contenido » editorial » opinión » misión: crítica 14 Deje de comprar tecnología de seguridad (segunda parte) » conexiones Dirección General

Tamaño: px
Comenzar la demostración a partir de la página:

Download "contenido » editorial » opinión » misión: crítica 14 Deje de comprar tecnología de seguridad (segunda parte) » conexiones Dirección General"

Transcripción

1

2

3 contenido 15 AÑO 5, NÚMERO 2, 2014 Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Elia Fernández Torres Colaboradores Héctor Acevedo Juárez Ulises Castillo Hernández Miguel García Menéndez Imelda Flores Monterrosas Marcos Polanco Velasco Esteban San Román Canseco Eduardo P. Sánchez Díaz Carlos Villamizar Rodríguez Marketing y Producción Karla Trejo Cerrillo Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 5, número 2, 2014 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/ TC/10/ Domicilio de la Publicación: Av. Paseo de la Reforma 373 piso 7, Col. Cuauhtémoc, delegación Cuauhtémoc, México DF Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a » editorial» opinión 4 Editorial Héctor Acevedo Juárez 6 Consejos prácticos para la implementación de su SGSI Carlos Villamizar Rodríguez 10 Certificaciones en seguridad de la información Por dónde empezar? Esteban San Román Canseco 12 De ransomware y otros males Imelda Flores Monterrosas 28 COBIT 5 y el concepto de alineamiento Miguel García Menéndez» misión: crítica 14 Deje de comprar tecnología de seguridad (segunda parte) Ulises Castillo Hernández» conexiones 22 Desde la trinchera API: Un viejo concepto, un nuevo frente de batalla Marcos Polanco Velasco 24 En el pensar de... Ciberseguridad, más que un término de moda Eduardo P. Sánchez Díaz Abril - Junio

4 editorial Informe global sobre tecnología de la información Héctor Acevedo CISSP, CISA, CGEIT, ITIL y MCSE El pasado mes de abril el World Economic Forum liberó la edición 2014 de su Informe global sobre tecnología de la información (The Global Information Technology Report ), que por treceavo año presenta su Networked Readiness Index, una evaluación integral de cómo un país está aprovechando las tecnologías de información y comunicaciones (TIC) para mejorar la competitividad y el bienestar, con una calificación o índice que puede ir de 1 a 7. Aunque el reporte bien se presta para un artículo completo, quiero aquí solo resaltar qué países están en los primeros 15 lugares, de 148 evaluados, y qué posiciones ocupan España y las naciones latinoamericanas que entraron en la lista: Lugar País NRI 1 Finlandia Singapur Suecia Países Bajos Noruega Suiza EE.UU Hong Kong Reino Unido Corea Luxemburgo Alemania Dinamarca Taiwán Israel 5.42 Lugar País NRI 34 España Chile Panamá Costa Rica Uruguay Colombia Brasil México Ecuador Perú República Dominicana El Salvador Argentina Guatemala Paraguay Venezuela Honduras Bolivia Nicaragua 3.08 Lo interesante aquí es que ser una potencia económica no asegura estar en un mejor lugar: en la primera tabla EE.UU. está en la séptima posición y el Reino Unido en el noveno; en la segunda tabla Brasil (69) y México (79) tienen arriba seis naciones que van del 34 al 63. Lo que pareciera confirmar una máxima popular: no basta tener dinero, hay que saber cómo y en qué usarlo. Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes. Como siempre, muchas gracias por su atenta lectura. Atentamente Héctor Acevedo Juárez Editor en jefe 4 1 El reporte completo, en inglés, puede bajarse de reports/global-information-technology-report-2014

5

6 opinión Consejos prácticos para la implementación de su SGSI Carlos Villamizar Rodríguez CISA, CISM, CGEIT, CRISC, CobiT Foundation Certificate e ISO27001 LA / Según estadísticas de la International Organization for Standardization (ISO), al finalizar el año 2012 en todo el mundo se habían certificado 19,577 empresas en la Norma ISO27001: Sistema de Gestión de Seguridad de la Información (SGSI) 1. Asia oriental y Europa, con 10,373 y 6,384 empresas respectivamente, llevan una delantera significativa sobre otras regiones del mundo. Igualmente, desde 2006 hasta 2012 se observa un creciente incremento en el interés de las organizaciones por obtener su certificación en dicha norma, como se observa en la siguiente figura. 15,000 10,000 Asia oriental y Pacífico América del Norte Oriente Medio Europa Asia central Centro y Suramérica África ,

7 Mientras que la lista de los 10 países con mayor cantidad de empresas certificadas está encabezada por Japón, seguido del Reino Unido e India: Países certificados en ISO (Top 10) 1 Japón 7,199 2 Reino Unido 1,701 3 India 1,600 4 China 1,490 5 Rumania Taipei España Italia Alemania Estados Unidos 415 En América Latina al finalizar 2012 sólo teníamos 278 empresas certificadas en la Norma ISO27001:2005 (1.42% del total). Aunque nos encontramos a años luz de quienes están en el top 10, encontramos un panorama interesante y creciente en países como México, Colombia y Brasil, como se observa en la tabla siguiente: Argentina Barbados 1 1 Bolivia Brasil Chile Colombia Costa Rica Cuba Rep. Dominicana Ecuador El Salvador Guatemala Guyana 1 1 Honduras 1 1 Jamaica 1 1 México Panamá Perú Puerto Rico Trinidad 1 Uruguay Total por año He participado en los últimos cinco años en una veintena de proyectos de definición e implementación de sistemas de gestión de seguridad de la información (SGSI). Particularmente el año anterior tuve el orgullo de llevar a dos empresas en Colombia a la obtención de la certificación ISO27001:2005. Abril - Junio

8 En el devenir de la ejecución de estos proyectos he identificado 10 aspectos básicos para su culminación exitosa, por ello me atrevo a compartir con ustedes estos consejos, esperando que les sean de utilidad como lo han sido para mí después de haber sufrido también alguno que otro sinsabor: 1.Compromiso de la alta dirección. Para que la iniciativa entregue los resultados esperados es un requisito necesario el apoyo e involucramiento de la alta dirección, sin su apoyo formal real es casi imposible desarrollarlo y demostrar el logro de la conformidad en la implementación del SGSI. Aquellos proyectos que provienen de los sectores operativos o tácticos y no cuentan con el respaldo de la alta dirección tienen mayor posibilidad de fracaso. 2.Cada organización es un mundo diferente. Aun perteneciendo al mismo sector económico o a un mismo grupo empresarial, cada empresa tiene su ambiente de control, un apetito de riesgo y riesgos de seguridad de la información particulares. Lo que es bueno para una, puede que no lo sea para otra, por ello copiar tal cual NO es procedente. Se debe considerar un entendimiento de los requerimientos de seguridad y gestión de riesgos sui géneris de cada organización. 3.Definición apropiada del alcance. Es importante definir un alcance del SGSI que sea viable. El esfuerzo para implementar el sistema de gestión no es el mismo cuando el alcance incluye TODOS los procesos de la organización, a uno que incluya sólo uno o dos procesos relevantes. En este sentido es mejor iniciar con pocos procesos y paulatinamente ir creciendo la cobertura del SGSI, a medida que se obtiene mayor madurez en seguridad de la información. 4.Los controles no son todo. Es un error creer que la implementación de los controles de seguridad incluidos en el Anexo A de la norma es el todo. A pesar de ser muy importantes, existen otros que deben considerarse elementos clave de un SGSI, como por ejemplo los objetivos de seguridad de la información, la declaración de aplicabilidad, métricas e indicadores de seguridad, información documentada, procedimientos de auditoría interna, no conformidades, acciones correctivas, etcétera. 5.El SGSI es de la empresa. En ocasiones, las organizaciones contratan el servicio de consultoría para apoyar la definición y puesta en marcha del sistema de gestión, cometiendo el craso error de delegar todo el trabajo al grupo consultor sin involucrarse en el desarrollo del proyecto. Por favor tengan en cuenta que el SGSI no es de la consultora, es de la organización! La consultora algún día se irá, y si la organización no se compromete desde el inicio del proyecto no aprenderá a implementar y mantener adecuadamente su sistema de gestión. He visto algunos casos en los cuales la consultora entregó al cliente manuales, procedimientos, formatos, etcétera Y el cliente no sabe cómo aplicarlos! 6.Evalúe el desempeño. Una forma de saber si el SGSI está operando adecuadamente o no es a través del uso de métricas e indicadores. La vieja máxima que dice que lo que no se puede medir no se puede controlar es aplicable también a un sistema de gestión. Luego entonces, hay que definir métricas e indicadores relevantes. En ISO27004 MEDICIONES PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN se puede encontrar una guía de orientación, inclusive con algunos ejemplos. 7.Sensibilice. En la implementación del SGSI no debemos dejar de lado el recurso humano y sus responsabilidades frente a la seguridad de la información. A la gente se puede llegar a través de diversos medios para sensibilizarla: afiches, pendones, protectores de pantalla, videos, trivias, juegos, obras de teatro, etcétera 2. 8.Importante es llegar, pero mantenerse también. La certificación en la Norma ISO no es el fin, es apenas el inicio de un largo y sinuoso camino por la seguridad de la información. Recuerde que un SGSI debe operarse día a día, no una semana antes de la auditoría de certificación o mantenimiento. El sistema debe ser sostenible en el tiempo y eso se logra solamente con el involucramiento del personal y su operación diaria. 9.Mejora continua. Si se hace adecuadamente, realimenta y hace que el SGSI se nutra y enriquezca. Es vital establecer acciones correctivas y preventivas para que el sistema reaccione ante eventos desfavorables y evolucione hacia una mayor eficacia. 10.Automatice su SGSI. Tradicionalmente estas iniciativas se ejecutan con el apoyo de herramientas de ofimática. En mis últimas experiencias de contribución a la obtención de la certificación en ISO27001:2005, el uso de una herramienta automatizada que cubra todo el ciclo de vida del SGSI (planear-hacer-verificar-actuar) sin lugar a dudas ha sido factor crítico de éxito, ya que ha reducido la duración de la consultoría por lo menos 25%, especialmente en las actividades de inventario de activos, gestión de riesgos y establecimiento de métricas e indicadores. Además, ha permitido que el cliente se involucre directamente en el uso de la herramienta conservando todos los registros y documentos del SGSI en un solo repositorio de información y, sobre todo, le ha permitido dar sostenibilidad al SGSI, sin dependencia directa del equipo de consultoría. 1 Fuente: 2 Mayor información se puede encontrar en Jugando a crear cultura de seguridad de la información De la teoría a la práctica publicado en 8

9

10 opinión Certificaciones en seguridad de la información Por dónde empezar? Esteban San Román Canseco CISSP, CISA, CEH, ITIL y CRISC Desde hace tiempo contar con una certificación ha sido un argumento muy utilizado como herramienta de apoyo en la venta de proyectos. En mi escritorio tengo una imagen que incluye la frase Lo mejor de los estándares es que hay muchos de dónde escoger y esto es muy cierto, puedo apegarme a un estándar de acuerdo a la industria en la que me desenvuelvo, al entorno regulatorio del país, al gremio profesional al que pertenezco e inclusive de acuerdo a cómo me desempeño en mis labores cotidianas. Desde otro punto de vista, una certificación puede entonces asociarse a procesos, tecnología o gente. Procesos ISO-9000 y su enfoque hacia la calidad total detonaron la necesidad de que hubiera una entidad independiente que avalara la capacidad de las organizaciones para desempeñar con eficiencia las diversas tareas que componen los diferentes procesos y que a su vez constituyen el motor de la operación de los negocios. Prácticamente todos los estándares ISO que conocemos, en particular los asociados a TI (ISO-27001, ISO-20000, ISO , etcétera) siguen la estructura del estándar base ISO Es muy importante cuando se trabaja con un estándar tener la seguridad de que es la versión más actualizada del mismo. No es igual homologar los procesos al estándar ISO27001:2005 que hacer referencia al ISO27001:2013, hay modificaciones relevantes de versión a versión. Si usted está apoyado por un buen grupo de consultores es muy probable que ellos estén al tanto de los ajustes que se requieren para dar cumplimiento a las regulaciones que nos exigen nuestros socios de negocio. En Magazcitum podrá encontrar artículos muy recientes de nuestros colaboradores donde se abordan las peculiaridades de estos cambios. La necesidad de certificarse ha tomado diferentes matices y dejó de limitarse a los procesos, comenzando a involucrar a la tecnología que los habilita y a la gente que la opera. Tecnología Para el campo de la tecnología el gobierno de los Estados Unidos y en particular el Departamento de la Defensa crearon hacia finales de la década de los setenta el TCSEC (Trusted Computer System Evaluation Criteria), con enfoque en el atributo de confidencialidad de la información y cuya publicación base es el Libro Naranja. Este libro, conocido también como el estándar DoD , es a su vez parte de una serie de libros de diferentes colores, asociados cada uno de ellos a diferentes temas de TI y que en conjunto reciben el nombre de Serie Arcoiris (Rainbow Series). Hacia 1990, Francia, Holanda, Alemania, el Reino Unido y posteriormente el resto de la Unión Europea redefinieron el nivel de aseguramiento y añadieron el atributo de funcionalidad para crear un estándar alterno llamado ITSEC (Information Technology Security Evaluation Criteria) y a partir de ambas propuestas y el estándar canadiense CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) se desarrolló el Common Criteria (CC), hoy ISO/IEC Este estándar de 7 niveles (EAL1 a EAL7), dictamina el nivel de confiabilidad que se puede tener en una solución tecnológica, sea hardware o software. Si está por adquirir una solución basada en uno o varios productos de seguridad de diferentes fabricantes, este parámetro le puede dar una idea de qué tan reconocida es la mezcla de tecnologías que contempla con el objeto de compararlas con otras alternativas. 10

11 Para obtener mayor información de los criterios de evaluación que mencionamos visite los siguientes enlaces: https://www.bsi.bund.de/cae/servlet/contentblob/471346/publicationfile/30220/itsec-en_pdf.pdf Con afán de sentar las bases de comparación tecnológica, una mención aparte merece la aparición y desarrollo del segmento de los laboratorios de pruebas comparativas o benchmarking donde encontramos por ejemplo al Tolly Group, Icsalabs o agencias consultoras que hoy son ampliamente reconocidas como Gartner, Forrester Research y el Yankee Group, cuya incursión y bonanza ha sido alimentada por las necesidades de diferenciación de los fabricantes de soluciones en un medio en el que cada vez es más difícil distinguirse de otros. Quiero puntualizar que estas referencias no son de ninguna forma exhaustivas, tan solo representan una pequeña muestra de lo que hay en el mercado. Gente Una certificación en cualquier ámbito se ha vuelto un distintivo inaplazable para la gran mayoría de los profesionales de TI y de alguna forma también para adquirir un nivel de reconocimiento en el gremio. Para conseguir una promoción, obtener un empleo calificado en una corporación o ser simplemente considerado en un proyecto, tener una certificación se ha vuelto un deber del profesional de TI. Existen alrededor de dos mil diferentes certificaciones solamente en TI, muchas de ellas atadas al conocimiento de la tecnología de un fabricante y otras al conocimiento y aplicación de los conceptos de varias disciplinas y con independencia de una solución. Para saber más de las distintas certificaciones que hay en el mercado acceda a: Un apunte final: aunque no hay una garantía per se de la capacidad de aquel que ostenta una certificación, siempre es un indicador de que la persona ya ha demostrado un nivel de conocimientos en una evaluación imparcial y de que cuenta con una preparación que puede ir consolidando con la experiencia de los proyectos que pongan a prueba estas capacidades. A continuación se listan algunas de las certificaciones más reconocidas en seguridad informática, sin seguir necesariamente un orden particular: CEH - Certified Ethical Hacker CHFI - Computer Hacking Forensic Investigator Reconoce a individuos en tópicos específicos de la disciplina desde una perspectiva neutral al fabricante. Un hacker ético certificado es un profesional que entiende y conoce la forma de buscar debilidades y vulnerabilidades en los sistemas objetivo valiéndose del mismo conocimiento y herramientas de las que dispone un hacker malicioso. El análisis forense es un proceso enfocado a detectar los ataques producidos por actividades de hackeo y extraer de manera adecuada la evidencia para reportar un presunto crimen o llevar a cabo auditorías que prevengan ataques en el futuro. Los investigadores que cuentan con esta acreditación manejan un conjunto de técnicas y metodologías para descubrir los datos que residen en un sistema de cómputo, o recuperar información que ha sido borrada, cifrada o dañada. Al entrenarse, los participantes obtienen los elementos necesarios para identificar las huellas del intruso y colectar eficazmente la evidencia para armar un caso que se pueda llevar a los tribunales. CISSP - Certified Information Systems Security Professional La certificación estrella de ISC2 es considerada como una de las credenciales de mayor representatividad en el ámbito de la seguridad informática a nivel mundial. Su cobertura en disciplinas abarca tanto campos técnicos como la seguridad en redes, desarrollo, criptografía y controles de acceso. El número de profesionales con esta certificación ya se acerca a los 100 mil a nivel mundial. CSSLP - Certified Secure Software Lifecycle Professional Con la cada vez más generalizada proliferación de vulnerabilidades en los aplicativos, que resultan de los procesos tradicionales de desarrollo de software, un profesional con esta certificación de la ISC2 implanta mejores prácticas y valida las medidas de seguridad que se incorporan al ciclo de vida del desarrollo de software (SDLC). Con una visión holística de la seguridad aplicativa, independiente del lenguaje o la técnica empleada para producir código, esta certificación se creó para analistas, desarrolladores, ingenieros de software, arquitectos de aplicación, gerentes y líderes de proyecto y profesionales de aseguramiento de calidad. PMP - Project Management Professional La certificación PMP, otorgada por el Instituto de Administración de Proyectos (PMI), es la acreditación en esta materia con el mayor reconocimiento general. En la actualidad, existen más de 265 mil PMP en más de 180 países. GIAC - Certified Forensic Analyst (GCFA) Es una de las más reconocidas del SANS Institute y su ámbito abarca a los profesionales que trabajan en los campos de cómputo forense y respuesta a incidentes de seguridad de la información. La certificación tiene enfoque en las habilidades fundamentales para recuperar información de sistemas basados en Windows y Linux, de manera que los candidatos demuestren que tienen los conocimientos y habilidades necesarias para conducir investigaciones de incidentes y manejar escenarios avanzados. CISA - Certified Information Systems Auditor Esta certificación es de las más reconocidas y que más tiempo tiene en el medio. Es otorgada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA) y se reconoce a nivel mundial cuando se habla de capacidad sobre temas de auditoría y controles de TI. Existen alrededor de 87 mil profesionales en el mundo con esta certificación. Abril - Junio

12 opinión De ransomware y otros males Imelda Flores PMP, CISSP, ITIL, CCNA Security, Cisco IPS y Optenet Certified Todos sabemos que en los últimos años las amenazas provenientes del cibercrimen se han incrementado exponencialmente. En un reporte que RAND realizó en conjunto con Juniper, señaló que el mercado negro de software es incluso mayor que el de drogas como la cocaína y la mariguana. Así las cosas, últimamente ha estado tomando mucha relevancia el ransomware, término que se le da al malware que bloquea el acceso a un equipo o a la información del mismo hasta no pagar cierta cantidad de dinero. Hace varios años empezó en forma de police ransomware este tipo de amenaza, usando el logotipo de la policía local para acusar a la víctima de haber estado viendo pornografía e informarle que debe pagar una multa o de lo contrario le espera la cárcel. Gracias a los esfuerzos de concienciación eso ya pasó de moda, pero ahora el malware lo que hace es cifrar la información y pide entre 300 y 600 dólares, normalmente pagados en forma de bitcoins (dinero electrónico difícil de rastrear) en cierto tiempo, so pena de incrementar la cuota o de borrar definitivamente la información. Lo más grave es que, aunque se pague, no existe garantía de que realmente se proporcione la llave para descifrar la información. Existen distintas variantes, entre ellas está CryptoLocker, Prison Locker, BitCrypt, CryptorBit y Cryptodefense, el más nuevo al momento de redactar esta nota, el cual de acuerdo con el portal de noticias Dark Reading fue desarrollado por una banda que compite con los creadores de CryptoLocker. Para minimizar el riesgo de infección, varios fabricantes de antivirus recomiendan tener un respaldo de los datos, por supuesto en un medio externo y desconectado de la computadora, con la información a proteger, mantener el sistema operativo y el antivirus actualizado, etcétera. Si bien estas medidas pueden ayudar a reducir la pérdida de una parte de la información, no evitarán que un atacante comprometa un equipo con una variante que el antivirus no puede detectar. Después de leer lo anterior, la pregunta que todos se deben estar haciendo en este punto es Cómo nos protegemos de este tipo de amenazas? Definitivamente no es a través de las medidas típicas, ya pasaron los tiempos donde era suficiente con tener antivirus, un firewall y un IPS; estamos en un punto en el que es necesario incorporar inteligencia más allá de herramientas y monitoreo de seguridad tradicional, porque podemos estar seguros de que el ransomware es el menor de nuestros males, ya que con la cantidad de cibercriminales existentes, la exposición es cada vez mayor no solo al cifrado indeseado sino a todo tipo de robo de información. La inteligencia a incorporar debe alimentarse de información de distintos puntos de la red, con expertos que sean capaces de analizarla en tiempo real para tomar decisiones. Se requiere una estrategia integral con procesos y procedimientos que permitan ser proactivos más que actuar cuando ya se presentó un incidente de seguridad, porque cada actividad realizada dentro de la organización sin el adecuado análisis puede abrir un hueco de seguridad. Desde mi punto de vista, creo que un gran número de organizaciones en Latinoamérica no está preparado para los costos de la verdadera seguridad, sin embargo siempre debiera hacerse un análisis básico sobre el costo de estar protegidos y disminuir el riesgo versus afrontar las consecuencias económicas, políticas y de imagen de un incidente de seguridad. Definitivamente es un tema a ser analizado en el contexto de cada organización, sólo cabe destacar que cada minuto que nosotros perdemos es un minuto que cientos de delincuentes están aprovechando para explotar nuestras vulnerabilidades. 12

13

14 isión:crítica Deje de compra (segunda parte) Ulises Castillo Hernández MSIA, CISSP, CISM y CISA En la primera parte comenté sobre el sesgo que los responsables de seguridad comúnmente tienen hacia la tecnología y por lo que es frecuente que no exista un balance adecuado entre gente, procesos (incluyendo particularmente la disciplina de operación de la seguridad) y tecnología. Este desbalance es la inspiración para el título de este artículo. También enumeré los principales procesos que deberían tomarse en cuenta y las tareas que cada uno de ellos debe contemplar, para que el lector cuente con herramientas para evaluar el nivel de madurez de su organización a este respecto. En esta ocasión abordaré algunas ideas y sugerencias de cómo implementar esos procesos y mejores prácticas. Para ello utilizaremos el caso hipotético de Gigi. 14 Nuestro caso de estudio Gigi es la responsable de seguridad de la información (o CISO, por las siglas en inglés de Chief Information Security Officer) de una empresa en el ramo de seguros. En los últimos años ha tenido algunos incidentes de seguridad que han hecho que los altos ejecutivos estén más conscientes de la necesidad de protección de su información y le soliciten a Gigi mejores resultados en esa tarea. Lo anterior ha hecho que Gigi se sienta muy presionada, pues no sólo le han exigido mejorar la seguridad sino que le han aprobado, con ciertas limitaciones, las iniciativas de mejora que ha propuesto. El año pasado, por ejemplo, le autorizaron reforzar la seguridad en Internet y en los servidores críticos de bases de datos. Para estos dos proyectos Gigi adquirió varios dispositivos, incluyendo un firewall de bases de datos, y dos personas de su equipo tomaron los cursos de los fabricantes respectivos. No obstante, el mes anterior hubo un incidente de seguridad relacionado con fuga de información y, para colmo, la base de datos usurpada era una de las que supuestamente estaban protegidas. Cuando se le reclamó al proveedor del equipo, este argumentó a su favor que (a) los firewalls de bases de datos habían enviado ciertas alertas a la consola, pero nadie las estaba monitoreando en ese momento, (b) la configuración de los mismos no estaba completa pues faltaba aplicar ciertas reglas para detectar algunos comportamientos anómalos, y (c) los administradores de bases de datos no tenían bien configurados los permisos, lo que aumentaba las vulnerabilidades en el sistema.

15 r tecnología de seguridad En resumen, la tecnología no podía suplir errores y omisiones humanas. Parecía que Gigi y su equipo necesitaban algo más. Leyendo la primera parte de este artículo, Gigi se dio cuenta de lo que había estado haciendo en los últimos meses: había estado tratando de resolver los retos de seguridad poniendo demasiado peso en las herramientas, poco peso en la gente que las opera, y prácticamente ninguno en los procesos para su gestión y monitoreo. Lo que narraré a continuación son las diversas actividades que Gigi y su equipo realizaron para mejorar sus procesos y prácticas de seguridad. El lector se dará cuenta de que las fases en que dividió Gigi el proyecto pueden servir de base para proyectos similares en su organización y conformar un marco metodológico general que pueda ser fácilmente aplicable. Tomando conciencia El lunes siguiente Gigi llegó a su oficina con una tarea en mente: hacer que su gente entendiera la importancia de los procesos y prácticas de seguridad. Afortunadamente todo el equipo había leído y entendido el mensaje: Hay que implementar buenos procesos y prácticas de seguridad. Todos estaban de acuerdo en el qué, pero no sabían cómo atacar el problema. Después de revisar varias alternativas, Gigi propuso establecer algunas preguntas clave: Primera etapa (entendiendo el problema)- Dónde estamos? Qué tenemos? Qué implicaciones hay? Segunda etapa- Qué queremos lograr? Tercera etapa- Qué opciones tenemos? Cuarta etapa- Qué hay que hacer? misión:crítica Todos aceptaron la idea de usar como base estas preguntas y se pusieron a trabajar. Veamos lo que fueron logrando en cada etapa. Primera etapa (entendiendo el problema) Dónde estamos? Qué tenemos? Qué implicaciones hay? Dado que el objetivo de esta etapa es entender mejor el problema, después de una breve discusión todos estuvieron de acuerdo en hacer un análisis de brechas de los procesos. Esto es establecer el estado actual de cada proceso y después definir la brecha (aquello que le falta) para llegar al nivel de madurez deseado. El equipo de trabajo se dio cuenta de que ellos mismos conocían el estado de la mayoría de los procesos por lo que casi no necesitarían consultar fuentes externas y esta labor sería relativamente rápida. Abril - Junio

16 isión:crítica Para hacer un poco más concreto el análisis de brechas, decidieron crear un modelo de madurez de procesos con los niveles siguientes: 0. Inexistente. No hay un proceso implementado ni prácticas equivalentes. 1. Básico. El proceso es muy simple, no está documentado en forma completa y tiene alcances limitados (podrían, incluso, no estar muy claros esos alcances). No está integrado con otros procesos, además de que hay muchas inconsistencias y errores asociados a su ejecución. 2. Intermedio. La documentación y alcances son mejores que los del nivel anterior pero aún es incompleta o todavía hay inconsistencias, ya sea en su ejecución, entre lo documentado y la práctica, etcétera. Los niveles de sistematización y automatización tampoco son los mejores. 3. Avanzado. Los alcances son los que pragmáticamente requiere la organización, aunque no cumplan rigurosamente con los estándares o prácticas internacionales. La documentación es completa y consistente con la ejecución. El nivel de sistematización y automatización puede no ser el mejor pero el proceso es eficiente. 4. Ideal. Cumple con las mejores prácticas a nivel internacional. El proceso está completamente documentado, todos los involucrados lo conocen y lo siguen, por lo que hay total consistencia en su ejecución y se llevan métricas de la misma (a veces llamados KPI: Key Performance Indicators). Hay evidencias claras de su utilización. Está sistematizado y su automatización se ha llevado al máximo nivel. Está integrado con los demás procesos. Al continuar con la preparación decidieron asociar una implicación a la brecha ( Qué nos ha pasado o nos puede pasar por no tener bien implementado ese proceso o práctica de seguridad?) y acotaron el alcance de la tarea: los procesos asociados con administración de identidades, administración de vulnerabilidades y desarrollo de aplicaciones seguras los dejarían para un futuro. Aunque las definiciones de niveles de madurez anteriores no son exactamente iguales a modelos más conocidos, esas fueron las que Gigi y su equipo definieron y con las que estuvieron a gusto. Veamos a continuación sus hallazgos para algunos de los procesos. Proceso de administración de riesgos a) Dónde estamos? Qué tenemos?: se hace un análisis de riesgos anual y se establecen prioridades de atención así como un plan concreto de acción. b) Qué implicaciones hay?: el equipo se dio cuenta de que uno de los elementos que les faltaba era tener una realidad única sobre los riesgos de la información. También se dieron cuenta de que no contaban con métricas claras para establecer el nivel de riesgo de la empresa y determinaron que otra brecha importante era convertir el análisis de riesgos en un proceso continuo de administración de riesgos, que no tenían. Determinar las implicaciones de lo anterior resultó muy sencillo. Se percataron de que su proceso estaba en el nivel básico y que al no tener una cobertura integral y no ser continuo aumentaba su nivel de exposición, pues solo una vez al año están haciendo un análisis razonablemente completo. Adicionalmente, al no contar con métricas de seguridad, cada uno de los involucrados tiene percepciones y opiniones distintas sobre el nivel de riesgos de la información de la empresa, lo que se está haciendo para su manejo y, en general, acerca del estado de seguridad de la organización. Proceso de administración de vulnerabilidades a) Dónde estamos? Qué tenemos?: se dieron cuenta de que el nivel de madurez era muy básico. Hoy contratan a un externo para hacer pruebas de hackeo ético desde Internet y después de cada prueba se establece, con apoyo del tercero, el plan de remediación de las vulnerabilidades encontradas. b) Qué implicaciones hay?: el plan de remediación que establecen después de cada prueba es muy concreto y no es un proceso continuo. Adicionalmente, las remediaciones no se insertan en el proceso de control de configuraciones y no hay nadie revisando continuamente nuevos ataques o amenazas en Internet. 16

17 Al no tener un proceso continuo y con mayor cobertura que incluya un escaneo en toda la infraestructura tecnológica y aplicaciones, así como en los procesos y en el personal, es altamente probable que haya vulnerabilidades de las cuales no están conscientes, lo que aumenta su exposición a distintos riesgos. Procesos de administración de cambios y configuraciones «...al no contar con métricas de seguridad, cada uno de los involucrados tiene percepciones y opiniones distintas sobre el nivel de riesgos de la información de la empresa» 1. Dónde estamos? Qué tenemos?: se dieron cuenta de que en el área de sistemas casi toda la infraestructura posee un buen nivel de madurez en estos procesos; están definidos, son conocidos por los responsables y se siguen rutinariamente. Sin embargo, en la configuración de bases de datos e infraestructura de seguridad estos procesos no son tan maduros pues su definición no está completa, las guías de apoyo están desactualizadas o no existen, no pasan por la planeación de los cambios y nadie garantiza que los elementos involucrados estén con configuraciones autorizadas y actualizadas. 2. Qué implicaciones hay?: la principal implicación es inestabilidad, que tratándose de dispositivos de seguridad se manifiesta como inseguridad. Procesos de monitoreo de la seguridad y manejo de incidentes de seguridad a) Dónde estamos? Qué tenemos?: todo el equipo de Gigi tuvo que reconocer que en estos procesos el nivel de madurez era prácticamente nulo. Aunque se habían implementado las consolas de firewalls, IPS (sistemas de prevención de intrusos), antivirus y filtros de contenido, no había ningún responsable de su monitoreo y, por tanto, nadie lo hacía de manera continua. Por otro lado, se dieron cuenta de que tampoco existían acciones predefinidas para el manejo de actividades sospechosas o incidentes de seguridad. b) Qué implicaciones hay?: no se monitorea el comportamiento de la infraestructura de seguridad y las acciones derivadas de un incidente de seguridad tienen resultados aleatorios, pues cada persona actuará como mejor crea conveniente o conforme le dicte su experiencia. misión:crítica Segunda etapa Qué queremos lograr? En esta etapa al preguntarse Qué queremos lograr?, el equipo definió su VISIÓN: Deseamos implementar una operación de la seguridad más estable, que sea proactiva para detectar y manejar oportunamente los incidentes de seguridad. Abril - Junio

18 isión:crítica Como ya se imaginarán, a continuación precisaron definir varios de los términos de la visión anterior: a) Operación estable. La definieron como una operación en donde: Los procesos de control de cambios y configuraciones son claros, bien establecidos y alineados a ITIL. 99 de cada 100 cambios se ejecuten conforme a lo planeado. Los dispositivos de seguridad involucrados estén actualizados. b) Detección oportuna. Concluyeron que para detectar oportunamente y ser más proactivos debían: Implementar un proceso de monitoreo y detección de incidentes de seguridad apegado a las mejores prácticas. Detectar todos los incidentes de seguridad que la tecnología permita en un lapso menor a 10 minutos y contenerlos en los siguientes 60 minutos. Monitorear diversos sitios de Internet para conocer, el mismo día, nuevas vulnerabilidades y nuevas amenazas (incluyendo, entre otras, ataques de día cero y amenazas persistentes avanzadas) para aplicar las medidas necesarias. Ahora bien, al intentar establecer el marco de mejores prácticas e indicadores más específicos, se dieron cuenta de que el monitoreo y detección de incidentes de seguridad no están bien definidos en ITIL, además de que requerían una mayor experiencia. Por ello, para no abarcar demasiado, decidieron dejar para un futuro el análisis de los procesos de administración de riesgos y vulnerabilidades, no por no ser importantes sino porque todo proyecto debe acotar sus alcances. Tercera etapa Qué opciones tenemos? Como ya se comentó, se decidió trabajar en los procesos de administración de configuraciones, cambios, monitoreo de seguridad y manejo de incidentes de seguridad. Al decidir que se buscaba un nivel de madurez avanzado en menos de un año, el equipo de Gigi estableció las alternativas para desarrollar el proyecto y definió que había tres variables importantes para jugar con las opciones: a) Cobertura: Qué procesos queremos cubrir? b) Madurez: A qué nivel de madurez aspiramos llegar en los procesos elegidos? c) Forma: Quién lo desarrollará? El equipo de Gigi, un externo calificado o una combinación para tener un equipo mixto? C M Y CM MY CY CMY K El resultado del análisis se resume en la siguiente tabla: 18 Cobertura Administración de cambios y configuraciones. Basado en ITIL versión 3. En la primera etapa se cubrirán solamente los firewalls y sistemas de prevención de intrusos (IPS) de la salida a Internet. Posteriormente se cubrirán otros dispositivos. Monitoreo y manejo de incidentes de seguridad. Utilizarán la metodología de un proveedor externo (la cual está basada en el CERT y en SANS). El enfoque será hacia los firewalls (incluyendo los de bases de datos) e IPS. Posteriormente hacia otros dispositivos e integración de herramientas de correlación (SIEM). Nivel de madurez deseado Nivel 3: avanzado Nivel 3: avanzado Resumen de opciones para los procesos a cubrir en la fase 1 del proyecto Quién lo desarrollará? El equipo interno desarrollará e implementará estos procesos debido a que tienen los conocimientos y experiencia suficiente en ITIL. El equipo del proveedor externo realizará las adaptaciones a su metodología

19 Está Usted seguro de que está eligiendo al Mejor? Protecting the Data That Drives Business Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales SecureSphere Web Application Firewall de Imperva, la solución líder del mercado:» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial» Cumple totalmente los requisitos 6.6 de PCI DSS SecureSphere Web Application Firewall ThreatRadar Imperva México IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F Informes: Tel: Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

20 Cuarta etapa Qué hay que hacer? Se decidió dividir el trabajo en dos grupos: un equipo interno enfocado a los procesos de administración de cambios y configuraciones, y un equipo híbrido dedicado al proceso de monitoreo y administración de incidentes de seguridad. Las principales acciones que se definieron para el equipo interno fueron las siguientes: a) Capacitar a dos personas en el nivel inicial de ITIL. b) Aterrizar los procesos de control de cambios y configuraciones. Esto incluye determinar los flujos específicos con las tareas que le corresponden a los roles involucrados, ajustar los indicadores (KPI), entre otras tareas. c) Hacer guías básicas de configuración de los firewalls y de los IPS, de acuerdo a las marcas y modelos que tiene la empresa instalados hoy en día. d) Realizar revisiones simuladas de los procesos, donde se prueben con algunos cambios controlados y se recorran los procesos respectivos. e) Ajustar los procesos de acuerdo a lo observado en la actividad anterior. f) Implementar los procesos. El cronograma general lograron establecerlo para seis meses como lo muestra la figura siguiente: ACTIVIDAD MES 1 MES 2 MES 3 MES 4 MES 5 MES 6 A. Capacitación ITIL B. Aterrizar procesos C. Hacer guías básicas D. Pruebas E. Ajustes a procesos F. Implementación Cronograma para la implementación de los procesos de control de cambios y configuraciones Para el segundo equipo las actividades principales se estipularon así: a) Levantamiento de información. El objetivo es que el proveedor se familiarice con la forma actual de operar la infraestructura, pero sobre todo- con la visión específica del proyecto y lo que se desea obtener en estos procesos. b) Revisión de alcances. En esta actividad se debe realizar un documento completo sobre los alcances, generalmente llamado SOW, por las siglas del inglés de scope of work. c) Adaptación de los procesos. Esta tarea es realizada fundamentalmente por el externo, y el objetivo es ajustar los procesos de su marco metodológico a las necesidades y particularidades del cliente, incluyendo procedimientos, guías, roles, funciones y demás definiciones y documentos que acompañan a dichos procesos y que son necesarios para la operación completa. d) Transferencia de conocimientos, que abarca: Talleres y cursos para el entendimiento de los procesos y los documentos complementarios. Operación conjunta, que incluye un período de apoyo (coaching) muy personalizado a cada integrante del equipo del cliente, así como un periodo de operación de transición. Liberación, que incluye un periodo de observación y evaluación de la operación autónoma del cliente. 20

IMPLEMENTADOR LÍDER ISO 27001

IMPLEMENTADOR LÍDER ISO 27001 IMPLEMENTADOR LÍDER Este curso está acreditado oficialmente por el Professional Evaluation and Certification Board (PECB) y conducen a certificaciones profesionales reconocidas internacionalmente y avalado

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

Inventario de Ne gocio

Inventario de Ne gocio Gobierno Corporativo, Gestión del Riesgo y Gestión del Cumplimiento, son las tres visiones que integralmente conforman el marco conceptual ORCA Software GRC Suite. La plataforma provee mecanismos para

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas INFORME SEGURIDAD EMPRESAS Informe Global IT Security Risks de Kaspersky Lab El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas Un 55% de

Más detalles

Dudas y certezas sobre las redes sociales en la empresa

Dudas y certezas sobre las redes sociales en la empresa Dudas y certezas sobre las redes sociales en la empresa Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: lunes 2 de agosto de 2010 ESET Latinoamérica, Av. Del Libertador

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Presupuesto de Seguridad de la Información

Presupuesto de Seguridad de la Información PresupuestodeSeguridaddelaInformación Unapautaenqueycuantoinvertir CristianBobadillaC.,CISSP,PCI QSA EXTRACTO Hoycuandosevieneunperiododemayorrestriccióndegastosylosriesgosdelaseguridadseincrementan, las

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

UPAEP Optimiza Servicios de TI a 17.000 Usuarios con Soluciones de CA Technologies

UPAEP Optimiza Servicios de TI a 17.000 Usuarios con Soluciones de CA Technologies CUSTOMER SUCCESS STORY UPAEP 2014 UPAEP Optimiza Servicios de TI a 17.000 Usuarios con Soluciones de CA Technologies PERFIL DEL CLIENTE Industria: Educación Compañía: UPAEP Empleados: 2.000+ INSTITUCIÓN

Más detalles

Privacidad y Protección de la Información, Mito o Realidad

Privacidad y Protección de la Información, Mito o Realidad Privacidad y Protección de la Información, Mito o Realidad Eduardo Cocina, CISA, CGEIT, CRISC Socio Deloitte Ivan Campos, CISSP, CISA, CGEIT, CRISC, ITIL Gerente Senior Deloitte Problemática Actual Mito

Más detalles

Malware en América Latina y el Caribe durante el primer trimestre del 2011

Malware en América Latina y el Caribe durante el primer trimestre del 2011 Malware en América Latina y el Caribe durante el primer trimestre del 2011 Introducción: Los datos estadísticos mencionados en el presente artículo abarcan todos los países de América Latina y también

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

CURSO /TALLER ACTUALIZACIÓN NORMA ISO 27001:2013 CON ÉNFASIS EN GESTIÓN DEL RIESGO ISO 31000:2009

CURSO /TALLER ACTUALIZACIÓN NORMA ISO 27001:2013 CON ÉNFASIS EN GESTIÓN DEL RIESGO ISO 31000:2009 CURSO /TALLER ACTUALIZACIÓN NORMA ISO 27001:2013 CON ÉNFASIS EN GESTIÓN DEL RIESGO ISO 31000:2009 ISO 27001:2013 es una norma internacional emitida por la Organización Internacional de Normalización (ISO)

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

ADMINISTRACIÓN Y SEGURIDAD DE API A ESCALA EMPRESARIAL

ADMINISTRACIÓN Y SEGURIDAD DE API A ESCALA EMPRESARIAL www.layer7.com ADMINISTRACIÓN Y SEGURIDAD DE API A ESCALA EMPRESARIAL COMPONENTES DE API PARA LA EMPRESA ABIERTA En Layer 7, proporcionamos soluciones de Administración y Seguridad de API para algunas

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CURSO DE EXPERTO EN GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Objetivos Generales: Al término de esta acción formativa los participantes alcanzarán los siguientes objetivos: Formar al alumno en los conocimientos

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs) Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs) 10 de Julio de 2015 http://www.itbusinessedge.com/slideshows/ten-top-paying-tech-security-jobs.html Sin lugar a dudas,

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Curso Oficial de Preparación para el Examen CISSP de (ISC) 2

Curso Oficial de Preparación para el Examen CISSP de (ISC) 2 Curso Oficial de Preparación para el Examen CISSP de (ISC) 2 Certified Information Systems Security Professional La certificación de seguridad de la información más reconocida a nivel mundial. DESCRIPCIÓN

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Figura 3.1 Implementación de ITIL

Figura 3.1 Implementación de ITIL C apí t u l o III IMPLEMENTACIÓN DE ITIL Existen distintos métodos para la implementación de ITIL, sin embargo cualquier organización puede alinearse a este marco de trabajo sin importar su tamaño o complejidad.

Más detalles

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s PRINCE2 & TickIT Jorge Armando Medina Morales Código 1700321660 U n i v e r s i d a d D e C a l d a s F a c u l t a d D e I n g e n i e r í a s I n g e n i e r í a D e S i s t e m a s O c t u b r e 2010

Más detalles

UPAEP optimiza servicios de TI a 17.000 usuarios con soluciones de CA Technologies

UPAEP optimiza servicios de TI a 17.000 usuarios con soluciones de CA Technologies CUSTOMER SUCCESS STORY UPAEP optimiza servicios de TI a 17.000 usuarios con soluciones de CA Technologies PERFIL DEL CLIENTE Industria: Educación Compañía: UPAEP Empleados: 2.000+ ú Fundada en 1973, en

Más detalles

NEXT GENERATION FIREWALL

NEXT GENERATION FIREWALL NEXT GENERATION FIREWALL Los modelos NG1000-A y NG5000-A han sido diseñados para proteger servidores de comercio electrónico de alto tráfico, redes universitarias dinámicas o cualquier otro entorno en

Más detalles

QUIERO CONTAR CON FLUJOS DE TRABAJO EFICIENTES CON LA MÁXIMA CONFIDENCIALIDAD

QUIERO CONTAR CON FLUJOS DE TRABAJO EFICIENTES CON LA MÁXIMA CONFIDENCIALIDAD QUIERO CONTAR CON FLUJOS DE TRABAJO EFICIENTES CON LA MÁXIMA CONFIDENCIALIDAD MEJORANDO LOS PROCESOS BANCARIOS EL PASO SENCILLO PARA OPTIMIZAR LOS PROCESOS Las organizaciones de la industria financiera

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Kaspersky Fraud Prevention for Endpoints

Kaspersky Fraud Prevention for Endpoints Kaspersky Fraud Prevention for Endpoints www.kaspersky.es KASPERSKY FRAUD PREVENTION 1. Formas de atacar a la banca online El primer motivo del cibercrimen es hacer dinero y las sofisticadas bandas criminales

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Almacenamiento en la Nube: Seguridad

Almacenamiento en la Nube: Seguridad white paper Almacenamiento en la Nube: Seguridad Cómo proteger los datos almacenados en cloud computing Almacenamiento en la nube: Seguridad 1 Cloud computing es una alternativa real, flexible y escalable

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI

Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI Diplomado Gestión de Tecnologías de Información (TI); Incrementa Tu Valor en TI Duración 120 horas Objetivo general: La complejidad de los problemas que enfrenta TI es cada vez mayor. Con demasiada frecuencia,

Más detalles

Propuesta Propuesta Pública México First Modelo Comercial para Capacitación en la Gestión de Servicios de TI.

Propuesta Propuesta Pública México First Modelo Comercial para Capacitación en la Gestión de Servicios de TI. Propuesta Propuesta Pública México First Modelo Comercial para Capacitación en la Gestión de Servicios de TI. Capacitación Bienvenido a Pink Elephant A través de nuestros cursos, talleres y simuladores,

Más detalles

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente + GENTE + TECNOLOGÍA OUTSOURCING GESTIONADO DE TI / OUTSOURCING DE SERVICE DESK / CONSULTORÍA EN TECNOLOGÍA SOFTWARE FACTORY / DESARROLLO DE APLICACIONES A MEDIDA / BÚSQUEDA Y SELECCIÓN DE RRHH NUESTRO

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

AUDITOR LÍDER ISO 27001

AUDITOR LÍDER ISO 27001 AUDITOR LÍDER Este curso está acreditado oficialmente por el Professional Evaluation and Certification Board (PECB) y conducen a certificaciones profesionales reconocidas internacionalmente y avalado por

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

MEJORES PRÁCTICAS DE INDUSTRIA

MEJORES PRÁCTICAS DE INDUSTRIA MEJORES PRÁCTICAS DE INDUSTRIA A continuación se relacionan las mejores prácticas y recomendaciones en prevención de fraude, extractadas de los diferentes mapas de operación y riesgo desarrollados por

Más detalles

Servicios Administrados de Infraestructura

Servicios Administrados de Infraestructura Son las actividades diarias relacionadas a la tecnología de información que mantienen los recursos de infraestructura de TI actualizados, seguros, productivos, consistentes y disponibles para el beneficio

Más detalles

CURSO INTERMEDIO ITIL SD Service Design

CURSO INTERMEDIO ITIL SD Service Design GESTIONA Y OPTIMIZA TUS PROYECTOS TI CURSO INTERMEDIO ITIL SD Service Design Fórmate para ser experto en ITIL Presentación Este curso permite a los alumnos conocer los conceptos, procesos, políticas y

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

INFORME PREVIO DE EVALUACION DE SOFTWARE

INFORME PREVIO DE EVALUACION DE SOFTWARE Página 1 de 11 INFORME PREVIO DE EVALUACION DE SOFTWARE NUMERO: P001-2015-GSTI ADQUISICION DE SOFTWARE DE SOLUCION DE ANTIVIRUS Página 2 de 11 1. NOMBRE DEL AREA: Gerencia de Sistemas y tecnologías de

Más detalles

Manejo de lo inesperado

Manejo de lo inesperado Manejo de lo inesperado Navegar a través de los riesgos y salir adelante El mundo de los negocios de hoy se encuentra amenazado por una gran cantidad de riesgos de seguridad en línea, sin embargo, muchas

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

CATÁLOGO DE CURSOS 2015

CATÁLOGO DE CURSOS 2015 CATÁLOGO DE CURSOS 2015 Quiénes somos? KI&I somos una empresa especializada en servicios de capacitación y consultoría, para la gestión de las TIC s, Contamos con consultores e instructores profesionales

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

5 pilares de la gestión de API

5 pilares de la gestión de API 5 pilares de la gestión de API Introducción: Gestión de la nueva empresa accesible Materialización de las oportunidades de la economía de API En los sectores industriales, los límites de la empresa tradicional

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos

Mejores prácticas para el éxito de un sistema de información. Uno de los problemas de información dentro de las empresas es contar con datos ANEXO VI. Mejores prácticas para el éxito de un sistema de información Uno de los problemas de información dentro de las empresas es contar con datos importantes del negocio y que éstos estén aislados

Más detalles

LAS VENTAJAS DEL OUTSOURCING CONTABLE EN EL ECUADOR

LAS VENTAJAS DEL OUTSOURCING CONTABLE EN EL ECUADOR LAS VENTAJAS DEL OUTSOURCING CONTABLE EN EL ECUADOR Mayo 2015 INDICE 1 Qué es el outsourcing contable y cuáles son sus ventajas en el Ecuador 2 Quienes somos en Latinoamérica 3 Nuestros Miembros Contenido

Más detalles

REPORTE NORTON 2013 Octubre, 2013

REPORTE NORTON 2013 Octubre, 2013 REPORTE NORTON 2013 Octubre, 2013 REPORTE NORTON 2013 QUIÉNES PARTICIPARON? 13,022 ADULTOS DE ENTRE 18 Y 64 AÑOS, CONECTADOS A INTERNET DÓNDE? - 24 PAÍSES AUSTRALIA, BRASIL, CANADÁ, CHINA, COLOMBIA, DINAMARCA,

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

INTEGRAL UNA COMPAÑÍA. Con las mejores alternativas del mercado

INTEGRAL UNA COMPAÑÍA. Con las mejores alternativas del mercado Bienvenidos a TFC, THE FLEXLINE COMPANY S.A., una compañía diseñada y pensada para la solución de los problemas de administración y gestión de sus clientes. Nos interesa desarrollar soluciones que apoyen

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Más veloz, económica y segura: Mejora de la agilidad, el coste de explotación y la seguridad con la planificación de tareas sin agente

Más veloz, económica y segura: Mejora de la agilidad, el coste de explotación y la seguridad con la planificación de tareas sin agente Más veloz, económica y segura: Mejora de la agilidad, el coste de explotación y la seguridad con la planificación de tareas sin agente Informe preparado para BMC Software Agosto de 2006 Resumen ejecutivo

Más detalles

Servicios Administrados de Seguridad lógica

Servicios Administrados de Seguridad lógica Servicios Administrados de Seguridad lógica Índice Objetivos Alcance Servicios Administrados Soluciones propuestas Objetivo Mejorar y fortalecer las políticas de seguridad lógica que actualmente existen.

Más detalles

Soluciones Integrales de Seguridad

Soluciones Integrales de Seguridad R Soluciones Integrales de Seguridad Fundada en el año de 1994, INSYS es una empresa líder en el campo de la seguridad informática. Compañía orgullosamente 100% mexicana, que ha tenido a la tarea trabajar

Más detalles

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Examen tipo EXIN Cloud Computing Foundation Edición Abril 2014 Copyright 2014 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing system

Más detalles

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V. Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática

Más detalles

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014 Midiendo la efectividad de su programa de seguridad de información Iván Campos 28 de Mayo de 2014 Contenido Conversemos Cuál es tu experiencia? 3 Retos identificados 4 # Definiciones 5 Programa de Medición

Más detalles

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) Gestión de Servicios Informáticos Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

ENTREVISTA CON... RAFAEL CASAS-DON MANAGING DIRECTOR AND MARKET LEADER BURSON-MARSTELLER MEXICO

ENTREVISTA CON... RAFAEL CASAS-DON MANAGING DIRECTOR AND MARKET LEADER BURSON-MARSTELLER MEXICO ENTREVISTA CON... RAFAEL CASAS-DON MANAGING DIRECTOR AND MARKET LEADER BURSON-MARSTELLER MEXICO Desde los tiempos en los que Harold Burson, fundador de Burson Marsteller, empezó en el campo de las Relaciones

Más detalles

Escogiendo un sistema host

Escogiendo un sistema host 2002 Emerson Process Management. Todos los derechos reservados. Vea este y otros cursos en línea en www.plantwebuniversity.com. Fieldbus 402 Escogiendo un sistema host Generalidades Experiencia del proveedor

Más detalles

Apoyo Microsoft a los Dominios PMG SSI. Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012

Apoyo Microsoft a los Dominios PMG SSI. Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012 Apoyo Microsoft a los Dominios PMG SSI Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012 Agenda Dominios PMG SSI El área de Servicios de Microsoft La visión de Microsoft sobre

Más detalles

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS Con los Servicios Gestionados se transfieren, parcial o totalmente, las responsabilidades y operaciones relacionadas con el área de seguridad a un tercero

Más detalles

cómo migrar desde la administración de servicios a SaaS

cómo migrar desde la administración de servicios a SaaS WHITE PAPER Septiembre de 2012 cómo migrar desde la administración de servicios a SaaS Principales desafíos, y cómo CA Nimsoft Service Desk ayuda a resolverlos agility made possible Índice resumen ejecutivo

Más detalles

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA

SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA SIETE MITOS DE LA SEGURIDAD DE TI CORPORATIVA Siete mitos de la seguridad de TI corporativa by Yuri Ilyin Los Mitos y prejuicios son compañeros inevitables de cualquier rama del conocimiento, y la seguridad

Más detalles

CURSO INTERMEDIO ITIL ST Service Transition

CURSO INTERMEDIO ITIL ST Service Transition GESTIONA Y OPTIMIZA TUS PROYECTOS TI CURSO INTERMEDIO ITIL ST Service Transition Fórmate para ser experto en ITIL Presentación Este curso permite a los alumnos conocer los conceptos, procesos, políticas

Más detalles

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de:

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de: OWASP AppSec Aguascalientes 2011 The OWASP Foundation http://www.owasp.org Citas La seguridad 2.0 Pablo Lugo G - La seguridad no es un producto, es un proceso. Bruce Schneier. Experto en seguridad. - La

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

PRESENTACIÓN DE LA NORMA ISO-IEC 17025 (NMX-EC-17025)

PRESENTACIÓN DE LA NORMA ISO-IEC 17025 (NMX-EC-17025) PRESENTACIÓN DE LA NORMA ISO-IEC 17025 (NMX-EC-17025) Ing. Erick René Alvarado Ureña Grupo Empresarial ACCE Av. Tecamachalco # 265 Col. Reforma Social México, D.F. Teléfono (01)-5520-9232, Fax (01)-5540-3206

Más detalles

Modelo de calidad IT Mark

Modelo de calidad IT Mark Modelo de calidad IT Mark Agenda de Trabajo 1. Área de Calidad 2. Introducción IT Mark 3. Proceso del Negocio 3.1 Ten Square. 3.2 Evaluación 3.3 Evidencias 3.4 Presentación de resultados. 4. Proceso de

Más detalles

La certificación como Profesional en Dirección de Proyectos PMP

La certificación como Profesional en Dirección de Proyectos PMP La certificación como Profesional en Dirección de Proyectos PMP Qué es una certificación? El PMI (www.pmi.org) es la organización líder, a nivel mundial, para la profesión de Dirección de Proyectos. Maneja

Más detalles

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina ESET Security Report 2013 Argentina Situación de la seguridad corporativa en América Latina CONTENIDO Incidentes de Seguridad en empresas argentinas Implementación de Controles y Gestión Controles basados

Más detalles

Garantía de cumplimiento de los sistemas de información con la normativa actual

Garantía de cumplimiento de los sistemas de información con la normativa actual Garantía de cumplimiento de los sistemas de información con la normativa actual Implantación de software para conseguir la máxima seguridad de TI y cumplir con la regulación vigente Libro blanco Introducción

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Guía de Seguridad en Redes Sociales

Guía de Seguridad en Redes Sociales Guía de Seguridad en Redes Sociales INTRODUCCIÓN Las redes sociales son parte de los hábitos cotidianos de navegación de gran cantidad de personas. Cualquier usuario de Internet hace uso de al menos una

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

CÓMO PROTEGER SUS ACTIVOS. Seguridad de la Información para el Siglo Veintiuno. ISO/IEC 27001:2005 Gestión para la Seguridad de la Información

CÓMO PROTEGER SUS ACTIVOS. Seguridad de la Información para el Siglo Veintiuno. ISO/IEC 27001:2005 Gestión para la Seguridad de la Información ISO/IEC 27001:2005 Gestión para la Seguridad de la Información CÓMO PROTEGER SUS ACTIVOS Seguridad de la Información para el Siglo Veintiuno raising standards worldwide TM SU ORGANIZACIÓN PODRÍA ESTAR

Más detalles

OFERTAS LABORALES 06.08.2012 10.06.2014. Reconocimiento Mundial. CENTRUM Colocaciones. Ba e rerrn Rerere

OFERTAS LABORALES 06.08.2012 10.06.2014. Reconocimiento Mundial. CENTRUM Colocaciones. Ba e rerrn Rerere OFERTAS LABORALES 10.06.2014 Ba e rerrn Rerere Reconocimiento Mundial 06.08.2012 Estimados alumnos y egresados: tiene el agrado de remitirles las diferentes ofertas laborales provenientes de las mejores

Más detalles

Portafolio de Servicios Estratégicos Organizacionales

Portafolio de Servicios Estratégicos Organizacionales Portafolio de Servicios Estratégicos Organizacionales Consultores en Gestión n Organizacional TI Cel.. 310 862 8720 Tel.. 613 5762 pedro_gomez@tutopia.com pgomez_3 _3@ean.edu.co Bogotá - Colombia OBJETIVO

Más detalles

Xaguar Soluciones PORTALES PORTALES

Xaguar Soluciones PORTALES PORTALES Xaguar Soluciones PORTALES PORTALES XAGUAR e-suite HABILITANDO PORTALES La implementación exitosa de integración de aplicaciones colaborativas e iniciativas SOA, BPM, ECM o de integración depende en gran

Más detalles