SlideShare una empresa de Scribd logo

Curso SGSI 2023

Panel Sistemas
Panel Sistemas

Formación obligatoria para empleados en el Sistema de Gestión de la Seguridad de la Información de Panel

Software
1 de 42
Descargar para leer sin conexión
Sistema de Gestión de Seguridad de la Información (S.G.S.I.) Formación Empleados 17/05/2023 MUGE-SI-PLN-Plan de Formación v2.2 Elaborado por: Gerencia de Calidad Revisado por: Responsable de Seguridad
2 ¡IMPORTANTE! LEE DETENIDAMENTE ESTE DOCUMENTO. LOS EMPLEADOS DE PANEL Y POLAR DEBEN CUMPLIR CON LAS NORMAS Y CONTROLES DE SEGURIDAD ESTABLECIDOS EN EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (S.G.S.I.). TODOS LOS EMPLEADOS TIENEN POR TANTO LA OBLIGACIÓN DE FORMARSE EN ESTOS TÉRMINOS A TRAVÉS DEL PRESENTE DOCUMENTO. AL FINAL DE LA LECTURA, DEBERÁS ENVIARNOS TU CONFIRMACIÓN DE QUE HAS LEÍDO Y ENTENDIDO EL CONTENIDO DE ESTA FORMACIÓN, A TRAVÉS DEL FORMULARIO ON-LINE QUE ENCONTRARÁS EN EL PORTAL DEL EMPLEADO, BAJO ESTE DOCUMENTO. ASIMISMO, ESTE CURSO SERÁ CARGADO AUTOMÁTICAMENTE EN TU PDI, Y TU TUTOR DEBERÁ INCLUIR POSTERIORMENTE LA FECHA FIN DE REALIZACIÓN EN EL PRÓXIMO INFORME DE SEGUIMIENTO/FEEDBACK. MUCHAS GRACIAS POR TU COLABORACIÓN.
3 INDICE 1. ¿Qué es el SGSI? Alcance 2. ¿A quién afecta? Roles 3. Objetivos de la formación 4. ¿Qué debo saber sobre...? 4.1. Control de Accesos 4.2. Seguridad Física y Ambiental 4.3. Seguridad en las Operaciones y Comunicaciones 4.4. Clasificación de la Documentación 4.5. Gestión de Incidencias de Seguridad 4.6. Continuidad del Negocio 4.7. Cumplimiento Legal. Propiedad intelectual y LOPD 4.8. Auditorías 4 7 11 13 13 18 21 25 27 31 35 37
4 1. ¿Qué es el SGSI?. Alcance
5 1. ¿Qué es el SGSI? El S.G.S.I. es el Sistema implantado en Panel para gestionar la Seguridad de la Información que se genera en la empresa, con el objetivo de salvaguardarla ante amenazas. Consiste en un conjunto de medidas, controles y procedimientos para garantizar la Seguridad de la Información en el desarrollo de las actividades de la empresa. Está basado en la norma ISO 27001, aprobada y publicada como estándar internacional en octubre de 2005.
6 1. Alcance Los sistemas de información que soportan las actividades de comercialización prestación de servicios, consultoría y desarrollo de software de Panel Sistemas Informáticos … … llevadas a cabo por parte de todo el personal que trabaja bajo el Sistema de Información Corporativo de la Organización, … … conforme a la Declaración de Aplicabilidad v10.1 – relación completa de controles de seguridad de la información evaluables según la norma -
7 2. ¿A quién afecta?. Roles
8 2. ¿A quién afecta? COMITÉ DE SEGURIDAD Director General – Javier Zárate Llanos Responsable de Seguridad – Miguel Ángel Nicolao Echevarne Responsable de Seguridad Física – Alfredo González Armengod Responsable de Sistemas – Sergio Martínez Sánchez Coordinadora de Seguridad – Mª del Pino Martínez Doreste Es responsable de la definición, aprobación, comunicación y revisión de la Política de Seguridad de la Organización, así como del seguimiento, mantenimiento y operación del SGSI.
9 2. ¿A quién afecta?Roles DOPs SIC RRHH DAF CAL EMP • Actúa como Coordinador de Seguridad de la Información, y es responsable de garantizar la seguridad de los procesos relacionados con Calidad y Medio Ambiente, proveedores de servicios en su área, y de la información confidencial de su área. • Responsable de garantizar la seguridad de los procesos relacionados con Suministradores, de la Seguridad Física de activos y de la información confidencial de su área. • Responsable de garantizar la seguridad de los procesos relacionados con los Recursos Humanos, y de la información confidencial de su área. •Actúa por delegación del Responsable de Sistemas y el Responsable de Seguridad en todas las actividades derivadas de la operación del SGSI. •Responsable de garantizar la seguridad de los procesos relacionados con Clientes, proveedores de servicios en proyectos, desarrollo de la actividad en proyectos, y de la información confidencial de su área. DIRECCIONES • ver detalle en pág. siguiente
10 2. ¿A quién afecta?Roles EMPLEADOS • Personal con acceso al Sistema de Información • Personal con acceso físico a las Oficinas Centrales • Todos somos responsables de cumplir con los controles y medidas de seguridad establecidos en el SGSI. • En caso de violaciones intencionadas de seguridad, podría ser aplicable el proceso disciplinario definido en el Estatuto de los Trabajadores en su Capítulo IV, de Faltas y sanciones de los trabajadores. • Todos los empleados tenemos la obligación de formación en temas de Seguridad de la información en los términos establecidos en la instrucción de seguridad relativa a recursos humanos.
11 3. Objetivos de la formación
12 3. Objetivosde la formación “CONCIENCIACIÓN, FORMACIÓN Y CAPACITACIÓN”  Permitir mejorar el conocimiento, educación y capacitación del personal en materia de seguridad de la información. • Conocer las normas, políticas y procedimientos de seguridad de la información en nuestra Organización. • Capacitar a los empleados en el uso correcto de los medios de procesamiento de la información, procedimiento de registro, uso de paquetes de software, etc. • Concienciar a todos los empleados sobre las posibles amenazas, riesgos y problemas que pueden afectar a los sistemas de la Organización y cómo actuar ante ellos. • Formación en torno a las normativas o leyes aplicables en materia de seguridad de la información
13 4. ¿Qué debo saber sobre…? 4.1 Control de Accesos
14 4. ¿Quédebo saber sobre…?4.1 Controlde Accesos • La longitud mínima de la contraseña de acceso al Sistema Corporativo debe ser: • de 8 caracteres • combinación de mayúsculas y minúsculas • números • Queda terminantemente prohibido el envío de contraseñas a través de mensajes de correo electrónico, o medios de comunicación no seguros, sin permiso de la Dirección. • Si no hubiera más opción, enviar en correos distintos. En todo caso evitar el envío de las credenciales completas en un mismo mensaje (¡separar usuario y contraseña!). • Cambio de contraseñas predeterminadas del fabricante cuando se instale nuevo software. “El uso de contraseñas no robustas implica vulnerabilidad del sistema”
15 4. ¿Quédebo saber sobre…?4.1 Controlde Accesos • No almacenar nunca contraseñas en papel, ni dispositivos electrónicos sin la protección adecuada. • Solicitar el cambio de contraseña de acceso cuando exista el menor indicio de un posible peligro. • No compartir las claves secretas individuales. • Asegurar la confidencialidad de las contraseñas, y de cualquiera que pueda conocer debido a su puesto o responsabilidad. • No usar la misma clave personal para propósitos comerciales y no-comerciales. • Evitar siempre la utilización de recordatorios de contraseñas. Queda terminantemente prohibido su uso en sitios web.
16 4. ¿Quédebo saber sobre…?4.1 Controlde Accesos • En todo caso, en la pantalla del ordenador no se podrán mantener accesos directos a documentos, archivos, directorios, etc sujetos a restricciones de acceso (información confidencial o de proyectos, directorios de código fuente, etc.) • Cerrar siempre la sesión activa cuando termine, asegurándola por un mecanismo de bloqueo, como por ejemplo contraseña protegida o bloqueo automático de pantalla. • Deberá desconectarse de aplicaciones o servicios de red cuando ya no son necesarios. • Los equipos o dispositivos móviles de uso no autorizado deben tener una cerradura con llave o un control equivalente cuando no están en uso. • Los empleados deberán conservar la pantalla del ordenador libre de accesos directos a información, servicios o medios de procesamiento que puedan suponer un riesgo para la seguridad de la información.
17 4. ¿Quédebo saber sobre…?4.1 Controlde Accesos • Las mesas de trabajo de los empleados deberán estar limpias y ordenadas y, en ningún caso, deberán quedar documentos o información confidencial sobre las mismas. • Si se está utilizando temporalmente documentación confidencial en papel, deberá devolverse a su lugar de almacenamiento en cuanto termine su uso, o custodiarla bajo llave en los períodos de abandono temporal del puesto de trabajo. • No deben utilizarse fotocopiadoras y otras tecnologías de reproducción (por ejemplo, escáneres o cámaras digitales) de manera no autorizada. • La información sensible o clasificada como Confidencial debe ser retirada de las impresoras de inmediato.
18 4. ¿Qué debo saber sobre…? 4.2 Seguridad Física y Ambiental
19 4. ¿Quédebo saber sobre…?4.2 SeguridadFísica y Ambiental • Los visitantes que acudan a las oficinas de PANEL estarán siempre acompañados por un empleado y no se permitirá el acceso, salvo autorización expresa de la Dirección, a ninguna persona fuera del horario laboral o sin que alguien de la Organización esté presente. • En la oficina no existen áreas de acceso público ni de carga y descarga – únicamente en el garaje y tras acordarse con los responsables correspondientes -. • Los puestos de los trabajadores contarán con una orientación que dificulte que ninguna persona no autorizada pueda observar los procesos de información durante su uso. • Se mantendrá vigilada la temperatura de la sala de servidores, con el objetivo de detectar si en algún momento se superan los límites adecuados para los sistemas de computación. • Todos los equipos de comunicaciones (por voz y datos) están situados también de forma que se evite su daño o destrucción, con una elevación suficiente y de forma que no se puedan producir caídas o golpes. • No está permitido comer y/o beber junto a los equipos. • En la empresa se observarán las normas de seguridad y sanidad que sean exigibles en cada momento.
20 • El empleado es responsable de SU EQUIPO en todo momento: • Deberá respetar las medidas de seguridad establecidas para los equipos dentro de las instalaciones. • No dejar desatendido el equipo en lugares públicos, y transportarlo siempre como equipaje de mano. • Proteger el equipo debidamente mediante los maletines correspondientes, fundas, etc. • No estará permitido el uso de redes públicas (WIFI) para el trabajo desde fuera de las instalaciones, y en su caso conectándose a través del móvil. 4. ¿Quédebo saber sobre…?4.2 SeguridadFísica y Ambiental
21 4. ¿Qué debo saber sobre…? 4.3 Seguridad en la Operaciones y Comunicaciones
22 • Evitar la descarga de archivos de sitios que no sean de confianza o de los que no se conoce el origen. • Escanear con el antivirus todos los dispositivos externos que puedan contener código malicioso (llaves USB, CD's, etc.) antes de permitir su exploración desde el equipo local. • Comprobación de los adjuntos y descargas de los correos electrónicos. Para ello se utiliza por defecto la plataforma de filtrado de correo y se refuerza con la protección contra amenazas de correo del antivirus instalado. • Asegurarse de que el software antivirus se encuentra vigente y correctamente actualizado. 4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones • No se podrá instalar ningún software que no esté autorizado por el Responsable de Seguridad. Consultar el Catálogo de Software Homologado publicado en el Portal del Empleado
23 • Cuando sea necesario el envío de información confidencial a través de sistemas de mensajería electrónica, se aplicarán en la medida de lo posible las siguientes medidas de seguridad: • Envío de ficheros encriptados (.zip) y protegidos por contraseña. • Envío de documentos en formato .pdf para evitar la alteración del contenido. • Se solicitará siempre acuse de recibo y lectura. • Cuando no sea factible la aplicación de las medidas mencionadas, se incluirán en la comunicación electrónica las indicaciones oportunas para el manejo seguro de dicha información. • Todos los mensajes electrónicos irán acompañados de los correspondientes avisos legales de seguridad y confidencialidad de datos. 4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones
24 • Al utilizar los servicios de banca electrónica, se tendrán en cuenta las siguientes consideraciones: • Siempre se utilizarán comunicaciones encriptadas. • Solo se podrán hacer compras o pagos a proveedores aprobados. • Cuando se vaya a realizar el pago se comprobará la información de seguridad facilitada por el navegador (uso de conexiones https, y páginas firmadas por organismos de confianza), comprobando que se trata de una página segura. • Nunca se realizarán pagos desde ubicaciones inseguras (sitios públicos o redes Wifi no seguras), quedando limitadas las operaciones electrónicas a las instalaciones de la Organización o en los domicilios declarados. • Una vez realizadas las transacciones electrónicas se comprobaran los cargos hechos en la cuenta bancaria para constatar que todo es correcto. 4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones
25 4. ¿Qué debo saber sobre…? 4.4 Clasificación de la Documentación
26 • La documentación en PANEL está clasificada de la siguiente forma: • De Uso Interno, carácter leve: No existe restricción en su difusión a colaboradores de la Organización (empleados y clientes). No debe darse a conocer a terceros sin autorización. Organigramas, políticas, procesos, metodologías, programas, aplicaciones... • De Uso Interno, carácter importante: Sólo está disponible y puede difundirse a empleados de determinadas áreas o departamentos de la Organización (empleados), incluyendo clientes. Datos de clientes, facturas, ofertas y contratos comerciales, presupuestos... • Confidencial: Requiere el máximo grado de protección y su difusión no está autorizada. Sólo tienen acceso el personal cuyo ámbito de trabajo lo requiera y tenga autorización por parte de la Dirección. Expediente empleado, información legal y financiera, configuración red, … 4. ¿Quédebo saber sobre…?4.4 Clasificaciónde la Documentación • Pública: No existe ninguna restricción en su difusión, es información comercial y publicitaria. Web, folletos, catálogos, presentaciones...
27 4. ¿Qué debo saber sobre…? 4.5 Gestión de Incidencias de Seguridad
28 • Todos los empleados tienen la obligación de reportar cualquier incidencia en la seguridad de la información lo más rápidamente posible. • Para ello, se utilizará la herramienta corporativa de Gestión de Peticiones TI de la Organización (GPTI https://soportesic.panel.es), existiendo como alternativa justificada la cuenta de correo electrónico: responsable.seguridad@panel.es • El empleado deberá registrar la incidencia como de tipo “WP-SecInfo” e incluirá una descripción detallada de la misma. • Si no está seguro, será el Responsable de Seguridad quien asigne la categoría correspondiente en el sistema, revisará la incidencia y se llevará a cabo la acción correctiva/preventiva asociada. 4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
29 • Se clasificarán explícitamente como Incidencias de Seguridad aquellas que sean del tipo: • Pérdida del servicio, equipos o medios. • Errores humanos. • Incumplimiento de las políticas o estándares de seguridad. • Vulneraciones de los acuerdos de seguridad física. • Cambios del sistema no controlados. • Violaciones de acceso. • Incidencias que afecten al control de acceso a las instalaciones. • Incidencias relacionadas con Datos de Carácter Personal (LOPD). • El mal funcionamiento o cualquier otra conducta anómala del sistema (mal funcionamiento del software, incidencias en las aplicaciones, correo electrónico, etc.) pueden ser también un indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, el personal que gestiona los sistemas y redes siempre evaluará si notificarlo como una incidencia de seguridad de la información en GPTI. 4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
30 RECUERDA: • El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, siempre deberá notificarse como una incidencia. • Todos los usuarios deberán reportar cualquier debilidad sospechada u observada en el sistema o los servicios, para lo cual se seguirá el mismo procedimiento que el especificado en el apartado anterior. • Ningún empleado deberá probar la debilidad de seguridad sospechada debido al riesgo de causa de daños graves al sistema de información. • Únicamente cuando se haya notificado dicha debilidad se realizará una prueba controlada (por el Responsable de Seguridad) de la misma. 4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
31 4. ¿Qué debo saber sobre…? 4.6 Continuidad del Negocio
32 La empresa dispone de un Plan de Continuidad del Negocio con el objetivo de aumentar la probabilidad de continuidad de las funciones críticas de la Organización en caso de que un incidente o contingencia imprevista interrumpa los principales procesos de negocio, como por ejemplo: • Los que causen un daño físico en las instalaciones o equipos, como fuego, humo, daños por agua, o desastres regionales inesperados como huracanes o inundaciones. • Los que afecten de forma indirecta la posibilidad de acceso a las instalaciones, como evacuación de emergencia por amenaza de bomba, o amenazas externas tales como incendios en las instalaciones cercanas, fuga de gases tóxicos, etc. • Desastres que puedan impedir el acceso normal al personal encargado de las operaciones informáticas, aunque las instalaciones estén intactas, tales como grandes nevadas, inundaciones, etc. • Cualquier incidente externo que pudiera potencialmente causar una interrupción de las operaciones del negocio, tales como la pérdida de los servicios de suministro eléctrico o de telecomunicaciones. 4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio
33 • Cualquier incidente que afecte al funcionamiento del hardware o del software y que suponga una interrupción superior a las 24 horas. • Cualquier incidente que suponga la paralización de actividades de la Organización por motivos ajenos a la tecnología, tales como problemas laborales propios o del sector o problemas laborales que afecten al área geográfica donde se encuentra ubicada la Organización. 4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio El Plan de Continuidad proporciona un enfoque organizado y consolidado para dirigir las actividades de respuesta y recuperación, evitando la confusión, facilitar la toma de decisiones en momentos de tensión y proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto. Equipo de Recuperación Equipo de Gestión de Incidencias. Activación del Plan de Continuidad: Teléfono móvil Teléfono del trabajo Apellidos Nombre +34 650 523 511 +34 914057850 Nicolao Echevarne Miguel Ángel +34 618 988 975 +34 914057850 Martínez Sánchez Sergio Equipo de Operaciones Informáticas: Teléfono móvil Teléfono del trabajo Apellidos Nombre +34 618 988 975 +34 914057850 Martínez Sánchez Sergio
34 4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio Teléfonomóvil Teléfonodel trabajo Apellidos Nombre +34 650 524 769 +34 914057843 González Armengod Alfredo +34 608 496 916 +34 914057878 Mora Fernández Yoandra Teléfonomóvil Teléfonodel trabajo Apellidos Nombre +34 680 661 669 +34 914057844 Garrido Martínez Lucia +34 608 496 916 +34 914057878 Mora Fernández Yoandra +34 620 819 185 +34 914057845 Rivera Moreno Pablo Teléfonomóvil Teléfonodel trabajo Apellidos Nombre +34 650 523 511 +34 914057850 Nicolao Echevarne Miguel Ángel +34 650 524 769 +34 914057843 Gonzalez Armengod Alfredo +34 650 521 934 +34 914057878 Empresa Externa Equipo de Administración: Equipo de Atención a Usuarios: Equipo de Inmuebles: MDPMD0
Diapositiva 34 MDPMD0 Revisar si se mantienen estas personas y números de contacto Maria Del Pino Martinez Doreste; 2023-04-26T07:36:56.832
35 4. ¿Qué debo saber sobre…? 4.7 Cumplimiento Legal. Propiedad Intelectual y RGPD
36 4. ¿Quédebo saber sobre…?4.7 CumplimientoLegal. Propiedadintelectualy RGPD En general, se prohíbe el uso, copia o archivo de cualquier documento o software sometido a derechos de propiedad intelectual cualquiera que sea su soporte, físico o electrónico, sin la autorización de la dirección. • En caso de que se adquiera software libre o cualquier documento no sometido a derechos de propiedad, el usuario deberá revisar previamente el acuerdo de licencia o copyright del documento en cuestión. • Por otra parte, se prohíbe la distribución o cesión de cualquier software o información propiedad de la Organización, si dicha distribución no ha sido autorizada por el Responsable de Seguridad y/o la Dirección. • En caso de que se incumplan los derechos de propiedad, el poseedor del documento o software que ha causado dicho incumplimiento será el responsable del mismo, al que se le aplicará el régimen sancionador establecido por la Organización. • Asimismo, los empleados deben cumplir todas las medidas de seguridad establecidas en el Sistema de Gestión de la Seguridad, así como las firmadas en los correspondientes anexos al Contrato de Trabajo para garantizar el cumplimiento del Reglamento General de Protección de Datos.
37 4. ¿Qué debo saber sobre…? 4.8 Auditorías
38 4. ¿Quédebo saber sobre…?4.8 Auditorías • El S.G.S.I. será auditado periódicamente (anualmente), tanto internamente por el área de Calidad y el equipo de auditores internos, como externamente por la entidad certificadora, en las siguientes áreas: Director General Responsable Seguridad Información Responsable de Sistemas Coordinador de Seguridad RRHH DAF DOPs SIC CAL Muestra aleatoria del 10% personal en oficina Muestra aleatoria del 10% equipos en oficina Comité de Seguridad Responsable de Seguridad Física Direcciones Empleados Equipos
39 4. ¿Quédebo saber sobre…?4.8 Auditorías El COMITÉ DE SEGURIDAD es auditado con el fin de comprobar que ha llevado a cabo todas las actividades de revisión y seguimiento periódico del SGSI de la Organización. Los EMPLEADOS y las DOPs son auditados con el fin de comprobar que han entendido y aplican las instrucciones y controles en materia de seguridad que requiere el S.G.S.I., los cuales han sido resumidos en el presente documento. Comité de Seguridad Empleados DOPs
40 4. ¿Quédebo saber sobre…?4.8 Auditorías • No se dispone de material con derechos de propiedad sin que haya evidencia de la adquisición de los mismos: imágenes, archivos de audio, video, etc. • Se dispone de las copias de las licencias, discos o manuales que evidencien la propiedad de las mismas. • No se excede el número de usuarios máximos permitidos. • No se instala software o productos con licencia propietaria sin autorización previa, y que se cumplen los acuerdos de licencia del software utilizado. • Los protectores de pantalla de los equipos de los usuarios se activan automáticamente tras 15 minutos de inactividad, bloqueando a su vez el equipo. En su reanudación, será necesaria la inserción del usuario y contraseña para efectuar el desbloqueo, permitiéndose un máximo de 5 intentos. • El escritorio del equipo de trabajo está libre de accesos directos a información, servicios o medios de procesamiento que puedan suponer un riesgo para la seguridad de la información. • Las mesas deberán estar libres de documentos o información confidencial sobre las mismas. • Toda la documentación o información confidencial que temporalmente esté manejando un empleado, deberá devolverse a su archivo o custodiarla bajo llave, si el empleado se ausenta del puesto de trabajo. EQUIPOS Los EQUIPOS se auditan con el fin de comprobar que:
C/ Josefa Valcárcel nº 9 28027 Madrid – España Tel.: +34 91 405 78 78 www.panel.es seguridad.sgsi@panel.es Panel Sistemas Informáticos, S.L. El cambio está en TI ¿Hablamos? @PanelSistemas panelsistemasinformticos panelsistemas

Recomendados

Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
CCNA Security - Chapter 1
CCNA Security - Chapter 1CCNA Security - Chapter 1
CCNA Security - Chapter 1Irsandi Hasan
 
Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005ControlCase
 
Nat'l Cyber Security Awareness Month (NCSAM) Posters
Nat'l Cyber Security Awareness Month (NCSAM) PostersNat'l Cyber Security Awareness Month (NCSAM) Posters
Nat'l Cyber Security Awareness Month (NCSAM) PostersNetLockSmith
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Design of security architecture in Information Technology
Design of security architecture in Information TechnologyDesign of security architecture in Information Technology
Design of security architecture in Information Technologytrainersenthil14
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001Imran Ahmed
 
New CISO - The First 90 Days
New CISO - The First 90 DaysNew CISO - The First 90 Days
New CISO - The First 90 DaysResilient Systems
 

Recomendados

Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
CCNA Security - Chapter 1
CCNA Security - Chapter 1CCNA Security - Chapter 1
CCNA Security - Chapter 1Irsandi Hasan
 
Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005ControlCase
 
Nat'l Cyber Security Awareness Month (NCSAM) Posters
Nat'l Cyber Security Awareness Month (NCSAM) PostersNat'l Cyber Security Awareness Month (NCSAM) Posters
Nat'l Cyber Security Awareness Month (NCSAM) PostersNetLockSmith
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Design of security architecture in Information Technology
Design of security architecture in Information TechnologyDesign of security architecture in Information Technology
Design of security architecture in Information Technologytrainersenthil14
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001Imran Ahmed
 
New CISO - The First 90 Days
New CISO - The First 90 DaysNew CISO - The First 90 Days
New CISO - The First 90 DaysResilient Systems
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
A to Z of Information Security Management
A to Z of Information Security ManagementA to Z of Information Security Management
A to Z of Information Security ManagementMark Conway
 
La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiVincenzo Calabrò
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
VIRTUAL CISO AND OTHER KEY CYBER ROLES
VIRTUAL CISO AND OTHER KEY CYBER ROLESVIRTUAL CISO AND OTHER KEY CYBER ROLES
VIRTUAL CISO AND OTHER KEY CYBER ROLESSylvain Martinez
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Fabrizio Di Crosta
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesKrist Davood - Principal - CIO
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Project plan for ISO 27001
Project plan for ISO 27001Project plan for ISO 27001
Project plan for ISO 27001technakama
 
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...Edureka!
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISONIKELtd
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Web Security Deployment
Web Security DeploymentWeb Security Deployment
Web Security DeploymentCisco Canada
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Cloud security
Cloud security Cloud security
Cloud security n|u - The Open Security Community
 
Tema 4
Tema 4Tema 4
Tema 4Carmelo Branimir España Villegas
 
Política de seguridad de sise
Política de seguridad de sisePolítica de seguridad de sise
Política de seguridad de siseLuis de Oca
 

Más contenido relacionado

La actualidad más candente

Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
A to Z of Information Security Management
A to Z of Information Security ManagementA to Z of Information Security Management
A to Z of Information Security ManagementMark Conway
 
La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiVincenzo Calabrò
 
VIRTUAL CISO AND OTHER KEY CYBER ROLES
VIRTUAL CISO AND OTHER KEY CYBER ROLESVIRTUAL CISO AND OTHER KEY CYBER ROLES
VIRTUAL CISO AND OTHER KEY CYBER ROLESSylvain Martinez
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Edureka!
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Fabrizio Di Crosta
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Amazon Web Services
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationShema Labidi
 
Project plan for ISO 27001
Project plan for ISO 27001Project plan for ISO 27001
Project plan for ISO 27001technakama
 
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...Edureka!
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISONIKELtd
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Web Security Deployment
Web Security DeploymentWeb Security Deployment
Web Security DeploymentCisco Canada
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 

La actualidad más candente (20)

Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
A to Z of Information Security Management
A to Z of Information Security ManagementA to Z of Information Security Management
A to Z of Information Security Management
 
La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei dati
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
VIRTUAL CISO AND OTHER KEY CYBER ROLES
VIRTUAL CISO AND OTHER KEY CYBER ROLESVIRTUAL CISO AND OTHER KEY CYBER ROLES
VIRTUAL CISO AND OTHER KEY CYBER ROLES
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
 
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
Aligning to the NIST Cybersecurity Framework in the AWS Cloud - SEC201 - Mexi...
 
Sécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'InformationSécurité des Systèmes d'Information et de l'Information
Sécurité des Systèmes d'Information et de l'Information
 
Project plan for ISO 27001
Project plan for ISO 27001Project plan for ISO 27001
Project plan for ISO 27001
 
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...
Cybersecurity Interview Questions and Answers | CyberSecurity Interview Tips ...
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition Arragements
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Web Security Deployment
Web Security DeploymentWeb Security Deployment
Web Security Deployment
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 
Cloud security
Cloud security Cloud security
Cloud security
 

Similar a Curso SGSI 2023

Política de seguridad de sise
Política de seguridad de sisePolítica de seguridad de sise
Política de seguridad de siseLuis de Oca
 
Gestion de roles y responsabilidades
Gestion de roles y responsabilidadesGestion de roles y responsabilidades
Gestion de roles y responsabilidadesAndresJ08
 
Diapositiva plan de seguridad
Diapositiva plan de seguridadDiapositiva plan de seguridad
Diapositiva plan de seguridadGael Rojas
 
Política de seguridad de la información telefonica
Política de seguridad de la información telefonicaPolítica de seguridad de la información telefonica
Política de seguridad de la información telefonicaLuis de Oca
 
Política de seguridad de la información telefonica
Política de seguridad de la información telefonicaPolítica de seguridad de la información telefonica
Política de seguridad de la información telefonicaLuis de Oca
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad gchv
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinAlfredo Carrascal
 
Control interno y externo
Control interno y externoControl interno y externo
Control interno y externoDiegoVillamar6
 
Guón sobre la seguridad informática
Guón sobre la seguridad informáticaGuón sobre la seguridad informática
Guón sobre la seguridad informáticaJon Echanove
 
Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática Nacor Bea Galán
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamaritza262
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Eduardo Maradiaga
 

Similar a Curso SGSI 2023 (20)

Tema 4
Tema 4Tema 4
Tema 4
 
Política de seguridad de sise
Política de seguridad de sisePolítica de seguridad de sise
Política de seguridad de sise
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Gestion de roles y responsabilidades
Gestion de roles y responsabilidadesGestion de roles y responsabilidades
Gestion de roles y responsabilidades
 
Diapositiva plan de seguridad
Diapositiva plan de seguridadDiapositiva plan de seguridad
Diapositiva plan de seguridad
 
Mp v01
Mp v01Mp v01
Mp v01
 
Política de seguridad de la información telefonica
Política de seguridad de la información telefonicaPolítica de seguridad de la información telefonica
Política de seguridad de la información telefonica
 
Política de seguridad de la información telefonica
Política de seguridad de la información telefonicaPolítica de seguridad de la información telefonica
Política de seguridad de la información telefonica
 
Expiso17799
Expiso17799Expiso17799
Expiso17799
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Manual politicas de seguridad
Manual politicas de seguridad Manual politicas de seguridad
Manual politicas de seguridad
 
Evidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarinEvidencia estudio de caso parte 1 alfredo carrascal guarin
Evidencia estudio de caso parte 1 alfredo carrascal guarin
 
Control interno y externo
Control interno y externoControl interno y externo
Control interno y externo
 
Guón sobre la seguridad informática
Guón sobre la seguridad informáticaGuón sobre la seguridad informática
Guón sobre la seguridad informática
 
Guión sobre la seguridad informática
Guión sobre la seguridad informática Guión sobre la seguridad informática
Guión sobre la seguridad informática
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10Manual politicas de seguridad grupo10
Manual politicas de seguridad grupo10
 
Seguridad informática1
Seguridad informática1Seguridad informática1
Seguridad informática1
 

Último

Introducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTERIntroducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTEREMMAFLORESCARMONA
 
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...ITeC Instituto Tecnología Construcción
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOSelenaCoronadoHuaman
 
Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionarmando_cardenas
 
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3AlexysCaytanoMelndez1
 
Manual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfManual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfmasogeis
 
Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Opentix
 

Último (7)

Introducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTERIntroducción a Funciones LENGUAJE DART FLUTTER
Introducción a Funciones LENGUAJE DART FLUTTER
 
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
BREEAM ES Urbanismo como herramienta para un planeamiento sostenible - Miguel...
 
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLOPARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
PARTES DEL TECLADO Y SUS FUNCIONES - EJEMPLO
 
Unidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacionUnidad_3_T1_AutomatasFinitos presentacion
Unidad_3_T1_AutomatasFinitos presentacion
 
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3Segmentacion Segmantica_Modelos UNET and DEEPLABV3
Segmentacion Segmantica_Modelos UNET and DEEPLABV3
 
Manual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdfManual de Usuario APPs_AppInventor-2023.pdf
Manual de Usuario APPs_AppInventor-2023.pdf
 
Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200Caso de éxito de Hervian con el ERP Sage 200
Caso de éxito de Hervian con el ERP Sage 200
 

Curso SGSI 2023

  • 1. Sistema de Gestión de Seguridad de la Información (S.G.S.I.) Formación Empleados 17/05/2023 MUGE-SI-PLN-Plan de Formación v2.2 Elaborado por: Gerencia de Calidad Revisado por: Responsable de Seguridad
  • 2. 2 ¡IMPORTANTE! LEE DETENIDAMENTE ESTE DOCUMENTO. LOS EMPLEADOS DE PANEL Y POLAR DEBEN CUMPLIR CON LAS NORMAS Y CONTROLES DE SEGURIDAD ESTABLECIDOS EN EL SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (S.G.S.I.). TODOS LOS EMPLEADOS TIENEN POR TANTO LA OBLIGACIÓN DE FORMARSE EN ESTOS TÉRMINOS A TRAVÉS DEL PRESENTE DOCUMENTO. AL FINAL DE LA LECTURA, DEBERÁS ENVIARNOS TU CONFIRMACIÓN DE QUE HAS LEÍDO Y ENTENDIDO EL CONTENIDO DE ESTA FORMACIÓN, A TRAVÉS DEL FORMULARIO ON-LINE QUE ENCONTRARÁS EN EL PORTAL DEL EMPLEADO, BAJO ESTE DOCUMENTO. ASIMISMO, ESTE CURSO SERÁ CARGADO AUTOMÁTICAMENTE EN TU PDI, Y TU TUTOR DEBERÁ INCLUIR POSTERIORMENTE LA FECHA FIN DE REALIZACIÓN EN EL PRÓXIMO INFORME DE SEGUIMIENTO/FEEDBACK. MUCHAS GRACIAS POR TU COLABORACIÓN.
  • 3. 3 INDICE 1. ¿Qué es el SGSI? Alcance 2. ¿A quién afecta? Roles 3. Objetivos de la formación 4. ¿Qué debo saber sobre...? 4.1. Control de Accesos 4.2. Seguridad Física y Ambiental 4.3. Seguridad en las Operaciones y Comunicaciones 4.4. Clasificación de la Documentación 4.5. Gestión de Incidencias de Seguridad 4.6. Continuidad del Negocio 4.7. Cumplimiento Legal. Propiedad intelectual y LOPD 4.8. Auditorías 4 7 11 13 13 18 21 25 27 31 35 37
  • 4. 4 1. ¿Qué es el SGSI?. Alcance
  • 5. 5 1. ¿Qué es el SGSI? El S.G.S.I. es el Sistema implantado en Panel para gestionar la Seguridad de la Información que se genera en la empresa, con el objetivo de salvaguardarla ante amenazas. Consiste en un conjunto de medidas, controles y procedimientos para garantizar la Seguridad de la Información en el desarrollo de las actividades de la empresa. Está basado en la norma ISO 27001, aprobada y publicada como estándar internacional en octubre de 2005.
  • 6. 6 1. Alcance Los sistemas de información que soportan las actividades de comercialización prestación de servicios, consultoría y desarrollo de software de Panel Sistemas Informáticos … … llevadas a cabo por parte de todo el personal que trabaja bajo el Sistema de Información Corporativo de la Organización, … … conforme a la Declaración de Aplicabilidad v10.1 – relación completa de controles de seguridad de la información evaluables según la norma -
  • 7. 7 2. ¿A quién afecta?. Roles
  • 8. 8 2. ¿A quién afecta? COMITÉ DE SEGURIDAD Director General – Javier Zárate Llanos Responsable de Seguridad – Miguel Ángel Nicolao Echevarne Responsable de Seguridad Física – Alfredo González Armengod Responsable de Sistemas – Sergio Martínez Sánchez Coordinadora de Seguridad – Mª del Pino Martínez Doreste Es responsable de la definición, aprobación, comunicación y revisión de la Política de Seguridad de la Organización, así como del seguimiento, mantenimiento y operación del SGSI.
  • 9. 9 2. ¿A quién afecta?Roles DOPs SIC RRHH DAF CAL EMP • Actúa como Coordinador de Seguridad de la Información, y es responsable de garantizar la seguridad de los procesos relacionados con Calidad y Medio Ambiente, proveedores de servicios en su área, y de la información confidencial de su área. • Responsable de garantizar la seguridad de los procesos relacionados con Suministradores, de la Seguridad Física de activos y de la información confidencial de su área. • Responsable de garantizar la seguridad de los procesos relacionados con los Recursos Humanos, y de la información confidencial de su área. •Actúa por delegación del Responsable de Sistemas y el Responsable de Seguridad en todas las actividades derivadas de la operación del SGSI. •Responsable de garantizar la seguridad de los procesos relacionados con Clientes, proveedores de servicios en proyectos, desarrollo de la actividad en proyectos, y de la información confidencial de su área. DIRECCIONES • ver detalle en pág. siguiente
  • 10. 10 2. ¿A quién afecta?Roles EMPLEADOS • Personal con acceso al Sistema de Información • Personal con acceso físico a las Oficinas Centrales • Todos somos responsables de cumplir con los controles y medidas de seguridad establecidos en el SGSI. • En caso de violaciones intencionadas de seguridad, podría ser aplicable el proceso disciplinario definido en el Estatuto de los Trabajadores en su Capítulo IV, de Faltas y sanciones de los trabajadores. • Todos los empleados tenemos la obligación de formación en temas de Seguridad de la información en los términos establecidos en la instrucción de seguridad relativa a recursos humanos.
  • 11. 11 3. Objetivos de la formación
  • 12. 12 3. Objetivosde la formación “CONCIENCIACIÓN, FORMACIÓN Y CAPACITACIÓN”  Permitir mejorar el conocimiento, educación y capacitación del personal en materia de seguridad de la información. • Conocer las normas, políticas y procedimientos de seguridad de la información en nuestra Organización. • Capacitar a los empleados en el uso correcto de los medios de procesamiento de la información, procedimiento de registro, uso de paquetes de software, etc. • Concienciar a todos los empleados sobre las posibles amenazas, riesgos y problemas que pueden afectar a los sistemas de la Organización y cómo actuar ante ellos. • Formación en torno a las normativas o leyes aplicables en materia de seguridad de la información
  • 13. 13 4. ¿Qué debo saber sobre…? 4.1 Control de Accesos
  • 14. 14 4. ¿Quédebo saber sobre…?4.1 Controlde Accesos • La longitud mínima de la contraseña de acceso al Sistema Corporativo debe ser: • de 8 caracteres • combinación de mayúsculas y minúsculas • números • Queda terminantemente prohibido el envío de contraseñas a través de mensajes de correo electrónico, o medios de comunicación no seguros, sin permiso de la Dirección. • Si no hubiera más opción, enviar en correos distintos. En todo caso evitar el envío de las credenciales completas en un mismo mensaje (¡separar usuario y contraseña!). • Cambio de contraseñas predeterminadas del fabricante cuando se instale nuevo software. “El uso de contraseñas no robustas implica vulnerabilidad del sistema”
  • 15. 15 4. ¿Quédebo saber sobre…?4.1 Controlde Accesos • No almacenar nunca contraseñas en papel, ni dispositivos electrónicos sin la protección adecuada. • Solicitar el cambio de contraseña de acceso cuando exista el menor indicio de un posible peligro. • No compartir las claves secretas individuales. • Asegurar la confidencialidad de las contraseñas, y de cualquiera que pueda conocer debido a su puesto o responsabilidad. • No usar la misma clave personal para propósitos comerciales y no-comerciales. • Evitar siempre la utilización de recordatorios de contraseñas. Queda terminantemente prohibido su uso en sitios web.
  • 16. 16 4. ¿Quédebo saber sobre…?4.1 Controlde Accesos • En todo caso, en la pantalla del ordenador no se podrán mantener accesos directos a documentos, archivos, directorios, etc sujetos a restricciones de acceso (información confidencial o de proyectos, directorios de código fuente, etc.) • Cerrar siempre la sesión activa cuando termine, asegurándola por un mecanismo de bloqueo, como por ejemplo contraseña protegida o bloqueo automático de pantalla. • Deberá desconectarse de aplicaciones o servicios de red cuando ya no son necesarios. • Los equipos o dispositivos móviles de uso no autorizado deben tener una cerradura con llave o un control equivalente cuando no están en uso. • Los empleados deberán conservar la pantalla del ordenador libre de accesos directos a información, servicios o medios de procesamiento que puedan suponer un riesgo para la seguridad de la información.
  • 17. 17 4. ¿Quédebo saber sobre…?4.1 Controlde Accesos • Las mesas de trabajo de los empleados deberán estar limpias y ordenadas y, en ningún caso, deberán quedar documentos o información confidencial sobre las mismas. • Si se está utilizando temporalmente documentación confidencial en papel, deberá devolverse a su lugar de almacenamiento en cuanto termine su uso, o custodiarla bajo llave en los períodos de abandono temporal del puesto de trabajo. • No deben utilizarse fotocopiadoras y otras tecnologías de reproducción (por ejemplo, escáneres o cámaras digitales) de manera no autorizada. • La información sensible o clasificada como Confidencial debe ser retirada de las impresoras de inmediato.
  • 18. 18 4. ¿Qué debo saber sobre…? 4.2 Seguridad Física y Ambiental
  • 19. 19 4. ¿Quédebo saber sobre…?4.2 SeguridadFísica y Ambiental • Los visitantes que acudan a las oficinas de PANEL estarán siempre acompañados por un empleado y no se permitirá el acceso, salvo autorización expresa de la Dirección, a ninguna persona fuera del horario laboral o sin que alguien de la Organización esté presente. • En la oficina no existen áreas de acceso público ni de carga y descarga – únicamente en el garaje y tras acordarse con los responsables correspondientes -. • Los puestos de los trabajadores contarán con una orientación que dificulte que ninguna persona no autorizada pueda observar los procesos de información durante su uso. • Se mantendrá vigilada la temperatura de la sala de servidores, con el objetivo de detectar si en algún momento se superan los límites adecuados para los sistemas de computación. • Todos los equipos de comunicaciones (por voz y datos) están situados también de forma que se evite su daño o destrucción, con una elevación suficiente y de forma que no se puedan producir caídas o golpes. • No está permitido comer y/o beber junto a los equipos. • En la empresa se observarán las normas de seguridad y sanidad que sean exigibles en cada momento.
  • 20. 20 • El empleado es responsable de SU EQUIPO en todo momento: • Deberá respetar las medidas de seguridad establecidas para los equipos dentro de las instalaciones. • No dejar desatendido el equipo en lugares públicos, y transportarlo siempre como equipaje de mano. • Proteger el equipo debidamente mediante los maletines correspondientes, fundas, etc. • No estará permitido el uso de redes públicas (WIFI) para el trabajo desde fuera de las instalaciones, y en su caso conectándose a través del móvil. 4. ¿Quédebo saber sobre…?4.2 SeguridadFísica y Ambiental
  • 21. 21 4. ¿Qué debo saber sobre…? 4.3 Seguridad en la Operaciones y Comunicaciones
  • 22. 22 • Evitar la descarga de archivos de sitios que no sean de confianza o de los que no se conoce el origen. • Escanear con el antivirus todos los dispositivos externos que puedan contener código malicioso (llaves USB, CD's, etc.) antes de permitir su exploración desde el equipo local. • Comprobación de los adjuntos y descargas de los correos electrónicos. Para ello se utiliza por defecto la plataforma de filtrado de correo y se refuerza con la protección contra amenazas de correo del antivirus instalado. • Asegurarse de que el software antivirus se encuentra vigente y correctamente actualizado. 4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones • No se podrá instalar ningún software que no esté autorizado por el Responsable de Seguridad. Consultar el Catálogo de Software Homologado publicado en el Portal del Empleado
  • 23. 23 • Cuando sea necesario el envío de información confidencial a través de sistemas de mensajería electrónica, se aplicarán en la medida de lo posible las siguientes medidas de seguridad: • Envío de ficheros encriptados (.zip) y protegidos por contraseña. • Envío de documentos en formato .pdf para evitar la alteración del contenido. • Se solicitará siempre acuse de recibo y lectura. • Cuando no sea factible la aplicación de las medidas mencionadas, se incluirán en la comunicación electrónica las indicaciones oportunas para el manejo seguro de dicha información. • Todos los mensajes electrónicos irán acompañados de los correspondientes avisos legales de seguridad y confidencialidad de datos. 4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones
  • 24. 24 • Al utilizar los servicios de banca electrónica, se tendrán en cuenta las siguientes consideraciones: • Siempre se utilizarán comunicaciones encriptadas. • Solo se podrán hacer compras o pagos a proveedores aprobados. • Cuando se vaya a realizar el pago se comprobará la información de seguridad facilitada por el navegador (uso de conexiones https, y páginas firmadas por organismos de confianza), comprobando que se trata de una página segura. • Nunca se realizarán pagos desde ubicaciones inseguras (sitios públicos o redes Wifi no seguras), quedando limitadas las operaciones electrónicas a las instalaciones de la Organización o en los domicilios declarados. • Una vez realizadas las transacciones electrónicas se comprobaran los cargos hechos en la cuenta bancaria para constatar que todo es correcto. 4. ¿Quédebo saber sobre…?4.3 Seguridaden las Operacionesy Comunicaciones
  • 25. 25 4. ¿Qué debo saber sobre…? 4.4 Clasificación de la Documentación
  • 26. 26 • La documentación en PANEL está clasificada de la siguiente forma: • De Uso Interno, carácter leve: No existe restricción en su difusión a colaboradores de la Organización (empleados y clientes). No debe darse a conocer a terceros sin autorización. Organigramas, políticas, procesos, metodologías, programas, aplicaciones... • De Uso Interno, carácter importante: Sólo está disponible y puede difundirse a empleados de determinadas áreas o departamentos de la Organización (empleados), incluyendo clientes. Datos de clientes, facturas, ofertas y contratos comerciales, presupuestos... • Confidencial: Requiere el máximo grado de protección y su difusión no está autorizada. Sólo tienen acceso el personal cuyo ámbito de trabajo lo requiera y tenga autorización por parte de la Dirección. Expediente empleado, información legal y financiera, configuración red, … 4. ¿Quédebo saber sobre…?4.4 Clasificaciónde la Documentación • Pública: No existe ninguna restricción en su difusión, es información comercial y publicitaria. Web, folletos, catálogos, presentaciones...
  • 27. 27 4. ¿Qué debo saber sobre…? 4.5 Gestión de Incidencias de Seguridad
  • 28. 28 • Todos los empleados tienen la obligación de reportar cualquier incidencia en la seguridad de la información lo más rápidamente posible. • Para ello, se utilizará la herramienta corporativa de Gestión de Peticiones TI de la Organización (GPTI https://soportesic.panel.es), existiendo como alternativa justificada la cuenta de correo electrónico: responsable.seguridad@panel.es • El empleado deberá registrar la incidencia como de tipo “WP-SecInfo” e incluirá una descripción detallada de la misma. • Si no está seguro, será el Responsable de Seguridad quien asigne la categoría correspondiente en el sistema, revisará la incidencia y se llevará a cabo la acción correctiva/preventiva asociada. 4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
  • 29. 29 • Se clasificarán explícitamente como Incidencias de Seguridad aquellas que sean del tipo: • Pérdida del servicio, equipos o medios. • Errores humanos. • Incumplimiento de las políticas o estándares de seguridad. • Vulneraciones de los acuerdos de seguridad física. • Cambios del sistema no controlados. • Violaciones de acceso. • Incidencias que afecten al control de acceso a las instalaciones. • Incidencias relacionadas con Datos de Carácter Personal (LOPD). • El mal funcionamiento o cualquier otra conducta anómala del sistema (mal funcionamiento del software, incidencias en las aplicaciones, correo electrónico, etc.) pueden ser también un indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, el personal que gestiona los sistemas y redes siempre evaluará si notificarlo como una incidencia de seguridad de la información en GPTI. 4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
  • 30. 30 RECUERDA: • El mal funcionamiento o cualquier otra conducta anómala del sistema pueden ser un indicador de un ataque a la seguridad o una verdadera violación de la seguridad, por lo tanto, siempre deberá notificarse como una incidencia. • Todos los usuarios deberán reportar cualquier debilidad sospechada u observada en el sistema o los servicios, para lo cual se seguirá el mismo procedimiento que el especificado en el apartado anterior. • Ningún empleado deberá probar la debilidad de seguridad sospechada debido al riesgo de causa de daños graves al sistema de información. • Únicamente cuando se haya notificado dicha debilidad se realizará una prueba controlada (por el Responsable de Seguridad) de la misma. 4. ¿Quédebo saber sobre…?4.5 Gestiónde Incidenciasde Seguridad
  • 31. 31 4. ¿Qué debo saber sobre…? 4.6 Continuidad del Negocio
  • 32. 32 La empresa dispone de un Plan de Continuidad del Negocio con el objetivo de aumentar la probabilidad de continuidad de las funciones críticas de la Organización en caso de que un incidente o contingencia imprevista interrumpa los principales procesos de negocio, como por ejemplo: • Los que causen un daño físico en las instalaciones o equipos, como fuego, humo, daños por agua, o desastres regionales inesperados como huracanes o inundaciones. • Los que afecten de forma indirecta la posibilidad de acceso a las instalaciones, como evacuación de emergencia por amenaza de bomba, o amenazas externas tales como incendios en las instalaciones cercanas, fuga de gases tóxicos, etc. • Desastres que puedan impedir el acceso normal al personal encargado de las operaciones informáticas, aunque las instalaciones estén intactas, tales como grandes nevadas, inundaciones, etc. • Cualquier incidente externo que pudiera potencialmente causar una interrupción de las operaciones del negocio, tales como la pérdida de los servicios de suministro eléctrico o de telecomunicaciones. 4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio
  • 33. 33 • Cualquier incidente que afecte al funcionamiento del hardware o del software y que suponga una interrupción superior a las 24 horas. • Cualquier incidente que suponga la paralización de actividades de la Organización por motivos ajenos a la tecnología, tales como problemas laborales propios o del sector o problemas laborales que afecten al área geográfica donde se encuentra ubicada la Organización. 4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio El Plan de Continuidad proporciona un enfoque organizado y consolidado para dirigir las actividades de respuesta y recuperación, evitando la confusión, facilitar la toma de decisiones en momentos de tensión y proporcionar una respuesta rápida y apropiada a cualquier incidente imprevisto. Equipo de Recuperación Equipo de Gestión de Incidencias. Activación del Plan de Continuidad: Teléfono móvil Teléfono del trabajo Apellidos Nombre +34 650 523 511 +34 914057850 Nicolao Echevarne Miguel Ángel +34 618 988 975 +34 914057850 Martínez Sánchez Sergio Equipo de Operaciones Informáticas: Teléfono móvil Teléfono del trabajo Apellidos Nombre +34 618 988 975 +34 914057850 Martínez Sánchez Sergio
  • 34. 34 4. ¿Quédebo saber sobre…?4.6 Continuidaddel Negocio Teléfonomóvil Teléfonodel trabajo Apellidos Nombre +34 650 524 769 +34 914057843 González Armengod Alfredo +34 608 496 916 +34 914057878 Mora Fernández Yoandra Teléfonomóvil Teléfonodel trabajo Apellidos Nombre +34 680 661 669 +34 914057844 Garrido Martínez Lucia +34 608 496 916 +34 914057878 Mora Fernández Yoandra +34 620 819 185 +34 914057845 Rivera Moreno Pablo Teléfonomóvil Teléfonodel trabajo Apellidos Nombre +34 650 523 511 +34 914057850 Nicolao Echevarne Miguel Ángel +34 650 524 769 +34 914057843 Gonzalez Armengod Alfredo +34 650 521 934 +34 914057878 Empresa Externa Equipo de Administración: Equipo de Atención a Usuarios: Equipo de Inmuebles: MDPMD0
  • 35. Diapositiva 34 MDPMD0 Revisar si se mantienen estas personas y números de contacto Maria Del Pino Martinez Doreste; 2023-04-26T07:36:56.832
  • 36. 35 4. ¿Qué debo saber sobre…? 4.7 Cumplimiento Legal. Propiedad Intelectual y RGPD
  • 37. 36 4. ¿Quédebo saber sobre…?4.7 CumplimientoLegal. Propiedadintelectualy RGPD En general, se prohíbe el uso, copia o archivo de cualquier documento o software sometido a derechos de propiedad intelectual cualquiera que sea su soporte, físico o electrónico, sin la autorización de la dirección. • En caso de que se adquiera software libre o cualquier documento no sometido a derechos de propiedad, el usuario deberá revisar previamente el acuerdo de licencia o copyright del documento en cuestión. • Por otra parte, se prohíbe la distribución o cesión de cualquier software o información propiedad de la Organización, si dicha distribución no ha sido autorizada por el Responsable de Seguridad y/o la Dirección. • En caso de que se incumplan los derechos de propiedad, el poseedor del documento o software que ha causado dicho incumplimiento será el responsable del mismo, al que se le aplicará el régimen sancionador establecido por la Organización. • Asimismo, los empleados deben cumplir todas las medidas de seguridad establecidas en el Sistema de Gestión de la Seguridad, así como las firmadas en los correspondientes anexos al Contrato de Trabajo para garantizar el cumplimiento del Reglamento General de Protección de Datos.
  • 38. 37 4. ¿Qué debo saber sobre…? 4.8 Auditorías
  • 39. 38 4. ¿Quédebo saber sobre…?4.8 Auditorías • El S.G.S.I. será auditado periódicamente (anualmente), tanto internamente por el área de Calidad y el equipo de auditores internos, como externamente por la entidad certificadora, en las siguientes áreas: Director General Responsable Seguridad Información Responsable de Sistemas Coordinador de Seguridad RRHH DAF DOPs SIC CAL Muestra aleatoria del 10% personal en oficina Muestra aleatoria del 10% equipos en oficina Comité de Seguridad Responsable de Seguridad Física Direcciones Empleados Equipos
  • 40. 39 4. ¿Quédebo saber sobre…?4.8 Auditorías El COMITÉ DE SEGURIDAD es auditado con el fin de comprobar que ha llevado a cabo todas las actividades de revisión y seguimiento periódico del SGSI de la Organización. Los EMPLEADOS y las DOPs son auditados con el fin de comprobar que han entendido y aplican las instrucciones y controles en materia de seguridad que requiere el S.G.S.I., los cuales han sido resumidos en el presente documento. Comité de Seguridad Empleados DOPs
  • 41. 40 4. ¿Quédebo saber sobre…?4.8 Auditorías • No se dispone de material con derechos de propiedad sin que haya evidencia de la adquisición de los mismos: imágenes, archivos de audio, video, etc. • Se dispone de las copias de las licencias, discos o manuales que evidencien la propiedad de las mismas. • No se excede el número de usuarios máximos permitidos. • No se instala software o productos con licencia propietaria sin autorización previa, y que se cumplen los acuerdos de licencia del software utilizado. • Los protectores de pantalla de los equipos de los usuarios se activan automáticamente tras 15 minutos de inactividad, bloqueando a su vez el equipo. En su reanudación, será necesaria la inserción del usuario y contraseña para efectuar el desbloqueo, permitiéndose un máximo de 5 intentos. • El escritorio del equipo de trabajo está libre de accesos directos a información, servicios o medios de procesamiento que puedan suponer un riesgo para la seguridad de la información. • Las mesas deberán estar libres de documentos o información confidencial sobre las mismas. • Toda la documentación o información confidencial que temporalmente esté manejando un empleado, deberá devolverse a su archivo o custodiarla bajo llave, si el empleado se ausenta del puesto de trabajo. EQUIPOS Los EQUIPOS se auditan con el fin de comprobar que:
  • 42. C/ Josefa Valcárcel nº 9 28027 Madrid – España Tel.: +34 91 405 78 78 www.panel.es seguridad.sgsi@panel.es Panel Sistemas Informáticos, S.L. El cambio está en TI ¿Hablamos? @PanelSistemas panelsistemasinformticos panelsistemas