DIA 21 Taller: Implantación ISO en el entorno empresarial PYME

Tamaño: px
Comenzar la demostración a partir de la página:

Download "DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME"

Transcripción

1 DIA 21 Taller: Implantación ISO en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación ALEJANDRO GÓMEZ BERMEJO GERENTE DE SOLUCIONES MNEMO FECHA 21 Noviembre º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. Necesidad y beneficios de la gestión de incidentes 2. Metodología para la gestión de incidentes 3. Metodología para la continuidad del negocio 4. Buenas prácticas para la gestión de incidentes 5. Buenas prácticas para la continuidad del negocio 6. Integración con el SGSI 2

3 1. NECESIDAD Y BENEFICIOS DE LA GESTIÓN DE INCIDENTES Y LA CONTINUIDAD DEL NEGOCIO NECESIDAD La frecuencia creciente de incidentes de seguridad de la información, rapidez de propagación e impacto hacen necesaria la definición e implantación de buenas prácticas de gestión de incidentes y continuidad del negocio que contemplen políticas, recursos y procedimientos de seguridad específicos. Algunos beneficios de la gestión de incidentes y la continuidad del negocio son: Responder de modo sistemático ante incidentes. Adoptar medidas de respuesta adecuadas a cada incidente BENEFICIOS Favorecer la continuidad del negocio ante incidentes de seguridad con objeto de minimizar los impactos en la empresa. Facilitar la identificación y asignación de presupuestos adecuados para la gestión de incidentes y la continuidad del negocio. Utilizar la información y conocimiento obtenido en la gestión de incidentes para establecer métricas y realizar una mejor gestión de futuros incidentes. 3

4 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Metodología Gestión de incidentes Preparación Detección y análisis Contención, resolución, recuperación Acciones posteriores al cierre Referencias: Norma ISO 27001, ISO 27002, ISO 18044, NIST SP800-61, NIST SP

5 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Preparación Preparación Las actividades de preparación deben contemplar tanto el establecimiento de la capacidad de respuesta a incidentes como la prevención de incidentes. Establecimiento de procedimientos de gestión Los incidentes se pueden originar y materializar de maneras muy distintas. Se debe desarrollar una política de gestión de incidentes y procedimientos para gestionar los tipos de incidentes con más probabilidad de ocurrencia o mayor impacto previsible en la empresa. Establecimiento de capacidad de respuesta. Se debe prever la disponibilidad de: Personal (equipo, personas individuales) para la gestión de incidentes: gestores, técnicos, responsabilidades, contactos Documentación de sistemas y redes: inventario de activos, diagramas, procedimientos y ficheros de configuración. Informes de actividad considerada normal ( baseline ) de redes y sistemas que permitan detectar actividades anómalas. CERTs en los que puede apoyarse la empresa y su capacidad de respuesta. 5

6 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Detección y análisis Las actividades de detección y análisis incluyen la clasificación de incidentes que pueden afectar a la empresa, detección de signos indicadores y precursores de incidentes, análisis, priorización, notificación y documentación de los incidentes. Los signos de un incidente pueden ser de dos tipos: Signos indicadores: signos de que un incidente ha ocurrido o puede estar ocurriendo; e.g.: alerta de un sensor avisando de desbordamiento de buffer en un servidor, antivirus informando de sistema infectado, caída total de un servidor, accesos lentos y generalizados a servicios o sistemas, etc Signos precursores: signos de que un incidente puede ocurrir en el futuro; e.g.; barrido de puertos, anuncio de exploits que pueden aprovechar vulnerabilidades existentes en la empresa, amenazas de ataque dirigidas a la empresa anunciadas por hackers, Los indicadores deberían poner en marcha acciones reactivas previstas por la empresa. Los precursores deberían ser tratados con acciones preventivas. 6

7 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Detección y análisis Fuentes de precursores e indicadores Algunas fuentes de precursores e indicadores que la empresa debe considerar son: Alertas de software: sistemas de detección y prevención de intrusiones IDS/IPS, antivirus, sistemas de monitorización de servicios. Logs de sistemas operativos, dispositivos de red y aplicaciones. Información pública: nuevas vulnerabilidades y exploits, sitios web y listas de correo de profesionales donde se comparten experiencias de incidentes en distintas organizaciones. Personal: personas de la empresa y de otras organizaciones informando de la materialización de posibles incidentes. CERT/CSIRT: organismos de información y apoyo para la respuesta incidentes de seguridad como CERT de INTECO. 7

8 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Detección y análisis Algunas actividades necesarias para realizar el análisis de incidentes de seguridad: Conocer el perfil y actividad de las redes y sistemas Establecer las características de la actividad normal de las redes y sistemas de la empresa. De este modo, se pueden detectar cambios que puedan ser indicadores o precursores de incidentes. Centralizar, correlacionar y conservar información de logs. Establecer uno o más servidores de la empresa donde se puedan consolidar, correlacionar y conservar copias de los ficheros de logs de los distintos sistemas de la empresa como cortafuegos, dispositivos de comunicaciones, servidores y sistemas de detección o prevención de intrusiones. Correlacionar la información de logs. Contacto con otros recursos internos o externos Contactar con recursos internos expertos en seguridad (si existen) ó externos como organizaciones tipo CERT, subcontratistas y fabricantes. 8

9 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Detección y análisis Clasificación y priorización de incidentes Una vez detectado un incidente, se clasifica en uno de los tipos de incidentes contemplados en los procedimientos de gestión. Si el incidente no se puede clasificar se realizará el tratamiento mediante un procedimiento genérico de gestión de incidentes. Las características del incidente, número, tipo de recursos afectados y criticidad de éstos determinará el impacto previsible para el negocio de la empresa y el orden de prioridad en el tratamiento de los incidentes caso de presentarse más de uno simultáneamente. Notificación del incidente Una vez un incidente ha sido detectado, analizado y priorizado, el equipo de respuesta ante incidentes realiza la notificación del incidente a las personas adecuadas dentro de la empresa. El incidente puede notificarse a otras organizaciones como CERTs o clientes que puedan ser afectados por el incidente. 9

10 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Contención Las estrategias de contención de incidentes varían dependiendo del tipo de incidente e impacto previsible en la empresa. Puede ser necesario tomar decisiones como deshabilitar servicios, apagar sistemas ó desconectar equipos de la red antes de que el impacto pueda extenderse a la empresa. Las decisiones se pueden facilitar si las estrategias y procedimientos para contener los distintos tipos de incidentes han sido determinadas previamente. La empresa tiene que analizar los impactos previsibles para cada tipo de incidente y definir estrategias de contención en función del nivel de riesgo considerado como aceptable. Se deben recoger evidencias de los incidentes para su utilización con fines de análisis y como posibles pruebas caso de ser requerido el inicio de acciones legales. Las evidencias pueden ser de sistemas de información (ficheros, imágenes de discos, equipos, ) o cualquier otra que se considere relevante para el análisis del incidente o para inicio de procedimientos legales. 10

11 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Resolución y recuperación Una vez ha sido realizada la contención del incidente, hay que verificar si es necesario eliminar o limpiar componentes asociados al incidente y proceder a la recuperación de la situación de operación normal en la empresa. En las actividades de resolución se realiza la eliminación de los componentes asociados al incidente y otras actividades que se consideren adecuadas para resolver el incidente o prevenir futuras ocurrencias. Actividades habituales de resolución pueden ser la instalación de parches de seguridad, cambios de reglas de cortafuegos o de listas de acceso en dispositivos de red. Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar back-ups, reemplazar componentes afectados con versiones desinfectadas, instalar actualizaciones de software, cambiar contraseñas o reforzar el perímetro de la red revisando configuraciones de cortafuegos. 11

12 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Acciones posteriores al cierre Información de cierre de incidentes La empresa debe hacer un estudio de recapitulación analizando las características de los incidentes, impacto y acciones emprendidas para la detección, análisis y recuperación. Se recomienda completar un formulario que describa los datos anteriores e incluya origen y persona que detecta el incidente, servicios y sistemas afectados, fecha/hora de inicio y cierre, responsable de la gestión del incidente y acciones tomadas para resolución. Periódicamente se deben analizar las actividades realizadas y estudiar posibles mejoras o cambios que deban realizarse ante futuros incidentes. Métricas y coste Se recomienda recoger y analizar métricas sobre los tipos y frecuencia de incidentes, impactos (financieros, obligaciones legales, imagen frente a terceros, operativos), métodos de resolución, coste de la resolución de incidentes y acciones correctivas o preventivas. 12

13 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Metodología Continuidad del negocio Analizar la empresa Seleccionar y diseñar estrategia Desarrollar e implantar estrategia Probar, mantener, revisar Referencias: Norma ISO 27001, ISO 27002, BS

14 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Analizar y comprender la empresa Análisis de impacto de los servicios Se debe realizar un análisis de los servicios y procesos de la empresa. Este análisis es conocido también como BIA (Business Impact Analysis). El análisis BIA permite determinar los sistemas de información y recursos sobre los que se apoyan los servicios clave y el impacto que tendría su prestación la falta de disponibilidad de los mismos. Se recomienda analizar distintos tiempos de recuperación considerando el impacto de la falta de disponibilidad en los servicios y procesos de la empresa. Identificación de servicios críticos Para cada servicio clave analizado se generarán tablas de impacto para las funciones, actividades y recursos que soportan la prestación de dicho servicio y por tanto su criticidad. Los servicios clave se clasificarán por distintos niveles de criticidad (por ejemplo: Muy Alta, Alta, Media, Baja). El nivel de criticidad determinará la estrategia de respaldo para cada servicio considerado. 14

15 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Analizar y comprender la empresa Análisis de riesgos y recomendaciones de mejora Se recomienda realizar un análisis de riesgos sobre los servicios críticos según hayan sido determinados en el análisis de impacto BIA y sobre los sistemas de información y comunicaciones en los que estos se apoyan. Este análisis aportará información para poder actuar con medidas: Correctivas: Para apoyar la determinación de la estrategia de continuidad más adecuada en caso de contingencias. Preventivas: Para emprender oportunidades de mejora que puedan disminuir la situación de riesgos actual. Las medidas de tipo correctivo y preventivo una vez planificadas e implantadas realimentarán de nuevo el análisis de riesgos de la empresa. El análisis de riesgos favorecerá la determinación del alcance del plan de contingencias de la empresa: ubicaciones, servicios, aplicaciones, incidentes. 15

16 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Seleccionar y diseñar la estrategia de continuidad de negocio Alternativas estratégicas Dependiendo de la criticidad del servicio, proceso o sistema a respaldar, son posibles distintas soluciones de continuidad desde la redundancia de elementos críticos y contratos con tiempos de resolución garantizados hasta la disponibilidad de un centro de respaldo para los servicios más críticos. Cuando la estrategia de continuidad se base en la instalación propia o contratación de un centro de respaldo, se deben analizar las distintas variantes posibles de centro de respaldo. Diseño de la solución de continuidad El diseño de la solución de continuidad debería contemplar los siguientes aspectos: Resultados del análisis de riesgos Identificación de servicios críticos Tiempos máximo aceptable de no disponibilidad y objetivo de recuperación Escenarios de continuidad y posibles opciones tecnológicas Infraestructuras hardware y software necesarias Identificación de personal, procedimientos y parámetros de recuperación 16

17 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Desarrollar e implantar la estrategia de continuidad Recursos para la continuidad de servicios críticos Se deben determinar cuales son los recursos mínimos necesarios para la continuidad de los servicios críticos de la empresa en caso de contingencias. Para cada tipo de recurso (personal, sistemas, aplicaciones, ) se debe detallar el número requerido para cada rango de tiempo durante el cual es necesario dar continuidad del servicio. Especificación de requisitos para proveedores Se recomienda realizar una especificación de requisitos que incluirá las especificaciones de los elementos requeridos para la puesta en marcha de la estrategia de continuidad seleccionada incluído un posible centro de respaldo. Plan de contingencias La estrategia de continuidad debe quedar formalizada en un plan de contingencias que incluya el alcance del mismo, procedimientos, responsables, tiempos de recuperación y recursos para la continuidad. 17

18 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Probar, mantener y revisar Se deben realizar las pruebas, mantenimiento y revisión de la estrategia de continuidad, plan de contingencias y recursos requeridos por los servicios críticos incluídos en el alcance del plan de contingencias. Periódicamente, se debe revisar y actualizar: Alcance del Plan de Contingencias y adecuación a las necesidades y objetivos de la empresa. Eficacia y eficiencia de los procedimientos establecidos para supuestos de contingencia, realizando los cambios necesarios para garantizar la recuperación de los servicios y sistemas de información. Información que figura en el Plan de Contingencias es adecuada, completa y convenientemente actualizada. Riesgos y áreas de criticidad han sido contemplados adecuadamente y se han establecido medidas preventivas para minimizar dichos riesgos. Conocimiento, por parte de los integrantes de los diferentes equipos, de sus procedimientos de actuación y responsabilidades 18

19 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Probar, mantener y revisar La revisión del plan analizará y facilitará la introducción todas aquellas mejoras que resulten necesarias para optimizar la respuesta ante posibles incidentes. La evaluación de la gestión del incidente considerará, entre otros, los siguientes aspectos: Tiempo de reacción: - Evaluar la rapidez en la detección del incidente, verificando si las medidas técnicas de detección requieren algún tipo de mejora. - Verificar el tiempo empleado para la notificación y escalado del incidente. - Examinar los tiempos de implantación de las medidas de resolución del incidente. Efectividad de la estrategia de escalado y notificación: evaluar la efectividad en la escalado del incidente, verificando si es necesario incorporar información adicional de contacto o bien modificar alguno de los datos que figuran en los procedimientos de notificación establecidos. Efectividad de los procedimientos de recuperación: verificar que las medidas implantadas, la asignación de prioridades y los procedimientos de cada uno de los equipos son correctos y adecuados a las características de la empresa. 19

20 4. BUENAS PRÁCTICAS PARA LA GESTIÓN DE INCIDENTES Buenas prácticas ISO Controles sección Informar de eventos de la seguridad de la información Informar de los eventos de la seguridad de la información a través de los canales de gestión apropiados tan pronto como sea posible Informar de debilidades de la información Los empleados y contratistas deben ser informados de la necesidad de informar de cualquier observación o sospecha de incidente en servicios o sistemas de información Responsabilidades y procedimientos Las responsabilidades y procedimientos de gestión de incidentes deben estar establecidas para garantizar una respuesta rápida, efectiva y ordenada a los incidentes de seguridad Aprender de los incidentes de seguridad de la información Deben de implementarse mecanismos para permitir identificar y monitorizar los tipos, volúmenes y costes de los incidentes de seguridad de la información Recogida de evidencias Cuando se requieran actuaciones legales después de un incidente de seguridad, las evidencias deben ser recogidas, conservadas, y presentadas conforme a la jurisdicción relevante. 20

21 5. BUENAS PRÁCTICAS PARA LA CONTINUIDAD DEL NEGOCIO Buenas prácticas ISO Controles sección Proceso de gestión de continuidad de negocio Se debe implementar un proceso controlado para el desarrollo y mantenimiento de la continuidad de negocio en toda la organización orientado a los requerimientos de seguridad de la información necesarios para la continuidad de negocio de la organización Continuidad de negocio y valoración de riesgo Los eventos que pueden causar interrupciones a procesos de negocio deben ser identificados, así como la probabilidad e impacto de las interrupciones y sus consecuencias para la seguridad de la información Desarrollar e implantar planes de continuidad que incluyan la seguridad de la información Los planes deben ser desarrollados e implantados para mantener o restablecer las operaciones de negocio y asegurar la disponibilidad de la información al nivel adecuado y en los plazos requeridos una vez ocurrida una interrupción en los procesos críticos de negocio Marco para la planificación de la continuidad del negocio Se debe mantener un solo marco para los planes de continuidad de los negocios para garantizar que los planes sean uniformes e identificar prioridades para las pruebas y mantenimiento Pruebas, mantenimiento y re-evaluación de los planes de continuidad de negocio Los planes de continuidad de negocio deben ser probados y actualizados con regularidad para asegurar que están puestos al día y son efectivos. 21

22 METODOLOGÍAS Y BUENAS 6. INTEGRACIÓN PRÁCTICAS CON PARA EL LA SGSI GESTIÓN DE INCIDENTES Metodología Gestión de incidentes Preparación Detección y análisis Contención, resolución, recuperación Acciones posteriores al cierre Política Procedimientos Personal Diagramas Inventarios Configuración Detección de signos Analizar Clasificar Priorizar Notificar Definir estrategia Aplicar medidas de contención Eliminar, limpiar Vuelta a estado normal Recapitulación de acciones Informes Métricas y coste Acciones mejora SGSI Planificar Plan Implantar Do Revisar Check Mejorar Act 22

23 METODOLOGÍAS Y BUENAS 6. INTEGRACIÓN PRÁCTICAS CON PARA EL LA SGSI GESTIÓN DE INCIDENTES Metodología Continuidad del negocio Analizar la empresa Seleccionar y diseñar estrategia Desarrollar e implantar estrategia Probar, mantener, revisar Análisis de impacto BIA Servicios críticos Análisis de riesgos Acciones de mejora Alternativas para continuidad Diseño de la solución Recursos mínimos Especificación de continuidad Plan de contingencias Pruebas periódicas Mantenimiento Evaluación gestión Revisión Acciones mejora SGSI Planificar Plan Implantar Do Revisar Check Mejorar Act 23

24 PREGUNTAS? GRACIAS POR SU ATENCIÓN Alejandro Gómez Gerente soluciones 24

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

1. Seguridad, Respaldo, Continuidad Informática y Alta Disponibilidad ante Desastres

1. Seguridad, Respaldo, Continuidad Informática y Alta Disponibilidad ante Desastres Seguridad, Respaldo, Continuidad y Alta Disponibilidad en el ámbito de la Administración Electrónica: Diseño del Centro de Respaldo y Hospedaje de la Junta de Andalucía José F. Quesada Gabinete de Sistemas

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Código: IFCT0109 Nivel de cualificación

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 19 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 6 Situación Contraste externo Actualización

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II TRABAJO: COMPILACIÓN BIBLIOGRÁFICA ESTÁNDARES Y DIRECTRICES DE AUDITORIA PRESENTADO POR:

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS

ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS CUALIFICACIÓN PROFESIONAL ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS NIVEL DE CUALIFICACIÓN: 3 ÁREA COMPETENCIAL: INFORMATICA ÍNDICE 1. ESPECIFICACIÓN DE COMPETENCIA...3 1.1. COMPETENCIA GENERAL...3 1.2.

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Establecer los controles para

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] *[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 2 Junio 2011 Índice Servicio Integral

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

CICLO FORMATIVO DE GRADO MEDIO SISTEMAS MICROINFORMÁTICOS Y REDES (S.M.R.) SEGURIDAD INFORMÁTICA Programación didáctica

CICLO FORMATIVO DE GRADO MEDIO SISTEMAS MICROINFORMÁTICOS Y REDES (S.M.R.) SEGURIDAD INFORMÁTICA Programación didáctica CICLO FORMATIVO DE GRADO MEDIO SISTEMAS MICROINFORMÁTICOS Y REDES (S.M.R.) SEGURIDAD INFORMÁTICA Programación didáctica CURSO 2010-2011 I.E.S. JOSE LUIS SAMPEDRO INMACULADA BELÉN MAS Departamento de Informática

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 138 Viernes 10 de junio de 2011 Sec. I. Pág. 59197 ANEXO III I. IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD Denominación: Seguridad informática Código: IFCT0109 Familia Profesional: Informática

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

> Respuesta ante incidentes. > Antonio Sanz - ansanz@unizar.es > 25 / May / 11 - @antoniosanzalc

> Respuesta ante incidentes. > Antonio Sanz - ansanz@unizar.es > 25 / May / 11 - @antoniosanzalc > Respuesta ante incidentes > Antonio Sanz - ansanz@unizar.es > 25 / May / 11 - @antoniosanzalc Indice 2 > Respuesta ante incidentes > Continuidad de negocio Respuesta ante incidentes 3 > Ley de Murphy

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

Técnico en Seguridad en Redes Locales

Técnico en Seguridad en Redes Locales Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad en Redes Locales Duración: 300 horas Precio: 200 * Modalidad: Online * Materiales didácticos, titulación y gastos de envío incluidos.

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3]

Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3] INFORMÁTICA Y COMUNICACIONES Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3] Seguridad informática Contenidos I IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD DENOMINACIÓN...06 CÓDIGO...06

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

SEGURIDAD GESTIONADA

SEGURIDAD GESTIONADA SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Gobierno de Seguridad de la Información

Gobierno de Seguridad de la Información Gobierno de Seguridad de la Información Paul Ochoa Arévalo, MSIA, MBA, CISA Auditor de Sistemas, Banco del Austro S.A Catedrático, U. de Cuenca - U. del Azuay Conferencista Biografía Paúl Ochoa, Auditor

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Vulnerabilidades de los sistemas informáticos

Vulnerabilidades de los sistemas informáticos Vulnerabilidades de los sistemas informáticos formador Ezequiel Llarena Borges http://youtu.be/fdhayogalv4/ 1 Responsables de las vulnerabilidades que afectan a los sistemas informáticos formador Ezequiel

Más detalles

Presentación ITIL. Jornadas TIC - Mayo 2008

Presentación ITIL. Jornadas TIC - Mayo 2008 Presentación ITIL Jornadas TIC - Mayo 2008 1 Indice Introducción Introducción y Objetivos Objetivos Qué Qué es es ITIL? ITIL? Estructura Estructura Soporte Soporte del del Servicio Servicio Provisión Provisión

Más detalles

SGSI (Sistema de Gestión de Seguridad de la Información): La necesidad de los sistemas de gestión en tiempo real.

SGSI (Sistema de Gestión de Seguridad de la Información): La necesidad de los sistemas de gestión en tiempo real. SGSI (Sistema de Gestión de Seguridad de la Información): La necesidad de los sistemas de gestión en tiempo real. José M. Rosell Tejada. Socio-Director (jrosell@s2grupo.com) Antonio Villalón Huerta. Consultor

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico.

1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico. Para la Gerencia de Negocios Estratégicos de SEGURIDAD ONCOR LTDA., es muy importante tener esta ventana de información, en la cual tratamos cada mes temas de gran sensibilidad para nuestros clientes en

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Agenda Antecedentes Situaciones que no se consideran regularmente Factores críticos de éxito Sistema de Gestión de

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

Servicio HP de Colaboración en Seguridad para Empresas

Servicio HP de Colaboración en Seguridad para Empresas Servicio HP de Colaboración en Seguridad para Empresas Una solución de soporte completa y en colaboración para la gestión de la seguridad, pensada para las organizaciones encargadas de garantizar la seguridad

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

1. Seguridad de la Información... 3. 2. Servicios... 4

1. Seguridad de la Información... 3. 2. Servicios... 4 Guía de productos y servicios relacionados con la Seguridad de la Información INDICE DE CONTENIDO 1. Seguridad de la Información... 3 2. Servicios... 4 2.1 Implantación Sistema de Gestión de Seguridad

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 6. Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 6. Actualización Página 1 de 17 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 6 Situación Contraste externo Actualización

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope. DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3

Más detalles

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO PAGINA: 1 de 7 OBJETIVO Identificar los riesgos, realizar el análisis y valoración de los mismos, con el fin de determinar las acciones de mitigación, que permitan intervenir los eventos internos y externos,

Más detalles

MANTENIMIENTO DE SEGUNDO NIVEL EN SISTEMAS DE RADIOCOMUNICACIONES

MANTENIMIENTO DE SEGUNDO NIVEL EN SISTEMAS DE RADIOCOMUNICACIONES Página 1 de 24 CUALIFICACIÓN PROFESIONAL MANTENIMIENTO DE SEGUNDO NIVEL EN SISTEMAS DE RADIOCOMUNICACIONES Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC366_3 Versión 5 Situación RD

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

Gerencia informática. Tema: Operación del servicio. Autor: Osvaldo Puello Flórez

Gerencia informática. Tema: Operación del servicio. Autor: Osvaldo Puello Flórez Gerencia informática Tema: Operación del servicio Autor: Osvaldo Puello Flórez Propósito de la Operación El propósito principal de la operación del servicio es coordinar y ejecutar las actividades y los

Más detalles

1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS

1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS 1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS OBJETIVOS La formación del módulo contribuye a alcanzar los objetivos generales de este ciclo formativo que se relacionan a continuación: a. Analizar la

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

Gestión de Incidentes - Análisis Forense

Gestión de Incidentes - Análisis Forense Gestión de Incidentes - Análisis Forense Ing. Joaquín Louzao - CISSP, ISO 27001 LA Gerardo Geis - LPIC1 y 2, CCNA, CCNA-Sec, JNCIA-SSL Gabriel Silva CCNA, CCNA Wireless, pseries System Adm. IBM Networking

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 24 CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC152_3 Versión 5 Situación RD 1087/2005 Actualización Competencia

Más detalles

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 25 CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC153_3 Versión 5 Situación RD 1087/2005 Actualización Competencia general

Más detalles

RECOMENDACIONES PARA EL DESARROLLO DE UNA PLAN DE SEGURIDAD DE LA INFORMACIÓN

RECOMENDACIONES PARA EL DESARROLLO DE UNA PLAN DE SEGURIDAD DE LA INFORMACIÓN CENTRO DE EXCELENCIA DE SOFTWARE LIBRE DE CASTILLA-LA MANCHA JUNTA DE COMUNIDADES DE CASTILLA LA MANCHA. RECOMENDACIONES PARA EL DESARROLLO DE UNA PLAN DE SEGURIDAD DE LA INFORMACIÓN Autor del documento:

Más detalles

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA EMPRESA AGUAS DEL CHOCÓ

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA EMPRESA AGUAS DEL CHOCÓ SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA EMPRESA AGUAS DEL CHOCÓ Elaborado por: LUIS CARLOS PALACIOS MOSQUERA Jefe de Sistemas Aguas del Chocó Apoyo. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles