DIA 21 Taller: Implantación ISO en el entorno empresarial PYME

Tamaño: px
Comenzar la demostración a partir de la página:

Download "DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME"

Transcripción

1 DIA 21 Taller: Implantación ISO en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación ALEJANDRO GÓMEZ BERMEJO GERENTE DE SOLUCIONES MNEMO FECHA 21 Noviembre º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD

2 Índice 1. Necesidad y beneficios de la gestión de incidentes 2. Metodología para la gestión de incidentes 3. Metodología para la continuidad del negocio 4. Buenas prácticas para la gestión de incidentes 5. Buenas prácticas para la continuidad del negocio 6. Integración con el SGSI 2

3 1. NECESIDAD Y BENEFICIOS DE LA GESTIÓN DE INCIDENTES Y LA CONTINUIDAD DEL NEGOCIO NECESIDAD La frecuencia creciente de incidentes de seguridad de la información, rapidez de propagación e impacto hacen necesaria la definición e implantación de buenas prácticas de gestión de incidentes y continuidad del negocio que contemplen políticas, recursos y procedimientos de seguridad específicos. Algunos beneficios de la gestión de incidentes y la continuidad del negocio son: Responder de modo sistemático ante incidentes. Adoptar medidas de respuesta adecuadas a cada incidente BENEFICIOS Favorecer la continuidad del negocio ante incidentes de seguridad con objeto de minimizar los impactos en la empresa. Facilitar la identificación y asignación de presupuestos adecuados para la gestión de incidentes y la continuidad del negocio. Utilizar la información y conocimiento obtenido en la gestión de incidentes para establecer métricas y realizar una mejor gestión de futuros incidentes. 3

4 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Metodología Gestión de incidentes Preparación Detección y análisis Contención, resolución, recuperación Acciones posteriores al cierre Referencias: Norma ISO 27001, ISO 27002, ISO 18044, NIST SP800-61, NIST SP

5 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Preparación Preparación Las actividades de preparación deben contemplar tanto el establecimiento de la capacidad de respuesta a incidentes como la prevención de incidentes. Establecimiento de procedimientos de gestión Los incidentes se pueden originar y materializar de maneras muy distintas. Se debe desarrollar una política de gestión de incidentes y procedimientos para gestionar los tipos de incidentes con más probabilidad de ocurrencia o mayor impacto previsible en la empresa. Establecimiento de capacidad de respuesta. Se debe prever la disponibilidad de: Personal (equipo, personas individuales) para la gestión de incidentes: gestores, técnicos, responsabilidades, contactos Documentación de sistemas y redes: inventario de activos, diagramas, procedimientos y ficheros de configuración. Informes de actividad considerada normal ( baseline ) de redes y sistemas que permitan detectar actividades anómalas. CERTs en los que puede apoyarse la empresa y su capacidad de respuesta. 5

6 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Detección y análisis Las actividades de detección y análisis incluyen la clasificación de incidentes que pueden afectar a la empresa, detección de signos indicadores y precursores de incidentes, análisis, priorización, notificación y documentación de los incidentes. Los signos de un incidente pueden ser de dos tipos: Signos indicadores: signos de que un incidente ha ocurrido o puede estar ocurriendo; e.g.: alerta de un sensor avisando de desbordamiento de buffer en un servidor, antivirus informando de sistema infectado, caída total de un servidor, accesos lentos y generalizados a servicios o sistemas, etc Signos precursores: signos de que un incidente puede ocurrir en el futuro; e.g.; barrido de puertos, anuncio de exploits que pueden aprovechar vulnerabilidades existentes en la empresa, amenazas de ataque dirigidas a la empresa anunciadas por hackers, Los indicadores deberían poner en marcha acciones reactivas previstas por la empresa. Los precursores deberían ser tratados con acciones preventivas. 6

7 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Detección y análisis Fuentes de precursores e indicadores Algunas fuentes de precursores e indicadores que la empresa debe considerar son: Alertas de software: sistemas de detección y prevención de intrusiones IDS/IPS, antivirus, sistemas de monitorización de servicios. Logs de sistemas operativos, dispositivos de red y aplicaciones. Información pública: nuevas vulnerabilidades y exploits, sitios web y listas de correo de profesionales donde se comparten experiencias de incidentes en distintas organizaciones. Personal: personas de la empresa y de otras organizaciones informando de la materialización de posibles incidentes. CERT/CSIRT: organismos de información y apoyo para la respuesta incidentes de seguridad como CERT de INTECO. 7

8 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Detección y análisis Algunas actividades necesarias para realizar el análisis de incidentes de seguridad: Conocer el perfil y actividad de las redes y sistemas Establecer las características de la actividad normal de las redes y sistemas de la empresa. De este modo, se pueden detectar cambios que puedan ser indicadores o precursores de incidentes. Centralizar, correlacionar y conservar información de logs. Establecer uno o más servidores de la empresa donde se puedan consolidar, correlacionar y conservar copias de los ficheros de logs de los distintos sistemas de la empresa como cortafuegos, dispositivos de comunicaciones, servidores y sistemas de detección o prevención de intrusiones. Correlacionar la información de logs. Contacto con otros recursos internos o externos Contactar con recursos internos expertos en seguridad (si existen) ó externos como organizaciones tipo CERT, subcontratistas y fabricantes. 8

9 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Detección y análisis Clasificación y priorización de incidentes Una vez detectado un incidente, se clasifica en uno de los tipos de incidentes contemplados en los procedimientos de gestión. Si el incidente no se puede clasificar se realizará el tratamiento mediante un procedimiento genérico de gestión de incidentes. Las características del incidente, número, tipo de recursos afectados y criticidad de éstos determinará el impacto previsible para el negocio de la empresa y el orden de prioridad en el tratamiento de los incidentes caso de presentarse más de uno simultáneamente. Notificación del incidente Una vez un incidente ha sido detectado, analizado y priorizado, el equipo de respuesta ante incidentes realiza la notificación del incidente a las personas adecuadas dentro de la empresa. El incidente puede notificarse a otras organizaciones como CERTs o clientes que puedan ser afectados por el incidente. 9

10 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Contención Las estrategias de contención de incidentes varían dependiendo del tipo de incidente e impacto previsible en la empresa. Puede ser necesario tomar decisiones como deshabilitar servicios, apagar sistemas ó desconectar equipos de la red antes de que el impacto pueda extenderse a la empresa. Las decisiones se pueden facilitar si las estrategias y procedimientos para contener los distintos tipos de incidentes han sido determinadas previamente. La empresa tiene que analizar los impactos previsibles para cada tipo de incidente y definir estrategias de contención en función del nivel de riesgo considerado como aceptable. Se deben recoger evidencias de los incidentes para su utilización con fines de análisis y como posibles pruebas caso de ser requerido el inicio de acciones legales. Las evidencias pueden ser de sistemas de información (ficheros, imágenes de discos, equipos, ) o cualquier otra que se considere relevante para el análisis del incidente o para inicio de procedimientos legales. 10

11 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Resolución y recuperación Una vez ha sido realizada la contención del incidente, hay que verificar si es necesario eliminar o limpiar componentes asociados al incidente y proceder a la recuperación de la situación de operación normal en la empresa. En las actividades de resolución se realiza la eliminación de los componentes asociados al incidente y otras actividades que se consideren adecuadas para resolver el incidente o prevenir futuras ocurrencias. Actividades habituales de resolución pueden ser la instalación de parches de seguridad, cambios de reglas de cortafuegos o de listas de acceso en dispositivos de red. Las actividades de recuperación pueden incluir acciones como recuperar sistemas completos, restaurar back-ups, reemplazar componentes afectados con versiones desinfectadas, instalar actualizaciones de software, cambiar contraseñas o reforzar el perímetro de la red revisando configuraciones de cortafuegos. 11

12 METODOLOGÍAS 2. METODOLOGÍA Y BUENAS PRÁCTICAS PARA LA GESTIÓN PARA LA DE GESTIÓN INCIDENTES INCIDENTES Acciones posteriores al cierre Información de cierre de incidentes La empresa debe hacer un estudio de recapitulación analizando las características de los incidentes, impacto y acciones emprendidas para la detección, análisis y recuperación. Se recomienda completar un formulario que describa los datos anteriores e incluya origen y persona que detecta el incidente, servicios y sistemas afectados, fecha/hora de inicio y cierre, responsable de la gestión del incidente y acciones tomadas para resolución. Periódicamente se deben analizar las actividades realizadas y estudiar posibles mejoras o cambios que deban realizarse ante futuros incidentes. Métricas y coste Se recomienda recoger y analizar métricas sobre los tipos y frecuencia de incidentes, impactos (financieros, obligaciones legales, imagen frente a terceros, operativos), métodos de resolución, coste de la resolución de incidentes y acciones correctivas o preventivas. 12

13 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Metodología Continuidad del negocio Analizar la empresa Seleccionar y diseñar estrategia Desarrollar e implantar estrategia Probar, mantener, revisar Referencias: Norma ISO 27001, ISO 27002, BS

14 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Analizar y comprender la empresa Análisis de impacto de los servicios Se debe realizar un análisis de los servicios y procesos de la empresa. Este análisis es conocido también como BIA (Business Impact Analysis). El análisis BIA permite determinar los sistemas de información y recursos sobre los que se apoyan los servicios clave y el impacto que tendría su prestación la falta de disponibilidad de los mismos. Se recomienda analizar distintos tiempos de recuperación considerando el impacto de la falta de disponibilidad en los servicios y procesos de la empresa. Identificación de servicios críticos Para cada servicio clave analizado se generarán tablas de impacto para las funciones, actividades y recursos que soportan la prestación de dicho servicio y por tanto su criticidad. Los servicios clave se clasificarán por distintos niveles de criticidad (por ejemplo: Muy Alta, Alta, Media, Baja). El nivel de criticidad determinará la estrategia de respaldo para cada servicio considerado. 14

15 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Analizar y comprender la empresa Análisis de riesgos y recomendaciones de mejora Se recomienda realizar un análisis de riesgos sobre los servicios críticos según hayan sido determinados en el análisis de impacto BIA y sobre los sistemas de información y comunicaciones en los que estos se apoyan. Este análisis aportará información para poder actuar con medidas: Correctivas: Para apoyar la determinación de la estrategia de continuidad más adecuada en caso de contingencias. Preventivas: Para emprender oportunidades de mejora que puedan disminuir la situación de riesgos actual. Las medidas de tipo correctivo y preventivo una vez planificadas e implantadas realimentarán de nuevo el análisis de riesgos de la empresa. El análisis de riesgos favorecerá la determinación del alcance del plan de contingencias de la empresa: ubicaciones, servicios, aplicaciones, incidentes. 15

16 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Seleccionar y diseñar la estrategia de continuidad de negocio Alternativas estratégicas Dependiendo de la criticidad del servicio, proceso o sistema a respaldar, son posibles distintas soluciones de continuidad desde la redundancia de elementos críticos y contratos con tiempos de resolución garantizados hasta la disponibilidad de un centro de respaldo para los servicios más críticos. Cuando la estrategia de continuidad se base en la instalación propia o contratación de un centro de respaldo, se deben analizar las distintas variantes posibles de centro de respaldo. Diseño de la solución de continuidad El diseño de la solución de continuidad debería contemplar los siguientes aspectos: Resultados del análisis de riesgos Identificación de servicios críticos Tiempos máximo aceptable de no disponibilidad y objetivo de recuperación Escenarios de continuidad y posibles opciones tecnológicas Infraestructuras hardware y software necesarias Identificación de personal, procedimientos y parámetros de recuperación 16

17 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Desarrollar e implantar la estrategia de continuidad Recursos para la continuidad de servicios críticos Se deben determinar cuales son los recursos mínimos necesarios para la continuidad de los servicios críticos de la empresa en caso de contingencias. Para cada tipo de recurso (personal, sistemas, aplicaciones, ) se debe detallar el número requerido para cada rango de tiempo durante el cual es necesario dar continuidad del servicio. Especificación de requisitos para proveedores Se recomienda realizar una especificación de requisitos que incluirá las especificaciones de los elementos requeridos para la puesta en marcha de la estrategia de continuidad seleccionada incluído un posible centro de respaldo. Plan de contingencias La estrategia de continuidad debe quedar formalizada en un plan de contingencias que incluya el alcance del mismo, procedimientos, responsables, tiempos de recuperación y recursos para la continuidad. 17

18 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Probar, mantener y revisar Se deben realizar las pruebas, mantenimiento y revisión de la estrategia de continuidad, plan de contingencias y recursos requeridos por los servicios críticos incluídos en el alcance del plan de contingencias. Periódicamente, se debe revisar y actualizar: Alcance del Plan de Contingencias y adecuación a las necesidades y objetivos de la empresa. Eficacia y eficiencia de los procedimientos establecidos para supuestos de contingencia, realizando los cambios necesarios para garantizar la recuperación de los servicios y sistemas de información. Información que figura en el Plan de Contingencias es adecuada, completa y convenientemente actualizada. Riesgos y áreas de criticidad han sido contemplados adecuadamente y se han establecido medidas preventivas para minimizar dichos riesgos. Conocimiento, por parte de los integrantes de los diferentes equipos, de sus procedimientos de actuación y responsabilidades 18

19 METODOLOGÍAS 3. METODOLOGÍA Y BUENAS PARA PRÁCTICAS LA CONTINUIDAD PARA LA GESTIÓN DEL NEGOCIO DE INCIDENTES Probar, mantener y revisar La revisión del plan analizará y facilitará la introducción todas aquellas mejoras que resulten necesarias para optimizar la respuesta ante posibles incidentes. La evaluación de la gestión del incidente considerará, entre otros, los siguientes aspectos: Tiempo de reacción: - Evaluar la rapidez en la detección del incidente, verificando si las medidas técnicas de detección requieren algún tipo de mejora. - Verificar el tiempo empleado para la notificación y escalado del incidente. - Examinar los tiempos de implantación de las medidas de resolución del incidente. Efectividad de la estrategia de escalado y notificación: evaluar la efectividad en la escalado del incidente, verificando si es necesario incorporar información adicional de contacto o bien modificar alguno de los datos que figuran en los procedimientos de notificación establecidos. Efectividad de los procedimientos de recuperación: verificar que las medidas implantadas, la asignación de prioridades y los procedimientos de cada uno de los equipos son correctos y adecuados a las características de la empresa. 19

20 4. BUENAS PRÁCTICAS PARA LA GESTIÓN DE INCIDENTES Buenas prácticas ISO Controles sección Informar de eventos de la seguridad de la información Informar de los eventos de la seguridad de la información a través de los canales de gestión apropiados tan pronto como sea posible Informar de debilidades de la información Los empleados y contratistas deben ser informados de la necesidad de informar de cualquier observación o sospecha de incidente en servicios o sistemas de información Responsabilidades y procedimientos Las responsabilidades y procedimientos de gestión de incidentes deben estar establecidas para garantizar una respuesta rápida, efectiva y ordenada a los incidentes de seguridad Aprender de los incidentes de seguridad de la información Deben de implementarse mecanismos para permitir identificar y monitorizar los tipos, volúmenes y costes de los incidentes de seguridad de la información Recogida de evidencias Cuando se requieran actuaciones legales después de un incidente de seguridad, las evidencias deben ser recogidas, conservadas, y presentadas conforme a la jurisdicción relevante. 20

21 5. BUENAS PRÁCTICAS PARA LA CONTINUIDAD DEL NEGOCIO Buenas prácticas ISO Controles sección Proceso de gestión de continuidad de negocio Se debe implementar un proceso controlado para el desarrollo y mantenimiento de la continuidad de negocio en toda la organización orientado a los requerimientos de seguridad de la información necesarios para la continuidad de negocio de la organización Continuidad de negocio y valoración de riesgo Los eventos que pueden causar interrupciones a procesos de negocio deben ser identificados, así como la probabilidad e impacto de las interrupciones y sus consecuencias para la seguridad de la información Desarrollar e implantar planes de continuidad que incluyan la seguridad de la información Los planes deben ser desarrollados e implantados para mantener o restablecer las operaciones de negocio y asegurar la disponibilidad de la información al nivel adecuado y en los plazos requeridos una vez ocurrida una interrupción en los procesos críticos de negocio Marco para la planificación de la continuidad del negocio Se debe mantener un solo marco para los planes de continuidad de los negocios para garantizar que los planes sean uniformes e identificar prioridades para las pruebas y mantenimiento Pruebas, mantenimiento y re-evaluación de los planes de continuidad de negocio Los planes de continuidad de negocio deben ser probados y actualizados con regularidad para asegurar que están puestos al día y son efectivos. 21

22 METODOLOGÍAS Y BUENAS 6. INTEGRACIÓN PRÁCTICAS CON PARA EL LA SGSI GESTIÓN DE INCIDENTES Metodología Gestión de incidentes Preparación Detección y análisis Contención, resolución, recuperación Acciones posteriores al cierre Política Procedimientos Personal Diagramas Inventarios Configuración Detección de signos Analizar Clasificar Priorizar Notificar Definir estrategia Aplicar medidas de contención Eliminar, limpiar Vuelta a estado normal Recapitulación de acciones Informes Métricas y coste Acciones mejora SGSI Planificar Plan Implantar Do Revisar Check Mejorar Act 22

23 METODOLOGÍAS Y BUENAS 6. INTEGRACIÓN PRÁCTICAS CON PARA EL LA SGSI GESTIÓN DE INCIDENTES Metodología Continuidad del negocio Analizar la empresa Seleccionar y diseñar estrategia Desarrollar e implantar estrategia Probar, mantener, revisar Análisis de impacto BIA Servicios críticos Análisis de riesgos Acciones de mejora Alternativas para continuidad Diseño de la solución Recursos mínimos Especificación de continuidad Plan de contingencias Pruebas periódicas Mantenimiento Evaluación gestión Revisión Acciones mejora SGSI Planificar Plan Implantar Do Revisar Check Mejorar Act 23

24 PREGUNTAS? GRACIAS POR SU ATENCIÓN Alejandro Gómez Gerente soluciones 24

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Establecer los controles para

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Código: IFCT0109 Nivel de cualificación

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico.

1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico. Para la Gerencia de Negocios Estratégicos de SEGURIDAD ONCOR LTDA., es muy importante tener esta ventana de información, en la cual tratamos cada mes temas de gran sensibilidad para nuestros clientes en

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME INTECO CERT Área de e Confianza de INTECO Índice de la Jornada 1. El Instituto Nacional de las Tecnologías de la Comunicación,

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Seguridad en Sistemas Informáticos (SSI) Visión general de la seguridad informática

Seguridad en Sistemas Informáticos (SSI) Visión general de la seguridad informática 1 Seguridad en Sistemas Informáticos (SSI) Visión general de la seguridad informática Carlos Pérez Conde Departament d'informàtica Escola Técnica Superior d'enginyeria Universitat de València 2 Guión Riesgos

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

CICLO FORMATIVO DE GRADO MEDIO SISTEMAS MICROINFORMÁTICOS Y REDES (S.M.R.) SEGURIDAD INFORMÁTICA Programación didáctica

CICLO FORMATIVO DE GRADO MEDIO SISTEMAS MICROINFORMÁTICOS Y REDES (S.M.R.) SEGURIDAD INFORMÁTICA Programación didáctica CICLO FORMATIVO DE GRADO MEDIO SISTEMAS MICROINFORMÁTICOS Y REDES (S.M.R.) SEGURIDAD INFORMÁTICA Programación didáctica CURSO 2010-2011 I.E.S. JOSE LUIS SAMPEDRO INMACULADA BELÉN MAS Departamento de Informática

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Técnico en Seguridad en Redes Locales

Técnico en Seguridad en Redes Locales Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad en Redes Locales Duración: 300 horas Precio: 200 * Modalidad: Online * Materiales didácticos, titulación y gastos de envío incluidos.

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO PAGINA: 1 de 7 OBJETIVO Identificar los riesgos, realizar el análisis y valoración de los mismos, con el fin de determinar las acciones de mitigación, que permitan intervenir los eventos internos y externos,

Más detalles

CUESTIONARIO AUDITORIAS ISO 9001 2

CUESTIONARIO AUDITORIAS ISO 9001 2 CUESTIONARIO AUDITORIAS ISO 9001 Ignacio Gómez hederaconsultores.blogspot.com CUESTIONARIO AUDITORIAS ISO 9001 2 4. SISTEMA DE GESTIÓN DE LA CALIDAD 4.1 Requisitos generales Se encuentran identificados

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] *[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 2 Junio 2011 Índice Servicio Integral

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

1. Seguridad, Respaldo, Continuidad Informática y Alta Disponibilidad ante Desastres

1. Seguridad, Respaldo, Continuidad Informática y Alta Disponibilidad ante Desastres Seguridad, Respaldo, Continuidad y Alta Disponibilidad en el ámbito de la Administración Electrónica: Diseño del Centro de Respaldo y Hospedaje de la Junta de Andalucía José F. Quesada Gabinete de Sistemas

Más detalles

PROGRAMA INTERNO DE PROTECCIÓN CIVIL

PROGRAMA INTERNO DE PROTECCIÓN CIVIL Abril 2009 SECRETARÍA DE GOBERNACIÓN SISTEMA NACIONAL DE PROTECCIÓN CIVIL COORDINACIÓN GENERAL DE PROTECCIÓN CIVIL DIRECCIÓN GENERAL DE PROTECCIÓN CIVIL PRESENTACIÓN El Programa Interno de Protección Civil,

Más detalles

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA

Más detalles

SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL

SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL DENOMINACIÓN DEL TÍTULO (ES) Técnico Superior en Administración de Sistemas Informáticos en Red TRADUCCIÓN DE LA DENOMINACION

Más detalles

www.hederaconsultores.com // hedera@hederaconsultores.com http://hederaconsultores.blogspot.com

www.hederaconsultores.com // hedera@hederaconsultores.com http://hederaconsultores.blogspot.com CUESTIONARIO AUDITORÍA INTERNA ISO 9001:2008 Página 1 de 19 4. SISTEMA DE GESTIÓN DE LA CALIDAD 4.1 Requisitos generales Se encuentran identificados los procesos del sistema? Se identifican y controlan

Más detalles

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA

Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Sistema Gestión Continuidad del Negocio (ISO 22301) Luis Gustavo Rojas, MBA, CPA, CISA Agenda Antecedentes Situaciones que no se consideran regularmente Factores críticos de éxito Sistema de Gestión de

Más detalles

SEGURIDAD GESTIONADA

SEGURIDAD GESTIONADA SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

Mantenimiento de Sistemas de Información

Mantenimiento de Sistemas de Información de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS

1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS 1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS OBJETIVOS La formación del módulo contribuye a alcanzar los objetivos generales de este ciclo formativo que se relacionan a continuación: a. Analizar la

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II

UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II UNIVERSIDAD NACIONAL DE COLOMBIA SEDE MANIZALES ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS AUDITORIA DE SISTEMAS II TRABAJO: COMPILACIÓN BIBLIOGRÁFICA ESTÁNDARES Y DIRECTRICES DE AUDITORIA PRESENTADO POR:

Más detalles

Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa. Martes, 15 de Marzo de 2005

Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa. Martes, 15 de Marzo de 2005 Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa Martes, 15 de Marzo de 2005 1 1 2 3 4 5 6 7 Presentación de IZFE Motivación del Plan Director de Seguridad Enfoque

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

CUESTIONARIO AUDITORIAS ISO 14001 2

CUESTIONARIO AUDITORIAS ISO 14001 2 CUESTIONARIO AUDITORIAS ISO 14001 Ignacio Gómez hederaconsultores.blogspot.com CUESTIONARIO AUDITORIAS ISO 14001 2 4. REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL 4.1 Requisitos generales Se encuentra definido

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management Jornadas Rioplatenses de Auditoría Interna 2010 Agenda / Contenido Motivación Visión Moderna de BCM Aspectos Relevantes para Auditores Introducción a la Norma BS25999 Motivación Visión Moderna de BCM Aspectos

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Jornadas sobre Informática y Derecho. Planes de seguridad - Planes de contingencia

Jornadas sobre Informática y Derecho. Planes de seguridad - Planes de contingencia COLEGIO OFICIAL DE INGENIEROS EN INFORMÁTICA DE LA COMUNIDAD VALENCIANA Jornadas sobre Informática y Derecho Mesa redonda: Planes de contigencia. Planes de seguridad - Planes de contingencia Autor: D.

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 138 Viernes 10 de junio de 2011 Sec. I. Pág. 59197 ANEXO III I. IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD Denominación: Seguridad informática Código: IFCT0109 Familia Profesional: Informática

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Gobierno de Seguridad de la Información

Gobierno de Seguridad de la Información Gobierno de Seguridad de la Información Paul Ochoa Arévalo, MSIA, MBA, CISA Auditor de Sistemas, Banco del Austro S.A Catedrático, U. de Cuenca - U. del Azuay Conferencista Biografía Paúl Ochoa, Auditor

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 19 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 6 Situación Contraste externo Actualización

Más detalles