La Seguridad es una sensación. Marlon molina Director General Tecnofor
|
|
- Víctor San Martín Alcaraz
- hace 8 años
- Vistas:
Transcripción
1 1
2 GOBIERNO en la práctica
3
4
5 La Seguridad es una sensación Marlon molina Director General Tecnofor
6 Qué pueden esperar de José Rosell? Ingeniero Superior Industrial por la Escuela Técnica Superior de Ingenieros Industriales de la Universidad Politécnica de Valencia. Master en Dirección y Gestión de la Seguridad por ASIMELEC y por la Universidad Pontificia de Salamanca. Master en transporte y negocio marítimo por la Universidad Pontificia de Comillas (Instituto universitario de Administración y Dirección de Empresas. ICADE ). Socio Director de S2 Grupo. Consultor especializado en Seguridad y en Sistemas de Gestión en Tiempo Real. CIO en un grupo de Astilleros Director de Explotación de Tissat Gerente de la UTE Tissat-Fujitsu para la explotación de InfoCentre (Centro telemático de la Generalitat Valenciana), Responsable de explotación de la plataforma de Internet de Antena 3 Interactiva, Responsable de explotación de la plataforma tecnológica de los Centros de Emergencias de Valencia y Murcia Responsable de explotación de la plataforma tecnológica de la tarjeta sanitaria Consultor de sistemas de gestión 6
7 Qué pueden esperar de la empresa? S2 Grupo tiene sedes en Valencia y Madrid y desarrolla su trabajo en toda España El trabajo desarrollado por S2 Grupo es muy especializado y el tipo de cliente es un cliente mediano o grande Las líneas de negocio de S2 Grupo son: Seguridad de la información Monitorización y control de procesos Sistemas de gestión en tiempo real Desarrollo seguro Servicios seguros de explotación
8 La jornada El objetivo de la charla de hoy en el marco de esta jornada es hablar de SEGURIDAD EN LA PRÁCTICA
9 Esta NO es la solución
10 Protección de los activos de las organizaciones 10
11 Falsa sensación de seguridad 11
12 La jornada 1. El enfoque práctico del PDS es fundamental para no perdernos en los papeles. Cómo se enfoca en la práctica un PDS? 2. Qué relación tiene en la práctica el Plan Director de Seguridad con el SGSI? Necesitamos los dos? 3. Cómo y cuándo implantar un SGSI? 4. Razones para su implantación Cómo puedo vender más hierro con el SGSI? 5. Qué necesitamos para implantar un SGSI? 6. Cuánto tiempo nos puede costar implantar un SGSI? 7. Es necesario hacer un análisis de riesgos para implantar un SGSI? Análisis de riesgos en la práctica. Tendencias: Análisis de riesgos en tiempo real 8. Qué debemos esperar de un análisis diferencial de la ISO 27002? Caso práctico 12
13 La jornada 9. Implantación de controles. Sistemas de monitorización basados en herramientas Open Source 10. El cumplimiento legal desde el punto de vista de la entidad de certificación. 11. La importancia de la definición del alcance de una certificación 12. La eterna discusión sobre los indicadores de seguridad y de cualquier cosa 13. Qué podemos esperar de un centro de servicios gestionados? Análisis del caso. Acceso con empresa piloto 14. Incident Handling. Cómo se actúa ante un incidente de seguridad? 15. Mecanismos de seguridad. Son los mejores mecanismos de seguridad una garantía? Estrategias de defensa. Análisis en función del riesgo 16. Explotación y Seguridad. Juntas de la mano 13
14 Seguridad en la práctica El Mapa de la Seguridad del Siglo XXI
15 Diapositiva eliminada Material de Acceso Restringido
16 0.- Presentación
17 Nivel cumplimiento ISO INDICE Entorno Normas Negocio Qué es un Plan Director de Seguridad según S2 Grupo? POLÍTICA DE SEGURIDAD ANÁLISIS RIESGOS Exclusiones CERTIFICACIÓN ISO Informe motivado 100% ISO Objetivo cumplimiento Iniciativas y proyectos Selección controles Nivel mínimo ISO Auditoría ISO Existencia y eficacia controles Alertas Nivel actual ISO PAU Planificación de iniciativas en función del riesgo SGSI Tiempo
18 Respuestas 1.- Enfoque práctico del PDS. Cómo se enfoca en la práctica? 2.- Qué relación tiene en la práctica el SGSI con el PDS? Necesitamos los dos? Podríamos decir desde un punto de vista práctico que el PDS es el proyecto que nos lanza el SGSI Un SGSI no necesita estar certificado ni tampoco estar basado en el estándar ISO En la familia 27XXX, no se puede certificar la ISO 27002
19 Seguridad como proceso SOA Activos queremos Securizar Seguimiento y Monitorización hacemos Evaluación de riesgos revisamos tomamos Medidas de protección revisamos Información de seguimiento ISO operamos obtenemos Mecanismos de detección y respuesta
20 1. Política de seguridad 4. Mecanismos de seguridad 6. Certificación 3. Análisis de riesgos 2. Auditoría 5. SGSI 20
21 1.- Política de Seguridad Aspectos prácticos
22 Cuestiones a comentar 11. La importancia de la definición del alcance de un Sistema de Gestión Ejemplos: Concursos de la administración pública Caso Puerto de Houston Caso S2 Grupo Caso Aparcamiento Caso SecuryLink Caso OEA Esquema Nacional de Seguridad
23 Descripción del alcance Seguridad de los Sistemas de Información en los procesos de negocio de consultoría, desarrollo y explotación de sistemas de tecnologías de la información y comunicaciones
24 24 Puerto de Houston
25 PUERTO MAPA DE PROCESOS Procesos estratégicos PE1 Planificación Estratégica PE2 Secretaría General PE3 I+D+i PE4 Responsabiilidad Social Corporativa PE5 Comunicación y Relaciones Externas PE6 Formación y cooperación internacional PC6 PC2 PC7 OPERACIONES Y DOMINIO PÚBLICO Facturación Procesos clave PC1 COMERCIAL PC3 SERVICIOS GENERALES (Seguridad) PC7 Gestión de calidad PC4 Atención clientes GESTIÓN INFRAESTRUCTURAS Procesos de soporte PS1 Gestión de RRHH y formación PS2 Gestión económica y financiera PS3 Gestión de compras y proveedores PS5 Prevención de riesgos laborales PS6 Gestión medioambiental PS7 Sistemas de Información
26 Certificado Puerto de Houston Diapositiva eliminada Material de Acceso Restringido 26
27 2.- Auditoría. Análisis diferencial. Aspectos prácticos
28 Cuestiones a comentar 8. Qué debemos esperar de un análisis diferencial de la ISO 27002? Existencia de los controles Eficacia de los controles, no eficiencia Auditoría de existencia vs eficacia Una auditoría no es un checklist. Para qué nos sirve un checklist? Una auditoría tampoco es usar una serie de herramientas automáticas para presentar un informe de vulnerabilidades
29 Casos prácticos Resultados auditoría empresa industrial Resultados auditoría empresa servicios Ataques de ingeniería social Seguridad semántica Las cosas no siempre son lo que parecen: Auditoría sistema control de acceso RFID Auditoría sistema de central de alarmas físicas 29
30 3.- Análisis de Riesgos Aspectos prácticos
31 PROBABILIDAD Muy Baja Baja Media Alta Muy Alta Qué es el riesgo? Muy Bajo Bajo Medio Alto Muy Alto IMPACTO
32 Cuestiones a comentar 7. Es necesario hacer un Análisis de riesgos para montar un SGSI? Análisis de riesgos en la práctica. Análisis de riesgos en tiempo real. Metodologías de análisis de riesgos. Podemos elegir? Con cuál nos quedamos? Análisis de riesgos basados en escenarios El problema de los análisis de riesgos estáticos. Caso 11S Tendencias: Análisis de riesgos en tiempo real Riesgo residual
33 PROBABILIDAD Muy Baja Baja Media Alta Muy Alta Matriz de riesgo MATRIZ DE RIESGO Cumplimiento normativa Seguridad física y ambiental Seguridad Organizativa Seguridad Física Seguridad lógica Seguridad Legal Seguridad Personal Gestión comunicaciones y operaciones Continuidad Negocio Clasificación y control activos Política de seguridad Seguridad Organizativa Control de acceso Desarrollo y mantenimiento de sistemas Muy Bajo Bajo Medio Alto Muy Alto IMPACTO
34 PROBABILIDAD Muy Baja Baja Media Alta Muy Alta Matriz de riesgo MATRIZ DE RIESGO LOPD E7 Sector 1 Sector 2 E3 E2 E1 Sector 3 E5 E4 E6 Muy Bajo Bajo Medio Alto Muy Alto IMPACTO
35 4.- Mecanismos de Seguridad Controles o salvaguardas
36 Respuestas 14. Mecanismos de seguridad. Son los mejores mecanismos de seguridad una garantía? Estrategias de defensa. Análisis en función del riesgo
37 37
38 Disuasión La seguridad por oscuridad no funciona. Debe ser patente que se dispone de medidas de seguridad tecnológicas. La propia publicidad de las medidas es en si mismo un mecanismo de disuasión 38
39 Protección Bastionado de equipos personales (instalación segura), cifrado de comunicaciones (voz móvil y fija, SMS, correo electrónico y otros medios), encriptado de llaves USB y medios de almacenamiento masivo, uso del DNI-e, servidores de información secreta o confidencial 39
40 Detección Además de las técnicas clásicas para la detección de intrusos en equipos personales, detección de malware, keyloggers y otro tipo de dispositivos que se quieran conectar a un elemento o activo especialmente protegido (EEP / AEP), se deben emplear técnicas de Honey-tokens y técnicas de ingeniería social para detección de actividades electrónicas anómalas o sospechosas 40
41 Respuesta Coordinación de actuaciones con fuerzas y cuerpos de seguridad del estado. Cadena de custodia de pruebas electrónicas. 41
42 Detección y respuesta 42
43 Recuperación Mecanismos que garanticen la operación en condiciones normales una vez se sabe o se sospecha que ha sido comprometido un EEP 43
44 Dominios de control Táctico Estratégico Política de seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Control de accesos Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal Operativo Conformidad Seguridad de recursos humanos Gestión de incidentes de seguridad de la información Seguridad física y del entorno Adquisición, desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio
45 Objetivos de control
46 Respuestas 9. Implantación de controles. Sistemas de monitorización basados en herramientas Open Source Caso: ejemplo de monitorización de infraestructuras TIC. Mapa de controles Caso: Controles LOPD Caso: Plan de continuidad de negocio
47 Respuestas 13. Incident handling. Cómo se actúa ante un incidente de seguridad? Nuestra primera experiencia con un incidente de seguridad Caso: Yo bicho Caso: Seguridad de las instalaciones Análisis forense. Buscando la causa Dificultades por falta de monitorización Ejemplo: Sincronización de relojes
48 Respuestas 11. Qué podemos esperar de un SOC? Casos Un SOC no deja de ser más que un conjunto de controles subcontratados a un tercero especialista igual que puede ser la firma de un contrato Caso: Seguridad gestionada universidad Caso: Seguridad gestionada empresa industrial
49 5.- Sistema de Gestión de la Seguridad SGSI
50 3.- Cuándo debemos implantar un SGSI? Respuestas
51 Los sistemas de gestión de la seguridad nos permiten afianzar las medidas de seguridad que desplegamos y por tanto: Apuntalar la mina
52 Respuestas 4. Razones para la implantación de un SGSI La seguridad es un proceso de apoyo en cualquier organización y cada vez tiene más peso. La figura del socio y el deber in vigilando Las organizaciones necesitan garantizar su seguridad por diversos motivos: Garantizar la seguridad de la información de negocio y la continuidad del mismo. Proteger la información para cumplir la legislación: LOPD, SOX, Evitar que se comentan acciones ilícitas o delictivas haciendo uso de la infraestructura de la organización: Interna: empleados o colaboradores de la organización Externa: Intrusos en nuestros sistemas Control interno para evitar manipulaciones en los datos Códigos de Buen Gobierno Responsabilidad Social Corporativa Delimitar responsabilidades personales
53 Respuestas 5. Qué necesitamos para implantar un SGSI? Cómo puedo vender más hierro con un SGSI? PDS, Sistema documental, Sistema de soporte al SGSI 6. Cuánto tiempo nos puede costar montar un SGSI? Depende del punto de partida Sistema de monitorización? Grado de implantación de controles? LOPD? ISO 9000?
54 Respuestas 12. La eterna discusión sobre los indicadores de seguridad Indicadores de eficacia y eficiencia del proceso Caso: Indicadores de disponibilidad
55 Indicadores de disponibilidad Cuadro de Mando TIC. HERA P1 Procesos de Negocio A1 A2 Aplicaciones S1 S2 S3 S4 Software base Infraestructura 55
56 15. Explotación y seguridad. Juntas de la mano. Respuestas
57 6.- Certificación del SGSI
58 Modelo PDCA Fuente:
59 Hacia los sistemas de gestión en tiempo real DA CP CP DA Check Act Plan Do Monitorizar
60 Respuestas 10. El cumplimiento legal desde el punto de vista de la entidad de certificación Requisitos mínimos La entidad de certificación El proceso de certificación. Diferencias respecto a otros referenciales La visita previa Ejemplos de no conformidades Plan de acciones correctivas
61 CONCLUSIONES
62 Starbucks Partner & Asset Protection: Protecting the Starbucks Experience from Origin to the Cup Protect people Secure asset Eanble mission
63 No vive el que no vive seguro Francisco Quevedo
64 64
65 Nota para los asistentes Se ha eliminado información confidencial de algunos casos prácticos Se han eliminado algunos de los casos prácticos completos por ser de uso restringido 65
66 Sistemas de monitorización: Caso práctico
67 Caso: Esquema proporcionado
68 Simplificación Arquitectura de RED LOCAL OFICINAS SW I INTERNET Equipos de fábrica y centro II y siguientes ROUTER INTERNET/CORREO ROUTER Representantes Equipos fábrica Centro I FW SW I SW UNIDAD DE CINTAS 7 U SW I SW II Servidor Localsrv ARRAY DE DISCOS Servidor EBS Enlace FIBRA Servidor Fax Servidor Usuarios Servidor Domino CLUSTER AXAPTA DPC TServer
69 Sensores Monitores Estandar CPU, Disco, RAM, NRPE SMTP (25) MONITORIZACIÓN TRÁFICO SERV. IMPRESIÓN (específicos ASVNT22) HTTPS (443) JABBER POSTGRESQL ARGOS (Incluye varios) EMAS CPU MEMORIA RAM # CONNS/SEC HTTP (8080) HTTP (80) SQL Server ORACLE Terminal Server CONECTIVIDAD VERITAS NTP PROCESOS SERVICIOS LDAP CONTROL ACCESO SNMP MONITORIZACIÓN DE ACCESO REMOTO LOPD: Fichero de nivel bajo LOPD: Fichero de nivel medio LOPD: Fichero de nivel alto Auditorías de seguridad periódicas Monitorización de puertos Monitorización de servicios y procesos HFT T H HR SENSORES HR: Humedad Relativa T: Temperatura H: Humo HFT: Humo Falso Techo ARGOS dispone de más de 500 tipos sensores para monitorizar y controlar todo tipo de infraestructura
70 Monitorización infraestructura de RED LOCAL OFICINAS SW I INTERNET Equipos de fábrica y centro II y siguientes ROUTER INTERNET/CORREO ROUTER Representantes Equipos fábrica Centro I FW SW I SW UNIDAD DE CINTAS 7 U SW I SW II Servidor Localsrv ARRAY DE DISCOS Servidor EBS Servidor ARGOS Enlace FIBRA Servidor Fax Servidor Usuarios Servidor emas CLUSTER AXAPTA Servidor Domino DPC TServer
71 Monitorización infraestructura de RED LOCAL OFICINAS T HFT HR H SW I Equipos de fábrica y centro II y siguientes ROUTER INTERNET/CORREO INTERNET ROUTER Representantes Equipos fábrica Centro I SW I FW HFT T H HR SW UNIDAD DE CINTAS 7 U SW I SW II Servidor Localsrv HFT T H HR Servidor ARGOS ARRAY DE DISCOS Enlace FIBRA Servidor EBS Servidor Fax Servidor Usuarios Servidor Servidor emas Domino CLUSTER AXAPTA HFT T H HR DPC HFT T H HR HFT T H HR TServer
72
73 Sistema de monitorización Sistema de monitorización de infraestructuras tecnológicas Monitorización de disponibilidad Control de acceso lógico Monitorización de capacidad (consumo de recursos) Monitorización de tráfico de red Detección de intrusiones Análisis automático de vulnerabiilidades Monitorización de elementos de red Monitorización y gestión de copias de seguridad Descubrimiento automático de red Inventario automático de activos TIC
74 Sistema de monitorización Continuación. Análisis de uso de la red Análisis de logs Monitorización y registro de acceso a ficheros Monitorización de tráfico de internet Monitorización de tráfico de vozip
75 Sistema de monitorización Sistema de monitorización de seguridad física de emplazamientos y equipos y monitorización de instalaciones físicas Control de Acceso a AAR y AAL Registro de acceso a AAR Registro de entrada y salida de activos (RFID) Registro de acceso a información en papel Videovigilancia Control de movimiento de activos. Trazabilidad de activos físicos Monitorización presencial. Control de presencia y localización mediante RFID y bluetooth Monitorización ambiental: temperatura, humo, humedad relativa, fluidos, luz, etc Monitorización de suministro eléctrico
76 Nota Mapa de controles eliminados Material acceso restringido 76
77 Caso II: Empresa datos de nivel alto NOTA: Este caso es un caso real basado en los estándares del momento (ISO 17799:2005)
78 Aspectos destacables La ISO nos permite marcar un punto de origen y establecer un objetivo o punto de destino la que debemos llegar a través de la implantación de distintos mecanismos definidos en el Plan Director de Seguridad. La ISO 17799:2005 define un punto de inicio para la seguridad de la información. De alguna forma está marcando unos mínimos: Contemplar el cumplimiento del dominio de control 11 relativo al marco legal de cada país (LOPD, LSSI, LPI, ) Documento de política de seguridad de la información (5.1.1) Establecer responsabilidades (6.1.3) Formación, información y entrenamiento en seguridad de la información (8.2.2) Controles que aseguren el correcto funcionamiento de aplicaciones para evitar pérdidas de información o accesos no autorizados a la misma (12.2) Dominio de control 14. Controles relacionados con la gestión de continuidad del negocio Gestión de información de incidentes de seguridad y proceso de mejora continua en su evaluación y monitorización (13.2) 78 José Rosell. S2 Grupo. febrero de 2010
79 Dominios de Control Nivel de cumplimiento ISO (%) Indicador Z% Objetivo estratégico: Nivel de seguridad deseado D Y% Nivel de seguridad necesario a corto plazo C B PAU Acciones urgentes X% A Situación actual t 1 t 0 t 2 t 3 Tiempo Auditoría de dominios de control de la ISO Política de seguridad 100% Cumplimientos 41% Cumplimientos 90% 80% Seguridad organizativa. Organización de la seguridad Gestión de continuidad del negocio 96% 70% 60% Desarrollo y mantenimiento de sistemas Control de acceso 65% 72% Gestión de continuidad del negocio 50% 40% 30% 20% Clasificación y control de activos Gestión de comunicaciones y operaciones 68% 10% 0% Seguridad física o ambiental 39% Seguridad de personal 28% Desarrollo y mantenimiento de sistemas Seguridad de personal Clasificación y control de activos 29% Seguridad organizativa. Organización de la seguridad 53% Política de seguridad 60% Control de acceso Seguridad física o ambiental 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Grado de Cumplimiento Gestión de comunicaciones y operaciones Objetivo Auditoría cumplimiento por dominio 79 José Rosell. S2 Grupo. febrero de 2010
80 Resultados auditoría ISO Auditoría cumplimiento por dominio Dominio 1 Política de seguridad 60% Dominio 2 Seguridad organizativa. Organización de la seguridad 53% Dominio 3 Clasificación y control de activos 29% Dominio 4 Seguridad de personal 28% Dominio 5 Seguridad física o ambiental 39% Dominio 6 Gestión de comunicaciones y operaciones 68% Dominio 7 Control de acceso 65% Dominio 8 Desarrollo y mantenimiento de sistemas 72% Dominio 9 Gestión de continuidad del negocio 96% Dominio 10 Cumplimientos 41% 55% 80 José Rosell. S2 Grupo. febrero de 2010
81 Resultados auditoría ISO Los dominios de control mostrados se despliegan en sus objetivos de control. La distancia al objetivo de cada objetivo de control se plasma en el diagrama radial adjunto: Información sobre la política de seguridad Consideraciones sobre la auditoría del sistema Infraestructura de la Seguridad de la Información. 100,0% Revisiones de las Políticas de Seguridad y conformidad técnica. Seguridad frente al acceso por parte de terceros. Seguridad de los sistemas de archivo Seguridad en aplicaciones Requisitos de seguridad del sistema Cumplimiento con requerimientos legales Aspectos sobre la gestión de continuidad del negocio Seguridad en los procesos de desarrollo y soporte Controles criptográficos 90,0% 80,0% 70,0% 60,0% 50,0% 40,0% 30,0% 20,0% 10,0% 0,0% Externalización. Outsourcing. Responsabilidades en los activos. Clasificación de la información Seguridad en la definición de puestos de trabajo y la asignación de recursos. Entrenamiento de los usuarios. Respuesta ante incidentes y anomalías en materia de seguridad Áreas seguras Elementos móviles y teletrabajo Seguridad del equipamiento. Monitorización de acceso y utilización del sistema Controles generales. Control de acceso del aplicativo Responsabilidades y procedimientos operativos. Control de acceso al sistema operativo Planificación y aceptación de sistemas Control de acceso de red Protección contra software maligno Responsabilidades del usuario Operaciones de mantenimiento interno Gestión de acceso de usuarios Gestión de red Requisitos de control de acceso del negocio Administración y seguridad de los medios de almacenamiento Intercambio de información y software 81 José Rosell. S2 Grupo. febrero de 2010
82 Resultados auditoría ISO Los objetivos de control se despliegan a su vez en los puntos de control establecidos por la ISO Esquemáticamente se representa en el radial adjunto: % José Rosell. S2 Grupo. febrero de % 80% 70% 60% 50% 40% 30% 20% 10% 0%
83 Matriz de controles y riesgos Muy alto 2 Seguridad Física y Ambiental Alto Clasificación y Control de Activos Seguridad del Personal 2 Cumplimiento Normativa 3 3 Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal Medio RIESGO Política de Seguridad 1 3 Seguridad Organizativa Bajo Gestión Comunicaciones Desarrollo y y Operaciones mantenimiento de sistemas Control de Acceso Muy bajo Gestión Continuidad Negocio 1 Fuente: S2 Grupo Muy bajo Bajo IMPACTO Medio Alto Muy alto 83
84 Iniciativas del Plan Director de Seguridad Imagen eliminada Material acceso restringido A partir del punto de partida identificado se definen una serie de iniciativas y proyectos cuyo objetivo fundamental será, por una parte, la consolidación o mantenimiento de los niveles de seguridad alcanzados, y por otra elevar los mismos hasta el nivel de seguridad objetivo marcado por la organización, de forma gradual.
85 Plan Director de Seguridad Gestión de continuidad del negocio Cumplimientos Política de seguridad 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Seguridad organizativa. Organización de la seguridad Clasificación y control de activos Desarrollo y mantenimiento de sistemas Seguridad de personal Control de acceso Seguridad física o ambiental Gestión de comunicaciones y operaciones Objetivo PDS Año 2 PDS Año 1 Auditoría cumplimiento por dominio 85
86 Servicios de Seguridad Gestionada La seguridad de la información y el conocimiento en manos de profesionales Centro de Servicios de S2 Grupo Enero 2010
87 Infraestructura de Argopolis Equipado actualmente con 16 puestos de trabajo totalmente funcionales. Capacidad del centro hasta 21 puestos de operación Sala de acceso limitado con control y registro de acceso Single Point of Contact para sus clientes mediante PBX/CTI basado en Asterisk totalmente operativo e integrado completamente con la plataforma de monitorización y de gestión de eventos y alarmas del centro 87
88 Infraestructuras de Argopolis Argopolis es un centro soportado y monitorizado por la plataforma tecnológica de S2 Grupo Dispone de una sala técnica perfectamente equipada con alta disponibilidad en comunicaciones y en suministro eléctrico mediante grupo electrógeno Dispone de una Sala de crisis diseñada con garantía de suministro eléctrico y comunicaciones para incident handling 88
89 Modelo de gestión del centro Los servicios del centro de seguridad gestionada están certificados con ISO 27001, ISO 9001 y en vías de obtención ISO Los procesos del centro están monitorizados en tiempo real Incluso el proceso de atención a clientes a través del Service Desk está monitorizado (Objetivo: No se pierde ninguna llamada al centro de servicios) 89
90 Equipo humano El equipo humano que da servicio al Centro de Seguridad Gestionada de S2 Grupo está compuesto por especialistas en seguridad, informática y telecomunicaciones, con certificaciones CISA, CISM, OSSTMM, CISSP, ITIL, CCNA, CCNP, etc Entre consultores y técnicos de seguridad el equipo está compuesto por más de 20 miembros 90
91 Plataforma tecnológica Argopolis dispone de una completa plataforma tecnológica desarrollada por S2 Grupo específicamente para Centros de Servicios Gestionados. La plataforma se compone de: Sistema de atención de llamadas: Basado en una PBX/CTI opensource Completo sistema de monitorización compuesto por un grupo de herramientas OpenSource seleccionadas: Nagios, Nessus, Snort, Ntop, MRTG, Squid, OCSInventory, OpenNMS, etc y agentes de desarrollo propio. Sistema propio de correlación compleja de eventos Sistema de gestión de eventos y alarmas con gestión de cambios, autorizaciones, CMDB, biblioteca de conocimiento, SLAs por proyecto, catálogo de servicios, Cuadro de Mando Activo con indicadores en tiempo real del servicio al cliente 91
92 Plataforma tecnológica La plataforma tecnológica permite controlar 24x7 las infraestructuras del centro y de sus clientes a través de su Consola única de eventos y alarmas 92
93 Plataforma tecnológica El cliente dispone de un acceso personalizado a la información de su proyecto en el Centro de Servicios a través de su portal
94 ArgoBox Para cada tipo de cliente, Argopolis implanta un ArgoBox con el entorno de monitorización adecuado. ArgoBox contiene una instancia de Argos adecuada para cada tipo de cliente S2 Grupo dispone de ArgoBox-Lite montados en un embedded-pc para pequeños clilentes o ArgoBox montados incluso en dos máquinas (IDS por una parte y el resto de monitorización por otra). Ejemplos de ArgoBox-Lite
95 Caso: Implantación ArgoBox y gestión remota seguridad
96 Antecedentes La situación inicial que se encuentra es desconocida por la organización, aunque se sabe que existen algunos problemas Hablamos de una organización del ámbito de la educación con muchos alumnos en el campus Inicialmente la organización tiene problemas indeterminados reportados en algunos casos por terceros Problemas de seguridad lógica continuos. Intrusiones. Virus. Vulnerabilidades. El desarrollo de una auditoría de seguridad lógica califica el estado de seguridad como INSATISFACTORIO
97 Actuación Tras un período inicial marcado por la ejecución de un PAU (Plan de Acciones Urgentes) se implanta un servicio de seguridad gestionada desde ARGÓPOLIS ARGÓPOLIS diseña el sistema de monitorización con el despliegue de una sonda ARGOBOX para la gestión de los sensores Dentro del dominio protegible de la organización se incluyen un total de 50 activos monitorizados entre los que hay: Servidores Electrónica de red Se alcanza una profundidad de monitorización de 7,2. HIDS. NIDS. Control de disponibilidad. Control de ancho de banda. Control de vulnerabilidades.
98 Mapa de controles REDIRIS WWW 10.X.X.X Router BRI0/1 BRI 1/1 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X WAN 10.X.X.X Router CARRIER SIMÉTRICO Firewall DMZ 10.X.X.X BRI1 10.X.X.X BRI0 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X SNMP XXXXX XXXXX SNMP LAN 10.X.X.X 10.X.X.X 10.X.X.X XXXXX 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X 10.X.X.X XXXXX XXX REDIRIS DNS DNS 10.X.X.X 10.X.X.X 10.X.X.X XXXXX 10.X.X.X 10.X.X.X 10.X.X.X XXXXX 10.X.X.X 10.X.X.X Switch RED 3 10.X.X.X RED 1 10.X.X.X XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX SMB 10.X.X.X SMB LDAP SMB DNS WINS LDAP SMB DNS WINS LDAP SMB DNS WINS LDAP SMB RED 2 XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX XXXXXX SMB 10.X.X.X FTP SMB SMB FTP FTP NFS SMB XXXXXX XXXXXX LDAP SMB LDAP SMB
99 Situación actual La situación actual de operación de ARGÓPOLIS arroja unas cifras inimaginables a priori Argopolis está gestionando la seguridad de la organización en remoto, manteniendo reuniones periódicas de seguimiento y coordinando, a través del centro de soporte todos los incidentes que surgen de forma continua Las cifras hablan por si solas. Datos del servicio durante el último año (01/03/08-01/03/09): eventos de seguridad. 537 alertas emitidas. 62 vulnerabilidades detectadas. 105 notificaciones críticas. 68 incidentes con gestión asociada. Además de la gestión de eventos de seguridad se ha trabajado en la elaboración de procedimientos y normativas e incluso en el apoyo ante las FFCCSE
100 Organización educativa. En un año se gestionan 8824 eventos de seguridad y se tratan 537 alertas de seguridad, 24 eventos por día y aproximadamente 10 alertas de seguridad por semana y 1 incidente grave por semana Alertas
101 Plataforma de gestión de un SGSI
102 Seguridad como proceso
103 emas-tic: Plataforma para la gestión de la infraestructura TIC Cuadro de mando activo Consola única de gestión de eventos Motor de correlación Plataforma de correlación Bus de eventos Sensores Procesos de la organización
104 Capacidades a tener en cuenta Trazabilidad de los eventos. Gestión en tiempo real. La necesidad de disponer de la información en el momento en que se produce. Multicanal. Selecciona el canal por el que debe comunicarse con cada recurso de la unidad de servicio. Facilitar una gestión proactiva de la Calidad del Servicio mediante la medición de indicadores en tiempo real como tiempo de respuesta, tiempo de resolución, disponibilidad, etcétera. Capacidad para monitorizar y controlar los procesos 24h, generando avisos al personal de guardia cuando es necesario. Plataforma única para gestionar TODOS los eventos relacionados con la Seguridad y con la Gestión del Sistema (tareas programadas, periódicas, no conformidades, eventos de sensores, etc )
105 Capacidades a tener en cuenta Gestionar el conocimiento asociado a los eventos que trata, facilitando los procesos de aprendizaje y mejora continua. El conocimiento del entorno y de su gestión queda en manos de la compañía, no de las personas. Capacidad de procedimentar la forma de actuación de la organización Capacidad para gestión los activos relacionados con los procesos. Medición de eficacia y eficiencia de los procesos.
Los Sistemas de Gestión de la Seguridad y el Nuevo Código Penal. José Miguel Rosell Tejada Socio Director. S2 Grupo 12 de Mayo, 2011
Los Sistemas de Gestión de la Seguridad y el Nuevo Código Penal José Miguel Rosell Tejada Socio Director. S2 Grupo 12 de Mayo, 2011 2 3 Datos de Sony 167.900 empleados 78 billones $ 5 Sony no es un caso
Más detallesLa calidad no está reñida con los costes
QUIÉNES SOMOS Empresa fundada en 2012. Somos una Consultora de Procesos, Sistemas y Tecnologías de la Información que apuesta por las soluciones Open Source a medida, como alternativa en época de crisis.
Más detallesSEGURIDAD GESTIONADA
SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesMÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED
MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detalles*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]
*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ] Autor: Vanesa Gil Laredo Responsable Consultoría S21Sec CISA, CISM, CGEIT, Lead Auditor, QSA Fecha: 2 Junio 2011 Índice Servicio Integral
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesCURSO DE ESQUEMA NACIONAL DE SEGURIDAD
CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detalles3. Necesidades actuales. Las necesidades demandas al gestor de base de datos Oracle en la Cámara de Cuentas de Andalucía son:
PLIEGO DE PRECRIPCIONES TECNICAS PARA LA CONTRATACIÓN, MEDIANTE EL PROCEDIMIENTO NEGOCIADO, DEL SERVICIO: SOPORTE Y ASISTENCIA TÉCNICA GESTOR DE BASE DE DATOS ORACLE 2009-2010 EXPT: 2010/010024 1. Introducción.
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesCloud Computing bajo su total control El modelo Cloud de Ibermática
Cloud Computing bajo su total control El modelo Cloud de Ibermática : IberCloud 2014 / 0 Índice El modelo Cloud de Ibermática Servicios Cloud para Partners y Distribuidores Acuerdo marca blanca Reventa
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA
ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA GESCONSULTOR 10 RAZONES PARA UTILIZAR GESCONSULTOR SOPORTE
Más detallesALOJAMIENTO DE SERVIDORES EN EL C.P.D.
ALOJAMIENTO DE SERVIDORES EN EL C.P.D. Descripción del servicio. Los Servicios Informáticos ofrecen el servicio de housing o alojamiento de servidores en las instalaciones existentes de la planta sótano
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN
Más detallesA la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:
XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,
Más detallesMonitorización de sistemas y servicios
Monitorización de sistemas y servicios Contenidos Contenidos... 1 Resumen ejecutivo... 2 Arquitectura de la plataforma de monitorización... 2 Monitorización y alarmas... 3 Monitorización... 3 Servicios
Más detallesCómo hacer coexistir el ENS con otras normas ya
Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción
Más detallesPragmatica C O N S U L T O R E S
u n a v i s i ó n p r á c t i c a En una sociedad en la que los cambios se producen de manera vertiginosa, donde la información, la tecnología y su continua innovación son el propulsor principal de una
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesProtección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas
Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesmope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.
DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3
Más detallesImplantación de un SGSI
Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...
Más detallesServicios de Seguridad de la Información
Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos
Más detallesINFORME TECNICO PARA ADQUISICION DE SOFTWARE PARA EL MONITOREO DE INTEGRADO DE INFRAESTRUCTURA
INFORME TECNICO PARA ADQUISICION DE SOFTWARE PARA EL MONITOREO DE INTEGRADO DE INFRAESTRUCTURA 1. NOMBRE DEL AREA : Oficina de Sistemas. RESPONSABLE DE EVALUACION : Ing. Eduardo Vásquez Díaz 3. CARGOS
Más detallesEstrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad
Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesModelo de seguridad gestionada basada en eventos de Gobierno de Aragón
Modelo de seguridad gestionada basada en eventos de Gobierno de Aragón Andoni Valverde, Responsable Implantación Productos Propios, zona Norte de S21sec. Robero Acero, Responsable de Gestión de Seguridad
Más detallesMonitorización y gestión de dispositivos, servicios y aplicaciones
Monitorización y gestión de dispositivos, servicios y aplicaciones Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefa del Servicio de Informática - Secretaría General Técnica
Más detalles1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesTenemos que tener en cuenta que los principales objetivos del ENS son:
Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesDirectiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros
Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:
Más detallesImplantación de un Sistema de Gestión de Seguridad de la Información según la
Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría
Más detallesINFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL
INFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22
Más detallesMejora de la Seguridad de la Información para las Pymes Españolas
Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesUNIVERSIDAD DE LA RIOJA
PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesVICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS
VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesREPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ
1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE
Más detalles!" #$ % &' (%) ' *+ Carretera de Utrera, Km.1 41013-SEVILLA. ESPAÑA. Tfno. (34) 95 434 92 58 Fax. (34) 95 434 92 62
!" #$ % &' (%) ' *+,- $ Carretera de Utrera, Km.1 41013-SEVILLA. ESPAÑA. Tfno. (34) 95 434 92 58 Fax. (34) 95 434 92 62 !" # $ % # & ' # & ' # # () ) # * $ # #+, + % -%.$%, / %, *., * $-% 0., $% 1 + 1
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesNombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: 4.2.2 DIRECCIÓN GENERAL DE EVALUACIÓN
Página 1 de 8 DIRECCIÓN GENERAL DE EVALUACIÓN 7.1 Planificación de la realización del servicio En la Dirección General de Evaluación (DGE) la planificación de la realización del servicio está sustentada
Más detallesCrecimiento Y Desarrollo EXPERTOS EN SISTEMAS DE GESTIÓN. Página 1 de 9
EXPERTOS EN SISTEMAS DE GESTIÓN Página 1 de 9 ÍNDICE DE CONTENIDOS 1. LA EMPRESA 2. RESUMEN SERVICIOS 3. SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 4. CONTÁCTAR Página 2 de 9 1. LA EMPRESA GICMA
Más detallesGAT - Servicios Gestionados. de Data Center. Con plenas garantías de disponibilidad gracias a su diseño TIER IV y a un uso racional y responsable de
GAT - Servicios Gestionados de Data Center Con plenas garantías de disponibilidad gracias a su diseño TIER IV y a un uso racional y responsable de la energía CATÁLOGO DE SERVICIOS Introducción Los Data
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesdepartamento de informática corporativa La pieza integradora CMDB: La pieza integradora
La pieza integradora 1 OBJETIVO Presentar la CMDB como elemento integrador para: Análisis de riesgos de los sistemas de información. Gestión de incidencias. Gestión de inventario. Monitorización de los
Más detallesTecninorte Programación y Mantenimiento Parque Empresarial Tirso González, 22 - oficina 3 39610 - Astillero - Cantabria
Misión y Valores Para nuestra empresa el cliente es lo más importante, por ello ofrecemos una estrecha relación de confianza y colaboración. Nuestra intención es poder ofrecer a nuestros clientes un servicio
Más detallesSeguridad TIC en la PYME Semana sobre Seguridad Informática
Seguridad TIC en la PYME Semana sobre Seguridad Informática Iñigo Tomé Bermejo Centro Demostrador de Seguridad para la PYME Versión 0.e Índice de la Jornada Parte 1 1. La PYME y el reto de la seguridad
Más detallesTEMA 1: INTRODUCCIÓN A SERVICIOS TI
CIMSI Configuración, Implementación y Mantenimiento de Sistemas Informáticos TEMA 1: INTRODUCCIÓN A SERVICIOS TI Daniel Cascado Caballero Rosa Yáñez Gómez Mª José Morón Fernández E.T.S. de Ingeniería Informática
Más detalles, SERVICIOS INTEGRALES, S.L. GESTION EMPRESARIAL
, SERVICIOS INTEGRALES, S.L. GESTION EMPRESARIAL Sistemas de Gestión Los Sistemas de Gestión son herramientas vitales para que una Organización pueda gestionar y mejorar todos los aspectos inherentes a
Más detallesPlan Estratégico. Servicio de Informática
Plan Estratégico. Servicio de Informática INTRODUCCIÓN El Plan Estratégico de Gestión de la Universidad de Alicante nace de la voluntad del Equipo de Gobierno como un compromiso recogido en su programa.
Más detallesPROCEDIMIENTO PARA CONTROL DE REGISTROS
Código: ES-MC-PR02 Página: 1 de 5 1. OBJETIVO Definir las actividades y controles necesarios para la identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y la disposición
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para
Más detallesANALITICS21 ENCARGADO DE SEGURIDAD INFORMÁTICA Y SOFTWARE DE APOYO. Una Nube de servicios especializados para el futuro
Una Nube de servicios especializados para el futuro ANALITICS21 ENCARGADO DE SEGURIDAD INFORMÁTICA Y SOFTWARE DE APOYO EXPERIENCIA E INNOVACIÓN ORIENTADAS A SEGURIDAD DE LA INFORMACIÓN Muchas empresas
Más detallesEstándares y Normas de Seguridad
Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los
Más detallesPROCEDIMIENTO ESPECÍFICO. Código G083-01 Edición 0
Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. DEFINICIÓN...
Más detallesPLIEGO DE PRESCRIPCIONES TÉCNICAS CONTRATACIÓN DE LOS SERVICIOS DE MONITORIZACIÓN Y OPERACIÓN LAS 24 HORAS DEL DÍA LOS 7 DIAS DE LA SEMANA
PLIEGO DE PRESCRIPCIONES TÉCNICAS CONTRATACIÓN DE LOS SERVICIOS DE MONITORIZACIÓN Y OPERACIÓN LAS 24 HORAS DEL DÍA LOS 7 DIAS DE LA SEMANA El objeto del presente pliego es fijar las prescripciones técnicas
Más detallesTITULO: SERVICIO DE INFORMACIÓN A TRAVÉS DE UNA RED DE PUNTOS DE INFORMACIÓN ELECTRÓNICA EN ESPACIOS PÚBLICOS DE LA CIUDAD DE MADRID
TITULO: SERVICIO DE INFORMACIÓN A TRAVÉS DE UNA RED DE PUNTOS DE INFORMACIÓN ELECTRÓNICA EN ESPACIOS PÚBLICOS DE LA CIUDAD DE MADRID Apoyado por: DOMINION S.A. 1.- Antecedentes/Problemática A la Dirección
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesDIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME
DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación
Más detallesMonitoreo de Plataformas TI. de Servicios
Por qué Provectis Infraestructura de Monitoreo de Plataformas TI Administrados de Servidores Administrados de Almacenamiento Administrados de Respaldo y Recuperación Administrados de Plataformas de Escritorio
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesSoluciones y Servicios en Comunicaciones y Tecnologías de la Información. Portfolio de servicios
Soluciones y Servicios en Comunicaciones y Tecnologías de la Información Portfolio de servicios La Empresa Una solución para cada necesidad Comyseg Solutions es un proveedor de Soluciones y Servicios en
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detalles1. Seguridad de la Información... 3. 2. Servicios... 4
Guía de productos y servicios relacionados con la Seguridad de la Información INDICE DE CONTENIDO 1. Seguridad de la Información... 3 2. Servicios... 4 2.1 Implantación Sistema de Gestión de Seguridad
Más detallesGuía de servicios. Contenidos
Guía de servicios Contenidos Contenidos... 1 Consultoría y proyectos de software libre... 2 Cómo podemos ayudar al cliente a ser más competitivo?... 2 La mejor opción... 2 Mantenimiento de sistemas...
Más detallesSERVICIO DE CONSULTORÍA DE CALIDAD PARA CLÍNICAS DENTALES
SERVICIO DE CONSULTORÍA DE CALIDAD PARA CLÍNICAS DENTALES Conozca mejor, las ventajas de tener implantado un Sistema de Calidad de Centros y Servicios Dentales UNE 179001 y un Sistema de Gestión de Calidad
Más detallesGESTIÓN DE LA CALIDAD
ÍNDICE Introducción... 9 Capítulo VIII. Mejora... 13 Capítulo VIII. Procesos y capacidad... 15 Capítulo VIII. Localización... 33 Capítulo IIIV. Distribución en planta... 79 Capítulo IIIV. Gestión de proyectos...
Más detallesQuiénes Somos Servicios Tecnológicos Consultoría Gold Partner ORACLE DBA s certificados amplia experiencia
Quiénes Somos Somos una empresa de Servicios Tecnológicos y Consultoría, con excelentes profesionales que participan en los proyectos de las empresas que basan su crecimiento en los sistemas informáticos
Más detallesedatalia Soluciones de firma y factura electrónica www.edatalia.com Catálogo de Partners
edatalia Soluciones de firma y factura electrónica www.edatalia.com Catálogo de Partners edatalia Soluciones de firma y factura electrónica www.edatalia.com 1. Quiénes somos 2. La iniciativa de edatalia
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesMovilidad y Seguridad en el Entorno de Trabajo de Investigadores y Estudiantes
Foro de Seguridad de RedIRIS 2009 Ciudad Real Movilidad y Seguridad en el Entorno de Trabajo de Investigadores y Estudiantes Albert Puig Artola Gerente de Negocio de Seguridad Integral TIC Albert.puig@telindus.es
Más detallesSGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es
SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesINFORME FINAL DE AUDITORIA. Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005. Telecomunicaciones.
INFORME FINAL DE AUDITORIA Nivel de madures CMM para las dominios de la norma ISO/IEC 27001:2005 Telecomunicaciones Elaborado por: Héctor Fernando Vargas Montoya Junio 2014 La información acá contenida
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesDeloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria
Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesSEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS
SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las
Más detallesPORTAFOLIO DE SERVICIOS DE GESTION IT
PORTAFOLIO DE SERVICIOS DE GESTION IT QUIENES SOMOS SERSUCOM se dedica a brindar soluciones tecnológicas integrales a sus clientes gestionando todos los servicios de IT que demandan las empresas para su
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detalles