La NTP-ISO/IEC 17799 establece recomendaciones para la gestión de la seguridad de la información en entidades del gobierno peruano. La norma cubre 10 dominios como políticas de seguridad, organización, clasificación de activos, seguridad física y del personal. El documento evalúa la implementación de la norma en un ministerio, identificando carencias como falta de políticas formales, controles de acceso débiles y ausencia de planes de continuidad. La norma busca estandarizar prácticas de seguridad
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
En esta presentación de presentaremos las relaciones de las diferentes normas de estandarización relacionadas con los sistemas informático y el Sistema Gestor de Seguridad de la Información.
Presentación de Norma ISO 17799, seguridad informática, como parte entrenamiento personal informático y no informático del Ministerior del Interior del Perú. Presentación elaborada durante el periodo en que brindé mis servicios como Consultor para el MINITER.
Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity
que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica
http://www.securinf.com
Esta es una breve diapositiva acerca de la seguridad informatica de tecnologías de la información esta es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Aqui algunas pautas...
En esta presentación de presentaremos las relaciones de las diferentes normas de estandarización relacionadas con los sistemas informático y el Sistema Gestor de Seguridad de la Información.
Presentación de Norma ISO 17799, seguridad informática, como parte entrenamiento personal informático y no informático del Ministerior del Interior del Perú. Presentación elaborada durante el periodo en que brindé mis servicios como Consultor para el MINITER.
Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity
que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica
http://www.securinf.com
Esta es una breve diapositiva acerca de la seguridad informatica de tecnologías de la información esta es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. Aqui algunas pautas...
Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Se recomienda que la identificación de los controles a ser implementados se planifique en forma cuidadosa y con atención a todos los detalles. La gestión de la seguridad de la información requiere como mínimo de la participación de todos los empleados de la organización. Puede también requerir de la participación de los accionistas, proveedores, terceras partes, clientes u otras partes externas. También puede necesitarse del asesoramiento especializado de consultores de seguridad de la información.
Presentación que incluye muchos aspectos a tener en cuenta ante una auditoria en seguridad IT, una correcta gestión de la SGSI y un modelo de estructura de un gestor de documentos del departamento de IS.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
3. ¿Qué busca esta Norma? Esta Norma es de uso obligatorio para todas las entidades del sector gobierno que a su vez conforman el Sistema Nacional de Informática. Para esta NTP la informaciónde las organizaciones representa el activo mas Importante, la cual se encuentra en forma impresa, digital, verbal.
4. Base legal 2004 Mediante la Resolución Ministerial Nº 224- 2004-PCM del 23 de julio de 2004 se aprobó el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información, 1º Edición”, en todas las Entidades integrantes del Sistema Nacional de Informática.
5. Base legal 2007 El 22 de Agosto del 2007, se actualiza la presente Norma, bajo RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM Norma Técnica Peruana “NTP-ISO/ IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición” bajo el mismo ámbito de aplicación de la versión anterior.
7. NTP 17799 DOMINIO(Secciones) OBJETIVO CONTROLES Guía de Implementación
8. Ejemplo de Implementación Dominio de control : Gestión de Comunicaciones y Operación. Objetivo de control : Proteger la integridad del software y de la Información. Control : Controles contra Software malicioso Guía de Implementación : Normativa de uso de Software Definición, Publicación. Filtrado de contenidos Web Antivirus de Correo Antivirus Personal
10. 1 Política de Seguridad Objetivo de Control Dirigir y Dar Soporte a la gestión de la Seguridad de la información. Control : Dirección : Política y Apoyo visible. Política : Sistema de seguridad de la información.
11. 1 Política de Seguridad No se tenía identificado un documento de Política de Seguridad que sea de conocimiento del personal, sin embargo se contaba con dos Directivas aprobadas y dos en proceso de aprobación
13. 2 Organización de la Seguridad Objetivo de Control Gestionar la seguridad de la información dentro de la organización. Control : Mantener la seguridad de los recursos. Mantener la seguridad de la información.
14. 2 Organización de la Seguridad No existe un comité de Gestión de Seguridad de Información, sin embargo se habían establecido algunas responsabilidades en cuanto a seguridad de la información. En Informática se encontró un documento con el contenido de la norma y algunas recomendaciones realizadas en base a esta norma, las cuales no se habían tomado en cuenta. Existía un practicante como encargado de Seguridad de Redes, que no desarrollaba labores netamente de un Oficial de Seguridad porque no tenía la documentación ni los procedimientos formalmente definidos.
15. 3 Clasificación y Control de Activos Objetivo de Control Mantener una protección adecuada sobre los activos de la Organización. Asegurar un nivel adecuado de protección a los activos de Información.
16. 3 Clasificación y Control de Activos Se cuenta con un inventario de activos fijos los que son controlados por el área de Control Patrimonial. Todas las áreas deberían contar con una clasificación de los activos más importantes (información, hardware, software, servicios y otros) de acuerdo a criticidad y/o confiabilidad y el uso de un procedimiento de clasificación de la información.
17. 4 Seguridad en el Personal Objetivo de Control Reducir los riesgos de errores humanos. Asegurar que los usuarios son conscientes Minimizar los daños.
18. 4 Seguridad del Personal No se realizan charlas, capacitaciones y entrenamiento en temas de seguridad de información. No se consigna una cláusula de Confidencialidad en los contratos, específicamente lo relacionado con el procesamiento y seguridad de la información, sólo se describe sus Términos de Referencia.
19. 5 Seguridad física y del entorno Objetivo de Control Evitar accesos no autorizados. Evitar pérdidas. Prevenir la exposición a riesgos o pérdida de información.
20. 5 Seguridad física y del entorno Se cuenta con un buen control de ingreso a las instalaciones como revisión de paquetes, registro de equipos tanto al ingreso como a la salida así como también en el ingreso a las oficinas, pues se cuenta con un vigilante en cada puerta. Sin embargo el tema de la Seguridad física al ingreso y salida de las instalaciones, es realizado por un Service.
21. 6 Gestión Comunicaciones y Operaciones Objetivo de Control Se debe garantizar la seguridad de las comunicaciones y de la operación de los sistemas críticos del negocio. Asegurar la operación correcta y segura de los recursos de información. Gestión de seguridad en redes, Monitoreo y SLA con terceros. Proteger la integridad del software y de la información, contra software malicioso.
22. 6 Gestión Comunicaciones y Operaciones Existen algunos manuales y procedimientos de operación pero no están actualizados. Los procedimientos de monitoreo de servicios realizados por terceros no se encuentran formalizados. Adicionalmente se tiene directivas aprobadas sobre el respaldo de información, que se encuentran publicadas en la Web, pero, no son conocidas por los usuarios, falta de difusión a toda la organización. Los Log de auditoría deshabilitados, ante algún problema no se podría obtener las pistas de auditoria para evaluar y deslindar responsabilidades ante falla de los sistemas.
23. 7 Control de Accesos Objetivo de Control Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles, sistema operativo, aplicaciones, redes, etc. Control : Los usuarios deberán seguir buenas practicas de seguridad para la selección y uso de sus contraseñas.
24. 7 Control de Accesos Carencia de un procedimiento formal para la gestión de cuentas de usuarios en los diferentes sistemas. No existen los controles adecuados para asegurar que los usuarios sigan las buenas prácticas de seguridad para la selección y uso de sus contraseñas. Falta de una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como una política de pantalla limpia para instalaciones de procesamiento de información.
26. 8 Adquisición, Desarrollo y Mantenimiento de Sistemas Objetivo de Control Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software.
27. 8 Adquisición, Desarrollo y Mantenimiento de Sistemas Los requerimientos de mantenimiento de sistemas no son comunicados por un canal formal. No se encontró estándares específicos ni metodologías para la adquisición, desarrollo y mantenimientos de sistemas.
29. 9 Gestión de Continuidad del Negocio Objetivo de Control Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a a grandes fallos o desastres. Control : Continuidad del negocio y evaluación de riesgos.
30. 9 Gestión de Continuidad del Negocio Se cuenta con un documento de contingencias, no ha sido aprobado, no está alineado a la seguridad de información a nivel de toda la organización. Además no se han realizado pruebas ni actualización del mismo, por consiguiente el personal de la organización, no tiene conocimiento de este dominio. La Organización no tiene un plan de continuidad de negocio
31. 10 Cumplimiento Objetivo de Control Se debe identificar convenientemente la legislación aplicable a los sistemas de información de la organización. Control : Continuidad del negocio y evaluación de riesgos.
32. 10 Cumplimiento Los requerimientos legales (estatuto, norma o contratos) para el uso de sistemas de información y que son relevantes para la organización no están explícitamente definidos, documentados ni difundidos.
33. CONCLUSIONES Esta Norma Técnica Peruana establece recomendaciones para realizar la gestión de la seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o mantener la seguridad en una organización. Persigue proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad, así como proporcionar confianza en las relaciones entre organizaciones.