SlideShare una empresa de Scribd logo

Ponencia148 1

D
dcordova923

Trabajo de Recopilacion de Información De estanadres ISO-27001

EmpresarialesViajes
1 de 7
Descargar para leer sin conexión
Implantación de la ISO27001: Factores críticos de éxito y visión de la norma como motor de generación de valor añadido. David Reinares Lara, Consultor Senior, Innotec System RESUMEN 1. INTRODUCCIÓN La aparición de la norma ISO27001 ha En un entorno cada vez más conectado y representado un gran cambio en la manera de dependiente de los SI, el coste de la inseguridad plantear la seguridad, ofreciendo un modelo crece exponencialmente. Según un estudio iterativo y global con el que encarar la realizado por Ashish Grag, Jeffrey Curtis y seguridad en las empresas. Sin embargo su Hilary Halper, sobre un total de 22 incidentes de implantación práctica presenta complejidades seguridad entre 1996 y 2002, el precio de las que pueden hacer fracasar el proyecto, a la vez acciones de las empresas afectadas cayó un 2,7 que representa un gran gasto para la empresa por ciento el primer día tras conocerse que no siempre es fácil de justificar a la públicamente la noticia, y un promedio del 4,5 dirección. por ciento, lo que supuso una pérdida media por incidente de 918 millones de dólares (Garg, y Existen una serie de factores críticos que deben otros, 2003). Aunque estos resultados no pueden ser tomados en cuenta desde el inicio del ser extrapolados a todos los tipos de compañías, proyecto y que suelen coincidir en la mayoría de son un claro ejemplo del daño causado por un las implantaciones como causas principales de incidente de seguridad medido tan solo en los fracaso en el proyecto. Estos factores, encarados costes del daño a la imagen corporativa. de manera correcta desde el principio, sin embargo, pueden desembocar en que el La Tabla 1 recoge las conclusiones de un proyecto resulte más sencillo y su ejecución más estudio realizado por PriceWaterhouseCoopers rápida y con menor gasto. Conocer estos para el Departamento de Comercio e Industria factores es por lo tanto clave para la en el año 2008 consecución de cualquier proyecto de 2008 Grandes implantación y certificación de la ISO 27001. 2008 Global empresas Interrupción del 8.000-15.000£ en 80.000-130.000£ En la implantación existen beneficios añadidos negocio 1-2 días en 1-2 días al de la “securización” de la empresa, como Tiempo pueden ser la mejora de la imagen exterior, el dedicado a 600-1.200£ en 2- 2.500-5.000£ en control de la inversión realizada, la mejora responder al 4 días-hombre 6-13 días-hombre incidente continua mediante la detección de desviaciones, Dinero gastado entre otros. En definitiva, un valor añadido para de manera directa en 1.000-2.000£ 4.000-8.000£ la empresa que ha de ser expuesto a la alta responder al dirección en la fase de aprobación del proyecto, incidente y que debe ser explotado como un beneficio Perdida financiera adicional importante a la inversión realizada y directa (pérdida 500-1.000£ 4.000-8.000£ tenido en cuenta a la hora de calcular el retorno de activos, bienes, etc) de la inversión en seguridad. Daño a la 50-200£ 2.000-15.000£ reputación Palabras claves: seguridad, SGSI, ISO27001, Coste total del peor incidente 10.000 – 20.000£ 90.000-170.000£ factores críticos de éxito, generación de valor, de media proceso, ciclo, certificación. Tabla 1 ¿Cuál fue el coste del peor incidente de seguridad el año pasado?, fuente Informe de
incidentes de seguridad 2008 Lo importante de estos estándares, es que son (PriceWaterhouseCooper, 2008). reconocidos e impulsados mundialmente, y las más grandes empresas y gobiernos ya están La pregunta que surge de manera lógica ante certificándose en ella; dándose el caso incluso estas cifras es, ¿qué se puede hacer? Y la de países como EEUU, que contando con sus respuesta es sencilla: invertir en seguridad. O propias normativas (la serie 800 del NIST en el quizás no sea tan sencilla ¿Qué compramos? ¿A caso americano), muchas de sus empresas y de quién contratamos? ¿Qué hacemos? Existen sus instituciones públicas se están certificando miles de productos software y hardware de en la norma, lo que da cuenta de su importancia seguridad, así como manuales, normativas, y amplio respaldo. estándares de diversos países. Además, lamentablemente, muchas de estas tecnologías 2. FACTORES CRÍTICOS DE ÉXITO aún no son estándares, por lo que cada compañía las implementa de una manera, El proceso de implantación de un SGSI es un provocando que en numerosos casos no se tema complejo, que requiere de muchos puedan comunicar entre sí, lo cual sería recursos y puede llegar a suponer una deseable en aras de la seguridad global de la interrupción en el trabajo diario. Por ello empresa. muchas empresas han necesitado tomar un segundo o incluso tercer proceso de Ante esta situación, la organización ISO, certificación antes de lograr ser certificado en el impulsada por miles de empresas estándar, con el consiguiente gasto de recursos internacionales y decenas de gobiernos, decidió financieros, de personal y de tiempo. Estos crear un conjunto de normativas agrupadas bajo procesos de certificación fallidos empezaron a el epígrafe ISO27000; siendo la primera y más ser estudiados para intentar hallar una serie de importante la ISO27001 (Information patrones de fallo, y localizar aquellas áreas que technology - Security techniques - Information debían ser especialmente tratadas en aras de security management systems – Requirements), implantar un SGSI exitoso. que establece como modelo de seguridad para las empresas el Sistema de Gestión de la Los Factores Críticos de Éxito (FCE en Seguridad de la Información (SGSI), un modelo adelante) pueden ser definidos como "el número basado en el ciclo de Demming, que limitado de áreas en las cuales los resultados, si fundamenta su existencia en un proceso cíclico son satisfactorios, asegurarán un rendimiento de mejora continua. Esta norma a su vez es competitivo exitoso para la organización. Son sustentada por otras normas, como la ISO27002 las pocas áreas clave donde las cosas deben ir (Information technology - Security techniques - bien para que el negocio florezca. Si los Code of practice for information security resultados en estas áreas no son los adecuados, management), un conjunto de controles para los esfuerzos organizacionales para el periodo implantar en la empresa que tratan todos los serán menos que los deseados.” (Rockart, y aspectos de la seguridad, desde la seguridad otros, 1981). física, hasta la formación y concienciación de En primer lugar se debe buscar el compromiso los empleados, pasando por el desarrollo de y soporte gerencial, de manera que el proyecto aplicaciones, la subcontratación o la gestión de venga patrocinado desde arriba en la dirección, claves. Aún faltan por salir varios estándares de y sea esta la primera en dar ejemplo a la hora de esta familia, siendo uno de los más importantes aplicar aquellas medidas necesarias para definir, la ISO27003 (Information Technology - Security aplicar y mantener la seguridad en la empresa. techniques. Information security management Además es necesario que la gerencia establezca system implementation guidance), una guía para una serie de comités de alto nivel para la toma el proceso de implantación de un SGSI, de decisiones, de manera que las prioridades no entrando en profundidad en cada una de las cambien en caso de problemas operacionales y cuatro fases del ciclo de Demming (Plan, Do, Check, Act, PDCA, según sus siglas en inglés).
se pueda obtener un proceso continuo y La implantación del SGSI debería tener en continuado. cuenta la cultura organizativa de la empresa, de manera que, al adaptarse a la misma, facilite Las políticas, objetivos y actividades de la adopción por parte de los empleados de las seguridad deben reflejar de manera clara y contramedidas, cualesquiera que sean estas. correcta los objetivos del negocio. El SGSI Esto implica que el equipo encargado de la debe formar parte integral de la empresa estando implantación debería primeramente averiguar alineado con los objetivos de negocio de la cuál es la cultura organizativa, o dicho de forma misma, dándoles soporte y asegurándoles su más coloquial, como se hacen las cosas en cada éxito frente a las amenazas externas e internas área, de manera que al proponer cada que puedan ponerlos en riesgo. Esta es una tarea contramedida se adapte a la idiosincrasia compleja que debe ser refinada en los sucesivos empresarial. Esto no implica que no haya que ciclos del SGSI, y que está alineada con el realizar cambios en la cultura empresarial de la anterior FCE, en cuanto debe ser la alta organización, puesto que la adopción de un dirección junto con las gerencias de cada unidad ciclo de mejora continua para la seguridad de negocio quienes ayuden a conseguir esta presupone que la empresa madurará su cultura alineación estratégica y operativa. hacia una más consciente de la seguridad, y en la cual la misma está presente en todos los La visión de la implantación del SGSI como ámbitos. Sin embargo los cambios culturales un proceso, en lugar de cómo un proyecto. De son a largo plazo, por lo que adaptar las esta manera se puede asegurar que no se acabará medidas a implantar a la forma de trabajo de las cancelando si el presupuesto general se reduce, personas hará más sencillo que este cambio ni dependerá de la voluntad de un directivo. En gradual suceda. Una manera sencilla sin cuanto proceso definido en la empresa, será el embargo de provocar este cambio gradual sería comité encargado quien disponga del mismo. que, desde la dirección se revisara la Esto facilita así mismo la alineación de la definición de objetivos y metas de cada implantación con los objetivos del negocio puesto de manera que la seguridad sea uno más definido en el factor anterior y la gestión del de los factores de evaluación y ascenso de cada SGSI a lo largo del tiempo. Esto es vital debido empleado. a que un SGSI debe ser refinado en fases sucesivas en un ciclo que nunca finaliza, El involucramiento de todos los interesados debido a los continuos cambios a los que las (stakeholders) es vital para que el proyecto empresas están sometidas. salga adelante. Ningún proceso de implantación que quiera ser exitoso puede ser realizado sin La formación de los empleados en todos los contar con la colaboración y conocimiento de niveles, desde pequeños cursos o seminarios de los trabajadores, colaboradores, subcontratados concienciación en la seguridad, hasta formación o incluso accionistas sobre la empresa, sus especializada en herramientas y tecnologías activos, las amenazas que pueden poner en según las necesidades detectadas y peligro a los activos, el impacto y la contramedidas a establecer en cada unidad de probabilidad de cada amenaza, la manera de negocio e incluso departamento. Esta formación trabajar y de gestionar la información (lo cual debería ser evaluada y mejorada de manera enlaza de manera directa con el anterior FCE), continua para que resulte totalmente adaptada al etc. Por ello no solo se debería contar con estos nivel de conocimientos y habilidades de los interesados en el trabajo de recogida de diferentes empleados de la empresa, asegurando información, sino que sería conveniente darles de esta manera su fácil comprensión y que de una mínima formación sobre la implantación esta manera aumenten las posibilidades de que de un SGSI y el análisis de riesgos, de forma los empleados asimilen estas buenas prácticas que puedan aportar un mayor conocimiento en en su trabajo diario. la recogida de información al saber por qué se hacen las cosas y que se busca con ellas.
La detección temprana de todas aquellas más factible empezar por un proceso de regulaciones, leyes y estándares de la negocio especialmente crítico que industria que afectan a la empresa, y que deben intentar primeramente implantar un encontrar su contrapartida en el SGSI. La norma SGSI para toda la empresa) y en la ISO27001, a pesar de ser un estándar global, da elección de la metodología de análisis una importancia capital (especialmente en el y gestión del riesgo (en los primeros proceso de certificación) al cumplimiento de los ciclos es recomendable una anteriores por parte de las empresas metodología ligera, y según el equipo y implantando un SGSI, debido a que hace propia la empresa madure en la gobernanza de la máxima “piensa globalmente, actúa la seguridad, ampliar la metodología). localmente”. Los códigos de buenas prácticas • A no ser que la empresa tenga ya un ofrecidos por la norma ISO son el resultado del equipo de seguridad que junto con el trabajo de muchos subcomités a lo largo de todo departamento de TI tengan una el mundo que han debido consensuar el trabajo madurez considerable en la gobernanza final para ser válido para todos, lo que implica y gestión de TI y en la implantación de que cada país o sector de manera individual procesos y servicios de TI, es mejor puede hacer énfasis en diferentes aspectos. subcontratar la implantación a un equipo externo especializado en SGSI Por último, que no menos importante, el y que cuente con una alta experiencia establecimiento de un sistema de medición que en proyectos de implantación y en el permita valorar la marcha del SGSI de modo sector en el que su empresa se mueve. global y particular, detectando desviaciones y En este caso será especialmente cambios en la empresa que deban ser tratados importante el FCE “involucramiento de para que el SGSI se mantenga operativo. Este todos los interesados”. sistema debe permitir también la participación de las personas en la forma de críticas y 3. VISIÓN DE LA NORMA COMO sugerencias para la mejora. MOTOR DE GENERACIÓN DE VALOR AÑADIDO Además, se deberían realizar unas buenas prácticas que harán que la implantación sea más La seguridad no debe ser buscada per se. sencilla y acometible: Aunque parezca una afirmación trivial, muchas empresas, sin darse cuenta, lo hacen. Aún no ha • Se deberían establecer unos pasado el tiempo del Miedo, Incertidumbre y “quickwinnings”, metas a corto plazo Duda (FUD por sus siglas en inglés), en el cual que permitan ciertos beneficios la decisión de afrontar la implantación de inmediatos. Esto ayudará a mejorar la seguridad (o más seguridad) en una empresa se imagen del SGSI entre la dirección y hace por el pánico desatado por todas las los empleados. Este es un proyecto a noticias de ataques que circulan en los medios, o largo plazo, pero si el beneficio tarda peor aún, porque es lo que todos hacen. en llegar, el proyecto corre el peligro de acabar siendo relegado a un segundo Implantar medidas de seguridad en una empresa plano, o incluso llegarse a cancelar si la es un proceso costoso y que debería ser muy dirección pierde la confianza en él. razonado antes de dar el primer paso. Una • En los primeros ciclos del proyecto se empresa no se puede permitir sin más empezar a debería ser poco ambicioso. Es mejor invertir en productos y soluciones de seguridad, ir ampliando y refinando en el futuro, porque este camino solo conduce a la que acometer un proyecto que será desorganización, un estado de la seguridad ingobernable y extremadamente empresarial donde se toman decisiones no complejo. Esto se debería reflejar basadas en las necesidades reales de la empresa especialmente a la hora de definir y y que acaban conduciendo a una falsa sensación delimitar el alcance del proyecto (es de seguridad.
Frente a este escenario, el estándar ISO ofrece La implantación de un SGSI permite demostrar un enfoque global y razonado. A través de las que la alta dirección y la gerencia muestran el cuatro fases del PDCA aplicadas en diferentes debido cuidado y la diligencia debida (due ciclos, se refina el modelo de implantación en la care, due diligence). El cuidado debido son los empresa. pasos tomados para demostrar que una compañía ha tomado la responsabilidad por las El análisis de riesgos permite gestionar la actividades realizadas en la organización y que inversión en seguridad. Mediante la asignación ha tomado los pasos necesarios para ayudar a de riesgos a las amenazas a los activos, la proteger a la compañía, a sus recursos y a sus empresa puede centrarse en aquellos riesgos que empleados. La debida diligencia son las requieran de atención inmediata maximizando actividades continuas para asegurar que los el retorno de inversión. Si la empresa cuenta mecanismos de protección están continuamente con un presupuesto ajustado, puede asegurarse monitorizados y operacionales. (Harris, 2003). de que las amenazas más graves (por su impacto En el mundo corporativo ha habido un antes y y/o probabilidad) han sido tratadas. De esta un después del caso Enron/Arthur Andersen. manera se asegura que el gasto de recursos es Después de que este caso estallase, desde varios razonado, y no atiende a modas o preferencias gobiernos se han tomado medidas para evitar personales de los encargados de seguridad. una situación parecida en el futuro, siendo especialmente importante la ley Sarbanex-Osley La asignación de responsables de activos y de de EEUU. Mediante la implantación y posterior implantación de contramedidas permite que certificación de un SGSI, la dirección de una las probabilidades de éxito de la implantación organización puede mostrar que ha tomado los del SGSI aumenten. En el modelo anterior el pasos adecuados y que ha actuado de una responsable es el encargado de la seguridad en manera diligente. En caso de que algún ataque o la empresa, lo que no refleja la realidad. Si bien mala práctica llegase a juicio, la diligencia y este responsable debe estar siempre ahí para cuidados debidos pueden ser demostrados, lo ayudar en la implantación y ofrecer sugerencias que conllevaría a una reducción de la pena desde su conocimiento de las tecnologías y impuesta, o incluso a la exoneración de los soluciones de seguridad, el único que conoce la directivos. La responsabilidad de la dirección realidad de un activo o proceso de negocio es por lo que pase con la información de la aquel que tiene su control en la operativa diaria, empresa va a continuar creciendo en el futuro. de manera que esta persona debería ser el Incluso gobiernos tan reacios a involucrarse en responsable por la correcta securización de los mercados privados mediante regulaciones dicho activo o proceso, pudiendo detectar de como EEUU han tenido que endurecer sus leyes manera sencilla cualquier desviación respecto o crear nuevas para afrontar los últimos casos de de las medidas adoptadas y aportar sugerencias corrupción, debido a la magnitud de los mismos. de mejora desde el conocimiento profundo de la La protección de los empleados y de los problemática que puede afectar a dicho accionistas son temas muy serios que pueden ser activo/proceso. Esto mismo también permite tratados en la parte que le corresponde mediante que a medio plazo, los riesgos disminuyan, al la certificación en el estándar ISO27001. familiarizarse los responsables con la metodología y los controles (Hinson, 2008). La implantación de un SGSI permite actuar como elemento de mejora de la confianza y La concienciación del personal aumenta, al percepción de la organización por parte de los haber sido involucrado en el proceso desde una clientes y de los socios comerciales. Cualquier etapa temprana. Esto a su vez se traduce en empresa certificada se apresura a incluir el sello mayores probabilidades de éxito, así como de la certificación en sus anuncios y mayor facilidad para el cambio progresivo de documentación externa. Una vez que se ha la cultura empresarial a una más consciente de realizado el enorme esfuerzo de certificarse hay la seguridad y que la ha adoptado en su trabajo que aprovechar e involucrar al departamento de diario como un requisito más. marketing de la empresa. En esta línea, la
certificación puede ser muy a menudo un factor securización de la dirección con respecto a sus diferenciador decisivo entre organizaciones responsabilidades por la información. competidoras, especialmente cuando se compite por la adjudicación de un proyecto. La 5. BIBLIOGRAFÍA seguridad ya es parte integral de muchas ofertas Garg Ashish, Curtis Jeffrey y Halper Hilary tanto públicas como privadas de adjudicación de Quantifying the financial impact of security proyectos. Una organización certificada es una breaches, artículo en Information Management organización con muchos puntos ganados para and Computer Security [Publicación obtener importantes contratos. periódica]. - Emerald, 2003. - 2 : Vol. 11. La estandarización acaba redundando en una Harris Shon All-in-one CISSP Certification mayor interoperabilidad entre sistemas de Exam Guide [Libro]. - Emeryville, CA : diferentes partes, al seguir una guía común. De McGraw-Hill/Osborne, 2003. esta manera se reducen costes en el desarrollo e implantación de sistemas, se permite la PriceWaterhouseCooper 2008 Information reutilización y puede servir como un factor de security breaches survey [Informe]. - 2008. mejora de la calidad de los mismos. Rockart John F. y Bullen Christine V. A El tener implantada la seguridad como un primer on Critical Success Factors [Informe]. - proceso permite a medio y largo plazo ahorrar Center for Information Systems Research, costes de consultores y empresas externas de Alfred P. Sloan School of Management, MIT, seguridad. Si bien en un principio se ha 1981. recomendado como buena práctica subcontratar el proceso de implantación de SGSI, a medida Hinson Gary, The financial implications of que la empresa vaya creciendo en madurez, irá implementing ISO/IEC 27001 & 27002: a asumiendo más y más responsabilidades, de generic cost-benefit model [Informe].- manera que al final solo se necesite una o dos http://www.iso27001security.com, 2008. auditorías anuales externas para asegurar que las cosas vayan bien (cumplimiento) e identificar una lista de oportunidades para la mejora. 4. CONCLUSIONES La implantación de un SGSI es un proceso largo y complejo, que si no es gestionado correctamente desde el inicio, puede conllevar unos gastos incrementados y la posibilidad de fracaso. Sin embargo, los mismos factores que pueden hacer fracasar este tipo de proyecto, administrados con especial cuidado, pueden resultar en ventajas que resulten en un proyecto más sencillo de realizar y gestionar, y con unos gastos ajustados. Además, el proceso de implantación deviene en unos beneficios adicionales importantes para la empresa, aportando ventajas competitivas, un control más fino del gasto y de la gestión, la concienciación temprana de los usuarios y la
CURRICULUM BREVE David Reinares Lara (dreinares@sequre.es) Máster en Seguridad de la Información por la ALI/Universidad Politécnica de Madrid (UPM) 2007-2008. Ingeniero Superior Informático por la Universidad Rey Juan Carlos (URJC) 2004- 2007. Ingeniero Técnico en Informática de Gestión por la Universidad Complutense de Madrid (UCM) 1998-2004. Miembro de ISACA y de su capítulo español ASIA. Certificado en ITIL Foundations (V2). Pasó las pruebas conducentes a la obtención de las certificaciones CISM, CISSP y CISA. De Enero de 2007 a Noviembre de 2007 trabajó para ITDeusto como técnico de seguridad, instalando y gestionando la herramienta OSSIM, así como generando incidencias e informes de incidencias para los clientes. De Enero de 2008 a Julio de 2008 trabajó para Sequre Consultores como consultor junior de seguridad, encargándose de planes directores de seguridad, LOPD e ISO27001, así como de aspectos técnicos del departamento de Seguridad Gestionada. Desde Octubre de 2008 trabaja en Innotec System como consultor sénior de seguridad, gestionando proyectos de LOPD, ISO27001, análisis de riesgos, planes de continuidad de negocio y recuperación ante desastres y auditoría de seguridad (técnica y normativa). También trabaja en la formación de un SOC para soporte a clientes.

Recomendados

207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Continuidad negocio iso-22301
Continuidad negocio iso-22301Continuidad negocio iso-22301
Continuidad negocio iso-22301Mauricio Arenas
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
Cobit mapa mental
Cobit mapa mentalCobit mapa mental
Cobit mapa mentalAudisistemas
 
Plan de Continuidad de Negocios
Plan de Continuidad de NegociosPlan de Continuidad de Negocios
Plan de Continuidad de NegociosCarlos Francavilla
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031Maricarmen García de Ureña
 
Conferencia red flags en molinos
Conferencia red flags en molinosConferencia red flags en molinos
Conferencia red flags en molinosGuillermo Paredes
 

Recomendados

207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Continuidad negocio iso-22301
Continuidad negocio iso-22301Continuidad negocio iso-22301
Continuidad negocio iso-22301Mauricio Arenas
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
Cobit mapa mental
Cobit mapa mentalCobit mapa mental
Cobit mapa mentalAudisistemas
 
Plan de Continuidad de Negocios
Plan de Continuidad de NegociosPlan de Continuidad de Negocios
Plan de Continuidad de NegociosCarlos Francavilla
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031Maricarmen García de Ureña
 
Conferencia red flags en molinos
Conferencia red flags en molinosConferencia red flags en molinos
Conferencia red flags en molinosGuillermo Paredes
 
Taller principios de cobit
Taller principios de cobitTaller principios de cobit
Taller principios de cobitDavid Ricardo Rodriguez Calderon
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Carlos Francavilla
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Gestión de Continuidad del Negocio
Gestión de Continuidad del NegocioGestión de Continuidad del Negocio
Gestión de Continuidad del NegocioFernando De los Ríos
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocioANNY
 
Val IT 2.0 Overview
Val IT 2.0 Overview Val IT 2.0 Overview
Val IT 2.0 Overview Carlos Francavilla
 
¿Qué está pasando con la Construcción y la PRL?
¿Qué está pasando con la Construcción y la PRL?¿Qué está pasando con la Construcción y la PRL?
¿Qué está pasando con la Construcción y la PRL?Prevencionar
 
COBIT 5 - Resumen Ejecutivo
COBIT 5 - Resumen EjecutivoCOBIT 5 - Resumen Ejecutivo
COBIT 5 - Resumen EjecutivoCarlos Francavilla
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5Software Guru
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Smart protection
Smart protectionSmart protection
Smart protectionPrevencionar
 
Estudios Tecnicos
Estudios TecnicosEstudios Tecnicos
Estudios Tecnicosascêndia reingeniería + consultoría
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012Zuniga Agustin
 
Gobierno Corporativo de Tecnología
Gobierno Corporativo de TecnologíaGobierno Corporativo de Tecnología
Gobierno Corporativo de TecnologíaCarlos Francavilla
 
COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - IntroduccionCarlos Francavilla
 
Segurinfo 2015 bcp -presentación cristián fourcade
Segurinfo 2015 bcp -presentación cristián fourcadeSegurinfo 2015 bcp -presentación cristián fourcade
Segurinfo 2015 bcp -presentación cristián fourcadeCristián Fourcade
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Bsi
BsiBsi
BsiAlexander Velasque Rimac
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEsAlejandro Corletti Estrada
 

Más contenido relacionado

La actualidad más candente

Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Carlos Francavilla
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocioANNY
 
¿Qué está pasando con la Construcción y la PRL?
¿Qué está pasando con la Construcción y la PRL?¿Qué está pasando con la Construcción y la PRL?
¿Qué está pasando con la Construcción y la PRL?Prevencionar
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5Software Guru
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012Zuniga Agustin
 
Gobierno Corporativo de Tecnología
Gobierno Corporativo de TecnologíaGobierno Corporativo de Tecnología
Gobierno Corporativo de TecnologíaCarlos Francavilla
 
Segurinfo 2015 bcp -presentación cristián fourcade
Segurinfo 2015 bcp -presentación cristián fourcadeSegurinfo 2015 bcp -presentación cristián fourcade
Segurinfo 2015 bcp -presentación cristián fourcadeCristián Fourcade
 

La actualidad más candente (17)

Taller principios de cobit
Taller principios de cobitTaller principios de cobit
Taller principios de cobit
 
Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500Gobierno Corporativo de TI - ISO 38500
Gobierno Corporativo de TI - ISO 38500
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Gestión de Continuidad del Negocio
Gestión de Continuidad del NegocioGestión de Continuidad del Negocio
Gestión de Continuidad del Negocio
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocio
 
Val IT 2.0 Overview
Val IT 2.0 Overview Val IT 2.0 Overview
Val IT 2.0 Overview
 
¿Qué está pasando con la Construcción y la PRL?
¿Qué está pasando con la Construcción y la PRL?¿Qué está pasando con la Construcción y la PRL?
¿Qué está pasando con la Construcción y la PRL?
 
COBIT 5 - Resumen Ejecutivo
COBIT 5 - Resumen EjecutivoCOBIT 5 - Resumen Ejecutivo
COBIT 5 - Resumen Ejecutivo
 
Introducción a cobit 5
Introducción a cobit 5Introducción a cobit 5
Introducción a cobit 5
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 
Smart protection
Smart protectionSmart protection
Smart protection
 
Estudios Tecnicos
Estudios TecnicosEstudios Tecnicos
Estudios Tecnicos
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
 
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012
VIGILANCIA TECNOLOGICA TALLER CONCYTEC 29102012
 
Gobierno Corporativo de Tecnología
Gobierno Corporativo de TecnologíaGobierno Corporativo de Tecnología
Gobierno Corporativo de Tecnología
 
COBIT 5 - Introduccion
COBIT 5 - IntroduccionCOBIT 5 - Introduccion
COBIT 5 - Introduccion
 
Segurinfo 2015 bcp -presentación cristián fourcade
Segurinfo 2015 bcp -presentación cristián fourcadeSegurinfo 2015 bcp -presentación cristián fourcade
Segurinfo 2015 bcp -presentación cristián fourcade
 

Similar a Ponencia148 1

Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
ROI Tecnológico
ROI TecnológicoROI Tecnológico
ROI Tecnológicoguest23c04e
 
BUSINESS DRIVERS AND REQUIREMENTS
BUSINESS DRIVERS AND REQUIREMENTSBUSINESS DRIVERS AND REQUIREMENTS
BUSINESS DRIVERS AND REQUIREMENTSadrianapacheco
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Alejandro Corletti Estrada
 
Presentacion_CastroFlorezClara Marcela_2019.pptx
Presentacion_CastroFlorezClara Marcela_2019.pptxPresentacion_CastroFlorezClara Marcela_2019.pptx
Presentacion_CastroFlorezClara Marcela_2019.pptxHolmanB3
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4sergio
 
Areas de responsabilidad TIC
Areas de responsabilidad TICAreas de responsabilidad TIC
Areas de responsabilidad TICjf_rdgz_blanco
 

Similar a Ponencia148 1 (20)

Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V A
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Bsi
BsiBsi
Bsi
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEs
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Deming
DemingDeming
Deming
 
S ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&siS ce i -grupo 11 -t2-deming&si
S ce i -grupo 11 -t2-deming&si
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcms
 
promotora de eventos
promotora de eventospromotora de eventos
promotora de eventos
 
ROI Tecnológico
ROI TecnológicoROI Tecnológico
ROI Tecnológico
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
BUSINESS DRIVERS AND REQUIREMENTS
BUSINESS DRIVERS AND REQUIREMENTSBUSINESS DRIVERS AND REQUIREMENTS
BUSINESS DRIVERS AND REQUIREMENTS
 
Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001
 
Presentacion_CastroFlorezClara Marcela_2019.pptx
Presentacion_CastroFlorezClara Marcela_2019.pptxPresentacion_CastroFlorezClara Marcela_2019.pptx
Presentacion_CastroFlorezClara Marcela_2019.pptx
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
 
Areas de responsabilidad TIC
Areas de responsabilidad TICAreas de responsabilidad TIC
Areas de responsabilidad TIC
 
Presentacion.ppt
Presentacion.pptPresentacion.ppt
Presentacion.ppt
 

Más de dcordova923

Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001dcordova923
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001dcordova923
 
Ttrsi Cardoso Arteaga Clara 07
Ttrsi Cardoso Arteaga Clara 07Ttrsi Cardoso Arteaga Clara 07
Ttrsi Cardoso Arteaga Clara 07dcordova923
 
Iso 27001 Los Controles2
Iso 27001 Los Controles2Iso 27001 Los Controles2
Iso 27001 Los Controles2dcordova923
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controlesdcordova923
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Iso22000y Efqm(Sgs)
Iso22000y Efqm(Sgs)Iso22000y Efqm(Sgs)
Iso22000y Efqm(Sgs)dcordova923
 
Iso27k Iso27001 Overview From Howard Smith
Iso27k Iso27001 Overview From Howard SmithIso27k Iso27001 Overview From Howard Smith
Iso27k Iso27001 Overview From Howard Smithdcordova923
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001dcordova923
 
Estandares Iso 27001 (2)
Estandares Iso 27001 (2)Estandares Iso 27001 (2)
Estandares Iso 27001 (2)dcordova923
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracledcordova923
 
Auditoria De La Gestion De Las Tic
Auditoria De La Gestion De Las TicAuditoria De La Gestion De Las Tic
Auditoria De La Gestion De Las Ticdcordova923
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)dcordova923
 

Más de dcordova923 (16)

Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001
 
Ttrsi Cardoso Arteaga Clara 07
Ttrsi Cardoso Arteaga Clara 07Ttrsi Cardoso Arteaga Clara 07
Ttrsi Cardoso Arteaga Clara 07
 
Iso 27001 Los Controles2
Iso 27001 Los Controles2Iso 27001 Los Controles2
Iso 27001 Los Controles2
 
Iso 27001 Los Controles
Iso 27001 Los ControlesIso 27001 Los Controles
Iso 27001 Los Controles
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
 
Iso22000y Efqm(Sgs)
Iso22000y Efqm(Sgs)Iso22000y Efqm(Sgs)
Iso22000y Efqm(Sgs)
 
Iso27k Iso27001 Overview From Howard Smith
Iso27k Iso27001 Overview From Howard SmithIso27k Iso27001 Overview From Howard Smith
Iso27k Iso27001 Overview From Howard Smith
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001
 
Estandares Iso 27001 (2)
Estandares Iso 27001 (2)Estandares Iso 27001 (2)
Estandares Iso 27001 (2)
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Curso Iso27001
Curso Iso27001Curso Iso27001
Curso Iso27001
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001
 
Catedra De Riesgos Oracle
Catedra De Riesgos OracleCatedra De Riesgos Oracle
Catedra De Riesgos Oracle
 
Auditoria De La Gestion De Las Tic
Auditoria De La Gestion De Las TicAuditoria De La Gestion De Las Tic
Auditoria De La Gestion De Las Tic
 
Estandares ISO 27001 (4)
Estandares ISO 27001 (4)Estandares ISO 27001 (4)
Estandares ISO 27001 (4)
 

Último

Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Gonzalo Morales Esparza
 
Gestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxGestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxignaciomiguel162
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxjuanleivagdf
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxCONSTRUCTORAEINVERSI3
 
exportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassexportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassJhonnyvalenssYupanqu
 
modulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmodulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmisssusanalrescate01
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónjesuscub33
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxedwinrojas836235
 
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxPLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxwilliamzaveltab
 
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfPresentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfLuisAlbertoAlvaradoF2
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasmaicholfc
 
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAYPPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAYCarlosAlbertoVillafu3
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxRENANRODRIGORAMIREZR
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxCORPORACIONJURIDICA
 
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptxCarlosQuionez42
 
gua de docente para el curso de finanzas
gua de docente para el curso de finanzasgua de docente para el curso de finanzas
gua de docente para el curso de finanzassuperamigo2014
 
Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..JoseRamirez247144
 

Último (20)

Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.
 
Gestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptxGestion de rendicion de cuentas viaticos.pptx
Gestion de rendicion de cuentas viaticos.pptx
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptx
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptx
 
exportacion y comercializacion de palta hass
exportacion y comercializacion de palta hassexportacion y comercializacion de palta hass
exportacion y comercializacion de palta hass
 
modulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdfmodulo+penal+del+16+al+20+hhggde+enero.pdf
modulo+penal+del+16+al+20+hhggde+enero.pdf
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarización
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
 
Tarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.pptTarea-4-Estadistica-Descriptiva-Materia.ppt
Tarea-4-Estadistica-Descriptiva-Materia.ppt
 
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docxPLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
PLAN LECTOR JOSÉ MARÍA ARGUEDAS (1).docx
 
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdfPresentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
Presentacion III ACTIVIDADES DE CONTROL. IV UNIDAD..pdf
 
Capitulo-6.ppt-gestión del tiempo en pmi
Capitulo-6.ppt-gestión del tiempo en pmiCapitulo-6.ppt-gestión del tiempo en pmi
Capitulo-6.ppt-gestión del tiempo en pmi
 
Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en droguerias
 
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAYPPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
PPT DIAGNOSTICO DAFO Y CAME MEGAPUERTO CHANCAY
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
 
Walmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdfWalmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdf
 
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsxINFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
INFORMATIVO CIRCULAR FISCAL - RENTA 2023.ppsx
 
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
1.- PLANIFICACIÓN PRELIMINAR DE AUDITORÍA.pptx
 
gua de docente para el curso de finanzas
gua de docente para el curso de finanzasgua de docente para el curso de finanzas
gua de docente para el curso de finanzas
 
Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..Trabajo de Sifilisn…………………………………………………..
Trabajo de Sifilisn…………………………………………………..
 

Ponencia148 1

  • 1. Implantación de la ISO27001: Factores críticos de éxito y visión de la norma como motor de generación de valor añadido. David Reinares Lara, Consultor Senior, Innotec System RESUMEN 1. INTRODUCCIÓN La aparición de la norma ISO27001 ha En un entorno cada vez más conectado y representado un gran cambio en la manera de dependiente de los SI, el coste de la inseguridad plantear la seguridad, ofreciendo un modelo crece exponencialmente. Según un estudio iterativo y global con el que encarar la realizado por Ashish Grag, Jeffrey Curtis y seguridad en las empresas. Sin embargo su Hilary Halper, sobre un total de 22 incidentes de implantación práctica presenta complejidades seguridad entre 1996 y 2002, el precio de las que pueden hacer fracasar el proyecto, a la vez acciones de las empresas afectadas cayó un 2,7 que representa un gran gasto para la empresa por ciento el primer día tras conocerse que no siempre es fácil de justificar a la públicamente la noticia, y un promedio del 4,5 dirección. por ciento, lo que supuso una pérdida media por incidente de 918 millones de dólares (Garg, y Existen una serie de factores críticos que deben otros, 2003). Aunque estos resultados no pueden ser tomados en cuenta desde el inicio del ser extrapolados a todos los tipos de compañías, proyecto y que suelen coincidir en la mayoría de son un claro ejemplo del daño causado por un las implantaciones como causas principales de incidente de seguridad medido tan solo en los fracaso en el proyecto. Estos factores, encarados costes del daño a la imagen corporativa. de manera correcta desde el principio, sin embargo, pueden desembocar en que el La Tabla 1 recoge las conclusiones de un proyecto resulte más sencillo y su ejecución más estudio realizado por PriceWaterhouseCoopers rápida y con menor gasto. Conocer estos para el Departamento de Comercio e Industria factores es por lo tanto clave para la en el año 2008 consecución de cualquier proyecto de 2008 Grandes implantación y certificación de la ISO 27001. 2008 Global empresas Interrupción del 8.000-15.000£ en 80.000-130.000£ En la implantación existen beneficios añadidos negocio 1-2 días en 1-2 días al de la “securización” de la empresa, como Tiempo pueden ser la mejora de la imagen exterior, el dedicado a 600-1.200£ en 2- 2.500-5.000£ en control de la inversión realizada, la mejora responder al 4 días-hombre 6-13 días-hombre incidente continua mediante la detección de desviaciones, Dinero gastado entre otros. En definitiva, un valor añadido para de manera directa en 1.000-2.000£ 4.000-8.000£ la empresa que ha de ser expuesto a la alta responder al dirección en la fase de aprobación del proyecto, incidente y que debe ser explotado como un beneficio Perdida financiera adicional importante a la inversión realizada y directa (pérdida 500-1.000£ 4.000-8.000£ tenido en cuenta a la hora de calcular el retorno de activos, bienes, etc) de la inversión en seguridad. Daño a la 50-200£ 2.000-15.000£ reputación Palabras claves: seguridad, SGSI, ISO27001, Coste total del peor incidente 10.000 – 20.000£ 90.000-170.000£ factores críticos de éxito, generación de valor, de media proceso, ciclo, certificación. Tabla 1 ¿Cuál fue el coste del peor incidente de seguridad el año pasado?, fuente Informe de
  • 2. incidentes de seguridad 2008 Lo importante de estos estándares, es que son (PriceWaterhouseCooper, 2008). reconocidos e impulsados mundialmente, y las más grandes empresas y gobiernos ya están La pregunta que surge de manera lógica ante certificándose en ella; dándose el caso incluso estas cifras es, ¿qué se puede hacer? Y la de países como EEUU, que contando con sus respuesta es sencilla: invertir en seguridad. O propias normativas (la serie 800 del NIST en el quizás no sea tan sencilla ¿Qué compramos? ¿A caso americano), muchas de sus empresas y de quién contratamos? ¿Qué hacemos? Existen sus instituciones públicas se están certificando miles de productos software y hardware de en la norma, lo que da cuenta de su importancia seguridad, así como manuales, normativas, y amplio respaldo. estándares de diversos países. Además, lamentablemente, muchas de estas tecnologías 2. FACTORES CRÍTICOS DE ÉXITO aún no son estándares, por lo que cada compañía las implementa de una manera, El proceso de implantación de un SGSI es un provocando que en numerosos casos no se tema complejo, que requiere de muchos puedan comunicar entre sí, lo cual sería recursos y puede llegar a suponer una deseable en aras de la seguridad global de la interrupción en el trabajo diario. Por ello empresa. muchas empresas han necesitado tomar un segundo o incluso tercer proceso de Ante esta situación, la organización ISO, certificación antes de lograr ser certificado en el impulsada por miles de empresas estándar, con el consiguiente gasto de recursos internacionales y decenas de gobiernos, decidió financieros, de personal y de tiempo. Estos crear un conjunto de normativas agrupadas bajo procesos de certificación fallidos empezaron a el epígrafe ISO27000; siendo la primera y más ser estudiados para intentar hallar una serie de importante la ISO27001 (Information patrones de fallo, y localizar aquellas áreas que technology - Security techniques - Information debían ser especialmente tratadas en aras de security management systems – Requirements), implantar un SGSI exitoso. que establece como modelo de seguridad para las empresas el Sistema de Gestión de la Los Factores Críticos de Éxito (FCE en Seguridad de la Información (SGSI), un modelo adelante) pueden ser definidos como "el número basado en el ciclo de Demming, que limitado de áreas en las cuales los resultados, si fundamenta su existencia en un proceso cíclico son satisfactorios, asegurarán un rendimiento de mejora continua. Esta norma a su vez es competitivo exitoso para la organización. Son sustentada por otras normas, como la ISO27002 las pocas áreas clave donde las cosas deben ir (Information technology - Security techniques - bien para que el negocio florezca. Si los Code of practice for information security resultados en estas áreas no son los adecuados, management), un conjunto de controles para los esfuerzos organizacionales para el periodo implantar en la empresa que tratan todos los serán menos que los deseados.” (Rockart, y aspectos de la seguridad, desde la seguridad otros, 1981). física, hasta la formación y concienciación de En primer lugar se debe buscar el compromiso los empleados, pasando por el desarrollo de y soporte gerencial, de manera que el proyecto aplicaciones, la subcontratación o la gestión de venga patrocinado desde arriba en la dirección, claves. Aún faltan por salir varios estándares de y sea esta la primera en dar ejemplo a la hora de esta familia, siendo uno de los más importantes aplicar aquellas medidas necesarias para definir, la ISO27003 (Information Technology - Security aplicar y mantener la seguridad en la empresa. techniques. Information security management Además es necesario que la gerencia establezca system implementation guidance), una guía para una serie de comités de alto nivel para la toma el proceso de implantación de un SGSI, de decisiones, de manera que las prioridades no entrando en profundidad en cada una de las cambien en caso de problemas operacionales y cuatro fases del ciclo de Demming (Plan, Do, Check, Act, PDCA, según sus siglas en inglés).
  • 3. se pueda obtener un proceso continuo y La implantación del SGSI debería tener en continuado. cuenta la cultura organizativa de la empresa, de manera que, al adaptarse a la misma, facilite Las políticas, objetivos y actividades de la adopción por parte de los empleados de las seguridad deben reflejar de manera clara y contramedidas, cualesquiera que sean estas. correcta los objetivos del negocio. El SGSI Esto implica que el equipo encargado de la debe formar parte integral de la empresa estando implantación debería primeramente averiguar alineado con los objetivos de negocio de la cuál es la cultura organizativa, o dicho de forma misma, dándoles soporte y asegurándoles su más coloquial, como se hacen las cosas en cada éxito frente a las amenazas externas e internas área, de manera que al proponer cada que puedan ponerlos en riesgo. Esta es una tarea contramedida se adapte a la idiosincrasia compleja que debe ser refinada en los sucesivos empresarial. Esto no implica que no haya que ciclos del SGSI, y que está alineada con el realizar cambios en la cultura empresarial de la anterior FCE, en cuanto debe ser la alta organización, puesto que la adopción de un dirección junto con las gerencias de cada unidad ciclo de mejora continua para la seguridad de negocio quienes ayuden a conseguir esta presupone que la empresa madurará su cultura alineación estratégica y operativa. hacia una más consciente de la seguridad, y en la cual la misma está presente en todos los La visión de la implantación del SGSI como ámbitos. Sin embargo los cambios culturales un proceso, en lugar de cómo un proyecto. De son a largo plazo, por lo que adaptar las esta manera se puede asegurar que no se acabará medidas a implantar a la forma de trabajo de las cancelando si el presupuesto general se reduce, personas hará más sencillo que este cambio ni dependerá de la voluntad de un directivo. En gradual suceda. Una manera sencilla sin cuanto proceso definido en la empresa, será el embargo de provocar este cambio gradual sería comité encargado quien disponga del mismo. que, desde la dirección se revisara la Esto facilita así mismo la alineación de la definición de objetivos y metas de cada implantación con los objetivos del negocio puesto de manera que la seguridad sea uno más definido en el factor anterior y la gestión del de los factores de evaluación y ascenso de cada SGSI a lo largo del tiempo. Esto es vital debido empleado. a que un SGSI debe ser refinado en fases sucesivas en un ciclo que nunca finaliza, El involucramiento de todos los interesados debido a los continuos cambios a los que las (stakeholders) es vital para que el proyecto empresas están sometidas. salga adelante. Ningún proceso de implantación que quiera ser exitoso puede ser realizado sin La formación de los empleados en todos los contar con la colaboración y conocimiento de niveles, desde pequeños cursos o seminarios de los trabajadores, colaboradores, subcontratados concienciación en la seguridad, hasta formación o incluso accionistas sobre la empresa, sus especializada en herramientas y tecnologías activos, las amenazas que pueden poner en según las necesidades detectadas y peligro a los activos, el impacto y la contramedidas a establecer en cada unidad de probabilidad de cada amenaza, la manera de negocio e incluso departamento. Esta formación trabajar y de gestionar la información (lo cual debería ser evaluada y mejorada de manera enlaza de manera directa con el anterior FCE), continua para que resulte totalmente adaptada al etc. Por ello no solo se debería contar con estos nivel de conocimientos y habilidades de los interesados en el trabajo de recogida de diferentes empleados de la empresa, asegurando información, sino que sería conveniente darles de esta manera su fácil comprensión y que de una mínima formación sobre la implantación esta manera aumenten las posibilidades de que de un SGSI y el análisis de riesgos, de forma los empleados asimilen estas buenas prácticas que puedan aportar un mayor conocimiento en en su trabajo diario. la recogida de información al saber por qué se hacen las cosas y que se busca con ellas.
  • 4. La detección temprana de todas aquellas más factible empezar por un proceso de regulaciones, leyes y estándares de la negocio especialmente crítico que industria que afectan a la empresa, y que deben intentar primeramente implantar un encontrar su contrapartida en el SGSI. La norma SGSI para toda la empresa) y en la ISO27001, a pesar de ser un estándar global, da elección de la metodología de análisis una importancia capital (especialmente en el y gestión del riesgo (en los primeros proceso de certificación) al cumplimiento de los ciclos es recomendable una anteriores por parte de las empresas metodología ligera, y según el equipo y implantando un SGSI, debido a que hace propia la empresa madure en la gobernanza de la máxima “piensa globalmente, actúa la seguridad, ampliar la metodología). localmente”. Los códigos de buenas prácticas • A no ser que la empresa tenga ya un ofrecidos por la norma ISO son el resultado del equipo de seguridad que junto con el trabajo de muchos subcomités a lo largo de todo departamento de TI tengan una el mundo que han debido consensuar el trabajo madurez considerable en la gobernanza final para ser válido para todos, lo que implica y gestión de TI y en la implantación de que cada país o sector de manera individual procesos y servicios de TI, es mejor puede hacer énfasis en diferentes aspectos. subcontratar la implantación a un equipo externo especializado en SGSI Por último, que no menos importante, el y que cuente con una alta experiencia establecimiento de un sistema de medición que en proyectos de implantación y en el permita valorar la marcha del SGSI de modo sector en el que su empresa se mueve. global y particular, detectando desviaciones y En este caso será especialmente cambios en la empresa que deban ser tratados importante el FCE “involucramiento de para que el SGSI se mantenga operativo. Este todos los interesados”. sistema debe permitir también la participación de las personas en la forma de críticas y 3. VISIÓN DE LA NORMA COMO sugerencias para la mejora. MOTOR DE GENERACIÓN DE VALOR AÑADIDO Además, se deberían realizar unas buenas prácticas que harán que la implantación sea más La seguridad no debe ser buscada per se. sencilla y acometible: Aunque parezca una afirmación trivial, muchas empresas, sin darse cuenta, lo hacen. Aún no ha • Se deberían establecer unos pasado el tiempo del Miedo, Incertidumbre y “quickwinnings”, metas a corto plazo Duda (FUD por sus siglas en inglés), en el cual que permitan ciertos beneficios la decisión de afrontar la implantación de inmediatos. Esto ayudará a mejorar la seguridad (o más seguridad) en una empresa se imagen del SGSI entre la dirección y hace por el pánico desatado por todas las los empleados. Este es un proyecto a noticias de ataques que circulan en los medios, o largo plazo, pero si el beneficio tarda peor aún, porque es lo que todos hacen. en llegar, el proyecto corre el peligro de acabar siendo relegado a un segundo Implantar medidas de seguridad en una empresa plano, o incluso llegarse a cancelar si la es un proceso costoso y que debería ser muy dirección pierde la confianza en él. razonado antes de dar el primer paso. Una • En los primeros ciclos del proyecto se empresa no se puede permitir sin más empezar a debería ser poco ambicioso. Es mejor invertir en productos y soluciones de seguridad, ir ampliando y refinando en el futuro, porque este camino solo conduce a la que acometer un proyecto que será desorganización, un estado de la seguridad ingobernable y extremadamente empresarial donde se toman decisiones no complejo. Esto se debería reflejar basadas en las necesidades reales de la empresa especialmente a la hora de definir y y que acaban conduciendo a una falsa sensación delimitar el alcance del proyecto (es de seguridad.
  • 5. Frente a este escenario, el estándar ISO ofrece La implantación de un SGSI permite demostrar un enfoque global y razonado. A través de las que la alta dirección y la gerencia muestran el cuatro fases del PDCA aplicadas en diferentes debido cuidado y la diligencia debida (due ciclos, se refina el modelo de implantación en la care, due diligence). El cuidado debido son los empresa. pasos tomados para demostrar que una compañía ha tomado la responsabilidad por las El análisis de riesgos permite gestionar la actividades realizadas en la organización y que inversión en seguridad. Mediante la asignación ha tomado los pasos necesarios para ayudar a de riesgos a las amenazas a los activos, la proteger a la compañía, a sus recursos y a sus empresa puede centrarse en aquellos riesgos que empleados. La debida diligencia son las requieran de atención inmediata maximizando actividades continuas para asegurar que los el retorno de inversión. Si la empresa cuenta mecanismos de protección están continuamente con un presupuesto ajustado, puede asegurarse monitorizados y operacionales. (Harris, 2003). de que las amenazas más graves (por su impacto En el mundo corporativo ha habido un antes y y/o probabilidad) han sido tratadas. De esta un después del caso Enron/Arthur Andersen. manera se asegura que el gasto de recursos es Después de que este caso estallase, desde varios razonado, y no atiende a modas o preferencias gobiernos se han tomado medidas para evitar personales de los encargados de seguridad. una situación parecida en el futuro, siendo especialmente importante la ley Sarbanex-Osley La asignación de responsables de activos y de de EEUU. Mediante la implantación y posterior implantación de contramedidas permite que certificación de un SGSI, la dirección de una las probabilidades de éxito de la implantación organización puede mostrar que ha tomado los del SGSI aumenten. En el modelo anterior el pasos adecuados y que ha actuado de una responsable es el encargado de la seguridad en manera diligente. En caso de que algún ataque o la empresa, lo que no refleja la realidad. Si bien mala práctica llegase a juicio, la diligencia y este responsable debe estar siempre ahí para cuidados debidos pueden ser demostrados, lo ayudar en la implantación y ofrecer sugerencias que conllevaría a una reducción de la pena desde su conocimiento de las tecnologías y impuesta, o incluso a la exoneración de los soluciones de seguridad, el único que conoce la directivos. La responsabilidad de la dirección realidad de un activo o proceso de negocio es por lo que pase con la información de la aquel que tiene su control en la operativa diaria, empresa va a continuar creciendo en el futuro. de manera que esta persona debería ser el Incluso gobiernos tan reacios a involucrarse en responsable por la correcta securización de los mercados privados mediante regulaciones dicho activo o proceso, pudiendo detectar de como EEUU han tenido que endurecer sus leyes manera sencilla cualquier desviación respecto o crear nuevas para afrontar los últimos casos de de las medidas adoptadas y aportar sugerencias corrupción, debido a la magnitud de los mismos. de mejora desde el conocimiento profundo de la La protección de los empleados y de los problemática que puede afectar a dicho accionistas son temas muy serios que pueden ser activo/proceso. Esto mismo también permite tratados en la parte que le corresponde mediante que a medio plazo, los riesgos disminuyan, al la certificación en el estándar ISO27001. familiarizarse los responsables con la metodología y los controles (Hinson, 2008). La implantación de un SGSI permite actuar como elemento de mejora de la confianza y La concienciación del personal aumenta, al percepción de la organización por parte de los haber sido involucrado en el proceso desde una clientes y de los socios comerciales. Cualquier etapa temprana. Esto a su vez se traduce en empresa certificada se apresura a incluir el sello mayores probabilidades de éxito, así como de la certificación en sus anuncios y mayor facilidad para el cambio progresivo de documentación externa. Una vez que se ha la cultura empresarial a una más consciente de realizado el enorme esfuerzo de certificarse hay la seguridad y que la ha adoptado en su trabajo que aprovechar e involucrar al departamento de diario como un requisito más. marketing de la empresa. En esta línea, la
  • 6. certificación puede ser muy a menudo un factor securización de la dirección con respecto a sus diferenciador decisivo entre organizaciones responsabilidades por la información. competidoras, especialmente cuando se compite por la adjudicación de un proyecto. La 5. BIBLIOGRAFÍA seguridad ya es parte integral de muchas ofertas Garg Ashish, Curtis Jeffrey y Halper Hilary tanto públicas como privadas de adjudicación de Quantifying the financial impact of security proyectos. Una organización certificada es una breaches, artículo en Information Management organización con muchos puntos ganados para and Computer Security [Publicación obtener importantes contratos. periódica]. - Emerald, 2003. - 2 : Vol. 11. La estandarización acaba redundando en una Harris Shon All-in-one CISSP Certification mayor interoperabilidad entre sistemas de Exam Guide [Libro]. - Emeryville, CA : diferentes partes, al seguir una guía común. De McGraw-Hill/Osborne, 2003. esta manera se reducen costes en el desarrollo e implantación de sistemas, se permite la PriceWaterhouseCooper 2008 Information reutilización y puede servir como un factor de security breaches survey [Informe]. - 2008. mejora de la calidad de los mismos. Rockart John F. y Bullen Christine V. A El tener implantada la seguridad como un primer on Critical Success Factors [Informe]. - proceso permite a medio y largo plazo ahorrar Center for Information Systems Research, costes de consultores y empresas externas de Alfred P. Sloan School of Management, MIT, seguridad. Si bien en un principio se ha 1981. recomendado como buena práctica subcontratar el proceso de implantación de SGSI, a medida Hinson Gary, The financial implications of que la empresa vaya creciendo en madurez, irá implementing ISO/IEC 27001 & 27002: a asumiendo más y más responsabilidades, de generic cost-benefit model [Informe].- manera que al final solo se necesite una o dos http://www.iso27001security.com, 2008. auditorías anuales externas para asegurar que las cosas vayan bien (cumplimiento) e identificar una lista de oportunidades para la mejora. 4. CONCLUSIONES La implantación de un SGSI es un proceso largo y complejo, que si no es gestionado correctamente desde el inicio, puede conllevar unos gastos incrementados y la posibilidad de fracaso. Sin embargo, los mismos factores que pueden hacer fracasar este tipo de proyecto, administrados con especial cuidado, pueden resultar en ventajas que resulten en un proyecto más sencillo de realizar y gestionar, y con unos gastos ajustados. Además, el proceso de implantación deviene en unos beneficios adicionales importantes para la empresa, aportando ventajas competitivas, un control más fino del gasto y de la gestión, la concienciación temprana de los usuarios y la
  • 7. CURRICULUM BREVE David Reinares Lara (dreinares@sequre.es) Máster en Seguridad de la Información por la ALI/Universidad Politécnica de Madrid (UPM) 2007-2008. Ingeniero Superior Informático por la Universidad Rey Juan Carlos (URJC) 2004- 2007. Ingeniero Técnico en Informática de Gestión por la Universidad Complutense de Madrid (UCM) 1998-2004. Miembro de ISACA y de su capítulo español ASIA. Certificado en ITIL Foundations (V2). Pasó las pruebas conducentes a la obtención de las certificaciones CISM, CISSP y CISA. De Enero de 2007 a Noviembre de 2007 trabajó para ITDeusto como técnico de seguridad, instalando y gestionando la herramienta OSSIM, así como generando incidencias e informes de incidencias para los clientes. De Enero de 2008 a Julio de 2008 trabajó para Sequre Consultores como consultor junior de seguridad, encargándose de planes directores de seguridad, LOPD e ISO27001, así como de aspectos técnicos del departamento de Seguridad Gestionada. Desde Octubre de 2008 trabaja en Innotec System como consultor sénior de seguridad, gestionando proyectos de LOPD, ISO27001, análisis de riesgos, planes de continuidad de negocio y recuperación ante desastres y auditoría de seguridad (técnica y normativa). También trabaja en la formación de un SOC para soporte a clientes.