SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010"

Transcripción

1 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre

2 Índice Introducción Metodologías para la Gestión de la Seguridad (Parte-I) 2.1. ITIL 2.2. ISO Magerit 2.3. Métrica 3.4. Otros: CMMI, COBIT, PMBOK El Sistema de Gestión de Seguridad para el ENS (Parte-II) 3.1. ENS como Portfolio de Requisitos de Seguridad 3.2. Plan de Adecuación al ENS Alcance, Entradas y Salidas Características del Ámbito de Aplicación: Multiservicio, Multisistema, Multiproceso y Multiproyecto Fases y Tareas Productos Organización 2

3 1.- Introducción 1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS) La Ley 11/2007, de 22 de Junio, de acceso electrónico de los ciudadanos a los servicios públicos, en su artículo 42.2 define la creación del Esquema Nacional de Seguridad (ENS) cuyo objetivo es el establecimiento de los principios y requisitos de una política de seguridad en la utilización de los medios electrónicos que permita una adecuada protección de la información. Según la introducción del ENS, la finalidad del Esquema Nacional de Seguridad es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información gestionada por los servicios de administración electrónica de tal manera que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. 3

4 1.- Introducción 1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS) El Esquema Nacional de Seguridad persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, garantizando las diferentes dimensiones de la seguridad, tanto del servicio como de la información: DIMENSIONES DE INFORMACIÓN SERVICIO SEGURIDAD DISPONIBILIDAD CONFIDENCIALIDAD INTEGRIDAD AUTENTICIDAD TRAZABILIDAD y para que esta garantía de la seguridad sea efectiva se deberán implementar las medidas de seguridad indicadas en el ENS, alineadas con el Ciclo de Vida de los Servicios. (Ver Articulo 39) 4

5 1.- Introducción 1.1 Ley 11/2007 de Administración Electrónica y el Esquema Nacional de Seguridad (ENS) Confidencialidad. Propiedad o característica consistente en que la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados. Disponibilidad. Propiedad o característica de los activos consistente en que las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren. Integridad. Propiedad o característica consistente en que el activo de información no ha sido alterado de manera no autorizada. Autenticidad. Propiedad o característica consistente en que una entidad es quien dice ser o bien que garantiza la fuente de la que proceden los datos. Trazabilidad. Propiedad o característica consistente en que las actuaciones de una entidad pueden ser imputadas exclusivamente a dicha entidad. 5

6 1.- Introducción 1.2 Estructura del ENS Parte Expositiva Parte Dispositiva: (10 capítulos, 44 artículos) Parte final: Disposiciones adicionales (4) Disposición transitoria Disposición derogatoria Disposiciones finales (3) Anexos (5) Categorización de los sistemas Medidas de seguridad Auditoría de seguridad Glosario Modelo de cláusula administrativa particular 6

7 1.- Introducción 1.3 Contenido del ENS 7

8 1.- Introducción 1.3 Contenido del ENS 8

9 1.- Introducción 1.4 Objetivo del Seminario Describir un Modelo de Adecuación al ENS en un Marco Metodológico concreto (no referenciado en el ENS). Se va aportar una correlación, entre diferentes actuaciones que se requieren en una organización para la Adecuación del ENS, y las posibles metodologías a aplicar. No se va a aportar una descripción detallada ni del ENS (ya ha habido charlas previas), ni de las Metodologías. Sólo lo suficiente para poder describir el Modelo. Puede ayudar a profundización en conceptos y aportar una visión práctica de despliegue de SGSI requerido por el ENS 9

10 Índice Introducción Metodologías para la Gestión de la Seguridad (Parte-I) 2.1. ITIL 2.2. ISO Magerit 2.3. Métrica 3.4. Otros: CMMI, COBIT, PMBOK El Sistema de Gestión de Seguridad para el ENS (Parte-II) 3.1. ENS como Portfolio de Requisitos de Seguridad 3.2. Plan de Adecuación al ENS Alcance, Entradas y Salidas Características del Ámbito de Aplicación: Multiservicio, Multisistema, Multiproceso y Multiproyecto Fases y Tareas Productos Organización 10

11 2.1 ITIL v3.0(information Technology Infrastructure Library) PARA QUÉ : En el Apartado I de la Parte Expositiva del ENS se indica:. Se desarrollará y perfeccionará en paralelo a la evolución de los servicios y a medida que vayan consolidándose los requisitos de los mismos y de las infraestructuras que lo apoyan. En el articulo 39 Las especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas, acompañadas de los correspondientes procedimientos de control. En punto de desarrollo de aplicaciones, (mp.sw.1) se requiere la activación de procesos que siguen las buenas prácticas marcadas por ITIL Varias medidas de seguridad suponen interfaces con procesos de ITIL 11

12 2.1 ITIL v3.0 (Information Technology Infrastructure Library) Capacidades Gestión Organización Procesos Conocimiento Proveedor de Servicios Personas Activos del Servicio Servicios Valor Recursos Capital Infraestructura Aplicaciones Información Activos del cliente Resultados del cliente Cliente FIN 12

13 2.1 ITIL v30.0(information Technology Infrastructure Library) Activo ENS Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. ITIL Cualquier Recurso o Capacidad. Los Activos de un Proveedor de Servicio, incluyen todo aquello que se puede atribuir a la entrega del Servicio. Los Activos pueden ser de los siguientes tipos: Administrativos, Organizativos, Procesos, Conocimiento, Personas, Información, Aplicaciones, Infraestructuras y Capital 13

14 2.1 ITIL v3.0 (Information Technology Infrastructure Library) Servicio ENS Servicios acreditados. Servicios prestados por un sistema con autorización concedida por la autoridad responsable, para tratar un tipo de información determinada, en unas condiciones precisas de las dimensiones de seguridad, con arreglo a su concepto de operación. ITIL Servicio proporcionado a uno o más Clientes por un Proveedor de Servicios de TI. Un Servicio de TI se basa en el uso de las TI y soporta los Procesos de Negocio del Cliente. Un Servicio de TI se compone de una combinación de personas, procesos y tecnologías y debería estar definido en un Acuerdo de Nivel de Servicio 14

15 2.1 ITIL v3.0(information Technology Infrastructure Library) RECURSO ENS ITIL Término genérico que incluye Infraestructuras de TI, personal, dinero o cualquier otra cosa que pueda ayudar a entregar un Servicio de TI. Los Recursos son Activos de una Organización. CAPACIDAD ENS ITIL La habilidad de una organización para coordinar, gestionar y aplicar recursos con el fin de producir valor. 15

16 2.1 ITIL v3.0 (Information Technology Infrastructure Library) La TI es un activador para los procesos de negocio Proceso 1 del negocio Proceso 2 del negocio Proceso 3 del negocio Servicio TI X Servicio TI Y Activos y recursos de TI FIN 16

17 2.1 ITIL v3.0 (Information Technology Infrastructure Library) PROCESO ENS Conjunto organizado de actividades que se llevan a cabo para producir a un producto o servicio; tiene un principio y fin delimitado, implica recursos y da lugar a un resultado. ITIL Conjunto estructurado de Actividades diseñado para la consecución de un Objetivo determinado. Los Procesos requieren de una o más entradas y producen una serie de salidas, ambas previamente definidas. Un Proceso suele incorporar la definición de los roles que intervienen, las responsabilidades, herramientas y controles de gestión necesarios para obtener las salidas de forma eficaz 17

18 2.1 ITIL v3.0 (Information Technology Infrastructure Library) 18

19 2.1 ITIL v3.0 (Information Technology Infrastructure Library) FASE ITIL ESTRATEGIA DISEÑO TRANSICCIÓN PROCESOS/FUNCIONES Estrategia del Servicio Gestión Financiera Gestión de la Cartera de Servicios(1) Gestión de la Demanda Gestión del Catálogo de Servicios Gestión del Nivel de Servicio Gestión de la Capacidad Gestión de la Continuidad de los Servicios de TI Gestión de la Disponibilidad Gestión de la Seguridad de la Información Gestión del Suministrador Planificación y Soporte de la Transición Gestión de Cambios(1) Gestión de la Configuración y Activos del Servicio Gestión de Entregas y Despliegues Validación y Pruebas del Servicio Evaluación Gestión del Conocimiento OPERACIÓN Gestión de Eventos Servicio de Atención al Usuario MEJORA CONTINUA Gestión de Incidencias Gestión de Peticiones Gestión de Problemas Gestión de Accesos Mejora Continua del Servicio (y del Proceso) Gestión de Operaciones TI Gestión Técnica Gestión Aplicaciones 19

20 2.2 ISO PARA QUÉ : Anexo III de Auditoria de Seguridad en su punto f), indica que se auditará Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección. Es un Requisito Mínimo de Seguridad la mejora continua del proceso de seguridad ( Requisito o) ) Articulo 26: Mejora continua del proceso de seguridad. El proceso de seguridad. El proceso integral de seguridad implantado deberá ser actualizado y mejorado de forma continua. Para ello, se aplicarán los criterios y métodos reconocidos en la práctica nacional e internacional relativos a gestión de las tecnologías de la información. 20

21 2.2 ISO SGSI ENS/ISO Sistema de gestión de la seguridad de la información (SGSI). Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información. El sistema de gestión incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos y los recursos. 21

22 2.2 ISO Partes Interesadas Planificar Crear el SGSI Partes Interesadas Hacer Implantar y gestionar el SGSI Mantener y mejorar el SGSI Actuar Requisitos y expectativas de la seguridad de la información Supervisar y revisar el SGSI Verificar Seguridad de la información gestionada Modelo PDCA aplicado a los procesos del SGSI 22

23 2.2 ISO Planificar (creación del SGSI) Hacer (implementación y funcionamiento del SGSI) Verificar (supervisión y revisión del SGSI) Actuar (mantenimiento y mejora del SGSI) Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información, con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización Implementar y utilizar la política, controles, procesos y procedimientos del SGSI. Evaluar y, en su caso, medir el rendimiento del proceso contra la política, objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión. Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI 23

24 2.2 ISO FASE DEL CICLO DE GESTIÓN DEL SERVICIO (ITIL) FASE DE PDCA DEL SGSI P Planificar D Hacer C Verificar A Mantener Actualizar E Estrategia D Diseño T Transición O Operación CSI Mejora Continúa 24

25 2.3 Magerit v2.0 PARA QUÉ : Principio Básico de Gestión de Riesgos (b) expuesto en el Capítulo 2, Artículo 4, y desarrollado en al Articulo 6 (Gestión de la Seguridad basada en Riesgos) El articulo 9 pide una reevaluación periódica para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección Requisito Mínimo, Articulo 11 b) Análisis y Gestión de Riesgos que se desarrolla en el artículo 13. Medida de Protección del grupo de Marco Operacional (op.pl.1) se pide un Análisis de Riesgo textual, tabulado o formal, en función del Nivel del Sistema. Múltiples referencias en otras medidas que se apoyan en el Análisis de Riesgos (Gestión Incidentes, Gestión de Cambios, etc.) y que requieren que esté siempre al día (utilizar un enfoque adecuado). 25

26 2.3 Magerit v2.0 FIN 26

27 2.3 Magerit v2.0 TERMINO MAGERIT ENS RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. AMENAZA Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO Consecuencia que sobre un activo tiene la materialización de una amenaza. VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradación causada Una debilidad que puede ser aprovechada por una amenaza. SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. 27

28 2.3 Magerit v2.0 28

29 2.3 Magerit v2.0 FIN 29

30 2.3 Magerit v2.0 TERMINO MAGERIT ENS RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. AMENAZA Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO Consecuencia que sobre un activo tiene la materialización de una amenaza. VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradación causada Una debilidad que puede ser aprovechada por una amenaza. SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. 30

31 2.3 Magerit v2.0 31

32 2.3 Magerit v2.0 FIN 32

33 2.3 Magerit v2.0 TERMINO MAGERIT ENS RIESGO Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización. ANALISIS DE RIESGO Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Utilización sistemática de la información disponible para identificar peligros y estimar los riesgos. GESTIÓN DEL RIESGO Selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Actividades coordinadas para dirigir y controlar una organización con respecto a los riesgos. AMENAZA Eventos que pueden desencadenar un incidente en la Organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO Consecuencia que sobre un activo tiene la materialización de una amenaza. VULNERABILIDAD Vulnerabilidad Estimación de la exposición efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradación causada Una debilidad que puede ser aprovechada por una amenaza. SALVAGUARDA Procedimiento o mecanismo tecnológico que reduce el riesgo RIESGO RESIDUAL Riesgo remanente en el sistema tras la implantación de las salvaguardas determinadas en el plan de seguridad de la información. 33

34 2.3 Magerit v2.0 34

35 2.3 Magerit v2.0 35

36 2.3 Magerit v2.0 36

37 2.3 Magerit v2.0 Visión dinámica y mantenible del Análisis de Riesgos requiere una adecuada estructuración y manejo de conceptos adicionales: Dominios, Servicios Internos. 37

38 2.4 Métrica v3.0 PARA QUÉ : De acuerdo al Artículo 39 (Ciclo de Vida de los Servicios y Sistemas) las especificaciones de seguridad se incluirán en el ciclo de vida de los servicios y sistemas. En el punto de desarrollo de aplicaciones, (mp.sw.1) en el apartado b) se requiere el uso de metodología para el desarrollo para todos los sistemas a partir del nivel medio.. 38

39 2.4 Métrica v3.0 39

40 2.4 Métrica v3.0 Tareas afectadas en la Interfaz de Seguridad de Métrica v3 PSI: Planificación del sistema de información SEG 2: Evaluación del riesgo para la arquitectura tecnológica PSI-SEG 2.1: Estudio y evaluación del riesgo de las alternativas de arquitectura tecnológica PSI-SEG 2.2: Revisión de la evaluación del riesgo de las alternativas de arquitectura tecnológica SEG 3: Determinación de la seguridad en el plan de acción PSI-SEG 3.1: Determinación de la seguridad en el plan de acción EVS: Estudio de viabilidad del sistema SEG 3: Recomendaciones adicionales de seguridad para el SI EVS-SEG 3.1: Elaboración de recomendaciones de seguridad SEG 4: Evaluación de la seguridad de las alternativas de solución EVS-SEG 4.1: Valoración y evaluación de la seguridad de las alternativas de solución SEG 5: Evaluación detallada de la seguridad de la solución propuesta EVS-SEG 5.1: Descripción detallada de la seguridad de la solución propuesta ASI: Análisis del sistema de información SEG 2: Descripción de las funciones y mecanismos de seguridad ASI-SEG 2.1: Estudio de las funciones y mecanismos de seguridad a implantar SEG 3: Definición de los criterios de aceptación de la seguridad ASI-SEG 3.1: Actualización del plan de pruebas DSI: Diseño del sistema de información SEG 2: Especificación de requisitos de seguridad del entorno tecnológico DSI-SEG 2.1: Análisis de los riesgos del entorno tecnológico SEG 3: Requisitos de seguridad del entorno de construcción DSI-SEG 3.1: Identificación de los requisitos de seguridad del entorno de construcción SEG 4: Diseño de pruebas de seguridad DSI-SEG 4.1: Diseño de las pruebas de seguridad 40

41 2.4 Métrica v3.0 Tareas afectadas en la Interfaz de Seguridad de Métrica v3 CSI: Construcción del sistema de información SEG 2: Evaluación de los resultados de pruebas de seguridad CSI-SEG 2.1: Evaluación de los resultados de pruebas de seguridad SEG 3: Elaboración del plan de formación de seguridad CSI-SEG 3.1: Elaboración del plan de formación de seguridad IAS: Implantación y aceptación del sistema SEG 2: Revisión de medidas de seguridad en el entorno de operación IAS-SEG 2.1: Revisión de medidas de seguridad en el entorno de operación SEG 3: Evaluación de resultados de pruebas de seguridad de implantación del sistema IAS-SEG 3.1: Estudio de los resultados de pruebas de seguridad de implantación del sistema SEG 5: Revisión de medidas de seguridad en el entorno de producción IAS-SEG 5.1: Revisión de medidas de seguridad en el entorno de producción MSI: Mantenimiento del sistema de información SEG 2: Especificación e identificación de las funciones y mecanismos de seguridad MSI-SEG 2.1: Estudio de la petición MSI-SEG 2.2: Análisis de las funciones y mecanismos de se 41

42 2.5 Otras: CMMI 42

43 2.5 Otras: CMMI Los 6 niveles definidos en CMMI para medir la capacidad de los procesos son: N0.- Incompleto: El proceso no se realiza, o no se consiguen sus objetivos. N1.- Ejecutado: El proceso se ejecuta y se logra su objetivo. N2.- Gestionado: Además de ejecutarse, el proceso se planifica, se revisa y se evalúa para comprobar que cumple los requisitos. N3.- Definido: Además de ser un proceso gestionado se ajusta a la política de procesos que existe en la organización, alineada con las directivas de la empresa. N4.- Cuantitativamente gestionado: Además de ser un proceso definido se controla utilizando técnicas cuantitativas. N5.- Optimizado: Además de ser un proceso cuantitativamente gestionado, de forma sistemática se revisa y modifica o cambia para adaptarlo a los objetivos del negocio. Mejora continua. 43

44 La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para l del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT p control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecn 2.- Metodologías para la Gestión de la Seguridad 2.5 Otras: COBIT La misión de COBIT es "investigar, desarrollar, publicar y promocionar un conjunto de objetivos de control generalmente aceptados para las tecnologías de la información que sean autorizados (dados por alguien con autoridad), actualizados, e internacionales para el uso del día a día de los gestores de negocios (también directivos) y auditores." Gestores, auditores, y usuarios se benefician del desarrollo de COBIT porque les ayuda a entender sus Sistemas de Información (o tecnologías de la información) y decidir el nivel de seguridad y control que es necesario para proteger los activos de sus compañías mediante el desarrollo de un modelo de administración de las tecnologías de la información. 44

45 2.5 Otras: COBIT 45

46 2.5 Otras: PMBOK 46

47 47

48 Índice Introducción Metodologías para la Gestión de la Seguridad (Parte-I) 2.1. ITIL 2.2. ISO Magerit 2.3. Métrica 3.4. Otros: CMMI, COBIT, PMBOK El Sistema de Gestión de Seguridad para el ENS (Parte-II) 3.1. ENS como Portfolio de Requisitos de Seguridad 3.2. Plan de Adecuación al ENS Alcance, Entradas y Salidas Características del Ámbito de Aplicación: Multiservicio, Multisistema, Multiproceso y Multiproyecto Fases y Tareas Productos Organización 48

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS) www.seguridadinformacion.com www.esquemanacionaldeseguridad.com ÍNDICE 1. INTRODUCCIÓN 3 2. GENERALIDADES 4 3. A QUIÉN APLICA 5 4. A QUIENES

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Gestión de la Configuración

Gestión de la Configuración Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

ITIL V3-2011 Preparación para la certificación ITIL Foundation V3

ITIL V3-2011 Preparación para la certificación ITIL Foundation V3 Capítulo 1 Introducción y aspectos generales de ITIL V3 A. Introducción 26 1. El contexto 26 2. Las respuestas a este contexto 27 B. Las buenas prácticas ITIL V3 27 1. Las buenas prácticas 27 a. Introducción

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s

PRINCE2 & TickIT. Jorge Armando Medina Morales. Código 1700321660. U n i v e r s i d a d D e C a l d a s. F a c u l t a d D e I n g e n i e r í a s PRINCE2 & TickIT Jorge Armando Medina Morales Código 1700321660 U n i v e r s i d a d D e C a l d a s F a c u l t a d D e I n g e n i e r í a s I n g e n i e r í a D e S i s t e m a s O c t u b r e 2010

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

Proyecto 20000-PYME. Introducción al SGSTI (Sistema de Gestión de Servicios TI)

Proyecto 20000-PYME. Introducción al SGSTI (Sistema de Gestión de Servicios TI) Proyecto 20000-PYME Introducción al SGSTI (Sistema de Gestión de Servicios TI) Introducción TI en los procesos nucleares del negocio Necesidad de objetivar la calidad de TI Referencias en el mundo Metodologías

Más detalles

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 INDICE Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 Unidad 1 Fundamentos ITIL 1.1 Historia y Concepto ITIL nació en la década de 1980, a través de la Agencia Central

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Aseguramiento de la Calidad

Aseguramiento de la Calidad ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-CAL 1: IDENTIFICACIÓN DE LAS PROPIEDADES DE CALIDAD PARA EL SISTEMA... 3 Tarea EVS-CAL 1.1: Constitución del Equipo

Más detalles

Examen de Fundamentos de ITIL

Examen de Fundamentos de ITIL Examen de Fundamentos de ITIL Ejemplo A, versión 5.1 Selección tipo test Instrucciones 1. Debe intentar contestar las 40 preguntas. 2. Marque sus respuestas en lápiz en la hoja anexa 3. Usted tiene 60

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA GESCONSULTOR 10 RAZONES PARA UTILIZAR GESCONSULTOR SOPORTE

Más detalles

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000 TCM ProactivaNET Cómo lograr una implementación exitosa de ITIL /ISO20000 Gestión de Servicios de TI ITIL e ISO/IEC 20000 TCM 2011 Qué es la Gestión de Servicios de TI? La Gestión del Servicio es un conjunto

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

AGENDA. Qué está pasando? Lo mínimo que debo saber Las fases del Ciclo de Vida Preguntas Frecuentes. Este evento está soportado por

AGENDA. Qué está pasando? Lo mínimo que debo saber Las fases del Ciclo de Vida Preguntas Frecuentes. Este evento está soportado por Biblioteca ITIL ACTUALIZACIONES 2011 Presentado por: Marlon Molina Director de Publicaciones itsmf España Certification Officer IQC Director General en Tecnofor www.best-management-practice.com www.itil-officialsite.com

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

ISO 27001 Gestión de Seguridad de la Información. Versión 1

ISO 27001 Gestión de Seguridad de la Información. Versión 1 ISO 27001 Gestión de Seguridad de la Información Versión 1 1. Situación actual y perspectivas de la ISO 27001 1. Situación actual y perspectivas de la ISO 27001 2. Conceptos y Definiciones de Seguridad

Más detalles

ITIL. Mejora de la calidad en la gestión de servicios de TI. Gestión Financiera

ITIL. Mejora de la calidad en la gestión de servicios de TI. Gestión Financiera UNIVERSIDAD NACIONAL DE EDUCACIÓN A DISTANCIA ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA INFORMÁTICA Resumen Proyecto de Fin de Carrera de Ingeniero Informático ITIL. Mejora de la calidad en la gestión de

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

TEMA 1: INTRODUCCIÓN A SERVICIOS TI

TEMA 1: INTRODUCCIÓN A SERVICIOS TI CIMSI Configuración, Implementación y Mantenimiento de Sistemas Informáticos TEMA 1: INTRODUCCIÓN A SERVICIOS TI Daniel Cascado Caballero Rosa Yáñez Gómez Mª José Morón Fernández E.T.S. de Ingeniería Informática

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado.

Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado. Asistente para la realización de auditorías de sistemas en organismos Públicos o Privado. Proyecto de Tesis de Magíster en Ingeniería del Software Maestrando: Lic.Horacio Kuna Director: Dr. Ramón García

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Mejora de la Seguridad de la Información para las Pymes Españolas

Mejora de la Seguridad de la Información para las Pymes Españolas Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la

Más detalles

Curso Fundamentos de ITIL

Curso Fundamentos de ITIL Curso Fundamentos de ITIL 1 Curso El curso de Fundamentos de ITIL introduce el concepto de Gestión de Servicio TI (IT Service Management o ITSM), el Ciclo de Vida del Servicio y un marco para identificar

Más detalles

FUNDAMENTOS DE GOBIERNO TI

FUNDAMENTOS DE GOBIERNO TI FUNDAMENTOS DE GOBIERNO TI TABLA DE CONTENIDO INTRODUCCION... 3 ESTRUCTURA PROGRAMATICA... 4 TEMA 1: ITIL FOUNDATIONS V3... 4 Gestión de Servicios como práctica... 4 Ciclo de vida de servicios (The Service

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

http://itsummer.motoquera.cl

http://itsummer.motoquera.cl ANTECEDENTES PARA ACTIVIDADES WORKSHOP Link para responder a Preguntas http://itsummer.motoquera.cl Mejores Prácticas en Estrategias Competitivas para TI 1 Tablas Pregunta 3 META GENERICA DE NEGOCIO IMPORTANCIA

Más detalles

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de

Más detalles

ITIL V3 Por dónde empezar?

ITIL V3 Por dónde empezar? ITIL V3 Por dónde empezar? Autor: Norberto Figuerola Introducción La gestión de servicios de TI (ITSM) suministra los servicios que necesita una empresa para cumplir sus objetivos de negocio. ITSM respalda

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM

PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM Eduardo Álvarez, Raúl Blanco, Evelyn Familia y Marta Hernández. Pertenece el sector de la TI Es una de las cinco mayores compañías

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Plan de Gestión de la Calidad

Plan de Gestión de la Calidad Plan de Gestión de la Calidad 1 1. Definición de la Calidad SW. Calidad: Alcanzar los niveles excelentes de salud para el empleo. Humphrey, 1989 Calidad SW: Concordancia con los requisitos funcionales

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

La integración de procesos

La integración de procesos El Grupo TQS ofrece soluciones Servicios avanzadas Profesionales de aplicación práctica gracias a la sinergia entre Consultores de Consultoría especializados en TIe Ingenieros & Ingeniería de Sistemas

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

Examen de Fundamentos de ITIL

Examen de Fundamentos de ITIL Examen de Fundamentos de ITIL Ejemplo B, versión 5.1 Selección Múltiple Instrucciones 1. Debe intentar contestar todas las 40 preguntas. 2. Marque sus respuestas en la hoja de respuestas entregada 3. Usted

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Mantenimiento de Sistemas de Información

Mantenimiento de Sistemas de Información de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Qué es la Auditoria en Sistemas de Información?

Qué es la Auditoria en Sistemas de Información? Qué es la Auditoria en Sistemas de Información? Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

ITIL Service Management Essentials v3 (Fundamentos de ITIL v3)

ITIL Service Management Essentials v3 (Fundamentos de ITIL v3) Cursos Especialización Versión 1.0 14/02/2013 Tabla de contenido 1 Temario... 3 2 Duración, fecha y precio... 3 3 Pre-requisitos... 3 4 Objetivos del curso... 3 5 Dirigido a... 3 6 Certificación... 4 7

Más detalles

HISTORIAL DE CAMBIOS MOTIVO DEL CAMBIO. DESCRIPCION DEL CAMBIO Elaboración del Documento VERSION FECHA N/A 21-09-2009

HISTORIAL DE CAMBIOS MOTIVO DEL CAMBIO. DESCRIPCION DEL CAMBIO Elaboración del Documento VERSION FECHA N/A 21-09-2009 de 5 HISTORIAL DE CAMBIOS VERSION DESCRIPCION DEL CAMBIO Elaboración del Documento MOTIVO DEL CAMBIO FECHA N/A 2-09-2009 2 de 5. OBJETIVO Diseñar nuevos servicios TI o cambios en servicios TI existentes,

Más detalles

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García

Más detalles

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública

Manual de Aplicación. Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Manual de Aplicación Guía metodológica para apoyar a las empresas MiPYMEs Colombianas en la toma de decisión para la migración hacia la nube pública Johana Sosa Contenido Introducción... 3 1. Conceptos

Más detalles

MEJORA DE PROCESOS EN EL ENS

MEJORA DE PROCESOS EN EL ENS MEJORA DE PROCESOS EN EL ENS El ENS ES SEGURIDAD ENS -> Protección adecuada de la información. ENS -> asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Mantenimiento del Software

Mantenimiento del Software Mantenimiento del Software S5 Francisco Ruiz, Macario Polo Grupo Alarcos Dep. de Informática ESCUELA SUPERIOR DE INFORMÁTICA UNIVERSIDAD DE CASTILLA-LA MANCHA http://alarcos.inf-cr.uclm.es/doc/mso/ Ciudad

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

10 Cuáles de las siguientes afirmaciones acerca de la Biblioteca Definitiva de Medios (DML) son CORRECTAS? 1. La DML incluye un almacén físico

10 Cuáles de las siguientes afirmaciones acerca de la Biblioteca Definitiva de Medios (DML) son CORRECTAS? 1. La DML incluye un almacén físico 1 De cuáles procesos la Gestión de Niveles de Servicios podría tomar en cuenta entradas de información para cuando esté negociando Acuerdos de Nivel de Servicio (SLA)? a) De todos los demás procesos de

Más detalles

TEMA 1: INTRODUCCIÓN A LA EXPLOTACIÓN DE SERVICIOS TI

TEMA 1: INTRODUCCIÓN A LA EXPLOTACIÓN DE SERVICIOS TI CIMSI Configuración, Implementación y Mantenimiento de Sistemas Informáticos TEMA 1: INTRODUCCIÓN A LA EXPLOTACIÓN DE SERVICIOS TI Daniel Cascado Caballero Mª José Morón Fernández Rosa Yañez E.T.S. de

Más detalles

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Examen de muestra EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Edición Noviembre 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Más detalles

ITIL FUNDAMENTOS v3 ed. 2011

ITIL FUNDAMENTOS v3 ed. 2011 ITIL FUNDAMENTOS v3 ed. 2011 ITIL (Information Technology Infraestructura Library) es un marco de marco de referencia de buenas prácticas para la Administración del Servicio de Tecnología de Información,

Más detalles

Aragonesa de Servicios Telemáticos

Aragonesa de Servicios Telemáticos (AMS) en el Ámbito de Diversos Departamento y Organismos Públicos de la Administración de la Comunidad Autónoma de Aragón Índice 1! FICHA...3! 2! SITUACIÓN INICIAL...5! 3! OBJETIVOS...6! 4! SOLUCIÓN...7!

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008

Más detalles

CMMI : mejora del proceso en Fábricas de Software

CMMI : mejora del proceso en Fábricas de Software CMMI : mejora del proceso en Fábricas de Software Cecilia Rigoni Brualla Caelum, Information & Quality Technologies Introducción Introducción Idea / Necesidad Investigación Diseño Inversión PRODUCTO Introducción

Más detalles

ISO 19770 (SAM), por dónde empezamos?

ISO 19770 (SAM), por dónde empezamos? ISO 19770 (SAM), por dónde empezamos? Qué es ISO/IEC 19770-1? La ISO 19770 se ha desarrollado a fin de permitir a una organización demostrar que está efectuando la gestión de activos de software, comúnmente

Más detalles

CUMPLIMIENTO LEGAL Y GESTIÓN DE LA SEGURIDAD

CUMPLIMIENTO LEGAL Y GESTIÓN DE LA SEGURIDAD CUMPLIMIENTO LEGAL Y GESTIÓN DE LA SEGURIDAD CÓDIGO: FECHA: 22/11/2006 VERSIÓN: 1 CÓDIGO INTERNO: SGISA 4033/06 GMV SOLUCIONES GLOBALES INTERNET S.A. INFORMACIÓN NO CLASIFICADA El presente documento ha

Más detalles

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS

UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS UNIVERSIDAD CATÓLICA BOLIVIANA SAN PABLO FACULTAD DE CIENCIAS EXACTAS E INGENIERÍA INGENIERÍA DE SISTEMAS ISO 27001 INTEGRANTE: CARLA CUEVAS ADRIAN VILLALBA MATERIA: AUDITORIA DE SISTEMAS FECHA: 11 DE

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

1.1. Sistema de Gestión de la Calidad

1.1. Sistema de Gestión de la Calidad 1.1. Sistema de Gestión de la Calidad ÁREA: GESTIÓN DE LA CALIDAD SISTEMA: GESTIÓN DE LA CALIDAD ETAPA I - OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución realiza un diagnóstico del estado actual

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

departamento de informática corporativa La pieza integradora CMDB: La pieza integradora

departamento de informática corporativa La pieza integradora CMDB: La pieza integradora La pieza integradora 1 OBJETIVO Presentar la CMDB como elemento integrador para: Análisis de riesgos de los sistemas de información. Gestión de incidencias. Gestión de inventario. Monitorización de los

Más detalles