UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA"

Transcripción

1 UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BASICAS TECNONOLOGIA E INGENIERIA MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA ING. GABRIEL MAURICIO RAMIREZ VILLEGAS ING. GUSTAVO EDUARDO CONSTAIN MORENO (Director Nacional) (Diseñadores de material didáctico) ZONA CENTRO-SUR (CEAD PALMIRA, CEAD POPAYÁN) Febrero de

2 Introducción INDICE DE CONTENIDO PRIMERA UNIDAD: INTRODUCCION A LOS MODELOS Y ESTANDARES DE SEGURIDAD INFORMATICA Capítulo 1: Conceptos Básicos de Seguridad Informática Lección 1: Sistema de Gestión de la Seguridad de la Información. Lección 2: Que es un estándar? Lección 3: Diferencias entre un Modelo y Estándar Lección 4: Ventajas y Desventajas Lección 5: Ejemplos de Modelos y Estándares Capítulo 2: Estándar (normas) de seguridad informática Lección 6: ISO Lección 7: ISO Lección 8: ISO Lección 9: ISO Lección 10: ISO a ISO Capítulo 3: Modelos de seguridad informática Lección 11: ITIL Lección 12: COBIT Lección 13: OSSTMM Lección 14: CC 2

3 Lección 15: Políticas, organización, alcance del sistema de gestión. SEGUNDA UNIDAD: PROFUNDIZACION EN SEGURIDAD INFORMATICA Capítulo 4: Gobierno de Tecnología Lección 16: Qué es Gobierno de Tecnología? Lección 17: Fundamentos de Gobierno de Tecnología Lección 18: Implementación de Gobierno de TI Lección 19: Marco de Implementación. Lección 20: Éxito de Gobierno de Tecnología Capítulo 5: Certificaciones Lección 21: CISA Lección 22: CISM Lección 23: CGIT Lección 24: CISSP Lección 25: COMPTIA SECURITY Capítulo 6: Hacker Ético Lección 26: Qué es Hacker Ético? Lección 27: Tareas del Hacker Ético Lección 28: Certificación Hacker Ético Lección 29: Ingeniería Social Lección 30: Reflexión Hacker Personal 3

4 LISTADO DE GRAFICOS Y FIGURAS Fig. 1. Modelo de seguridad de la información organizacional. Pág. 12 Fig. 2. Entidades generadoras de estándares. Pág. 15 Fig. 3. Modelo de gestión de TI. Pág. 39 4

5 ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO El contenido didáctico del curso académico: Modelos y Estándares de Seguridad Informática fue diseñado y construido inicialmente en el año 2012 por los Ingenieros Gabriel Mauricio Ramírez Villegas y Gustavo Eduardo Constaín Moreno, docentes de la Escuela de Ciencias Básicas Tecnología e Ingeniería de la Universidad Nacional Abierta y a Distancia, ubicados en los Centros de Educación a Distancia de Palmira (Valle del Cauca) y Popayán (Cauca) respectivamente, con recursos de Internet, Libros Electrónicos, White Papers, Monografías, Trabajos de Grados, documentos de las compañías y organizaciones productoras de los modelos y estándares, además de hardware y software, consorcios de telecomunicaciones, videos, presentaciones, entre otros recursos utilizados. Algunas de las lecciones toman información textual de diferentes documentos, con referencia a las definiciones y explicaciones sobre los modelos y estándares de tecnologías computacionales y de comunicaciones con respecto a la seguridad informática. El presente contenido es la primera versión construida para el curso de Modelos y Estándares de Seguridad Informática, debido a los diferentes estándares definidos por la UNAD y por el continuo cambio de los contenidos y la evolución de los sistemas computacionales y de comunicaciones, el contenido podrá ser actualizado de forma constante. 5

6 AVISO IMPORTANTE LEER ANTES DE INICIAR El contenido del curso Modelos y Estándares de Seguridad Informática está construido con información conceptual y contextual referente a los diferentes modelos y estándares que se aplican a la seguridad informática. Las Unidades didácticas corresponden a un (1) crédito académico, de acuerdo a lo establecido en la UNAD estas unidades están conformadas por los capítulos y estos a su vez por lecciones, las lecciones contienen la información conceptual y contextual, que debe ser profundizada por medio de la investigación de los estudiantes en el tema, para ello se proponen enlaces web los cuales son páginas de internet, monografías, artículos, White papers, tesis de grado, así como la información técnica de las empresas productoras de hardware y software, organizaciones de seguridad entre otros que dirigen a los estudiantes a la profundización de los temas, pero a su vez los estudiantes deben profundizar en los temas buscando sus propios recursos. Es importante que el participante del curso observe los enlaces sugeridos y lea con detenimiento las distintas fuentes de información mencionadas para garantizar un adecuado nivel de profundización en las temáticas tratadas al interior del curso. No olvidar profundizar las lecciones con los documentos y enlaces relacionados! 6

7 INTRODUCCIÓN En el presente contenido didáctico del curso de Modelos y Estándares en Seguridad Informática, se podrá observar la información básica y necesaria para el desarrollo de las actividades del curso. El curso se desarrolla bajo la estrategia de Aprendizaje Basada en el trabajo colaborativo, esta estrategia se utiliza para que los estudiantes planeen, implementen y evalúen los diferentes modelos y estándares para conceptualizar, contextualizar y aplicar los conocimientos en el mundo real. De acuerdo con esto se plantea en el curso el desarrollo de la información de las unidades del curso, pero se invita al estudiante a investigar y profundizar en cada una de estas unidades, para ello se desarrolla un diseño instruccional en donde el estudiante tendrá una guía de investigación que le permita complementar la información y así cumplir con el proceso de enseñanza-aprendizaje. Los estudiantes deben trabajar en equipo con los compañeros de su grupo de trabajo, lo cuales se acompañaran en todos los procesos de investigación y de aprendizaje durante el desarrollo del curso, cabe anotar que el grupo de trabajo debe conseguir realizar el trabajo en sinergia que le permita realizar aprendizaje entre pares con sus compañeros. En este orden de ideas es necesario que el estudiante afronte el curso de forma adecuada en cuanto al trabajo que se realizara en cada una de las unidades didácticas del curso, en las investigaciones complementarias y en el desarrollo de las actividades del curso. A continuación se presentan dos (2) Unidades didácticas, en las cuales se presenta la información referente al marco teórico de los modelos y estándares utilizados en la actualidad en la seguridad informática. 7

8 Nombre de la Unidad Introducción Justificación Intencionalidades Formativas Capítulo 1 UNIDAD 1 Introducción a los Modelos y Estándares de Seguridad Informática Conceptos Básicos de Seguridad Informática Lección 1 Sistema de Gestión de la Seguridad de la Información Lección 2 Qué es un Estándar? Lección 3 Diferencias entre un Modelo y Estándar Lección 4 Ventajas y Desventajas Lección 5 Ejemplos de Modelos y Estándares Capítulo 2 Modelos (normas) de seguridad informática Lección 6 ISO Lección 7 ISO Lección 8 ISO Lección 9 ISO Lección 10 ISO a ISO Capítulo 3 Lección 11 Lección 12 Lección 13 Lección 14 Lección 15 Estándares de seguridad informática ITIL COBIT OSSTMM CC Políticas, organización, alcance del sistema de gestión. 8

9 PRIMERA UNIDAD: INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA CAPITULO 1: CONCEPTOS BÁSICOS DE SEGURIDAD INFORMÁTICA Introducción En la actualidad, el activo de mayor valor para muchas organizaciones es la información y en tal sentido asumen una significativa importancia las acciones tendientes a garantizar su permanencia en el tiempo con un nivel de acceso controlable y seguro. A diario las organizaciones se están viendo amenazadas por riesgos que ponen en peligro la integridad de la información y, por supuesto, la viabilidad y estabilidad de sus funciones sustanciales. Es importante la identificación de los factores de riesgo, tanto internos como externos, que pueden significar un factor de riesgo para la integridad de la información organizacional, y a partir de ello buscar las mejores alternativas para el aseguramiento de un entorno de trabajo fiable. En tal sentido, las organizaciones pueden proteger sus datos e información de valor con el planteamiento de un Sistema de Gestión de Seguridad de la Información (SGSI) que permita conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información. El presente capítulo, profundiza en la conceptualización de aspectos básicos de seguridad informática y protección de las infraestructuras de las tecnologías de la información, con el fin de generar los conocimientos mínimos para el desarrollo apropiado de la especialización. 9

10 Justificación La presente Unidad permite al participante del curso Modelos y Estándares en Seguridad Informática, apropiar los conceptos generales básicos para abordar las diferentes temáticas a tratar en la Especialización en Seguridad Informática, para que de este modo se facilite su aprendizaje y continuidad en los niveles con una apropiación adecuada de las temáticas propuestas. Dentro de este nivel de aprendizaje es importante la definición de los modelos de implementación de la seguridad de la información, además de los estándares que pueden ser aplicados para este fin. Todo lo anterior servirá como base para la continuidad en el programa de formación postgradual. Intencionalidades Formativas Fortalecer los conocimientos fundamentales de la seguridad informática como el esquema básico de diseño de un sistema de gestión de la seguridad de la información organizacional (SGSI). Identificar los diferentes modelos y estándares que pueden ser aplicados en las organizaciones para el montaje de un SGSI. Identificar las características, ventajas y desventajas de los modelos y estándares de seguridad informática. Preparar al participante de la especialización en los conceptos fundamentales, análisis, diseño y desarrollo de sistemas de gestión de la seguridad de la información. 10

11 Lección 1: Sistema de gestión de seguridad de la información En el interior de las organizaciones actuales es imposible no considerar su información como uno de factores de mayor importancia y valor, y que por supuesto amerita de un tratamiento especial para garantizar su fiabilidad y permanencia. En tal sentido, cada propietario de la información podría asumir sus mecanismos de protección particulares sin importar la compatibilidad de tales estrategias con otras que pudieran haber sido asumidas por un interlocutor dentro de un proceso de manejo de información al interior de la misma organización. Es así como además de la pérdida de información por malos manejos de los medios de transmisión, se suma a estos riesgos la innumerable lista de amenazas posibles que atentan contra la integridad de dicha información. Para cualquier organización el garantizar un nivel de protección total de la información es virtualmente imposible, incluso en el caso de disponer de recursos ilimitados. En este sentido, se han propuesto normas internacionales con el fin de unificar los mecanismos de construcción, manejo, almacenamiento y transmisión de información para reducir los riesgos que ocasionan pérdidas de información y facilitar los criterios de actuación en caso de que ellos ocurran. Sin embargo, a través de estas normas se puede prever la conservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento. A esto se le ha llamado Sistema de Gestión de la Seguridad de la Información SGSI (o ISMS por sus siglas en inglés). El propósito de un SGSI es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías. 11

12 Fig. 1. Modelo de seguridad de la información organizacional 1 El proceso de desarrollo del SGSI requiere de la ejecución de las siguientes fases: 1. PLANEAR Definir el alcance de las políticas Definir las políticas Definir la metodología de valoración del riesgo Identificar riesgos Analizar y evaluar riesgos Gestión del riesgo Objetivos de control Obtener autorización para operar el SGSI Elaborar una declaración de aplicabilidad 2. IMPLEMENTAR Plan de tratamiento del riesgo Implementar controles seleccionados Definir métrica de los controles establecidos 1 Imágen tomada de: USC Marshall School of Business Institute for Critical Information Infraestructure Protection. 12

13 Implementar programas de educación Gestionar la operación del SGSI Gestionar los recursos del SGSI Implementar procedimientos 3. EVALUAR Ejecutar procedimientos de revisión Realizar revisiones periódicas Medir la eficacia de los controles Revisar las valoraciones de riesgos Realizar auditorías internas 4. MANTENER Implementar las mejoras identificadas en el SGSI Emprender acciones correctivas y preventivas Comunicar las acciones y mejoras a las partes interesadas Asegurarse de que las mejoras logran los objetivos propuestos Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: Portal web ISO Sistema de Gestión de la Seguridad de la Información: FERRER, R. Sistema de Gestión de la Seguridad de la Información -SGSI: Portal VDigitalRM. Guía de seguridad de la información: Instituto Nacional de Tecnologías de la Comunicación. Conceptos básicos sobre Seguridad de la Información: 13

14 Lección 2: Qué es un Estándar? Como vimos en la lección anterior, un sistema de gestión de la seguridad de la información busca prever los riesgos con el fin de preservar la confidencialidad, integridad y disponibilidad de la misma, bien sea en el interior de la organización, ante nuestros clientes (internos y/o externos) y ante las distintas partes involucradas en nuestro negocio. La confidencialidad implica el acceso a la información por parte exclusiva de las personas que estén debidamente autorizadas para hacerlo, la integridad conlleva el mantenimiento de la exactitud y completitud de la información y sus métodos de proceso; finalmente, la disponibilidad se refiere al acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados en el momento que lo requieran. Para lograr lo anteriormente expuesto, se ha definido un con junto de normas, denominadas como Estándares, que pueden concebirse como una publicación que reúne el trabajo en común de los comités de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores, que contiene las especificaciones técnicas y mejores prácticas en la experiencia profesional con el objeto de ser utilizada como regulación, guía o definición para las necesidades demandadas por la sociedad y tecnología 2. Con el fin de proporcionar un marco de gestión de la seguridad de la información que sea utilizable por cualquier tipo de organización, se ha creado un conjunto de estándares bajo el nombre de ISO/IEC 27000; estas normas nos van a permitir reducir de manera significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. El grupo de normas ISO/IEC han sido elaboradas conjuntamente por ISO, que es la Organización Internacional de Normalización y por IEC que es la Comisión Electrotécnica Internacional. Ambos están formados por los organismos de normalización más representativos de cada país. 2 Ministerio de comunicaciones. República de Colombia. Modelo de seguridad de la información. Sitio web: 14

15 Fig. 2. Entidades generadoras de estándares ISO e IEC se encargan de elaborar normas internacionales que el mercado requiere, necesita y exige. Estas normas pueden hacer referencia a productos como electrodomésticos, calzado, alimentación o juguetes; también pueden hacer referencia a servicios como los prestados en hoteles o transporte público de pasajeros. En los últimos años, ISO e IEC han trabajado mucho con normas relacionadas con las nuevas tecnologías como la telefonía móvil o la seguridad de la información, y por supuesto, han continuado elaborando normas de gestión como las conocidas ISO 9001 e ISO Las normas son de carácter voluntario, nadie obliga o vigila su cumplimiento, sin embargo, su uso por millones de empresas facilita el entendimiento entre países y organizaciones. Las normas también contribuyen a mejorar la calidad y seguridad de los productos y servicios que utilizamos todos los días. 3 Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: Ministerio de comunicaciones. República de Colombia. Modelo de seguridad de la información. Sitio web: 3 Instituto Nacional de Tecnologías de la Comunicación INTECO. España. 15

16 Instituto Nacional de Tecnologías de la Comunicación. Conceptos básicos sobre Seguridad de la Información: Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: Escuela Colombiana de Ingeniería Julio Garavito. Principales estándares para la seguridad de de la información IT: 16

17 Lección 3: Diferencias entre un Modelo y un Estándar Los estándares y las normas son descripciones técnicas detalladas, elaboradas con el fin de garantizar la interoperabilidad entre elementos construidos independientemente, así como la capacidad de replicar un mismo elemento de manera sistemática. Según la Organización Internacional para la Estandarización (ISO), uno de los principales organismos internacionales desarrolladores de estándares, la normalización es la actividad que tiene por objeto establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento óptimo en un contexto dado, que puede ser tecnológico, político o económico. En el caso de las telecomunicaciones, el contexto al que hace referencia la ISO es casi exclusivamente tecnológico. Los estándares de telecomunicaciones deben alcanzar únicamente el nivel de concreción necesario para llevar a cabo implementaciones del estándar de manera inequívoca y que sean compatibles entre sí. Además, las normas técnicas de telecomunicaciones deben proporcionar criterios uniformes en el ámbito territorial más extenso posible, de manera que se pueda garantizar la interoperabilidad a nivel global. Con el fin de clarificar algunos conceptos que son importantes para la continuidad temática del curso, a continuación se definen conceptualmente los aspectos siguientes: NORMA: En Tecnología, una norma o estándar es una especificación que reglamenta procesos y productos para garantizar la interoperabilidad. Una norma de calidad es una regla o directriz para las actividades, diseñada con el fin de conseguir un grado óptimo de orden en el contexto de la calidad. 17

18 Las normas son documentos técnicos con las siguientes características: Contienen especificaciones técnicas de aplicación voluntaria Son elaborados por consenso de las partes interesadas: Fabricantes Administraciones Usuarios y consumidores Centros de investigación y laboratorios Asociaciones y Colegios Profesionales Agentes Sociales, etc. Están basados en los resultados de la experiencia y el desarrollo tecnológico Son aprobados por un organismo nacional, regional o internacional de normalización reconocido Están disponibles al público Las normas ofrecen un lenguaje de punto común de comunicación entre las empresas, la Administración y los usuarios y consumidores, establecen un equilibrio socioeconómico entre los distintos agentes que participan en las transacciones comerciales, base de cualquier economía de mercado, y son un patrón necesario de confianza entre cliente y proveedor. Tipos de normas: Una norma de facto puede definirse como una especificación técnica que ha sido desarrollada por una o varias compañías y que ha adquirido importancia debido a las condiciones del mercado. Suele utilizarse para referirse a normas de uso cotidiano. 18

19 Una norma de jure puede definirse, en general, como una especificación técnica aprobada por un órgano de normalización reconocido para la aplicación de la misma de forma repetida o continuada, sin que dicha norma sea de obligado cumplimiento. ESTÁNDAR: La normalización o estandarización es la redacción y aprobación de normas que se establecen para garantizar el acoplamiento de elementos construidos independientemente, así como garantizar el repuesto en caso de ser necesario, garantizar la calidad de los elementos fabricados y la seguridad de funcionamiento. La normalización es el proceso de elaboración, aplicación y mejora de las normas que se aplican a distintas actividades científicas, industriales o económicas con el fin de ordenarlas y mejorarlas. La Asociación Estadounidense para Pruebas de Materiales (ASTM), define la normalización como el proceso de formular y aplicar reglas para una aproximación ordenada a una actividad específica para el beneficio y con la cooperación de todos los involucrados. Según la ISO (International Organization for Standarization) la Normalización es la actividad que tiene por objeto establecer, ante problemas reales o potenciales, disposiciones destinadas a usos comunes y repetidos, con el fin de obtener un nivel de ordenamiento óptimo en un contexto dado, que puede ser tecnológico, político o económico. La normalización persigue fundamentalmente tres objetivos: Simplificación: Se trata de reducir los modelos quedándose únicamente con los más necesarios. Unificación: Para permitir la intercambiabilidad a nivel internacional. Especificación: Se persigue evitar errores de identificación creando un lenguaje claro y preciso. 19

20 MODELO: Arquetipo o punto de referencia para imitarlo o reproducirlo. Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: TECCELAYA. Norma, Estándar, Modelo. WIKITEL. Normas y Estándares. Bjørn Andersen. Departamento de Producción y Calidad de Ingeniería de la Universidad Noruega de Ciencia y Tecnología. Ventajas y desventajas del uso de modelos predefinidos de proceso. nsledelse.net/publikasjoner/advantages%2520and%2520disadvantages%2520of%2520us ing%2520predefined%2520process%2520models.pdf 20

21 Lección 4: Ventajas y desventajas Ventajas: Algunas de las ventajas de la implementación de estándares para la seguridad de la información son las siguientes: Mejorar el conocimiento de los sistemas de información, sus problemas y los medios de protección. Mejorar la disponibilidad de los materiales y de los datos que existan en la organización. Se facilita la protección de la información. La aplicación de estándares puede significar la diferenciación de la organización ante la competencia y sobre el mercado. Algunas licitaciones de tipo internacional solicitan la gestión y cumplimiento de ciertas normas de aseguramiento de la seguridad de la información. Reducción de costos debido a la pérdida de información. Desventajas: La no aplicación de las normas, o la mala implementación de las mismas, pude llevar a la ocurrencia de las siguientes situaciones: Claves de acceso a sistemas de información compartidas o inexistentes. Acceso a sitios no autorizados. Uso indebido de equipos informáticos y mala utilización o pérdida de la información en ellos contenida. 21

22 Robo o pérdida de información importante. Bases de datos destruidas. Mantenimiento de equipos informáticos no controlados. Copias de seguridad inservibles o incompatibles. Redes de comunicación de la organización caídas. Aplicaciones informáticas mal diseñadas. Inexistencia de roles y responsabilidades entre las personas con acceso a la información (personal no controlado). Deficiente infraestructura de los centros de informática. Terceros / Outsourcing sin control. Incumplimiento de requerimientos legales o contractuales. Inestabilidad de la viabilidad de la organización. Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: Estándares y Normas de seguridad: Bjørn Andersen. Departamento de Producción y Calidad de Ingeniería de la Universidad Noruega de Ciencia y Tecnología. Ventajas y desventajas del uso de modelos predefinidos de proceso. nsledelse.net/publikasjoner/advantages%2520and%2520disadvantages%2520of%2520us ing%2520predefined%2520process%2520models.pdf 22

23 Lección 5: Ejemplos de Modelos y estándares Para el caso que nos interesa, las normas ISO/IEC han sido creadas para facilitar la implantación de Sistemas de Gestión de Seguridad de la Información, entre las más importantes están: NORMA ISO/IEC 27000: Recoge los términos y definiciones empleados en el resto de normas de la serie, con esto se evitan distintas interpretaciones sobre los conceptos que aparecen a lo largo de las mismas. Además, incluye una visión general de la familia de normas en esta área, una introducción a los sistemas de Gestión de Seguridad de la información y una descripción del ciclo de mejora continua. NORMA ISO/IEC 27001: Es la norma principal de la serie. Se puede aplicar a cualquier tipo de organización, independientemente de su tamaño y de su actividad. La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un sistema de gestión de la seguridad de la información. Recoge los componentes del sistema, los documentos mínimos que deben formar parte de él y los registros que permitirán evidenciar el buen funcionamiento del sistema. Asimismo, especifica los requisitos para implementar controles y medidas de seguridad adaptados a las necesidades de cada organización. NORMA ISO/IEC 27002: Es una guía de buenas prácticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de información de una organización. Para ello describe 11 áreas de actuación, 39 objetivos de control o aspectos a asegurar dentro de cada área y 133 controles o mecanismos para asegurar los distintos objetivos de control. La familia de normas ISO/IEC contiene otras normas destacables. Como por ejemplo, la norma sobre requisitos para la acreditación de las entidades de auditoría y certificación, es decir, de aquellas entidades que acuden a las empresas para certificar que el sistema está correctamente implantado. También incluye una guía de auditoría y guías de implantación de la norma en sectores específicos como el de sanidad o telecomunicaciones. 23

24 Para Profundizar: El estudiante debe visitar los siguientes enlaces, para profundizar y deben realizar su propia investigación del tema y profundización: Instituto Nacional de Tecnologías de la Comunicación. Estándares de gestión de la Seguridad de la Información: 24

25 CAPITULO 2: MODELOS (NORMAS) DE SEGURIDAD INFORMÁTICA Lección 6: ISO La ISO es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. Existen varios tipos de estándares aplicados a diferentes niveles, de los cuales el ISO es el estándar internacional más extendido y aplicado. El objetivo de esta norma es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y reclamaciones de confianza entre las empresas. Esta misma norma recoge la relación de controles que se deben aplicar para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI). El conjunto completo de estos controles conforman las buenas prácticas de seguridad de la información. Algunas características de la norma ISO son las siguientes: Está redactada de forma flexible e independiente de cualquier solución de seguridad concreta. Proporciona buenas prácticas neutrales con respectos a tecnologías o fabricantes específicos. Aplicable a todo tipo de organizaciones sin importar su naturaleza comercial o tamaño. La norma ISO establece 11 dominios de control que cubren por completo la gestión de la seguridad de la información: 1. Política de seguridad: Dirigir y dar soporte a la gestión de la seguridad de la información (directrices y recomendaciones). 2. Aspectos organizativos de la seguridad: Gestión dentro de la organización (recursos, activos, tercerización, etc.) 3. Clasificación y control de activos: Inventario y nivel de protección de los activos. 25

26 4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos. 5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos. 6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de la información. 7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (en computadores, redes informáticas, archivos personales de usuarios, etc.) 8. Desarrollo y mantenimiento de sistemas: Garantizar que la seguridad está incorporada dentro de los sistemas de información, evitar pérdidas, modificaciones o mal uso de la información 9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información. 10. Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallos, ataques o desastres. 11. Conformidad con la legislación Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de seguridad. De estos once dominios se derivan los Objetivos de Control, con los resultados que se esperan alcanzar mediante la implementación de controles; y los Controles, que son las prácticas, procedimientos y mecanismos que reducen el nivel de riesgo. 26

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Ana Andrés Luis Gómez Título: Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

ISO 27000. Contenidos WWW.ISO27000.ES. 1. Origen. 2. La serie 27000. 3. Contenido. 4. Beneficios. 5. Cómo adaptarse? 6. Aspectos Clave.

ISO 27000. Contenidos WWW.ISO27000.ES. 1. Origen. 2. La serie 27000. 3. Contenido. 4. Beneficios. 5. Cómo adaptarse? 6. Aspectos Clave. ISO 27000 Contenidos 1. Origen 2. La serie 27000 3. Contenido 4. Beneficios 5. Cómo adaptarse? 6. Aspectos Clave. La información es un activo vital para el éxito y la continuidad en el mercado de cualquier

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes

Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes Guía de aplicación de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de información para pymes 2.ª edición Luis Gómez Fernández Ana Andrés Álvarez Título: Guía de aplicación de la Norma UNE-ISO/IEC

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE INTRODUCCIÓN El avance informático actual es muy alto comparado con lo se tenía en los años 90, al hablar de desarrollo de software se hace más notable, en el

Más detalles

Manuel Ballester, CISA, CISM

Manuel Ballester, CISA, CISM Conferencia Latin America CACS 2007 #333 Lecciones aprendidas sobre la certificación en el estándar ISO 27001 y su relación con Cobit. Preparada por Manuel Ballester, CISA, CISM Reflexión Inicial Cuanto

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s PRINCE2 & TickIT Jorge Armando Medina Morales Código 1700321660 U n i v e r s i d a d D e C a l d a s F a c u l t a d D e I n g e n i e r í a s I n g e n i e r í a D e S i s t e m a s O c t u b r e 2010

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

Proyecto 20000-PYME. Introducción al SGSTI (Sistema de Gestión de Servicios TI)

Proyecto 20000-PYME. Introducción al SGSTI (Sistema de Gestión de Servicios TI) Proyecto 20000-PYME Introducción al SGSTI (Sistema de Gestión de Servicios TI) Introducción TI en los procesos nucleares del negocio Necesidad de objetivar la calidad de TI Referencias en el mundo Metodologías

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

ITIL V3 Por dónde empezar?

ITIL V3 Por dónde empezar? ITIL V3 Por dónde empezar? Autor: Norberto Figuerola Introducción La gestión de servicios de TI (ITSM) suministra los servicios que necesita una empresa para cumplir sus objetivos de negocio. ITSM respalda

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

La gestión de la seguridad en la empresa:

La gestión de la seguridad en la empresa: EN PORTADA La gestión de la seguridad en la empresa: Introducción Vivimos en un mundo globalizado y cada vez más competitivo, en el que las empresas se encuentran con nuevos desafíos que hacen necesaria

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

ISO 9000 ISO 9001 (2015) ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad

ISO 9000 ISO 9001 (2015) ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad «N o m b r e _ O r g a n i z a c i ó n _ C O M P L E T O» ISO 9001 (2015) ISO 9000 ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad Interpretación libre de ISO/DIS 9001:2015 Tabla

Más detalles

Curso de postgrado en Seguridad Informática

Curso de postgrado en Seguridad Informática Curso de postgrado en Seguridad Informática Mayo 2014 Índice 1. Presentación... 1 2. Objetivos... 2 3. Dirigido para... 2 4. Contenidos... 3 5. Programa... 5 6. Desarrollo del curso... 6 7. Prerrequisitos,

Más detalles

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información

Protección de Datos Personales y. Seguridad de la Información. Certificado ISO 27001. Seguridad de la Información Certificado ISO 27001 Seguridad de la Información Protección de Datos Personales y Seguridad de la Información 1 sumario 1. ALARO AVANT 1.1. Estructura 1.2. Servicios 1.3. Equipo 1.4. Credenciales 1.5.

Más detalles

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000 TCM ProactivaNET Cómo lograr una implementación exitosa de ITIL /ISO20000 Gestión de Servicios de TI ITIL e ISO/IEC 20000 TCM 2011 Qué es la Gestión de Servicios de TI? La Gestión del Servicio es un conjunto

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 INDICE Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 Unidad 1 Fundamentos ITIL 1.1 Historia y Concepto ITIL nació en la década de 1980, a través de la Agencia Central

Más detalles

1. Seguridad de la Información... 3. 2. Servicios... 4

1. Seguridad de la Información... 3. 2. Servicios... 4 Guía de productos y servicios relacionados con la Seguridad de la Información INDICE DE CONTENIDO 1. Seguridad de la Información... 3 2. Servicios... 4 2.1 Implantación Sistema de Gestión de Seguridad

Más detalles

GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS

GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS Diciembre 2008 AVISO LEGAL CMMI es una marca registrada en la Oficina de Marcas y Patentes de EEUU por la Universidad Carnegie Mellon Las distintas normas ISO

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

La norma ISO 27001 del Sistema de Gestión de la

La norma ISO 27001 del Sistema de Gestión de la La norma ISO 27001 del Sistema de Gestión de la Garantía de confidencialidad, integridad y Carlos Manuel Fernández Coordinador de TIC de AENOR Introducción La información es como el aparato circulatorio

Más detalles

CS.04. Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5. Ing. Claudio Schicht, PMP, ITIL EXPERT

CS.04. Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5. Ing. Claudio Schicht, PMP, ITIL EXPERT CS.04 Curso de Seguridad de la Información Alineando la Serie ISO 27000, ITIL 2011 Edition y CobiT 5 (HABILITAN PARA OBTENER CERTIFICACION) Ing. Claudio Schicht, PMP, ITIL EXPERT 1. Introducción: Desde

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

Cómo aprovechar mejor el Webinar

Cómo aprovechar mejor el Webinar Cómo aprovechar mejor el Webinar Utilice la herramienta de P&R (Preguntas y Respuestas) con la opción preguntar a todos los miembros del panel (DNV) marcada. Esta herramienta puede ser utilizada en cualquier

Más detalles

NTE INEN-ISO 22301 2015-XX

NTE INEN-ISO 22301 2015-XX Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO 22301 2015-XX PROTECCION Y SEGURIDAD DE LOS CIUDADANOS. SISTEMA DE GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO (SGCN) ESPECIFICACIONES (ISO 22301:2013, IDT)

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) de conjunto y vocabulario

Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) de conjunto y vocabulario norma española UNE-ISO/IEC 27000 Octubre 2012 TÍTULO Tecnologías de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Visión de conjunto y vocabulario Information

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

Las Normas ISO 9000 del 2000

Las Normas ISO 9000 del 2000 Las Normas ISO 9000 del 2000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática Agenda Sección 1: Principios

Más detalles

ISO y la serie de Normas ISO 9000

ISO y la serie de Normas ISO 9000 ISO y la serie de Normas ISO 9000 La International Organization for Standardization (ISO) es la agencia internacional especializada para la estandarización, abarcando actualmente los cuerpos nacionales

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

2.1.- Ciclo PDCA: el ciclo sin fin. Pág. 5. 2.2.- Los 7 pilares: Principios de la gestión de la calidad Pág. 6. 3.1.- Cambios en la estructura. Pág.

2.1.- Ciclo PDCA: el ciclo sin fin. Pág. 5. 2.2.- Los 7 pilares: Principios de la gestión de la calidad Pág. 6. 3.1.- Cambios en la estructura. Pág. C l a v e s d e l a r e v i s i ó n d e l a N o r m a I S O 9 0 0 1 2 Índice: 1.- Antes de comenzar, un poco de historia. Pág. 3 2.- Algunas de las bases del sistema de gestión de la calidad Pág. 5 2.1.-

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Estándares de Seguridad Informática

Estándares de Seguridad Informática Estándares de Seguridad Informática Por: Anagraciel García Soto, José Luis Sandoval Días. 01/11/2009 Conceptos de Estándares de Seguridad Informática. 1. Estándar: Especificación que se utiliza como punto

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

NTE INEN-ISO/IEC 27033-1 Primera edición

NTE INEN-ISO/IEC 27033-1 Primera edición Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27033-1 Primera edición TECNOLOGÍAS DE LA INFORMACIÓN TÉCNICAS DE SEGURIDAD SEGURIDAD DE LA RED PARTE 1: DESCRIPCIÓN Y CONCEPTOS (ISO/IEC 27033-1:2009,

Más detalles

Ing. Nicolás Serrano nserrano@bcu.gub.uy

Ing. Nicolás Serrano nserrano@bcu.gub.uy Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del

Más detalles

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DE ACTIVOS DE SOFTWARE (SAM). PARTE 1: PROCESOS (ISO/IEC 19770-1:2006, IDT)

Quito Ecuador EXTRACTO TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DE ACTIVOS DE SOFTWARE (SAM). PARTE 1: PROCESOS (ISO/IEC 19770-1:2006, IDT) Quito Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 19770-1 Primera edición 2014-01 TECNOLOGÍA DE LA INFORMACIÓN. GESTIÓN DE ACTIVOS DE SOFTWARE (SAM). PARTE 1: PROCESOS (ISO/IEC 19770-1:2006, IDT)

Más detalles

Auditoría Informática en la Administración: Un Reto para los Profesionales TIC

Auditoría Informática en la Administración: Un Reto para los Profesionales TIC 80 Auditoría Informática en la Administración: Un Reto para los Profesionales TIC LAS ORGANIZACIONES EXITOSAS SON AQUELLAS QUE, ENTRE OTRAS COSAS, RECONOCEN LOS BENEFICIOS QUE LAS TIC LES PROPORCIONAN

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA Gabinete de Sistema Servicio de Producción Dirección General de Sistemas de Información

Más detalles

ISO 17025: 2005. Requisitos generales para la competencia de los laboratorios de ensayo y calibración

ISO 17025: 2005. Requisitos generales para la competencia de los laboratorios de ensayo y calibración ISO 17025: 2005 Requisitos generales para la competencia de los laboratorios de ensayo y calibración El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información

Más detalles