Seguridad de la Información. Conferencia. Seguridad de la Información Norma ISO Instructor: Gustavo Bonilla, PMP. Seguridad de la Información

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seguridad de la Información. Conferencia. Seguridad de la Información Norma ISO 17799. Instructor: Gustavo Bonilla, PMP. Seguridad de la Información"

Transcripción

1 Conferencia Norma ISO Instructor: Gustavo Bonilla, PMP Objetivo de la Conferencia Adquirir conocimientos y metodologías de implementación de medidas de seguridad de acuerdo con los requerimientos de Normas Internacionales - Norma ISO 17799: Identificación de los riesgos y requerimientos específicos de la norma en sus 10 dominios. Comprender el proceso de adecuar la compañía para lograr la Certificación. 1

2 Situación Actual Algunos riesgos y su impacto en los negocios ''La seguridad no es un problema que pueda resolverse una vez y para siempre. Es un tira y afloja entre buenos y malos. La clave está en garantizar que la organización está concienciada acerca de la seguridad y la ejercita con sentido común. Algunos datos Miércoles 24 de setiembre de 2003 Año VII N :20 A PARTIR DEL 14 DE OCTUBRE Microsoft cierra la mayoría de sus chats Quiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países. Detenido creador de virus Sasser Resumen: Un estudiante de 18 años, detenido el viernes por la noche en Alemania, confesó ser el autor del virus informático Sasser, que desde el 1. de mayo ha infectado a millones de ordenadores en todo el mundo. El delito podría acarrearle una condena hasta de cinco años de cárcel, anunció ayer la policía alemana. El joven, detenido en Rotemburgo, una pe Relevancia: 40% NACION, Internacionales Sábado 8 de mayo, 2004 INTERNET Nadie logra controlar la epidemia: el correo basura invade las casillas de todo el mundo Apenas 150 spammers norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico. 2

3 Algunas realidades En mi compañía ya tenemos seguridad porque implementamos un firewall.... contratamos una persona para el área.... en la última auditoría de sistemas no me sacaron observaciones importantes.... ya escribí las políticas.... hice un penetration testing y ya arreglamos todo. Algunos datos En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS 3

4 Algunos datos Algunos datos 4

5 Algunas premisas No existe la verdad absoluta en Seguridad Informática. No es posible eliminar todos los riesgos. No se puede ser especialista en todos los temas. La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía. Cada vez los riesgos y el impacto en los negocios son mayores. No se puede dejar de hacer algo en este tema. Principales riesgos Mails anónimos con información crítica o con agresiones Spamming Captura de PC desde el exterior Violación de s Violación de contraseñas Incumplimiento de leyes y regulaciones Violación de la privacidad de los empleados Virus Fraudes informáticos Ingeniería social empleados deshonestos Interrupción de los servicios Acceso clandestino a redes Acceso indebido a documentos impresos Indisponibilidad de información clave Intercepción y modificación de s Robo de información Programas bomba Destrucción de soportes documentales Intercepción de comunicaciones Falsificación de información para terceros Destrucción de equipamiento Pistas para auditar inexistentes o no son chequeadas Robo o extravío de notebooks Software ilegal Agujeros de seguridad de redes conectadas Propiedad de la Información 5

6 Principales riesgos y el impacto en los negocios En estos tipos de problemas es difícil: Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos económicamente, por ejemplo cuánto le cuesta a la compañía 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los resultados de la compañía. Principales riesgos y el impacto en los negocios Se puede estar preparado para que ocurran los menos posibles: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas especializadas 6

7 Normas aplicables Normas aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book ITSEC Information Technology Security Evaluation Criteria: White Book Sans Institute 7

8 Gestión de Seguridad Norma ISO Normas de Gestión ISO International Standards Organization: Normas ISO ISO 9001 Calidad ISO Ambiental ISO La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO Basada en el BRITISH STANDARD ISO (Europa) y NIST (USA). 8

9 Norma ISO Dos partes: NORMALIZACION (Mejores Prácticas) Homologada en Argentina IRAM/ISO/IEC CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS Norma ISO Preservar la: confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la información y los métodos de procesamiento. disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera. 9

10 Metodología y Ciclo de Implementación Pasos de la metodología y ciclo para implementar el estándar Iniciación del Proyecto Descripción Asegure el compromiso de la dirección Seleccione y entrene a los miembros del equipo inicial de proyecto Definición del SGSI (Sistema de Gestión de la ) Evaluación de Riesgos Administración de Riesgos Identifique el alcance y los límites del marco de dirección de seguridad de la información. Este paso es crucial para el éxito del proyecto Realice el inventario y evalúe el activo a proteger Identifique y evalúe amenazas y vulnerabilidades Diagnostique el nivel de cumplimiento con ISO Calcule el valor de riesgos asociados Encuentre como seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo a un nivel aceptable Metodología y Ciclo de Implementación (continuación) Pasos de la metodología y ciclo para implementar el estándar Entrenamiento y concientizacion Descripción Los empleados pueden ser el eslabón más débil en la seguridad de la información de su organización. Aprenda a establecer un programa de concienciación de la seguridad de la información Preparación para la Auditaría Aprenda a validar su marco de seguridad y que debe hacer antes de traer a un auditor externo para la certificación BS UNE Auditoría Control y mejora continua Aprenda más sobre los pasos realizados por auditores externos y averigüe sobre los cuerpos de certificación acreditados BS UNE Aprenda a mejorar la eficiencia de su SGSI conforme al modelo de administración reconocido por la ISO. 10

11 Obstáculos potenciales Miedo, resistencia al cambio Riesgo de contigüidad Costos crecientes Conocimiento insuficiente del acercamiento seleccionado Tareas aparentemente insuperables Factor de éxito Recursos y personal dedicado Personal externo experimentado Buena comprensión del funcionamiento (gestión) y los procesos (operaciones) de gestión del riesgo Comunicaciones frecuentes Sensibilización de gerentes y empleados Compromiso de la dirección superior Estructura del enfoque Las Las 10 Secciones de ISO Cumplimiento Política de seguridad Organización de la Seguridad Administración de la continuidad Desarrollo y mantenimiento integridad Confidencialidad Información disponibilidad Clasificación y control de los activos Seguridad del personal Control de accesos Gestión de comunicaciones y operaciones Seguridad física y medioambiental 11

12 Dominios de Norma ISO Dominio 1 - Política de Seguridad Dominio 1: POLÍTICA DE SEGURIDAD Nivel gerencial debe: aprobar y publicar la política de seguridad comunicarlo a todos los empleados 12

13 Dominio 1: POLÍTICA DE SEGURIDAD Debe incluir: objetivos y alcance generales de seguridad apoyo expreso de la dirección breve explicación de los valores de seguridad de la organización definición de las responsabilidades generales y específicas en materia de gestión de la seguridad de la información referencias a documentos que puedan respaldar la política Dominio 1: POLÍTICA DE SEGURIDAD Protección Física Autorización Confiabilidad Propiedad Legalidad Política de Seguridad Confidencialidad Disponibilidad Eficiencia Integridad Exactitud Eficacia 13

14 Dominio 2 Organización de la Seguridad Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información Debe establecerse un marco gerencial para iniciar y controlar la implementación. Deben establecerse adecuados foros de gestión de seguridad y responsabilidades para cada usuario en la organización. Se debe establecer una fuente de asesoramiento especializado en materia de seguridad y contactos con organizaciones externas 14

15 Dominio 2: ORGANIZACION DE LA SEGURIDAD Foros de Gestión aprobar la política de seguridad de la información, asignar funciones de seguridad actualizarse ante cambios coordinar la implementación definir metodologías y procesos específicos de seguridad monitorear incidentes de seguridad lidera el proceso de concientización de usuarios Dominio 2: ORGANIZACION DE LA SEGURIDAD Principales roles y funciones Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Definición Área de Seguridad Informática Área de Legales/RRHH/DD/FORO Control Auditoría Interna Auditoría Externa 15

16 Dominio 2: ORGANIZACION DE LA SEGURIDAD Seguridad frente al acceso por parte de terceros El acceso por parte de terceros debe ser controlado. Debe llevarse a cabo una evaluación de riesgos: determinar las incidencias en la seguridad y los requerimientos de control. Los controles deben ser acordados y definidos en un contrato con la tercera parte. Dominio 2: ORGANIZACION DE LA SEGURIDAD Tipos de terceros personal de mantenimiento y soporte de hardware y software; limpieza, "catering", guardia de seguridad y otros servicios de soporte tercerizados; pasantías de estudiantes y otras designaciones contingentes de corto plazo; consultores. 16

17 Dominio 3 Clasificación y Control de Activos Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS Inventarios de Información e Instalaciones Designar un propietario para cada uno de ellos Clasificación de la información 17

18 Dominio 4 Seguridad del Personal Dominio 4: SEGURIDAD DEL PERSONAL Seguridad en la definición de puestos de trabajo y la asignación de recursos Las responsabilidades en materia de seguridad deben ser: explicitadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeño como empleado. 18

19 Dominio 4: SEGURIDAD DEL PERSONAL Capacitación del usuario Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales. Dominio 4: SEGURIDAD DEL PERSONAL Respuesta a incidentes y anomalías en materia de seguridad Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos. 19

20 Dominio 4: SEGURIDAD DEL PERSONAL Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización. Dominio 5 Seguridad Física y Ambiental 20

21 Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados, daños e interferencia a: sedes instalaciones información Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Perímetro de seguridad física Controles de acceso físico Seguridad del equipamiento Suministros de energía Cableado de energía eléctrica y de comunicaciones Mantenimiento de equipos Seguridad del equipamiento fuera del ámbito de la organización Políticas de escritorios y pantallas limpias Retiro de bienes 21

22 Dominio 6 Gestión de Operaciones y Comunicaciones Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información. Se debe implementar la separación de funciones cuando corresponda. Se deben documentar los procedimientos de operación 22

23 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Separación entre instalaciones de desarrollo e instalaciones operativas Deben separarse las instalaciones de: Desarrollo Prueba Operaciones Se deben definir y documentar las reglas para la transferencia de software desde el estado de desarrollo hacia el estado operativo. Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Procesos de: Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de almacenamiento Acuerdos de intercambio de información y software 23

24 Dominio 7 Sistema de Control de Accesos Dominio 7: SISTEMA DE CONTROL DE ACCESOS Requerimientos de negocio para el control de accesos Coherencia entre las políticas de control de acceso y de clasificación de información de los diferentes sistemas y redes Administración de accesos de usuarios Se deben implementar procedimientos formales para controlar la asignación de derechos de acceso a los sistemas y servicios de información. 24

25 Dominio 7: SISTEMA DE CONTROL DE ACCESOS Administración de accesos de usuarios Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas Dominio 8 Desarrollo y Mantenimiento de Sistemas 25

26 Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas. Asegurar que la seguridad es incorporada a los sistemas de información. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información. Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Seguridad en los sistemas de aplicación Se deben diseñar en los sistemas de aplicación, incluyendo las aplicaciones realizadas por el usuario, controles apropiados y pistas de auditoria o registros de actividad, incluyendo: la validación de datos de entrada, procesamiento interno, y salidas. 26

27 Dominio 9 Plan de Continuidad del Negocio Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres. Se debe implementar un proceso de administración de la continuidad de los negocios Se deben analizar las consecuencias de desastres, fallas de seguridad e interrupciones del servicio. 27

28 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Se deben desarrollar e implementar planes de contingencia para garantizar que los procesos de negocios puedan restablecerse dentro de los plazos requeridos. Los planes deben mantenerse en vigencia y transformarse en una parte integral del resto de los procesos de administración y gestión. La administración de la continuidad de los negocios debe incluir controles destinados a identificar y reducir riesgos, atenuar las consecuencias de los incidentes perjudiciales y asegurar la reanudación oportuna de las operaciones indispensables. Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO Principales etapas Clasificación de los distintos escenarios de desastres Evaluación de impacto en el negocio Desarrollo de una estrategia de recupero Implementación de la estrategia Documentación del plan de recupero Testeo y mantenimiento del plan 28

29 Dominio 10 Cumplimiento Dominio 10 : CUMPLIMIENTO Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad. Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización. Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas. 29

30 Dominio 10 : CUMPLIMIENTO Recolección de evidencia La evidencia presentada debe cumplir con las pautas establecidas en la ley pertinente o en las normas específicas del tribunal en el cual se desarrollará el caso: validez de la evidencia: si puede o no utilizarse la misma en el tribunal; peso de la evidencia: la calidad y totalidad de la misma; Dominio 10 : CUMPLIMIENTO adecuada evidencia de que los controles han funcionado en forma correcta y consistente durante todo el período en que la evidencia a recuperar fue almacenada y procesada por el sistema. Para lograr la validez de la evidencia, las organizaciones deben garantizar que sus sistemas de información cumplan con los estándares o códigos de práctica relativos a la producción de evidencia válida. 30

31 Dominio 10 : CUMPLIMIENTO Revisiones de la política de seguridad y la compatibilidad técnica Garantizar la compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad de la organización. Dominio 10 : CUMPLIMIENTO Auditoria de sistemas Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas. 31

32 Dominio 10 : CUMPLIMIENTO Relación entre RIESGOS y DELITOS informáticos Delitos tradicionalmente denominados informáticos Delitos convencionales Infracciones por Mal uso Dominio 10 : CUMPLIMIENTO Principales Leyes y Proyectos de Ley relacionados con la Seguridad Informática en Argentina o Protección de Datos Personales Habeas Data o Firma Digital. o Propiedad intelectual / Software Legal o Regulación de las Comunicaciones Comerciales Publicitarias por Correo Electrónico Antispam o Delitos Informáticos o Confidencialidad de la Información y productos protegidos o Normativa específica del Banco Central de la República Argentina 32

33 Norma ISO Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Implementación del ISMS Programa Continuo de 33

34 Implementación de un Programa de Seguridad R P Identificación de los principales riesgos informáticos para su compañía Definición por la Dirección de una política básica de seguridad A Acción concreta en dos frentes: Normativo Ejecutivo R Identificación de riesgos en su compañía Clasificación de los más críticos Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos 34

35 R Identificación de riesgos en su compañía Personas y Organizaciones dentro y/o fuera Competidores Empleados descontentos Proveedores Clientes Hackers Consultores in company Compañías asociadas R Identificación de riesgos en su compañía Donde hay información sensible en los sistemas centrales en las PC s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal 35

36 P Definición de una política básica de seguridad Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros P Definición de una política básica de seguridad Autorización Protección Física Confiabilidad Propiedad Legalidad Política de Seguridad Confidencialidad Disponibilidad Eficiencia Integridad Exactitud Eficacia 36

37 A Acción concreta: Plano Normativo Identificación de responsabilidades de seguridad Sponsoreo y seguimiento Dirección de la Compañía Usuarios finales Comité de Seguridad Terceros y personal contratado Autorización Area de sistemas Dueños de datos Administración Definición Administrador de Seguridad Area de Seguridad Informática Control Area de Legales/otras Auditoría Interna / Externa Cumplimiento directo A Acción concreta: Plano Normativo Desarrollo de la normativa básica y publicación Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes 37

38 A Acción concreta: Plano Normativo Definición de un sistema de premios y castigos en su compañía Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros in company Utilización de convenios de confidencialidad A Acción concreta: Plano Ejecutivo Definición e implementación de la función de Seguridad Informática Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas 38

39 A Acción concreta: Plano Ejecutivo Mejoras en los procesos del área de Sistemas Administración de Usuarios y Permisos en los Sistemas Separación de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Física de las Instalaciones y Recursos Prevención de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditoría Automática y Administración de Incidentes de Seguridad Usodel CorreoElectrónico Uso de Servicios de Internet A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en: Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía. 39

40 A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio Componentes - Tecnológico: procesamiento de los sistemas - Funcional: procedimientos del personal A Acción concreta: Plano Ejecutivo Plan de Continuidad del Negocio Etapas en la Implementación del Plan 1: Clasificación de los distintos escenarios de desastres 2: Evaluación de impacto en el negocio 3: Desarrollo de una estrategia de recupero 4: Implementación de la estrategia 5: Documentación del plan de recupero 6: Testeo y mantenimiento del plan 40

41 A Acción concreta: Plano Ejecutivo Parametrización de las redes y los sistemas de una forma más segura Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores, PC s y laptops Seguridad física Integración con otras tecnologías Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático) A Acción concreta: Plano Ejecutivo Implementación de monitoreos de incidentes de seguridad Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías 41

42 A Acción concreta: Plano Ejecutivo Concientización a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros in company Utilizando la tecnología y los medios disponibles Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos Implemente Ud. Mismo el ISMS ISO

43 Implemente Ud. Mismo el ISMS ISO Diagnóstico Inicial: Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO a 3 semanas Implemente Ud. Mismo el ISMS ISO Módulos: Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal. 43

44 Implemente Ud. Mismo el ISMS ISO Módulo 1: Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso) Implemente Ud. Mismo el ISMS ISO Módulo 2: Definir, aprobar y difundir la Política de Seguridad de la Compañía Definir la estructura y alcance del Manual de de la Compañía Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía Implementar Esquema de Propietarios de Datos 44

45 Implemente Ud. Mismo el ISMS ISO Módulo 3: Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros Iniciar proceso de redacción de las Normas Implemente Ud. Mismo el ISMS ISO Módulo 4: Finalizar Clasificación de Información Relevar medidas implementadas en las funciones del área de sistemas 45

46 Implemente Ud. Mismo el ISMS ISO Módulo 5: Finalizar la Redacción y Difundir las Normas de Seguridad Implementar las definiciones de las Normas Implemente Ud. Mismo el ISMS ISO Módulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas Implementar mejoras en los sectores usuarios para información impresa 46

47 Implemente Ud. Mismo el ISMS ISO Módulo 7: Iniciar proceso de redacción de Procedimientos críticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información Implemente Ud. Mismo el ISMS ISO Módulo 8: Finalizar la redacción y difundir los Procedimientos críticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc) 47

48 Implemente Ud. Mismo el ISMS ISO Módulo 9: Implementar los Procedimientos de Seguridad Críticos Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad Implemente Ud. Mismo el ISMS ISO Módulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientización de Usuarios de toda la Compañía 48

49 Implemente Ud. Mismo el ISMS ISO Módulo 11: Diagnóstico General respecto Norma ISO (similar a una Preauditoría de Certificación ISO) Implemente Ud. Mismo el ISMS ISO Módulo 12: Implementación de las mejoras identificadas en el Diagnóstico según ISO

50 Casos prácticos de implementaciones: key points Errores en asignación de Dueños de Datos Interrelación compleja con otros proyectos Extenso período de discusión de la normativa Implementación prolongada en algunas tecnologías Discusiones con proveedores de software por soluciones Personas de peso deciden aplicar las políticas para todos menos para ellos Casos prácticos de implementaciones: key points Algunas soluciones técnicas sólo son aplicables para todos los usuarios de todas las compañías al mismo tiempo Prolongados períodos de evaluación de riesgos Diferencias de criterios en clasificación de la información Dificultades en implementación de medidas disciplinarias Se deja para etapas posteriores las medidas de contingencia de los equipos de procesamiento 50

51 Casos prácticos de implementaciones: key points Facilidad en el USO vs mejor PROTECCION de la Información Muchas Gracias 51

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Headquarter 7 Morning Glory Circle Santa Fe, New México 87506 USA Phone: 505 660 5251 Fax: 505 820 0410 info@santafeassociates.com www.santafeassociates.com Quito Office La

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Introducción a la. Taller de Seguridad Informá tica

Introducción a la. Taller de Seguridad Informá tica Introducción a la Seguridad Informá tica Conceptos Bá sicos La Seguridad Informá tica en números 1 Conceptos bá sicos: Qué es la seguridad de la información? n? La información es un recurso que, como el

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Sistemas de Gestión de la Seguridad de la Información.

Sistemas de Gestión de la Seguridad de la Información. Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional

Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional Versión 1 Julio-2005 Política Modelo Documento Público A fin de garantizar la autoría e integridad

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Gobierno de Seguridad de la Información

Gobierno de Seguridad de la Información Gobierno de Seguridad de la Información Paul Ochoa Arévalo, MSIA, MBA, CISA Auditor de Sistemas, Banco del Austro S.A Catedrático, U. de Cuenca - U. del Azuay Conferencista Biografía Paúl Ochoa, Auditor

Más detalles

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ 1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración

Más detalles

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 YEIMMY JULIETH GARZON CODIGO 2012250071 CLAUDIA MYLENA SUAREZ CODIGO

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 OFERTA DE SERVICIOS Bordoy & Soto Consultores Octubre 2014 CONTENIDO Pagina 1 INTRODUCCIÓN 3 2 OBJETIVOS 5 3 A QUIÉN ESTA DIRIGIDO 5 4 DURACIÓN

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD

GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD 1 INDICE INTRODUCCIÓN...6 I. Norma ISO 17799...6 1. Qué es la seguridad de la información?...6 2. Por qué es necesaria la seguridad de la información...6

Más detalles

ESQUEMA 1 DE NORMA IRAM-ISO IEC 17799

ESQUEMA 1 DE NORMA IRAM-ISO IEC 17799 INSTITUTO ARGENTINO DE NORMALIZACIÓN ESQUEMA 1 ISO IEC 17799 2002 DE NORMA IRAM-ISO IEC 17799 Tecnología de la información Código de práctica para la administración de la seguridad de la información Information

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Anexo Q. Procesos y Procedimientos

Anexo Q. Procesos y Procedimientos Anexo Q Procesos y Procedimientos ÌNDICE. 1. Introducción... 3 2. Proceso de Directorio Activo... 4 3. Proceso de Correo Electrónico... 5 4. Proceso de Mensajería Instantánea... 6 5. Proceso de Sharepoint

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles