contenido » editorial » opinión » misión: crítica 14 Deje de comprar tecnología de seguridad (segunda parte) » conexiones Dirección General

Tamaño: px
Comenzar la demostración a partir de la página:

Download "contenido » editorial » opinión » misión: crítica 14 Deje de comprar tecnología de seguridad (segunda parte) » conexiones Dirección General"

Transcripción

1

2

3 contenido 15 AÑO 5, NÚMERO 2, 2014 Dirección General Ulises Castillo Hernández Editor en jefe Héctor Acevedo Juárez Consejo Editorial Ulises Castillo Hernández Priscila Balcázar Hernández Héctor Acevedo Juárez Elia Fernández Torres Colaboradores Héctor Acevedo Juárez Ulises Castillo Hernández Miguel García Menéndez Imelda Flores Monterrosas Marcos Polanco Velasco Esteban San Román Canseco Eduardo P. Sánchez Díaz Carlos Villamizar Rodríguez Marketing y Producción Karla Trejo Cerrillo Correctora de estilo Adriana Gómez López Diseño Silverio Ortega Reyes Magazcitum, revista trimestral de Scitum S.A. de C.V. Año 5, número 2, 2014 Editor responsable: Héctor Acevedo Juárez. Número de Certificado de Reserva otorgado por el Instituto de Derechos de Autor: Número de certificado de Licitud de Título y Contenido: 14900, Exp.: CCPRI/3/ TC/10/ Domicilio de la Publicación: Av. Paseo de la Reforma 373 piso 7, Col. Cuauhtémoc, delegación Cuauhtémoc, México DF Impreso en: Rouge & 21 S.A. de C.V. Av. Rómulo O Farril # 520 int 5 Col. Olivar de los Padres México DF. Distribuida por Editorial Mexicana de Impresos y Revistas S.A. de C.V: Oaxaca Col. Roma. México D.F. Magazcitum, revista especializada en temas de seguridad de la información para los profesionales del medio. Circula de manera controlada y gratuita entre los profesionales de la seguridad de la información. Tiene un tiraje de 5,000 ejemplares trimestrales. El diseño gráfico y el contenido propietario de Magazcitum son derechos reservados por Scitum S.A. de C.V. y queda prohibida la reproducción total o parcial por cualquier medio, sin la autorización por escrito de Scitum S.A. de C.V. Fotografías e ilustraciones son propiedad de thinkstock.com, bajo licencia, salvo donde esté indicado. Marcas registradas, logotipos y servicios mencionados son propiedad de sus respectivos dueños. La opinión de los columnistas, colaboradores y articulistas, no necesariamente refleja el punto de vista de los editores. Para cualquier asunto relacionado con esta publicación, favor de dirigirse a » editorial» opinión 4 Editorial Héctor Acevedo Juárez 6 Consejos prácticos para la implementación de su SGSI Carlos Villamizar Rodríguez 10 Certificaciones en seguridad de la información Por dónde empezar? Esteban San Román Canseco 12 De ransomware y otros males Imelda Flores Monterrosas 28 COBIT 5 y el concepto de alineamiento Miguel García Menéndez» misión: crítica 14 Deje de comprar tecnología de seguridad (segunda parte) Ulises Castillo Hernández» conexiones 22 Desde la trinchera API: Un viejo concepto, un nuevo frente de batalla Marcos Polanco Velasco 24 En el pensar de... Ciberseguridad, más que un término de moda Eduardo P. Sánchez Díaz Abril - Junio

4 editorial Informe global sobre tecnología de la información Héctor Acevedo CISSP, CISA, CGEIT, ITIL y MCSE El pasado mes de abril el World Economic Forum liberó la edición 2014 de su Informe global sobre tecnología de la información (The Global Information Technology Report ), que por treceavo año presenta su Networked Readiness Index, una evaluación integral de cómo un país está aprovechando las tecnologías de información y comunicaciones (TIC) para mejorar la competitividad y el bienestar, con una calificación o índice que puede ir de 1 a 7. Aunque el reporte bien se presta para un artículo completo, quiero aquí solo resaltar qué países están en los primeros 15 lugares, de 148 evaluados, y qué posiciones ocupan España y las naciones latinoamericanas que entraron en la lista: Lugar País NRI 1 Finlandia Singapur Suecia Países Bajos Noruega Suiza EE.UU Hong Kong Reino Unido Corea Luxemburgo Alemania Dinamarca Taiwán Israel 5.42 Lugar País NRI 34 España Chile Panamá Costa Rica Uruguay Colombia Brasil México Ecuador Perú República Dominicana El Salvador Argentina Guatemala Paraguay Venezuela Honduras Bolivia Nicaragua 3.08 Lo interesante aquí es que ser una potencia económica no asegura estar en un mejor lugar: en la primera tabla EE.UU. está en la séptima posición y el Reino Unido en el noveno; en la segunda tabla Brasil (69) y México (79) tienen arriba seis naciones que van del 34 al 63. Lo que pareciera confirmar una máxima popular: no basta tener dinero, hay que saber cómo y en qué usarlo. Por favor no dejen de visitarnos en nuestro sitio Web (www.magazcitum.com.mx) pues para nosotros es relevante saber qué temas les resultan interesantes. Como siempre, muchas gracias por su atenta lectura. Atentamente Héctor Acevedo Juárez Editor en jefe 4 1 El reporte completo, en inglés, puede bajarse de reports/global-information-technology-report-2014

5

6 opinión Consejos prácticos para la implementación de su SGSI Carlos Villamizar Rodríguez CISA, CISM, CGEIT, CRISC, CobiT Foundation Certificate e ISO27001 LA / Según estadísticas de la International Organization for Standardization (ISO), al finalizar el año 2012 en todo el mundo se habían certificado 19,577 empresas en la Norma ISO27001: Sistema de Gestión de Seguridad de la Información (SGSI) 1. Asia oriental y Europa, con 10,373 y 6,384 empresas respectivamente, llevan una delantera significativa sobre otras regiones del mundo. Igualmente, desde 2006 hasta 2012 se observa un creciente incremento en el interés de las organizaciones por obtener su certificación en dicha norma, como se observa en la siguiente figura. 15,000 10,000 Asia oriental y Pacífico América del Norte Oriente Medio Europa Asia central Centro y Suramérica África ,

7 Mientras que la lista de los 10 países con mayor cantidad de empresas certificadas está encabezada por Japón, seguido del Reino Unido e India: Países certificados en ISO (Top 10) 1 Japón 7,199 2 Reino Unido 1,701 3 India 1,600 4 China 1,490 5 Rumania Taipei España Italia Alemania Estados Unidos 415 En América Latina al finalizar 2012 sólo teníamos 278 empresas certificadas en la Norma ISO27001:2005 (1.42% del total). Aunque nos encontramos a años luz de quienes están en el top 10, encontramos un panorama interesante y creciente en países como México, Colombia y Brasil, como se observa en la tabla siguiente: Argentina Barbados 1 1 Bolivia Brasil Chile Colombia Costa Rica Cuba Rep. Dominicana Ecuador El Salvador Guatemala Guyana 1 1 Honduras 1 1 Jamaica 1 1 México Panamá Perú Puerto Rico Trinidad 1 Uruguay Total por año He participado en los últimos cinco años en una veintena de proyectos de definición e implementación de sistemas de gestión de seguridad de la información (SGSI). Particularmente el año anterior tuve el orgullo de llevar a dos empresas en Colombia a la obtención de la certificación ISO27001:2005. Abril - Junio

8 En el devenir de la ejecución de estos proyectos he identificado 10 aspectos básicos para su culminación exitosa, por ello me atrevo a compartir con ustedes estos consejos, esperando que les sean de utilidad como lo han sido para mí después de haber sufrido también alguno que otro sinsabor: 1.Compromiso de la alta dirección. Para que la iniciativa entregue los resultados esperados es un requisito necesario el apoyo e involucramiento de la alta dirección, sin su apoyo formal real es casi imposible desarrollarlo y demostrar el logro de la conformidad en la implementación del SGSI. Aquellos proyectos que provienen de los sectores operativos o tácticos y no cuentan con el respaldo de la alta dirección tienen mayor posibilidad de fracaso. 2.Cada organización es un mundo diferente. Aun perteneciendo al mismo sector económico o a un mismo grupo empresarial, cada empresa tiene su ambiente de control, un apetito de riesgo y riesgos de seguridad de la información particulares. Lo que es bueno para una, puede que no lo sea para otra, por ello copiar tal cual NO es procedente. Se debe considerar un entendimiento de los requerimientos de seguridad y gestión de riesgos sui géneris de cada organización. 3.Definición apropiada del alcance. Es importante definir un alcance del SGSI que sea viable. El esfuerzo para implementar el sistema de gestión no es el mismo cuando el alcance incluye TODOS los procesos de la organización, a uno que incluya sólo uno o dos procesos relevantes. En este sentido es mejor iniciar con pocos procesos y paulatinamente ir creciendo la cobertura del SGSI, a medida que se obtiene mayor madurez en seguridad de la información. 4.Los controles no son todo. Es un error creer que la implementación de los controles de seguridad incluidos en el Anexo A de la norma es el todo. A pesar de ser muy importantes, existen otros que deben considerarse elementos clave de un SGSI, como por ejemplo los objetivos de seguridad de la información, la declaración de aplicabilidad, métricas e indicadores de seguridad, información documentada, procedimientos de auditoría interna, no conformidades, acciones correctivas, etcétera. 5.El SGSI es de la empresa. En ocasiones, las organizaciones contratan el servicio de consultoría para apoyar la definición y puesta en marcha del sistema de gestión, cometiendo el craso error de delegar todo el trabajo al grupo consultor sin involucrarse en el desarrollo del proyecto. Por favor tengan en cuenta que el SGSI no es de la consultora, es de la organización! La consultora algún día se irá, y si la organización no se compromete desde el inicio del proyecto no aprenderá a implementar y mantener adecuadamente su sistema de gestión. He visto algunos casos en los cuales la consultora entregó al cliente manuales, procedimientos, formatos, etcétera Y el cliente no sabe cómo aplicarlos! 6.Evalúe el desempeño. Una forma de saber si el SGSI está operando adecuadamente o no es a través del uso de métricas e indicadores. La vieja máxima que dice que lo que no se puede medir no se puede controlar es aplicable también a un sistema de gestión. Luego entonces, hay que definir métricas e indicadores relevantes. En ISO27004 MEDICIONES PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN se puede encontrar una guía de orientación, inclusive con algunos ejemplos. 7.Sensibilice. En la implementación del SGSI no debemos dejar de lado el recurso humano y sus responsabilidades frente a la seguridad de la información. A la gente se puede llegar a través de diversos medios para sensibilizarla: afiches, pendones, protectores de pantalla, videos, trivias, juegos, obras de teatro, etcétera 2. 8.Importante es llegar, pero mantenerse también. La certificación en la Norma ISO no es el fin, es apenas el inicio de un largo y sinuoso camino por la seguridad de la información. Recuerde que un SGSI debe operarse día a día, no una semana antes de la auditoría de certificación o mantenimiento. El sistema debe ser sostenible en el tiempo y eso se logra solamente con el involucramiento del personal y su operación diaria. 9.Mejora continua. Si se hace adecuadamente, realimenta y hace que el SGSI se nutra y enriquezca. Es vital establecer acciones correctivas y preventivas para que el sistema reaccione ante eventos desfavorables y evolucione hacia una mayor eficacia. 10.Automatice su SGSI. Tradicionalmente estas iniciativas se ejecutan con el apoyo de herramientas de ofimática. En mis últimas experiencias de contribución a la obtención de la certificación en ISO27001:2005, el uso de una herramienta automatizada que cubra todo el ciclo de vida del SGSI (planear-hacer-verificar-actuar) sin lugar a dudas ha sido factor crítico de éxito, ya que ha reducido la duración de la consultoría por lo menos 25%, especialmente en las actividades de inventario de activos, gestión de riesgos y establecimiento de métricas e indicadores. Además, ha permitido que el cliente se involucre directamente en el uso de la herramienta conservando todos los registros y documentos del SGSI en un solo repositorio de información y, sobre todo, le ha permitido dar sostenibilidad al SGSI, sin dependencia directa del equipo de consultoría. 1 Fuente: 2 Mayor información se puede encontrar en Jugando a crear cultura de seguridad de la información De la teoría a la práctica publicado en 8

9

10 opinión Certificaciones en seguridad de la información Por dónde empezar? Esteban San Román Canseco CISSP, CISA, CEH, ITIL y CRISC Desde hace tiempo contar con una certificación ha sido un argumento muy utilizado como herramienta de apoyo en la venta de proyectos. En mi escritorio tengo una imagen que incluye la frase Lo mejor de los estándares es que hay muchos de dónde escoger y esto es muy cierto, puedo apegarme a un estándar de acuerdo a la industria en la que me desenvuelvo, al entorno regulatorio del país, al gremio profesional al que pertenezco e inclusive de acuerdo a cómo me desempeño en mis labores cotidianas. Desde otro punto de vista, una certificación puede entonces asociarse a procesos, tecnología o gente. Procesos ISO-9000 y su enfoque hacia la calidad total detonaron la necesidad de que hubiera una entidad independiente que avalara la capacidad de las organizaciones para desempeñar con eficiencia las diversas tareas que componen los diferentes procesos y que a su vez constituyen el motor de la operación de los negocios. Prácticamente todos los estándares ISO que conocemos, en particular los asociados a TI (ISO-27001, ISO-20000, ISO , etcétera) siguen la estructura del estándar base ISO Es muy importante cuando se trabaja con un estándar tener la seguridad de que es la versión más actualizada del mismo. No es igual homologar los procesos al estándar ISO27001:2005 que hacer referencia al ISO27001:2013, hay modificaciones relevantes de versión a versión. Si usted está apoyado por un buen grupo de consultores es muy probable que ellos estén al tanto de los ajustes que se requieren para dar cumplimiento a las regulaciones que nos exigen nuestros socios de negocio. En Magazcitum podrá encontrar artículos muy recientes de nuestros colaboradores donde se abordan las peculiaridades de estos cambios. La necesidad de certificarse ha tomado diferentes matices y dejó de limitarse a los procesos, comenzando a involucrar a la tecnología que los habilita y a la gente que la opera. Tecnología Para el campo de la tecnología el gobierno de los Estados Unidos y en particular el Departamento de la Defensa crearon hacia finales de la década de los setenta el TCSEC (Trusted Computer System Evaluation Criteria), con enfoque en el atributo de confidencialidad de la información y cuya publicación base es el Libro Naranja. Este libro, conocido también como el estándar DoD , es a su vez parte de una serie de libros de diferentes colores, asociados cada uno de ellos a diferentes temas de TI y que en conjunto reciben el nombre de Serie Arcoiris (Rainbow Series). Hacia 1990, Francia, Holanda, Alemania, el Reino Unido y posteriormente el resto de la Unión Europea redefinieron el nivel de aseguramiento y añadieron el atributo de funcionalidad para crear un estándar alterno llamado ITSEC (Information Technology Security Evaluation Criteria) y a partir de ambas propuestas y el estándar canadiense CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) se desarrolló el Common Criteria (CC), hoy ISO/IEC Este estándar de 7 niveles (EAL1 a EAL7), dictamina el nivel de confiabilidad que se puede tener en una solución tecnológica, sea hardware o software. Si está por adquirir una solución basada en uno o varios productos de seguridad de diferentes fabricantes, este parámetro le puede dar una idea de qué tan reconocida es la mezcla de tecnologías que contempla con el objeto de compararlas con otras alternativas. 10

11 Para obtener mayor información de los criterios de evaluación que mencionamos visite los siguientes enlaces: https://www.bsi.bund.de/cae/servlet/contentblob/471346/publicationfile/30220/itsec-en_pdf.pdf Con afán de sentar las bases de comparación tecnológica, una mención aparte merece la aparición y desarrollo del segmento de los laboratorios de pruebas comparativas o benchmarking donde encontramos por ejemplo al Tolly Group, Icsalabs o agencias consultoras que hoy son ampliamente reconocidas como Gartner, Forrester Research y el Yankee Group, cuya incursión y bonanza ha sido alimentada por las necesidades de diferenciación de los fabricantes de soluciones en un medio en el que cada vez es más difícil distinguirse de otros. Quiero puntualizar que estas referencias no son de ninguna forma exhaustivas, tan solo representan una pequeña muestra de lo que hay en el mercado. Gente Una certificación en cualquier ámbito se ha vuelto un distintivo inaplazable para la gran mayoría de los profesionales de TI y de alguna forma también para adquirir un nivel de reconocimiento en el gremio. Para conseguir una promoción, obtener un empleo calificado en una corporación o ser simplemente considerado en un proyecto, tener una certificación se ha vuelto un deber del profesional de TI. Existen alrededor de dos mil diferentes certificaciones solamente en TI, muchas de ellas atadas al conocimiento de la tecnología de un fabricante y otras al conocimiento y aplicación de los conceptos de varias disciplinas y con independencia de una solución. Para saber más de las distintas certificaciones que hay en el mercado acceda a: Un apunte final: aunque no hay una garantía per se de la capacidad de aquel que ostenta una certificación, siempre es un indicador de que la persona ya ha demostrado un nivel de conocimientos en una evaluación imparcial y de que cuenta con una preparación que puede ir consolidando con la experiencia de los proyectos que pongan a prueba estas capacidades. A continuación se listan algunas de las certificaciones más reconocidas en seguridad informática, sin seguir necesariamente un orden particular: CEH - Certified Ethical Hacker CHFI - Computer Hacking Forensic Investigator Reconoce a individuos en tópicos específicos de la disciplina desde una perspectiva neutral al fabricante. Un hacker ético certificado es un profesional que entiende y conoce la forma de buscar debilidades y vulnerabilidades en los sistemas objetivo valiéndose del mismo conocimiento y herramientas de las que dispone un hacker malicioso. El análisis forense es un proceso enfocado a detectar los ataques producidos por actividades de hackeo y extraer de manera adecuada la evidencia para reportar un presunto crimen o llevar a cabo auditorías que prevengan ataques en el futuro. Los investigadores que cuentan con esta acreditación manejan un conjunto de técnicas y metodologías para descubrir los datos que residen en un sistema de cómputo, o recuperar información que ha sido borrada, cifrada o dañada. Al entrenarse, los participantes obtienen los elementos necesarios para identificar las huellas del intruso y colectar eficazmente la evidencia para armar un caso que se pueda llevar a los tribunales. CISSP - Certified Information Systems Security Professional La certificación estrella de ISC2 es considerada como una de las credenciales de mayor representatividad en el ámbito de la seguridad informática a nivel mundial. Su cobertura en disciplinas abarca tanto campos técnicos como la seguridad en redes, desarrollo, criptografía y controles de acceso. El número de profesionales con esta certificación ya se acerca a los 100 mil a nivel mundial. CSSLP - Certified Secure Software Lifecycle Professional Con la cada vez más generalizada proliferación de vulnerabilidades en los aplicativos, que resultan de los procesos tradicionales de desarrollo de software, un profesional con esta certificación de la ISC2 implanta mejores prácticas y valida las medidas de seguridad que se incorporan al ciclo de vida del desarrollo de software (SDLC). Con una visión holística de la seguridad aplicativa, independiente del lenguaje o la técnica empleada para producir código, esta certificación se creó para analistas, desarrolladores, ingenieros de software, arquitectos de aplicación, gerentes y líderes de proyecto y profesionales de aseguramiento de calidad. PMP - Project Management Professional La certificación PMP, otorgada por el Instituto de Administración de Proyectos (PMI), es la acreditación en esta materia con el mayor reconocimiento general. En la actualidad, existen más de 265 mil PMP en más de 180 países. GIAC - Certified Forensic Analyst (GCFA) Es una de las más reconocidas del SANS Institute y su ámbito abarca a los profesionales que trabajan en los campos de cómputo forense y respuesta a incidentes de seguridad de la información. La certificación tiene enfoque en las habilidades fundamentales para recuperar información de sistemas basados en Windows y Linux, de manera que los candidatos demuestren que tienen los conocimientos y habilidades necesarias para conducir investigaciones de incidentes y manejar escenarios avanzados. CISA - Certified Information Systems Auditor Esta certificación es de las más reconocidas y que más tiempo tiene en el medio. Es otorgada por la Asociación de Auditoría y Control de Sistemas de Información (ISACA) y se reconoce a nivel mundial cuando se habla de capacidad sobre temas de auditoría y controles de TI. Existen alrededor de 87 mil profesionales en el mundo con esta certificación. Abril - Junio

12 opinión De ransomware y otros males Imelda Flores PMP, CISSP, ITIL, CCNA Security, Cisco IPS y Optenet Certified Todos sabemos que en los últimos años las amenazas provenientes del cibercrimen se han incrementado exponencialmente. En un reporte que RAND realizó en conjunto con Juniper, señaló que el mercado negro de software es incluso mayor que el de drogas como la cocaína y la mariguana. Así las cosas, últimamente ha estado tomando mucha relevancia el ransomware, término que se le da al malware que bloquea el acceso a un equipo o a la información del mismo hasta no pagar cierta cantidad de dinero. Hace varios años empezó en forma de police ransomware este tipo de amenaza, usando el logotipo de la policía local para acusar a la víctima de haber estado viendo pornografía e informarle que debe pagar una multa o de lo contrario le espera la cárcel. Gracias a los esfuerzos de concienciación eso ya pasó de moda, pero ahora el malware lo que hace es cifrar la información y pide entre 300 y 600 dólares, normalmente pagados en forma de bitcoins (dinero electrónico difícil de rastrear) en cierto tiempo, so pena de incrementar la cuota o de borrar definitivamente la información. Lo más grave es que, aunque se pague, no existe garantía de que realmente se proporcione la llave para descifrar la información. Existen distintas variantes, entre ellas está CryptoLocker, Prison Locker, BitCrypt, CryptorBit y Cryptodefense, el más nuevo al momento de redactar esta nota, el cual de acuerdo con el portal de noticias Dark Reading fue desarrollado por una banda que compite con los creadores de CryptoLocker. Para minimizar el riesgo de infección, varios fabricantes de antivirus recomiendan tener un respaldo de los datos, por supuesto en un medio externo y desconectado de la computadora, con la información a proteger, mantener el sistema operativo y el antivirus actualizado, etcétera. Si bien estas medidas pueden ayudar a reducir la pérdida de una parte de la información, no evitarán que un atacante comprometa un equipo con una variante que el antivirus no puede detectar. Después de leer lo anterior, la pregunta que todos se deben estar haciendo en este punto es Cómo nos protegemos de este tipo de amenazas? Definitivamente no es a través de las medidas típicas, ya pasaron los tiempos donde era suficiente con tener antivirus, un firewall y un IPS; estamos en un punto en el que es necesario incorporar inteligencia más allá de herramientas y monitoreo de seguridad tradicional, porque podemos estar seguros de que el ransomware es el menor de nuestros males, ya que con la cantidad de cibercriminales existentes, la exposición es cada vez mayor no solo al cifrado indeseado sino a todo tipo de robo de información. La inteligencia a incorporar debe alimentarse de información de distintos puntos de la red, con expertos que sean capaces de analizarla en tiempo real para tomar decisiones. Se requiere una estrategia integral con procesos y procedimientos que permitan ser proactivos más que actuar cuando ya se presentó un incidente de seguridad, porque cada actividad realizada dentro de la organización sin el adecuado análisis puede abrir un hueco de seguridad. Desde mi punto de vista, creo que un gran número de organizaciones en Latinoamérica no está preparado para los costos de la verdadera seguridad, sin embargo siempre debiera hacerse un análisis básico sobre el costo de estar protegidos y disminuir el riesgo versus afrontar las consecuencias económicas, políticas y de imagen de un incidente de seguridad. Definitivamente es un tema a ser analizado en el contexto de cada organización, sólo cabe destacar que cada minuto que nosotros perdemos es un minuto que cientos de delincuentes están aprovechando para explotar nuestras vulnerabilidades. 12

13

14 isión:crítica Deje de compra (segunda parte) Ulises Castillo Hernández MSIA, CISSP, CISM y CISA En la primera parte comenté sobre el sesgo que los responsables de seguridad comúnmente tienen hacia la tecnología y por lo que es frecuente que no exista un balance adecuado entre gente, procesos (incluyendo particularmente la disciplina de operación de la seguridad) y tecnología. Este desbalance es la inspiración para el título de este artículo. También enumeré los principales procesos que deberían tomarse en cuenta y las tareas que cada uno de ellos debe contemplar, para que el lector cuente con herramientas para evaluar el nivel de madurez de su organización a este respecto. En esta ocasión abordaré algunas ideas y sugerencias de cómo implementar esos procesos y mejores prácticas. Para ello utilizaremos el caso hipotético de Gigi. 14 Nuestro caso de estudio Gigi es la responsable de seguridad de la información (o CISO, por las siglas en inglés de Chief Information Security Officer) de una empresa en el ramo de seguros. En los últimos años ha tenido algunos incidentes de seguridad que han hecho que los altos ejecutivos estén más conscientes de la necesidad de protección de su información y le soliciten a Gigi mejores resultados en esa tarea. Lo anterior ha hecho que Gigi se sienta muy presionada, pues no sólo le han exigido mejorar la seguridad sino que le han aprobado, con ciertas limitaciones, las iniciativas de mejora que ha propuesto. El año pasado, por ejemplo, le autorizaron reforzar la seguridad en Internet y en los servidores críticos de bases de datos. Para estos dos proyectos Gigi adquirió varios dispositivos, incluyendo un firewall de bases de datos, y dos personas de su equipo tomaron los cursos de los fabricantes respectivos. No obstante, el mes anterior hubo un incidente de seguridad relacionado con fuga de información y, para colmo, la base de datos usurpada era una de las que supuestamente estaban protegidas. Cuando se le reclamó al proveedor del equipo, este argumentó a su favor que (a) los firewalls de bases de datos habían enviado ciertas alertas a la consola, pero nadie las estaba monitoreando en ese momento, (b) la configuración de los mismos no estaba completa pues faltaba aplicar ciertas reglas para detectar algunos comportamientos anómalos, y (c) los administradores de bases de datos no tenían bien configurados los permisos, lo que aumentaba las vulnerabilidades en el sistema.

15 r tecnología de seguridad En resumen, la tecnología no podía suplir errores y omisiones humanas. Parecía que Gigi y su equipo necesitaban algo más. Leyendo la primera parte de este artículo, Gigi se dio cuenta de lo que había estado haciendo en los últimos meses: había estado tratando de resolver los retos de seguridad poniendo demasiado peso en las herramientas, poco peso en la gente que las opera, y prácticamente ninguno en los procesos para su gestión y monitoreo. Lo que narraré a continuación son las diversas actividades que Gigi y su equipo realizaron para mejorar sus procesos y prácticas de seguridad. El lector se dará cuenta de que las fases en que dividió Gigi el proyecto pueden servir de base para proyectos similares en su organización y conformar un marco metodológico general que pueda ser fácilmente aplicable. Tomando conciencia El lunes siguiente Gigi llegó a su oficina con una tarea en mente: hacer que su gente entendiera la importancia de los procesos y prácticas de seguridad. Afortunadamente todo el equipo había leído y entendido el mensaje: Hay que implementar buenos procesos y prácticas de seguridad. Todos estaban de acuerdo en el qué, pero no sabían cómo atacar el problema. Después de revisar varias alternativas, Gigi propuso establecer algunas preguntas clave: Primera etapa (entendiendo el problema)- Dónde estamos? Qué tenemos? Qué implicaciones hay? Segunda etapa- Qué queremos lograr? Tercera etapa- Qué opciones tenemos? Cuarta etapa- Qué hay que hacer? misión:crítica Todos aceptaron la idea de usar como base estas preguntas y se pusieron a trabajar. Veamos lo que fueron logrando en cada etapa. Primera etapa (entendiendo el problema) Dónde estamos? Qué tenemos? Qué implicaciones hay? Dado que el objetivo de esta etapa es entender mejor el problema, después de una breve discusión todos estuvieron de acuerdo en hacer un análisis de brechas de los procesos. Esto es establecer el estado actual de cada proceso y después definir la brecha (aquello que le falta) para llegar al nivel de madurez deseado. El equipo de trabajo se dio cuenta de que ellos mismos conocían el estado de la mayoría de los procesos por lo que casi no necesitarían consultar fuentes externas y esta labor sería relativamente rápida. Abril - Junio

16 isión:crítica Para hacer un poco más concreto el análisis de brechas, decidieron crear un modelo de madurez de procesos con los niveles siguientes: 0. Inexistente. No hay un proceso implementado ni prácticas equivalentes. 1. Básico. El proceso es muy simple, no está documentado en forma completa y tiene alcances limitados (podrían, incluso, no estar muy claros esos alcances). No está integrado con otros procesos, además de que hay muchas inconsistencias y errores asociados a su ejecución. 2. Intermedio. La documentación y alcances son mejores que los del nivel anterior pero aún es incompleta o todavía hay inconsistencias, ya sea en su ejecución, entre lo documentado y la práctica, etcétera. Los niveles de sistematización y automatización tampoco son los mejores. 3. Avanzado. Los alcances son los que pragmáticamente requiere la organización, aunque no cumplan rigurosamente con los estándares o prácticas internacionales. La documentación es completa y consistente con la ejecución. El nivel de sistematización y automatización puede no ser el mejor pero el proceso es eficiente. 4. Ideal. Cumple con las mejores prácticas a nivel internacional. El proceso está completamente documentado, todos los involucrados lo conocen y lo siguen, por lo que hay total consistencia en su ejecución y se llevan métricas de la misma (a veces llamados KPI: Key Performance Indicators). Hay evidencias claras de su utilización. Está sistematizado y su automatización se ha llevado al máximo nivel. Está integrado con los demás procesos. Al continuar con la preparación decidieron asociar una implicación a la brecha ( Qué nos ha pasado o nos puede pasar por no tener bien implementado ese proceso o práctica de seguridad?) y acotaron el alcance de la tarea: los procesos asociados con administración de identidades, administración de vulnerabilidades y desarrollo de aplicaciones seguras los dejarían para un futuro. Aunque las definiciones de niveles de madurez anteriores no son exactamente iguales a modelos más conocidos, esas fueron las que Gigi y su equipo definieron y con las que estuvieron a gusto. Veamos a continuación sus hallazgos para algunos de los procesos. Proceso de administración de riesgos a) Dónde estamos? Qué tenemos?: se hace un análisis de riesgos anual y se establecen prioridades de atención así como un plan concreto de acción. b) Qué implicaciones hay?: el equipo se dio cuenta de que uno de los elementos que les faltaba era tener una realidad única sobre los riesgos de la información. También se dieron cuenta de que no contaban con métricas claras para establecer el nivel de riesgo de la empresa y determinaron que otra brecha importante era convertir el análisis de riesgos en un proceso continuo de administración de riesgos, que no tenían. Determinar las implicaciones de lo anterior resultó muy sencillo. Se percataron de que su proceso estaba en el nivel básico y que al no tener una cobertura integral y no ser continuo aumentaba su nivel de exposición, pues solo una vez al año están haciendo un análisis razonablemente completo. Adicionalmente, al no contar con métricas de seguridad, cada uno de los involucrados tiene percepciones y opiniones distintas sobre el nivel de riesgos de la información de la empresa, lo que se está haciendo para su manejo y, en general, acerca del estado de seguridad de la organización. Proceso de administración de vulnerabilidades a) Dónde estamos? Qué tenemos?: se dieron cuenta de que el nivel de madurez era muy básico. Hoy contratan a un externo para hacer pruebas de hackeo ético desde Internet y después de cada prueba se establece, con apoyo del tercero, el plan de remediación de las vulnerabilidades encontradas. b) Qué implicaciones hay?: el plan de remediación que establecen después de cada prueba es muy concreto y no es un proceso continuo. Adicionalmente, las remediaciones no se insertan en el proceso de control de configuraciones y no hay nadie revisando continuamente nuevos ataques o amenazas en Internet. 16

17 Al no tener un proceso continuo y con mayor cobertura que incluya un escaneo en toda la infraestructura tecnológica y aplicaciones, así como en los procesos y en el personal, es altamente probable que haya vulnerabilidades de las cuales no están conscientes, lo que aumenta su exposición a distintos riesgos. Procesos de administración de cambios y configuraciones «...al no contar con métricas de seguridad, cada uno de los involucrados tiene percepciones y opiniones distintas sobre el nivel de riesgos de la información de la empresa» 1. Dónde estamos? Qué tenemos?: se dieron cuenta de que en el área de sistemas casi toda la infraestructura posee un buen nivel de madurez en estos procesos; están definidos, son conocidos por los responsables y se siguen rutinariamente. Sin embargo, en la configuración de bases de datos e infraestructura de seguridad estos procesos no son tan maduros pues su definición no está completa, las guías de apoyo están desactualizadas o no existen, no pasan por la planeación de los cambios y nadie garantiza que los elementos involucrados estén con configuraciones autorizadas y actualizadas. 2. Qué implicaciones hay?: la principal implicación es inestabilidad, que tratándose de dispositivos de seguridad se manifiesta como inseguridad. Procesos de monitoreo de la seguridad y manejo de incidentes de seguridad a) Dónde estamos? Qué tenemos?: todo el equipo de Gigi tuvo que reconocer que en estos procesos el nivel de madurez era prácticamente nulo. Aunque se habían implementado las consolas de firewalls, IPS (sistemas de prevención de intrusos), antivirus y filtros de contenido, no había ningún responsable de su monitoreo y, por tanto, nadie lo hacía de manera continua. Por otro lado, se dieron cuenta de que tampoco existían acciones predefinidas para el manejo de actividades sospechosas o incidentes de seguridad. b) Qué implicaciones hay?: no se monitorea el comportamiento de la infraestructura de seguridad y las acciones derivadas de un incidente de seguridad tienen resultados aleatorios, pues cada persona actuará como mejor crea conveniente o conforme le dicte su experiencia. misión:crítica Segunda etapa Qué queremos lograr? En esta etapa al preguntarse Qué queremos lograr?, el equipo definió su VISIÓN: Deseamos implementar una operación de la seguridad más estable, que sea proactiva para detectar y manejar oportunamente los incidentes de seguridad. Abril - Junio

18 isión:crítica Como ya se imaginarán, a continuación precisaron definir varios de los términos de la visión anterior: a) Operación estable. La definieron como una operación en donde: Los procesos de control de cambios y configuraciones son claros, bien establecidos y alineados a ITIL. 99 de cada 100 cambios se ejecuten conforme a lo planeado. Los dispositivos de seguridad involucrados estén actualizados. b) Detección oportuna. Concluyeron que para detectar oportunamente y ser más proactivos debían: Implementar un proceso de monitoreo y detección de incidentes de seguridad apegado a las mejores prácticas. Detectar todos los incidentes de seguridad que la tecnología permita en un lapso menor a 10 minutos y contenerlos en los siguientes 60 minutos. Monitorear diversos sitios de Internet para conocer, el mismo día, nuevas vulnerabilidades y nuevas amenazas (incluyendo, entre otras, ataques de día cero y amenazas persistentes avanzadas) para aplicar las medidas necesarias. Ahora bien, al intentar establecer el marco de mejores prácticas e indicadores más específicos, se dieron cuenta de que el monitoreo y detección de incidentes de seguridad no están bien definidos en ITIL, además de que requerían una mayor experiencia. Por ello, para no abarcar demasiado, decidieron dejar para un futuro el análisis de los procesos de administración de riesgos y vulnerabilidades, no por no ser importantes sino porque todo proyecto debe acotar sus alcances. Tercera etapa Qué opciones tenemos? Como ya se comentó, se decidió trabajar en los procesos de administración de configuraciones, cambios, monitoreo de seguridad y manejo de incidentes de seguridad. Al decidir que se buscaba un nivel de madurez avanzado en menos de un año, el equipo de Gigi estableció las alternativas para desarrollar el proyecto y definió que había tres variables importantes para jugar con las opciones: a) Cobertura: Qué procesos queremos cubrir? b) Madurez: A qué nivel de madurez aspiramos llegar en los procesos elegidos? c) Forma: Quién lo desarrollará? El equipo de Gigi, un externo calificado o una combinación para tener un equipo mixto? C M Y CM MY CY CMY K El resultado del análisis se resume en la siguiente tabla: 18 Cobertura Administración de cambios y configuraciones. Basado en ITIL versión 3. En la primera etapa se cubrirán solamente los firewalls y sistemas de prevención de intrusos (IPS) de la salida a Internet. Posteriormente se cubrirán otros dispositivos. Monitoreo y manejo de incidentes de seguridad. Utilizarán la metodología de un proveedor externo (la cual está basada en el CERT y en SANS). El enfoque será hacia los firewalls (incluyendo los de bases de datos) e IPS. Posteriormente hacia otros dispositivos e integración de herramientas de correlación (SIEM). Nivel de madurez deseado Nivel 3: avanzado Nivel 3: avanzado Resumen de opciones para los procesos a cubrir en la fase 1 del proyecto Quién lo desarrollará? El equipo interno desarrollará e implementará estos procesos debido a que tienen los conocimientos y experiencia suficiente en ITIL. El equipo del proveedor externo realizará las adaptaciones a su metodología

19 Está Usted seguro de que está eligiendo al Mejor? Protecting the Data That Drives Business Seguridad en Aplicaciones web Proteja sus aplicaciones web cruciales SecureSphere Web Application Firewall de Imperva, la solución líder del mercado:» Aprendizaje automático de la estructura de las aplicaciones y del comportamiento de los usuarios» Actualiza las defensas Web, con información basada en investigaciones relativas a las amenazas actuales» Mediante la solución ThreatRadar, identifica el tráfico que proviene de fuentes malintencionadas» Aplicación de parches virtuales a las aplicaciones mediante la integración con scanner de vulnerabilidades» Proporciona un alto rendimiento, implementación directa y generación de alertas, e informes claros y relevantes desde el punto de vista empresarial» Cumple totalmente los requisitos 6.6 de PCI DSS SecureSphere Web Application Firewall ThreatRadar Imperva México IZA Business Centers Piso 5 ANTARA POLANCO Av. Ejército Nacional 843 B Col Granada México D.F Informes: Tel: Copyright 2014, Imperva Reservados todos los derechos. "Imperva" y "SecureSphere" son marcas comerciales registradas de Imperva. Todas las demás marcas y nombres de productos son marcas comerciales o marcas comerciales registradas de sus respectivos propietarios.

20 Cuarta etapa Qué hay que hacer? Se decidió dividir el trabajo en dos grupos: un equipo interno enfocado a los procesos de administración de cambios y configuraciones, y un equipo híbrido dedicado al proceso de monitoreo y administración de incidentes de seguridad. Las principales acciones que se definieron para el equipo interno fueron las siguientes: a) Capacitar a dos personas en el nivel inicial de ITIL. b) Aterrizar los procesos de control de cambios y configuraciones. Esto incluye determinar los flujos específicos con las tareas que le corresponden a los roles involucrados, ajustar los indicadores (KPI), entre otras tareas. c) Hacer guías básicas de configuración de los firewalls y de los IPS, de acuerdo a las marcas y modelos que tiene la empresa instalados hoy en día. d) Realizar revisiones simuladas de los procesos, donde se prueben con algunos cambios controlados y se recorran los procesos respectivos. e) Ajustar los procesos de acuerdo a lo observado en la actividad anterior. f) Implementar los procesos. El cronograma general lograron establecerlo para seis meses como lo muestra la figura siguiente: ACTIVIDAD MES 1 MES 2 MES 3 MES 4 MES 5 MES 6 A. Capacitación ITIL B. Aterrizar procesos C. Hacer guías básicas D. Pruebas E. Ajustes a procesos F. Implementación Cronograma para la implementación de los procesos de control de cambios y configuraciones Para el segundo equipo las actividades principales se estipularon así: a) Levantamiento de información. El objetivo es que el proveedor se familiarice con la forma actual de operar la infraestructura, pero sobre todo- con la visión específica del proyecto y lo que se desea obtener en estos procesos. b) Revisión de alcances. En esta actividad se debe realizar un documento completo sobre los alcances, generalmente llamado SOW, por las siglas del inglés de scope of work. c) Adaptación de los procesos. Esta tarea es realizada fundamentalmente por el externo, y el objetivo es ajustar los procesos de su marco metodológico a las necesidades y particularidades del cliente, incluyendo procedimientos, guías, roles, funciones y demás definiciones y documentos que acompañan a dichos procesos y que son necesarios para la operación completa. d) Transferencia de conocimientos, que abarca: Talleres y cursos para el entendimiento de los procesos y los documentos complementarios. Operación conjunta, que incluye un período de apoyo (coaching) muy personalizado a cada integrante del equipo del cliente, así como un periodo de operación de transición. Liberación, que incluye un periodo de observación y evaluación de la operación autónoma del cliente. 20

IMPLEMENTADOR LÍDER ISO 27001

IMPLEMENTADOR LÍDER ISO 27001 IMPLEMENTADOR LÍDER Este curso está acreditado oficialmente por el Professional Evaluation and Certification Board (PECB) y conducen a certificaciones profesionales reconocidas internacionalmente y avalado

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Nuestra propuesta ofrece el curso y certificación del siguiente tema: CISSP Certified Information Systems Security Professional (ISC)²

Nuestra propuesta ofrece el curso y certificación del siguiente tema: CISSP Certified Information Systems Security Professional (ISC)² Monterrey, N.L. a 25 de junio de 2014 Lic. Raúl González Reyna Lic. Andrés Simón Bujaidar MéxicoFIRST Presentes Estimados Señores: Adjunto a este documento ponemos a su consideración la propuesta de servicios

Más detalles

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas INFORME SEGURIDAD EMPRESAS Informe Global IT Security Risks de Kaspersky Lab El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas Un 55% de

Más detalles

5 pilares de la gestión de API

5 pilares de la gestión de API 5 pilares de la gestión de API Introducción: Gestión de la nueva empresa accesible Materialización de las oportunidades de la economía de API En los sectores industriales, los límites de la empresa tradicional

Más detalles

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs) Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs) 10 de Julio de 2015 http://www.itbusinessedge.com/slideshows/ten-top-paying-tech-security-jobs.html Sin lugar a dudas,

Más detalles

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones

Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Norma: Normas de Seguridad de Datos (DSS) Requisito: 6.6 Fecha: febrero de 2008 Suplemento informativo: aclaración del requisito 6.6 sobre revisiones de códigos y firewalls de aplicaciones Fecha de publicación:

Más detalles

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina

ESET Security Report 2013 Argentina. Situación de la seguridad corporativa en América Latina ESET Security Report 2013 Argentina Situación de la seguridad corporativa en América Latina CONTENIDO Incidentes de Seguridad en empresas argentinas Implementación de Controles y Gestión Controles basados

Más detalles

Cómo elegir una autoridad de certificación que aumente la seguridad de su sitio web. Servicios de autenticación VeriSign.

Cómo elegir una autoridad de certificación que aumente la seguridad de su sitio web. Servicios de autenticación VeriSign. Documento técnico Cómo elegir una autoridad de certificación que aumente la seguridad de su sitio web TM Resumen ejecutivo La confianza es fundamental en Internet. Si un sitio web o un servicio en línea

Más detalles

Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información.

Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información. Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información. Ing. Carlos Boris Pastrana Polo Desarrollo de Negocios - Sector Gobierno cpastrana@scitum.com.mx Scitum, S.A. de C.V.

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

AUDITOR LÍDER ISO 27001

AUDITOR LÍDER ISO 27001 AUDITOR LÍDER Este curso está acreditado oficialmente por el Professional Evaluation and Certification Board (PECB) y conducen a certificaciones profesionales reconocidas internacionalmente y avalado por

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Inventario de Ne gocio

Inventario de Ne gocio Gobierno Corporativo, Gestión del Riesgo y Gestión del Cumplimiento, son las tres visiones que integralmente conforman el marco conceptual ORCA Software GRC Suite. La plataforma provee mecanismos para

Más detalles

CURSO /TALLER ACTUALIZACIÓN NORMA ISO 27001:2013 CON ÉNFASIS EN GESTIÓN DEL RIESGO ISO 31000:2009

CURSO /TALLER ACTUALIZACIÓN NORMA ISO 27001:2013 CON ÉNFASIS EN GESTIÓN DEL RIESGO ISO 31000:2009 CURSO /TALLER ACTUALIZACIÓN NORMA ISO 27001:2013 CON ÉNFASIS EN GESTIÓN DEL RIESGO ISO 31000:2009 ISO 27001:2013 es una norma internacional emitida por la Organización Internacional de Normalización (ISO)

Más detalles

La historia de Imperva

La historia de Imperva La historia de Imperva La misión de Imperva es sencilla: Proteger la información que impulsa a las empresas de nuestros clientes Para lograr eso, Imperva es la empresa líder en la creación de una nueva

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Malware en América Latina y el Caribe durante el primer trimestre del 2011

Malware en América Latina y el Caribe durante el primer trimestre del 2011 Malware en América Latina y el Caribe durante el primer trimestre del 2011 Introducción: Los datos estadísticos mencionados en el presente artículo abarcan todos los países de América Latina y también

Más detalles

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN TU ASEGURAS LO QUE QUIERES DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTANDAR ISO 27001 Presentación De acuerdo a las circunstancias y el ambiente diario que se vive hoy en día en nuestro

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

5 pilares de la gestión de API con CA Layer 7

5 pilares de la gestión de API con CA Layer 7 Introducción: Gestión de la nueva empresa abierta Materialización de las oportunidades de la economía de API En los sectores industriales, los límites de la empresa tradicional están desapareciendo, pues

Más detalles

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013 EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR :2013 PRESENTACIÓN De acuerdo a las circunstancias y el ambiente diario que se vive hoy en día en nuestro país y en muchos otros lugares del mundo,

Más detalles

UPAEP Optimiza Servicios de TI a 17.000 Usuarios con Soluciones de CA Technologies

UPAEP Optimiza Servicios de TI a 17.000 Usuarios con Soluciones de CA Technologies CUSTOMER SUCCESS STORY UPAEP 2014 UPAEP Optimiza Servicios de TI a 17.000 Usuarios con Soluciones de CA Technologies PERFIL DEL CLIENTE Industria: Educación Compañía: UPAEP Empleados: 2.000+ INSTITUCIÓN

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Ayudamos a Prevenir, Detectar e Investigar el Fraude Informático

Ayudamos a Prevenir, Detectar e Investigar el Fraude Informático Ayudamos a Prevenir, Detectar e Investigar el Fraude Informático Prevención de Fraude Ethical hacking (Garantizado), Concientización y Capacitación en Seguridad Detección de Fraude Ambientes de control,

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

Servicios Administrados de Seguridad lógica

Servicios Administrados de Seguridad lógica Servicios Administrados de Seguridad lógica Índice Objetivos Alcance Servicios Administrados Soluciones propuestas Objetivo Mejorar y fortalecer las políticas de seguridad lógica que actualmente existen.

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

CyberSOC Seguridad 24/7

CyberSOC Seguridad 24/7 CyberSOC Seguridad 24/7 Una nueva realidad Escenario actual Las organizaciones se enfrentan hoy en día a un amplio catálogo de amenazas de seguridad que pueden materializarse tanto dentro como fuera del

Más detalles

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

BS 25999 - Gestión de la Continuidad del Negocio MINIMIZANDO LA INTERRUPCIÓN MAXIMIZANDO LA RECUPERACIÓN. raising standards worldwide TM

BS 25999 - Gestión de la Continuidad del Negocio MINIMIZANDO LA INTERRUPCIÓN MAXIMIZANDO LA RECUPERACIÓN. raising standards worldwide TM BS 25999 - Gestión de la Continuidad del Negocio MINIMIZANDO LA INTERRUPCIÓN MAXIMIZANDO LA RECUPERACIÓN raising standards worldwide TM QUÉ PODRÍA DETENER A SU NEGOCIO? Un marco de referencia para la capacidad

Más detalles

UPAEP optimiza servicios de TI a 17.000 usuarios con soluciones de CA Technologies

UPAEP optimiza servicios de TI a 17.000 usuarios con soluciones de CA Technologies CUSTOMER SUCCESS STORY UPAEP optimiza servicios de TI a 17.000 usuarios con soluciones de CA Technologies PERFIL DEL CLIENTE Industria: Educación Compañía: UPAEP Empleados: 2.000+ ú Fundada en 1973, en

Más detalles

Dudas y certezas sobre las redes sociales en la empresa

Dudas y certezas sobre las redes sociales en la empresa Dudas y certezas sobre las redes sociales en la empresa Autor: Sebastián Bortnik, Analista en Seguridad de ESET para Latinoamérica Fecha: lunes 2 de agosto de 2010 ESET Latinoamérica, Av. Del Libertador

Más detalles

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management INTRODUCCIÓN Oracle Identity Management, la mejor suite de soluciones para

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina 2011 Reporte sobre Seguridad Empresarial Hallazgos - América Latina ÍNDICE Introducción...4 Metodología...6 Hallazgo 1: La ciberseguridad es importante para el negocio...8 Hallazgo 2: Los factores que

Más detalles

Curso Oficial de Preparación para el Examen CISSP de (ISC) 2

Curso Oficial de Preparación para el Examen CISSP de (ISC) 2 Curso Oficial de Preparación para el Examen CISSP de (ISC) 2 Certified Information Systems Security Professional La certificación de seguridad de la información más reconocida a nivel mundial. DESCRIPCIÓN

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

POSTGRADO. Ingeniería MÁSTER INDRA EN CIBERSEGURIDAD

POSTGRADO. Ingeniería MÁSTER INDRA EN CIBERSEGURIDAD POSTGRADO Ingeniería MÁSTER INDRA EN CIBERSEGURIDAD IDS Cortafuegos Sniffers Delitos Informáticos Ciberdefensa Criptografía PKI Web of Trust Firma Digital Redes Privadas Common Criteria Protocolos Seguros

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

NEXT GENERATION FIREWALL

NEXT GENERATION FIREWALL NEXT GENERATION FIREWALL Los modelos NG1000-A y NG5000-A han sido diseñados para proteger servidores de comercio electrónico de alto tráfico, redes universitarias dinámicas o cualquier otro entorno en

Más detalles

Ejecutivo de Proyectos Dirección de Informática. Nombre del participante: Reclutador:

Ejecutivo de Proyectos Dirección de Informática. Nombre del participante: Reclutador: Ejecutivo de Proyectos Dirección de Informática Nombre del participante: Reclutador: Requisitos de Admisibilidad SI NO Bachillerato universitario en Ingeniería Informática o carrera universitaria afín

Más detalles

La Gestión por Procesos en las Organizaciones La forma en la que los resultados se logran

La Gestión por Procesos en las Organizaciones La forma en la que los resultados se logran La Gestión por Procesos en las Organizaciones La forma en la que los resultados se logran Deloitte S.C. 2014 Reflexiones Aplicando la Gestión por Procesos en nuestras organizaciones Por qué adoptar un

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione

Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Informe técnico Cinco pasos para que el centro de datos sea seguro: Razones por las que es posible que la seguridad tradicional no funcione Lo que aprenderá Los administradores del centro de datos se enfrentan

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento?

Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? RESUMEN DE LA SOLUCIÓN CA SERVICE MANAGEMENT: ADMINISTRACIÓN DE ACTIVOS DE SOFTWARE Cómo puedo administrar mejor los activos de software y mitigar el riesgo de las auditorías de cumplimiento? CA Service

Más detalles

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de:

La seguridad 2.0. Citas. Seguridad. La seguridad de información esta caracterizada por la preservación de: Para ello, se requiere de: OWASP AppSec Aguascalientes 2011 The OWASP Foundation http://www.owasp.org Citas La seguridad 2.0 Pablo Lugo G - La seguridad no es un producto, es un proceso. Bruce Schneier. Experto en seguridad. - La

Más detalles

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014

Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014 Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina Guatemala Julio 2014 Agenda Introducción Tendencias Seguridad 2014 Conclusiones 2014 - Deloitte Introducción

Más detalles

FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS

FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS FACILITANDO RESPUESTAS RÁPIDAS A LOS INCIDENTES DE SEGURIDAD CON EL MONITOREO DE AMENAZAS A 3-Step Plan for Mobile Security Facilitando respuestas rápidas a los incidentes Resumen ejecutivo A medida que

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina

Julio César Ardita jardita@cybsec.com. 21 de Octubre de 2014 Buenos Aires - Argentina Estado del arte de la seguridad de la información Julio César Ardita jardita@cybsec.com 21 de Octubre de 2014 Buenos Aires - Argentina Agenda Incidentes de seguridad El rol del CISO Presión de las regulaciones

Más detalles

CATÁLOGO DE CURSOS 2015

CATÁLOGO DE CURSOS 2015 CATÁLOGO DE CURSOS 2015 Quiénes somos? KI&I somos una empresa especializada en servicios de capacitación y consultoría, para la gestión de las TIC s, Contamos con consultores e instructores profesionales

Más detalles

LINEAMIENTOS DE MONITOREO Y CONTROL

LINEAMIENTOS DE MONITOREO Y CONTROL Bogotá D.C., Agosto de 2014 TABLA DE CONTENIDO INTRODUCCIÓN ------------------------------------------------------------------------------------------- --3 1. OBJETIVO --------------------------------------------------------------------------------------------

Más detalles

CURSO INTERMEDIO ITIL SD Service Design

CURSO INTERMEDIO ITIL SD Service Design GESTIONA Y OPTIMIZA TUS PROYECTOS TI CURSO INTERMEDIO ITIL SD Service Design Fórmate para ser experto en ITIL Presentación Este curso permite a los alumnos conocer los conceptos, procesos, políticas y

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente

NUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente + GENTE + TECNOLOGÍA OUTSOURCING GESTIONADO DE TI / OUTSOURCING DE SERVICE DESK / CONSULTORÍA EN TECNOLOGÍA SOFTWARE FACTORY / DESARROLLO DE APLICACIONES A MEDIDA / BÚSQUEDA Y SELECCIÓN DE RRHH NUESTRO

Más detalles

Ernst & Young Information Security Day Seguridad de la información: Un enfoque de negocio

Ernst & Young Information Security Day Seguridad de la información: Un enfoque de negocio Ernst & Young Information Security Day Seguridad de la información: Un enfoque de negocio Martes 25 de noviembre de 2008 8:00 a.m. Edificio Ernst & Young Ciudad de México Alinear los diversos componentes

Más detalles

POSTgrado. Ingeniería. Máster Indra

POSTgrado. Ingeniería. Máster Indra POSTgrado Ingeniería Máster Indra en Ciberseguridad IDS Cortafuegos Sniffers Delitos Informáticos Ciberdefensa Criptografía PKI Web of Trust Firma Digital Redes Privadas Common Criteria Protocolos Seguros

Más detalles

MS_10747 Administering System Center 2012 Configuration Manager

MS_10747 Administering System Center 2012 Configuration Manager Administering System Center 2012 Configuration Manager www.ked.com.mx Av. Revolución No. 374 Col. San Pedro de los Pinos, C.P. 03800, México, D.F. Tel/Fax: 52785560 Introducción Este curso describe cómo

Más detalles

Soluciones Integrales de Seguridad

Soluciones Integrales de Seguridad R Soluciones Integrales de Seguridad Fundada en el año de 1994, INSYS es una empresa líder en el campo de la seguridad informática. Compañía orgullosamente 100% mexicana, que ha tenido a la tarea trabajar

Más detalles

MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE

MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE Resumen Ejecutivo de Websense MÁS ALLÁ DEL BLOQUEO DE UN ATAQUE WEBSENSE TRITON VERSIÓN 7.7 Introducción Recientemente anunciamos varias capacidades nuevas de protección contra el malware avanzado y el

Más detalles

Auditoría Informática en la Administración: Un Reto para los Profesionales TIC

Auditoría Informática en la Administración: Un Reto para los Profesionales TIC 80 Auditoría Informática en la Administración: Un Reto para los Profesionales TIC LAS ORGANIZACIONES EXITOSAS SON AQUELLAS QUE, ENTRE OTRAS COSAS, RECONOCEN LOS BENEFICIOS QUE LAS TIC LES PROPORCIONAN

Más detalles

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Más detalles

Soluciones de seguridad de la información de. Websense. La empresa que hay detrás de estas soluciones

Soluciones de seguridad de la información de. Websense. La empresa que hay detrás de estas soluciones Sedes Corporativas:, Inc. Qué es su información confidencial? Dónde está almacenada? Quién utiliza su información confidencial? Cómo la utiliza? Está garantizada la seguridad de su información confidencial?

Más detalles

CS.04. Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5. Ing. Claudio Schicht, PMP, ITIL EXPERT

CS.04. Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5. Ing. Claudio Schicht, PMP, ITIL EXPERT CS.04 Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5 (HABILITAN PARA OBTENER CERTIFICACION) Ing. Claudio Schicht, PMP, ITIL EXPERT 1. Introducción: Desde

Más detalles

Monitorización de red como elemento esencial en el concepto de seguridad de TI

Monitorización de red como elemento esencial en el concepto de seguridad de TI Monitorización de red como elemento esencial en el concepto de seguridad de TI White Paper Autor: Daniel Zobel, Head of Software Development, Paessler AG Publicación: julio 2013 PÁGINA 1 DE 8 Contenido

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

Índice Global de Innovación

Índice Global de Innovación Índice Global de Innovación El Índice Global de Innovación (IGI) es una iniciativa del INSEAD en colaboración con la Universidad Cornell y la Organización Mundial de la Propiedad Intelectual (OMPI). El

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

CURSO /TALLER AUDITOR INTERNO ISO 22301:2012

CURSO /TALLER AUDITOR INTERNO ISO 22301:2012 CURSO /TALLER AUDITOR INTERNO ISO 22301:2012 ISO 22301:2012 es una norma emitida por la Organización Internacional de Normalización (ISO) y describe cómo las organizaciones pueden construir la resiliencia

Más detalles

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio.

Seguridad orientada al negocio. Adopte una estrategia integral de seguridad alineada con el negocio. Seguridad orientada al negocio Adopte una estrategia integral de seguridad alineada con el negocio. Junio de 2008 2 Contenido 2 Visión general 3 Optimización y protección de los procesos empresariales

Más detalles

De qué SecaaS estamos hablando al decir Cloud Security?

De qué SecaaS estamos hablando al decir Cloud Security? De qué SecaaS estamos hablando al decir Cloud Security? Adrián Palma, CISSP, CISA, CISM, CRISC, BSA Director General de Integridata adrian.palma@integridata.com.mx Modelos de Servicio Los tres modelos

Más detalles

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales

Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Conferencia Auditoría de Sistemas de Información: Seguridad y Protección de Datos Personales Enero de 2014 Quién está ahí? Carlos Chalico CISA, CISSP, CISM, CGEIT, CRISC, ISO27000 LA, PbD Ambassador Ouest

Más detalles

Manejo de lo inesperado

Manejo de lo inesperado Manejo de lo inesperado Navegar a través de los riesgos y salir adelante El mundo de los negocios de hoy se encuentra amenazado por una gran cantidad de riesgos de seguridad en línea, sin embargo, muchas

Más detalles

15 años de Experiencia. Historia

15 años de Experiencia. Historia 15 años de Experiencia Historia 15 años de experiencia en servicios y soluciones relacionados con tecnologías de la información y comunicaciones, se ha caracterizado por sus valores y principios, desde

Más detalles

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS Ministerio de Tecnologías de la Información y las Comunicaciones Programa de Gobierno

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

En el presente documento se encuentra a detalle toda la información relacionada con nuestra propuesta.

En el presente documento se encuentra a detalle toda la información relacionada con nuestra propuesta. Andrés SIMON BUJAIDAR Director de Alianzas de México FIRST ATENCIÓN México D.F., Julio 2015. Comprometidos con el desarrollo de la industria mexicana de Tecnologías de la Información, Normalización y Certificación

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

ADMINISTRACIÓN Y SEGURIDAD DE API A ESCALA EMPRESARIAL

ADMINISTRACIÓN Y SEGURIDAD DE API A ESCALA EMPRESARIAL www.layer7.com ADMINISTRACIÓN Y SEGURIDAD DE API A ESCALA EMPRESARIAL COMPONENTES DE API PARA LA EMPRESA ABIERTA En Layer 7, proporcionamos soluciones de Administración y Seguridad de API para algunas

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

monitoreo efectivo del desempeño en entornos SAP

monitoreo efectivo del desempeño en entornos SAP INFORME OFICIAL Septiembre de 2012 monitoreo efectivo del desempeño en entornos SAP Los desafíos clave y cómo CA Nimsoft Monitor ayuda a abordarlos agility made possible tabla de contenido resumen 3 Introducción

Más detalles

MEJORES PRÁCTICAS DE INDUSTRIA

MEJORES PRÁCTICAS DE INDUSTRIA MEJORES PRÁCTICAS DE INDUSTRIA A continuación se relacionan las mejores prácticas y recomendaciones en prevención de fraude, extractadas de los diferentes mapas de operación y riesgo desarrollados por

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

Lo valoras, Optimiti Network lo protege. Seguridad a otro nivel { DISPONIBILIDAD } { CONFIDENCIALIDAD } { INTEGRIDAD } Credenciales 2015

Lo valoras, Optimiti Network lo protege. Seguridad a otro nivel { DISPONIBILIDAD } { CONFIDENCIALIDAD } { INTEGRIDAD } Credenciales 2015 Lo valoras, Optimiti Network lo protege { CONFIDENCIALIDAD } { DISPONIBILIDAD } { INTEGRIDAD } Seguridad a otro nivel Credenciales 2015 En Optimiti nos enfocamos en Productos y Soluciones Innovadoras y

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Ocultos De la Nube. Resultados - América Latina

Ocultos De la Nube. Resultados - América Latina Encuesta Sobre Costos Ocultos De la Nube Resultados - América Latina 2013 CONTENIDO 4 5 6 7 8 9 10 INTRODUCCIÓN IMPLEMENTACIÓN DE NUBES NO AUTORIZADAS RESPALDO Y RECUPERACIÓN EN LA NUBE ALMACENAMIENTO

Más detalles

INFORME SOBRE AMENAZAS A LA SEGURIDAD EN INTERNET

INFORME SOBRE AMENAZAS A LA SEGURIDAD EN INTERNET INFORME SOBRE AMENAZAS A LA SEGURIDAD EN INTERNET Hallazgos Principales América Abril 2012 2 Contenido Introducción...4 Tendencias de Actividad Maliciosa: América...5 Antecedentes...5 Metodología...5 Datos...5

Más detalles