Auditoría, Cumplimiento y Seguridad: El Triángulo Digital de las Bermudas
|
|
- Nicolás Alfredo Robles Pérez
- hace 6 años
- Vistas:
Transcripción
1
2 Auditoría, Cumplimiento y Seguridad: El Triángulo Digital de las Bermudas Arturo García Hernández * (MSc, MSN, DSE, CISM) * Los comentarios e información derivada representan únicamente el punto de vista del expositor. Monterrey, Nuevo León. Diciembre
3 Agenda Objetivo El Triángulo Digital de las Bermudas Problemática Modelo Tradicional de Navegación Un paso más allá: GRIC Conclusiones 3
4 Objetivo Describir los retos que las organizaciones se enfrentan en los mares digitales contemporáneos y compartir algunos prácticas para que puedan navegar con mayor certeza en aguas turbulentas y misteriosas. 4
5 Triángulo de las Bermudas 5
6 Triángulo Digital de las Bermudas Seguridad Partes interesadas (stakeholders) Organización Auditoría Cumplimiento 6
7 Definiciones Auditoría: Inspección y verificación formal para validar que un estándar o conjunto de lineamientos están siendo atendidos, que los registros son precisos, o que los objetivos de eficiencia y eficacia están siendo alcanzados. Cumplimiento: Adherirse a requerimientos mandatorios definidos por las leyes y regulaciones, así como a requerimientos voluntarios resultado de obligaciones contractuales y políticas internas. Seguridad de la Información: Asegurar que dentro de la organización, la información está protegida contra la divulgación de parte de usuarios no autorizados (confidencialidad), modificación no apropiada (integridad), y al no acceso cuando se requiera (disponibilidad). Fuente: 7
8 Problemática La ausencia de un objetivo en común provoca en ocasiones una lucha interna en la cual se han perdido muchas organizaciones. Seguridad Organización Partes interesadas (stakeholders) Auditoría Cumplimiento 8
9 2017 Qué fue lo que falló?: A)Auditoría B)Cumplimiento C)Seguridad D)Algunas de las anteriores E)Todas las anteriores F)Ninguna de las anteriores Fuente:
10 Auditoría de Seguridad La auditoría de seguridad da certeza de la seguridad de la información de una organización? Cómo auditan la efectividad del programa y los controles de la seguridad de la información?
11 11
12 Modelo Tradicional de Navegación 12
13 Modelos Tradicionales de Gobernanza (1 de 2) Comúnmente los modelos tradicionales pretenden maximizar la navegación segura y efectiva satisfaciendo las siguientes necesidades: Alineación estratégica Entrega de valor Administración de recursos Administración del riesgo Medición del desempeño Cumpliendo con los requerimientos regulatorios y contractuales. 13
14 Modelos Tradicionales de Gobernanza (2 de 2) El modelo tradicional de gobierno de TI integra la implementación generalmente de varios marcos de trabajo líderes en mercado. Por ejemplo para ISACA: COBIT ISO27001 ITIL Auditoria Gobierno Seguridad Organización Cumplimiento Partes interesadas (stakeholders)
15 15
16 Un paso más allá Navegar en aguas profundas y turbulentas 16
17 Retos actuales Los mares actuales cada vez están más agitados y muchas organizaciones, particularmente las infraestructuras críticas de información (ICI), requieren modelos de seguridad que enfrenten exitosamente los retos actuales. Se requiere incorporar prácticas robustas en la estrategia de protección digital de las organizaciones para maximizar su nivel de resiliencia. 17
18 El GRIC GRIC (Gobierno para la Resiliencia de Infraestructuras Críticas) Gobierno Seguridad Reforzado por las buenas prácticas de la Ciberseguridad: A) Inteligencia de ciberamenazas B) Cacería de ciberamenazas C) Red Team Organización Partes interesadas (stakeholders) Auditoria Cumplimiento 18
19 19
20 A) Inteligencia de ciberamenazas (Cyber Threat Intelligence) Definición: Proceso de adquisición y análisis de información para identificar, rastrear, predecir y contrarrestar las capacidades, intenciones y actividades de adversarios (atacantes), y ofrecer cursos de acción con base en el contexto particular de las organizaciones. Se apoya de investigación en fuentes abiertas, monitoreo de Deep Web y Dark Web, canales IRC, etc. Beneficios: Identificación de capacidades y técnicas de amenazas reales, nuevas y existentes. Búsqueda de posibles campañas actuales que se estén orquestando. Identificación de información que podría permitir la anticipación a posibles ataques. Información de otras organizaciones que han sido comprometidas antes de ser publicada en la Clear Web. Fuente: 20
21 Tipos de web Clear Web: todos los sitios web que pueden ser indexados (encontrados) por buscadores tradicionales como Bing, Google o Yahoo. También se le conoce como: clearnet, indexed web, indexable web, lightnet, visible web. Deep Web: toda aquella información en Internet que no puede ser indexada por buscadores tradicionales como Bing, Google o Yahoo. Incluye bases de datos, intranets de organizaciones, sitios web protegidos por contraseña, etc. Dark Web: conjunto de sitios web que requieren el uso de software especializado para navegar de forma anónima para ser accedidos. El software más común utilizado para acceder a la Dark Web es The Onion Browser, también conocido como TOR Browser. Fuente: 21
22
23 Riesgos de la Dark Web Un adversario podría planear y ejecutar ataques de gran impacto para la organización si: Obtiene información sobre la organización, sus procesos, procedimientos, personal, infraestructura, y/o tecnología. Descubre la identidad de quien navega la Dark Web utilizando técnicas de inferencia. Ej. analizando el cómo se dicen las cosas y no solo el qué, los términos utilizados, horarios de conexión, o a través de scripts que recolectan información del equipo de cómputo desde donde se accede. Logra comprometer los sistemas de los visitantes del sitio web de su propiedad. Ej. A través de scripts maliciosos que se ejecutan al momento de visitar el sitio web. 23
24 Recomendaciones para navegar en la Dark Web Utilizar equipo profesional de buceo. Acceder utilizando una conexión a internet aislada y diferente de la de la organización. Utilizar un equipo de cómputo y sistema operativo dedicados para la navegación en la Dark Web. Amnesic Incognito Live System*. Observar y no interactuar realizando transacciones o comentando en los sitios web. Evitar acciones que permitan a la terceros inferir la identidad del navegante. Conectarse frecuentemente en ciertos horarios. Comentar sobre temas muy específicos de la organización o la región de procedencia. No permitir la ejecución de scripts que recolectan información del equipo de cómputo desde donde se accede. Validar la información recabada. No toda la información en la Dark Web es confiable ni cierta. *
25 B) Cacería de ciberamenazas (Cyber Threat Hunting) Definición: Intercepción, rastreo y eliminación activa y oportuna de ciberamenazas a lo largo de todo el proceso dirigido que siguen los adversarios para conseguir sus objetivos maliciosos. Centra su búsqueda en las amenazas que tienen la intención, la capacidad y la oportunidad de hacer daño y que ya están dentro de las redes y sistemas de la organización. Beneficios: Detección temprana de amenazas (por tanto menos impacto a la organización). Mejora de contramedidas automatizadas. Permite mayor visibilidad y el descubrimiento de debilidades en los sistemas. Fuentes:
26 B) Cacería de ciberamenazas (Cyber Threat Hunting) Modelo de madurez para la cacería de ciberamenazas: Fuentes:
27 C) Red Team Evaluación práctica de la seguridad de los sistemas a través de la simulación realista de ataques simultáneos dirigidos al personal, los sistemas, el hardware y las instalaciones de una organización. Además de utilizar metodologías comunes de Ethical Hacking y/o Pentest, el equipo de seguridad ( Red Team ) basa su evaluación en las tácticas, técnicas y procedimientos que utilizan atacantes reales en situaciones reales. La Dark Web es una fuente valiosa para la búsqueda de exploits y herramientas de hackeo reales las cuales pueden ser usados en el ejercicio del Red Team. 27
28 Beneficios del Red Team Identificación de vulnerabilidades informáticas y estimación del riesgo real asociado en sistemas críticos. Provisión de información valiosa al proceso de inteligencia de ciberamenazas que permite potenciar el proceso de la cacería de ciberamenazas. Validación de potenciales vulnerabilidades identificadas en el proceso de inteligencia de ciberamenazas. Insumo necesario para la creación efectiva de play books. 28
29 Cacería de ciberamenazas Información de procesos, registro, logs Actividad maliciosa Indicadores de compromiso (IOCs) Configuraciones, parches, políticas Controles de seguridad Dark Web Fuente: Elaboración propia Información de organizaciones comprometidas, campañas, herramientas de hackeo, exploits Herramientas de hackeo, exploits Inteligencia de ciberamenazas Red Team Resultados de las evaluaciones prácticas Configuraciones, parches, políticas Posibles ataques y vulnerabilidades por validar Modelo de gobierno (COBIT, ITIL, ISO 27001) Configuraciones, parches, políticas 29
30 Conclusiones La exhibición de un documento, una lista de verificación o checklist de forma solitaria para demostrar auditoría, cumplimiento o seguridad NO es garantía de la probabilidad de éxito de un ciberataque a la organización lo peor: puede incrementarla. Hoy en día la implantación exitosa de un modelo de gobernanza es la línea base mínima suficiente para navegar en los mares actuales del ciberespacio. Los océanos actuales son agitados y misteriosos, por lo que para navegar en el Triángulo digital de la Bermudas se requiere UNIDAD entre las prácticas de Auditoría, Cumplimiento y Seguridad. 30
31 31
32 Una tarea más Revisa y comparte el video de la plática TED La cultura de ciberseguridad Disponible en 32
33 Preguntas? Gracias. Arturo García Hernández 33
34
Somos una empresa joven formada por profesionales que poseen más de 15 años de experiencia
Somos una empresa joven formada por profesionales que poseen más de 15 años de experiencia en Seguridad de la Información, contamos con amplia experiencia en la implementación de soluciones y servicios
ISO Gestión de Riesgos de Ciberseguridad. Krav Maga Hacking Information Security Services
ISO 27032 Gestión de Riesgos de Ciberseguridad whoami Una fork en GitLife que seguro será mucho mejor software! Padre [ no mucho ultimamente :-( ] cat /dev/sec grep * >> /dev/mind Curioso, navegante empedernido
Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014
Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014 Duración: 100 horas Modalidad: Online Coste Bonificable: 750 Objetivos del curso Este Curso de Técnico Profesional en Sistema
El paquete completo de COBIT consiste en:
Qué es COBIT? Es un conjunto de mejores prácticas (marco de referencia o framework) para la administración IT creado por ISACA (Information Systems Audit and Control Association), e ITGI (IT Governance
Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas
Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas Armando Carvajal Arquitecto de Seguridad - Globaltek Security armando.carvajal@globalteksecurity.com Msc en seguridad
INGENIERÍA EN TECNOLOGÍAS DE LA INFORMACIÓN
INGENIERÍA HOJA DE ASIGNATURA CON DESGLOSE DE UNIDADES TEMÁTICAS 1. Nombre de la Auditoría de Sistemas de T.I. asignatura 2. Competencias Dirigir proyectos de tecnologías de información (T.I.) para contribuir
Especialistas en Auditoría de TI, Gestión de Riesgos, Control Interno, Gobierno de TI
Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Utiles en los s iniciales para impulsar proyectos de implementación de gobierno Nota: Cobit posee más indicadores, estos se han seleccionado
AUDITORIA INFORMATICA. Carlos A Jara
AUDITORIA INFORMATICA Carlos A Jara IMPORTANCIA DE LA AUDITORIA INFORMATICA Mejora la Imagen del negocio. Genera confianza entre los clientes internos y externos sobre la seguridad y el control. Disminuye
Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)
Fecha de exportación: Wed Oct 25 21:18:36 2017 / +0000 GMT Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas) Categoría: Prevención de Riesgos Laborales,
Análisis de Vulnerabilidades
Análisis de Vulnerabilidades Las Vulnerabilidades de seguridad informática han existido siempre. A medida que se hacían conocidas diferentes vulnerabilidades, también se publicaban herramientas de seguridad
Héctor García, Rolando Guevara y Héctor Guzmán. Noviembre 2016
CURSO DE SEGURIDAD DIGITAL PARA PERIODISTAS, EDITORES Y COMUNICADORES Héctor García, Rolando Guevara y Héctor Guzmán. Noviembre 2016 1. Objetivo General La mayoría de la información se genera, almacena
ANALISIS DE RIESGOS en Tecnología y Seguridad de la Información
ANALISIS DE RIESGOS en Tecnología y Seguridad de la Información Una Auditoría a diferentes áreas de TI de una empresa ha realizado las siguientes observaciones: - Existen 5 usuarios correspondientes a
Curso Especializado Seguridad Informática GNU/LINUX
Curso Especializado Seguridad Informática GNU/LINUX Duración: 40 Horas Presentación El Curso Especializado en Seguridad Informática GNU/LINUX, prepara a los participantes para administrar y gestionar correctamente
COMO COMBATIR EL PHISHING. Formación a empleados mediante simulación y monitorización continuas para evitar el éxito de los ataques de phishing
COMO COMBATIR EL PHISHING Formación a empleados mediante simulación y monitorización continuas para evitar el éxito de los ataques de phishing 1 LA PROPUESTA DE VALOR EL PROBLEMA El 95% de los incidentes
CORPORACIÓN PARA EL DESARROLLO Y LA PRODUCTIVIDAD DE BOGOTA REGION - BOGOTA REGIÓN DINAMICA INVEST IN BOGOTA. 1 información mínima requerida
CORPORACIÓN PARA EL DESARROLLO Y LA PRODUCTIVIDAD DE BOGOTA REGION - BOGOTA REGIÓN DINAMICA INVEST IN BOGOTA 1 información mínima requerida Descripción de los procedimientos para la toma de las decisiones
PLENARIA: - RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL. -
PLENARIA: - RIESGOS TECNOLÓGICOS INTEGRADOS A LA GESTIÓN DEL RIESGO OPERACIONAL. - Lima, Perú 19 de Agosto 2016. Presentado en el 5o. Seminario Internacional de Riesgo Operacional 2016 organizado por la
Norma IRAM-ISO/IEC 27001
Norma IRAM-ISO/IEC 27001 Qué es ISO/IEC 27001? Standard Auditable. Marco para administrar un Programa de Seguridad de la Información. Permite considerar aspectos legales, reglamentarios y requisitos contractuales.
Gobierno de las Tecnologías de la Información Máster Universitario en Ingeniería Informática
UNIVERSIDAD DE CANTABRIA Examen de febrero de 2016 Gobierno de las Tecnologías de la Información Máster Universitario en Ingeniería Informática 2015-16 Nombre: Apellidos: DNI: Primera parte de teoría (45
Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control
Anexo III COBIT Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control En COBIT se define control como: El conjunto de políticas, procedimientos, prácticas y estructuras organizativas
COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez
COBIT 4.1 DS5 Garantizar la Seguridad de los Sistemas By Juan Antonio Vásquez La necesidad de mantener la integridad de la información y proteger los activos de TI, requiere de un proceso de administración
Informe de auditoria
Informe de auditoria N auditoria: 09323 Empresa auditada: Industria Nacional de Licores. Norma de referencia: COBIT 4.1. Alcance de la auditoria: La auditoria permitirá observar que controles o mecanismos
Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)
Fecha de exportación: Fri Nov 3 13:58:49 2017 / +0000 GMT Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (330 horas) Categoría: Formación
Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales
Auditoría de Controles usando COBIT 5 e ISO 27002 Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales AGENDA Controles de TI Modelos de Buenas Practicas Auditoría de Controles Caso Práctico
Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)
Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO 27001-27002 (330 horas) Categoría: Formación Empresarial, Marketing y Recursos Humanos Página del curso:
Recomendaciones sobre la política. Servicios seguros y fiables en la nube
Recomendaciones sobre la política Servicios seguros y fiables en la nube La oportunidad Puesto que la computación en nube da lugar a nuevas y poderosas posibilidades, esta ofrece el potencial de aumentar
Sistemas de Información para la Gestión
Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2017 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.
Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014
Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014 Duración: 100 horas Modalidad: Online Coste Bonificable: 750 Objetivos del curso Este Curso Online de Postgrado
Anexo O. Cálculo de la Inversión del Proyecto
. Participantes del Proyecto Anexo O. Cálculo de la Inversión del Proyecto Participante Descripción Cargo Representante Patrocinador del Comité de Seguridad Responsable Del Consultor Experto en seguridad
Curso Aseguramiento de la Calidad De los Procesos y Productos de Software
Curso Aseguramiento de la Calidad De los Procesos y Productos de Software Objetivos Este curso tiene por finalidad el aseguramiento de la calidad que pueden afectar al software, identificar las diferentes
IX CONGRESO ISACA COSTA RICA Gestión de riesgos de Continuidad de Negocio en función del negocio
IX CONGRESO ISACA COSTA RICA 2016 Gobierno, gestión y aseguramiento de las tecnologías de información. Gestión de riesgos de Continuidad de Negocio en función del negocio Framework para Gestión de Riesgos
Por qué nos preocupa la seguridad?
En qué consiste? Por qué nos preocupa la seguridad? A partir de los años 8O el uso del ordenador personal comienza a ser común. Asoma ya la preocupación por la integridad de los datos. En la década de
Antes de imprimir este documento piense en el medio ambiente!
Versión 1.0 Página 1 de 6 1. OBJETIVO: Recuperar el normal funcionamiento de los servicios informáticos en el menor tiempo posible, a través de diagnóstico, investigación y escalamiento de incidentes para
INTENDENCIA DE VALORES. Riesgo Tecnológico, Impacto y Autoevaluación
INTENDENCIA DE VALORES Riesgo Tecnológico, Impacto y Autoevaluación en el Negocio Agenda Introducción Impacto (Gestión de Riesgo) Del Riesgo TI al Riesgo Corporativo Autoevaluación Introducción Conocemos
Ing. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz
Ing. Informática Informe de la importancia del concepto de Gobierno de TI. Presentados por: Maricruz López Villarreal Marisela Ruth Camacho Cruz Lidia Romero Ramos ALCANCE E IMPORTANCIA DEL GOBIERNO DE
Índice PRÓLOGO ÍNDICE 7
Índice PRÓLOGO... 15 CAPÍTULO 1. La Sociedad de la Información... 17 1. Introducción... 17 2. La Sociedad de la Información... 17 2.1. Concepto de Sociedad de la Información... 17 2.2. Aproximación histórica...
ROBERTO DIAZGRANADOS DIAZ
Ciberseguridad Acciones y Estrategias ROBERTO DIAZGRANADOS DIAZ roberto.diazgranados@crcom.gov.co Noviembre de 2009 Agenda 1 Contexto General 2 Acciones adelantadas 3 4 Resultados preliminares Tareas previstas
TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio
TALLER 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC 27001 Seguridad de la Información orientada al Negocio Introducción OBJETIVO Los principales estándares relacionados al gobierno en el tratamiento
AUDITORIA INTERNAS DE CALIDAD Seguridad del Sur Ltda.
AUDITORIA INTERNAS DE CALIDAD Seguridad del Sur Ltda. MODULO I FUNDAMENTOS DE UN SISTEMA DE GESTION DE CALIDAD. REQUISITOS NORMA ISO 9001. CONTENIDO CURSO MODULO 1 FUNDAMENTOS DE UN SISTEMA DE GESTION
Ingeniería social. Amenazas externas
Ingeniería social Amenazas externas Ingeniería Social Aprovechamiento del comportamiento humano para la obtención de información: Exceso de confianza y credibilidad Desatención y desprolijidad Curiosidad
Competencias y perfiles para el personal TIC de las Universidades
Competencias y perfiles para el personal TIC de las Universidades Joaquín Canca Abril, 2016 Estos temas empiezan bien terminan aburriendo El secreto para aburrir a la gente es contarles todo Voltaire COMPETENCIAS
SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS
Sistemas de Gestión BANCO CENTRAL DE CHILE SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS I. INTRODUCCIÓN El Banco Central de Chile pone a disposición de todas sus
PROCEDIMIENTO MANTENIMIENTO INSTALACION Y MANTENIMIENTO DE RED INALAMBRICA
HOJA 1 DE 10 1. Objetivo Proveer a los usuarios conectividad inteligente hacia la red corporativa y a Internet de manera inalámbrica. Contar con una Red Inalámbrica rápida y segura según las Normas de
VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y EJERCICIO DE LA REVISORÍA FISCAL
VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL MIGUEL HUGO CAMARGO MARTINEZ INGENIERO DE SISTEMAS- UNINCCA- PLANEACION ESTRATEGICA DE SISTEMAS-
Rol del auditor interno para evaluar la gestión del riesgo de Ciber Seguridad Gabriel Santiago Alderete
Rol del auditor interno para evaluar la gestión del riesgo de Ciber Seguridad Gabriel Santiago Alderete Auditor Interno de Sistemas Banco Macro S.A. Agenda Introducción: Qué es Ciber Seguridad? Qué framework
ANÁLISIS DE RIESGOS APLICANDO LA METODOLOGÍA OWASP
ANÁLISIS DE RIESGOS APLICANDO LA METODOLOGÍA OWASP About Me Alvaro Machaca Tola Experiencia laboral en áreas de seguridad de la información, seguridad informática y auditoria de sistemas en entidades financieras,
Interpretación Resultados Evaluación MECI Vigencia 2014
Interpretación Resultados Evaluación MECI Vigencia 2014 Unidad de Auditoría Institucional "Para contribuir con el mejoramiento de los procesos, el fortalecimiento del sistema de control interno y el logro
Conocer los principios para vender, planear y diseñar soluciones de consultoría aplicada a las operaciones de T. I.
Fundamentación: En la actualidad las organizaciones demandan cada vez mas recursos de Tecnología de información y comunicaciones que faciliten la entrega de sus propios productos y servicios capaces de
ISO Por: José de Jesús García Hernández Carlos Enrique Juárez Jiménez Andrés Hernández Hernández. Qué es ISO 9000?
ISO 9000 Por: José de Jesús García Hernández Carlos Enrique Juárez Jiménez Andrés Hernández Hernández Qué es ISO 9000? Son normas genéricas complementarias a las especificaciones de los productos, que
ELEMENTO DE CONTROL Leyes y Reglamentos Externos Manuales y Lineamientos Externos DESCRIPCIÓN Disposiciones normativas que definen en lo general las acciones en materia administrativa y operativa del quehacer
PROCESO DE IMPLEMENTACIÓN DE LA NORMA TÉCNICA DE ENSAYOS ISO/IEC 17025
PROCESO DE IMPLEMENTACIÓN DE LA NORMA TÉCNICA DE ENSAYOS ISO/IEC 17025 1. ETAPAS DE IMPLEMENTACIÓN A continuación se presenta las fases a desarrollar para realizar la implementación de la norma ISO/IEC
SEGURIDAD DE LA DATA MASTERBASE S.A.
SEGURIDAD DE LA DATA MASTERBASE S.A. 1 Contenido 1. Introducción... 3 2. Ámbitos de la Seguridad... 3 2.1. El ámbito de operación de los servicios... 3 2.2. El ámbito de Sistemas... 4 2.3. El ámbito de
Seguridad Informática en Bibliotecas
Seguridad Informática en Bibliotecas Téc. Cristina González Pagés Asesora Técnica y Editora Web Biblioteca Médica Nacional 26 de abril 2016 Seg. Informática VS Seg. de la Información La seguridad de la
Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas
Objetivo Política: Proporcionar un marco de gestión de seguridad de la información, como apoyo a los objetivos estratégicos de La Compañía, de acuerdo a sus necesidades de negocio en cada país donde opere
SEGURIDAD, NUEVOS RETOS
SEGURIDAD, NUEVOS RETOS APROSIP Profesionales de la Seguridad Medidas de seguridad en infraestructuras críticas y certificaciones normativas Sevilla, 26 de noviembre de 2015 Universidad Pablo de Olavide
CONTROL INTERNO EN TECNOLOGÍAS DE INFORMACIÓN - COBIT II
CONTROL INTERNO EN TECNOLOGÍAS DE INFORMACIÓN - COBIT II San Isidro, 10 Junio 2009 Elaborado: Oficina de Riesgos y Desarrollo QUE ES COBIT? COBIT (Control Objectives for Information and Related Technology)
Curso de Preparación para CISSP 27 al 31 de marzo 2017 Santo Domingo
Curso de Preparación para CISSP 27 al 31 de marzo 2017 Santo Domingo Datos Generales CISSP Certified Information Systems Security Profesional Es el nombre de una certificación internacional desarrollada
Seguridad en el Software y El Monstruo del Lago Ness. Calidad y Seguridad en el Software Junio 2016
Seguridad en el Software y El Monstruo del Lago Ness Calidad y Seguridad en el Software Junio 2016 1 Agenda Quién y qué es ISACA? Seguridad del Software Ciberataques: mapas, ejemplos, principales ciberataques
PMG/MEI Sistema de Seguridad de la Información
PMG/MEI Sistema de Seguridad de la Información Resumen de Requisitos Técnicos 2013 11-07-2013 Rol del Ministerio del Interior y Seguridad Pública El objetivo fundamental es lograr instalar las buenas prácticas
eica IT DDesenvolvemento e Formación
OPEN SYSTEM eica IT DDesenvolvemento e Formación HACKING ÉTICO CARACTERÍSTICAS DURACIÓN Solicita información OBJETIVOS El programa de estudios prepara a: Responsables de red informática o responsables
Reingeniería de Procesos e Infraestructuras. Mayo 2010
Mayo 2010 Requerimientos de negocio Estrategia TI Catalogo de Servicios Implantación del Servicio Operación del Servicio Catalogo de Servicios RECURSOS PROCESOS Infraestructura Aplicaciones Personas Implantación
Dirección y Gerencia
Sistema de Gestión de Seguridad de la Información (SGSI) Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información DIRIGIDA A : Dirección y Gerencia Segunda Sesión Proyecto de
SISTESEG Seguridad y Continuidad para su Negocio
SISTESEG Seguridad y Continuidad para su Negocio SERVICIOS EN SEGURIDAD DE LA INFORMACION BOGOTA/COLOMBIA Perfil Corporativo Somos una empresa especializada en la prestación de servicios dirigidos a mejorar
ANEXO B CHECK LIST CRITERIOS APLICADOS A LOS SISTEMAS DE INFORMACIÓN Y A LAS GUIAS DE AUDITORIA.
ANEO B CHECK LIST CRITERIOS APLICADOS A LOS SISTEMAS DE INFORMACIÓN Y A LAS GUIAS DE AUDITORIA. Fecha de revisión: Junio 18 de 2016 Nombre del Auditor: Dinaluz Fontecha Guzmán Nombre del aplicativo: Kactus
Módulo IV. Control de riesgos en la empresa (I) -Modelos GRC-
Módulo IV. Control de riesgos en la empresa (I) -Modelos GRC- PREVISIONES ESPECIALES Ponente: David García Vega Economista-Auditor de Cuentas. Miembro de Responsia Compliance, S.L. Docente Master de Post-Grado
SIGA Sistema Integrado de Gestión y Autocontrol Regional Distrito Capital CENTRO DE GESTIÓN DE MERCADOS, LOGÍSTICA Y TECNOLOGÍAS DE LA INFORMACIÓN
SIGA Sistema Integrado de Gestión y Autocontrol Regional Distrito Capital CENTRO DE GESTIÓN DE MERCADOS, LOGÍSTICA Y TECNOLOGÍAS DE LA INFORMACIÓN OBJETIVOS SUBSISTEMA GESTION DE CALIDAD Incrementar el
Bitácora Cuestionario Calidad Técnica de las Aplicaciones (Software a la medida)
Bitácora Cuestionario Calidad Técnica de las Aplicaciones (Software a la medida) Cliente (CONAVI) Página de No. Nombre de la aplicación Entrevistado/Teléfono Fecha Si está completo Regresado Chequeado
Introducción a la Seguridad Informática
Introducción a la Seguridad Informática Programa de Estudio Introducción a la Seguridad Informática Abre tus puertas al mundo de la seguridad informática y comienza tu recorrido hasta ser un profesional
COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez
COBIT 4.1 DS5 Garantizar la Seguridad de los Sistemas By Juan Antonio Vásquez La necesidad de mantener la integridad de la información y proteger los activos de TI, requiere de un proceso de administración
LINEAS EXTREMEAS DE AUTOBUSES S.L. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
LINEAS EXTREMEAS DE AUTOBUSES S.L. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Código: D-02 Versión: 00 Fecha de la versión: 02/01/2017 Creado por: Aprobado por: Responsable del Sistema Gerencia Historial
Accenture Aspectos Corporativos de Data Privacy y Compliance
Accenture Aspectos Corporativos de Data Privacy y Compliance Marie C. Le Chevalier Directora de Servicios Legales Javier Figueiredo Líder de Seguridad de la Información Accenture en Argentina Rosario Buenos
Políticas Generales de Seguridad de la Información para Proveedores y/o Terceros
Políticas Generales de Seguridad de la Información para Proveedores y/o Terceros Contenido Políticas Generales de Seguridad de la Información para Proveedores y/o Terceros... 3 1. Objetivo... 3 2. Alcance...
Nuevas Tecnologías: Riesgos y Amenazas
Nuevas Tecnologías: Riesgos y Amenazas Agenda Antecedentes: Sobre la seguridad de la información El mundo del Seguro: Cuestiones a plantear El enfoque: Análisis de riesgos Esquema general de un Análisis
No. Nombre del módulo Duración. 1 Introducción a la administración de proyectos y las TIC Integración del proyecto alcance, tiempo y costos 40
DIPLOMADO DE ADMINISTRACIÓN DE PROYECTOS EN TIC Módulos que integran el diplomado y duración No. Nombre del módulo Duración 1 Introducción a la administración de proyectos y las TIC 20 2 Integración del
Desempeño Alineación Riesgo
Desempeño Alineación Riesgo Descriptivo Interpretación ISO 31000 MODALIDAD PRESENCIAL GESTIÓN DE SERVICIOS ÁGIL LEAN IT GOBIERNO GESTIÓN DE PROYECTOS ARQUITECTURA DE TI SEGURIDAD CONTINUIDAD A través de
Casos Prác*cos de Auditoría y Seguridad Informá*ca
Jornadas sobre Supervisión electrónica y Tecnología Casos Prác*cos de Auditoría y Seguridad Informá*ca Ing. Lilia Liu, CFE, CRISC, COBIT 5 Centro de Formación de la AECID en La An@güa, Guatemala 17 de
SEGURIDAD INFORMATICA CORPORATIVA
SEGURIDAD INFORMATICA CORPORATIVA Conceptos básicos Qué es la seguridad informática? La seguridad informática está firmemente asociada a la certeza, pero no existe la seguridad absoluta, habrá que minimizar
Aplica para todas las sedes de la Universidad de Santander.
Versión: 01 Página 1 de 6 PROCESO y/o SUBPROCESO: PROCEDIMIENTO: SEGURIDAD INFORMÁTICA TOPOLOGÍA DE LA RED CONDICIONES GENERALES Se deben cumplir los lineamientos institucionales, leyes, normas, políticas,
Propuesta de Capacitación Continua
Diplomaturas 2017 Propuesta de Capacitación Continua Todas las Diplomaturas están aprobadas por el Consejo Departamental de Ing. en Sistemas de Información y luego por Consejo Directivo de la Facultad
Construyendo un Programa de Ciberseguridad Exitoso. David Hernández
Construyendo un Programa de Ciberseguridad Exitoso David Hernández 7 Octubre 2016 AGENDA Porqué los ciberataques son exitosos? Modelo Conceptual de Ciberseguridad 4 puntos esenciales La culpa es nuestra
Mejores prácticas de Tecnología de la Información
Mejores prácticas de Tecnología de la Información Cerrando las brechas de COBIT 4.1 a COBIT 5 Julio del 2014 José Luis Antigua, CISA, ACDA, ACT, República Dominicana jose.antigua@bdo.com.do Director de
Administración Datacenter 1
WORKSHOP Administración Datacenter 1 Misión Crítica Relator: Ing. Ricardo Falcón Objetivos Revisar los temas necesarios para dar un diagnóstico del status del Datacenter (o centro de cómputos) de su organización,
Sí se puede! GRC (Gobierno, Riesgo y Cumplimiento) para todos en la organización?
GRC (Gobierno, Riesgo y Cumplimiento) para todos en la organización? Sí se puede! Presentado por: LCP Gabriela Reynaga CRISC, GRCP, Consejera Independiente Certificada, COBIT 5 F 23 de abril 2015 CONTENIDO
ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15
ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15 - A4.1 - CONTROLES DEL ESTÁNDAR ISO/IEC 17799, SECCIONES 5 A 15 5. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 5.1 Política de Seguridad
Sistemas de Información para la Gestión
Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2017 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.
ISO GAP ANALYSIS
Fecha: 10/7/2007 CONFIDENCIAL Página 1 de 16 5.1 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 5.1.1 Se tiene documento de la política de seguridad de la Información 5.1.2 Se hace revisión y evaluación de este
ANEXO H-3 Metodología para la Administración de Problemas
ANEXO H-3 Metodología para la Administración de Este folio es consecutivo en orden alfabético por empresa: 07223 Logotipo Página 2 de 3 ANEXO H-3 Logotipo ANEXO H-3 METODOLOGÍA DE Responsable de Cambios:
Seguridad de la información en las universidades
Seguridad de la información en las universidades Seguridad de la información en las universidades Carmen Díaz Novelo Universidad Autónoma de Yucatán Red de Seguridad en Cómputo Sur-Sureste Gloria Jokebed
Caracterización Administración del Sistema Integrado de Gestión INTERACCIÓN CON OTROS PROCESOS EMISOR ENTRADA ACTIVIDADES RESPONSABLE SALIDA RECEPTOR
Página 1 de 6 OBJETIVO DEL PROCESO Mantener y mejorar el desempeño del Sistema Integrado de la Universidad de Pamplona, para identificar y satisfacer las necesidades y expectativas de su comunidad. Inicia
SEGURIDAD EN SMARTPHONES
Master Interuniversitario en Seguridad de las TIC ANÁLISIS DE RIESGOS DE VULNERABILIDADES Y AUDITORÍAS SEGURIDAD EN SMARTPHONES Título: Trabajo Final de Master, Master Interuniversitario en Seguridad de
Integración de proyectos de mejora. Subsecretaría de la Función Pública
Integración de proyectos de mejora Subsecretaría de la Función Pública Febrero, 2012 Objetivos del módulo En este módulo, los participantes: Comprenderán el concepto de proyecto de mejora y su relación
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L
POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L POLITICA DE SEGURIDAD DE LA INFORMACIÓN INDEA En INDEA, consideramos que la información es un activo fundamental para la prestación
Año 2012 CURSO ENHACKE ETHICAL HACKING NIVEL I. Curso Oficial ENHACKE CURSOS
Año 2012 ENHACKE CURSO ENHACKE ETHICAL HACKING NIVEL I Curso Oficial ENHACKE CURSOS CURSO ENHACKE ETHICAL HACKING NIVEL I CEEHN1 INTRODUCCION El CEEHN1 Curso Enhacke Ethical Hacking Nivel 1 está orientado
CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.
CAPÍTULO I: GENERALIDADES DEL PROYECTO 1.1 NOMBRE DEL PROYECTO CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR. 1.2 OBJETIVOS 1.2.1 GENERAL
Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM
Seguridad Perimetral Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM Tipos de amenazas Activos de Información NO permita que accedan tan fácilmente a la información Concepto de seguridad
EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS. Víctor Mancilla Banrural, Guatemala
EL ROL DE AUDITORIA INTERNA Y EL ENFOQUE DE AUDITORIA BASADA EN RIESGOS Víctor Mancilla Banrural, Guatemala Victor.mancilla@banrural.com.gt Contenido Marco regulatorio Líneas de defensa Principios COSO
Subgerente de Finanzas y Administración. Nombre del puesto: Subgerente de Finanzas y Administración. Objetivo del puesto
Gerente de Finanzas y Administración Gerente de Finanzas y Administración Dirigir estratégicamente las funciones realizadas por los departamentos de Presupuesto, Contabilidad, Compras, Proveeduría, Servicios
El proceso de construcción de la política pública estatal y municipal
El proceso de construcción de la política pública estatal y municipal Hugo González Manrique Romero, MDH CO 2 nsultores Taller estatal sobre cambio climático en Sonora Julio, 2016 Página 1 Contexto para
EVALUACION DEL SISTEMA DE CONTROL DE LA UNIVERSIDAD POPULAR DEL CESAR VIGENCIA 2015
EVALUACION DEL SISTEMA DE CONTROL DE LA UNIVERSIDAD POPULAR DEL CESAR VIGENCIA 2015 INTRODUCION: El presente informe de Control Interno se hace con base a la información diligenciada a través del aplicativo