ESCUELA POLITECNICA NACIONAL

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ESCUELA POLITECNICA NACIONAL"

Transcripción

1 1 de 19

2 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC para una adecuada administración de la información. Prologo ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) constituyen el sistema especializado para la normalización a nivel mundial. La Norma ISO/EIC ha sido elaborada por el subcomité SC 27 Técnicas de seguridad que forma parte del comité técnico conjunto ISO/EIC JTC 1 Tecnologías de la información. Introducción Esta norma internacional proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de este estándar es una decisión estratégica de la empresa para mejorar su sistema de seguridad. Esta decisión está basada en las necesidades y objetivos, requerimientos de seguridad, los procesos empleados y el tamaño y estructura de la organización. Este modelo debe ser revisado y modificado de acuerdo a la escalabilidad de la empresa. La implementación de este estándar en una empresa depende de la manera efectiva en que esta desea que se realice sus procesos de una manera efectiva. Los principales pilares en que se basa son: a) Entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información; b) Implementar y operar controles para manejar los riesgos de la seguridad de la información. c) Monitorear y revisar el desempeño y la efectividad del Sistema de Seguridad implementado. d) El mejoramiento continúo en base a la medición del objetivo propio de cada empresa. El modelo de gestión de seguridad toma como base los siguientes parámetros: Planear-Hacer-Chequear-Actuar 2 de 19

3 Este Estándar Internacional proporciona un modelo sólido para implementar los principios en aquellos lineamientos que gobiernan la evaluación del riesgo, diseño e implementación de seguridad, gestión y re-evaluación de la seguridad. Planificar (creación del SGSI) Establecer la política, objetivos, procesos y procedimientos del SGSI. Hacer (implementación y Implementar y operar la política, controles y operación del SGSI) procedimientos del SGSI. Verificar (supervisión y revisión del SGSI) Evaluar y, donde sea aplicable, medir el desempeño del proceso contra la política y práctica del SGSI. Actuar (mantenimiento y mejora del SGSI) Tomar acciones correctivas y preventivas, basadas en los resultados de la auditoría interna del SGSI. Compatibilidad con otros sistemas de gestión Este estándar se alinea con el ISO 9001:2000 e ISO 14001:2004 para dar soporte a una implementación y operación consistente e integrada con los estándares de gestión que existen y están implementados en la mayoría de empresas. 1 Objeto y campo de la aplicación 1.1 General Este Estándar Internacional especifica los requerimientos para la implementación de controles de seguridad personalizados para las necesidades de cada organización. El SGSI está diseñado de modo que permita realizar una selección adecuada de los controles de seguridad brindando seguridad y confianza a cada una de las partes. 1.2 Aplicación 3 de 19

4 Los requerimientos establecidos en este Estándar Internacional son genéricos y aplicables a cualquier tipo de empresa. No se debe excluir ninguno de los requerimientos especificados en las Cláusulas 4, 5, 6, y 8 una vez que la organización asegura su conformidad con este Estándar. Al realizar alguna exclusión, debe ser plenamente justificada y se debe proporcionar evidencia de que los riesgos asociados han sido aceptados por las personas responsables; o a su vez dichas exclusiones no deben afectar la capacidad y/o responsabilidad de la organización. 2 Normas para la consulta Para referencias fechadas, sólo se aplica la edición citada. Para referencias no fechadas, se aplica la última edición del documento citado. 3 Términos y definiciones Pto. Término Definición Norma ISO/IEC 3.1 Activo Cualquier cosa que tenga valor para la organización : Disponibilidad Propiedad de estar disponible y utilizable cuando lo :2004 requiera una entidad autorizada 3.3 Confidencialidad Que la información no sea divulgada a personas, entidades :2004 o procesos no-autorizados. 3.4 Preservación de la confidencialidad, integridad y Seguridad de disponibilidad de la información; además, de otras información propiedades como la autenticidad, responsabilidad, norepudio 17799:2005 y confiabilidad 3.5 Evento de Evento que indica una posible violación de la política de seguridad de la información seguridad de la información o situación que puede ser relevante para la seguridad. TR 18044: Incidente de seguridad de la información Eventos de seguridad pueden comprometer las operaciones o la seguridad de la información. TR 18044: Sistema de gestión de Parte del sistema gerencial general, desarrollada para seguridad de la información SGSI establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. 3.8 Integridad La propiedad de salvaguardar la exactitud e integridad de :2004 los activos. 3.9 Riesgo residual El riesgo remanente después del tratamiento del riesgo Guía 73: Aceptación de Decisión de aceptar el riesgo Guía 73:2002 riesgo 3.11 Análisis de riesgo Uso sistemático de la información para identificar fuentes y para estimar el riesgo Guía 73: Valuación del Proceso general de análisis del riesgo y evaluación del Guía 73:2002 riesgo riesgo 3.13 Evaluación del Proceso de comparar el riesgo estimado con el criterio de Guía 73: de 19

5 riesgo 3.14 Gestión del riesgo 3.15 Tratamiento del riesgo 3.16 Enunciado de aplicabilidad riesgo dado para determinar la Importancia del riesgo Actividades coordinadas para dirigir y controlar una organización con relación al riesgo Proceso de tratamiento de la selección e implementación de medidas para modificar el riesgo Enunciado documentado que describe los objetivos de control y los controles que son relevantes y aplicables al SGSI de la organización. Guía 73:2002 Guía 73:2002 Guía 73: Sistema de gestión de seguridad de la información La organización debe establecer, implementar, operar, monitorear, mantener y mejorar continuamente un SGSI para lograr esto los procesos utilizados se basan en el modelo PDCA (Planear-Hacer-Chequear-Actuar) 4.2 Establecer y manejar el SGSI Establecer el SGSI Para establecer un SGCI la organización debe hacer lo siguiente: a) Definir el alcance y los límites del SGSI en términos de las características del negocio (organización, ubicación, activos, tecnología) detallando y justificando su alcance. b) Definir una política SGSI en términos de las características del negocio, estas deben incluir: 1. Objetivos y principios para la acción con relación a la seguridad de la información 2. Requerimientos comerciales y legales o reguladores, y las obligaciones de la seguridad contractual 3. Debe estar alineada con el contexto de la gestión riesgo estratégico de la organización en la cual se dará el establecimiento y mantenimiento del SGSI 4. Debe establecer el criterio con el que se evaluará el riesgo y ser aprobado por la gerencia c) Definir el enfoque de valuación del riesgo de la organización: 1. Identificar una metodología de cálculo del riesgo adecuado para el SGSI y los requerimientos identificados de seguridad, legales y reguladores de la información comercial. 2. Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables 5 de 19

6 La metodología de estimación del riesgo seleccionada debe asegurar que los cálculos del riesgo produzcan resultados comparables y reproducibles. d) Identificar los riesgos. 1. Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos. 2. Identificar las amenazas para aquellos activos. 3. Identificar las vulnerabilidades que podrían ser explotadas por las amenazas. 4. Identificar los impactos que pueden tener las pérdidas de confiabilidad, integridad y disponibilidad sobre los activos. e) Analizar y evaluar el riesgo 1. Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad, tomando en cuenta las consecuencias de una pérdida de confidencialidad, integridad o disponibilidad de los activos. 2. Calcular la probabilidad realista de que ocurra dicha falla a la luz de las amenazas y vulnerabilidades prevalecientes, y los impactos asociados con estos activos, y los controles implementados actualmente. 3. Calcular los niveles de riesgo. 4. Determinar si el riesgo es aceptable o requiere tratamiento utilizando el criterio de aceptación del riesgo Implementación y operación el SGSI La organización debe formular un plan, implementarlo, controlarlo, medirlo, capacitar y mejorar mediante programas y manejar recursos del SGSI a demás se debe implementar procedimientos o controles para detectar y responder a incidentes de seguridad Supervisión y revisión el SGSI La organización debe ejecutar procedimientos de monitoreo y revisión, y otros controles para detectar oportunamente incidentes de seguridad y resultados de procesamiento así como sus delegados e indicadores. Por otra parte se debe realizar revisiones, mediciones y evaluaciones regulares de la efectividad del SGSI así como sus objetivos para llegar a tener un riesgo aceptable en la seguridad. También es necesario realizar auditorías SGSI internas bajo una revisión gerencial que busque la mejora continua y actualice los planes de seguridad incluyendo actividades de monitoreo y revisión. Registrar las acciones y eventos que podrían tener un impacto sobre la efectividad o desempeño del SGSI Mantenimiento y mejora del SGSI 6 de 19

7 La organización debe realizar cuando crea conveniente las mejoras identificadas en el SGSI. Para tomar las acciones correctivas-preventivas y comunicar clara y objetivamente los resultados y acciones a todas las partes interesadas con el fin de asegurar que las mejoras logren sus objetivos señalados. 4.3 Requisitos de la documentación Generalidades La documentación debe incluir las decisiones de la Dirección junto con los registros de las mismas, debiendo quedar constancia de que las acciones dan respuesta a las decisiones y a las políticas adoptadas Control de documentos Los documentos exigidos por el SGSI deben estar protegidos y controlados. Se debe establecer un procedimiento documentado para definir las acciones de gestión necesarias Control de registros Se deben crear y mantener registros para proporcionar evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Dichos registros deben estar protegidos y controlados. 5 Responsabilidad de la Dirección 5.1 Compromiso de la Dirección La Dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI. 5.2 Gestión de los recursos Provisión de los recursos La organización debe implementar y proporcionar los recursos para: a) Establecer, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI. b) Mejorar la eficacia del SGSI c) Asegurar que los procedimientos de seguridad de la información responden a los requisitos empresariales 7 de 19

8 d) Mantener la seguridad adecuada mediante la aplicación correcta de los controles implementados Concienciación, formación y capacitación La organización debe asegurarse de que todo el personal al que se le hayan asignado responsabilidades definidas en el SGSI sea competente para llevar a cabo las tareas requeridas. 6 Auditorías internas del SGSI La organización debe realizar auditorías internas SGSI a intervalos planeados para determinar si los objetivos de control, controles, procesos y procedimientos del SGSI cumplen con los requerimientos a) Estándar Internacional, legislación y regulaciones relevantes; b) Seguridad de la información identificados; c) se implementan y mantienen de manera efectiva; y d) se realizan conforme lo esperado. Se debe planear un programa de auditoría tomando en cuenta el status e importancia de los procesos y áreas a ser auditados, así como los resultados de auditorías. Se debe definir el criterio, alcance, frecuencia y métodos de auditoría. Los auditores y las auditorías deben asegurar la objetividad e imparcialidad del proceso. Los auditores no deben auditar su propio trabajo. Las responsabilidades y requerimientos para las auditorías, el reporte de resultados y mantenimiento de registros se deben ser documentados. 7 Revisión Gerencial del SGSI 7.1 General La gerencia debe revisar el SGSI de la organización (por lo menos una vez al año) para asegurarse de su idoneidad, conveniencia y efectividad. 7.2 Insumo de la revisión El insumo para la revisión gerencial debe incluir: a) resultados de auditorías y revisiones del SGSI; 8 de 19

9 b) retroalimentación de las partes interesadas; c) técnicas, productos o procedimientos, para mejorar el desempeño y efectividad del SGSI; d) status de acciones preventivas y correctivas; e) vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgo previa; f) resultados de mediciones de efectividad; g) acciones de seguimiento de las revisiones gerenciales previas; h) cualquier cambio que pudiera afectar el SGSI; y i) recomendaciones para el mejoramiento. 7.3 Resultado de la revisión Debe incluir cualquier decisión y acción relacionada con lo siguiente: a) mejoramiento de la efectividad del SGSI; b) actualización de la evaluación del riesgo y el plan de tratamiento del riesgo; c) modificación de procedimientos y controles que afectan la seguridad de la información, para responder a eventos internos o externos que pudieran tener impacto sobre el SGSI, incluyendo cambios en: 1. requerimientos comerciales; 2. requerimientos de seguridad; 3. procesos comerciales; 4. requerimientos reguladores o legales; 5. obligaciones contractuales; y 6. niveles de riesgo y/o criterio de aceptación del riesgo. d) necesidades de recursos; e) mejoramiento de la medición de efectividad de los controles 8.2 Acción correctiva La organización debe realizar las acciones para eliminar la causa de las noconformidades con los requerimientos del SGSI para evitar la recurrencia. La documentación para la acción correctiva debe definir los requerimientos para: 9 de 19

10 a) identificar las no-conformidades; b) determinar las causas de las no-conformidades; c) evaluar la necesidad de acciones para asegurar que las no-conformidades no vuelvan a ocurrir; d) determinar e implementar la acción correctiva necesaria; e) registrar los resultados de la acción tomada; y f) revisar la acción correctiva tomada. La acción para evitar las no-conformidades con frecuencia es más una acción efectiva en costo que la acción correctiva. 8.3 Acción preventiva La organización debe determinar la acción para eliminar la causa de las noconformidades de los requerimientos SGSI para evitar que ocurran. El procedimiento documentado para la acción preventiva debe definir los requerimientos para: a) identificar las no-conformidades potenciales y sus causas; b) evaluar la necesidad para la acción para evitar la ocurrencia de noconformidades; c) determinar e implementar la acción preventiva necesaria; d) registrar los resultados de la acción tomada; y e) revisar la acción preventiva tomada. La organización debe identificar los riesgos cambiados y los requerimientos de acción preventiva enfocando la atención sobre los riesgos cambiados significativamente. La prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del riesgo. Anexo A (Normativo) Objetivos de control y controles Los objetivos de control y los controles enumerados en la Tabla A.1 se derivan directamente de, y se alinean con, aquellos enumerados en BS ISO/IEC 17799:2005 Cláusulas del 5 al de 19

11 Tabla A.1 Objetivos de control y controles A.5 Política de seguridad A.5.1 Política de seguridad de información A Documentar política de seguridad de información. A Revisión de la política de seguridad de la información. A.6 Organización de la seguridad de la información A.6.1 Organización interna A Compromiso de la gerencia con la seguridad de la información A Coordinación de la seguridad de información A Asignación de responsabilidades de la seguridad de la información A Proceso de autorización para los medios de procesamiento de información A Acuerdos de confidencialidad A Contacto con autoridades A Contacto con grupos de interés especial A Revisión independiente de la seguridad de la información A.6.2 Terceros A Identificación de riesgos relacionados con entidades externas A Tratamiento de la seguridad cuando se trabaja con clientes A Tratamiento de la seguridad en contratos con terceras personas A.7 Gestión de activos A.7.1 Responsabilidad por los activos Objetivo: Lograr y mantener la protección apropiada de los activos organizacionales. A Inventarios de activos A Propiedad de los activos A Uso aceptable de los activos A.7.2 Clasificación de la información Objetivo: Asegurar que a información reciba un nivel de protección apropiado. A Lineamientos de clasificación A Etiquetado y manejo de la información A.8 Recursos Humanos de seguridad A.8.1 Prioridad a los empleados. Asegura que los empleados, contratistas y terceros usuarios entiendan sus responsabilidades, y sean susceptibles de considerar sus roles, y reducir riesgos de robo, fraude o uso indebido de las instalaciones. Entre los que hay: Funciones y responsabilidades, proyección, términos y condiciones de los empleados. A.8. 2 Durante el empleo Garantizar que todos los empleados, contratistas y terceros usuarios son conscientes de las amenazas de seguridad de la información y preocupaciones, sus 11 de 19

12 responsabilidades y obligaciones, y están equipados para apoyar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de la de error. Responsabilidades de gestión, concienciación sobre la seguridad de la información, la educación y la formación, proceso disciplinario. A.8.3 Terminación o cambio de empleo Garantizar que los empleados, contratistas y terceros usuarios de salida de una organización o cambien de empleo de una manera ordenada, responsabilidades de terminación, devolución de activos y eliminación de los derechos de acceso. A.9 Seguridad Física y ambiental A.9.1 Áreas segura Impedir el acceso físico no autorizado, daño e interferencia a los locales de la organización y la información. Perímetro de la seguridad física, controles de entrada física, asegurar oficinas; habitaciones e instalaciones, protección contra las amenazas externas y ambientales, trabajo en áreas seguras, acceso del público, la entrega y áreas de carga. A.9.2 Seguridad de equipos Prevenir la pérdida, daños, robo o comprometer los intereses e interrumpir las actividades de la organización. Se dictan recomendaciones para el manejo de posicionamiento y protección de equipo, utilidades de soporte, cableado de seguridad, mantenimiento de equipos, seguridad de equipos fuera del recinto, desecho seguro o rehúso de equipos o finalmente remoción de propiedades, respectivamente. A.10 Administración de comunicaciones y operaciones A.10.1 Procedimientos y responsabilidades de operación Asegurar correctas y seguras instalaciones de procesamiento y operación de información. Procedimientos de operación documentados, administración de cambios, división de responsabilidades y la separación de instalaciones de desarrollo, pruebas y operaciones. A.10.2 Administración de servicio de entrega de terceros Implementar y mantener un nivel apropiado de seguridad en la información y en el servicio de entrega en línea con terceros. 12 de 19

13 Servicio de entrega, monitoreo y revisión de servicios de terceros y la administración de cambios de terceros. A.10.3 Planeamiento y aceptación del sistema Reducir el riesgo de fallas en el sistema. Se trata sobre el manejo de capacidad y aceptación del sistema. A.10.4 Protección contra código malicioso y móvil Proteger la integridad del software y la información. Control contra código malicioso y control contra código móvil. A.10.5 Respaldos Mantener la integridad y disponibilidad de la información. Respaldo de la información. A.10.6 Administración de la seguridad de la red Asegurar la protección de la información en una red y la protección de las estructuras de soporte. Se trata sobre los controles en la red y sobre la seguridad de los servicios de la red. A.10.7 Manipulación de los soportes Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. A.10.8 Intercambio de información Mantener la seguridad de la información y del software intercambiado dentro de una organización y con un tercero. A.10.9 Servicios de comercio electrónico Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos. A Supervisión Detectar las actividades de procesamiento de la información no autorizadas A.11 Control de Accesos A.11.1 Requisitos de negocios para el control de acceso Controlar el acceso a la información. 13 de 19

14 A.11.2 Gestión de acceso de usuario. Asegurar el acceso de un usuario autorizado y prevenir el acceso no autorizado a los sistemas de información. A.11.3 Responsabilidades del usuario Prevenir el acceso de usuarios no autorizados, así como evitar el que se comprometa o se produzca el robo de la información o de los recursos de procesamiento de la información. A.11.4 Control de acceso a la red Prevenir el acceso no autorizado a los servicios en red. A.11.5 Control de acceso al sistema operativo Evitar acceso no autorizado a los sistemas operativos. Control de acceso mediante el registro de usuarios Los usuarios deben identificarse y autenticarse Las claves deben ser seguras e interactivas. Restringir el uso de programas. Las sesiones interactivas deben cerrarse después de un tiempo definido, y las conexiones deben durar un periodo de tiempo específico. A.11.6 Control de acceso a las aplicaciones e información Evitar el acceso no autorizado a la información mantenida en los sistemas de aplicación. Restricción al acceso a la información A.11.7 Computación móvil y tele-trabajo Asegurar la seguridad de la información cuando se utilice medios computación móvil y tele-trabajo. Establecer las medidas adecuadas para proteger la información cuando se usan de computación y comunicación móviles. Políticas en lo que se refiere a actividades de tele-trabajo. A.12 Adquisición, desarrollo y mantenimiento de los sistemas de información A.12.1 Requerimientos de seguridad de los sistemas La seguridad debe ser una parte importante de los sistemas de información, se debe tratar de mejorar los existentes de acuerdo a los requerimientos actuales. 14 de 19

15 A.12.2 Procesamiento correcto en las aplicaciones Evitar errores, pérdida, modificación no-autorizada o mal uso de la información en las aplicaciones. Chequeo y validación e identificación de requerimientos de las aplicaciones para validar el procesamiento de la información. A.12.3 Controles criptográficos Proteger la confidencialidad, autenticidad o integridad de la información a través de medios criptográficos. Se debe desarrollar e implementar una política sobre el uso de controles criptográficos para la protección de la información. Soporte de uso de técnicas criptográficas A.12.4 Seguridad de los archivos del sistema Garantizar la seguridad de los archivos del sistema Procedimientos para controlar operacionales. la instalación de software en los sistemas Restringir el acceso al código fuente del programa. A.12.5 Seguridad en los procesos de desarrollo y soporte Mantener la seguridad del software e información del sistema de aplicación Revisión técnica de las aplicaciones después de cambios en el sistema operativo Controlar los cambios en los paquetes de software Se deben evitar las oportunidades de filtraciones en la información. A.12.6 Seguridad en los procesos de desarrollo y soporte Tiene como objetivo mantener la seguridad del software e información del sistema de aplicación. La implementación de cambios deben ser controlados por procedimientos formales. Cuando se realizan cambios en el Sistema Operativo se debe revisar y probar las aplicaciones críticas para evitar que no exista un impacto en las operaciones de la 15 de 19

16 organización. Además se debe evitar las modificaciones en los paquetes de software, y realizar cambios que sean estrictamente necesarios y estos deben ser controlados. Se debe prevenir fugas de información. Este tipo de desarrollo debe ser supervisado y monitoreado por la organización. A.12.6 Gestión de la vulnerabilidad técnica Tiene como objetivo reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas. Se debe tener información oportuna de las vulnerabilidades técnicas de los sistemas de información que se encuentran en uso; evaluar la exposición a dichas vulnerabilidades y se debe tomar las medidas necesarias para tratar el riesgo. A.13 Gestión de incidentes en la seguridad de la información A.13.1 Reportes de eventos de la seguridad de la información y debilidades El objetivo de esto es que la información de los eventos y debilidades debe ser comunicada para tomar una acción correctiva oportuna. Los eventos de seguridad deben ser reportados por canales apropiados y lo más rápido posible. Se requiere que todos los usuarios de los sistemas y servicios de información reporten cualquier debilidad observada o sospechosa en la seguridad de los sistemas. A.13.2 Gestión de incidentes y mejoras en seguridad de la información El objetivo de esto es asegurar que se aplique un enfoque efectivo a la gestión de la seguridad de la información. Establecer responsabilidades y procedimientos para asegurar una respuesta rápida efectiva y ordenada a los incidentes de seguridad. Deben existir mecanismos para cuantificar y monitorear los tipos, volúmenes de los incidentes en la seguridad de la información. Cuando se ha producido un incidente y se ha llevado a cabo una acción de seguimiento contra el incidente y se haya involucrado una acción legal, se debe recolectar, mantener y presentar evidencia para cumplir las reglas en las jurisdicciones relevantes. A.14 Gestión de la continuidad comercial A.14.1 Aspectos de la seguridad de la información 16 de 19

17 El objetivo es contrarrestar las interrupciones de las actividades comerciales y proteger los procesos comerciales de los efectos de fallas o desastres, además se debe asegurar su reanudación oportuna. Se debe mantener un proceso para tratar los requerimientos de seguridad de la información necesarios para la continuidad comercial de la organización. Además se deben identificar los eventos que causan interrupciones en los procesos de la empresa, junto con la probabilidad, el impacto de las mismas y sus consecuencias. Es importante desarrollar e implementar planes para mantener o restaurar las operaciones y asegurar la disponibilidad de la información. Los planes de continuidad comercial se deben probar y actualizar regularmente, para que sean efectivos. A.15 Cumplimiento A.15.1 Cumplimiento con requerimientos legales Objetivo principal es evitar cualquier violación de ley, obligación reguladora o contractual y de cualquier requerimiento de seguridad. Se deben definir explícitamente, documentar y actualizar los requerimientos estatutarios, reguladores y el enfoque de la organización relevante para cada sistema de información. Además de implementar los procedimientos para asegurar el cumplimiento de los requerimientos legislativos, reguladores sobre el uso de material con respecto a los derechos de propiedad intelectual y sobre el uso de software patentados. Se necesita proteger los registros importantes de una organización de cualquier pérdida, destrucción, falsificación en concordancia con los requerimientos estatutarios, contractuales y comerciales. Por otro lado, se debe desanimar a los usuarios de utilizar medios de procesamiento de la información para propósitos no autorizados Cumplimiento con las políticas y estándares de seguridad, y el cumplimiento técnico Objetivo: Asegurar el cumplimiento de los sistemas con las políticas y estándares de seguridad organizacional. Los gerentes son los encargados de que los procedimientos, políticas y estándares de seguridad se cumplan Los sistemas de información deben chequearse regularmente Consideraciones de auditoría de los sistemas de información 17 de 19

18 Objetivo: Maximizar la efectividad de y minimizar la interferencia en el proceso de auditoría. Se debe planear cuidadosamente las auditorias acordando minimizar el riego de interrupciones en los procesos comerciales. Se debe proteger el acceso a las herramientas de auditoría para evitar cualquier mal uso. Anexo B (Informativo) Principios OECD y este Estándar Internacional Los principios dados en los Lineamientos OECD para la Seguridad de los Sistemas y Redes de Información se aplican a todas las políticas y niveles operacionales. Este Estándar proporciona un marco referencial del sistema de gestión de la seguridad de la información se describe alguno de los principios OECD son los siguientes. Principio OECD Conciencia Los participantes deben tener conocimiento de la necesidad de seguridad en los sistemas y redes de la información sistema y lo que pueden hacer para aumentar la seguridad. Responsabilidad Todos los participantes son responsables de la seguridad de los sistemas y redes de información. Respuesta Los participantes deben actuar de manera oportuna y cooperativa para evitar, detectar y responder a los incidentes de seguridad. Evaluación del riesgo Los participantes deben realizar evaluaciones de riesgo. Diseño e implementación de la seguridad Los participantes deben incorporar la seguridad como un elementos esencial de los sistemas y redes de información. Gestión de la seguridad 18 de 19

19 Los participantes deben adoptar un enfoque integral para la gestión de la seguridad. La gestión del riesgo es un proceso que incluye la prevención, detección y respuesta a los incidentes, mantenimiento continuo, revisión y auditoria. Reevaluación Los participantes deben revisar y reevaluar la seguridad de los sistemas y redes de información, y realizar las modificaciones apropiadas a las políticas, prácticas, medidas y procedimientos. Anexo C (Informativo) Correspondencia entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional Se muestra las principales diferencias entre ISO 9001:2000, ISO 14001:2004 y este Estándar Internacional Los tres estándares tienen una estructura muy similar los puntos en los que se encuentran pequeñas diferencias las cuales son la adición de los siguientes puntos: Responsabilidad de gestión Manejo de recursos 19 de 19

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Norma Internacional ISO 9001:2000

Norma Internacional ISO 9001:2000 Norma Internacional ISO 9001:2000 Esta norma ha sido traducida por el Grupo de Trabajo "Spanish Translation Task Group" del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que han

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003 2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC EC-15189- IMNC-2006 / ISO 15189:2003 4. REQUISITOS DE GESTIÓN 4.1 Organización y gestión 4.2 Sistema de gestión de la calidad 4.3 Control de los documentos

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

MANUAL DE CALIDAD ISO 9001:2008

MANUAL DE CALIDAD ISO 9001:2008 Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.

RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Plan de Continuidad de Operaciones

Plan de Continuidad de Operaciones Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma

Más detalles

Índice ISO 9001. Página

Índice ISO 9001. Página NORMA ISO 9001:2008 Índice Página 1 Objeto y campo de aplicación...2 1.1 Generalidades...2 1.2 Aplicación...2 2 Referencias normativas...2 3 Términos y definiciones...2 4 Sistema de gestión de la calidad...3

Más detalles

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO

Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO Control Interno CONTROL INTERNO Y SUS SISTEMAS A IMPLEMENTAR EN LAS UNIONES DE CREDITO CONTENIDO 1. ANTECEDENTES E INTRODUCCIÓN 2. OBJETIVOS 3. CARACTERISTICAS 4. ESTRUCTURA 5. ELEMENTOS DEL CONTROL INTERNO

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

PROYECTO DE NORMA TÉCNICA COLOMBIANA NTC-ISO 9001 (Cuarta actualización) DE 038/06

PROYECTO DE NORMA TÉCNICA COLOMBIANA NTC-ISO 9001 (Cuarta actualización) DE 038/06 PRÓLOGO ISO (la Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

NORMA ISO 9001:2008. Société Génerale de Surveillance SGS

NORMA ISO 9001:2008. Société Génerale de Surveillance SGS NORMA ISO 9001:2008 Société Génerale de Surveillance SGS Prohibida la reproducción por cualquier medio sin la autorización escrita por parte de la Dirección General. Member of the SGS Group (Société Générale

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

NORMA INTERNACIONAL Traducción certificada Certified translation Traduction certifiée

NORMA INTERNACIONAL Traducción certificada Certified translation Traduction certifiée NORMA INTERNACIONAL Traducción certificada Certified translation Traduction certifiée ISO 9001 2008-11-14 SISTEMAS DE GESTIÓN DE LA CALIDAD. REQUISITOS Quality management systems Requirements Systèmes

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García

Más detalles

Las Normas ISO 9000 del 2000

Las Normas ISO 9000 del 2000 Las Normas ISO 9000 del 2000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como

Más detalles

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL

COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO 1. 2. 3. 4. 5. Ambiente de Control. Evaluación de Riesgos. Actividades de Control

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

NORMA ISO 9001. Estos cinco apartados no siempre están definidos ni son claros en una empresa.

NORMA ISO 9001. Estos cinco apartados no siempre están definidos ni son claros en una empresa. NORMA ISO 9001 0. Concepto de Sistema de Gestión de la Calidad. Se define como el conjunto de normas interrelacionadas de una empresa u organización por los cuales se administra de forma ordenada la calidad

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles