Análisis de Riesgos Dinámico aplicado a Sistemas de Respuesta Automática frente a Intrusiones

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Análisis de Riesgos Dinámico aplicado a Sistemas de Respuesta Automática frente a Intrusiones"

Transcripción

1 RECSI 2014, Alicante, 2-5 septiembre 2014 Análisis de Riesgos Dinámico aplicado a Sistemas de Respuesta Automática frente a Intrusiones Diego Ray Victor A. Villagrá Verónica Mateos Pilar Holgado Resumen Los Sistemas de Respuesta Automática frente a Intrusiones plantean un objetivo de interés en el campo de la Seguridad en la Información, pero desde el momento en que su fin último es asumir responsabilidades del usuario administrador, las diferentes propuestas acaban proliferando en multitud de alternativas y complejas metodologías. Las principales soluciones proponen inferir respuestas en base al estado y sucesos de red. Un administrador experto tomaría sus decisiones a raíz de estos mismos criterios, pero viéndose fuertemente influenciado por el resto de eventualidades de su entorno, tanto técnicas como corporativas, aspectos que actualmente no se contemplan o se contemplan de forma insuficiente. Apoyarse en el campo del Análisis de Riesgos como técnica madura, probada y bien regulada conduciría a estos sistemas a una mayor capacidad de respuesta y evaluación de sus acciones. Palabras clave Análisis de Riesgos Dinámicos (Dynamic Risk Assessment), Ontologías (Ontologies), Sistemas de Respuestas Automáticos ante Intrusiones (Automatic Intrusion Response Systems). I. INTRODUCCIÓN Los Sistemas de Respuesta Automática frente a Intrusiones (AIRS) son dispositivos de protección. Su fin último es asistir a un administrador y asumir parte de sus actuaciones, recopilando la información de su entorno y dando respuesta a anomalías y ataques. Surgen de la rama de los equipos de seguridad en redes, como cortafuegos e IDSs, destacándose por su capacidad de respuesta automática sin asistencia del administrador. El Análisis de Riesgos (AARR) en los sistemas de información es un estudio preventivo de lo negativo que puede llegar a ocurrir. Es un estudio extenso que proporciona las guías de actuación y buenas prácticas para la protección de la información y servicios. Es un análisis a todos los niveles, y no sólo desde el punto de vista de los sistemas informáticos pero sí dirigido a ellos. Referente a este proceso integrador se resalta el apartado séptimo de la política de seguridad en la información del Ministerio de Defensa [1]: personas, documentos, SI y telecomunicaciones e instalaciones. El alcance del artículo es dar una primera aproximación al problema y un estudio de su relevancia, estando en vías de investigación dar soluciones para un futuro prototipo. Con este fin hacer uso del estudio extenso y metodológico del riesgo para mejorar las respuestas de los AIRS. En la sección II se introducirán los conceptos de AIRS y de Análisis de Riegos Dinámicos (DRA). Se analizará el estado del arte en la aplicación del AARR en sistemas de información (SI) en general, y en los AIRS en particular. En la sección III se expondrán los principales problemas encontrados para su integración. En la sección IV los autores reflejarán su propuesta, finalizando con las conclusiones. II. EL ANÁLISIS DE RIESGOS EN SISTEMAS DE RESPUESTA FRENTE A INTRUSIONES Los AIRS se enmarcan dentro de los sistemas de defensa perimetral, servicios y tecnologías de control de acceso lógico a las redes de telecomunicación [2]. Son uno de sus elementos más recientes y se hallan actualmente en evolución. Esta familia abarca desde las implementaciones de seguridad de los IOS (Internetwork Operating System) de routers y switches, hasta llegar a soluciones integradas de cortafuegos, IPSs y VPNs (series ASA-5500 de CISCO). Se describen en [3] como elementos de seguridad que seleccionan y ejecutan respuestas ante las intrusiones detectadas por un IDS, proporcionando junto a [4] una posible taxonomía. De esta clasificación se extraen como características deseables: la capacidad de adaptabilidad, proactividad, sensibilidad de coste con modelo de evaluación dinámico y coherencia semántica, esta última de [5]. El AARR [6] es un área afianzada, regulada, de aplicación genérica y definida como el proceso de identificar, analizar y evaluar los riesgos [7]. Se define identificar como encontrar, reconocer y describir el riesgo, analizar como comprender y determinar su nivel de amenaza, y evaluar como determinar en que nivel es tolerable. El tratamiento específico del AARR en la seguridad en la información se encuentra regulado en normas como [8], describiéndolo como el proceso que estudia toda eventualidad que pueda afectar al activo información. El Análisis de Riesgos Dinámicos (DRA) es el propio AARR pero aplicado de forma continua, todo lo que varíe y pueda afectar a la seguridad debe de tenerse en consideración para recalcular el riesgo. La Gestión del Riesgo (GR) consiste en analizar y tratar el riesgo [9]. El AARR identifica, analiza y evalúa activos, amenazas y salvaguardas, con los que estima el impacto (lo que podría pasar) y el riesgo (lo que probablemente pase). El tratamiento consiste fundamentalmente en aplicar las ISBN:

2 134 D. Ray, V.A. Villagrá, V. Mateos, P. Holgado salvaguardas para afrontar el riesgo. Derivado de lo anterior la gestión de riesgos dinámica (DMR) es consecuencia del DRA. Los AIRS se pueden asemejar a herramientas de gestión del riesgo. Tratan el riesgo que llega al sistema y evalúan su acción de respuesta. La diferencia fundamental es que los AIRS realizan todo el proceso de forma automática, mientras que en la gestión de riesgos es el administrador el que decide las salvaguardas a aplicar. El interés de este trabajo se centra en la aplicación de métodos de GR. Se seguirá como guía a MAGERITv3 Libro I- Método [9], que describe la gestión del riesgo como una actividad compleja, exhaustiva, en continua revisión y que requiere de una metodología probada. Partiendo de esta premisa se proponen los condicionantes para considerar la aplicación de un método de AARR en AIRS. C1. Tratar todo activo, amenaza y salvaguarda que pueda influir en la información y servicios.... el análisis de riesgo proporciona un modelo del sistema en términos de activos, amenazas y salvaguardas, y es la piedra angular para controlar todas las actividades con fundamento... [9]. Hay que establecer una relación entre los elementos del AIRS y los activos, amenazas y salvaguardas [7] del AARR. De importancia es el concepto de activo, que siguiendo la definición de [10] y priorizados según MAGERIT, se estructuran en información y servicios, como activos esenciales y que dirigen los requisitos de seguridad, y en datos, software, hardware, comunicaciones, recursos administrativos, recursos físicos y recursos humanos como activos relevantes. Atendiendo a la naturaleza de las salvaguardas los activos se clasifican en especies, encontrando en [11] una completa taxonomía por tipo de activo. C2. Uso del riesgo y riesgo residual como producto del AARR.... en coordinación con los objetivos, estrategia y política de la organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la dirección. Al conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos... [9]. Se considera esta frase como fundamental, conteniendo implícitamente la finalidad de los AIRS, elementos que mantienen un nivel de seguridad dentro de un entorno. El término esencial es nivel de riesgo aceptado, entendido como el resultado final del proceso de cálculo del riesgo ponderado con la madurez de las salvaguardas. C3. El DRA en SI no es sólo el estudio de los cambios de red y sistemas. A lo largo del tiempo las condiciones de un entorno varían, pudiendo invalidar el análisis de riesgos vigente, punto de [9]. Estas variaciones pueden deberse a nuevas amenazas, vulnerabilidades sobrevenidas, incidentes de seguridad, cambios en la utilización del sistema. De todos los expuestos los que principalmente detectan los IDSs, y sensores en general, son los incidentes de seguridad a nivel de red y sistema. Esto último separa de inmediato el significado de dynamic risk assessment respecto al de online risk assessment [12] [13] y real time risk assessment [14] [15], términos que en determinados contextos podrían llegar a difuminarse como se indica en [16]. C4. Integración Online/Offline. De la condición anterior se propone la separación entre un componente offline que represente a una metodología probada de AARR en el sentido de [9], y otro online que represente la aplicación del AARR en el nivel de los AIRS. Este último debe: monitorizar las incidencias de seguridad, determinar la bondad de las respuestas aplicadas y realimentar al análisis offline en el apartado de incidencias de seguridad. Los elementos online coincidirán con los que en [12] y [15] se denominan online o real-time risk assessment. Por lo tanto el resultado del proceso offline es el riesgo y riesgo residual, del que hará uso el elemento online del AIRS. Como conclusión se proponen las siguientes actuaciones: que se considere todo activo, amenaza y salvaguarda que afecte a los SI, que las métricas contengan al riesgo y/o riesgo residual como producto final del AARR, y que los AIRS separen sus procesos de AARR en offline y online. II-A. DRA en Sistemas de Información La GR en SI ya fue tratada en esta reunión por David López Cuenca y Oscar Pastor [16], por lo que esta sección se centra en su estudio desde el punto de vista del presente trabajo. El artículo se inicia con una relación de los principales organismos nacionales e internacionales que tratan el AARR y con un glosario de la terminología del campo [8]: activos, amenazas, salvaguardas, vulnerabilidades, impacto, riesgo y riesgo residual. Continua ampliando el estudio al DRA, presentándolo como un proceso que debe de ser continuo y automático, y no aplicado a intervalos discretos como se propone en [17]. Analiza los principales trabajos sobre AARR aplicado a TI, de los que destaca [18] por contemplar el ciclo natural de un DRA. Este ciclo contiene una valoración inicial del riesgo procedente de metodologías de análisis, una realimentación proveniente de la detección de incidentes de seguridad, y por último la evaluación de las acciones tomadas con el apoyo de estas metodologías. Prosigue presentando los principales enfoques del DRA para SI: Alimentación desde BBDD [19]. Enumera formatos estandarizados como CVE y repositorios como la National Vulnerability Database del NIST. Grafos y árboles de ataque [20]. Resalta el uso de redes bayesianas para el cálculo del riesgo [20] [21]. Monitorización del estado del sistema. Ejemplo IDSs. En el trabajo se señala que, ocasionalmente se tratan los términos de real-time y online risk assessment como sinónimos de dynamic risk assessment. Desde el punto de vista de este artículo estos términos no podrían ser sinónimos, por lo que [12] [13] [14] deberían clasificarse como métodos online, ya que si bien abarcan el estudio del AARR desde una faceta dinámica, únicamente lo hacen desde el enfoque de los incidentes de seguridad. Derivado de ese mismo motivo, se propone que en la Fig.2 de su estudio, extraída de [18], se marque al estado AARR Inicial como proceso offline, y los estados AARR

3 Análisis de Riesgos Dinámicos aplicado a Sistemas de Respuesta Automática frente a Intrusiones 135 Actualizado y AARR Evaluar Acciones Seleccionadas como online, cuyas métricas harían uso del estudio offline. El enfoque que sugiere para el DRA, como actividad continua y actualizable en tiempo real, podría aplicarse únicamente al tratamiento online de los incidentes de seguridad, pero probablemente no al total de elementos que modifican el riesgo y que representan el DRA (offline). Por lo anterior se considera que se debe recurrir a ciclos discretos de revisión (PDCA [22]), o a ciclos continuos en su revisión online, cuyos resultados no se podrían reflejar instantáneamente en el cálculo del riesgo debido al complejo estudio que conllevan. Como parte final del artículo se presenta a los AIRS como elementos de gestión y tratamiento del riesgo. II-B. DRA en Sistemas de Respuesta ante Intrusiones Las métricas son la herramienta usada por los AIRS para determinar y evaluar las respuestas. Es en estas métricas donde se incluyen los resultados del análisis de riesgos. En la tesis doctoral de Mateos Lanchas [23], se proporciona una extensa comparativa entre las distintas métricas existentes, viéndose que en la mayoría de los casos, y a excepción de IDAM-IRS, no se hace uso del AARR para su cálculo. Si bien IDAM-IRS aplica términos claramente relacionados con el AARR, como risk index (RI) (que en términos de AARR representa el riesgo), y risk index host (RIH)/risk index network (RIN) (que en AARR representa el riesgo residual), no sigue metodologías formales para su cálculo. En el trabajo de Mateos se enuncia el uso de MAGERIT para el cálculo de métricas, pero no se destacan trabajos que lo usen. Continuando en la línea de las recientes tesis sobre AIRS, se encuentra el trabajo de Shameli-Sendi [24]. Esfuerzo estructurado en forma de cuatro artículos que representan algunos de los principales retos que rodean a los AIRS: carácter predictivo, análisis de costos y aplicación de AARR. El primero [15] propone un marco de trabajo para la predicción de ataques multipaso, usando Hidden Markov Models (HMM) y lo que denomina Alert Severity Modulation. El segundo, ORCEF: Online response cost evaluation framework for IRS (estudio reflejado en la tesis pero aún no publicado como trabajo independiente), propone un IRS sensible al coste, evaluando las respuestas según dependencias entre recursos, las necesidades de QoS de los usuarios online, el daño del ataque y la confianza de la alerta. Algunas de las métricas seguidas fueron ya presentadas en el apartado 2.4 de [23]. El tercero, ARITO [25], propone la mejora de ORCEF integrando el AARR dentro de la inferencia de respuestas. En ARITO se introducen los términos online y offline, adoptados a lo largo del presente trabajo, pero con fuertes matices diferenciados. En el proceso offline de ARITO se determina el valor del activo y lo vulnerable que es, y en el online se calcula el impacto de la alerta recibida. El proceso offline utiliza la técnica Fuzzy Multi-Criteria Decision-Making (FMCDM) [26], descrita en otro trabajo de los mismos autores. Para ello se determinan las propiedades de seguridad a analizar (CIA: confidencialidad, integridad y autenticidad), se identifican y clasifican los recursos, se valoran los activos según el juicio de expertos y finalmente se estudian sus vulnerabilidades. A pesar de que ARITO parece adaptarse a nuestros requisitos, y separa entre elementos offline y online, no cumple con todos los condicionantes de la sección II. En él se propone una metodología propia para el AARR (FMCDM), que no sigue ninguna normativa o metodología, y que no deja abierta la posibilidad del uso de otros enfoques. Sin embargo, su esquema es fácilmente ampliable a otras propuestas, ya que el cálculo final lo realiza el componente online. No parece que se considere el estudio de activos más allá de la electrónica de red y sistemas, pero de nuevo esta faceta podría ampliarse incluso a través de su apuesta por FMCDM. Otro aspecto que plantea dudas es la extensión de su AARR a DRA, ya que en la fase offline necesitaría algún tipo de realimentación que influyese en la revisión del riesgo. El mayor de los inconvenientes de ARITO es que el resultado final de su fase offline no es el riesgo, sino el valor del activo y las posibles vulnerabilidades, por lo que no se puede considerar que realiza un análisis del riesgo sino solamente una de sus etapas previas. Sin duda los trabajos de [15] y [25] están fuertemente influenciados por DIPS (Distributed Intrusion Prevention System) [13]. Donde se propone un modelo distribuido activado mediante predicciones realizadas con HMM, y un análisis de riesgos realizado mediante lógica difusa (fuzzy logic), donde un grupo de expertos estiman el riesgo en base a una serie de variables dependientes. Si bien DIPS es la referencia que mejor se ajusta a nuestro modelo, presenta una serie de problemas con respecto a [6] [7] y [9], que van a permitir resaltar la importancia de las condiciones propuestas en II. En DIPS el riesgo se computa a través de reglas fuzzy del tipo if-then. Los parámetros del cálculo son el valor del activo, su vulnerabilidad y el nivel de amenaza. Sin embargo, en AARR el riesgo se deriva del impacto, siendo éste la degradación del valor de un activo debido a una amenaza, y de la frecuencia/probabilidad de dicha amenaza. A continuación se analizan los inconvenientes de los parámetros usados en el cálculo del riesgo en DIPS. 1. Nivel de amenaza. Se define en DIPS como la frecuencia o probabilidad, por lo que, salvando la confusión de términos [7], es un parámetro correcto en el computo del riesgo. 2. Valor del activo. En el cálculo del riesgo se debe evaluar la degradación del valor del activo (impacto). Usar únicamente el valor del activo permite determinar su importancia, pero no las consecuencias de la amenaza sobre su valor. La degradación no aparece en el cálculo con la consiguiente perdida de información en el análisis. 3. Vulnerabilidad. El riesgo residual resulta del riesgo remanente tras la aplicación de las salvaguardas. Una vulnerabilidad se define en [9] como aquello que resulta de la incapacidad de las salvaguardas, bien por su inexistencia o bien por su falta de madurez, y que impide mantener el riesgo residual aceptado. Es decir, una vulnerabilidad es algo no controlado, que si se llegase a controlar derivaría, en el peor

4 136 D. Ray, V.A. Villagrá, V. Mateos, P. Holgado de los casos, en riesgo residual conocido y aceptado. Por lo que, usando estrictamente la terminología, no parece que vulnerabilidad deba formar parte del cálculo del riesgo, ya que es consecuencia de la imperfección del propio análisis, bien en la fase de identificación o bien en el modelado de las salvaguardas. Obviamente en DIPS vulnerabilidad toma otro significado, probablemente referido a la degradación sufrida en el valor del activo. 4. Activo. En DIPS se define como todo dato, equipo u otro componente que soporte a la información de la actividad. No se proporciona una clasificación formal de activos como la presentada en [10] y [9], dificultando un estudio metódico y estructurado. Con el razonamiento anterior sobre DIPS quiere ponerse de manifiesto que, si bien la solución aportada es de las más destacadas, al no hacer uso de metodologías que se adapten a las normativas y recomendaciones vigentes, ni de una terminología regulada, se introducen conceptos ambiguos desde el punto de vista del AARR. Estas mismas ambigüedades reducen la posibilidad de adaptar los procesos online y offline que proviniesen de distintos trabajos. III. EL PROBLEMA DIMENSIONAL ENTRE EL DRA Y LOS AIRS El título del apartado pretende resaltar la distancia existente entre el campo del DRA y el de los AIRS. A continuación se presentan los principales retos que hacen que su interrelación resulte compleja pero conveniente. 1. Carácter Preventivo frente a Reactivo. El análisis de riesgos es un estudio preventivo que sugiere qué hacer en caso de que algo negativo ocurra. Su fin no es responder a las amenazas, sino proponer soluciones y estimar riesgos. Por el contrario, los AIRS tienen como fin actuar, y aunque necesiten analizar ciertos factores que aseguren la calidad de las respuestas, no realizan un estudio exhaustivo o integral del entorno. Como se verá, el nexo entre lo preventivo del AARR y lo reactivo de los AIRS es el concepto de nivel de confianza. 2. Actividad a Medio-Largo Plazo frente a Tiempo Real. Una de las propiedades deseables de los AIRS es su rapidez de respuesta, mientras que el análisis de riesgos es una actividad ardua, continua y cíclica, en la que prima más el buen análisis a medio-largo plazo que un reajuste rápido de la situación. Por ello el AIRS hace uso de resultados previamente calculados por los elementos offline del AARR, reajustando y orientando sus respuestas, pero asumiendo que la dinámica de trabajo del AARR es lenta. 3. Estudio Exhaustivo frente a Especializado. El análisis de riesgos es un estudio extenso, a todos los niveles, que contempla tanto factores tecnológicos, como sociales, políticos, legales y de cualquier otra índole. Por el contrario, los sistemas de respuesta generalmente realizan un estudio muy dirigido, centrándose casi en exclusiva en las eventualidades de red y sistemas. Incluso cuando se introduce el concepto de usuario, se hace desde el punto de vista de persona que usa el sistema, y no como persona que puede causar un daño, daño que no tiene que ser técnico, pero que sí puede repercutir gravemente en la información y los servicios. Figura 1. Identificación de Activos La identificación de activos, amenazas y salvaguardas es la primera fase del AARR. En la figura 1 se presenta la determinación de estos activos, los ejes de dominios y capas corresponden con lo recomendado en [9], y nivel organizativo es una dimensión añadida en este trabajo. A continuación se detallan. Capas. Atendiendo al tipo de activo y sus dependencia jerárquicas. Se suele dividir en subcapas, la capa equipos informáticos contiene a las subcapas hw, sw y comunicaciones. Dominios. Por agrupación de amenazas y salvaguardas que afectan al activo. Como ejemplo se seleccionan los dominios de seguridad física, red corporativa, y situación geopolítica. Nivel organizativo. Permite analizar el activo de una determinada capa-dominio desde diferentes niveles de decisión. En este caso se contemplan los niveles administración, gestión y gerencia. La intención de la figura 1 es resaltar la información que se omite en el caso de no aplicar el AARR como metodología. De todas las dimensiones (capa/dominio/nivel) reflejadas en la figura 1, los únicos activos generalmente analizados por los AIRS son los de la capa de equipos informáticos, y únicamente en el nivel de administración de red y dentro del dominio de la red corporativa (cubo resaltado) IV. ENFOQUE PARA LA INTEGRACIÓN DEL ANÁLISIS DE RIESGOS En este apartado se presentan las bases de una propuesta temprana. Se explican sus principales conceptos y se propone el AIRS que servirá de base para la integración. Bases de la Propuesta Se propone un marco de actuación basado en el conocimiento, con el objetivo de mantener un nivel de confianza dentro de un dominio de control, dado un estado de alerta, en beneficio

5 Análisis de Riesgos Dinámicos aplicado a Sistemas de Respuesta Automática frente a Intrusiones 137 de una entidad objetivo y centrado en sus tecnologías de la información, pero atendiendo a toda eventualidad. El núcleo del marco lo conforma el concepto de sistema de respuesta automática ante intrusiones, como elemento de respuesta, evaluación y análisis de riesgos integral. Conceptos Principales Basado en el Conocimiento. Se entenderá esta propiedad como la capacidad del sistema de razonar conforme a conceptos y no sobre sintaxis. Término equivalente a la propiedad de coherencia semántica del AIRS ontológico de Mateos Lanchas [27]. Las definiciones necesarias para la integración se realizarán mediante ontologías en OWL2 [28], reglas SWRL [29] y razonadores como Pellet [30]. Mantener un Nivel de Confianza. Es el núcleo de la propuesta, y el elemento que pretende conferir al sistema un carácter convergente hacia un estado deseado. En [9] se define seguridad como la capacidad de resistir, manteniendo un determinado nivel de confianza. Este nivel se medirá en diferentes dimensiones de seguridad: confidencialidad, integridad, autenticidad, trazabilidad y disponibilidad, y para cada activo, amenaza y dimensión. El elemento de AARR que se usará como métrica del nivel de confianza es el riesgo residual o riesgo aceptado, como producto final de las metodologías de análisis de riesgos. C2 sección II. A continuación se justifica la elección del riesgo residual. El fin del AARR es calcular el riesgo, computado a partir del impacto que una amenaza tiene sobre la degradación del valor de los activos y ponderado por su probabilidad o frecuencia. El riesgo residual es el riesgo aceptado y conocido, residuo remanente una vez aplicadas las salvaguardas, y que determina el rango de riesgo que una organización está dispuesta o condicionada a admitir. Por lo anterior, el riesgo residual es el término que contiene la totalidad de la información del proceso de AARR, tanto de la valoración del riesgo, como de la eficacia de las salvaguardas. Como nota final, y aunque implícito en el propio cálculo del riesgo, se introduce el término de riesgo residual dimensional, consistente en el riesgo residual medido en cada una de las dimensiones de seguridad seleccionadas. El nivel de confianza debe de representarse tanto en los componentes offline como en los online, C3/4 de IV, para ello se introducen los siguientes conceptos: Nivel de Confianza Objetivo. Representa el resultado del proceso de AARR offline, caracterizado por el riesgo residual. El AIRS debe converger a este nivel de confianza, utilizando sus valores en el cálculo de las métricas. Un cambio en el nivel de confianza conlleva un cambio en las respuestas seleccionadas, y en ocasiones el modelado de nuevas salvaguardas/respuestas. Nivel de Confianza Actual. Representa el resultado del proceso de AARR online, caracterizado por el riesgo residual evaluado online, término introducido en este estudio y no propio del análisis de riesgos. Este riesgo evaluado debe de medirse en toda dimensión de todo activo afectado por un ataque (amenaza llevada a cabo), para poder compararlo con el nivel de confianza objetivo de la fase offline. Tras la aplicación de las salvaguardas en forma de repuestas, el riesgo residual evaluado debe de estar en los márgenes definidos por el riesgo residual objetivo. De no ser así, las salvaguardas han sido insuficientes, debiendo el componente online realimentar al offline con esta información y replantearse un nuevo ciclo de AARR en su faceta dinámica. Como se explicó, la realimentación del componente online afectaría principalmente a las incidencias de seguridad dentro del DRA. Estado de Alerta. Si mantener el nivel de confianza provoca la convergencia hacia una situación estable, el estado de alerta juega el papel de elemento regulador. El estado de alerta se valora, en términos de análisis de riesgos, según el grado de impacto con que las amenazas afectan a la organización. Un determinado problema puede tener mayores o menores consecuencias dependiendo de la situación, y esto debe de reflejarse en el estado de alerta e influir en las respuestas del AIRS. El estado de alerta podrá: imponerse por el administrador, derivarse de históricos que relacionen situaciones anteriores y/o derivarse de la tendencia del impacto a lo largo de un periodo. El estado de alerta medido según la tendencia del impacto abre la posibilidad de realizar un estudio preventivo de incidencias futuras. Los AIRS pueden hacer uso de esta característica en su faceta proactiva en el caso de implementarla. Se propone el uso del gradiente para el cálculo de esta tendencia, donde los vectores unitarios i,j,k... representan a las dimensiones de seguridad, y el valor de cada eje la tendencia del impacto. Elección del AIRS Los primeros estudios se realizarán en base al AIRS ontológico propuesto en [27] y exhaustivamente descrito en [23]. Para ello se prevé como mínimo: Módulo de Análisis de Riesgos Dinámicos. Será parte del modelo online y realizará la función de adaptar los resultados del AARR offline a nuestro sistema. Mantendrá los mismos criterios de coherencia semántica que para la recepción de alertas del AIRS ontológico. Ampliación del Módulo de Evaluaciones. Determinará el nivel de confianza actual, por lo que sus resultados, en términos de evaluación de riesgo residual, marcarán la capacidad de convergencia al nivel de confianza objetivo. Entre los elementos previstos se encuentra la especificación de un toolkit de evaluaciones, similar y en estrecha relación con en toolkit de respuestas ya existente en [27]. V. CONCLUSIÓN Los AIRS se plantean como una potente herramienta en la administración de la seguridad en redes y sistemas. La calidad de sus respuestas depende de un gran número de factores, pero principalmente de la fiabilidad de los eventos recibidos, de las métricas que los analizan e infieren las respuesta, y de los mecanismos de evaluación de las acciones tomadas. La búsqueda de nuevas propiedades como la proactividad [31], y

6 138 D. Ray, V.A. Villagrá, V. Mateos, P. Holgado la mejora de los criterios de respuesta mediante el AARR son algunos de los retos actuales dentro del campo. Ajustándose a los términos que este artículo propone, se puede clasificar a los AIRS como herramientas de apoyo a la gestión del riesgo, que reciben información del proceso de AARR para la inferencia de sus respuestas y proporcionan información a los procesos de DRA para el reajuste del riesgo. Como aportaciones del trabajo se propone desambiguar el término dynamic risk assessment con respecto a online o real time risk assessment. Se propone una distinción y separación entre los componentes offline y online, el primero como AARR propiamente y el segundo como proceso que hace uso de los resultado del offline y lo realimenta. Se presentan las principales diferencias entre la naturaleza del AARR y AIRS: preventivo/reactivo, medio-plazo/tiempo-real, estudio-extenso/especializado. Finalmente se dan las líneas de un posible mecanismo para la aplicación del AARR en los AIRS, con base en el AIRS ontológico de [27]. La integración propuesta se presenta en forma de ideas fuerza que derivan en conceptos que relacionan e intentan salvar las diferencias existentes entre el DRA y los AIRS. Se propone al riesgo residual como elemento que defina el nivel de confianza de una organización, identificándolo como el producto final del AARR y el contenedor de mayor información. El riesgo y el riesgo residual serían el resultado del componente offline. Los procesos online harán uso de este riesgo calculado en sus respuestas y evaluarán el riesgo residual provocado por las incidencias de seguridad, siendo éste el nivel de confianza existente en un momento dado. Con este riesgo online se realimentará a los procesos offline en su faceta dinámica. REFERENCIAS [1] M. de Defensa, Om-76/2006, política de seguridad en la información del ministerio de defensa, p. Séptimo. Áreas de la seguridad de la información, [2] V. A. Villagrá, Seguridad en Redes de Telecomunicación. Fundación Rogelio Segovia para el Desarrollo de las Telecomunicaciones, [3] N. Stakhanova, S. Basu, and J. Wong, A taxonomy of intrusion response systems, Int.J.Inf.Comput.Secur., vol. 1, no. 1/2, pp , jan [4] A. Shameli-Sendi, N. Ezzati-Jivan, M. Jabbarifar, and M. Dagenais, Intrusion response systems: survey and taxonomy, Internacional Journal of Computer Science and Network Security (IJCSNS), vol. 12, no. 1, pp. 1 14, [5] V. Mateos, V. A. Villagrá, F. R. Bueno, and J. Berrocal, Definition of response metrics for an ontology-based automated intrusion response systems, Computers & Electrical Engineering, vol. 38, no. 5, pp , [6] ISO-31000:2009, Risk management - Principles and guidelines. International Organization for Standardization, ISO, [7] ISO-Guide-73:2009, Risk management and Vocabulary. International Organization for Standardization, ISO, [8] ISO/IEC-27005:2011, Information technology, security techniques, Information security risk management. International Organization for Standardization, ISOIEC, [9] M. A. Amutio, J. Candau, and J. A. Mañas, MAGERITv3, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro I - Método. Ministerio de Hacienda y Administraciones Públicas, [10] UNE-71504:2008, Metodología de análisis de riesgos para los sistemas de información. AENOR, [11] M. A. Amutio, J. Candau, and J. A. Mañas, MAGERITv3, Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Libro II - Catálogo de Elementos. Ministerio de Hacienda y Administraciones Públicas, [12] C. P. Mu, X. J. Li, H. K. Huang, and S. F. Tian, Online risk assessment of intrusion scenarios using d-s evidence theory, in European Symposium on Research in Computer Security (ESORICS), 2008, pp [13] K. Haslum, A. Abraham, and S. J. Knapskog, Dips: A framework for distributed intrusion prediction and prevention using hidden markov models and online fuzzy risk assessment, in Third International Information Assurance and Security Symposium (IAS), 2007, pp [14] Z.-H. Hu, Y.-S. Ding, and J.-W. Huang, Knowledge-based framework for real-time risk assessment of information security inspired by danger model, in Proceedings of the 2008 International Symposium on Intelligent Information Technology Application Workshops (IITAW 08), ser. IITAW 08, 2008, pp [15] A. Shameli-Sendi, M. Dagenais, M. Jabbarifar, and M. Couture, Real time intrusion prediction based on optimized alerts with hidden markov model, Journal of Networks (JNW), vol. 7, no. 2, pp , [16] D. L. Cuenca, O. Pastor, and L. J. Villalba, Concepto y enfoques sobre el análisis y la gestión dinámica del riesgo en sistemas de información, in Reunión Española sobre Criptología y Seguridad de la Información (RECSI), [17] W. Qi, X. Liu, J. Zhang, and W. Yuan, Dynamic assessment and varbased quantification of information security risk, in 2nd International e-business and Information System Security Conference (EBISS),, 2010, pp [18] P. Lagadec, Visualization et analyse de risque dynamique pour la cyberdéfense, in Symposium sur la sécurité des technologies de l?information et des communications (SSTIC), [19] W. Jones, S. Aud, J. Hudepohl, M. flournory, W. Snipes, and E. Schutz, Method and system for dynamic risk assessment of software, [20] J. A. Mañas and C. Belso, Gestión dinámica de riesgos: Seguridad de la red de servicios, in XI jornadas sobre tecnologías de la información para la modernización de las administraciones públicas, [21] N. Poolsappasit, R. Dewri, and I. Ray, Dynamic security risk management using bayesian attack graphs, Dependable and Secure Computing, IEEE Transactions on, vol. 9, no. 1, pp , [22] ISO/IEC-27001:2013, Information technology, security techniques, Information security managament systems, Requirements. International Organization for Standardization, ISOIEC, [23] V. Mateos, Contribución a la automatización de sistemas de respuesta frente a intrusiones mediante ontologías, [Online]. Available: doct/ist/tesisleidas.html [24] A. Shameli-Sendi, System health monitoring and proactive response activation, [Online]. Available: 1102/1/2013 AlirezaShameliSendi.pdf [25] A. Shameli-Sendi and M. Dagenais, Arito: Cyber-attack response system using accurate risk impact tolerance, International Journal of Information Security, pp. 1 24, [26] A. Shameli-Sendi, M. Shajari, M. Hassanabadi, M. Jabbarifar, and M. Dagenais, Fuzzy multi-criteria decision-making for information security risk assessment, The Open Cybernetics and Systemics Journal, vol. 6, pp , [27] V. Mateos, V. A. Villagrá, and F. Romeo, Ontologies-based automated intrusion response system, in Proceedings of the 3rd international conference on computational intelligence in security for information systems (CISIS), 2010, pp [28] D. L. Michael K. Smith, Chris Welty, OWL 2 Web Ontology Language Document Overview, 2nd ed., December [Online]. Available: [29] P. F. P.-S. Ian Horrocks, SWRL: A Semantic Web Rule Language Combining OWL and RuleML, May [Online]. Available: [30] E. Sirin, B. Parsia, B. C. Grau, A. Kalyanpur, and Y. Katz, Pellet: A practical owl-dl reasoner, Web Semant., vol. 5, no. 2, pp , jun [31] N. Stakhanova, S. Basu, and J. Wong, A cost-sensitive model for preemptive intrusion response systems. in Proceedings of the 21st international conference on advanced networking and applications AINA 07. IEEE Computer Society, 2007, pp

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS ISO 27001 INTEGRANTE: CARLA CUEVAS ADRIAN VILLALBA MATERIA: AUDITORIA DE SISTEMAS FECHA: 11 DE

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Cómo citar el artículo Número completo Más información del artículo Página de la revista en redalyc.org

Cómo citar el artículo Número completo Más información del artículo Página de la revista en redalyc.org REICIS. Revista Española de Innovación, Calidad e Ingeniería del Software E-ISSN: 1885-4486 reicis@ati.es Asociación de Técnicos de Informática España Mesquida, Antoni Lluís; Mas, Antònia; Amengual, Esperança;

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

La norma ISO 27001 del Sistema de Gestión de la

La norma ISO 27001 del Sistema de Gestión de la La norma ISO 27001 del Sistema de Gestión de la Garantía de confidencialidad, integridad y Carlos Manuel Fernández Coordinador de TIC de AENOR Introducción La información es como el aparato circulatorio

Más detalles

1. Seguridad, Respaldo, Continuidad Informática y Alta Disponibilidad ante Desastres

1. Seguridad, Respaldo, Continuidad Informática y Alta Disponibilidad ante Desastres Seguridad, Respaldo, Continuidad y Alta Disponibilidad en el ámbito de la Administración Electrónica: Diseño del Centro de Respaldo y Hospedaje de la Junta de Andalucía José F. Quesada Gabinete de Sistemas

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Aplicación de las Técnicas de Modelado y Simulación en la Gestión de Servicios TI

Aplicación de las Técnicas de Modelado y Simulación en la Gestión de Servicios TI Aplicación de las Técnicas de Modelado y Simulación en la Gestión de Servicios TI Elena Orta 1, Mercedes Ruiz 1 y Miguel Toro 2 1 Departamento de Lenguajes y Sistemas Informáticos Escuela Superior de Ingeniería

Más detalles

SISTEMA DE GESTIÓN DE SERVICIOS TIC BASADO EN LA NORMA ISO/IEC 20000 Msc. Alice Naranjo S., Marcelo Granda

SISTEMA DE GESTIÓN DE SERVICIOS TIC BASADO EN LA NORMA ISO/IEC 20000 Msc. Alice Naranjo S., Marcelo Granda PLANEACIÓN Y DISEÑO DE UN SISTEMA DE GESTIÓN DE SERVICIOS TIC BASADO EN LA NORMA ISO/IEC 20000 Msc. Alice Naranjo S., Marcelo Granda CONTENIDO: Introducción Objetivos Metodología Revisión de literatura

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

Métricas para la Gestión de la Seguridad de la Información en el Ministerio de Defensa Oscar Pastor Acosta Gerente de Seguridad

Métricas para la Gestión de la Seguridad de la Información en el Ministerio de Defensa Oscar Pastor Acosta Gerente de Seguridad Métricas para la Gestión de la Seguridad de la Información en el Ministerio de Defensa Oscar Pastor Acosta Gerente de Seguridad Isdefe Índice Objetivos del Proyecto Fases del Proyecto Análisis Previo Diseño

Más detalles

Presentación ITIL. Jornadas TIC - Mayo 2008

Presentación ITIL. Jornadas TIC - Mayo 2008 Presentación ITIL Jornadas TIC - Mayo 2008 1 Indice Introducción Introducción y Objetivos Objetivos Qué Qué es es ITIL? ITIL? Estructura Estructura Soporte Soporte del del Servicio Servicio Provisión Provisión

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Monitorización y gestión de dispositivos, servicios y aplicaciones

Monitorización y gestión de dispositivos, servicios y aplicaciones Monitorización y gestión de dispositivos, servicios y aplicaciones Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefa del Servicio de Informática - Secretaría General Técnica

Más detalles

Ges3ón de Proyectos So9ware

Ges3ón de Proyectos So9ware Ges3ón de Proyectos So9ware Tema 2.1 Integración Carlos Blanco Bueno Félix Óscar García Rubio Este tema se publica bajo Licencia: Crea5ve Commons BY- NC- ND 4.0 Objetivos Ampliar los conocimientos básicos

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Mantenimiento del Software

Mantenimiento del Software Mantenimiento del Software S3 Francisco Ruiz, Macario Polo Grupo Alarcos Dep. de Informática ESCUELA SUPERIOR DE INFORMÁTICA UNIVERSIDAD DE CASTILLA-LA MANCHA http://alarcos.inf-cr.uclm.es/doc/mso/ Ciudad

Más detalles

puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales?

puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales? RESUMEN DE LA SOLUCIÓN Service Operations Management puede asegurar a sus clientes la calidad y disponibilidad de los servicios empresariales? agility made possible (SOM) de CA Technologies es una solución

Más detalles

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática Categoría Seguridad Informática Securización de Base de Datos distribuidas de Gestión Procesal adscritas al Ministerio de Justicia (Memoria) Securización de Base de Datos distribuidas de Gestión Procesal

Más detalles

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager

IBM Security Systems. QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar Log Manager IBM Security Systems QRadar, Plataforma de inteligencia de seguridad (SIEM) QRadar constituye una plataforma de inteligencia de seguridad líder en el mercado gracias a su enorme capacidad de aportar inteligencia

Más detalles

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L. Auditorías de Seguridad: revisión como método de prevención Vicente Aguilera Díaz Internet Security Auditors, S.L. CONTENIDO 1. Protección de la información 2. Auditorías de seguridad 3. Implantación de

Más detalles

Universidad Ricardo Palma Facultad de Ingeniería

Universidad Ricardo Palma Facultad de Ingeniería Universidad Ricardo Palma Facultad de Ingeniería Escuela Profesional de Ingeniería Informática Proyecto de Tesis: Sistema para Análisis y Gestión de Riesgos Presentado por: Antton Deyke Cavalcanti Garay

Más detalles

WEBBER: USO DE COMPONENTES PARA LA ARMONIZACIÓN DE CONTENIDOS Y METADATOS

WEBBER: USO DE COMPONENTES PARA LA ARMONIZACIÓN DE CONTENIDOS Y METADATOS WEBBER: USO DE COMPONENTES PARA LA ARMONIZACIÓN DE CONTENIDOS Y METADATOS Autores: Introducción Diego R. López RedIRIS diego.lopez@rediris.es El trabajo necesario para mantener un servidor de información

Más detalles

Eterovic, Jorge Esteban Donadello, Domingo Universidad Nacional de La Matanza, Departamento de Ingeniería e Investigaciones Tecnológicas

Eterovic, Jorge Esteban Donadello, Domingo Universidad Nacional de La Matanza, Departamento de Ingeniería e Investigaciones Tecnológicas Presentación de un Framework de Evaluación de la Seguridad de productos y servicios de las Tecnologías de la Información de acuerdo a las normas Common Criteria Eterovic, Jorge Esteban Donadello, Domingo

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo.

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. ÍNDICE 1. INTRODUCCIÓN...3 2. LA NECESIDAD DEL CAMBIO DEL ROL DE TI...5 3. NECESIDAD DE GOBIERNO DE TI...6 4. COBIT Y GOBIERNO

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

51 Int. CI.: G06F 11/34 (2006.01) 71 Solicitantes: 72 Inventor/es: 74 Agente/Representante:

51 Int. CI.: G06F 11/34 (2006.01) 71 Solicitantes: 72 Inventor/es: 74 Agente/Representante: 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 21 Número de publicación: 2 427 645 Número de solicitud: 201131833 51 Int. CI.: G06F 11/34 (2006.01) 12 INFORME SOBRE EL ESTADO DE LA TÉCNICA R1 22 Fecha

Más detalles

Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa. Martes, 15 de Marzo de 2005

Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa. Martes, 15 de Marzo de 2005 Plan de Seguridad Integral de los Sistemas de Información de la Diputación Foral de Gipuzkoa Martes, 15 de Marzo de 2005 1 1 2 3 4 5 6 7 Presentación de IZFE Motivación del Plan Director de Seguridad Enfoque

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE SEGURIDAD DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE SEGURIDAD DE LA INFORMACIÓN INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN EN COMPETENCIAS PROFESIONALES ASIGNATURA DE SEGURIDAD DE LA INFORMACIÓN UNIDADES DE APRENDIZAJE 1. Competencias Dirigir proyectos de tecnologías

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe

Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Taller de Implementación de la norma ISO 27001 Ing. Maurice Frayssinet Delgado mfrayssinet@pcm.gob.pe www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática Agenda Sección 1: Principios

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN INGENIERÍA HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la asignatura Seguridad de la Información 2. Competencias Dirigir proyectos de tecnologías de información (T.I.) para contribuir

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN INGENIERÍA HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la asignatura Seguridad de la Información 2. Competencias Dirigir proyectos de tecnologías de información (T.I.) para contribuir

Más detalles

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS

INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS INGENIERÍA HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la asignatura Seguridad de la Información 2. Competencias Dirigir proyectos de tecnologías de información (T.I.) para contribuir

Más detalles

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA Gabinete de Sistema Servicio de Producción Dirección General de Sistemas de Información

Más detalles

Formato de Referenciamiento de Páginas Amarillas / Yellow Pages http://www.unipamplona.edu.co/kmgestiondelconocimiento/

Formato de Referenciamiento de Páginas Amarillas / Yellow Pages http://www.unipamplona.edu.co/kmgestiondelconocimiento/ Formato de Referenciamiento de Páginas Amarillas / Yellow Pages http://www.unipamplona.edu.co/kmgestiondelconocimiento/ Nombres y Apellidos Contacto (E-mail) Cargo Información General Isabel Cristina Satizábal

Más detalles

PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS

PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS PILAR. HERRAMIENTAS PARA EL ANÁLISIS Y LA GESTIÓN DE RIESGOS José A. Mañas Catedrático de Universidad Dept. Ingeniería de Sistemas Telemáticos. E.T.S.I. de Telecomunicación. Universidad Politécnica de

Más detalles

El largo camino de un Plan Director de Seguridad de la Información

El largo camino de un Plan Director de Seguridad de la Información El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso

Más detalles

Tema 2º: Calidad del software

Tema 2º: Calidad del software Tema 2º: Calidad del software 2.1 Calidad del software 2.2 Aseguramiento de la calidad del software 2.3 Gestión de la calidad del software 2. 4 Control de la calidad del software 2.5 Sistema de calidad

Más detalles

ISO 31000:2009 - La gestión de riesgos como componente integral de la gestión empresarial

ISO 31000:2009 - La gestión de riesgos como componente integral de la gestión empresarial Angel Escorial Bonet Director General de Riskia, S.A. ISO 31000:2009 - La gestión de riesgos como componente integral de la gestión empresarial Sus antecedentes están en el modelo FERMA 2003 y en normas

Más detalles

Taller de Gestión de Riesgos. Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática

Taller de Gestión de Riesgos. Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática Taller de Gestión de Riesgos Ing. CIP Maurice Frayssinet Delgado LI 27001, LA 27001 Oficina Nacional de Gobierno Electrónico e Informática Agenda www.ongei.gob.pe Introducción Definiciones Enfoque a procesos

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

Detección de Intrusiones mediante el uso de Redes Neuronales Britos J. Daniel 12, Arias. Silvia 13, Vargas Laura 14

Detección de Intrusiones mediante el uso de Redes Neuronales Britos J. Daniel 12, Arias. Silvia 13, Vargas Laura 14 Detección de Intrusiones mediante el uso de Redes Neuronales Britos J. Daniel 12, Arias. Silvia 13, Vargas Laura 14 1. Facultad de Ciencias Exactas, Físicas y Naturales. Universidad Nacional de Córdoba.

Más detalles

Guía Docente 2015/2016

Guía Docente 2015/2016 Guía Docente 2015/2016 Proyecto Integral de Tecnologías de la Información Information Technology Project Grado en Ingeniería Informática Modalidad a distancia lf: Índice Proyecto Integral de Tecnologías

Más detalles

La gestión de la seguridad en la empresa:

La gestión de la seguridad en la empresa: EN PORTADA La gestión de la seguridad en la empresa: Introducción Vivimos en un mundo globalizado y cada vez más competitivo, en el que las empresas se encuentran con nuevos desafíos que hacen necesaria

Más detalles

Capítulo 1. Introducción

Capítulo 1. Introducción Capítulo 1. Introducción El WWW es la mayor fuente de imágenes que día a día se va incrementando. Según una encuesta realizada por el Centro de Bibliotecas de Cómputo en Línea (OCLC) en Enero de 2005,

Más detalles

Análisis comparativo entre CIMOSA (CIM-Open System Architecture) y DEM (Dynamic Enterprise Modelling)

Análisis comparativo entre CIMOSA (CIM-Open System Architecture) y DEM (Dynamic Enterprise Modelling) 3rd International Conference on Industrial Engineering and Industrial Management XIII Congreso de Ingeniería de Organización Barcelona-Terrassa, September 2nd-4th 2009 Análisis comparativo entre CIMOSA

Más detalles

Marcosende, 9, 36200 Vigo (Pontevedra), jpardo@uvigo.es. Marcosende, 9, 36200 Vigo (Pontevedra), comesana@uvigo.es.

Marcosende, 9, 36200 Vigo (Pontevedra), jpardo@uvigo.es. Marcosende, 9, 36200 Vigo (Pontevedra), comesana@uvigo.es. II Conferencia de Ingeniería de Organización Vigo, 5-6 Septiembre 2002 Metodología para la Definición de los Requerimientos en la Implantación de un Sistema de Gestión de Producción Asistida por Ordenador

Más detalles

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN SUMILLAS 1 CICLO I Gestión de Servicios de Tecnologías de Información Estudio de los servicios de

Más detalles

Beneficios de la ISO 31000 en la Gestión de Riesgos y su Aseguramiento

Beneficios de la ISO 31000 en la Gestión de Riesgos y su Aseguramiento Beneficios de la ISO 31000 en la Gestión de Riesgos y su Aseguramiento Ricardo Correa F.- CIA, CGAP, CCSA, CRMA, CFE Daniella Caldana F.- CIA, CGAP, CCSA, CRMA, CFE Leonardo Olea C.- CGAP, CRMA, CICA,

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

Orientación Técnica y Metodológicas Compromisos de Gestión

Orientación Técnica y Metodológicas Compromisos de Gestión Orientación Técnica y Metodológicas Compromisos de Gestión 2014 La finalidad de este documento es dar a conocer los principales aspectos técnicos y las directrices a través de los cuáles será evaluado

Más detalles

Modelos de Madurez de Seguridad de la. seguridad en las organizaciones

Modelos de Madurez de Seguridad de la. seguridad en las organizaciones Modelos de Madurez de Seguridad de la Información: cómo debe evolucionar la seguridad en las organizaciones Roberto Arbeláez CISSP, CISA Security Program Manager for Latin America Microsoft Corp. QUÉ ES

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) de conjunto y vocabulario

Tecnologías de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) de conjunto y vocabulario norma española UNE-ISO/IEC 27000 Octubre 2012 TÍTULO Tecnologías de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Visión de conjunto y vocabulario Information

Más detalles

Modelos de Evaluación para Sistemas de Voto Electrónico

Modelos de Evaluación para Sistemas de Voto Electrónico Modelos de Evaluación para Sistemas de Voto Electrónico Aristides Dasso *, Ana Funes * * niversidad acional de San Luis Argentina Contexto Este trabajo de investigación se encuentra enmarcado dentro del

Más detalles

M t é rica c s a s de d l e Pr P oc o e c s e o s o de d Ing n e g n e i n er e ía a de d e So S f o twa w r a e e y y de d P od o u d c u t c o

M t é rica c s a s de d l e Pr P oc o e c s e o s o de d Ing n e g n e i n er e ía a de d e So S f o twa w r a e e y y de d P od o u d c u t c o Proceso de Ingeniería de Software Métricas del Proceso de Ingeniería de Software y de Producto 4. Métricas del proceso y el producto 4.1. Métricas del proceso 4.2. Métricas del producto 4.3. Calidad y

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Proyecto de trabajo de iniciación a la investigación

Proyecto de trabajo de iniciación a la investigación Proyecto de trabajo de iniciación a la investigación Título: Aplicación de tecnologías de la Web Semántica en el dominio sanitario. Sistemas de Información Sanitarios Semánticos (SISS). Autor: Tutor: Propuesta

Más detalles

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría

Conocimientos y habilidades específicos del auditor de un SGSI. Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría Conocimientos y habilidades específicos del auditor de un SGSI Luis Miguel Castellanos Maeso Auditoría Informática Módulo AI3.Proceso de Auditoría INTRODUCCIÓN El conocimiento y habilidades relacionadas

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 INDICE Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 Unidad 1 Fundamentos ITIL 1.1 Historia y Concepto ITIL nació en la década de 1980, a través de la Agencia Central

Más detalles

HERRAMIENTA PILAR ESQUEMA NACIONAL DE SEGURIDAD

HERRAMIENTA PILAR ESQUEMA NACIONAL DE SEGURIDAD HERRAMIENTA PILAR ESQUEMA NACIONAL DE SEGURIDAD Madrid, Abril de 2010 Presentación FORO: VIII Foro de seguridad de Red IRIS SESIÓN: CCN MAGERIT- Herramienta PILAR. Ejemplo aplicación ENS OBJETIVO: Presentación

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

1. Disposiciones generales

1. Disposiciones generales Sevilla, 30 de noviembre 2010 BOJA núm. 234 Página núm. 7 1. Disposiciones generales CONSEJERÍA DE ECONOMÍA, INNOVACIÓN Y CIENCIA ACUERDO de 16 de noviembre de 2010, del Consejo de Gobierno, por el que

Más detalles

David Jordi Vallet Weadon.

David Jordi Vallet Weadon. <david.vallet@uam.es> David Jordi Vallet Weadon 1 Introducción Durante las últimas décadas, la personalización ha sido aplicada en diferentes campos de la informática, tanto en la rama científica como

Más detalles

ELABORACION DE MODELOS PARA LA IDENTIFICACION DE FACTORES CRITICOS DE EXITO, ANALISIS Y MITIGACION DE RIESGOS DE PROYECTOS EN DESARROLLO DE SOFTWARE

ELABORACION DE MODELOS PARA LA IDENTIFICACION DE FACTORES CRITICOS DE EXITO, ANALISIS Y MITIGACION DE RIESGOS DE PROYECTOS EN DESARROLLO DE SOFTWARE CONICYT: Repositorio Institucional: Ficha de Iniciativa de CIT (Ciencia, Tecnología e Innovación) 1 FONDECYT-REGULAR - 2003-1030785 ELABORACION DE MODELOS PARA LA IDENTIFICACION DE FACTORES CRITICOS DE

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad

Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad Mejores prácticas para mejorar la salud, la seguridad y el medio ambiente, fiabilidad y calidad Integrar los procesos de Salud, Seguridad y Medio Ambiente con la gestión del trabajo y los activos Características

Más detalles

NOTAS METODOLÓGICAS PARA CUBRIR LA ETAPA DE DOCUMENTAR UNA INVESTIGACIÓN

NOTAS METODOLÓGICAS PARA CUBRIR LA ETAPA DE DOCUMENTAR UNA INVESTIGACIÓN NOTAS METODOLÓGICAS PARA CUBRIR LA ETAPA DE DOCUMENTAR UNA INVESTIGACIÓN Jose Daniel Texier R. Universidad Nacional Experimental del Táchira (UNET) Servicio de Difusión de la Creación Intelectual (SeDiCI)

Más detalles

Resumen. 1. Introducción. 2. Objetivos

Resumen. 1. Introducción. 2. Objetivos Propuesta para la Asignatura Sistemas Industriales en las Titulaciones de Informática F.A. Pujol, F.J. Ferrández, J.L. Sánchez, J. M. García Chamizo Dept. de Tecnología Informática y Computación Universidad

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

SGSI (Sistema de Gestión de Seguridad de la Información): La necesidad de los sistemas de gestión en tiempo real.

SGSI (Sistema de Gestión de Seguridad de la Información): La necesidad de los sistemas de gestión en tiempo real. SGSI (Sistema de Gestión de Seguridad de la Información): La necesidad de los sistemas de gestión en tiempo real. José M. Rosell Tejada. Socio-Director (jrosell@s2grupo.com) Antonio Villalón Huerta. Consultor

Más detalles

XII JICS 25 y 26 de noviembre de 2010

XII JICS 25 y 26 de noviembre de 2010 Sistema de Gestión Integrado según las normas ISO 9001, ISO/IEC 20000 e ISO/IEC 27001TI Antoni Lluís Mesquida, Antònia Mas, Esperança Amengual, Ignacio Cabestrero XII Jornadas de Innovación y Calidad del

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

Introducción. Comisión de los métodos CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS. 30, rue Pierre Semard, 75009 PARIS

Introducción. Comisión de los métodos CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS. 30, rue Pierre Semard, 75009 PARIS MEHARI 2007 Introducción Comisión de los métodos Mehari es una marca registrada por el Clusif CLUB DE LA SECURITE DE L INFORMATION FRANÇAIS 30, rue Pierre Semard, 75009 PARIS Tél.: +33 153 25 08 80 - Fax:

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles