Estrategia para la protección de datos. Viviana Romo Subdirectora Auditoría TI, Scotiabank AGENDA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Estrategia para la protección de datos. Viviana Romo Subdirectora Auditoría TI, Scotiabank AGENDA"

Transcripción

1 Estrategia para la protección de datos Viviana Romo Subdirectora Auditoría TI, Scotiabank AGENDA Planeación de la estrategia de protección de datos. Implementación y operación de la estrategia de protección de datos. Monitoreo de la estrategia protección de datos. Mejora continua. 1

2 POR DÓNDE EMPEZAR? Se debe establecer un sistema de gestión de la seguridad de los datos, para que la organización: Conozca los riesgos a los que están expuestos los datos Tome decisiones Actualice constantemente los riesgos Plan Act Do Check SISTEMA DE GESTIÓN DE DATOS Establecer los objetivos y el alcance de la gestión de datos Elaborar una política de gestión de datos Establecer los roles y responsabilidades Elaborar un inventario de datos Analizar los riesgos a los que están sujetos los datos Realizar el análisis de brecha Implementación de medidas de seguridad Monitoreo de la estrategia de protección de datos Mejora continua y capacitación 2

3 PASO 1: ESTABLECER EL OBJETIVO Y ALCANCE DE LA GESTIÓN DE DATOS Alcance Protección de los datos y su tratamiento legítimo, controlado e informado. Objetivo Proveer un marco de trabajo para el tratamiento de datos, que permita mantener el cumplimiento con la legislación aplicable y fomentar las buenas prácticas. PASO 2: DEFINIR UNA POLÍTICA DE GESTIÓN DE DATOS Es el compromiso formal documentado de la Alta Gerencia hacia el tratamiento adecuado de datos en la organización, sirve para: Garantizar la confidencialidad de la información. Garantizar la integridad, exactitud y veracidad de la información. Reducir el riesgo de cumplimiento con leyes y regulaciones. 3

4 DEFINICIÓN DE POLÍTICAS DE SEGURIDAD Una organización debe de definir 3 tipos de políticas de seguridad: Política corporativa de seguridad Establece el propósito de la política, justifica la importancia de la seguridad para la organización, define los roles y responsabilidades de seguridad de la información y contiene las referencias a las guías y estándares aplicables. Política de seguridad sobre temas específicos Proporciona una guía detallada sobre el uso seguro de los activos como son: equipo de cómputo, , Internet, acceso remoto, configuraciones seguras, software de comunicaciones, etc. Política de seguridad sobre sistemas Funcionan como estándares y procedimientos para ser utilizados cuando se configura o da mantenimiento a un sistema. PASO 3: ESTABLECER ROLES Y RESPONSABILIDADES. Identificar a los involucrados en el sistemas de gestión de datos. Actividades Elaboración del inventario de datos Análisis de riesgos de los datos Director de TI Director de RH Director de Compras Director de Auditoría Interna Director de Cumplimiento Proveedor Oficial de Seguridad X X X X X X X X X X X X X X Análisis de brecha X X X X X X X Implementación de medidas de seguridad Revisiones y auditoría Capacitación para el tratamiento de datos X X X X X 4

5 ROLES Y RESPONSABILIDADES Asegurar que los trabajadores tengan claros sus roles y responsabilidades, su contribución para el logro de objetivos y las consecuencias del incumplimiento. Comunicar a todos los involucrados en la importancia de: Cumplir la política de gestión de datos Conocer los objetivos del sistema de gestión de datos Mejorar el sistema de gestión de datos de manera continua PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Establecer un inventario de los sistemas de tratamiento de datos, considerando el ciclo de vida de los datos: Obtención Almacenamiento Uso Cancelación Bloqueo Divulgación 5

6 PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Identificar los activos de información por cada proceso, por ejemplo: Nombre del proceso Reclutamiento y selección Administración de proveedores Administración de proyectos Administración del presupuesto Auditoría Interna Capacitación del personal Continuidad del Negocio Control de cambios Cumplimiento Sucursales Activos de información CVs, Perfiles de puestos, Solicitudes de empleo, Documentación de referencias de los candidatos. Contratos, Niveles de servicio con los proveedores, Expedientes de proveedores. Reportes de estatus del proyecto, Documentos entregables del proyecto, Presupuesto del proyecto. Presupuesto autorizado 2015, Facturas pagadas, Análisis del presupuesto vs real. Reportes de auditoría interna, Plan anual de auditoría, Observaciones de auditoría, Documentación de las auditorías. Presupuesto de capacitación, Matriz de habilidades, Plan de capacitación, Resultados de exámenes de empleados. BIA, Planes BCP & DRP. Solicitud del cambio, Documentación del cambio, Autorización del cambio, Implementación del cambio. Reportes de prevención de lavado de dinero, Registro de solicitudes de protección de datos, Manual de Cumplimiento. Registro de efectivo al inicio y cierre del día, Cierre contable diario, Documentación de transacciones realizadas en las ventanillas. PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Se deben definir las clasificaciones de los datos de acuerdo a su sensibilidad para considerarlo en el inventario. Datos personales Cualquier información concerniente a una persona física identificada identificable. Datos personales sensibles Datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. * Clasificación de acuerdo a la LFPDPPP. 6

7 CLASIFICACIÓN DE DATOS Tipos de datos Tipos de datos Datos personales Nombre, domicilio, teléfono, correo electrónico, estado civil, RFC, CURP, fecha y lugar de nacimiento, puesto, domicilio, correo y teléfonos de trabajos anteriores. Bienes muebles e inmuebles, información fiscal, historial crediticio, trayectoria educativa, títulos, cédula profesional y certificados. Datos personales sensibles * Clasificación de acuerdo a la LFPDPPP. Creencia religiosa, afiliación política, preferencias sexuales, estado de salud, historial clínico, tipo de sangre, huella digital. CLASIFICACIÓN DE DATOS Además, se deben identificar las guías para la clasificación de los datos que están definidas en las políticas de seguridad, las cuales pueden ser las siguientes: Confidencialidad: Estrictamente confidencial, Confidencial, Uso interno y Pública. Integridad: Vital, Muy importante, Importante y Poco importante. Disponibilidad: Alto, Medio y Bajo. Continuidad: Alta, Media y Baja. 7

8 CUESTIONARIO DE CLASIFICACIÓN DE INFORMACIÓN El dueño de la información debe ayudar a clasificar los datos, se pueden utilizar cuestionarios: Estrictamente confidencial SÍ NO La información contiene cualquier política o planes estratégicos de la Empresa que aún no haya sido hecha pública? La información contiene contraseñas de clientes o empleados (ATM, T. Crédito), combinación de caja fuerte, etc.? Podría la divulgación de la información causar pérdidas financieras inaceptables a la Empresa tales como multas o alguna otra obligación legal? Podría la divulgación de los datos permitir cometer fraude a la Empresa o a nuestros clientes? Podría la divulgación de la información afectar la competitividad de la Empresa? Podría la divulgación de la información afectar la reputación de la Empresa? La información tiene relación con actos, transacciones u operaciones sospechosas de lavado de activos (y que deben ser informadas al Gobierno de México? Confidencial SÍ NO La información contiene datos sobre clientes (Nombre, Dirección, Teléfono, Ingresos, etc.)? La información contiene datos sobre empleados de la Empresa? (Nombre, Dirección, Teléfono, Ingresos, etc.)? La información incluye datos relacionados con la Ley de Derechos de Autor o describan el diseño de los sistemas que son propiedad de la Empresa? Podría la divulgación de la información afectar la privacidad de los clientes o los empleados de la Empresa? Podría la divulgación de la información causar un juicio en contra de la Empresa? Uso interno SÍ NO La información se limita a las estadísticas generales del cliente? La información contiene detalles de procedimientos o estándares internos de la Empresa? La información contiene comunicaciones internas que estén a la disposición de cualquier empleado de la Empresa que no son de carácter público? La información contiene detalles de métodos de prueba del sistema, recolección de datos o su distribución? Podría la divulgación de la información afectar la reputación de la Empresa? Pública SÍ NO La información está a disposición del Público en General? PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Finalmente, se registra la información en el inventario por cada activo: Nombre del activo de información: Descripción del activo de información: Área: Dueño del activo de información: Tipo de información: Datos personales (S/N): Solicitud de empleo Es utilizada para recabar información sobre los candidatos a empleados. Recursos Humanos Dir. Reclutamiento y Selección Formato en electrónico S Datos personales que incluye: Nombre, domicilio, teléfono particular y celular, correo electrónico, estado civil, RFC, CURP, cartilla militar, lugar y fecha de nacimiento, nacionalidad, edad, nombres de familiares, fotografía, idiomas, documentos de reclutamiento y selección, de capacitación, puesto, domicilio, correo y teléfonos de trabajos anteriores, referencias laborales y personales. 8

9 PASO 4: ELABORACIÓN DEL INVENTARIO DE DATOS. Datos personales sensitivos (S/N) Datos personales sensitivos que incluye: Clasificación: Integridad: Disponibilidad: Continuidad: Custodio del activo de información: Periodo de retención de la información: S Creencia religiosa, estado de salud, historial clínico y tipo de sangre. Confidencial Medio Bajo Bajo Gerente de Reclutamiento y Selección 0.5 años PASO 5: REALIZAR EL ANÁLISIS DE RIESGOS A LOS DATOS. Determinar la probabilidad e impacto de que se presenten amenazas sobre los datos. Priorizar y tomar la mejor decisión respecto a los controles más relevantes a implementar. 9

10 GESTIÓN DE RIESGOS Gobierno de riesgos Definir: Alcance Política Metodología Evaluación de riesgos Identificar: Activos Amenazas Vulnerabilidades Escenarios Activos Amenazas Vulnerabilidad Escenarios Cualquier valor para la organización que requiera ser protegido Tiene el potencial de dañar un activo y causar una vulneración a la seguridad Debilidades en seguridad de los activos Proviene de una amenaza que explota ciertas vulnerabilidades Respuesta al riesgo GESTIÓN DE RIESGOS Ejemplos de activos Ejemplos de amenazas Ejemplos de vulnerabilidades Ejemplos de escenarios - Información - Conocimiento del proceso - Hardware -Medios de almacenamiento -Software -Equipo de redes y telecomunicaciones - Ubicación física -Personal y organización - Amenazas de origen humano (Hacker, cracker, terrorista, espía, personal interno) - Amenazas físicas (daño físico, eventos naturales, fallas técnicas) - Hardware (falta de mantenimiento, falta de configuraciones adecuadas, almacenamiento no cifrado, etc.) - Software (falta de pruebas, falta de actualizaciones, falta de registros de auditoría, etc.) Un equipo de cómputo es vulnerable debido a que no ha tenido mantenimiento suficiente lo cual podría generar fallas en los equipos. 10

11 CRITERIOS DE EVALUACIÓN DE RIESGO Definir diferentes criterios de evaluación para delimitar el nivel de riesgo aceptable, considerando: Requerimientos regulatorios y obligaciones contractuales Valor de los datos de acuerdo a su clasificación por tipo Valor y la exposición de los activos involucrados con los datos Expectativas de las partes interesadas Ejemplos: Probabilidad Escala Significado 5 Casi seguro 4 Muy probable 3 Probable 2 Poco probable 1 Raro Impacto Escala Significado 5 Mayor 4 Importante 3 Significativo 2 Regular 1 Menor ANÁLISIS DE RIESGOS Escenario 1 Nombre del activo de información: Amenaza: Vulnerabilidad: Controles: Impacto: Probabilidad: Solicitud de empleo (formato físico) Incendio Uso de material susceptible al fuego Se tiene implementado un sistema anti-incendio 3- Significativo 2- Poco probable Escenario 2 Nombre del activo de información: Amenaza: Vulnerabilidad: Controles: Impacto: Probabilidad: Solicitud de empleo (formato electrónico) Antivirus Uso de computadoras con antivirus desactualizado Se tiene instalado el antivirus, sin embargo no se cuenta con un proceso para actualizarlo. 3- Significativo 4- Poco probable 11

12 PASO 6: REALIZAR EL ANÁLISIS DE BRECHA. Realizar un análisis de brecha (gap analysis), que consiste en la identificación de: Medidas de seguridad existentes Medidas de seguridad existentes que operan correctamente Medidas de seguridad faltantes Si existen nuevas medidas de seguridad que puedan reemplazar a uno o más controles implementados. Acción requerida Situación actual Objetivo MEDIDAS DE SEGURIDAD Durante el análisis de brecha, considerar al menos los siguientes controles de seguridad: Políticas del SGSDP Cumplimiento legal Estructura organizacional de la seguridad Clasificación y acceso de los activos Seguridad del personal Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de acceso Desarrollo y mantenimiento de sistemas Vulneraciones de seguridad 12

13 EJEMPLO DE ANÁLISIS DE BRECHA Proceso: Recepción de documento de solicitud de empleo. Área: Recepción de documentos. Activo de información Solicitud de empleo (formato físico) Medidas físicas existentes El personal autorizado que labora en el área de recepción tiene una identificación con fotografía (credencial o gafete) emitida por la empresa. Existe señalización visible sobre las restricciones de acceso, las prohibiciones que aplican y el procedimiento para dar aviso al personal de vigilancia en caso de presencia de personas no autorizadas en el área de recepción. Los expedientes con información del cliente son resguardado en el cajón de la persona que recibe el documento. Medidas físicas faltantes El cajón donde se resguardalasolicitudno cuenta con un candado. El escritorio no se encuentra en una zona de acceso restringido. PASO 7: IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD. Los controles de seguridad se deben implementar de acuerdo al tipo de datos, por ejemplo: Nivel de medidas de seguridad Tipos de datos Nivel básico Nombre, domicilio, teléfono, correo electrónico, estado civil, RFC, CURP, fecha y lugar de nacimiento y datos sobre trabajos anteriores (dirección, puesto, sueldo). Nivel medio Bienes muebles e inmuebles, información fiscal, historial crediticio, trayectoria educativa, títulos, cédula profesional y certificados. Nivel avanzado Creencia religiosa, afiliación política, preferencias sexuales, estado de salud, historial clínico, tipo de sangre, huella digital. 13

14 EJEMPLOS DE CONTROLES DE SEGURIDAD Seguridad física y ambiental Mecanismos de seguridad en el perímetro de la organización Mecanismos para mantener las áreas de resguardo o servicios de procesamiento de datos aisladas de amenazas Acceso controlado al personal Seguridad del cableado Mantenimiento de equipos Mecanismos para controlar la entrada/salida de activos Mecanismos de borrado/destrucción seguros de la información Políticas de escritorio limpio PLAN PARA LA IMPLEMENTACIÓN DE MEDIDAS DE SEGURIDAD. Seleccionar los controles de seguridad faltantes identificados en el análisis de la brecha, considerando lo siguiente: Costo de la respuesta para reducir el riesgo dentro de los niveles tolerables Importancia del riesgo Capacidad para implementar la respuesta Efectividad de la respuesta Eficiencia de la respuesta 14

15 TRATAMIENTO DEL RIESGO Mitigar el riesgo Implementar controles para reducir la probabilidad o impacto del riesgo Transferir el riesgo El impacto es reducido por la transferencia del riesgo a un externo (seguros, outsourcing) Aceptar el riesgo No se toma ninguna acción respecto al riesgo, la pérdida es aceptada. Para esto es importante tener definidos los criterios de aceptación. Evitar el riesgo El costo de los controles es más grande que la tolerancia al riesgo COMUNICACIÓN DEL RIESGO Alcanzar los acuerdos con las áreas involucradas en el proceso de administración de riesgos, para: Compartir resultados de la valoración del riesgo COMUNICACIÓN DEL RIESGO Reducir vulneraciones de seguridad Dar soporte a la toma de decisiones Incrementar la conciencia de riesgo 15

16 PASO 8: MONITOREO DE LA ESTRATEGIA DE PROTECCIÓN DE DATOS. Se deben implementar procesos para monitorear y revisar el riesgo con sus factores relacionados, como pueden ser: Evaluación de tendencias (por ejemplo, a través de Key Risk Indicators- KRIs). Reuniones con las áreas involucradas para realizar la reevaluación de riesgos. RESULTADOS DEL MONITOREO Este monitoreo puede resultar en lo siguiente: Nuevos activos que se incluyen en los alcances de la gestión de riesgo Modificaciones necesarias a los activos MONITOREO Nuevas amenazas que podrían estar activas dentro y fuera de la organización Posibilidad de nuevas vulnerabilidades Cambios en el impacto, vulnerabilidades y riesgos 16

17 AUDITORÍA Contar con un programa de auditoría interna para monitorear y revisar la eficacia del sistema de gestión de datos, para: Determinar si el sistema de gestión de datos está operando de acuerdo a las políticas y procedimientos establecidos. Determinar si ha sido implementado de acuerdo a los requerimientos tecnológicos. Alcance AUDITORÍA Objetivos Procedimientos Reporte de auditoría (observaciones) VULNERACIONES A LA SEGURIDAD Las organizaciones deben contar con procedimientos para tomar acciones que permitan el manejo de las vulneraciones de seguridad que puedan ocurrir, considerando: Identificación de la vulnerabilidad Notificación de la vulnerabilidad Remediación del incidente Activos afectados, personal a cargo y las partes interesadas que requieran estar informadas Comunicar a los dueños de la información Analizar las causas para establecer medidas correctivas 17

18 PASO 9: MEJORA CONTINUA Y CAPACITACIÓN. Mejora Continua: proceso de monitoreo de los factores de riesgo y de resultados de las auditorías, pueden ser de 2 tipos: Acciones correctivas: sirven para eliminar las causas de las fallas o incidentes en el sistema de gestión de datos para prevenir que vuelvan a ocurrir, deben ser proporcionales a la gravedad del incidente. Acciones preventivas: sirven para eliminar las causas de fallas o incidentes que puedan ocurrir en el sistema de gestión de datos, deben ser proporcionales a las amenazas potenciales. CAPACITACIÓN Para contar con personal consciente de sus responsabilidades en la protección de datos y que identifiquen su contribución para el logro de objetivos del sistema de gestión de datos, se deben establecer los siguientes programas: Concientización: programas a corto plazo para la difusión de la protección de datos en la organización. Entrenamiento: programas a mediano plazo que tienen por objetivo capacitar al personal de manera específica respecto a sus funciones y responsabilidades en el tratamiento y seguridad de los datos. Educación: programa general a largo plazo que tiene por objetivo incluir la seguridad en el tratamiento de datos dentro de la cultura de la organización. 18

19 GUÍAS PARA LA IMPLEMENTACIÓN DE LA ESTRATEGIA ISO/IEC 27001:2013 ISO/IEC 27002:2013 ISO/IEC 27005:2008 ISO/IEC 27006:2011 ISO/IEC TR 27008:2011 ISO/IEC 29100:2011 ISO/IEC :2011 ISO 22301:2012 ISO 31000:2009 ISO GUIDE 72 ISO GUIDE 73 ISO 9000:2005 BS 10012:2009 NIST SP OECD Guidelines GAPP COBIT v4.1 COBIT 5 PCI DSS v2 HIPAA SOx ITIL v3 OWASP v2 CCM v3 DUDAS Y/O PREGUNTAS 19

20 MUCHAS GRACIAS! Viviana Romo Núñez 20

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

4.21 SOx, Sarbanes-Oxley Act of 2002.

4.21 SOx, Sarbanes-Oxley Act of 2002. 4.21 SOx, Sarbanes-Oxley Act of 2002. Introducción. La Ley SOx nace en Estados Unidos con para supervisar a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

1. PRESENTACIÓN... 1 2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES... 3. 2.1 Definiciones... 3. 2.2 Qué es un Sistema de Gestión?...

1. PRESENTACIÓN... 1 2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES... 3. 2.1 Definiciones... 3. 2.2 Qué es un Sistema de Gestión?... Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Enero 2014 Contenido 1. PRESENTACIÓN... 1 2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES... 3 2.1 Definiciones... 3

Más detalles

1. PRESENTACIÓN... 1 2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES... 3. 2.1 Definiciones... 3. 2.2 Qué es un Sistema de Gestión?...

1. PRESENTACIÓN... 1 2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES... 3. 2.1 Definiciones... 3. 2.2 Qué es un Sistema de Gestión?... Guía para implementar un Sistema de Gestión de Seguridad de Datos Personales Noviembre 2014 Contenido 1. PRESENTACIÓN... 1 2. SISTEMA DE GESTIÓN DE SEGURIDAD DE DATOS PERSONALES... 3 2.1 Definiciones...

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

Sistemas de Gestión de la Seguridad de la Información.

Sistemas de Gestión de la Seguridad de la Información. Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

4.11 ISO GUIDE 73, Risk management Vocabulary.

4.11 ISO GUIDE 73, Risk management Vocabulary. 4.11 ISO GUIDE 73, Risk management Vocabulary. Introducción. El estándar proporciona las definiciones de los términos genéricos relacionados con la gestión del El ISO Guide 73 promueve una base común de

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Protección de datos personales, México como experiencia.

Protección de datos personales, México como experiencia. Protección de datos personales, México como experiencia. Agenda Introducción Acercamientos al cumplimiento Conclusiones Comentarios de la audiencia Tendencia Internacional Respuesta a Tráfico de datos:

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

4.22 ITIL, Information Technology Infrastructure Library v3.

4.22 ITIL, Information Technology Infrastructure Library v3. 4.22 ITIL, Information Technology Infrastructure Library v3. Introducción. Es un conjunto de conceptos y prácticas en la gestión de servicios de tecnologías de la información, para lograr calidad y eficiencia

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

AVISO DE PRIVACIDAD COLABORADOR

AVISO DE PRIVACIDAD COLABORADOR AVISO DE PRIVACIDAD COLABORADOR EMPRESA RESPONSABLE DEL USO DE SUS DATOS PERSONALES Con fundamento en los artículos 15 y 16 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares,

Más detalles

AVISO DE PRIVACIDAD. Por ello, lo invitamos a que lea detenidamente la siguiente información.

AVISO DE PRIVACIDAD. Por ello, lo invitamos a que lea detenidamente la siguiente información. AVISO DE PRIVACIDAD El presente Aviso de Privacidad (aviso) se emite en cumplimiento por lo dispuesto por el artículo 15 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary.

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. 4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. Introducción. Es un documento de referencia para entender los términos y vocabulario relacionado con gestión de El ISO 9000:2005

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

AVISO DE PRIVACIDAD 1

AVISO DE PRIVACIDAD 1 AVISO DE PRIVACIDAD 1 De conformidad con lo dispuesto por los Artículos 6, 8, 15 y 16 de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la Ley ), se emite el presente

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

AVISO DE PRIVACIDAD CLIENTE-PROVEEDOR

AVISO DE PRIVACIDAD CLIENTE-PROVEEDOR AVISO DE PRIVACIDAD CLIENTE-PROVEEDOR EMPRESA RESPONSABLE DEL USO DE SUS DATOS PERSONALES Con fundamento en los artículos 15 y 16 de la Ley Federal de Protección de Datos Personales en Posesión de los

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

AVISO DE PRIVACIDAD DE DATOS POLÍTICA DE PRIVACIDAD

AVISO DE PRIVACIDAD DE DATOS POLÍTICA DE PRIVACIDAD AVISO DE PRIVACIDAD DE DATOS En cumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y de su Reglamento (en adelante la Ley), y con el fin de asegurar la privacidad

Más detalles

AVISO DE PRIVACIDAD. Datos Personales

AVISO DE PRIVACIDAD. Datos Personales AVISO DE PRIVACIDAD Las entidades de Barclays en México, a saber, Barclays Bank México, S.A., Institución de Banca Múltiple, Grupo Financiero Barclays México; Barclays Capital Casa de Bolsa, S.A. de C.V.,

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

AVISO DE PRIVACIDAD COMPLETO

AVISO DE PRIVACIDAD COMPLETO AVISO DE PRIVACIDAD COMPLETO En términos de lo previsto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en lo sucesivo denominada como la LEYPDPP ), VATECH GLOBAL MEXICO,

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Ley Federal de Protección de Datos Personales en Posesión de Particulares

Ley Federal de Protección de Datos Personales en Posesión de Particulares Ley Federal de Protección de Datos Personales en Posesión de Particulares Ley Federal de Protección de Datos Personales en Posesión de Particulares Antecedentes En un mundo con gran despliegue tecnológico

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

MEJORES PRÁCTICAS DE INDUSTRIA

MEJORES PRÁCTICAS DE INDUSTRIA MEJORES PRÁCTICAS DE INDUSTRIA A continuación se relacionan las mejores prácticas y recomendaciones en prevención de fraude, extractadas de los diferentes mapas de operación y riesgo desarrollados por

Más detalles

AVISO DE PRIVACIDAD INTEGRAL

AVISO DE PRIVACIDAD INTEGRAL AVISO DE PRIVACIDAD INTEGRAL Conforme a lo previsto por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante referido como la "Ley"), las empresas del grupo Almacenes

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes José Luis Reyes Noviembre de 2015 AGENDA Quienes somos? Definiciones: Awareness, Previsión, COB, Riesgo y Activos

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

AVISO DE PRIVACIDAD INTEGRAL PARA LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LA EMPRESA GONTER, S.A. DE C.V.

AVISO DE PRIVACIDAD INTEGRAL PARA LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LA EMPRESA GONTER, S.A. DE C.V. AVISO DE PRIVACIDAD INTEGRAL PARA LA PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LA EMPRESA GONTER, S.A. DE C.V. GONTER, S.A. DE C.V., con domicilio en calle Aldama número 214 de la colonia Centro de

Más detalles

AVISO DE PRIVACIDAD INTEGRAL.

AVISO DE PRIVACIDAD INTEGRAL. AVISO DE PRIVACIDAD INTEGRAL. Con fundamento en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (en adelante la Ley ) le informamos lo siguiente: Responsabilidad SEGUROS MULTIVA,

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Aviso de Privacidad. Finalidades del Tratamiento. Datos personales sensibles

Aviso de Privacidad. Finalidades del Tratamiento. Datos personales sensibles Con fundamento en los artículos 15 y 16 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP), hacemos de su conocimiento que la Universidad Gestalt de América S.C.,

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

l Jefe o Area: Dr. Rafael Arteaga Covarrubias

l Jefe o Area: Dr. Rafael Arteaga Covarrubias Aviso de Privacidad para: Clínica Dermatológica Dermaarte y el sitio web: www.dermaarte.com.mx Se le informa que este aviso de privacidad ha sido modificado el día 08 de septiembre de 2014. Tiempo promedio

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Preguntas frecuentes sobre los datos personales IFAI

Preguntas frecuentes sobre los datos personales IFAI Preguntas frecuentes sobre los datos personales IFAI Qué son los datos personales? Es cualquier información relacionada contigo, por ejemplo, tu nombre, teléfono, domicilio, fotografía o huellas dactilares,

Más detalles

Sistema de Gestión n de la Seguridad de la Información

Sistema de Gestión n de la Seguridad de la Información Sistema de Gestión n de la Seguridad de la Información SGSI Ing: Rodrigo Ferrer V. CISSP, CISA, ABCP, COBIT f.c, CSSA, CST. Agenda Introducción al SGSI Evaluación de Riesgo. Implementación del SGSI Conclusiones

Más detalles

Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento

Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento Ley Federal de Protección de Datos Personales en Posesión de los Particulares y su Reglamento Una nueva Ley Para ser un puerto Seguro Antecedentes: Modelos de protección: UE vs. APEC Marco de privacidad

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

RIESGO DE LAVADO DE ACTIVOS

RIESGO DE LAVADO DE ACTIVOS RIESGO DE LAVADO DE ACTIVOS CONOZCA A SU AFILIADO/CLIENTE Una gestión eficaz de los riesgos financieros exige en la actualidad procedimientos de Conozca a su Afiliado/Cliente más sólidos, amplios y seguros.

Más detalles

Y la protección de datos personales en la nube apa? Pablo Corona

Y la protección de datos personales en la nube apa? Pablo Corona Y la protección de datos personales en la nube apa? Pablo Corona Datos Personales / Conceptos Datos personales: Cualquier información concerniente a una persona física identificada o identificable. Titular:

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Prevención de Fuga de Datos

Prevención de Fuga de Datos Prevención de Fuga de Datos Un enfoque para el negocio 25-Oct-2012 Sergio Solís IAS, MBA, CISA, CGEIT, CRISC, ISO 27001LA sergio.solis@mx.ey.com serasoga@gmail.com Contenido Introducción Historias conocidas

Más detalles

AVISO DE PRIVACIDAD. b) Datos Personales.- Cualquier información concerniente a una persona física que de manera razonable permita identificarla.

AVISO DE PRIVACIDAD. b) Datos Personales.- Cualquier información concerniente a una persona física que de manera razonable permita identificarla. AVISO DE PRIVACIDAD El presente documento constituye el Aviso de Privacidad para efectos de lo dispuesto en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y las disposiciones

Más detalles

Aviso de Privacidad. Universidad de la República Mexicana S.C.

Aviso de Privacidad. Universidad de la República Mexicana S.C. Universidad de la República Mexicana S.C. Con fundamento en los artículos 15 y 16 de la Ley Federal de Protección de Datos Personales en Posesión de Particulares hacemos de su conocimiento que Universidad

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

En el caso de empleados o candidatos: En el caso de clientes: En el caso de proveedores

En el caso de empleados o candidatos: En el caso de clientes: En el caso de proveedores Aviso de privacidad El Aviso de Privacidad aquí presentado es elaborado por CLE Centeno con domicilio en Centeno No. 823,Granjas México, Delegación Iztacalco, México, Distrito Federal, C.P. 08400 y tienen

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

Este Aviso de Privacidad forma parte del uso del sitio web www.fargom.com.mx

Este Aviso de Privacidad forma parte del uso del sitio web www.fargom.com.mx Aviso de Privacidad de FARGOM CAFÉ El presente documento constituye el Aviso de Privacidad de FARGOM CAFÉ, mismo que se pone a disposición de Usted Victor Eduardo Fernández Bueno con la siguiente dirección

Más detalles

AVISO DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES EN AMISTAD FAMILIAR A.R.

AVISO DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES EN AMISTAD FAMILIAR A.R. El sitio de internet amistadfamiliar.com, puede en algunos casos recopilar, mantener y proteger información personal sobre los visitantes, de conformidad con esta política, así como con las leyes, reglamentos

Más detalles

LOPD. Al lado de las empresas en la implantación de la LOPD.

LOPD. Al lado de las empresas en la implantación de la LOPD. LOPD Al lado de las empresas en la implantación de la LOPD. Principales aspectos de la ley OBJETO Garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas y, en

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

AVISO DE PRIVACIDAD INTEGRAL

AVISO DE PRIVACIDAD INTEGRAL AVISO DE PRIVACIDAD INTEGRAL ATRACCIONES CULTURALES DE MÉXICO, S.A. DE C.V. con domicilio en LONDRES # 4 COLONIA JUAREZ, DELEGACION CUAUHTEMOC, MEXICO D.F. C.P.06600 es responsable de la confidencialidad,

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

Tema 1: Organización, funciones y responsabilidades de la función de TI.

Tema 1: Organización, funciones y responsabilidades de la función de TI. Tema 1: Organización, funciones y responsabilidades de la función de TI. 1- Se le han definido objetivos específicos a la función de TI? 2- Se ha identificado claramente de quién depende jerárquicamente

Más detalles

Ley Federal de Protección de Datos Personales en Posesión de los Particulares Mayo de 2011

Ley Federal de Protección de Datos Personales en Posesión de los Particulares Mayo de 2011 Ley Federal de Protección de Datos Personales en Posesión de los Particulares Mayo de 2011 Carlos Chalico LI, CISA, CISSP, CISM, CGEIT, CRISC Socio de Asesoría en TI México y Centroamérica Ernst & Young

Más detalles

C O M U N I C A C I Ó N N 2015/034

C O M U N I C A C I Ó N N 2015/034 Montevideo, 10 de Marzo de 2015 C O M U N I C A C I Ó N N 2015/034 Ref: Instituciones Emisoras de Dinero Electrónico - Registro y documentación a presentar en BCU A efectos de cumplir con los requisitos

Más detalles

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas

Más detalles

Aviso de Privacidad. Public Value S.A. de C.V.

Aviso de Privacidad. Public Value S.A. de C.V. Fecha de creación Jul 17, 2014 2:23 PM / Folio: 156453914 Aviso de Privacidad Public Value S.A. de C.V. Tiempo promedio de lectura: 2 min. 25 seg. Este Aviso describe la forma en que recabamos y usamos

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

Aviso de Privacidad OPERADORA HOTELERA CAHUSA SA DE CV

Aviso de Privacidad OPERADORA HOTELERA CAHUSA SA DE CV Fecha de creación Feb 20, 2015 1:21 PM / Folio: 184135526 Aviso de Privacidad OPERADORA HOTELERA CAHUSA SA DE CV Tiempo promedio de lectura: 2 min. 25 seg. Este Aviso describe la forma en que recabamos

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Por tanto, los datos recabados se tratarán de acuerdo con las siguientes finalidades:

Por tanto, los datos recabados se tratarán de acuerdo con las siguientes finalidades: Marsh Brockman y Schuh Agente de Seguros y de Fianzas, S.A. de C.V. (en lo sucesivo, MARSH ), comprometido con la confidencialidad, seguridad y protección de sus datos personales le da a conocer el siguiente

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles