ISO/IEC Normativa de seguridad IT. Hechos. Numero 2013/02

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02"

Transcripción

1 05/01/2013 Ingelan Numero 2013/02 ISO/IEC Normativa de seguridad IT ISO/IEC (Information technology Information Security Management Systems Requirements) es una normativa estándar focalizada en la seguridad de los Sistemas de Información cuya primera versión fué aprobada y publicada en octubre de 2005 por la International Organization for Standarization y por la International Electrotechnical Commision. La norma enumera y detalla los requisitos necesarios para diseñar, implantar, mantener y evolucionar un Sistema de Gestión de la Seguridad de la Información (SGSI) de forma que sea posible verificar de una manera objetiva que los riesgos están adecuadamente identificados y evaluados y que se dispone de los medios, procedimientos e instrumentos de gestión necesarios para minimizarlos. Es aplicable a cualquier tipo de, independientemente de su finalidad y tamaño y establece las bases para generar confianza en las transacciones que impliquen intercambio de informaciones en formato electrónico. El proceso que se propugna está basado en el enfoque de evolución continua (Ciclo de Deming) cuyas cuatro principales fases serían: Planificación: En el curso de la cual habrán de establecerse los objetivos generales y referidos a la seguridad de los activos de la, identificar y valorar los riesgos a los que se está expuesto, definir las políticas, procesos y procedimientos de seguridad aplicables y estructurarlo en un SGSI consensuado por toda la y refrendado y respaldado por la alta dirección. Operación: Puesta en marcha y gestión diaria de los sistemas de con las medidas y procedimientos definidos en el plan Hechos ISO/IEC se alinea con ISO 9001:2000 e ISO 14001:2004 para dar soporte a una implantación acorde con los estándares y normativas internacionales de calidad y gestión ambiental En el Anexo A de la norma se describen con todo detalle los objetivos de Control y Controles a emplear para una correcta implantación del estándar. A finales del año 2010, únicamente 711 compañías españolas (un 0,02% de las registradas) habían obtenido la certificación correspondiente.

2 2 Evaluación: Medición continua y objetiva (mediante parámetros) y periódica (con auditorías) de la aplicación de los procesos, de la evolución de los riesgos, de los resultados de la práctica del SGSI y de la alineación de éstos con los objetivos empresariales. Evolución: Adopción de los medios y de las acciones preventivas y correctivas que tiendan a solventar los problemas o defases identificados en la fase de evaluación. El resultado ha de ser un sistema permanentemente actualizado y certificable por una entidad externa que pueda - en cualquier momento medir su grado de implantación real y su nivel de eficacia. Fase 1: Diseño del SGSI (Sistema de Gestión de la Seguridad de la Información) Como primer requisito en la adopción de ISO 27001, la ha de diseñar su Sistema de Gestión de la Seguridad de la Información (SGSI). En este documento, que habrá de ser compartido por toda la estructura y acorde a las políticas gerenciales, deberán especificarse (como mínimo): La implantación de ISO/IEC en una puede durar dependiendo del tamaño, el alcance y su grado de madurez entre 6 y 12 meses. Más Hechos El 11,6% de las compañías participantes en una encuesta realizada por INTECO en Setiembre de 2012 manifestaron disponer de certificación ISO Un 1,7% adicional afirmó estar en proceso de obtenerla. El alcance del sistema de seguridad, atendiendo a las características del negocio, el tamaño, la ubicación, los activos, la tecnología empleada y las especificidades de la. Las políticas de seguridad que sean de aplicación y los objetivos que se persiguen como consecuencia de la legislación aplicable, de las normas y requisitos del sector, de los compromisos contractuales adquiridos y del contexto referencial El enfoque de valoración de los riesgos, su identificación, la amenaza que suponen, su impacto y los criterios de aceptabilidad que hayan de servir para considerarlos u obviarlos, aceptando o transfiriendo a terceros las consecuencias de su aparición. Los métodos y medios de medición y control que hayan de establecerse para tratar los riesgos identificados y los procedimientos y actuaciones a aplicar en cada caso. Fase 2: Implantación y operación del SGSI En el curso de este proceso se deberá: Poner en marcha el plan desarrollado de forma que se puedan alcanzar los objetivos de control establecidos. Asignar los roles y responsabilidades que sean adecuados para tratar los riesgos en el marco de los procedimientos diseñados. Implantar los medios de evaluación previstos para establecer la efectividad real de los medios diseñados Capacitar y formar adecuadamente a quienes estén comprometidos en la obtención de los resultados. Atender a la operación diaria del sistema y gestionar los recursos de todo tipo necesarios para atenderlo Estructurar y atender a la respuesta de controles que permitan una pronta detección y respuesta a incidentes de seguridad

3 3 Aspectos a considerar Fase 3: Monitorización del SGSI Paralelamente, se deberán poner los medios necesarios para: Propiciar la detección temprana de violaciones de la seguridad y errores en la aplicación de los procesos, para estimar tanto la adecuación de los medios para conseguir los objetivos propuestos, como la efectividad de los procesos diseñados. Objetivar de forma sistemática los indicadores previstos y establecer su evolución para cuantificar las mejoras que se vayan consiguiendo. Valorar, simultáneamente, la efectividad de los indicadores para asegurar que estén proporcionando una visión real y objetiva de la situación. Registrar las acciones y eventos que puedan tener impacto sobre la operativa del sistema de seguridad de la Realizar revisiones regulares de la efectividad del sistema, teniendo en cuenta las auditorías de seguridad, los incidentes, la evolución de los indicadores, las sugerencias y la retroalimentación obtenida de las partes interesadas. Reevaluar los riesgos y su nivel de aceptabilidad, el impacto de nuevas amenazas, los cambios en la legislación y/o en la normativa, en la entidad de los activos implicados, en cuanto a los cambios en el entorno social o contractual o en las finalidades y políticas empresariales que hayan de considerarse. Revisar y actualizar los planes incorporando a los mismos de forma consensuada y con el respaldo de la alta dirección de los cambios y mejoras que tiendan a corregir las deficiencias o lagunas detectadas. Fase 4: Mejora continua del SGSI Por último y de forma regular, será necesario: Implementar las mejoras en el SGSI identificadas como consecuencia de la monitorización Reorganizar los procesos y procedimientos de trabajo, reasignar las responsabilidades y reestructurar los procedimientos de control si ello es necesario para optimizar el sistema Comunicar los cambios a todas las partes interesadas, formar a los implicados en los nuevos medios de gestión y asegurar que estas mejoras consigan los resultados que pretendan Disponer de una certificación ISO/IEC 27001: Demuestra una garantía de seguridad objetiva Garantiza que se cumplen la legislación, las normativas y los requisitos contractuales Verifica que los riesgos de la están correctamente identificados y evaluados Demuestra el compromiso gerencial y corporativo con la seguridad Normativa aplicable ISO 9001:200 Sistemas de Gestión de la Calidad Requerimientos ISO/IEC :2004 Tecnología de la Información Técnicas de Seguridad Gestión de la Seguridad en Tecnología de la Información y Comunicaciones ISO/IEC TR 18044:2004 Gestión de Incidentes en la Seguridad de la Información Métricas ITIL (basadas en KPIs) para la Gestión de Incidentes y de Problemas NIST SP : National Institute of Standards and Technology Risk Management Guide for Information Technology Systems

4 4 Documentación Es exigible que la documentación consecuencia del diseño, puesta en marcha y operación del SGSI registre la evolución habida, las decisiones que se tomaron en cada momento y sus cambios, junto con las razones que llevaron a adoptarlos. Debe estar, además, controlada y protegida. Y han de existir procedimientos de aprobación, revisión, actualización y control de los cambios. Ha de estar disponible y actualizada a la última versión en los puntos en que haya de emplearse y al alcance en condiciones adecuadas de las personas que la precisen. Registros Hay que establecer, mantener y proteger registros que evidencien la conformidad de la actuación diaria con la procedimentación diseñada, documentando e implantando los controles para su identificación, almacenamiento, protección, retención, recuperación y disponibilidad. De la misma forma, habrá de disponerse de medios que registren las incidencias de seguridad significativas relacionadas con el SGSI. Recursos La ha de determinar y suministrar los recursos capacitados y cualificados de todo tipo necesarios para implementar, operar, monitorizar, revisar y mejorar el SGSI según el procedimiento reseñado. Se debe asegurar que los procedimientos responden en cada momento a los requerimientos legales, contractuales y de mercado y se alinean con los objetivos empresariales Auditorías Deben realizarse obligatoriamente y sujetas a criterios, alcance, frecuencia y método auditorías internas de los SGSI para determinar si se cumplen los objetivos de control, procesos y procedimientos previstos y si las tareas se ejecutan de forma efectiva. Sus resultados han de identificar las no conformidades, aislar las causas que los provocan y establecer planes para corregirlas de forma tal que se asegure que esas medidas se adoptan de forma efectiva. Revisión del SGSI La gerencia ha de revisar el SGSI a intervalos planificados para verificar su idoneidad, conveniencia y efectividad. Para hacerlo ha de basarse en los resultados de las auditorías y revisiones que se hayan realizado, en el feedback recibido y en los registros y mediciones de efectividad. Los resultados habrán de tender a la mejora del SGSI, a la actualización de la valoración de los riesgos y el plan y a la puesta en marcha de cambios que puedan tener impacto en la seguridad, en las necesidades de recursos y en la mejora. Ajuste permanente del SGSI La ha de mejorar continuamente el sistema de seguridad mediante las acciones correctivas (que remedian las consecuencias) y preventivas (que actúan sobre las causas) correspondientes. Areas de especial interés La normativa enumera de forma detallada las áreas que han de cuidarse especialmente, indicando a) Objetivos que se pretende alcanzar en cada una de ellas b) Controles a implantar y sugerencias o guías para su puesta en marcha c) Otras consideraciones Dependiendo de los condicionantes legales, se consideran esenciales los controles relativos a: a) Protección y privacidad de los datos personales b) Protección de los registros organizativos c) Protección de los derechos de propiedad intelectual Y para conseguir ese propósito se emplean medios tales como: Documento de Políticas de Seguridad de la Información Asignación de responsabilidades en cuanto a la seguridad de la Sensibilización, educación y formación en temáticas referidas a la seguridad de la Procesamiento correcto de las aplicaciones Gestión de las vulnerabilidades tecnológicas Gestión de la continuidad del negocio Gestión de los incidentes de seguridad de la y de mejoras y acciones correctivas En los siguientes párrafos enumeramos los controles sugeridos por áreas, los requisitos derivados de su objetivo particular y lo que cada uno de ellos representa con respecto a la seguridad global de la. La normativa deja abierta la posibilidad de que cada dependiendo de sus objetivos particulares o de las características de su negocio ponga en marcha mecanismos particulares que tengan sentido y se alineen con el resto de medidas.

5 5 (5) Política de seguridad de la Políticas generales Proporcionar dirección gerencial y apoyo a la seguridad de la de forma acorde a los requerimientos comerciales y a las leyes y regulaciones relevantes Documentar la política de seguridad de la Revisión continua y puntual de la política de seguridad de la (6) Organización de la seguridad de la Organización interna Gestionar la seguridad de la dentro de la Entidades externas Mantener la seguridad de la y los medios de proceso a los que tienen acceso, procesan o son comunicados por entidades externas (7) Gestión de los activos Responsabilidad sobre los activos Conseguir y mantener la protección apropiada de los activos de la Clasificación de la Garantizar que la reciba un nivel de protección apropiado Compromiso de la dirección con la seguridad de la Coordinación de la seguridad de la Asignación de responsabilidades con respecto a la seguridad de la Proceso de autorización para los medios de proceso de la Acuerdos de confidencialidad Contacto con las autoridades Contacto con grupos de interés especial Revisión independiente de la seguridad de la Identificación de riesgos relacionados con entidades externas Tratamiento de la seguridad en relación a los clientes Tratamiento de la seguridad en contratos con terceros Inventario de activos Propiedad de los activos Uso aceptable de los activos Criterios de clasificación Etiquetado y manejo de la (8) Seguridad de los recursos humanos Previamente al desempeño Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades y sean adecuados para los roles considerados Durante el desempeño Asegurar que los empleados, contratistas y terceros conozcan las amenazas sobre los activos, sepan sus responsabilidades y apoyen la política de seguridad Terminación Asegurar la salida de forma ordenada de empleados, subcontratistas o terceros (9) Seguridad física y ambiental Áreas seguras Evitar el acceso no autorizado, daños o interferencias al local y a la de la Seguridad de los equipos Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la Definición de roles y responsabilidades Realización de los procesos de selección Existencia y aceptación de términos y condiciones del empleo con respecto a la seguridad Gestión de responsabilidades Capacitación y formación en seguridad de la Procesos disciplinarios Responsabilidades Devolución de los activos Eliminación de los derechos de acceso Existencia de un perímetro de seguridad física Existencia de controles de entrada físicos Seguridad de oficinas, locales y medios Protección frente a amenazas externas y ambientales Trabajo en áreas seguras Normativas de uso de áreas de acceso público, puntos de entrega y carga Ubicación y protección de los equipos Garantía de disponibilidad de los servicios públicos necesarios Seguridad en el cableado Políticas de actualización y mantenimiento de los equipos Seguridad de los equipos ubicados fuera del local Baja y/o reutilización de los equipos Cambios de propiedad de los equipos Ingelan 2013/02 ISO 27001

6 6 (10) Gestión de comunicaciones y operaciones Procedimientos y responsabilidades operacionales Asegurar la operación correcta y segura de los medios de proceso de la Documentación de los procedimientos de operación Metodología de gestión de los cambios Separación de responsabilidades Separación de los medios de desarrollo y productivos Gestión de la prestación del servicio por parte de terceros Mantener el nivel de seguridad adecuado en línea con los SLA Planificación y aceptación de los sistemas Minimizar el riesgo de errores Protección contra código malicioso Proteger la integridad del software y de la Respaldo Mantener la integridad y disponibilidad de los servicios Gestión de la seguridad de las redes Asegurar la protección de la en las redes y de la infraestructura de soporte Gestión de los medios Evitar la exposición, modificación, eliminación o destrucción no autorizada de los activos Intercambio de Mantener la seguridad en los intercambios dentro de la propia y con terceros Implementación, realización y mantenimiento por parte de los terceros de los niveles de seguridad requeridos por la Monitorización y revisión de los servicios prestados Procedimientos de cambios en los servicios prestados por terceros Gestión de la capacidad Procesos de aceptación Controles contra el software malicioso Controles contra códigos móviles Existencia y realización de copias de seguridad de los sistemas de forma acorde a los niveles de seguridad requeridos Existencia de medios de gestión y control de las redes Seguridad de los servicios de red, propios o prestados por terceros Gestión de los medios removibles Normativa de eliminación de medios Procedimientos de gestión de la Seguridad de la documentación del sistema Procedimientos y políticas de intercambio de y de software Existencia de acuerdos de intercambio Protección de los medios físicos de tránsito, de los mensajes electrónicos y de los sistemas comerciales Servicios de comercio electrónico Garantizar la seguridad de los servicios de ecommerce y su correcta utilización Monitorización Detectar actividades de acceso o proceso no autorizadas (11) Control de acceso Requisitos Controlar el acceso a la Gestión del acceso del usuario Evitar accesos no autorizados a los sistemas de Responsabilidades del usuario Evitar la exposición, robo y/o acceso no autorizado Control de acceso a redes Evitar accesos no autorizados a los recursos de red Control de acceso al sistema productivo Evitar el acceso no autorizado a los sistemas de producción Protección del comercio electrónico Protección de la de las transacciones online Protección de la de acceso público Registro de auditoría Uso del sistema de monitorización Protección de las informaciones de seguimiento Registros de la actividad del administrador y del operador Registro de incidencias Mecanismos de sincronización de los relojes Política de control de accesos Procedimientos de alta y baja de usuarios y derechos de acceso Gestión de privilegios Gestión de las palabras de paso Revisión periódica de los derechos de acceso Políticas de empleo de palabras de paso Políticas de seguridad de equipos desatendidos Normativas de puestos de trabajo despejados Política sobre el empleo de los servicios de red Autenticación de los usuarios para realizar conexiones externas Identificación del equipo en red Protección del puerto de diagnóstico remoto Segregación de las redes Control de conexión a las redes Control del encaminamiento en las redes Procedimientos de registro en el puesto de trabajo Mecanismos de identificación y autenticación Sistema de gestión de las palabras de paso Restricciones de uso de las utilidades del sistema Cierre de sesiones inactivas Limitación del tiempo de conexión Ingelan 2013/02 ISO 27001

7 Control de acceso (cont.) Equipos portátiles y teletrabajo Garantizar la seguridad cuando se empleen esos medios Políticas y normativas de uso de los equipos portátiles Políticas, planes y procedimientos para actividades de teletrabajo Control de acceso a las aplicaciones y a la Evitar accesos no autorizados a sistemas y datos Restricción de los accesos de los usuarios a los procesos e necesarios para el desempeño de su trabajo Aislamiento de sistemas que manejen sensible (12) Adquisición, desarrollo y mantenimiento de los sistemas de Requerimientos de seguridad de los sistemas Garantizar que la seguridad sea parte integral de los sistemas Proceso correcto de las aplicaciones Evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la por parte de las aplicaciones Controles criptográficos Proteger la confidencialidad, autenticidad e integridad de la por medio de procesos de cifrado Seguridad de los archivos del sistema Garantizar la seguridad de los archivos del sistema Análisis y especificaciones de los requerimientos de seguridad de los sistemas Validación de las fechas de entrada y de la Existencia de control interno en los procesos Requerimientos y medios de protección de los mensajes proporcionados por las aplicaciones Comprobación de fechas y datos de salida de los procesos Políticas de uso de controles criptográficos Gestión de las claves Control del software en operación Protección y control de los datos de prueba Control de acceso al código fuente de los programas Seguridad de los procesos de desarrollo y soporte Mantener la seguridad del software y datos de las aplicaciones Gestión de la vulnerabilidad técnica Reducir los riesgos derivados de la explotación de vulnerabilidades publicadas Procedimientos de control de cambios Revisiones técnicas de funcionamiento tras cambios en los sistemas operativos Medios para evitar filtraciones de Medios del control del software desarrollado externamente Control de vulnerabilidades técnicas Valoración de los niveles de exposición a los riesgos asociados y aplicación de las medidas correctivas adecuadas (13) Gestión de incidentes en la seguridad Identificación de incidentes en la seguridad de la Asegurar que la de estos eventos se comunique de forma que sea posible tomar acciones correctivas de forma oportuna Comunicación de los incidentes de seguridad a nivel interno y externo Existencia de medios y canales para la recopilación de las incidencias de seguridad Gestión de incidentes en la seguridad de la Garantizar que se aplique un enfoque consistente y efectivo a la gestión de la seguridad Asignación de responsabilidades y desarrollo de procedimientos de respuesta rápida, efectiva y ordenada Mecanismos de cuantificación y monitorización de tipos, afectación y coste de los incidentes de seguridad Recopilación de evidencias (14) Gestión de la continuidad comercial Aspectos de seguridad Contrarrestar la interrupción de la actividad y proteger los procesos críticos en caso de fallos o desastres (15) Cumplimiento legal y normativo Con requerimientos legales Cumplir la legislación, obligación reguladora o contractual y cualquier requisito de seguridad Con las políticas y estándares de seguridad Garantizar que se cumplen las normas de seguridad de la propia Consideraciones de auditoría Maximizar la efectividad y minimizar la interferencia de/desde auditoría Inclusión de la seguridad de la en el proceso de gestión de la continuidad comercial Evaluación de los riesgos Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la Mantenimiento de un único marco referencial para la continuidad Prueba, mantenimiento y actualización periódica de los planes de continuidad Identificación de la legislación aplicable Derechos de propiedad intelectual Protección de los registros y archivos de la Protección de datos y privacidad de la personal Prevención del mal uso de los medios de proceso Regulación de los controles criptográficos Aseguramiento de cumplimentación interna de las políticas y estándares de seguridad Comprobación del cumplimiento técnico Determinación de los controles de auditoría de los sistemas Protección de las herramientas de auditoría de los sistemas de 7 Ingelan 2013/02 ISO 27001

8 8 Ingelan Francesc Carbonell, Esc.A Ent Hacemos que las cosas ocurran Visite nuestra página Web: Síganos en: Otras normas y guías (existentes o planificadas) de la serie ISO ISO/IEC 27002: 2007: (Antes ISO 17799:2005). Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la. ISO/IEC 27003: Guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI. ISO/IEC 27004: Guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI ISO/IEC 27005: Proporciona directrices para la gestión del riesgo en la seguridad de la. ISO/IEC 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la. ISO/IEC 27007: Guía de auditoría de un SGSI. ISO/IEC TR 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. ISO/IEC 27010: Guía para la gestión de la seguridad de la compartida entre organizaciones ISO/IEC 27011: Guía de interpretación de la implementación y gestión de la seguridad de la en organizaciones del sector de telecomunicaciones ISO/IEC 27013: Guía de implementación integrada de ISO/IEC (gestión de seguridad de la ) y de ISO/IEC (gestión de servicios TI). ISO/IEC 27014: Guía de gobierno corporativo de la seguridad de la. ISO/IEC 27015: Guía de SGSI para organizaciones del sector financiero y de seguros. ISO/IEC TR 27016: Guía de valoración de los aspectos financieros de la seguridad de la. ISO/IEC 27017: Guía de seguridad para Cloud Computing. ISO/IEC 27031: Guía de apoyo para la adecuación de las TIC de una para la continuidad del negocio. ISO/IEC 27032: Guía relativa a la ciberseguridad. ISO/IEC Norma dedicada a la seguridad en redes en 7 partes ISO/IEC Dedicada la seguridad en aplicaciones informáticas, consistente en 5 partes ISO/IEC 27035: Guía sobre la gestión de incidentes de seguridad en la. ISO/IEC 27036: Guía en cuatro partes de seguridad en las relaciones con proveedores ISO/IEC 27037: Guía de identificación, recopilación y custodia de evidencias digitales. ISO/IEC 27038: Guía de especificación para seguridad en la redacción digital. ISO/IEC 27039: Guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión ISO/IEC 27040: Guía para la seguridad en medios de almacenamiento. ISO 27799: Proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC Información propietaria y confidencial de Ingelan Local Area Network Engineering

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

PCI-DSS Requisitos para su empleo en la nube

PCI-DSS Requisitos para su empleo en la nube 01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

Presión Positiva. Sistemas de gestión de calidad aplicables a los animalarios. Introducción. Magalí Neus. Ingecal

Presión Positiva. Sistemas de gestión de calidad aplicables a los animalarios. Introducción. Magalí Neus. Ingecal Magalí Neus Ingecal Introducción Presión Positiva Sistemas de gestión de calidad aplicables a los animalarios Uno de los sectores emergentes en cuanto a la implantación de sistemas de gestión de la calidad

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS) www.seguridadinformacion.com www.esquemanacionaldeseguridad.com ÍNDICE 1. INTRODUCCIÓN 3 2. GENERALIDADES 4 3. A QUIÉN APLICA 5 4. A QUIENES

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria: Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Nota de Información al cliente PRISM ISO 14001 Proceso de auditoría

Nota de Información al cliente PRISM ISO 14001 Proceso de auditoría Nota de Información al cliente PRISM ISO 14001 Proceso de auditoría La presente Nota de Información al Cliente explica el proceso de seis etapas para organizaciones que desean construir progresivamente

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

nombre de la empresa objeto del estudio DATADEC ONLINE nombre del proyecto Implantación integrada de normas

nombre de la empresa objeto del estudio DATADEC ONLINE nombre del proyecto Implantación integrada de normas nombre de la empresa objeto del estudio DATADEC ONLINE nombre del proyecto Implantación integrada de normas presidente o gerente de la empresa D. Vicente Serrano Ortiz localización Calle Tres Cruces, 84

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

Business Continuity Plan. Barcelona, febrero de 2008

Business Continuity Plan. Barcelona, febrero de 2008 . Barcelona, febrero de 2008 Porqué un? Una buena definición de la continuidad del negocio ayuda a identificar los productos y servicios clave y como gestionarlos. Una mala gestión de la continuidad del

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000 TCM ProactivaNET Cómo lograr una implementación exitosa de ITIL /ISO20000 Gestión de Servicios de TI ITIL e ISO/IEC 20000 TCM 2011 Qué es la Gestión de Servicios de TI? La Gestión del Servicio es un conjunto

Más detalles

LAS FAMILIA DE NORMAS ISO 30300 DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS

LAS FAMILIA DE NORMAS ISO 30300 DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS LAS FAMILIA DE NORMAS ISO 30300 DE SISTEMAS DE GESTIÓN PARA DOCUMENTOS RAMON ALBERCH i FUGUERAS MIEMBRO DEL COMITÉ TÉCNICO DE NORMALIZACIÓN DE AENOR (CTN50/SC1) DIRECTOR GENERAL DE LA ESCUELA SUPERIOR

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

ISO27002.es PATROCINADO POR:

ISO27002.es PATROCINADO POR: ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES 5. POLÍTICAS DE SEGURIDAD. 5.1 Directrices de la Dirección en seguridad de la información. 5.1.1 Conjunto de políticas para la seguridad

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN

MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN MODELOS DE GESTIÓN DE LA CALIDAD ORIENTADOS A LA CERTIFICACIÓN NORMAS ISO 9000 : 2000 (CALIDAD) NORMAS ISO 14000 : 1996 (MEDIOAMBIENTE) NORMA

Más detalles

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS COLEGIO LEONARDO DA VINCI SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS ACUERDO DE NIVEL DE SERVICIO HOJA DE CONTROL Colegio Leonardo Da Vinci Arica Unidad CTIC Titulo Servicio de Atención y Resolución

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

ISO 27001 Gestión de Seguridad de la Información. Versión 1

ISO 27001 Gestión de Seguridad de la Información. Versión 1 ISO 27001 Gestión de Seguridad de la Información Versión 1 1. Situación actual y perspectivas de la ISO 27001 1. Situación actual y perspectivas de la ISO 27001 2. Conceptos y Definiciones de Seguridad

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Norma ISO 14001: 2004

Norma ISO 14001: 2004 Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

ISO/IEC 20000 Tecnologías de Información y la Alineación con la Gestión

ISO/IEC 20000 Tecnologías de Información y la Alineación con la Gestión ISO/IEC 20000 Tecnologías de Información y la Alineación con la Gestión Alfredo Zayas 0 Alfredo Zayas 1. ISO/IEC 20000 Consultant por ITSMf 2. Auditor interno de ISO 9001:2000 por INLAC 3. Certified Information

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

Actualización de la Norma ISO 9001:2008

Actualización de la Norma ISO 9001:2008 Actualización de la Norma ISO 9001:2008 Porqué se actualiza la norma? Existe un ciclo para revisar las normas ISO para mantener las normas actualizadas. Se debe mantener la actualización con desarrollos

Más detalles

Proyecto 20000-PYME. Introducción al SGSTI (Sistema de Gestión de Servicios TI)

Proyecto 20000-PYME. Introducción al SGSTI (Sistema de Gestión de Servicios TI) Proyecto 20000-PYME Introducción al SGSTI (Sistema de Gestión de Servicios TI) Introducción TI en los procesos nucleares del negocio Necesidad de objetivar la calidad de TI Referencias en el mundo Metodologías

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109

SEGURIDAD INFORMÁTICA. Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Certificado de profesionalidad IFCT0109 SEGURIDAD INFORMÁTICA Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Código: IFCT0109 Nivel de cualificación

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles