La importancia del Balance entre Objetivos de Gestión y Objetivos Técnicos

Tamaño: px
Comenzar la demostración a partir de la página:

Download "La importancia del Balance entre Objetivos de Gestión y Objetivos Técnicos"

Transcripción

1 La importancia del Balance entre Objetivos de Gestión y Objetivos Técnicos Abril 2013

2 Agenda Introducción ISO Riesgos Continuidad de Negocios PCI PMG SSI Otros

3 INTRODUCCIÓN

4 Eric Donders O. Oficial de Seguridad TI Subgerente de Seguridad TI Magister en Seguridad Informática y Protección de la Información Universidad Central Ingeniero Civil en Computación Universidad de Chile Postítulo en Seguridad de la Información y Diplomado en Aplicaciones Criptográficas

5 Seguridad de la Información Diversidad DESDE Quebrando ECC2K-130 HASTA Enseñar a los niños entre 11 y 14 años cómo protegerse en Internet https://cyberexchange.isc2.org/safe-secure.aspx

6 Empresa en un Día Artículo 9.- Para efectos de la suscripción de los formularios respectivos, el constituyente, socios o accionistas deberán completarlos previamente en el Registro y deberán cumplirse las demás disposiciones que al efecto señale el Reglamento. La suscripción de los formularios se realizará mediante la firma del constituyente, socios o accionistas, según sea el caso, a través de la firma electrónica avanzada de éstos, de acuerdo a lo que establezca el Reglamento. Si no posee firma electrónica avanzada, tendrá que firmar los formularios ante un notario, quien estampará su firma electrónica avanzada en tal certificado.

7 Chile sin Papeleo

8 Factura Electrónica Obligatoria

9 Agenda Digital Imagina Chile

10 Balance Objetivos Gestión Objetivos Técnicos 10

11 Balance CISM Lead Auditor ISO PCI NIST CSA CISSP CEH 11

12 Estándares de apoyo al desarrollo de la Seguridad de la Información CMM (Capability Maturity Model) Modelo de Madurez SSE-CMM (System Security Engineering Capability Maturity Model 3.0) COSO y COBIT en el ámbito de la Auditoría Balanced Score Card y Métricas ITIL (IT Infrastructure Library) ISO (Gestión de Servicio TI) Muchos + 4 Dominios 34 Procesos No Existente Inicial Repetible Definido Administrado Optimizado LEYENDA PARA SIMBOLOS USADOS 7 Objetivos o Requerimientos Aplicaciones TI Estado Actual de la Empresa Promedio de la Industria Objetivo de la Empresa Dominios Procesos Actividades Integridad Efectividad Eficiencia Confidencialidad LEYENDA PARA CALIFICACIÓN USADA 0. No se aplican procesos administrativos en lo Absoluto 1. Los procesos son ad-hoc y desorganizados 2. Los procesos siguen un patrón regular 3. Los procesos se documentan y se comunican 4. Los procesos se monitorean y se miden 5. Las buenas prácticas se siguen y se automatizan Requerimientos de Negocio Disponibilidad Confiabilidad Cumplimiento Aplicaciones Información Infraestructura Personas Recursos TI 4 Recursos 12

13 ISO 27000

14 Estándares ISO Requerimientos para un SGSI Código de Practicas para la Seguridad de la Información ISO Guía de Implementación de un SGSI Vocabulario y Fundamentos de un SGSI ISO Métricas de Gestión de Seguridad de la Información ISO Gestión de Riesgo en un SGSI

15 ISO Estructura: 11 Dominios de Control Seguridad Organizativa Políticas de Seguridad Aspectos Organizativos Para la Seguridad Inf. Seguridad Lógica Seguridad Física Seguridad Legal Clasificación y Control De Activos Control de Acceso Cumplimiento Seguridad asociada Al Personal Seguridad Física y Del Entorno Desarrollo y Mantención De Sistemas Gestión de Comunicaciones Y Operaciones Gestión de Incidentes Gestión de Continuidad Del Negocio 15

16 SGSI / ISO 27001:

17 Controles Nivel Ctrl Título Descripción D o minio A.5 Política de Seguridad Control A Documento de la política de seguridad de la información D o minio A.6 Organización de la seguridad de la información El documento de la política de seguridad de la información debiera ser aprobado por la gerencia, y publicado y comunicado a todos los empleados y las partes externas relevantes. El documento de la política de seguridad de la información debiera enunciar el compromiso de la gerencia y establecer el enfoque de la organización para manejar la seguridad de la información. El documento de la política debiera contener enunciados relacionados con: Control A Compromiso de la gerencia La gerencia debiera apoyar activamente la seguridad dentro de la organización a través de con la seguridad de la información una dirección clara, compromiso demostrado, asignación explícita y reconociendo las responsabilidades de la seguridad de la información. D o minio A.7 Gestión de activos Control A Inventario de los activos Se debieran identificar todos los activos y se debiera elaborar y mantener un inventario de todos los activos importantes. Una organización debiera identificar todos los activos y documentar la importancia de estos activos. El inventario de los activos debiera incluir toda la información necesaria para poder recuperarse de un desastre; incluyendo el tipo de activo, formato, ubicación, información de respaldo, información de licencias y un valor comercial. El inventario no debiera duplicar innecesariamente otros inventarios, pero se debiera asegurar que el contenido esté alineado. Además, se debiera acordar y documentar la propiedad (ver 7.1.2) y la clasificación de la propiedad (ver 7.2) para cada uno de los activos. Basados en la importancia del activo, su valor comercial y su clasificación de seguridad, se debieran identificar los niveles de protección que se conmensuran con la importancia de los activos D o minio A.8 Seguridad de Recursos Humanos Control A Roles y responsabilidades Se debieran definir y documentar los roles y responsabilidades de la seguridad de los empleados, contratistas y terceros en concordancia con la política de seguridad de la información de la organización. D o minio A.9 Seguridad física y ambiental Control A Perímetro de seguridad física Se debieran utilizar perímetros de seguridad (barreras tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas) para proteger las áreas que contienen información y medios de procesamiento de información. D o minio A.10 Gestión de las comunicaciones y operaciones Control A Procedimientos de operación documentados Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten. Se debieran preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación; tales como procedimientos para encender y apagar computadoras, copias de seguridad, mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad. Los procedimientos de operación debieran especificar las instrucciones para la ejecución detallada de cada trabajo incluyendo:

18 Controles Nivel Ctrl Título Descripción D o minio A.11 Control del acceso Control A Política de control del acceso Se debiera establecer, documentar y revisar la política de control de acceso en base a los requerimientos comerciales y de seguridad para el acceso. Las reglas de control del acceso y los derechos para cada usuario o grupos de usuarios se debieran establecer claramente en la política de control de acceso. Los controles de acceso son tanto lógicos como físicos (ver también la sección 9) y estos debieran ser considerados juntos. Se debiera proporcionar a los usuarios y proveedores del servicio un enunciado claro de los requerimientos comerciales que debieran cumplir los controles de acceso. La política debiera tomar en cuenta lo siguiente: D o minio A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información Control A Análisis y especificación de los requerimientos de seguridad D o minio A.13 Gestión de un incidente en la seguridad de la información Control A Reporte de eventos en la seguridad de la información D o minio A.14 Gestión de la continuidad del negocio Control A Incluir la seguridad de la información en el proceso de gestión de continuidad del negocio D o minio A.15 Cumplimiento Control A Identificación de la legislación aplicable Los enunciados de los requerimientos comerciales para los sistemas de información nuevos, o las mejoras a los sistemas de información existentes, debieran especificar los requerimientos de los controles de seguridad. Los eventos de seguridad de la información debieran ser reportados a través de los canales gerenciales apropiados lo más rápidamente posible. Los procedimientos de reporte debieran incluir: Se debiera desarrollar y mantener un proceso gerencial para la continuidad del negocio en toda la organización para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización. El proceso debiera reunir los siguientes elementos claves de la gestión de continuidad del negocio: Se debiera definir explícitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores y contractuales relevantes, y el enfoque de la organización para satisfacer esos requerimientos, para cada sistema de información y la organización.

19 RIESGO

20 Gestión de Riesgos AS/NZS 4360:1999 En 1999 australianos y neozelandeses publicaron en forma conjunta un estándar para la caracterización de un proceso de gestión de riesgos. Tras su primer ciclo de revisión, la versión más reciente data de 2004 y conforma un paquete completo que incluye el manual de apoyo HB 436:2004 BS :2006 La norma británica BS :2006, Sistemas de Gestión de Seguridad de la Información- Parte 3: Guías para la gestión de riesgos de seguridad de la información NIST s Risk Management Guide for Information Technology Systems (NIST-SP Guía de Gestión de riesgos para sistemas de tecnologías de información, presenta definiciones y una guía práctica para evaluar y mitigar riesgos identificados en los sistemas de TI ISO/IEC 27005:2008 Tecnologías de la información-técnicas de Seguridad-Gestión del riesgo de seguridad de la información, forma parte de la familia ISO 27000, conjunto de estándares desarrollados por ISO e IEC, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña

21 Gestión de Riesgos Nombre País Año Organización Conformidad Regulatoria Herramienta ISO/IEC 27005:2008 Internacional (Suiza) 2008 ISO-International Organization for Standardization ISO/IEC 27001/2005 ISO/IEC 13335/2004 ISO/IEC 27002/2005 No BS :2006 Reino Unido 2006 BSI-British Standards Institution ISO/IEC 27001/2005 No AS/NZS 4360:2004 Australia/Nueva Zelanda 2004 AS/ZNS-Australian Standards/New Zealand Standards N/A No MAGERIT España 2006 Consejo Superior de Administración Electrónica ISO/IEC 27001/2005 ISO/IEC 15408/2005 ISO/IEC 17799/2005 ISO/IEC 13335/2004 LOPD 15/1999 Sí, (EAR/ Pilar) CRAMM Reino Unido 2003 OCTAVE Estados Unidos NIST SP Estados Unidos 2002 CCTA-Central Computing and Telecommunications Agency Carnegie Mellon University CERT (Computer Emergency Response Team) NIST-National Institute of Standards and Technology ISO/IEC17799 GLBA HIPPA N/A N/A Sí, CRAMM expert Sí No

22 Gestión de Riesgos

23 ISACA - Risk IT

24 ISACA - Risk IT Tres Dominios

25 Técnicas Gestión de Riesgos - ISO ID Tools and techniques Risk Identification Risk assessment process Risk analysis Consequence Probability Level of risk Risk evaluation Annexo 1 Brainstorming SA NA NA NA NA B01 2 Structured_or_semi-structured_interviews SA NA NA NA NA B02 3 Delphi SA NA NA NA NA B03 4 Check-lists SA NA NA NA NA B04 5 Primary_hazard_analysis SA NA NA NA NA B05 6 Hazard_and_operability_studies_(HAZOP) SA SA A A A B06 7 Hazard_Analysis_and_Critical_Control_Points_(HACCP) SA SA NA NA SA B07 8 Environmental_risk_assessment SA SA SA SA SA B08 9 Structure_«_What_if?_»_(SWIFT) SA SA SA SA SA B09 10 Scenario_analysis SA SA A A A B10 11 Business_impact_analysis A SA A A A B11 12 Root_cause_analysis NA SA SA SA SA B12 13 Failure_mode_effect_analysis SA SA SA SA SA B13 14 Fault_tree_analysis A NA SA A A B14 SA NA A 15 Event_tree_analysis A SA A A NA B15 Strongly applicable Not applicable Applicable.

26 Técnicas Gestión de Riesgos - ISO ID Tools and techniques Risk Identification Risk assessment process Risk analysis Consequence Probability Level of risk Risk evaluation Annexo 16 Cause_and_consequence_analysis A SA SA A A B16 17 Cause-and-effect_analysis SA SA NA NA NA B17 18 Layer_protection_analysis_(LOPA) A SA A A NA B18 19 Decision_tree NA SA SA A A B19 20 Human_reliability_analysis SA SA SA SA A B20 21 Bow_tie_analysis NA A SA SA A B21 22 Reliability_centred_maintenance SA SA SA SA SA B22 23 Sneak_circuit_analysis A NA NA NA NA B23 24 Markov_analysis A SA NA NA NA B24 25 Monte_Carlo_simulation NA NA NA NA SA B25 26 Bayesian_statistics_and_Bayes_Nets NA SA NA NA SA B26 27 FN_curves A SA SA A SA B27 28 Risk_indices A SA SA A SA B28 29 Consequence/probability_matrix SA SA SA SA A B29 30 Cost/benefit_analysis A SA A A A B30 31 Multi-criteria_decision_analysis_(MCDA) A SA A SA A B31 SA NA A Strongly applicable Not applicable Applicable.

27 CONTINUIDAD DE NEGOCIOS

28 Continuidad Negocios - BCP - DRP BCM BS Código de Buenas Prácticas

29 Continuidad Negocios - BCP - DRP BCMS BS Especificación del Sistema de Gestión

30 Relación entre RPO y RTO

31 PCI

32 PCI Conjunto de Estándares Dispositivos Aplicaciones Se aplica a todas las áreas de cualquier negocio que almacena, procesa y transmite la información de tarjeta habiente 32

33 Proceso de Cumplimiento Asesoramiento Gap Analysis Actividades de remediación Auditoría Escaneos de seguridad Certificación

34 Controles Recurrentes Al menos se requieren recurrentemente 5 tipos de verificaciones técnicas de seguridad periódicas a la infraestructura de datos de tarjetas Fuente: Segurinfo 2012

35 PCI PCI DSS12 Requerimientos Fuente: Segurinfo 2012

36 # R Req. Requisitos 1 1.1, Establecer los estándares de Configurar del router y firewall que incluyen lo siguiente: Un proceso formal para aprobar y probar todas las conexiones de red y los cambios a las configuraciones de cortafuegos y el router diagrama de la red actual con todas las conexiones a los datos de los tarjetahabientes, incluyendo las redes inalámbricas Requisitos para tener un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de red interna Cambiar siempre suministrados por el proveedor por defecto antes de instalar un sistema en la red, incluyendo pero no limitado a las contraseñas, Simple Network Management Protocol (SNMP) cadenas de comunidad, y la eliminación de cuentas innecesarias En los ambientes inalámbricos conectados al entorno de datos del titular o la transmisión de datos de los tarjetahabientes, cambiar los valores predeterminados inalámbricos de proveedores, incluyendo pero no limitado por defecto claves de cifrado inalámbrico, contraseñas, y las cadenas de comunidad SNMP Desarrollar normas de Configurar para todos los componentes del sistema. Asegúrese de que estas normas se refieren a todas las vulnerabilidades de seguridad conocidas y son coherentes con aceptadas por la industria de sistemas estándares de endurecimiento No almacene datos confidenciales de autenticación después de la autorización (aun cuando estén cifrados). Los datos confidenciales de autenticación incluyen los datos citados en los Requisitos a Nota: Se permite que los emisores y empresas que apoyan servicios de emisión para almacenar datos confidenciales de autenticación si hay una justificación de negocio y los datos se almacenan de forma segura No almacene contenidos completos de ninguna pista de la banda magnética (que se encuentra en la parte posterior de una tarjeta, los datos equivalentes contenidos en un chip, o en otro lugar). Estos datos se denominan alternativamente, pista completa, pista, pista 1, pista 2, y datos de banda magnética Uso de criptografía fuerte y protocolos de seguridad (por ejemplo, SSL / TLS, IPSec, SSH, etc) para salvaguardar los datos confidenciales de los tarjetahabientes durante su transmisión a través de redes públicas abiertas Asegúrese de redes inalámbricas que transmiten datos de los tarjetahabientes o conectado a el entorno de datos, utilice las mejores prácticas de la industria (por ejemplo, IEEE i) para implementar el cifrado fuerte para la autenticación y transmisión. Nota: El uso de WEP como un control de seguridad se prohibió el 30 de junio de No enviar nunca PAN no protegidos por las tecnologías de mensajería de usuario final (por ejemplo, correo electrónico, mensajería instantánea, chat, etc) Implementar el software antivirus en todos los sistemas comúnmente afectados por software malicioso (en especial los ordenadores personales y servidores) Asegúrese de que todos los programas anti-virus son capaces de detectar, eliminar y proteger contra todos los tipos conocidos de software malicioso Asegúrese de que todos los mecanismos anti-virus están al día, ejecutando de forma activa, y generar registros de auditoría.

37 # R Req. Requisitos Asegurar que todos los componentes del sistema y el software están protegidos contra las vulnerabilidades conocidas por tener las últimas suministrados por el proveedor de parches de seguridad instalados. Instale los parches críticos de seguridad dentro de un mes de su lanzamiento Establecer un proceso para identificar y asignar una clasificación de riesgos de las vulnerabilidades de seguridad descubiertas recientemente. Nota: Clasificación de los riesgos deben basarse en las mejores prácticas de la industria. Por ejemplo, los criterios de clasificación vulnerabilidades de "alto" riesgo pueden incluir una puntuación básica CVSS de 4,0 o superior, y / o un parche suministrado por el proveedor clasificada por el fabricante como "crítico", y / o una vulnerabilidad que afecta a un componente crítico del sistema. Nota: La clasificación de las vulnerabilidades como se definen en 6.2.a se considera una buena práctica al 30 de junio de 2012, después de lo cual se convierte en un requisito , Limitar el acceso a los componentes del sistema y los datos de los tarjetahabientes solamente a aquellos individuos cuyo trabajo requiere el acceso. Limitaciones de acceso debe incluir lo siguiente: Restricción de los derechos de acceso a los ID de usuario con privilegios de los privilegios mínimos necesarios para llevar a cabo las responsabilidades del trabajo La asignación de privilegios se basa en la clasificación de la tarea del personal y la función Asignación de todos los usuarios de un nombre de usuario único antes de permitirles acceder a los componentes del sistema o los datos de los tarjetahabientes , Asegurar la adecuada identificación de usuario y la gestión de la autenticación de usuarios no consumidores y administradores en todos los componentes del sistema de la siguiente manera: Control de adición, supresión y modificación de los IDs de usuario, credenciales y otros objetos de identificación Verificar la identidad del usuario antes de realizar el restablecimiento de contraseñas Uso de entrada de las instalaciones apropiadas de control para limitar y controlar el acceso físico a los sistemas en el entorno de datos de los tarjetahabientes Uso de cámaras de vídeo y / o mecanismos de control de acceso para controlar el acceso físico individual a las zonas sensibles. Revise los datos recopilados y se correlacionan con otras entradas. Almacene por lo menos durante tres meses, a menos que se restrinja por ley Establecer un proceso para vincular todos los accesos a los componentes del sistema (especialmente el acceso hacerse con privilegios administrativos, como la raíz) a cada usuario individual Implementar pistas de auditoría automatizadas para todos los componentes del sistema para reconstruir los siguientes eventos: 10.2, Todo individuo tiene acceso a los datos de los tarjetahabientes Prueba de la presencia de puntos de acceso inalámbricos no autorizados y detectar puntos de acceso inalámbricos en una base trimestral. Nota: Los métodos que pueden utilizarse en el proceso incluyen, pero no se limitan a, los análisis de redes inalámbricas, las inspecciones físicas / lógicas de los componentes del sistema y la infraestructura, la red de control de acceso NAC), o IDS e IPS inalámbricos. Cualquiera que sea métodos se utilizan, deben ser suficientes para detectar e identificar todos los dispositivos no autorizados Ejecutar la vulnerabilidad de la red interna y externa analiza por lo menos trimestralmente y después de cualquier cambio significativo en la red 11 (por ejemplo, las nuevas instalaciones de los componentes del sistema, cambios en la topología de la red, modificaciones de reglas de firewall, 11.2, actualizaciones de productos) Realizar análisis trimestrales de vulnerabilidades internas Establecer, publicar, mantener y difundir una política de seguridad que lleva a cabo lo siguiente: Aborda todos los requisitos de PCI DSS Prioridad Incluya un proceso anual que identifica las amenazas y vulnerabilidades, y los resultados de una evaluación formal de riesgos. A A.1, A.1.1 A.1 Proteja cada entidad (que es comerciante, proveedor de servicios, u otra entidad) fue mantiene los datos y/o infraestructura, según A.1.1 a A.1.4: Un proveedor de hosting debe cumplir con estos requisitos, así como todas las demás secciones pertinentes de la norma PCI DSS A.1.1 Asegúrese de que cada entidad sólo se ejecuta procesos que tienen acceso al entorno de datos de los tarjetahabientes de esa entidad

38 PMG SSI

39 PMG-SSI 39 Etapas de la Metodología diseñada, en el marco del PMG-SSI ETAPA 1 DIAGNÓSTICO ETAPA 2 PLANIFICACIÓN ETAPA 3 IMPLEMENTACIÓN ETAPA 4 EVALUACIÓN Mejoramiento Continuo 39

40 PMG-SSI y su Integración 40 40

41 Controles

42 OTROS

43 Otros Temas Cloud https://cloudsecurityalliance.org/research/security-guidance/

44 Otros Temas Evaluación de Seguridad

45 Otros Temas Desarrollo Seguro https://www.owasp.org/

46 Otros Temas WebTrust

47 Otros Temas CiberDefensa

48 Otros Temas Entidades de Gobierno html Entidades Financieras - Procesamiento Externo De Actividades n_6593.pdf Entidades Certificadoras en Chile

49 Otros Temas Chequeo Aplicativo Análisis Forense Análisis de Código Malicioso Móviles HIPAA SCADA. Año 2013 Estándar ISO en Gobierno de Seguridad de la Información ISO 27014

50 Balance Objetivos Gestión Objetivos Técnicos 50

51

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Programa de Asignatura

Programa de Asignatura Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

PROGRAMA DE ASIGNATURA

PROGRAMA DE ASIGNATURA PROGRAMA DE ASIGNATURA 01. Carrera Lic. En Administración de Negocios Internacionales Lic. En Dirección del Factor Humano Lic. En Comercialización X Lic. En Tecnología Informática Lic. En Administración

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST.

Servicios en seguridad de la información. Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Servicios en seguridad de la información Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción a la seguridad Evaluación de Riesgo. Implementación de la seguridad Planes para

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe

DOCUMENTO PÚBLICO KUNAK CONSULTING SAC 2014 Mas Información: info@kunak.com.pe Curso Taller: Análisis de las normas ISO/IEC 27001 Y 27002 Este curso se ha diseñado con el objetivo de dar a conocer a los participantes los conocimientos necesarios asociados al entendimiento de las

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

140 Horas académicas

140 Horas académicas DIPLOMADO GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA DE SISTEMAS 140 Horas académicas MÓDULO I - SEGURIDAD INFORMÁTICA EMPRESARIAL (20 horas: teoría interactiva) Contenido Introducción a la

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Bootcamp de Certificación 2015

Bootcamp de Certificación 2015 CISSP 2015 Bootcamp de Certificación 2015 La Información es el activo más importante de la Organización y de las personas. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010

Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio. Adela Garzón Bejarano Septiembre 1 de 2010 Tendencias metodológicas de gestión de riesgo informático y continuidad del negocio Adela Garzón Bejarano Septiembre 1 de 2010 Agenda 1. Riesgo en la banca electrónica Contexto Gestión de Riesgo en la

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad

Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad SI-0015/06 Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad Madrid, 7 de Noviembre Pedro Sánchez Ingeniero en Informática por la UAM CISA (Certified Information Security Auditor) CISM (Certified

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación B-IP y Atestación de cumplimiento Comerciantes con terminales de punto de interacción (POI) aprobados

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA

PLANEACIÓN ESTRATÉGICA. Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA PLANEACIÓN ESTRATÉGICA DE LA SEGURIDAD DE LA INFORMACIÓN Ramiro Merchán CISA, GSEC DIGIWARE DE COLOMBIA AGENDA Una mirada actual Regulaciones Requerimientos de Gestión de Riesgo Requerimientos PCI Payment

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 25 CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC153_3 Versión 5 Situación RD 1087/2005 Actualización Competencia general

Más detalles

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación D y Declaración de cumplimiento Todos los demás comerciantes y proveedores de servicio elegibles para

Más detalles

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014

DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014 DIPLOMADO EN GESTION IT - SEGURIDAD Y CONTINUIDAD UNIVERSIDAD SEK 2014 1. UNIDAD ORGANIZADORA Facultad de Ingeniería y Administración 2. NOMBRE DEL PROGRAMA Diplomado en Gestión IT Seguridad y Continuidad

Más detalles

Certificación ISO 27001 - Preparación

Certificación ISO 27001 - Preparación Certificación ISO 27001 - Preparación Lic. Raúl l Castellanos CISM, PCI-QSA, Lead Auditor ISO-27001 rcastellanos@cybsec.com Qué es la ISO 27001? Es un modelo para: Establecer Implementar Operar Monitorear

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

PCI DSS, UN PROCESO CONTINUO

PCI DSS, UN PROCESO CONTINUO Su Seguridad es Nuestro Éxito PCI DSS, UN PROCESO CONTINUO Madrid, 7 de Noviembre de 2007 c. Santander, 101. Edif. A. 2º I E-08030 Barcelona I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 I info@isecauditors.com

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

PCI DSS v 3.1 Un enfoque práctico para su aplicación

PCI DSS v 3.1 Un enfoque práctico para su aplicación PCI DSS v 3.1 Un enfoque práctico para su aplicación Presentada por: Ricardo Gadea Gerente General Assertiva S.A. Alberto España Socio/QSA Aclaración: Todos los derechos reservados. No está permitida la

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) rma de seguridad de datos de la Industria de tarjetas de pago (PCI) Atestación de cumplimiento para evaluaciones in situ Proveedores de servicios Versión 3.0 Febrero de 2014 Sección 1: Información sobre

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

Tecnología en Seguridad Perimetral

Tecnología en Seguridad Perimetral Curso Online Tecnología en Seguridad Perimetral institute Cursos Online Plan de estudios: Itinerario Formativo por especialidad Índice: >> Plan de estudios >> Introducción >> A quién va dirigido >> Metodología

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Desarrollado para profesionales. de las Tecnologías de Información

GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Desarrollado para profesionales. de las Tecnologías de Información GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Desarrollado para profesionales de las Tecnologías de Información PATROCINA: GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Este Diploma está orientado a entregar los conocimientos,

Más detalles

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Más detalles

Guía de procesos en gestión de incidentes

Guía de procesos en gestión de incidentes SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad

Más detalles

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos

Industria de Tarjetas de Pago (PCI) Normas de seguridad de datos Industria de Tarjetas de Pago (PCI) rmas de seguridad de datos Requisitos y procedimientos de evaluación de seguridad Versión1.2 Octubre de 2008 Índice Introducción y descripción general de las normas

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C. Tendencias en la Implementación de Sistemas de Gestión de Servicios y Seguridad de TI Septiembre, 2008 Maricarmen García CBCP maricarmen.garcia@secureit.com.mx Contenido Introducción a ALAPSI Situación

Más detalles

El largo camino de un Plan Director de Seguridad de la Información

El largo camino de un Plan Director de Seguridad de la Información El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial

Protección de Infraestructuras Críticas Seguridad en Sistemas de Control Industrial Presentada por: Julio César Ardita, CTO CYBSEC jardita@cybsec.com Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013

DIPLOMADO EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR ISO 27001:2013 EN SEGURIDAD DE LA INFORMACIÓN CON ENFOQUE EN EL ESTÁNDAR :2013 PRESENTACIÓN De acuerdo a las circunstancias y el ambiente diario que se vive hoy en día en nuestro país y en muchos otros lugares del mundo,

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)

Resumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago) Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

PCI (industria de tarjetas de pago) Normas de seguridad de datos

PCI (industria de tarjetas de pago) Normas de seguridad de datos PCI (industria de tarjetas de pago) rmas de seguridad de datos Atestación de cumplimiento para el Cuestionario de autoevaluación (SAQ) A-EP Versión 3.0 Febrero de 2014 Sección 1: Información sobre la evaluación

Más detalles

DIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN

DIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN DIPLOMADO DIPLOMADO SEGURIDAD DE DE LA LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Escuela de Informática y Telecomunicaciones Hoy en día, los profesionales del área informática requieren una sólida formación

Más detalles