. Se deben documentar los procedimientos de operación 22
23 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Separación entre instalaciones de desarrollo e instalaciones operativas Deben separarse las instalaciones de: Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de almacenamiento Acuerdos de intercambio de información y software 23
24 Dominio 7 Sistema de Control de Accesos Dominio 7: SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos Coherencia entre las políticas de control de acceso y de clasificación de información de los diferentes sistemas y redes Administración de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas y servicios de información. 24
25 Dominio 7: SISTEMA DE CONTROL DE ACCESOS Administración de accesos de usuarios Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas Dominio 8 Desarrollo y Mantenimiento de Sistemas 25
26 Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Asegurar que la seguridad es incorporada a los sistemas de información. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información. Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los sistemas de aplicación Se deben diseñar en los sistemas de aplicación, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validación de datos de entrada, procesamiento interno, y salidas. 26
27 Dominio 9 Plan de Continuidad del Negocio Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres. Se debe implementar un proceso de administración de la continuidad de los negocios Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio. 27
28 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administración y gestión. La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudación oportuna de las operaciones indispensables. Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas Clasificación de los distintos escenarios de desastres Evaluación de impacto en el negocio Desarrollo de una estrategia de recupero Implementación de la estrategia Documentación del plan de recupero Testeo y mantenimiento del plan 28
29 Dominio 10 Cumplimiento Dominio 10 : CUMPLIMIENTO Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización. Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas. 29
30 Dominio 10 : CUMPLIMIENTO Recolección de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas específicas del tribunal en el cual se desarrollará el caso: validez de la evidencia: si puede o no utilizarse la misma en el tribunal; peso de la evidencia: la calidad y totalidad de la misma; Dominio 10 : CUMPLIMIENTO adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el período en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de información cumplan con los estándares o códigos de práctica relativos a la producción de evidencia válida. 30
31 Dominio 10 : CUMPLIMIENTO Revisiones de la política de seguridad y la compatibilidad técnica Garantizar la compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad de la organización. Dominio 10 : CUMPLIMIENTO Auditoria de sistemas Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas. 31
32 Dominio 10 : CUMPLIMIENTO Relación entre RIESGOS y DELITOS informáticos Delitos tradicionalmente denominados informáticos Delitos convencionales Infracciones por Mal uso Dominio 10 : CUMPLIMIENTO Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informática en Argentina o Protección de Datos Personales Habeas Data o Firma Digital. o Propiedad intelectual / Software Legal o Regulación de las Comunicaciones Comerciales Publicitarias por Correo Electrónico Antispam o Delitos Informáticos o Confidencialidad de la Información y productos protegidos o Normativa específica del Banco Central de la República Argentina 32
33 Norma ISO Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Implementación del ISMS Programa Continuo de 33
34 Implementación de un Programa de Seguridad R P Identificación de los principales riesgos informáticos para su compañía Definición por la Dirección de una política básica de seguridad A Acción concreta en dos frentes: Normativo Ejecutivo R Identificación de riesgos en su compañía Clasificación de los más críticos Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos 34
35 R Identificación de riesgos en su compañía Personas y Organizaciones dentro y/o fuera Competidores Empleados descontentos Proveedores Clientes Hackers Consultores in company Compañías asociadas R Identificación de riesgos en su compañía Donde hay información sensible en los sistemas centrales en las PC s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal 35
36 P Definición de una política básica de seguridad Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros P Definición de una política básica de seguridad Autorización Protección Física Confiabilidad Propiedad Legalidad Política de Seguridad Confidencialidad Disponibilidad Eficiencia Integridad Exactitud Eficacia 36
37 A Acción concreta: Plano Normativo Identificación de responsabilidades de seguridad Sponsoreo y seguimiento Dirección de la Compañía Usuarios finales Comité de Seguridad Terceros y personal contratado Autorización Area de sistemas Dueños de datos Administración Definición Administrador de Seguridad Area de Seguridad Informática Control Area de Legales/otras Auditoría Interna / Externa Cumplimiento directo A Acción concreta: Plano Normativo Desarrollo de la normativa básica y publicación Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes 37
38 A Acción concreta: Plano Normativo Definición de un sistema de premios y castigos en su compañía Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros in company Utilización de convenios de confidencialidad A Acción concreta: Plano Ejecutivo Definición e implementación de la función de Seguridad Informática Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas 38
39 A Acción concreta: Plano Ejecutivo Mejoras en los procesos del área de Sistemas Administración de Usuarios y Permisos en los Sistemas Separación de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Física de las Instalaciones y Recursos Prevención de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditoría Automática y Administración de Incidentes de Seguridad Usodel CorreoElectrónico Uso de Servicios de Internet A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en: Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía. 39
40 A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio Componentes - Tecnológico: procesamiento de los sistemas - Funcional: procedimientos del personal A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio Etapas en la Implementación del Plan 1: Clasificación de los distintos escenarios de desastres 2: Evaluación de impacto en el negocio 3: Desarrollo de una estrategia de recupero 4: Implementación de la estrategia 5: Documentación del plan de recupero 6: Testeo y mantenimiento del plan 40
41 A Acción concreta: Plano Ejecutivo Parametrización de las redes y los sistemas de una forma más segura Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores, PC s y laptops Seguridad física Integración con otras tecnologías Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático) A Acción concreta: Plano Ejecutivo Implementación de monitoreos de incidentes de seguridad Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías 41
42 A Acción concreta: Plano Ejecutivo Concientización a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros in company Utilizando la tecnología y los medios disponibles Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos Implemente Ud. Mismo el ISMS ISO
43 Implemente Ud. Mismo el ISMS ISO Diagnóstico Inicial: Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO a 3 semanas Implemente Ud. Mismo el ISMS ISO Módulos: Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal. 43
44 Implemente Ud. Mismo el ISMS ISO Módulo 1: Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso) Implemente Ud. Mismo el ISMS ISO Módulo 2: Definir, aprobar y difundir la Política de Seguridad de la Compañía Definir la estructura y alcance del Manual de de la Compañía Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía Implementar Esquema de Propietarios de Datos 44
45 Implemente Ud. Mismo el ISMS ISO Módulo 3: Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros Iniciar proceso de redacción de las Normas Implemente Ud. Mismo el ISMS ISO Módulo 4: Finalizar Clasificación de Información Relevar medidas implementadas en las funciones del área de sistemas 45
46 Implemente Ud. Mismo el ISMS ISO Módulo 5: Finalizar la Redacción y Difundir las Normas de Seguridad Implementar las definiciones de las Normas Implemente Ud. Mismo el ISMS ISO Módulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas Implementar mejoras en los sectores usuarios para información impresa 46
47 Implemente Ud. Mismo el ISMS ISO Módulo 7: Iniciar proceso de redacción de Procedimientos críticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información Implemente Ud. Mismo el ISMS ISO Módulo 8: Finalizar la redacción y difundir los Procedimientos críticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc) 47
48 Implemente Ud. Mismo el ISMS ISO Módulo 9: Implementar los Procedimientos de Seguridad Críticos Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad Implemente Ud. Mismo el ISMS ISO Módulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientización de Usuarios de toda la Compañía 48
49 Implemente Ud. Mismo el ISMS ISO Módulo 11: Diagnóstico General respecto Norma ISO (similar a una Preauditoría de Certificación ISO) Implemente Ud. Mismo el ISMS ISO Módulo 12: Implementación de las mejoras identificadas en el Diagnóstico según ISO
50 Casos prácticos de implementaciones: key points Errores en asignación de Dueños de Datos Interrelación compleja con otros proyectos Extenso período de discusión de la normativa Implementación prolongada en algunas tecnologías Discusiones con proveedores de software por soluciones Personas de peso deciden aplicar las políticas para todos menos para ellos Casos prácticos de implementaciones: key points Algunas soluciones técnicas sólo son aplicables para todos los usuarios de todas las compañías al mismo tiempo Prolongados períodos de evaluación de riesgos Diferencias de criterios en clasificación de la información Dificultades en implementación de medidas disciplinarias Se deja para etapas posteriores las medidas de contingencia de los equipos de procesamiento 50
51 Casos prácticos de implementaciones: key points Facilidad en el USO vs mejor PROTECCION de la Información Muchas Gracias 51
Dominio 2. Organización de la Seguridad
Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesSeguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.
Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesPolíticas de Seguridad
Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesResumen Norma ISO-27001.
Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:
Más detallesImplantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo
Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesLista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)
Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesInformación. Ing. Max Lazaro. Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesGuía: Controles de Seguridad y Privacidad de la Información
Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma
Más detallesSistemas de Gestión de la Seguridad de la Información.
Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesSistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei
Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesCURSO DE ESQUEMA NACIONAL DE SEGURIDAD
CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesPolíticas de seguridad de la información. Empresa
Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesTaller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC
Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesESCUELA POLITECNICA NACIONAL
1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesNORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD
NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva
Más detallesTALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
1 TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo del Taller Lograr que los participantes incorporen el concepto de Seguridad de la Información, que reconozcan la
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesCOMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD
COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detalles[Guía de auditoría AudiLacteos]
[Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software
Más detalles1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características
Más detallesEstrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad
Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación
Más detallesINFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA
INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES ECUATORIANAS MIEMBROS DE CEDIA INFORME DE RESULTADOS DE LA 1 ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN EN UNIVERSIDADES
Más detallesSeminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:
Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad
Más detallesUnidad 6: Protección Sistemas de Información
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad
Más detallesAI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL
AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN OBJETIVOS 1 Métodos de Diseño 2 Cambios Significativos a Sistemas Actuales 3 Aprobación del Diseño 4 Definición y Documentación de Requerimientos
Más detallesAnexo Q. Procesos y Procedimientos
Anexo Q Procesos y Procedimientos ÌNDICE. 1. Introducción... 3 2. Proceso de Directorio Activo... 4 3. Proceso de Correo Electrónico... 5 4. Proceso de Mensajería Instantánea... 6 5. Proceso de Sharepoint
Más detallesCurso de Seguridad de la Carga Aérea
Administración de seguridad del transporte Curso de Seguridad de la Carga Aérea Lección 5 Seguridad de servicio de comida y tiendas de limpieza y suministros 1 Objetivos de aprendizaje 1. Determinar las
Más detallesQué pasa si el entorno de seguridad falla?
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesNTP - ISO/IEC 27001:2008
NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo
Más detallesPOLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la
Más detallesREPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ
1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesCómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón
Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesPUNTO NORMA: 4.3.1. ASPECTOS AMBIENTALES
PUNTO NORMA: 4.3.1. ASPECTOS AMBIENTALES REQUISITOS ASPECTOS INDIRECTOS DE LA NORMA ISO 14001 EMISIONES A LA ATMÓSFERA: Gases de combustión (uso vehículos) CONSUMO DE RECURSOS NATURALES: Combustible (uso
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesMejora de la Seguridad de la Información para las Pymes Españolas
Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesTema 1: Organización, funciones y responsabilidades de la función de TI.
Tema 1: Organización, funciones y responsabilidades de la función de TI. 1- Se le han definido objetivos específicos a la función de TI? 2- Se ha identificado claramente de quién depende jerárquicamente
Más detallesISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control
UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesPROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES
PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando
Más detallesSGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es
SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado
Más detallesNORMA ISO/IEC 27001:2005
NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE SOPORTE DE PLATAFORMA GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO El objeto del procedimiento es garantizar una plataforma tecnológica y un sistema de comunicación
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesImplantación de un SGSI
Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para
Más detallesVISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN
Jornada CTL: Sistemas de Gestión Integrados de Calidad, Medioambiente y Prevención VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN José Luis HORTELANO SAIZ Auditor Jefe de Sistemas
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesPolíticas de Seguridad de la información
2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.
Más detallesISO 9001 Auditing Practices Group Guidance on:
International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción
Más detallesIng. Nicolás Serrano nserrano@bcu.gub.uy
Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del
Más detallesMODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA
MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN
Más detallesBOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA
BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad
Más detallesCurso. Introducción a la Administracion de Proyectos
Curso Introducción a la Administracion de Proyectos Tema 5 Procesos del área de Integración INICIAR PLANEAR EJECUTAR CONTROL CERRAR Desarrollar el Acta de Proyecto Desarrollar el Plan de Proyecto Dirigir
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detalles