SlideShare una empresa de Scribd logo

Implementando SGSI en Instituciones Estatales

Foro Global Crossing
Foro Global Crossing

Presentación de Roberto Puyó en Foro Global Crossing Perú 2009

1 de 42
Descargar para leer sin conexión
Información segura. Negocios seguros. Caso: Implementando SGSI en  Caso: Implementando SGSI en Instituciones Estatales Roberto Puyó Valladares, CISM Comité Técnico de Normalización e Intercambio  Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI Oficial de Seguridad LOGO ORADOR
Agenda 1 ¿Por qué Implementar un SGSI? 2 Alineamiento con Objetivos Institucionales 3 Alcance 4 Lecciones Aprendidas 5 Integrabilidad de Estándares 6 Visión d l Seguridad d la Información Vi ió de la S id d de l I f ió 7 El Proyecto 8 Trabajo del Comité EDI
Lo Público…
Documentos Adulterados 4
Documentos Adulterados Papel sumergido en bebida gaseosa Papel sumergido en bebida gaseosa Papel sumergido en Té (Cola Cola) (Cola-Cola) (Pepsi Cola) (Pepsi-Cola)
Documentos Adulterados
¿Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los de la Información Confidencialidad Integridad g Disponibilidad p Seguridad vela por
Alineamiento con Objetivos Institucionales US01 - Mejorar la percepción del cliente de la lid d del l calidad d l servicio. i i US.02- Reducir el fraude 11 PI.02 PI 02 - Mejorar la calidad del servicio *Fuente: PEI 2007 -201 FI.01 - Conciliar rentabilidad con seguridad EN.02 - Mejorar la Imagen Institucional j g : SEGURIDAD DE LA INFORMACIÓN SGSI
PLAP - LIMA Centro Cívico Departamentales CENTRO DE COMPUTO Primera Etapa: • Sistemas Informáticos • Infraestructura Certificar • Servidores en • Comunicaciones ISO/IEC • Aplicaciones 27001 •BBases d D t de Datos
SGSI en la Institución SGSI en la Institución SGSI – Proceso n SGSI – Proceso 1 SGSI Proceso 2
Alcance – Ámbito de implementación Ámbito: Centro de Cómputo Soporte Técnico (Adm. de la Plataforma y las Mesa d M de Comunicaciones) Ayuda (Soporte a Seguridad Usuarios) ) de la Adm. de la Contingencia del C.C. Información Adm. de las Operaciones del Centro de Cómputo
Alcance – Lo norma implementada ISO 27001: “Sistema de Gestión de Seguridad de la Información” Política de  Seguridad Organización de la Seguridad  de Información S G S I Seguridad del  S id d d l Implica a: Gestión de Activos RRHH Gestión de las Comunicaciones y  Seguridad Física Operaciones Organización Tecnología Gestión de Acceso Adquisición, desarrollo y  Legal mantenimiento de sistemas Física Gestión de las  Gestión de la  Continuidad  del Negocio Continuidad del Negocio Cumplimiento p Incidencias de Seguridad Incidencias de Seguridad Personas Procesos Tecnología
El Proyecto Lo implementado en el Centro de Cómputo Análisis Establecimiento E t bl i i t Implementación I l t ió Monitoreo y M it Mantenimiento y Preliminar y del SGSI y Operación Revisión Mejora Planeamiento Normativa de Auditorías Plan de Mejora j Definición Alcance Seguridad Internas Continua Análisis GAP Análisis de Plan de Cuadro de Control Plan para la Impacto Respuesta al y Monitoreo Revisión Ejecutiva Riesgo Análisis de Implementación Riesgo de Controles Preparación para la Certificación Plan de Selección de Educación en Controles Seguridad Certificación Documento Aplicabilidad
Lección Aprendida No confunda las normas ISO/IEC 27001  No confunda las normas ISO/IEC 27001 ISO/IEC 27002 (ISO/IEC 17799). 
Lección Aprendida Si no tiene claro el alcance que quiere cubrir  Si no tiene claro el alcance que quiere cubrir con la gestión de la seguridad:  RECOMENDAMOS NO INICIAR LA  RECOMENDAMOS NO INICIAR LA IMPLEMENTACIÓN de un SGSI.
Lección Aprendida Obtenga la aprobación de la Jefatura y/o  Obtenga la aprobación de la Jefatura y/o Gerencia General de su Institución, si no tiene  este apoyo será difícil implementar. este apoyo será difícil implementar.
Lección Aprendida Organice el Comité de Seguridad de la  Organice el Comité de Seguridad de la Información. Tienen que participar representantes de  Tienen que participar representantes de diversas áreas, tales como RRHH, Legal, TI,  personal de las áreas de los procesos  personal de las áreas de los procesos áreas de los procesos  principales.  principales No olvidar involucrar al área responsable de  N l id i l lá bl d emitir documentos normativos. 
Lección Aprendida De ser necesario, modificar el MOF de la  De ser necesario, modificar el MOF de la Institución para que ciertas funciones clave,  en lo que respecta a la seguridad de la  en lo que respecta a la seguridad de la información y la gestión de riesgos, sean  incluidas.
Lección Aprendida Desarrolle o revise las políticas de seguridad de la  p g Institución. Cambie el enfoque de políticas de  seguridad informática a políticas de seguridad de la  información. Guíese de los dominios de la norma ISO/IEC 17799  (ISO/IEC 27002). ( / ) Busque apoyo en otras Instituciones Públicas para no  tratar de “Inventar la Pólvora”. t t d “I t l Pól ”
Lección Aprendida Uno de los puntos vitales en la implementación es el  desarrollo de la Guía de Gestión de Riesgos. Recomendamos utilizar la norma ISO/IEC 27005:2008 – Gestión de Riesgos de la Seguridad de la Información – Disponible como NTP aproximadamente a fines de año.
Lección Aprendida Es necesario y recomendable que se ejecute un  y q j Análisis de Impacto al Negocio – BIA
Lección Aprendida De acuerdo al nivel de madurez y la  disponibilidad presupuestal, es recomendable  disponibilidad presupuestal es recomendable mantener una persona a tiempo completo  revisando los temas de seguridad.  revisando los temas de seguridad
Lección Aprendida Activar la seguridad y la auditoria razonable  Activar la seguridad y la auditoria razonable de las bases de datos en los ambientes de  producción.  producción. Generar registros de auditorias sobre la  actividad de los administradores. actividad de los administradores
Lección Aprendida No olvide revisar los accesos que los usuarios  No olvide revisar los accesos que los usuarios tienen en los sistemas de información.  No olvide que los accesos dentro de los  No olvide que los accesos dentro de los sistemas deben encontrarse acordes con las   funciones desempeñadas.  funciones desempeñadas
Lección Aprendida Capacite a los empleados en seguridad de la  Capacite a los empleados en seguridad de la información.  Presente casos reales que se hayan efectuado  Presente casos reales que se hayan efectuado en la institución.  Utilice lenguaje apropiado.  Utili l j i d Prepare presentaciones diferenciadas por  áreas pero con el mismo mensaje de fondo. 
LEY Nº 27309 ‐ INCORPORA AL CODIGO PENAL LOS DELITOS  LEY Nº 27309 ‐ INFORMATICOS (ART. 2007 C.P.) INFORMATICOS (ART. 2007 C.P.) Art. 207º A .- El que utiliza o ingresa Art. 207º B .- El que utiliza, ingresa o indebidamente a una base de datos, sistema interfiere indebidamente una base de o red de computadoras o cualquier parte de datos, sistema o red o programa de la misma, para diseñar, ejecutar o alterar un computadoras o cualquier parte de la esquema u otro similar, o para interferir, misma con el fin de alterarlos, dañarlos interceptar, acceder o copiar información en o destruirlos. transito o contenida en una base de datos. CIRCUNSTANCIAS AGRAVANTES Art. 207º C El agente accede a una base de El agente pone en peligro la datos, sistema o red de seguridad nacional". computadoras, haciendo uso de información i f ió privilegiada, i il i d obtenida en función a su cargo.
FIGURAS DELICTIVAS MAS CONOCIDAS EMPLEANDO ALTA TECNOLOGIA DELITO CONTRA EL (Código Penal) DELITO CONTRA LA LIBERTAD PATRIMONIO OFENSAS AL PUDOR PUBLICO (HURTO AGRAVADO) (PORNOGRAFIA INFANTIL) Art. 186º.- El que para obtener Art. 183º A.- El que posee, promueve, provecho, se apodera ilegítimamente fabrica, distribuye, exhibe, ofrece, de un bien mueble, total o comercializa o publica, importa o exporta parcialmente ajeno, sustrayéndolo del por cualquier medio incluido la INTERNET, lugar donde se encuentra, … objetos, libros, IMÁGENES VISUALES o auditivas, o realiza espectáculos en vivo de 3. Mediante la tili ió de i t 3 M di t l utilización d sistemas carácter pornográfico, en los cuales se de transferencia electrónica de utilice a personas de 14 y menos de 18 años fondos, de la telemática en general o de edad, … la violación del empleo de claves secretas. t Cuando el menor tenga menos de 14 años de edad, …
Lección Aprendida Determine métricas de Seguridad de la  Información.  I f ió
Lección Aprendida Implemente un procedimiento de  Implemente un procedimiento de registro, seguimiento y control de los  “Incidentes de Seguridad de la  Información”.
Lección Aprendida De ser el caso no dude en solicitar apoyo de la  De ser el caso no dude en solicitar apoyo de la Policía Informática del Perú – DIVINDAT.  División de Investigaciones de Delitos de Alta  División de Investigaciones de Delitos de Alta Tecnología. http://www.policiainformatica.gob.pe/ http://www policiainformatica gob pe/
Lección Aprendida Efectúen una revisión del código fuente de sus  Efectúen una revisión del código fuente de sus aplicaciones.  Nadie sabe lo que se puede encontrar. Podrían  Nadie sabe lo que se puede encontrar Podrían existir “puertas traseras” colocadas por los  programadores.  programadores
Lección Aprendida Estandarice el  desarrollo de sus  sistemas de  información. Debe  información Debe incluir los estándares  de seguridad en lo que  de seguridad en lo que respecta al código  fuente.  Se recomienda revisar  la página  http://www.owasp.org
Lección Aprendida No deje de lado el enfoque de la reducción de fraudes en sus  organizaciones
Lección Aprendida Integre los estándares para NO DUPLICAR los estándares para NO DUPLICAR  ESFUERZOS: COSO COBIT ISO/IEC 27001 ISO/IEC 27002 Reglamento de Seguridad y Salud en el  Trabajo
Integrabilidad REGULACIONES SST BCI Seguridad y Salud en el Trabajo Business Continuity Institute DRI PMI-PMBOK Disaster Recovery Institute ISO 27.005 CMMI BS 25.999 Gestión de Riesgos de segurida nivel de Madurrez Business Continuity Management COBIT/ ISO 27.001 – 27.002 ISO 20.000 Sistema de Gestión de Seguridad ISO 38500 Sistema de Gestión de Servicios TI de la Información (SGSI) Gobernabilidad TI (ITIL) Sistemas de Gestión y Gobernabilidad alineados con el Negocio COSO - ERM
Integración de Normas – Arman contra la corrupción y el fraude Escenario del Fraude Control a implementar Informe COSO – RC N° Norma ISO/IEC 27001:2005 COBIT v4- Control de 320-2006- CG- Control – Sistema de Gestión de Tecnologías[ Interno] Seguridad Tipo d Fraude Norma de la SBS de Uso indebido de los privilegios Código de Ética 3.2 Segregación de A.11 Control de Accesos. DS5 – Garantizar la Corrupción en los sistemas de información Funciones A.11.1.1 Política de Control Seguridad de los Sistemas para ingresar información sin 4.4 44 Sistemas de de Accesos sustento, adulterar montos, y Información A.11.2.2 Gestión de favorecer a terceros. Privilegios. A.11.2.4 Revisión de los derechos de acceso de los usuarios Obtener información de los Aplicar transformación de datos entre los 4.4 Sistemas de A.10.1.4 Separación de las DS11 Administración de la sistemas de información de los ambientes. Efectuar separación lógica de los Información instalaciones de desarrollo, Información ambientes de pruebas o ambientes. Controlar el acceso a los mismos. prueba y operación. desarrollo, dado que la No entregar copias de las bases de datos de A.11.6 Control de Acceso a información ahí almacenada producción en los ambientes de pruebas o las aplicaciones e es idéntica a la de los desarrollo. información. ambientes de producción. A.11.6.2 Aislamiento de sistemas sensibles. Personal que ingresa a una Se debe hacer un chequeo y verificación de 1.4 Estructura A.8 Seguridad en Recursos PO7 Administrar recursos organización sin que se informaciones anteriores de todos los Organizacional Humanos humanos de TI verifiquen sus documentos. candidatos para el empleo, en concordancia 1.5 Administración de A.8.2.3 Proceso disciplinario con las leyes, regulaciones y ética. Recursos Humanos Se debe limitar el acceso a los sistemas, 4.4 Sistemas de según la necesidad de tener y saber. Información Uso de accesos físicos y Reforzar el procedimiento de baja del 1.5 Administración de A.8.3.1. Responsabilidades PO7 Administrar recursos lógicos de empleados que ya personal. Lo ideal es que sus cuentas se Recursos Humanos de Finalización humanos de TI dejaron de laborar. encuentran centralizadas al momento de la A.8.3.2 Devolución de DS12 Administrar el baja. Aquí debe establecerse apoyo con el Activos ambiente físico personal de vigilancia de la Entidad. A.8.3.3 Al finalizar el empleo DS11 Administrar los Retiro de derechos de datos acceso.
Visión de la seguridad en la Institución Un Sistema de Gestión de la Seguridad de la Información UNIFICADO SGS (UNIFICADO) de la Institución SGSI (U C O) a st tuc ó INTEGRACIÓN Ó SGSI - Centro de Cómputo SGSI SGSI SGSI SGSI SGSI Servicio Servicio de Servicio de Servicio de Servicio de Mantenimien to de Atención al Calificaciones de Verificaciones Administración Aplicaciones Público Expedientes de Aportes de Archivos
El Proyecto ‐ Cronograma Lo implementado en el Centro de Cómputo 2007 2008 2009 SGSI Semestre Semestre Semestre Semestre Semestre Semestre I II I II I II Análisis Preliminar y Planeamiento X X Establecimiento del SGSI X X Implementación y Operación p X X Monitoreo y Revisión X X Mantenimiento y Mejora j X Auditoria para la Certificación X Certificación
El Proyecto ‐ Esfuerzo RECURSOS: Equipo consultor y personal de la Institución Para el SGSI del Centro de Cómputo p 564 días útiles Mas de 02 Esfuerzo total AÑOS del proyecto Desde Hasta dedicados ENE 07 FEB 09 Consultores Instit. Participación p Mas de M d 35 Directa 6 3 personas Participación participando 14 15 Indirecta
El Proyecto ‐ Resultados La Institución aprobó exitosamente la auditoría de certificación para el Centro de Cómputo(*) Se usaron las buenas prácticas internacionales Un Sistema d G tió alineado a l Obj ti U Si t de Gestión li d los Objetivos I tit i Institucionales l En los próximos 18 meses la integración de los 06 SGSI (*) En tramites
Por último – desde el Comité EDI • Para el 2009 en proceso:  • PNTP ISO/IEC 27006: 2007 ‐ Information technology Security PNTP ‐ ISO/IEC 27006: 2007 Information technology – Security  techniques – Requirements for bodies providing audit and  certification of information security management systems. • PNTP ISO/IEC 27005: 2008 ‐ Information technology Security PNTP ‐ ISO/IEC 27005: 2008 Information technology – Security  techniques – Information security risk management • PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information  security management in health using security management in health using • PNTP – ISO 28001:2007 ‐ Security management systems for the  supply chain ‐ Best practices for implementing supply chain  security, assessments and plans ‐ Requirements and guidance. security assessments and plans Requirements and guidance
!MUCHAS GRACIAS por su atención! p Roberto Puyó Valladares, CISM Roberto Puyó Valladares CISM robertopuyovalladares@gmail.com 995786312

Recomendados

ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011Ramsés Gallego
 
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Ricardo Cañizares Sales
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...AGESTIC - Asociación Gallega Empresas TIC
 
Adquisición e implementación dominio-adrian fonseca
Adquisición e implementación dominio-adrian fonsecaAdquisición e implementación dominio-adrian fonseca
Adquisición e implementación dominio-adrian fonsecaAdrian_Fonseca
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónYamile Espinoza Ortiz
 
GESConsultor
GESConsultorGESConsultor
GESConsultorGESConsultor
 
Control de riesgo tecnológico a traves de la mejora de procesos, gtm, 20110705
Control de riesgo tecnológico a traves de la mejora de procesos, gtm, 20110705Control de riesgo tecnológico a traves de la mejora de procesos, gtm, 20110705
Control de riesgo tecnológico a traves de la mejora de procesos, gtm, 20110705guba93
 
El marco de trabajo ValIT y su importancia para el Gobierno de las Tecnología...
El marco de trabajo ValIT y su importancia para el Gobierno de las Tecnología...El marco de trabajo ValIT y su importancia para el Gobierno de las Tecnología...
El marco de trabajo ValIT y su importancia para el Gobierno de las Tecnología...Willy Pérez Elizalde
 

Recomendados

ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011Ramsés Gallego
 
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Ricardo Cañizares Sales
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...AGESTIC - Asociación Gallega Empresas TIC
 
Adquisición e implementación dominio-adrian fonseca
Adquisición e implementación dominio-adrian fonsecaAdquisición e implementación dominio-adrian fonseca
Adquisición e implementación dominio-adrian fonsecaAdrian_Fonseca
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónYamile Espinoza Ortiz
 
GESConsultor
GESConsultorGESConsultor
GESConsultorGESConsultor
 
Control de riesgo tecnológico a traves de la mejora de procesos, gtm, 20110705
Control de riesgo tecnológico a traves de la mejora de procesos, gtm, 20110705Control de riesgo tecnológico a traves de la mejora de procesos, gtm, 20110705
Control de riesgo tecnológico a traves de la mejora de procesos, gtm, 20110705guba93
 
El marco de trabajo ValIT y su importancia para el Gobierno de las Tecnología...
El marco de trabajo ValIT y su importancia para el Gobierno de las Tecnología...El marco de trabajo ValIT y su importancia para el Gobierno de las Tecnología...
El marco de trabajo ValIT y su importancia para el Gobierno de las Tecnología...Willy Pérez Elizalde
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Caso De Exito
Caso De ExitoCaso De Exito
Caso De Exitoguest6b04e5
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Ciro Bonilla
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01garridooyola201224
 
Esquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and complianceEsquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and complianceAGESTIC - Asociación Gallega Empresas TIC
 
Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
Sistemas de Gestión Certificable en el Sector TIC
Sistemas de Gestión Certificable en el Sector TICSistemas de Gestión Certificable en el Sector TIC
Sistemas de Gestión Certificable en el Sector TICascêndia reingeniería + consultoría
 
Normatecnica
NormatecnicaNormatecnica
NormatecnicaJhon Egoavil
 
TISSAT
TISSATTISSAT
TISSAThuanho
 
Gsi t01c (si de la empresa)
Gsi t01c (si de la empresa)Gsi t01c (si de la empresa)
Gsi t01c (si de la empresa)Carmen Hevia Medina
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Camilo Esteban
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
Thalia pojota
Thalia pojotaThalia pojota
Thalia pojotaMercyPojota
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
Maximice la eficiencia y la eficacia de los procesos en la industria de la salud
Maximice la eficiencia y la eficacia de los procesos en la industria de la saludMaximice la eficiencia y la eficacia de los procesos en la industria de la salud
Maximice la eficiencia y la eficacia de los procesos en la industria de la saludIBMSSA
 
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...Alex Sandro C. Sant'Ana
 
Christian Financial Planning
Christian Financial PlanningChristian Financial Planning
Christian Financial Planningredzy
 
Siaf plex
Siaf plexSiaf plex
Siaf plexveronicajacome23
 
Adopt dtv entrevistas-stakeholders-anexos_out2011
Adopt dtv entrevistas-stakeholders-anexos_out2011Adopt dtv entrevistas-stakeholders-anexos_out2011
Adopt dtv entrevistas-stakeholders-anexos_out2011Célia Quico
 
Tabela Metodologias De OperacionalizaçãO, Parte Ii
Tabela Metodologias De OperacionalizaçãO, Parte IiTabela Metodologias De OperacionalizaçãO, Parte Ii
Tabela Metodologias De OperacionalizaçãO, Parte Iirbento
 
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen Alters
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen AltersGesellschaftliche Integration und Mitwirkung im Kontext des hohen Alters
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen AltersSeniorenforum Würzburg und Umgebung
 

Más contenido relacionado

La actualidad más candente

Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Ciro Bonilla
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01garridooyola201224
 
Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
TISSAT
TISSATTISSAT
TISSAThuanho
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
Maximice la eficiencia y la eficacia de los procesos en la industria de la salud
Maximice la eficiencia y la eficacia de los procesos en la industria de la saludMaximice la eficiencia y la eficacia de los procesos en la industria de la salud
Maximice la eficiencia y la eficacia de los procesos en la industria de la saludIBMSSA
 

La actualidad más candente (16)

Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Caso De Exito
Caso De ExitoCaso De Exito
Caso De Exito
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
 
Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01Estandares 110522185810-phpapp01
Estandares 110522185810-phpapp01
 
Esquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and complianceEsquema Nacional de Seguridad, Gobierno TIC and compliance
Esquema Nacional de Seguridad, Gobierno TIC and compliance
 
Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)
 
Sistemas de Gestión Certificable en el Sector TIC
Sistemas de Gestión Certificable en el Sector TICSistemas de Gestión Certificable en el Sector TIC
Sistemas de Gestión Certificable en el Sector TIC
 
Normatecnica
NormatecnicaNormatecnica
Normatecnica
 
TISSAT
TISSATTISSAT
TISSAT
 
Gsi t01c (si de la empresa)
Gsi t01c (si de la empresa)Gsi t01c (si de la empresa)
Gsi t01c (si de la empresa)
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
 
Thalia pojota
Thalia pojotaThalia pojota
Thalia pojota
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Maximice la eficiencia y la eficacia de los procesos en la industria de la salud
Maximice la eficiencia y la eficacia de los procesos en la industria de la saludMaximice la eficiencia y la eficacia de los procesos en la industria de la salud
Maximice la eficiencia y la eficacia de los procesos en la industria de la salud
 

Destacado

A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...Alex Sandro C. Sant'Ana
 
Christian Financial Planning
Christian Financial PlanningChristian Financial Planning
Christian Financial Planningredzy
 
Adopt dtv entrevistas-stakeholders-anexos_out2011
Adopt dtv entrevistas-stakeholders-anexos_out2011Adopt dtv entrevistas-stakeholders-anexos_out2011
Adopt dtv entrevistas-stakeholders-anexos_out2011Célia Quico
 
Tabela Metodologias De OperacionalizaçãO, Parte Ii
Tabela Metodologias De OperacionalizaçãO, Parte IiTabela Metodologias De OperacionalizaçãO, Parte Ii
Tabela Metodologias De OperacionalizaçãO, Parte Iirbento
 
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen Alters
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen AltersGesellschaftliche Integration und Mitwirkung im Kontext des hohen Alters
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen AltersSeniorenforum Würzburg und Umgebung
 
#RIS3 Know in target: Marian García
#RIS3 Know in target: Marian García#RIS3 Know in target: Marian García
#RIS3 Know in target: Marian GarcíaAgencia IDEA
 
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...Alex Sandro C. Sant'Ana
 
Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Foro Global Crossing
 
Plano aula ciclo 5 - outubro 2010
Plano aula ciclo 5 - outubro 2010Plano aula ciclo 5 - outubro 2010
Plano aula ciclo 5 - outubro 2010zeusi9iuto
 
Breef.me Workshop FISEC Redes Sociais 20111007
Breef.me Workshop FISEC Redes Sociais 20111007Breef.me Workshop FISEC Redes Sociais 20111007
Breef.me Workshop FISEC Redes Sociais 20111007Bernardo Brandão
 
Tendencias - Carlos Folle - PAE 2014
Tendencias - Carlos Folle - PAE 2014Tendencias - Carlos Folle - PAE 2014
Tendencias - Carlos Folle - PAE 2014PTF
 

Destacado (20)

A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
 
Christian Financial Planning
Christian Financial PlanningChristian Financial Planning
Christian Financial Planning
 
Siaf plex
Siaf plexSiaf plex
Siaf plex
 
Adopt dtv entrevistas-stakeholders-anexos_out2011
Adopt dtv entrevistas-stakeholders-anexos_out2011Adopt dtv entrevistas-stakeholders-anexos_out2011
Adopt dtv entrevistas-stakeholders-anexos_out2011
 
Tabela Metodologias De OperacionalizaçãO, Parte Ii
Tabela Metodologias De OperacionalizaçãO, Parte IiTabela Metodologias De OperacionalizaçãO, Parte Ii
Tabela Metodologias De OperacionalizaçãO, Parte Ii
 
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen Alters
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen AltersGesellschaftliche Integration und Mitwirkung im Kontext des hohen Alters
Gesellschaftliche Integration und Mitwirkung im Kontext des hohen Alters
 
#RIS3 Know in target: Marian García
#RIS3 Know in target: Marian García#RIS3 Know in target: Marian García
#RIS3 Know in target: Marian García
 
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
A Rede de Subjetividade Compartilhada e Inclusiva Expressa nos Discursos de D...
 
IMU_Uamaster
IMU_UamasterIMU_Uamaster
IMU_Uamaster
 
Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País
 
Apresentação Gesttic (SaaS) para a Gestão da Qualidade
Apresentação Gesttic (SaaS) para a Gestão da QualidadeApresentação Gesttic (SaaS) para a Gestão da Qualidade
Apresentação Gesttic (SaaS) para a Gestão da Qualidade
 
Autotec
AutotecAutotec
Autotec
 
Plano aula ciclo 5 - outubro 2010
Plano aula ciclo 5 - outubro 2010Plano aula ciclo 5 - outubro 2010
Plano aula ciclo 5 - outubro 2010
 
Mbpm 13 14v0
Mbpm 13 14v0Mbpm 13 14v0
Mbpm 13 14v0
 
Esq01 visibilidade
Esq01 visibilidadeEsq01 visibilidade
Esq01 visibilidade
 
Breef.me Workshop FISEC Redes Sociais 20111007
Breef.me Workshop FISEC Redes Sociais 20111007Breef.me Workshop FISEC Redes Sociais 20111007
Breef.me Workshop FISEC Redes Sociais 20111007
 
Mordomus GTM
Mordomus GTMMordomus GTM
Mordomus GTM
 
Socmed for business akber by @pasarsapi
Socmed for business akber by @pasarsapiSocmed for business akber by @pasarsapi
Socmed for business akber by @pasarsapi
 
Guia tdt
Guia tdtGuia tdt
Guia tdt
 
Tendencias - Carlos Folle - PAE 2014
Tendencias - Carlos Folle - PAE 2014Tendencias - Carlos Folle - PAE 2014
Tendencias - Carlos Folle - PAE 2014
 

Similar a Implementando SGSI en Instituciones Estatales

Integracion Sistemas 9000 166002
Integracion Sistemas 9000 166002Integracion Sistemas 9000 166002
Integracion Sistemas 9000 166002Victor Gomez Romero
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005ascêndia reingeniería + consultoría
 
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]RootedCON
 
Nds l audita
Nds l auditaNds l audita
Nds l auditands
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02vazquezdavid
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02luciarias
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg trackingsgtracking
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerForo Global Crossing
 
Integración y gobierno de la información - Guillermo Estrada
Integración y gobierno de la información - Guillermo EstradaIntegración y gobierno de la información - Guillermo Estrada
Integración y gobierno de la información - Guillermo EstradaIBMSSA
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 

Similar a Implementando SGSI en Instituciones Estatales (20)

Integracion Sistemas 9000 166002
Integracion Sistemas 9000 166002Integracion Sistemas 9000 166002
Integracion Sistemas 9000 166002
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integral
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
 
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Nds l audita
Nds l auditaNds l audita
Nds l audita
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
I foro de gestión pymes software - Aenor
I foro de gestión pymes software - AenorI foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
La Convergencia de la Seguridad
La Convergencia de la SeguridadLa Convergencia de la Seguridad
La Convergencia de la Seguridad
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
 
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. KollerASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
ASSESSMENT DE SEGURIDAD DE LA INFORMACIÓN, por M. Koller
 
Integración y gobierno de la información - Guillermo Estrada
Integración y gobierno de la información - Guillermo EstradaIntegración y gobierno de la información - Guillermo Estrada
Integración y gobierno de la información - Guillermo Estrada
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V A
 

Más de Foro Global Crossing

Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorForo Global Crossing
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloForo Global Crossing
 
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...Foro Global Crossing
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasForo Global Crossing
 
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasGabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasForo Global Crossing
 
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraPuppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraForo Global Crossing
 
Tomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceTomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceForo Global Crossing
 
Gabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webGabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webForo Global Crossing
 
Gianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsGianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsForo Global Crossing
 
Marcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeMarcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeForo Global Crossing
 
Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Foro Global Crossing
 
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Foro Global Crossing
 
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Foro Global Crossing
 
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Foro Global Crossing
 
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Foro Global Crossing
 
miguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamentemiguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamenteForo Global Crossing
 
Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Foro Global Crossing
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo 10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo Foro Global Crossing
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezForo Global Crossing
 
Crisis vs Oportunidad - Oscar Andrés Schmitz
Crisis vs Oportunidad - Oscar Andrés SchmitzCrisis vs Oportunidad - Oscar Andrés Schmitz
Crisis vs Oportunidad - Oscar Andrés SchmitzForo Global Crossing
 

Más de Foro Global Crossing (20)

Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - Ecuador
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarlo
 
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
 
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasGabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
 
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraPuppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
 
Tomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceTomás Grassi - Communications as a Service
Tomás Grassi - Communications as a Service
 
Gabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webGabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% web
 
Gianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsGianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network Solutions
 
Marcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeMarcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nube
 
Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"
 
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
 
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
 
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
 
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
 
miguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamentemiguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamente
 
Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo 10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
 
Crisis vs Oportunidad - Oscar Andrés Schmitz
Crisis vs Oportunidad - Oscar Andrés SchmitzCrisis vs Oportunidad - Oscar Andrés Schmitz
Crisis vs Oportunidad - Oscar Andrés Schmitz
 

Implementando SGSI en Instituciones Estatales

  • 1. Información segura. Negocios seguros. Caso: Implementando SGSI en  Caso: Implementando SGSI en Instituciones Estatales Roberto Puyó Valladares, CISM Comité Técnico de Normalización e Intercambio  Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI Oficial de Seguridad LOGO ORADOR
  • 2. Agenda 1 ¿Por qué Implementar un SGSI? 2 Alineamiento con Objetivos Institucionales 3 Alcance 4 Lecciones Aprendidas 5 Integrabilidad de Estándares 6 Visión d l Seguridad d la Información Vi ió de la S id d de l I f ió 7 El Proyecto 8 Trabajo del Comité EDI
  • 5. Documentos Adulterados Papel sumergido en bebida gaseosa Papel sumergido en bebida gaseosa Papel sumergido en Té (Cola Cola) (Cola-Cola) (Pepsi Cola) (Pepsi-Cola)
  • 7. ¿Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los de la Información Confidencialidad Integridad g Disponibilidad p Seguridad vela por
  • 8. Alineamiento con Objetivos Institucionales US01 - Mejorar la percepción del cliente de la lid d del l calidad d l servicio. i i US.02- Reducir el fraude 11 PI.02 PI 02 - Mejorar la calidad del servicio *Fuente: PEI 2007 -201 FI.01 - Conciliar rentabilidad con seguridad EN.02 - Mejorar la Imagen Institucional j g : SEGURIDAD DE LA INFORMACIÓN SGSI
  • 9. PLAP - LIMA Centro Cívico Departamentales CENTRO DE COMPUTO Primera Etapa: • Sistemas Informáticos • Infraestructura Certificar • Servidores en • Comunicaciones ISO/IEC • Aplicaciones 27001 •BBases d D t de Datos
  • 10. SGSI en la Institución SGSI en la Institución SGSI – Proceso n SGSI – Proceso 1 SGSI Proceso 2
  • 11. Alcance – Ámbito de implementación Ámbito: Centro de Cómputo Soporte Técnico (Adm. de la Plataforma y las Mesa d M de Comunicaciones) Ayuda (Soporte a Seguridad Usuarios) ) de la Adm. de la Contingencia del C.C. Información Adm. de las Operaciones del Centro de Cómputo
  • 12. Alcance – Lo norma implementada ISO 27001: “Sistema de Gestión de Seguridad de la Información” Política de  Seguridad Organización de la Seguridad  de Información S G S I Seguridad del  S id d d l Implica a: Gestión de Activos RRHH Gestión de las Comunicaciones y  Seguridad Física Operaciones Organización Tecnología Gestión de Acceso Adquisición, desarrollo y  Legal mantenimiento de sistemas Física Gestión de las  Gestión de la  Continuidad  del Negocio Continuidad del Negocio Cumplimiento p Incidencias de Seguridad Incidencias de Seguridad Personas Procesos Tecnología
  • 13. El Proyecto Lo implementado en el Centro de Cómputo Análisis Establecimiento E t bl i i t Implementación I l t ió Monitoreo y M it Mantenimiento y Preliminar y del SGSI y Operación Revisión Mejora Planeamiento Normativa de Auditorías Plan de Mejora j Definición Alcance Seguridad Internas Continua Análisis GAP Análisis de Plan de Cuadro de Control Plan para la Impacto Respuesta al y Monitoreo Revisión Ejecutiva Riesgo Análisis de Implementación Riesgo de Controles Preparación para la Certificación Plan de Selección de Educación en Controles Seguridad Certificación Documento Aplicabilidad
  • 14. Lección Aprendida No confunda las normas ISO/IEC 27001  No confunda las normas ISO/IEC 27001 ISO/IEC 27002 (ISO/IEC 17799). 
  • 15. Lección Aprendida Si no tiene claro el alcance que quiere cubrir  Si no tiene claro el alcance que quiere cubrir con la gestión de la seguridad:  RECOMENDAMOS NO INICIAR LA  RECOMENDAMOS NO INICIAR LA IMPLEMENTACIÓN de un SGSI.
  • 16. Lección Aprendida Obtenga la aprobación de la Jefatura y/o  Obtenga la aprobación de la Jefatura y/o Gerencia General de su Institución, si no tiene  este apoyo será difícil implementar. este apoyo será difícil implementar.
  • 17. Lección Aprendida Organice el Comité de Seguridad de la  Organice el Comité de Seguridad de la Información. Tienen que participar representantes de  Tienen que participar representantes de diversas áreas, tales como RRHH, Legal, TI,  personal de las áreas de los procesos  personal de las áreas de los procesos áreas de los procesos  principales.  principales No olvidar involucrar al área responsable de  N l id i l lá bl d emitir documentos normativos. 
  • 18. Lección Aprendida De ser necesario, modificar el MOF de la  De ser necesario, modificar el MOF de la Institución para que ciertas funciones clave,  en lo que respecta a la seguridad de la  en lo que respecta a la seguridad de la información y la gestión de riesgos, sean  incluidas.
  • 19. Lección Aprendida Desarrolle o revise las políticas de seguridad de la  p g Institución. Cambie el enfoque de políticas de  seguridad informática a políticas de seguridad de la  información. Guíese de los dominios de la norma ISO/IEC 17799  (ISO/IEC 27002). ( / ) Busque apoyo en otras Instituciones Públicas para no  tratar de “Inventar la Pólvora”. t t d “I t l Pól ”
  • 21. Lección Aprendida Es necesario y recomendable que se ejecute un  y q j Análisis de Impacto al Negocio – BIA
  • 22. Lección Aprendida De acuerdo al nivel de madurez y la  disponibilidad presupuestal, es recomendable  disponibilidad presupuestal es recomendable mantener una persona a tiempo completo  revisando los temas de seguridad.  revisando los temas de seguridad
  • 23. Lección Aprendida Activar la seguridad y la auditoria razonable  Activar la seguridad y la auditoria razonable de las bases de datos en los ambientes de  producción.  producción. Generar registros de auditorias sobre la  actividad de los administradores. actividad de los administradores
  • 24. Lección Aprendida No olvide revisar los accesos que los usuarios  No olvide revisar los accesos que los usuarios tienen en los sistemas de información.  No olvide que los accesos dentro de los  No olvide que los accesos dentro de los sistemas deben encontrarse acordes con las   funciones desempeñadas.  funciones desempeñadas
  • 25. Lección Aprendida Capacite a los empleados en seguridad de la  Capacite a los empleados en seguridad de la información.  Presente casos reales que se hayan efectuado  Presente casos reales que se hayan efectuado en la institución.  Utilice lenguaje apropiado.  Utili l j i d Prepare presentaciones diferenciadas por  áreas pero con el mismo mensaje de fondo. 
  • 26. LEY Nº 27309 ‐ INCORPORA AL CODIGO PENAL LOS DELITOS  LEY Nº 27309 ‐ INFORMATICOS (ART. 2007 C.P.) INFORMATICOS (ART. 2007 C.P.) Art. 207º A .- El que utiliza o ingresa Art. 207º B .- El que utiliza, ingresa o indebidamente a una base de datos, sistema interfiere indebidamente una base de o red de computadoras o cualquier parte de datos, sistema o red o programa de la misma, para diseñar, ejecutar o alterar un computadoras o cualquier parte de la esquema u otro similar, o para interferir, misma con el fin de alterarlos, dañarlos interceptar, acceder o copiar información en o destruirlos. transito o contenida en una base de datos. CIRCUNSTANCIAS AGRAVANTES Art. 207º C El agente accede a una base de El agente pone en peligro la datos, sistema o red de seguridad nacional". computadoras, haciendo uso de información i f ió privilegiada, i il i d obtenida en función a su cargo.
  • 27. FIGURAS DELICTIVAS MAS CONOCIDAS EMPLEANDO ALTA TECNOLOGIA DELITO CONTRA EL (Código Penal) DELITO CONTRA LA LIBERTAD PATRIMONIO OFENSAS AL PUDOR PUBLICO (HURTO AGRAVADO) (PORNOGRAFIA INFANTIL) Art. 186º.- El que para obtener Art. 183º A.- El que posee, promueve, provecho, se apodera ilegítimamente fabrica, distribuye, exhibe, ofrece, de un bien mueble, total o comercializa o publica, importa o exporta parcialmente ajeno, sustrayéndolo del por cualquier medio incluido la INTERNET, lugar donde se encuentra, … objetos, libros, IMÁGENES VISUALES o auditivas, o realiza espectáculos en vivo de 3. Mediante la tili ió de i t 3 M di t l utilización d sistemas carácter pornográfico, en los cuales se de transferencia electrónica de utilice a personas de 14 y menos de 18 años fondos, de la telemática en general o de edad, … la violación del empleo de claves secretas. t Cuando el menor tenga menos de 14 años de edad, …
  • 29. Lección Aprendida Implemente un procedimiento de  Implemente un procedimiento de registro, seguimiento y control de los  “Incidentes de Seguridad de la  Información”.
  • 30. Lección Aprendida De ser el caso no dude en solicitar apoyo de la  De ser el caso no dude en solicitar apoyo de la Policía Informática del Perú – DIVINDAT.  División de Investigaciones de Delitos de Alta  División de Investigaciones de Delitos de Alta Tecnología. http://www.policiainformatica.gob.pe/ http://www policiainformatica gob pe/
  • 31. Lección Aprendida Efectúen una revisión del código fuente de sus  Efectúen una revisión del código fuente de sus aplicaciones.  Nadie sabe lo que se puede encontrar. Podrían  Nadie sabe lo que se puede encontrar Podrían existir “puertas traseras” colocadas por los  programadores.  programadores
  • 34. Lección Aprendida Integre los estándares para NO DUPLICAR los estándares para NO DUPLICAR  ESFUERZOS: COSO COBIT ISO/IEC 27001 ISO/IEC 27002 Reglamento de Seguridad y Salud en el  Trabajo
  • 35. Integrabilidad REGULACIONES SST BCI Seguridad y Salud en el Trabajo Business Continuity Institute DRI PMI-PMBOK Disaster Recovery Institute ISO 27.005 CMMI BS 25.999 Gestión de Riesgos de segurida nivel de Madurrez Business Continuity Management COBIT/ ISO 27.001 – 27.002 ISO 20.000 Sistema de Gestión de Seguridad ISO 38500 Sistema de Gestión de Servicios TI de la Información (SGSI) Gobernabilidad TI (ITIL) Sistemas de Gestión y Gobernabilidad alineados con el Negocio COSO - ERM
  • 36. Integración de Normas – Arman contra la corrupción y el fraude Escenario del Fraude Control a implementar Informe COSO – RC N° Norma ISO/IEC 27001:2005 COBIT v4- Control de 320-2006- CG- Control – Sistema de Gestión de Tecnologías[ Interno] Seguridad Tipo d Fraude Norma de la SBS de Uso indebido de los privilegios Código de Ética 3.2 Segregación de A.11 Control de Accesos. DS5 – Garantizar la Corrupción en los sistemas de información Funciones A.11.1.1 Política de Control Seguridad de los Sistemas para ingresar información sin 4.4 44 Sistemas de de Accesos sustento, adulterar montos, y Información A.11.2.2 Gestión de favorecer a terceros. Privilegios. A.11.2.4 Revisión de los derechos de acceso de los usuarios Obtener información de los Aplicar transformación de datos entre los 4.4 Sistemas de A.10.1.4 Separación de las DS11 Administración de la sistemas de información de los ambientes. Efectuar separación lógica de los Información instalaciones de desarrollo, Información ambientes de pruebas o ambientes. Controlar el acceso a los mismos. prueba y operación. desarrollo, dado que la No entregar copias de las bases de datos de A.11.6 Control de Acceso a información ahí almacenada producción en los ambientes de pruebas o las aplicaciones e es idéntica a la de los desarrollo. información. ambientes de producción. A.11.6.2 Aislamiento de sistemas sensibles. Personal que ingresa a una Se debe hacer un chequeo y verificación de 1.4 Estructura A.8 Seguridad en Recursos PO7 Administrar recursos organización sin que se informaciones anteriores de todos los Organizacional Humanos humanos de TI verifiquen sus documentos. candidatos para el empleo, en concordancia 1.5 Administración de A.8.2.3 Proceso disciplinario con las leyes, regulaciones y ética. Recursos Humanos Se debe limitar el acceso a los sistemas, 4.4 Sistemas de según la necesidad de tener y saber. Información Uso de accesos físicos y Reforzar el procedimiento de baja del 1.5 Administración de A.8.3.1. Responsabilidades PO7 Administrar recursos lógicos de empleados que ya personal. Lo ideal es que sus cuentas se Recursos Humanos de Finalización humanos de TI dejaron de laborar. encuentran centralizadas al momento de la A.8.3.2 Devolución de DS12 Administrar el baja. Aquí debe establecerse apoyo con el Activos ambiente físico personal de vigilancia de la Entidad. A.8.3.3 Al finalizar el empleo DS11 Administrar los Retiro de derechos de datos acceso.
  • 37. Visión de la seguridad en la Institución Un Sistema de Gestión de la Seguridad de la Información UNIFICADO SGS (UNIFICADO) de la Institución SGSI (U C O) a st tuc ó INTEGRACIÓN Ó SGSI - Centro de Cómputo SGSI SGSI SGSI SGSI SGSI Servicio Servicio de Servicio de Servicio de Servicio de Mantenimien to de Atención al Calificaciones de Verificaciones Administración Aplicaciones Público Expedientes de Aportes de Archivos
  • 38. El Proyecto ‐ Cronograma Lo implementado en el Centro de Cómputo 2007 2008 2009 SGSI Semestre Semestre Semestre Semestre Semestre Semestre I II I II I II Análisis Preliminar y Planeamiento X X Establecimiento del SGSI X X Implementación y Operación p X X Monitoreo y Revisión X X Mantenimiento y Mejora j X Auditoria para la Certificación X Certificación
  • 39. El Proyecto ‐ Esfuerzo RECURSOS: Equipo consultor y personal de la Institución Para el SGSI del Centro de Cómputo p 564 días útiles Mas de 02 Esfuerzo total AÑOS del proyecto Desde Hasta dedicados ENE 07 FEB 09 Consultores Instit. Participación p Mas de M d 35 Directa 6 3 personas Participación participando 14 15 Indirecta
  • 40. El Proyecto ‐ Resultados La Institución aprobó exitosamente la auditoría de certificación para el Centro de Cómputo(*) Se usaron las buenas prácticas internacionales Un Sistema d G tió alineado a l Obj ti U Si t de Gestión li d los Objetivos I tit i Institucionales l En los próximos 18 meses la integración de los 06 SGSI (*) En tramites
  • 41. Por último – desde el Comité EDI • Para el 2009 en proceso:  • PNTP ISO/IEC 27006: 2007 ‐ Information technology Security PNTP ‐ ISO/IEC 27006: 2007 Information technology – Security  techniques – Requirements for bodies providing audit and  certification of information security management systems. • PNTP ISO/IEC 27005: 2008 ‐ Information technology Security PNTP ‐ ISO/IEC 27005: 2008 Information technology – Security  techniques – Information security risk management • PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information  security management in health using security management in health using • PNTP – ISO 28001:2007 ‐ Security management systems for the  supply chain ‐ Best practices for implementing supply chain  security, assessments and plans ‐ Requirements and guidance. security assessments and plans Requirements and guidance
  • 42. !MUCHAS GRACIAS por su atención! p Roberto Puyó Valladares, CISM Roberto Puyó Valladares CISM robertopuyovalladares@gmail.com 995786312