Información. Ing. Max Lazaro. Electrónico e Informática
|
|
- Celia Quiroga Hernández
- hace 8 años
- Vistas:
Transcripción
1 Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
2 Nuevos Escenarios: Seguridad de la Información
3 Qué se debe asegurar? La información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos, debe estar debidamente protegida.
4 Contra qué se debe proteger la Información?
5 Amenazas Password cracking Fraudes informáticos Escalamiento de privilegios Puertos vulnerables abiertos Exploits Man in the middle Violación de la privacidad de los empleados Servicios de log inexistentes o que no son chequeados Denegación de servicio Últimos parches no instalados Backups inexistentes Instalaciones default Keylogging P t i Hacking de Centrales Telefónicas Desactualización Destrucción de equipamiento Port scanning
6 Más Amenazas!! Spamming Violación de contraseñas Virus Mails anónimos con agresiones Interrupción de los servicios Intercepción y modificación y violación de s Captura de PC desde el exterior Incumplimiento de leyes y regulaciones Acceso clandestino a redes Acceso indebido a documentos impresos Indisponibilidad de información clave Falsificación de información para terceros Ingeniería social empleados deshonestos Programas bomba, troyanos Destrucción de soportes documentales Robo o extravío de notebooks, palms Propiedad de la información Robo de información Intercepción de comunicaciones voz y wireless Agujeros de seguridad de redes conectadas
7 Por qué aumentan las amenazas? Algunas Causas Crecimiento exponencial de las Redes y Usuarios Interconectados Dependencia. Profusión de las BD On-Line Inmadurez de las Nuevas Tecnologías Alta disponibilidad de Herramientas Automatizadas de Ataques Nuevas Técnicas cas de Ataque Distribuido (Ej:DDoS) Técnicas de Ingeniería Social
8 Vulnerabilidades Comunes Inadecuado compromiso de la dirección. Personal inadecuadamente capacitado y concientizado. Inadecuada asignación de responsabilidades. Ausencia de políticas/ procedimientos. Ausencia de controles (físicos/lógicos) (disuasivos/preventivos/detectivos/correctivos) Ausencia de reportes de incidentes y vulnerabilidades. Inadecuado seguimiento y monitoreo de los controles.
9 Qué se debe garantizar?
10 Dimensiones críticas de Seguridad la información de la Información E Información D T Prevenir Cambios no autorizados en Activos de Información E-commerce I = Prevenir Divulgación no autorizada de Activos de Información C Información (dimensiones) Secreto impuesto de acuerdo con políticas de seguridad SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento Autenticidad de leyes y de compromisos) D quien hace uso de datos o servicios Trazabilidad del uso de servicios (quién, cuándo) o datos (quien y que hace) 7x24x365 No repudio (Compromisos) Confiabilidad Prevenir Destrucción no autorizada de Activos de Información Validez y Precisión de información y sistemas. Acceso en tiempo correcto y confiable a SINO: Información manipulada, incompleta, datos y recursos. rsos corrupta y por lo tanto mal desempeño de SINO: Interrupción de Servicios o Baja funciones Productividad
11 Acciones de la ONGEI Seguridad de la Información
12 Actualmente la ONGEI apoya a las entidades públicas en los siguientes principales servicios: Análisis de vulnerabilidades de los servidores Web de las Entidades Publicas. Boletines de Seguridad de la información Boletines de Alertas de Antivirus. Presentaciones técnicas sobre seguridad. Consultorías y apoyo en recomendaciones técnicas.
13 ONGEI Estaciones de Trabajo Red Intena Firewall Servidores Análisis de Vulnerabilidades Web Server Server
14 Análisis de Vulnerabilidades en números al 2009 Mes Alto Bajo Info Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre Total
15 Estadística General Info; 24; 19% Bajo; 62; 49% Alto; 40; 32% Alto Bajo Info
16 Política de Seguridad para el Sector Público
17 Que se entiende por Politica de Seguridad? Conjunto de requisitos definidos por los responsables directos o indirectos de un Sistema que indica en términos generales qué está permitido y qué no lo está en el área de seguridad durante la operación general de dicho sistema Diferencias entre Política, Estándar y Procedimiento o Política: el porqué una organización ió protege la información ió o Estándares: lo que la organización quiere hacer para implementar y administrar la seguridad de la información o Procedimientos: cómo la organización obtendrá los requerimientos de seguridad
18 Con fecha 23 de julio del 2004 la PCM a través de la ONGEI, dispone el uso obligatorio de la Norma Técnica Peruana NTP ISO/IEC 17799:2004 EDI. Tecnología de la Información: Código de Buenas Prácticas para la Gestión de la Seguridad de la Información en entidades del Sistema Nacional de Informática. Se Actualizó el 25 de Agosto del 2007 con la Norma Técnica Peruana NTP ISO/IEC 17799:2007 EDI.
19 Cuales son los temas o dominios a considerar dentro de un plan de Seguridad?
20 Los 11 Dominios de la NTP ISO Gestión de la continuidad Gestión de incidentesid Desarrollo y mantenimiento Cumplimiento integridad Política de seguridad Información disponibilidad Confidencialidad Organización de la Seguridad Gestiòn de Activos Seguridad del personal Control de accesos Gestión de comunicaciones y operaciones Seguridad física y medioambiental
21 Los 11 dominios de control de ISO Política de seguridad: Se necesita una política que refleje las expectativas de la organización en materia de seguridad, a fin de suministrar administración con dirección y soporte. La política también se puede utilizar como base para el estudio y evaluación en curso. 2. Aspectos organizativos para la seguridad: Sugiere diseñar una estructura de administración dentro la organización, que establezca la responsabilidad de los grupos en ciertas áreas de la seguridad y un proceso pocesoparaa el manejo de respuesta a incidentes.
22 3. Clasificación y Control de Activos: Inventario de los recursos de información de la organización y con base en este conocimiento, debe asegurar que se brinde un nivel adecuado de protección. 4. Seguridad d de Recursos Humanos: Necesidad de educar e informar a los empleados actuales y potenciales sobre lo que se espera de ellos en materia de seguridad y asuntos de confidencialidad. Implementa un plan para reportar los incidentes. 5. Seguridad física y del Entorno: Responde a la necesidad de proteger las áreas, el equipo y los controles generales.
23 6. Gestión de Comunicaciones y Operaciones: Los objetivos de esta sección son: Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información. Minimizar el riesgo de falla de los sistemas. Proteger la integridad del software y la información. Conservar la integridad y disponibilidad del procesamiento y la comunicación de la información. Garantizar la protección de la información en las redes y de la infraestructura de soporte. Evitar daños a los recursos de información e interrupciones en las actividades de la institución. Evitar la pérdida, modificación o uso indebido de la información que intercambian las organizaciones.
24 7. Control de accesos: Establece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicación como protección contra los abusos internos e intrusos externos. 8. Adquisición, Desarrollo o y Mantenimiento e to de los sistemas: Recuerda que en toda labor de la tecnología de la información, se debe implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso.
25 9. Gestión de Incidentes de la Seguridad de la información Asegurar que los eventos y debilidades en la seguridad de la información sean comunicados de manera que permitan una acción correctiva a tiempo. 10. Gestión de Continuidad del Negocio Aconseja estar preparado para contrarrestar las interrupciones en las actividadesidades de la organizaciónación y para proteger los procesos importantes de la organización en caso de una falla grave o desastre. 11. Cumplimiento: Evitar brechas de cualquier ley civil o criminal, estatutos, obligaciones regulatorias o contractuales y de cualquier requerimiento de seguridad.
26 SGSI - Modelo P-H-V-A Metodología de la ISO/IEC 27001
27 SGSI El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. Incluye. Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y recueros.
28 (Planificar /Hacer /Verificar Seguridad /Actuar) de la Información Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI. Planificar Establecer el SGSI Mantener y Mejorar el SGSI Actuar Partes Interesadas Partes Interesadas Implementar y operar el SGSI Monitorear el SGSI Requisitos y expectativas Hacer Verificar Seguridad Gestionada
29 (Planificar /Hacer /Verificar Seguridad /Actuar) de la Información El SGSI adopta el siguiente modelo: Definir la política de seguridad Establecer el alcance del SGSI Realizar los análisis de riesgos Seleccionar los controles Planificar PHVA Hacer Implantar el plan de gestión de riesgos Implantar el SGSI Implantar los controles. Implantar indicadores. Adoptar acciones correctivas Adoptar acciones preventivas Actuar Verificar Revisiones del SGSI por parte de la Dirección. Realizar auditorías internas del SGSI
30 Establecer el SGSI (Plan) Seguridad de la Información Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información para generar resultados de acuerdo con una política y objetivos marco de la organización. Definir el alcance del SGSI a la luz de la organización. Definir la Política de Seguridad. Aplicar un enfoque sistémico para evaluar el riesgo.
31 Establecer el SGSI (Plan) Seguridad de la Información Identificar y evaluar opciones para tratar el riesgo Mitigar, eliminar, transferir, aceptar Seleccionar objetivos de Control y controles a implementar (Mitigar). A partir de los controles definidos id por la ISO/IEC Establecer enunciado de aplicabilidad
32 Implementar y operar (Do) Seguridad de la Información Implementar y operar la política de seguridad, controles, procesos y procedimientos. Implementar plan de tratamiento de riesgos. Transferir, eliminar, aceptar Implementar los controles seleccionados. Mitigar Aceptar riesgo residual. Firma de la alta dirección para riesgos que superan el nivel definido.
33 Implementar y operar (Do) Seguridad de la Información Implementar medidas para evaluar la eficacia de los controles Gestionar operaciones y recursos. Implementar programas de Capacitación y concientización. Implementar procedimientos y controles de detección y respuesta a incidentes.
34 Monitoreo y Revisión (Check) Seguridad de la Información Evaluar y medir la performance de los procesos contra la política de seguridad, d los objetivos y experiencia i practica y reportar los resultados a la dirección para su revisión. Revisar el nivel de riesgo residual aceptable, considerando: Cambios en la organización. Cambios en la tecnologías. Cambios en los objetivos del negocio. Cambios en las amenazas. Cambios en las condiciones externas (ej. Regulaciones, leyes). Realizar auditorias internas. Realizar revisiones por parte de la dirección del SGSI.
35 Monitoreo y Revisión (Check) Seguridad de la Información Se debe establecer y ejecutar procedimientos de monitoreo para: Detectar errores. Identificar ataques a la seguridad fallidos y exitosos. Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad. Determinar las acciones realizadas para resolver brechas a la seguridad. d Mantener registros de las acciones y eventos que pueden impactar al SGSI. Realizar revisiones regulares a la eficiencia del SGSI.
36 Mantenimiento y mejora del SGSI (Act) Seguridad de la Información Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI. Medir el desempeño del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
37 PECERT
38 Con fecha 22 de Agosto del 2009, en el diario oficial el Peruano la Resolución Ministerial PCM PCM, que crea el Grupo de Trabajo denominado Coordinadora de Respuestas a Emergencias en Redes Teleinformáticas de la Administración Pública del Perú - PECERT
39 ONGEI sera un csirt de coordinacion Cada Ministerio creara un csirt operativo.
40 Este material podrá obtenerlo en p p en la Sección Documentos También encontrará allí plantillas para la implementación de políticas especificas
Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios Seguridad de la Información Qué se debe asegurar? LA INFORMACION es un ACTIVO La información
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesSistemas de Gestión de la Seguridad de la Información.
Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesTaller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC
Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesESCUELA POLITECNICA NACIONAL
1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesSeguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.
Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesImplantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo
Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesPOLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.
CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesSistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei
Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.
Más detallesSeguridad Informática
Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida
Más detallesNORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD
NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva
Más detallesNorma Técnica Peruana:
Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesSistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)
INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesSeguridad de la Información & Norma ISO27001
Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesPolíticas de seguridad de la información. Empresa
Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido
Más detallesTaller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013
Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesFICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES
I. IDENTIFICACIÓN Página 1 de 5 DENOMINACIÓN DEL EMPLEO: JEFE DE PLANTA SIGLA: JP CLASE: VIII GRADO: 22, 23, 24 NIVEL: EJECUTIVO NÚMERO DE CARGOS: 11 DEPENDENCIA: JEFE INMEDIATO: PLANTA FÁBRICAS PLANTA
Más detallesÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA
ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA GESCONSULTOR 10 RAZONES PARA UTILIZAR GESCONSULTOR SOPORTE
Más detallesA la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:
XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,
Más detallesCOMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD
COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesEjemplo Manual de la Calidad
Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a
Más detallesSeguridad de la Información. Max Lazaro Taico Oficina Nacional de Gobierno Electrónico e Informática PCM
Seguridad de la Información Max Lazaro Taico Oficina Nacional de Gobierno Electrónico e Informática PCM Ventanilla Unica de Servicios al Ciudadano y la Empresa Estrategia de Gobierno Electrónico Cambio
Más detallesPolíticas de Seguridad de la información
2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesGuía: Controles de Seguridad y Privacidad de la Información
Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesMANUAL DE SEGURIDAD DE LA INFORMACIÓN
MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detalles[Guía de auditoría AudiLacteos]
[Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software
Más detallesImplantación de un SGSI
Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...
Más detallesPOLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP
Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de
Más detallesNTP - ISO/IEC 27001:2008
NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo
Más detallesDirectiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros
Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:
Más detallesCómo aprovechar mejor el Webinar
Cómo aprovechar mejor el Webinar Utilice la herramienta de P&R (Preguntas y Respuestas) con la opción preguntar a todos los miembros del panel (DNV) marcada. Esta herramienta puede ser utilizada en cualquier
Más detallesHospital Nacional de Maternidad UNIDAD DE INFORMATICA
Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesDECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO
Más detallesGuía de procesos en gestión de incidentes
SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad
Más detallesManejo y Análisis de Incidentes de Seguridad Informática
Manejo y Análisis de Incidentes de Seguridad Informática Julio Ardita jardita@cybsec.com CYBSEC Agenda - Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad - Metodologías de investigación
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesGobierno, riesgo y cumplimiento
Gobierno, riesgo y cumplimiento Gobierno, Riesgo y Cumplimiento GOBIERNO Proceso por el cual políticas y objetivos son establecidas, mantenidas y efectivamente comunicadas a toda la organización. 2014
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica
ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesRECOMENDACIONES. HALLAZGOS Objetivos especifico Justificación/Norma ANEXO
HALLAZGOS HALLAZGOS Objetivos especifico Justificación/Norma 1 No se estiman los presupuestos y calendario l proyecto En el objetivo específico 7 Verificar si se asigna los recursos necesarios para el
Más detalles12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA
Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesNORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)
NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.) Normas de Uso Aceptable y Seguridad de la Red de datos de la Universidad Autónoma de Madrid (U.A.M.)
Más detallesEl Control Interno en la Administración Pública. Procuraduría General de la República
El Control Interno en la Administración Pública Procuraduría General de la República Objetivo General Que los Servidores Públicos de la Procuraduría General de la República, reconozcan la importancia y
Más detallesNorma de uso Identificación y autentificación Ministerio del Interior N02
Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesSanidad e Higiene Industrial. Docente: Msc. Abel Rosado Ruiz-Apodaca
Sanidad e Higiene Industrial Docente: Msc. Abel Rosado Ruiz-Apodaca HACCP y su relación con ISO Los sistemas de calidad en la industria son fundamentales para la elaboración de alimentos que no solo sean
Más detallesPOLÍTICA DE GESTIÓN DEL SERVICIO
OBJETIVO DE LA POLÍTICA DEL SISTEMA DE GESTIÓN DEL SERVICIO (SGS) El presente documento tiene por objeto establecer la Política de Gestión del Servicio para FIBRATEL en base a los requisitos dispuestos
Más detallesPROTECCIÓN DEL PATRIMONIO TECNOLÓGICO
PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO Mtra. Mariela Osorio Domínguez El Modelo Nacional de Gestión de Tecnología considera la Protección del Patrimonio Tecnológico como la salvaguarda y cuidado del patrimonio
Más detallesEntendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015
Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1
ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesSeguridad en la red. Fuga o robo de información a causa de las siguientes razones:
Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesSeminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:
Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detallesCómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas?
Semana de Seguridad CTCR Índice 1.- Presentación empresa 2.- SGSI? 3.- Proceso de implantación SGSI Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas? Cristina Atienza
Más detallesALCALDÍA MUNICIPAL DE ANGOSTURA ANTIOQUIA VERIFICACIÓN DE CUMPLIMIENTO NORMAS DE USO SOFTWARE, DERECHOS DE AUTOR Y LOS DERECHOS CONEXOS INFORME
300 093 ALCALDÍA MUNICIPAL DE ANGOSTURA ANTIOQUIA VERIFICACIÓN DE CUMPLIMIENTO NORMAS DE USO SOFTWARE, DERECHOS DE AUTOR Y LOS DERECHOS CONEXOS INFORME JOSE MIGUEL VASQUEZ ARANGO ALCALDE PILAR REGINA JARAMILLO
Más detalles