Día23, Taller SGSI: Análisis de Riesgos
|
|
- Alicia Cabrera Villalba
- hace 8 años
- Vistas:
Transcripción
1 Día23, Taller SGSI: Análisis de Riesgos César Peñacoba, CISA, CISM, SBCI, LA Gerente Área Gobierno Seguridad, HP 23-Nov º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
2 Índice 1. El Análisis de Riesgos y el SGSI 2. Pasos a seguir 3. Aspectos prácticos 2
3 Establecer el SGSI, Fase Plan ISO/IEC Cláusula Activos Amenazas Vulnerabilidad Impactos Alcance Política Aproximación al riesgo Análisis del Riesgo Inventario Política Método/ Riesgo Aceptable Riesgos Ocurrencia Nivel de riesgo Valor del Riesgo Niveles de Riesgo Riesgos Criterios Tratamiento del riesgo Riesgo residual Controles UNE17799 Otros controles Seleccionar controles Lista contramedidas Aprob. Dirección Riesgo Res. y ISMS OK Aplicabilidad DSC / SOA 3
4 Relación entre ISO/IEC e ISO/IEC (antes 17799:2005) g) The control objectives and controls from Annex A shall be selected as part of this process as suitable Anexo A The control objectives and controls listed in Table A.1 are directly derived from and aligned with those listed in ISO/IEC 17799:2005 Clauses 5 to j) A Statement of Applicability shall be prepared that includes the following: ( ) 3) the exclusion of any control objectives and controls in Annex A and the justification for their exclusion. 4
5 Análisis de Riesgos Activos de información y dependencias Frecuencia de las amenazas a los elementos de T.I. Valoración amenazas Valoración de los activos Impactos en el negocio Análisis de riesgos Propuesta de Controles Riesgos Gestión de riesgos GAP medidas actuales Nivel de Riesgo Plan Operacional de Seguridad 5
6 Impactos en los Activos de información Indisponibilidad RevelaciónModificación Dest. Intercambio Activo de Información de Negocio 15mn1h 3h 12h 1d 2d 1s 2s 1m 2m DI SP DO SE WE DM PD TD In RO RC Nd Rp Mr TM OS UR Programación Convencional Radio UR UR Datos de Gestión Comercial UR UR Parrilla de Emisión UR Escala 1 Escala 2 Escala 4 Escala 5 Escala 6 Escala 3 Informa ción Persona l Obligaciones legales Pérdida s de imagen Gestión y Actividades de Intereses Económicos y (delito o fa lta con Pérdida s financiera s (Afecta nega tiva mente a las N egocio comerciales multa...) relaciones...) Causar pequeñas molestias a una persona, pero sin Pérdidas directas o indirectas de o Funcionamiento ineficiente de una parte de la organización De interés para un competidor, pero sin valor comercial. incumplir la legalidad menos Causar malestar a una o menos Pérdidas directas o con otras partes de la organización. Puede suponer una cifra de persona, pero sin indirectas de entre negocio de o menos a un incumplir la legalidad y competidor Incumplir LOPD y causar entre y Pérdidas directas o con otras organizaciones o con el público, Dañar la gestión adecuada de la Puede suponer una cifra de pequeñas molestias a indirectas de entre pero la publicidad negativa queda reducida organización y sus operaciones. negocio entre y una persona y al entorno geográfico más cercano, y sin a un competidor efectos duraderos. Incumplir LOPD y causar entre y , Pérdidas directas o Puede suponer una cifra de pequeñas molestias a un o una condena a indirectas de entre negocio entre y grupo de personas prisión de hasta y a un competidor años Incumplir LOPD y causar entre y , Pérdidas directas o con otras organizaciones o con el público, y Impedir el desarrollo o la ejecución Puede suponer una cifra de molestias significativas a entre 2 años y hasta 10 indirectas de entre la publicidad negativa se extiende más allá efectiva de las políticas de la negocio entre y una persona. años de prisión y del entorno geográfico más cercano organización a un competidor 6 7 Incumplir LOPD y causar molestias significativas a un grupo de personas. más de o Pérdidas directas o más de 10 años de prisión indirectas de entre y Pérdidas indirectas de más de con otras organización o con el público, implicando una publicidad negativa con gran repercusión Poner en desventaja a la organización en la negociación con terceros de cuestiones comerciales o de políticas. Entorpecer seriamente el desarrollo o la ejecución de las políticas más importantes de la organización, o provocar el cierre o interrumpir de forma sustancial las operaciones importantes. Puede suponer una cifra de negocio de más de Podría llegar a dañar los intereses económicos y comerciales nacionales de forma sustancial 6
7 Tabla de Amenazas Amenazas Lógicas Suplantación identidad por internos Suplantación identidad por contratistas Suplantación identidad por externos Uno no autorizado de una aplicación Software malicioso Abuso de los recursos de los sistemas Amenazas a las Comunicaciones Infiltración comunicaciones Interceptación comunicaciones Alteración comunicaciones Repudio Fallo comunicaciones Inclusión de código malicioso Entrega incorrecta Errores Humanos Error de operador Error mantenimiento hardware Error mantenimiento software Error de usuario Fallos Técnicos Fallo Host, Impresora, Almacenamiento Fallo de elemento de red, interfaz de red Fallo de pasarela de red Fallo de gestión de red Fallo de servicios de red Fallo electricidad Fallo Aire Acondicionado Fallo de software de sistema o de red Fallo de aplicación Amenazas físicas Fuego Inundación Desastre natural Escasez de personal Robo por internos Robo por externos Daño intencionado por internos Daño intencionado por externos Terrorismo 7
8 Matriz de Riesgo 8
9 Informe Riesgos Detallado Threat: Communications Infiltration Asset:!!Otros Servicios Indisponibilidad Dest Revel. Modif. P 15 M 1 H 3 H 12 H 1 D 2 D 1 W 2 W 1 M 2 M B T I C O S E W E D M In Or Rc Nd Rp Mr Tm Os Threat VH VH VH VH VH VH VH VH VH VH VH VH Vulnerability H H H H H H H H H H H H Impact Measure of Risk Asset:!!Servicios UXZER Threat VH VH VH VH VH VH VH VH VH VH VH VH Vulnerability H H H H H H H H H H H H Impact Measure of Risk Comunicaciones 9
10 Gestión del Riesgo (ISO 27001, f-j) Riesgos Criterios NdR aceptables Sí Asumir? No Riesgos asumibles Riesgos NO asumibles Eliminar Causa Riesgo Sí Se puede eliminar? No Transferir Riesgo - Seguros - Externalización CONTROLES - ISO Legales - Negocio Sí Se puede transferir? No Reducir Riesgo CONTROLES YA IMPLANTADOS SOA/ DSC Riesgo Residual 10
11 Grupos Contramedidas IT Security Network Security Physical Security Identification and Authentication Network Security Management Recovery Options for Accommodation Logical Access Control Content Scanning Site / Building Physical Security Accounting Customer Authorisation Accommodation Moves Audit Vulnerability Analysis Room / Zone Physical Security Object Re-use Intrusion Detection Theft Protection Security Testing Non-repudiation Physical Equipment Protection Software Integrity Data Confidentiality Over Networks Terrorist / Extremist Warnings Protection Against Malicious Software Public Key Infrastructure Delivered Item (DI) Protection Mobile Computing and Teleworking Network Access Controls Bomb Detection Software Change Controls Security of Routing Tables Internal and External Bomb Protection Software Distribution Physical Network Protection Environmental Security System Input/Output Controls Wireless LAN Security Fire Protection Operations Controls Protection of Voice over IP (VoIP) Traffic Water Protection System Administration Controls Message Security Natural Disaster Protection Application Development Controls Electronic Commerce Security Power Protection Application Programmer Controls Mobile Code Protection Environmental Protection Software Maintenance Controls Network Resilience Administrative Security Hardware Maintenance Controls Anti-spamming controls Business Continuity Planning User Control Protection against Delay in Delivery Insurance Application Input/Output Controls Quality of Network Service Personnel Financial Accounting Protection against Denial of Service Attacks Security Education and Training Hardcopy Output Controls Data Integrity over Network Security Policy Document / Media Controls Preservation of Message Sequencing Security Infrastructure Physical Media Transportation Traffic Padding Outsourcing Recovery Option for Hosts PBX Security Data Protection Legislation Recovery Options for Media Recovery Options for Network Interfaces Incident Handling Back-up of Data Recovery Options for Network Services Compliance Checks Capacity Planning Equipment Failure Protection 11
12 Niveles y Umbrales de Riesgo Niveles de Riesgo Contramedidas 7 6 Umbral Riesgo Alto Altos Implantar & Auditar 5 4 Umbral Riesgo Medio Medios Implantar 3 2 Bajos Documentar 1 12
13 Gestión de los riesgos Estado Contramedida Diferencial Estado-Objetivo Sin Definir Definida Implantada Implantada y Auditada Nivel de Riesgo Objetivo Alto Medio Bajo Objetivo incumplido -2/-3 Objetivo incumplido -1 Objetivo cumplido 13
14 Asignación de proyectos Contramedidas propuestas Proyectos Mejora 14
15 Método Formal de Inversión en Seguridad Cuadrante de Prioridad 15
16 Conclusiones 1. El análisis de riesgos es el elemento crucial de un SGSI 2. Se necesita personal con conocimiento de negocio e implicación de la organización 3. No es necesario usar una metodología complicada, pero se recomienda una herramienta de apoyo 4. La Herramienta debe ser capaz de generar contramedidas cruzadas con la ISO
17 Muchas gracias por su atención. César Peñacoba, CISA, CISM, SBCI, LA 17
Hacia un Sistema de Gestión de la Seguridad de la Información: la experiencia de la Universitat Jaume I
Hacia un Sistema de Gestión de la Seguridad de la Información: la experiencia de la Universitat Jaume I Vicent Andreu Navarro 1 Introducción La adaptación a la LOPD: el Documento de Seguridad del RD 994/1999
Más detallesISO 27001: El estándar de seguridad de la información
Índice Introducción Metodología de un SGSI según ISO 27001 Cambios / mejoras en ISO 27001 A.6 Mejoras en las relaciones con terceras partes A.8 Mejoras en el control de las personas A.13 Mejoras en el
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesRESILIENCIA DEL SOFTWARE ENFOCADO DESDE EL MODELO CERT-RMM
RESILIENCIA DEL SOFTWARE ENFOCADO DESDE EL MODELO CERT-RMM Presentada por: Jaramillo H. Danilo R. Docente Investigador, UTPL Aclaración: Todos los derechos reservados. No está permitida la reproducción
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesSeguridad de la Información & Norma ISO27001
Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos
Más detallesDIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD
DIA 3, Taller SGSI: SELECCIÓN Y VIDA DE LOS CONTROLES DE SEGURIDAD Tristan RAMAGET Director Área Seguridad Información ECIJA 23-nov-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD Índice 1. SGSI
Más detallesTechnology and Security Risk Services Planes de Continuidad de Negocio
Technology and Security Risk Services Planes de Continuidad de Negocio AS TSRS Planes de Continuidad de Negocio Conjunto de tareas que permite a las organizaciones continuar su actividad en la situación
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesSISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B
SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión
Más detallesLa seguridad informática comienza con la seguridad física
La seguridad informática comienza con la seguridad física Arturo Maqueo RCDD Offer Marketing Specialist Data Centers All content in this presentation is protected 2008 American Power Conversion Corporation
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesCómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón
Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones
Más detallesCómo hacer coexistir el ENS con otras normas ya
Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 2 Junio 2011 Índice Servicio Integral
Más detallesEstrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad
Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesITIL. 75.46 - Administración y Control de Proyectos II
ITIL Introducción El problema Gerencia de Ventas Aplicación de Negocio Correo Electrónico Office PC (características requeridas por los aplicativos) Red Servicio 8 a 22 hs, sin interrupciones Antivirus
Más detallesPlan de Continuidad de Negocio
DIA 3, Taller SGSI del ISMS FORUM SPAIN: Plan de Continuidad de Negocio Abel González Lanzarote Director Desarrollo de Negocio de ESA Security 23 de noviembre de 2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesXII JICS 25 y 26 de noviembre de 2010
Sistema de Gestión Integrado según las normas ISO 9001, ISO/IEC 20000 e ISO/IEC 27001TI Antoni Lluís Mesquida, Antònia Mas, Esperança Amengual, Ignacio Cabestrero XII Jornadas de Innovación y Calidad del
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesSistemas de Gestión de la Seguridad de la Información.
Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales
Más detallesProtección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas
Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesImpacto del ENS: Propuesta Oracle
Impacto del ENS: Propuesta Oracle Xavier Martorell Sales Identidad y Seguridad Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de Seguridad es la creación
Más detallesGestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301
Gestión de continuidad del negocio un enfoque resilente basado en el estándar ISO 22301 About Me ISB Corp, una compañía dedicada a seguridad de la información, Business Continuity, Risk Management y Compliance.
Más detallesSprint Enterprise Network Services
Sprint Enterprise Network Services Sprint Enterprise Network Services Cómo hacer frente y administrar las contingencias en Call Centers? 4ª CONGRESO INTERNACIONAL DE CENTROS DE ATENCION TELEFONICA Y FORO
Más detallesISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1
ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005
Más detallesSeguridad de la Información
Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad
Más detallesMétricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.
Métricas para la Seguridad de las Aplicaciones MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A. Expositor About Me MAI. Andrés Casas, Director de Gestión de Riesgo de
Más detallesEXIN Information Security Foundation based on ISO/IEC 27002
Guía de Preparación EXIN Information Security Foundation based on ISO/IEC 27002 Edición de mayo de 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,
Más detallesTaller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC
Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones
Más detallesRiesgos asociados al CLOUD
Riesgos asociados al CLOUD El Cloud está de moda Según el último barómetro de IDC España, el mercado de software como servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un incremento
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesCumpliendo con las Reglas
Cumpliendo con las Reglas Eugenio Torres Gutiérrez Qué es el cumplimiento? Cumplimiento es el acto de adherirse a, y demostrar adherencia a, un estándar o regulación. El cumplimiento regulatorio contempla
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesSGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es
SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado
Más detallesLos Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones
Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.
Más detallesMedidas preventivas para evitar el robo de datos. José Manuel Rodriguez Sales Manager Seguridad Oracle Iberica
Medidas preventivas para evitar el robo de datos. José Manuel Rodriguez Sales Manager Seguridad Oracle Iberica This document is for informational purposes. It is not a commitment to deliver any material,
Más detallesGestión de su tranquilidad mediante el Outsourcing de Infraestructuras Críticas Gestión y Protección de Infraestructuras Críticas
Gestión de su tranquilidad mediante el Outsourcing de Infraestructuras Críticas Gestión y Protección de Infraestructuras Críticas César Clavero Mantilla Business Development & Bid Manager THALES España
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesSistema de Gestión n de la Seguridad de la Información
Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones
Más detalles#CibSegInd. Samuel Linares Director Servicios Ciberseguridad Intermark Tecnologías
#CibSegInd Samuel Linares Director Servicios Ciberseguridad Intermark Tecnologías 1952 Terremoto Kamchatka Mw9.0 1957 Terremoto Islas Andreanof Mw9.1 2011 Gran terremoto del este de Japón Mw 9.0 1964
Más detallesDesarrollo de Capacidades para la Gestión de TI - Ing. MBA José Szyman
Una unidad de negocio requiere para el alojamiento para sus aplicaciones infraestructura adecuada en términos de capacidad, compatibilidad, confiabilidad, seguridad, etc. Sin embargo, no desea hacerse
Más detallesEXIN Information Security Foundation basado en ISO/IEC 27002
Guía de Preparación EXIN Information Security Foundation basado en ISO/IEC 27002 Edición 201601 Copyright 2016 EXIN All rights reserved. No part of this publication may be published, reproduced, copied
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesFundamentos de Seguridad de la Información basado en ISO / IEC 27002
Guía de Preparación Fundamentos de Seguridad de la Información basado en ISO / IEC 27002 Edición Octubre 2011 Copyright 2011 EXIN All rights reserved. No part of this publication may be published, reproduced,
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesLecciones aprendidas en auditorías BCP
Lecciones aprendidas en auditorías BCP Nelson Valero Ortega MBCP, CISA, CISM, CGEIT, CRISC Agenda Introducción Protección total de activos Lecciones aprendidas Conclusiones Agenda Introducción Protección
Más detallesUniversidad Ricardo Palma Facultad de Ingeniería
Universidad Ricardo Palma Facultad de Ingeniería Escuela Profesional de Ingeniería Informática Proyecto de Tesis: Sistema para Análisis y Gestión de Riesgos Presentado por: Antton Deyke Cavalcanti Garay
Más detallesCertificación ISO 27001 - Preparación
Certificación ISO 27001 - Preparación Lic. Raúl l Castellanos CISM, PCI-QSA, Lead Auditor ISO-27001 rcastellanos@cybsec.com Qué es la ISO 27001? Es un modelo para: Establecer Implementar Operar Monitorear
Más detallesLa Nueva Visión de Microsoft - IO. Omar Crespo Gerente de Soluciones Microsoft Perú
La Nueva Visión de Microsoft - IO Omar Crespo Gerente de Soluciones Microsoft Perú Preguntas frecuentes Qué tan vulnerables son mis estaciones de trabajo en laboratorios? Cómo puedo manejar el respaldo
Más detallesTEMA XIV. Concepto de seguridad
TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad
Más detallesDIFERENCIAS ENTRE LA ISO 9001:2008 Y LA ISO 9001:2015
DIFERENCIAS ENTRE LA ISO 9001:2008 Y LA ISO 9001:2015 Todos los estándares ISO están sujetos a verificación periódica para estar siempre relevantes en el mercado. Inclusa la ISO 9001: 2008, la más adoptada
Más detallesMAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN
MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de
Más detallesAnálisis de Riesgos de Seguridad de la Información
Nuevas oportunidades de negocio- La importancia del Análisis de Riesgos de Seguridad de la Información FRANCISCO MENÉNDEZ PIÑERA DTOR. TÉCNICO - SIGEA 23 de noviembre de 2007 1º ENCUENTRO NACIONAL DE LA
Más detallesMETODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP
METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas
Más detallesRecuperación y Continuidad del Negocio
Recuperación y Continuidad del Negocio CONTENIDO ANTECEDENTES ALGUNAS EXPERIENCIAS REVISION DE CONCEPTOS GENERALES METODOLOGIA CONCLUSIONES QUE ES UN DESASTRE? Cualquier EVENTO MAYOR que afecte el funcionamiento
Más detallesNorma Técnica Peruana:
Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con
Más detallesUnidad 6: Protección Sistemas de Información
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad
Más detallesQué pasa si el entorno de seguridad falla?
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad
Más detallesEXIN Information Security Foundation
Guía de Preparación EXIN Information Security Foundation basado en ISO/IEC 27002 Edición de mayo de 2015 Copyright 2015 EXIN All rights reserved. No part of this publication may be published, reproduced,
Más detallesTALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
1 TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo del Taller Lograr que los participantes incorporen el concepto de Seguridad de la Información, que reconozcan la
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesPrograma de Continuidad Gubernamental
PROGRAMA DE CONTINUIDAD GUBERNAMENTAL Programa de Continuidad Gubernamental Necesidad de Proveer Continuidad: Motivos / Tendencias Efectos Negativos Alto incremento en riesgos (911, Inhabilidad de Tsunami,
Más detallesGuía para identificar riesgos en el Proceso de Inventarios
2010 Guía de Auditoría Guía para identificar riesgos en el Proceso de Inventarios www.auditool.org Red de Conocimientos en Auditoría y Interno 31/10/2010 Identificación de riesgos en el proceso de inventarios
Más detallesÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA
ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA GESCONSULTOR 10 RAZONES PARA UTILIZAR GESCONSULTOR SOPORTE
Más detallesProtección de la información en la nube
Protección de la información en la nube Considerar la seguridad antes de entrar en la nube Jorge Laredo, CISM, CISA, CISSP, PMP Security Project Manager Hewlett-Packard Qué proveedor? Compañía Reputación,
Más detallesSistema de Gestión de la Seguridad de la Información
Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en
Más detallesAnálisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento
Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas
Más detallesISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios
ISO/IEC 20000 ed. 2011 y su aporte a la Economía de Servicios Judit Laguardia jlaguardia@orcilatam.com ORCI Latam Agenda Introducción a la Gestión de Servicios (ITIL ) ISO/IEC 20000: Qué es y por qué se
Más detallesLista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013)
Lista de documentación obligatoria requerida por ISO/IEC 27001 (Revisión 2013) 1) Qué documentos y registros son necesarios? La siguiente lista detalla la cantidad mínima de documentos y registros requeridos
Más detallesPOSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001
Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo
Más detallesANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un
ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un efecto positivo o negativo sobre al menos un objetivo del proyecto, como tiempo,
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesPROYECTO Implementación del SGSI basado en ISO/IEC 27001:2013
de la Información PROYECTO Implementación del SGSI basado en ISO/IEC 27001:2013 Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna
Más detallesPROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES
PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando
Más detallesI Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de 2002. Mario López de Ávila Muñoz
I Programa Sectorial ANEI Gestión de la Seguridad de la Información Presentación Madrid, 4 noviembre de 2002 Mario López de Ávila Muñoz Introducción Sobre la Información, la Seguridad y cómo facilitar
Más detallesDIA 23, Taller SGSI. Andreu Bravo. Seguridad de la Información - Grupo Gas Natural 23-11-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD
DIA 23, Taller SGSI Andreu Bravo Seguridad de la Información - Grupo Gas Natural 23-11-2007 1º ENCUENTRO NACIONAL DE LA INDUSTRIA DE SEGURIDAD Índice 1. Introducción 2. Objetivos 3. Claves para garantizar
Más detallesSeminario ITIL. Optimizar los servicios de TI con ITIL
Optimizar los servicios de TI con ITIL ITIL (I) Information Technology Infrastructure Library ( Biblioteca de Infraestructura de Tecnologías de Información ). Marco de trabajo de mejores prácticas destinadas
Más detallesPedro Valcárcel Julio / 2012
Pedro Valcárcel Julio / 2012 Objetivo de la conferencia Hoy en día el control de la seguridad de la información en las organizaciones es cada vez más complicado y dinámico Cómo debemos actuar? Objetivo
Más detallesDOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe
Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las
Más detallesEl largo camino de un Plan Director de Seguridad de la Información
El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso
Más detallesDatos P oc o eso I f n or o ma m ció i n
Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles
Más detallesCómo Asegurar la Calidad de Servicios de TI?
Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer
Más detallesDeloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria
Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director
Más detallesSistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei
Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.
Más detallesLUIS GERARDO RUIZ AGUDELO
MANUAL DE NORMAS Y POLÍTICAS DE SEGURIDAD INFORMÁTICA PARA LA CORPORACIÓN UNIVERSITARIA SANTA ROSA DE CABAL UNISARC DE ACUERDO A LAS NORMAS ISO/IEC 27001 LUIS GERARDO RUIZ AGUDELO CORPORACIÓN UNIVERSITARIA
Más detallesMANUAL DE SEGURIDAD DE LA INFORMACIÓN
MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD
Más detallesCurso de doctorado. Seguridad en Redes de Ordenadores. Tema 1: Introducción a la seguridad informática
Curso de doctorado Seguridad en Redes de Ordenadores Tema 1: Introducción a la seguridad informática Definiciones: La seguridad informática es un atributo relativo, resultado del equilibrio conseguido
Más detallesDiseño e implantación de un cuerpo normativo de Seguridad de la Información
Madrid a de Octubre de 2008 Diseño e implantación de un cuerpo normativo de Seguridad de la Información Juan Fco. Cornago Baratech Coordinador Técnico Consultoría Estratégica. CISA jcornago@sia.es Agenda
Más detallesesanidad 2012 Cómo realizar una gestión eficaz en el ámbito sanitario: ISO 27001/ISO 27799 e ISO 20000
esanidad 2012 Cómo realizar una gestión eficaz en el ámbito sanitario: ISO 27001/ISO 27799 e ISO 20000 GRUPO AUDISEC: QUIÉNES SOMOS AUDISEC Seguridad de la Información, una empresa dedicada a aportar seguridad
Más detallesMACROPROCESO GESTIÓN TECNOLÓGICA
Versión 1.0 Página 1 de 5 1. OBJETIVO Suministrar las fases para la puesta en producción de aplicaciones y sistemas de información desarrollados o adquiridos por el Instituto Colombiano de Bienestar Familiar
Más detallesBSM, ITIL y la ISO 20000: Evolución en la Gestión de Servicios de TI
BSM, ITIL y la ISO 20000: Evolución en la Servicios de TI Raúl Álvarez Senior Software Consultant Noviembre, 2006 Agenda El reto de las organizaciones de TI Business Service Management Introducción ITIL:
Más detallesControl de Cambio Operacional. Saber. Knowledge Base Service Assurance de NetIQ
Control de Cambio Operacional S O L U C I O N E S Saber. Knowledge Base Service Assurance de NetIQ El conocimiento necesario para administrar y garantizar los cambios operativos El conocimiento implica
Más detallesBEST PRACTICES FOR SECURITY
BEST PRACTICES FOR SECURITY BEST PRACTICES (ITIL, COBIT, ISO 17799) IT mgmt Mejores prácticas ITIL, COBIT, ISO 17799, ISO 9002, Capability Maturity Model (CMM ), Project in Controlled Environments (PRINCE),
Más detalles