3. El Activo mas valioso Prof. TM. Leonardo Rubio F.
4. Componente REG-1 Componente REG-1: El prestador institucional utiliza un sistema formal de registros. Características: REG 1.1 El prestador institucional cuenta con un sistema estandarizado de informe de resultados. REG 1.2 Se aplican procedimientos establecidos para evitar pérdidas, mantener la integridad de los registros y su confidencialidad, por el tiempo establecido en la regulación vigente. Prof. TM. Leonardo Rubio F.
36. Las 10 Secciones de ISO 17799 Política de seguridad Organización de la Seguridad Cumplimiento Clasificación y control de los activos Administración de la continuidad integridad Confidencialidad Información Seguridad del personal Desarrollo y mantenimiento disponibilidad Control de accesos Seguridad física y medioambiental Gestión de comunicaciones y operaciones
37. Las 10 Secciones de ISO 17799 (continuación) Organizacional Seguridad Organizativa. . Seguridad física 1. Politiquede sécurité 1. Política de seguridad Seguridad Lógica 2. Sécurité de l’organisation 2. Seguridad de la organización Seguridad Legal 3. Classification et contrôle des actifs 7. Contrôle des accès 7. Control de accesos 3. Clasificación y control de los activos 10. Conformité 10. Conformidad 4. Sécurité du personnel 5. Sécurité physique et environnementale 4. Seguridad del personal 5. Seguridad física y medioambiental 8. Desarrollo y mantenimiento de los sistemas 9. Gestión de la continuidad de las operaciones de la empresa 6. Gestión de las telecomunicaciones y operaciones 8. Développement et maintenance 6. Gestion des communications et opérations 9. Gestion de la continuité Operacional
38. Requisitos ISO/IEC 17799:2005, especificación técnica Planificación en Continuidad de la Empresa Recuperación de Desastres- Contrarrestar interrupciones a las actividades de la empresa y sus procesos de los efectos creados por un desastre o falla de sistemas de comunicación / informática. Desarrollo y Mantenimiento de Sistema (1) La seguridad sea parte integral del sistema de las gestiones en la organización, (2) Durante uso/acceso a información prevenir perdida, modificación o mal uso de la misma y datos, (3) Proteger la confidencia, autenticidad e integridad de la información, (4) Asegurar proyectos de informática y actividades de soporte se realicen de manera segura, (5) Mantener la seguridad de las aplicaciones y plataforma operativa en el uso de datos, información y "software". Control de Acceso a Sistema e información (1) Control de acceso a la información, (2) Prevenir acceso sin autorización (intrusión) a sistemas de información, (3) Asegurar la protección de los servicios de red, (4) Prevenir acceso sin autorización a computadores y redes, (5) Detectar actividades no autorizadas (intrusión al sistema), y (6) Igualmente asegurar proteger la información cuando esta en uso móvil y telecomunicación (en línea por acceso externo)
39. Seguridad Física y Medio Ambiental Prevenir acceso no autorizado, daño o interferencia a las premisas y por ende a la información. Prevenir daño y perdida de información, equipos y bienes tal que no afecten las actividades adversamente. Prevenir extracción de información (robo) y mantener la integridad de la información y sus premisas donde se procesa información. Cumplimiento a Requisitos Legales y Otros (1) Prevenir brechas de seguridad por actos criminales o violación de ley civil, regulatoria, obligaciones contractuales u otros aspectos de impacto a la seguridad, (2) Asegurar un sistema (de gestión) cumpliendo con políticas de seguridad y normativas (ISO 17799, ISO 9001 y otras, también considerar guías ISO 13335 o ISO 15408), (3) Optimizar la efectividad con el proceso de verificar / auditar el sistema. ISO 13335 - Guías para Administración de Seguridad (de Información) ISO 15408 - Criterio para Seguridad (Informática) Requisitos ISO/IEC 17799:2005, especificación técnica
40. Seguridad del Personal Reducir el riesgo de errores inadvertidos, robo, fraude o mal uso de la información. Mediante conocimiento y prácticas, asegurar que los usuarios conocen de las amenazas y las inquietudes en materia de seguridad de sistema, y los mismos están apoyados por políticas para seguridad efectiva. Las políticas y su aplicación son para asegurar reducir incidentes de seguridad y funcionamiento inadecuado. Aplicar pasadas experiencias a mejorar la seguridad e integridad de la información (aprender y aplicar experiencias). Seguridad de la Organización (1) Administrar la información de forma efectivamente segura, (2) Mantener seguridad de bienes y de las actividades en el procesado de información y sus premisas cuando accesan otras partes (externos, contratistas), (3) Mantener la integridad de la información cuando se utilicen servicios externos (de apoyo y extensión de servicios). Requisitos ISO/IEC 17799:2005, especificación técnica
41.
42. ¿ Qué es la ISO 27001? ISO 27001, titulada "gerencia de la seguridad de la información - la especificación con la dirección para el uso", es el reemplazo para Bs7799-2. Se piensa para proporcionar la fundación para la intervención de los terceros, y ' se armoniza ' con otros estándares de la gerencia, tales como ISO 9001 y ISO 14001. El objetivo básico del estándar es ayudar a establecer y a mantener un sistema de gerencia eficaz de información, usando un acercamiento continuo de la mejora. Pone principios de la OCDE en ejecución (organización para la cooperación y el desarrollo económicos), gobernando la seguridad de los sistemas de la información y de la red
43. ISO/IEC 27001:2005 – IMPACTO GLOBAL El 14 de Octubre 2005 se publicó la norma ISO/IEC 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)". Después de varios meses en su versión final, ha entrado en vigor este referencial de ámbito internacional con el principal objetivo de crear un único conjunto de requisitos en el diseño y gestión de los procesos de seguridad de la información en una organización. La fecha de publicación de esta norma estaba prevista para primeros del 2006. El adelanto en las fechas sólo puede estar justificado por su necesidad.
44. RESUMEN Disponibilidad Integridad de los datos Confidencialidad de los datos Autenticidad de los usuarios del servicio Autenticidad del origen de los datos Trazabilidad del servicio Trazabilidad de los datos ISO 27001 es una Norma internacional y Certificable, define cuales son los procesos necesarios para garantizar una correcta Gestión de Información, e implantar en las empresa del siglo XXI una nueva necesidad , la calidad en el tratamiento de la información , la gestión de la calidad en el uso de la información que es “Gestión de la Seguridad Informática” El panorama que se avecina en relación a los sistemas de información, que las tradicionales tres patas de la seguridad se han ampliado a siete:
49. TALLER Prof. TM. Leonardo Rubio F. Haga un Procedimiento que abarque los requisitos de las “características “ del Ámbito REG 1.1 y 1.2 , considerando las legislaciones y reglamentos vigentes de todas las instituciones involucradas.