ISO/IEC Normativa de seguridad IT. Hechos. Numero 2013/02

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02"

Transcripción

1 05/01/2013 Ingelan Numero 2013/02 ISO/IEC Normativa de seguridad IT ISO/IEC (Information technology Information Security Management Systems Requirements) es una normativa estándar focalizada en la seguridad de los Sistemas de Información cuya primera versión fué aprobada y publicada en octubre de 2005 por la International Organization for Standarization y por la International Electrotechnical Commision. La norma enumera y detalla los requisitos necesarios para diseñar, implantar, mantener y evolucionar un Sistema de Gestión de la Seguridad de la Información (SGSI) de forma que sea posible verificar de una manera objetiva que los riesgos están adecuadamente identificados y evaluados y que se dispone de los medios, procedimientos e instrumentos de gestión necesarios para minimizarlos. Es aplicable a cualquier tipo de, independientemente de su finalidad y tamaño y establece las bases para generar confianza en las transacciones que impliquen intercambio de informaciones en formato electrónico. El proceso que se propugna está basado en el enfoque de evolución continua (Ciclo de Deming) cuyas cuatro principales fases serían: Planificación: En el curso de la cual habrán de establecerse los objetivos generales y referidos a la seguridad de los activos de la, identificar y valorar los riesgos a los que se está expuesto, definir las políticas, procesos y procedimientos de seguridad aplicables y estructurarlo en un SGSI consensuado por toda la y refrendado y respaldado por la alta dirección. Operación: Puesta en marcha y gestión diaria de los sistemas de con las medidas y procedimientos definidos en el plan Hechos ISO/IEC se alinea con ISO 9001:2000 e ISO 14001:2004 para dar soporte a una implantación acorde con los estándares y normativas internacionales de calidad y gestión ambiental En el Anexo A de la norma se describen con todo detalle los objetivos de Control y Controles a emplear para una correcta implantación del estándar. A finales del año 2010, únicamente 711 compañías españolas (un 0,02% de las registradas) habían obtenido la certificación correspondiente.

2 2 Evaluación: Medición continua y objetiva (mediante parámetros) y periódica (con auditorías) de la aplicación de los procesos, de la evolución de los riesgos, de los resultados de la práctica del SGSI y de la alineación de éstos con los objetivos empresariales. Evolución: Adopción de los medios y de las acciones preventivas y correctivas que tiendan a solventar los problemas o defases identificados en la fase de evaluación. El resultado ha de ser un sistema permanentemente actualizado y certificable por una entidad externa que pueda - en cualquier momento medir su grado de implantación real y su nivel de eficacia. Fase 1: Diseño del SGSI (Sistema de Gestión de la Seguridad de la Información) Como primer requisito en la adopción de ISO 27001, la ha de diseñar su Sistema de Gestión de la Seguridad de la Información (SGSI). En este documento, que habrá de ser compartido por toda la estructura y acorde a las políticas gerenciales, deberán especificarse (como mínimo): La implantación de ISO/IEC en una puede durar dependiendo del tamaño, el alcance y su grado de madurez entre 6 y 12 meses. Más Hechos El 11,6% de las compañías participantes en una encuesta realizada por INTECO en Setiembre de 2012 manifestaron disponer de certificación ISO Un 1,7% adicional afirmó estar en proceso de obtenerla. El alcance del sistema de seguridad, atendiendo a las características del negocio, el tamaño, la ubicación, los activos, la tecnología empleada y las especificidades de la. Las políticas de seguridad que sean de aplicación y los objetivos que se persiguen como consecuencia de la legislación aplicable, de las normas y requisitos del sector, de los compromisos contractuales adquiridos y del contexto referencial El enfoque de valoración de los riesgos, su identificación, la amenaza que suponen, su impacto y los criterios de aceptabilidad que hayan de servir para considerarlos u obviarlos, aceptando o transfiriendo a terceros las consecuencias de su aparición. Los métodos y medios de medición y control que hayan de establecerse para tratar los riesgos identificados y los procedimientos y actuaciones a aplicar en cada caso. Fase 2: Implantación y operación del SGSI En el curso de este proceso se deberá: Poner en marcha el plan desarrollado de forma que se puedan alcanzar los objetivos de control establecidos. Asignar los roles y responsabilidades que sean adecuados para tratar los riesgos en el marco de los procedimientos diseñados. Implantar los medios de evaluación previstos para establecer la efectividad real de los medios diseñados Capacitar y formar adecuadamente a quienes estén comprometidos en la obtención de los resultados. Atender a la operación diaria del sistema y gestionar los recursos de todo tipo necesarios para atenderlo Estructurar y atender a la respuesta de controles que permitan una pronta detección y respuesta a incidentes de seguridad

3 3 Aspectos a considerar Fase 3: Monitorización del SGSI Paralelamente, se deberán poner los medios necesarios para: Propiciar la detección temprana de violaciones de la seguridad y errores en la aplicación de los procesos, para estimar tanto la adecuación de los medios para conseguir los objetivos propuestos, como la efectividad de los procesos diseñados. Objetivar de forma sistemática los indicadores previstos y establecer su evolución para cuantificar las mejoras que se vayan consiguiendo. Valorar, simultáneamente, la efectividad de los indicadores para asegurar que estén proporcionando una visión real y objetiva de la situación. Registrar las acciones y eventos que puedan tener impacto sobre la operativa del sistema de seguridad de la Realizar revisiones regulares de la efectividad del sistema, teniendo en cuenta las auditorías de seguridad, los incidentes, la evolución de los indicadores, las sugerencias y la retroalimentación obtenida de las partes interesadas. Reevaluar los riesgos y su nivel de aceptabilidad, el impacto de nuevas amenazas, los cambios en la legislación y/o en la normativa, en la entidad de los activos implicados, en cuanto a los cambios en el entorno social o contractual o en las finalidades y políticas empresariales que hayan de considerarse. Revisar y actualizar los planes incorporando a los mismos de forma consensuada y con el respaldo de la alta dirección de los cambios y mejoras que tiendan a corregir las deficiencias o lagunas detectadas. Fase 4: Mejora continua del SGSI Por último y de forma regular, será necesario: Implementar las mejoras en el SGSI identificadas como consecuencia de la monitorización Reorganizar los procesos y procedimientos de trabajo, reasignar las responsabilidades y reestructurar los procedimientos de control si ello es necesario para optimizar el sistema Comunicar los cambios a todas las partes interesadas, formar a los implicados en los nuevos medios de gestión y asegurar que estas mejoras consigan los resultados que pretendan Disponer de una certificación ISO/IEC 27001: Demuestra una garantía de seguridad objetiva Garantiza que se cumplen la legislación, las normativas y los requisitos contractuales Verifica que los riesgos de la están correctamente identificados y evaluados Demuestra el compromiso gerencial y corporativo con la seguridad Normativa aplicable ISO 9001:200 Sistemas de Gestión de la Calidad Requerimientos ISO/IEC :2004 Tecnología de la Información Técnicas de Seguridad Gestión de la Seguridad en Tecnología de la Información y Comunicaciones ISO/IEC TR 18044:2004 Gestión de Incidentes en la Seguridad de la Información Métricas ITIL (basadas en KPIs) para la Gestión de Incidentes y de Problemas NIST SP : National Institute of Standards and Technology Risk Management Guide for Information Technology Systems

4 4 Documentación Es exigible que la documentación consecuencia del diseño, puesta en marcha y operación del SGSI registre la evolución habida, las decisiones que se tomaron en cada momento y sus cambios, junto con las razones que llevaron a adoptarlos. Debe estar, además, controlada y protegida. Y han de existir procedimientos de aprobación, revisión, actualización y control de los cambios. Ha de estar disponible y actualizada a la última versión en los puntos en que haya de emplearse y al alcance en condiciones adecuadas de las personas que la precisen. Registros Hay que establecer, mantener y proteger registros que evidencien la conformidad de la actuación diaria con la procedimentación diseñada, documentando e implantando los controles para su identificación, almacenamiento, protección, retención, recuperación y disponibilidad. De la misma forma, habrá de disponerse de medios que registren las incidencias de seguridad significativas relacionadas con el SGSI. Recursos La ha de determinar y suministrar los recursos capacitados y cualificados de todo tipo necesarios para implementar, operar, monitorizar, revisar y mejorar el SGSI según el procedimiento reseñado. Se debe asegurar que los procedimientos responden en cada momento a los requerimientos legales, contractuales y de mercado y se alinean con los objetivos empresariales Auditorías Deben realizarse obligatoriamente y sujetas a criterios, alcance, frecuencia y método auditorías internas de los SGSI para determinar si se cumplen los objetivos de control, procesos y procedimientos previstos y si las tareas se ejecutan de forma efectiva. Sus resultados han de identificar las no conformidades, aislar las causas que los provocan y establecer planes para corregirlas de forma tal que se asegure que esas medidas se adoptan de forma efectiva. Revisión del SGSI La gerencia ha de revisar el SGSI a intervalos planificados para verificar su idoneidad, conveniencia y efectividad. Para hacerlo ha de basarse en los resultados de las auditorías y revisiones que se hayan realizado, en el feedback recibido y en los registros y mediciones de efectividad. Los resultados habrán de tender a la mejora del SGSI, a la actualización de la valoración de los riesgos y el plan y a la puesta en marcha de cambios que puedan tener impacto en la seguridad, en las necesidades de recursos y en la mejora. Ajuste permanente del SGSI La ha de mejorar continuamente el sistema de seguridad mediante las acciones correctivas (que remedian las consecuencias) y preventivas (que actúan sobre las causas) correspondientes. Areas de especial interés La normativa enumera de forma detallada las áreas que han de cuidarse especialmente, indicando a) Objetivos que se pretende alcanzar en cada una de ellas b) Controles a implantar y sugerencias o guías para su puesta en marcha c) Otras consideraciones Dependiendo de los condicionantes legales, se consideran esenciales los controles relativos a: a) Protección y privacidad de los datos personales b) Protección de los registros organizativos c) Protección de los derechos de propiedad intelectual Y para conseguir ese propósito se emplean medios tales como: Documento de Políticas de Seguridad de la Información Asignación de responsabilidades en cuanto a la seguridad de la Sensibilización, educación y formación en temáticas referidas a la seguridad de la Procesamiento correcto de las aplicaciones Gestión de las vulnerabilidades tecnológicas Gestión de la continuidad del negocio Gestión de los incidentes de seguridad de la y de mejoras y acciones correctivas En los siguientes párrafos enumeramos los controles sugeridos por áreas, los requisitos derivados de su objetivo particular y lo que cada uno de ellos representa con respecto a la seguridad global de la. La normativa deja abierta la posibilidad de que cada dependiendo de sus objetivos particulares o de las características de su negocio ponga en marcha mecanismos particulares que tengan sentido y se alineen con el resto de medidas.

5 5 (5) Política de seguridad de la Políticas generales Proporcionar dirección gerencial y apoyo a la seguridad de la de forma acorde a los requerimientos comerciales y a las leyes y regulaciones relevantes Documentar la política de seguridad de la Revisión continua y puntual de la política de seguridad de la (6) Organización de la seguridad de la Organización interna Gestionar la seguridad de la dentro de la Entidades externas Mantener la seguridad de la y los medios de proceso a los que tienen acceso, procesan o son comunicados por entidades externas (7) Gestión de los activos Responsabilidad sobre los activos Conseguir y mantener la protección apropiada de los activos de la Clasificación de la Garantizar que la reciba un nivel de protección apropiado Compromiso de la dirección con la seguridad de la Coordinación de la seguridad de la Asignación de responsabilidades con respecto a la seguridad de la Proceso de autorización para los medios de proceso de la Acuerdos de confidencialidad Contacto con las autoridades Contacto con grupos de interés especial Revisión independiente de la seguridad de la Identificación de riesgos relacionados con entidades externas Tratamiento de la seguridad en relación a los clientes Tratamiento de la seguridad en contratos con terceros Inventario de activos Propiedad de los activos Uso aceptable de los activos Criterios de clasificación Etiquetado y manejo de la (8) Seguridad de los recursos humanos Previamente al desempeño Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades y sean adecuados para los roles considerados Durante el desempeño Asegurar que los empleados, contratistas y terceros conozcan las amenazas sobre los activos, sepan sus responsabilidades y apoyen la política de seguridad Terminación Asegurar la salida de forma ordenada de empleados, subcontratistas o terceros (9) Seguridad física y ambiental Áreas seguras Evitar el acceso no autorizado, daños o interferencias al local y a la de la Seguridad de los equipos Evitar la pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la Definición de roles y responsabilidades Realización de los procesos de selección Existencia y aceptación de términos y condiciones del empleo con respecto a la seguridad Gestión de responsabilidades Capacitación y formación en seguridad de la Procesos disciplinarios Responsabilidades Devolución de los activos Eliminación de los derechos de acceso Existencia de un perímetro de seguridad física Existencia de controles de entrada físicos Seguridad de oficinas, locales y medios Protección frente a amenazas externas y ambientales Trabajo en áreas seguras Normativas de uso de áreas de acceso público, puntos de entrega y carga Ubicación y protección de los equipos Garantía de disponibilidad de los servicios públicos necesarios Seguridad en el cableado Políticas de actualización y mantenimiento de los equipos Seguridad de los equipos ubicados fuera del local Baja y/o reutilización de los equipos Cambios de propiedad de los equipos Ingelan 2013/02 ISO 27001

6 6 (10) Gestión de comunicaciones y operaciones Procedimientos y responsabilidades operacionales Asegurar la operación correcta y segura de los medios de proceso de la Documentación de los procedimientos de operación Metodología de gestión de los cambios Separación de responsabilidades Separación de los medios de desarrollo y productivos Gestión de la prestación del servicio por parte de terceros Mantener el nivel de seguridad adecuado en línea con los SLA Planificación y aceptación de los sistemas Minimizar el riesgo de errores Protección contra código malicioso Proteger la integridad del software y de la Respaldo Mantener la integridad y disponibilidad de los servicios Gestión de la seguridad de las redes Asegurar la protección de la en las redes y de la infraestructura de soporte Gestión de los medios Evitar la exposición, modificación, eliminación o destrucción no autorizada de los activos Intercambio de Mantener la seguridad en los intercambios dentro de la propia y con terceros Implementación, realización y mantenimiento por parte de los terceros de los niveles de seguridad requeridos por la Monitorización y revisión de los servicios prestados Procedimientos de cambios en los servicios prestados por terceros Gestión de la capacidad Procesos de aceptación Controles contra el software malicioso Controles contra códigos móviles Existencia y realización de copias de seguridad de los sistemas de forma acorde a los niveles de seguridad requeridos Existencia de medios de gestión y control de las redes Seguridad de los servicios de red, propios o prestados por terceros Gestión de los medios removibles Normativa de eliminación de medios Procedimientos de gestión de la Seguridad de la documentación del sistema Procedimientos y políticas de intercambio de y de software Existencia de acuerdos de intercambio Protección de los medios físicos de tránsito, de los mensajes electrónicos y de los sistemas comerciales Servicios de comercio electrónico Garantizar la seguridad de los servicios de ecommerce y su correcta utilización Monitorización Detectar actividades de acceso o proceso no autorizadas (11) Control de acceso Requisitos Controlar el acceso a la Gestión del acceso del usuario Evitar accesos no autorizados a los sistemas de Responsabilidades del usuario Evitar la exposición, robo y/o acceso no autorizado Control de acceso a redes Evitar accesos no autorizados a los recursos de red Control de acceso al sistema productivo Evitar el acceso no autorizado a los sistemas de producción Protección del comercio electrónico Protección de la de las transacciones online Protección de la de acceso público Registro de auditoría Uso del sistema de monitorización Protección de las informaciones de seguimiento Registros de la actividad del administrador y del operador Registro de incidencias Mecanismos de sincronización de los relojes Política de control de accesos Procedimientos de alta y baja de usuarios y derechos de acceso Gestión de privilegios Gestión de las palabras de paso Revisión periódica de los derechos de acceso Políticas de empleo de palabras de paso Políticas de seguridad de equipos desatendidos Normativas de puestos de trabajo despejados Política sobre el empleo de los servicios de red Autenticación de los usuarios para realizar conexiones externas Identificación del equipo en red Protección del puerto de diagnóstico remoto Segregación de las redes Control de conexión a las redes Control del encaminamiento en las redes Procedimientos de registro en el puesto de trabajo Mecanismos de identificación y autenticación Sistema de gestión de las palabras de paso Restricciones de uso de las utilidades del sistema Cierre de sesiones inactivas Limitación del tiempo de conexión Ingelan 2013/02 ISO 27001

7 Control de acceso (cont.) Equipos portátiles y teletrabajo Garantizar la seguridad cuando se empleen esos medios Políticas y normativas de uso de los equipos portátiles Políticas, planes y procedimientos para actividades de teletrabajo Control de acceso a las aplicaciones y a la Evitar accesos no autorizados a sistemas y datos Restricción de los accesos de los usuarios a los procesos e necesarios para el desempeño de su trabajo Aislamiento de sistemas que manejen sensible (12) Adquisición, desarrollo y mantenimiento de los sistemas de Requerimientos de seguridad de los sistemas Garantizar que la seguridad sea parte integral de los sistemas Proceso correcto de las aplicaciones Evitar errores, pérdidas, modificaciones no autorizadas o mal uso de la por parte de las aplicaciones Controles criptográficos Proteger la confidencialidad, autenticidad e integridad de la por medio de procesos de cifrado Seguridad de los archivos del sistema Garantizar la seguridad de los archivos del sistema Análisis y especificaciones de los requerimientos de seguridad de los sistemas Validación de las fechas de entrada y de la Existencia de control interno en los procesos Requerimientos y medios de protección de los mensajes proporcionados por las aplicaciones Comprobación de fechas y datos de salida de los procesos Políticas de uso de controles criptográficos Gestión de las claves Control del software en operación Protección y control de los datos de prueba Control de acceso al código fuente de los programas Seguridad de los procesos de desarrollo y soporte Mantener la seguridad del software y datos de las aplicaciones Gestión de la vulnerabilidad técnica Reducir los riesgos derivados de la explotación de vulnerabilidades publicadas Procedimientos de control de cambios Revisiones técnicas de funcionamiento tras cambios en los sistemas operativos Medios para evitar filtraciones de Medios del control del software desarrollado externamente Control de vulnerabilidades técnicas Valoración de los niveles de exposición a los riesgos asociados y aplicación de las medidas correctivas adecuadas (13) Gestión de incidentes en la seguridad Identificación de incidentes en la seguridad de la Asegurar que la de estos eventos se comunique de forma que sea posible tomar acciones correctivas de forma oportuna Comunicación de los incidentes de seguridad a nivel interno y externo Existencia de medios y canales para la recopilación de las incidencias de seguridad Gestión de incidentes en la seguridad de la Garantizar que se aplique un enfoque consistente y efectivo a la gestión de la seguridad Asignación de responsabilidades y desarrollo de procedimientos de respuesta rápida, efectiva y ordenada Mecanismos de cuantificación y monitorización de tipos, afectación y coste de los incidentes de seguridad Recopilación de evidencias (14) Gestión de la continuidad comercial Aspectos de seguridad Contrarrestar la interrupción de la actividad y proteger los procesos críticos en caso de fallos o desastres (15) Cumplimiento legal y normativo Con requerimientos legales Cumplir la legislación, obligación reguladora o contractual y cualquier requisito de seguridad Con las políticas y estándares de seguridad Garantizar que se cumplen las normas de seguridad de la propia Consideraciones de auditoría Maximizar la efectividad y minimizar la interferencia de/desde auditoría Inclusión de la seguridad de la en el proceso de gestión de la continuidad comercial Evaluación de los riesgos Desarrollo e implantación de planes de continuidad que incluyan la seguridad de la Mantenimiento de un único marco referencial para la continuidad Prueba, mantenimiento y actualización periódica de los planes de continuidad Identificación de la legislación aplicable Derechos de propiedad intelectual Protección de los registros y archivos de la Protección de datos y privacidad de la personal Prevención del mal uso de los medios de proceso Regulación de los controles criptográficos Aseguramiento de cumplimentación interna de las políticas y estándares de seguridad Comprobación del cumplimiento técnico Determinación de los controles de auditoría de los sistemas Protección de las herramientas de auditoría de los sistemas de 7 Ingelan 2013/02 ISO 27001

8 8 Ingelan Francesc Carbonell, Esc.A Ent Hacemos que las cosas ocurran Visite nuestra página Web: Síganos en: Otras normas y guías (existentes o planificadas) de la serie ISO ISO/IEC 27002: 2007: (Antes ISO 17799:2005). Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la. ISO/IEC 27003: Guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI. ISO/IEC 27004: Guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI ISO/IEC 27005: Proporciona directrices para la gestión del riesgo en la seguridad de la. ISO/IEC 27006: Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la. ISO/IEC 27007: Guía de auditoría de un SGSI. ISO/IEC TR 27008: Guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. ISO/IEC 27010: Guía para la gestión de la seguridad de la compartida entre organizaciones ISO/IEC 27011: Guía de interpretación de la implementación y gestión de la seguridad de la en organizaciones del sector de telecomunicaciones ISO/IEC 27013: Guía de implementación integrada de ISO/IEC (gestión de seguridad de la ) y de ISO/IEC (gestión de servicios TI). ISO/IEC 27014: Guía de gobierno corporativo de la seguridad de la. ISO/IEC 27015: Guía de SGSI para organizaciones del sector financiero y de seguros. ISO/IEC TR 27016: Guía de valoración de los aspectos financieros de la seguridad de la. ISO/IEC 27017: Guía de seguridad para Cloud Computing. ISO/IEC 27031: Guía de apoyo para la adecuación de las TIC de una para la continuidad del negocio. ISO/IEC 27032: Guía relativa a la ciberseguridad. ISO/IEC Norma dedicada a la seguridad en redes en 7 partes ISO/IEC Dedicada la seguridad en aplicaciones informáticas, consistente en 5 partes ISO/IEC 27035: Guía sobre la gestión de incidentes de seguridad en la. ISO/IEC 27036: Guía en cuatro partes de seguridad en las relaciones con proveedores ISO/IEC 27037: Guía de identificación, recopilación y custodia de evidencias digitales. ISO/IEC 27038: Guía de especificación para seguridad en la redacción digital. ISO/IEC 27039: Guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión ISO/IEC 27040: Guía para la seguridad en medios de almacenamiento. ISO 27799: Proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC Información propietaria y confidencial de Ingelan Local Area Network Engineering

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS) www.seguridadinformacion.com www.esquemanacionaldeseguridad.com ÍNDICE 1. INTRODUCCIÓN 3 2. GENERALIDADES 4 3. A QUIÉN APLICA 5 4. A QUIENES

Más detalles

PCI-DSS Requisitos para su empleo en la nube

PCI-DSS Requisitos para su empleo en la nube 01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

ITIL V3 Por dónde empezar?

ITIL V3 Por dónde empezar? ITIL V3 Por dónde empezar? Autor: Norberto Figuerola Introducción La gestión de servicios de TI (ITSM) suministra los servicios que necesita una empresa para cumplir sus objetivos de negocio. ITSM respalda

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Diseño de un Marco de Referencia para regular el uso de BYOD en organizaciones bajo el estándar ISO 27002 PROYECTO DE GRADO

Diseño de un Marco de Referencia para regular el uso de BYOD en organizaciones bajo el estándar ISO 27002 PROYECTO DE GRADO Diseño de un Marco de Referencia para regular el uso de BYOD en organizaciones bajo el estándar ISO 27002 PROYECTO DE GRADO Robin Alexander López Camacho Ramiro López Obando Asesor Juan Manuel Madrid Molina

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

ISO27002.es PATROCINADO POR:

ISO27002.es PATROCINADO POR: ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES 5. POLÍTICAS DE SEGURIDAD. 5.1 Directrices de la Dirección en seguridad de la información. 5.1.1 Conjunto de políticas para la seguridad

Más detalles

Presión Positiva. Sistemas de gestión de calidad aplicables a los animalarios. Introducción. Magalí Neus. Ingecal

Presión Positiva. Sistemas de gestión de calidad aplicables a los animalarios. Introducción. Magalí Neus. Ingecal Magalí Neus Ingecal Introducción Presión Positiva Sistemas de gestión de calidad aplicables a los animalarios Uno de los sectores emergentes en cuanto a la implantación de sistemas de gestión de la calidad

Más detalles

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

www.hederaconsultores.com // hedera@hederaconsultores.com http://hederaconsultores.blogspot.com

www.hederaconsultores.com // hedera@hederaconsultores.com http://hederaconsultores.blogspot.com CUESTIONARIO AUDITORÍA INTERNA ISO 9001:2008 Página 1 de 19 4. SISTEMA DE GESTIÓN DE LA CALIDAD 4.1 Requisitos generales Se encuentran identificados los procesos del sistema? Se identifican y controlan

Más detalles

Almacenamiento en la Nube: Seguridad

Almacenamiento en la Nube: Seguridad white paper Almacenamiento en la Nube: Seguridad Cómo proteger los datos almacenados en cloud computing Almacenamiento en la nube: Seguridad 1 Cloud computing es una alternativa real, flexible y escalable

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial) Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (Online) (Titulación Oficial) Titulación certificada por EUROINNOVA BUSINESS SCHOOL Perito

Más detalles

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 55 Miércoles 5 de marzo de 2014 Sec. III. Pág. 21241 III. OTRAS DISPOSICIONES MINISTERIO DE SANIDAD, SERVICIOS SOCIALES E IGUALDAD 2378 Orden SSI/321/2014, de 26 de febrero, por la que se aprueba

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

CUESTIONARIO AUDITORIAS ISO 9001 2

CUESTIONARIO AUDITORIAS ISO 9001 2 CUESTIONARIO AUDITORIAS ISO 9001 Ignacio Gómez hederaconsultores.blogspot.com CUESTIONARIO AUDITORIAS ISO 9001 2 4. SISTEMA DE GESTIÓN DE LA CALIDAD 4.1 Requisitos generales Se encuentran identificados

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria: Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad

Más detalles

Orientación Técnica y Metodológicas Compromisos de Gestión

Orientación Técnica y Metodológicas Compromisos de Gestión Orientación Técnica y Metodológicas Compromisos de Gestión 2014 La finalidad de este documento es dar a conocer los principales aspectos técnicos y las directrices a través de los cuáles será evaluado

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005

Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR. CISA, CISM Marzo-2005 Certificación del Sistema de Gestión de la Seguridad de los SI. Carlos Manuel Fdez. AENOR CISA, CISM Marzo-2005 Indice Quién es AENOR. Por qué el Certificado SGSI? Una aproximación al Certificado SGSI.

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM

PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM Eduardo Álvarez, Raúl Blanco, Evelyn Familia y Marta Hernández. Pertenece el sector de la TI Es una de las cinco mayores compañías

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Máster en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001

Máster en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Máster en Gestión Integrada en el Sector Sanitario: ISO 9001, ISO 13485, ISO 14001 e ISO 27001 Titulación certificada por EUROINNOVA BUSINESS SCHOOL Máster en Gestión Integrada en el Sector Sanitario:

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles