Este documento presenta una introducción a los conceptos básicos de seguridad de la información. Explica que la seguridad de la información implica la protección de la información a través de estándares, procesos, procedimientos y recursos para proteger los activos de información de una organización. También describe por qué se necesita la seguridad de la información para proteger los activos de información de amenazas y cómo establecer requisitos de seguridad mediante la evaluación de riesgos. Además, presenta controles básicos que deben implement
El documento describe la importancia de alinear la estrategia de seguridad de la información con los objetivos estratégicos de las organizaciones. Explica conceptos clave como confidencialidad, integridad y disponibilidad de la información. También menciona marcos de referencia comunes como COSO, Cobit, ISO 27001 y requisitos como PCI, SOX y Basilea II. Finalmente, introduce el concepto de un Sistema Estratégico de Seguridad de la Información para definir una estrategia de seguridad alineada con los objetivos de la organiz
Este documento trata sobre la gestión de riesgos informáticos. Explica que es importante evaluar los riesgos a los que están sometidos los procesos y actividades informáticas de una organización y establecer controles para minimizar las amenazas. Describe varios tipos de riesgos informáticos como riesgos de integridad, acceso, relación, utilidad e infraestructura. También menciona amenazas como personas internas o externas, desastres naturales, errores humanos o fallos técnicos.
Este documento describe los principales riesgos informáticos a los que se enfrentan las organizaciones. Explica que la administración de riesgos es importante para garantizar la supervivencia de una organización minimizando los costos asociados. Identifica varios riesgos informáticos clave como riesgos de integridad, riesgos relacionados con la interfaz de usuario, procesamiento de errores, administración de cambios e información. El documento enfatiza la necesidad de una evaluación exhaustiva e integral de todos los aspectos relacionados con la seguridad inform
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
Las regulaciones globales y locales están creciendo en volumen y en complejidad, y como resultado, la demanda de responsabilidad legal se ha intensificado, a la vez que la administración de los costos asociados a la gestión de riesgo y cumplimiento continúa siendo un reto.
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
Este documento habla sobre la política de seguridad de sistemas y redes de información. Explica que la política de seguridad recoge los objetivos y directrices de una organización sobre la seguridad de la información y debe ser aprobada por la dirección. También describe los componentes clave de una política de seguridad como la identificación de riesgos, medidas de seguridad y planes de contingencia. Finalmente, resalta la importancia de auditar periódicamente los sistemas para verificar el cumplimiento de la política de seguridad.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Reporte realizado en base a encuestas hechas a más de 650 encargados de TI, por lo que muestra una tendencia de los problemas, necesidades, normativas, estrategias, desafíos a los que se enfrentan. Por lo que puede ser de utilidad para definir planes a seguir.
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
Los recursos son los activos a proteger del sistema informático de la organización, incluyendo hardware, software, elementos de comunicaciones, información almacenada, locales, personas y la imagen de la organización.
Este documento presenta un resumen de la Norma ISO 27001 sobre la gestión de la seguridad de la información. Explica que la norma establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en el modelo Plan-Do-Check-Act. También describe los principales componentes de dicho sistema como el análisis de riesgos, los controles y la documentación requerida. Finalmente, resume los beneficios de la certificación ISO 27001 para las organizaciones.
El documento describe la importancia de alinear la estrategia de seguridad de la información con los objetivos estratégicos de las organizaciones. Explica conceptos clave como confidencialidad, integridad y disponibilidad de la información. También menciona marcos de referencia comunes como COSO, Cobit, ISO 27001 y requisitos como PCI, SOX y Basilea II. Finalmente, introduce el concepto de un Sistema Estratégico de Seguridad de la Información para definir una estrategia de seguridad alineada con los objetivos de la organiz
Este documento trata sobre la gestión de riesgos informáticos. Explica que es importante evaluar los riesgos a los que están sometidos los procesos y actividades informáticas de una organización y establecer controles para minimizar las amenazas. Describe varios tipos de riesgos informáticos como riesgos de integridad, acceso, relación, utilidad e infraestructura. También menciona amenazas como personas internas o externas, desastres naturales, errores humanos o fallos técnicos.
Este documento describe los principales riesgos informáticos a los que se enfrentan las organizaciones. Explica que la administración de riesgos es importante para garantizar la supervivencia de una organización minimizando los costos asociados. Identifica varios riesgos informáticos clave como riesgos de integridad, riesgos relacionados con la interfaz de usuario, procesamiento de errores, administración de cambios e información. El documento enfatiza la necesidad de una evaluación exhaustiva e integral de todos los aspectos relacionados con la seguridad inform
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
Las regulaciones globales y locales están creciendo en volumen y en complejidad, y como resultado, la demanda de responsabilidad legal se ha intensificado, a la vez que la administración de los costos asociados a la gestión de riesgo y cumplimiento continúa siendo un reto.
Políticas y normas de seguridad, auditoría informática, plan de contingenciasCamilo Quintana
Este documento habla sobre la política de seguridad de sistemas y redes de información. Explica que la política de seguridad recoge los objetivos y directrices de una organización sobre la seguridad de la información y debe ser aprobada por la dirección. También describe los componentes clave de una política de seguridad como la identificación de riesgos, medidas de seguridad y planes de contingencia. Finalmente, resalta la importancia de auditar periódicamente los sistemas para verificar el cumplimiento de la política de seguridad.
Principales riesgos de Ciberseguridad y estrategias de mitigación.artseremis
Principales riesgos de Ciberseguridad y estrategias de mitigación.
Reporte realizado en base a encuestas hechas a más de 650 encargados de TI, por lo que muestra una tendencia de los problemas, necesidades, normativas, estrategias, desafíos a los que se enfrentan. Por lo que puede ser de utilidad para definir planes a seguir.
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
Los recursos son los activos a proteger del sistema informático de la organización, incluyendo hardware, software, elementos de comunicaciones, información almacenada, locales, personas y la imagen de la organización.
Este documento presenta un resumen de la Norma ISO 27001 sobre la gestión de la seguridad de la información. Explica que la norma establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en el modelo Plan-Do-Check-Act. También describe los principales componentes de dicho sistema como el análisis de riesgos, los controles y la documentación requerida. Finalmente, resume los beneficios de la certificación ISO 27001 para las organizaciones.
3.1 Seguridad de la información gestión y políticasDavid Narváez
Este documento trata sobre la gestión y seguridad de la información. Explica conceptos clave como la triada de seguridad de la información (confidencialidad, integridad y disponibilidad), los procesos de gestión de seguridad (políticas, estándares, procedimientos), y el diseño de políticas de seguridad de la información. Además, destaca la importancia de la concienciación de los empleados para hacer efectiva la implementación de las políticas y controles de seguridad.
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
El documento presenta una introducción a las normas ISO 27001 e ISO 27002 sobre seguridad de la información. Explica conceptos clave como seguridad de la información, riesgo, confidencialidad, integridad y disponibilidad. También describe amenazas comunes como hackers, crackers y phreaks. Finalmente, resalta la importancia de implementar controles de seguridad, políticas y auditorías para cumplir con estas normas internacionales.
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
El documento presenta información sobre la norma ISO 27002, que establece los controles de seguridad de la información. La norma incluye 15 cláusulas que cubren áreas como política de seguridad, administración de activos, seguridad física y ambiental, administración de incidentes de seguridad, y cumplimiento. El documento también describe conceptos como administración de riesgos, evaluación de riesgos, tratamiento de riesgos, y la identificación de salvaguardas y controles de seguridad.
Este documento presenta un resumen de los principales puntos de un taller sobre evaluación de riesgos de tecnología de la información. El taller cubre la definición del universo auditable, el proceso de análisis de riesgo, la evaluación de riesgo, los principales riesgos identificados y un caso práctico para análisis de riesgos. El objetivo es ayudar a los auditores internos a comprender los riesgos de TI y desarrollar un plan de auditoría apropiado.
La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en once dominios de control que cubren todos los aspectos relacionados con la seguridad de la información. Adoptar la norma ISO 17799 ofrece varias ventajas como una mejor planificación de la seguridad y garantías de continuidad del negocio, aunque no garantiza la inmunidad contra problemas de seguridad. Se requiere realizar análisis periódicos de riesgos y monitorear continuamente la situ
Este documento describe la auditoría informática y la seguridad informática. Explica que la auditoría informática garantiza la confidencialidad, disponibilidad e integridad de la información de una organización. Detalla las etapas de una auditoría informática incluyendo la planificación, ejecución y conclusiones. También cubre las certificaciones de ISACA para auditores informáticos y marcos como COBIT. Concluye destacando la importancia de la capacitación continua y el uso de estándares para realizar auditorías informáticas efectivas.
Este documento presenta una agenda para una discusión sobre seguridad informática. La agenda incluye una introducción al tema de la seguridad de la información y una descripción de los obstáculos, la administración, el ciclo de vida y conclusiones sobre la seguridad informática. También propone establecer estándares y mejores prácticas de seguridad para los miembros de una organización.
Este documento presenta los conceptos básicos y la metodología de la norma ISO 17799 para la gestión de la seguridad de la información. La norma establece once dominios de control que cubren esta gestión, como la política de seguridad, aspectos organizativos, clasificación de activos, seguridad del personal, y conformidad legal. Siguiendo esta norma, las organizaciones pueden mejorar la seguridad de sus sistemas, garantizar la continuidad del negocio, y aumentar la confianza de clientes y socios.
Desarrollo de los talleres prácticos realizados en la asignatura de Gestión de la Seguridad Informática. La política de seguridad es basada en ISO 27001.
Los controles son mecanismos para controlar el acceso y privilegios a recursos. Se dividen en administrativos, técnicos y físicos. Los administrativos involucran políticas y procedimientos, los técnicos el acceso lógico y controles de acceso, y los físicos el control de acceso físico. El experto en seguridad diseña y configura los controles siguiendo los parámetros establecidos por el dueño del activo.
Este documento presenta una agenda para discutir el tema de la seguridad informática. La agenda incluye una introducción, obstáculos para implementar la seguridad informática, administración de la seguridad informática, ciclo de vida de la seguridad informática y conclusiones. Cada sección cubre temas como políticas de seguridad, seguridad organizacional, clasificación y control de activos, seguridad del personal y más.
La gestión de riesgos tiene como objetivo principal garantizar la supervivencia de la organización minimizando los costos asociados a los riesgos a través de un enfoque científico que anticipe pérdidas y minimice su impacto. Los objetivos y políticas de gestión de riesgos deben ser establecidos por la alta dirección y formalizados en una política corporativa. La gestión de riesgos informáticos evalúa los riesgos inherentes a los procesos informáticos y las amenazas asociadas para establecer controles que minimic
Este documento trata sobre la seguridad informática y la gestión de riesgos. Explica la importancia de implementar un sistema de seguridad informática para proteger la confidencialidad, integridad y disponibilidad de la información de una organización. También describe incidentes de seguridad relevantes, amenazas comunes como el acceso no autorizado a información, y los beneficios de cumplir con la norma ISO/IEC 17799 para minimizar riesgos.
El documento presenta los conceptos clave para el desarrollo de una política de seguridad efectiva. Explica que una política de seguridad debe identificar los riesgos, establecer objetivos y responsabilidades, e implementar salvaguardas de seguridad. Además, debe ser específica a la organización, de fácil comprensión y cubrir todos los aspectos relevantes para gestionar la seguridad de la información.
Este documento proporciona una introducción general a la seguridad informática. Explica que la seguridad informática implica gestionar el riesgo mediante la evaluación de los bienes a proteger y la implantación de medidas preventivas y correctivas para reducir los riesgos a niveles aceptables. También describe los objetivos principales de la seguridad informática como proteger los recursos de una organización, y las amenazas más comunes como errores, accesos no autorizados y catástrofes.
O documento discute diferentes recursos estilísticos da linguagem jurídica, incluindo a denotação e conotação, estilo, e várias figuras de linguagem. É explicado que a denotação se refere ao significado literal de palavras, enquanto a conotação transcende o âmbito gramatical. Diferentes estilos como o gramatical, literário e de verossimilhança são descritos. Por fim, várias figuras de linguagem como a metáfora, metonímia, ironia e outras são definidas e ilustradas com exemplos.
El documento habla sobre cómo la contaminación generada por las actividades humanas está convirtiendo al ser humano en un "asesino silencioso" del medio ambiente. Describe las principales fuentes de contaminación del aire, agua y suelo, y cómo éstas afectan negativamente el planeta y podrían causar desastres naturales. Finalmente, enfatiza la necesidad de que las personas sean más conscientes y responsables con el medio ambiente para dejar un mundo más sustentable a las futuras generaciones.
El documento describe varios proyectos educativos en países de América Latina, incluyendo mejoras a la infraestructura tecnológica en universidades de Nicaragua, donaciones para ampliar el acceso a la educación en áreas marginadas de Nicaragua y Panamá, e iniciativas para integrar las TIC y contenidos digitales en la enseñanza en Paraguay, Perú y República Dominicana. También menciona proyectos enfocados en sensibilizar sobre el medio ambiente y dotar a estudiantes con computadoras portátiles con contenido
El documento resume el Boom Latinoamericano, un movimiento literario de mediados del siglo XX. Describe sus características y los principales autores, como Gabriel García Márquez, Mario Vargas Llosa, Julio Cortázar y Carlos Fuentes. También menciona otros escritores representativos como Jorge Luis Borges, Ernesto Sábato y Alejo Carpentier.
La Política Agrícola Común (PAC) establece precios fijos para los productos agrícolas en la UE, otorga subsidios a los agricultores, y controla la producción y el comercio con terceros países. La PAC fija precios de referencia, umbral y de intervención para las cosechas y ofrece pagos por hectárea, ayudas a la producción y compensaciones. Controla la producción a través de cuotas, cantidades nacionales garantizadas y pagos compensatorios. También controla el comercio importando y export
Este documento presenta un proyecto de Photoshop sobre ser responsable por otro ser humano. Propone imaginar una situación donde uno es responsable por otro, como dar clases particulares a un niño para un examen. Luego se pide describir la situación con palabras y un boceto, y finalmente crear un fotomontaje en Photoshop que ilustre la idea usando al menos 5 fotos de alta resolución.
El documento resume el origen y evolución del dios Marte en la mitología romana. Originalmente un dios agrícola, Marte se transformó en el dios de la guerra bajo la influencia griega. Era hijo de Júpiter y Juno, protector de Roma y padre de Rómulo y Remo. Tuvo importantes festivales y sacerdotes dedicados a él, y aparece representado en la Eneida durante escenas de guerra.
3.1 Seguridad de la información gestión y políticasDavid Narváez
Este documento trata sobre la gestión y seguridad de la información. Explica conceptos clave como la triada de seguridad de la información (confidencialidad, integridad y disponibilidad), los procesos de gestión de seguridad (políticas, estándares, procedimientos), y el diseño de políticas de seguridad de la información. Además, destaca la importancia de la concienciación de los empleados para hacer efectiva la implementación de las políticas y controles de seguridad.
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
El documento presenta una introducción a las normas ISO 27001 e ISO 27002 sobre seguridad de la información. Explica conceptos clave como seguridad de la información, riesgo, confidencialidad, integridad y disponibilidad. También describe amenazas comunes como hackers, crackers y phreaks. Finalmente, resalta la importancia de implementar controles de seguridad, políticas y auditorías para cumplir con estas normas internacionales.
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
El documento presenta información sobre la norma ISO 27002, que establece los controles de seguridad de la información. La norma incluye 15 cláusulas que cubren áreas como política de seguridad, administración de activos, seguridad física y ambiental, administración de incidentes de seguridad, y cumplimiento. El documento también describe conceptos como administración de riesgos, evaluación de riesgos, tratamiento de riesgos, y la identificación de salvaguardas y controles de seguridad.
Este documento presenta un resumen de los principales puntos de un taller sobre evaluación de riesgos de tecnología de la información. El taller cubre la definición del universo auditable, el proceso de análisis de riesgo, la evaluación de riesgo, los principales riesgos identificados y un caso práctico para análisis de riesgos. El objetivo es ayudar a los auditores internos a comprender los riesgos de TI y desarrollar un plan de auditoría apropiado.
La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en once dominios de control que cubren todos los aspectos relacionados con la seguridad de la información. Adoptar la norma ISO 17799 ofrece varias ventajas como una mejor planificación de la seguridad y garantías de continuidad del negocio, aunque no garantiza la inmunidad contra problemas de seguridad. Se requiere realizar análisis periódicos de riesgos y monitorear continuamente la situ
Este documento describe la auditoría informática y la seguridad informática. Explica que la auditoría informática garantiza la confidencialidad, disponibilidad e integridad de la información de una organización. Detalla las etapas de una auditoría informática incluyendo la planificación, ejecución y conclusiones. También cubre las certificaciones de ISACA para auditores informáticos y marcos como COBIT. Concluye destacando la importancia de la capacitación continua y el uso de estándares para realizar auditorías informáticas efectivas.
Este documento presenta una agenda para una discusión sobre seguridad informática. La agenda incluye una introducción al tema de la seguridad de la información y una descripción de los obstáculos, la administración, el ciclo de vida y conclusiones sobre la seguridad informática. También propone establecer estándares y mejores prácticas de seguridad para los miembros de una organización.
Este documento presenta los conceptos básicos y la metodología de la norma ISO 17799 para la gestión de la seguridad de la información. La norma establece once dominios de control que cubren esta gestión, como la política de seguridad, aspectos organizativos, clasificación de activos, seguridad del personal, y conformidad legal. Siguiendo esta norma, las organizaciones pueden mejorar la seguridad de sus sistemas, garantizar la continuidad del negocio, y aumentar la confianza de clientes y socios.
Desarrollo de los talleres prácticos realizados en la asignatura de Gestión de la Seguridad Informática. La política de seguridad es basada en ISO 27001.
Los controles son mecanismos para controlar el acceso y privilegios a recursos. Se dividen en administrativos, técnicos y físicos. Los administrativos involucran políticas y procedimientos, los técnicos el acceso lógico y controles de acceso, y los físicos el control de acceso físico. El experto en seguridad diseña y configura los controles siguiendo los parámetros establecidos por el dueño del activo.
Este documento presenta una agenda para discutir el tema de la seguridad informática. La agenda incluye una introducción, obstáculos para implementar la seguridad informática, administración de la seguridad informática, ciclo de vida de la seguridad informática y conclusiones. Cada sección cubre temas como políticas de seguridad, seguridad organizacional, clasificación y control de activos, seguridad del personal y más.
La gestión de riesgos tiene como objetivo principal garantizar la supervivencia de la organización minimizando los costos asociados a los riesgos a través de un enfoque científico que anticipe pérdidas y minimice su impacto. Los objetivos y políticas de gestión de riesgos deben ser establecidos por la alta dirección y formalizados en una política corporativa. La gestión de riesgos informáticos evalúa los riesgos inherentes a los procesos informáticos y las amenazas asociadas para establecer controles que minimic
Este documento trata sobre la seguridad informática y la gestión de riesgos. Explica la importancia de implementar un sistema de seguridad informática para proteger la confidencialidad, integridad y disponibilidad de la información de una organización. También describe incidentes de seguridad relevantes, amenazas comunes como el acceso no autorizado a información, y los beneficios de cumplir con la norma ISO/IEC 17799 para minimizar riesgos.
El documento presenta los conceptos clave para el desarrollo de una política de seguridad efectiva. Explica que una política de seguridad debe identificar los riesgos, establecer objetivos y responsabilidades, e implementar salvaguardas de seguridad. Además, debe ser específica a la organización, de fácil comprensión y cubrir todos los aspectos relevantes para gestionar la seguridad de la información.
Este documento proporciona una introducción general a la seguridad informática. Explica que la seguridad informática implica gestionar el riesgo mediante la evaluación de los bienes a proteger y la implantación de medidas preventivas y correctivas para reducir los riesgos a niveles aceptables. También describe los objetivos principales de la seguridad informática como proteger los recursos de una organización, y las amenazas más comunes como errores, accesos no autorizados y catástrofes.
O documento discute diferentes recursos estilísticos da linguagem jurídica, incluindo a denotação e conotação, estilo, e várias figuras de linguagem. É explicado que a denotação se refere ao significado literal de palavras, enquanto a conotação transcende o âmbito gramatical. Diferentes estilos como o gramatical, literário e de verossimilhança são descritos. Por fim, várias figuras de linguagem como a metáfora, metonímia, ironia e outras são definidas e ilustradas com exemplos.
El documento habla sobre cómo la contaminación generada por las actividades humanas está convirtiendo al ser humano en un "asesino silencioso" del medio ambiente. Describe las principales fuentes de contaminación del aire, agua y suelo, y cómo éstas afectan negativamente el planeta y podrían causar desastres naturales. Finalmente, enfatiza la necesidad de que las personas sean más conscientes y responsables con el medio ambiente para dejar un mundo más sustentable a las futuras generaciones.
El documento describe varios proyectos educativos en países de América Latina, incluyendo mejoras a la infraestructura tecnológica en universidades de Nicaragua, donaciones para ampliar el acceso a la educación en áreas marginadas de Nicaragua y Panamá, e iniciativas para integrar las TIC y contenidos digitales en la enseñanza en Paraguay, Perú y República Dominicana. También menciona proyectos enfocados en sensibilizar sobre el medio ambiente y dotar a estudiantes con computadoras portátiles con contenido
El documento resume el Boom Latinoamericano, un movimiento literario de mediados del siglo XX. Describe sus características y los principales autores, como Gabriel García Márquez, Mario Vargas Llosa, Julio Cortázar y Carlos Fuentes. También menciona otros escritores representativos como Jorge Luis Borges, Ernesto Sábato y Alejo Carpentier.
La Política Agrícola Común (PAC) establece precios fijos para los productos agrícolas en la UE, otorga subsidios a los agricultores, y controla la producción y el comercio con terceros países. La PAC fija precios de referencia, umbral y de intervención para las cosechas y ofrece pagos por hectárea, ayudas a la producción y compensaciones. Controla la producción a través de cuotas, cantidades nacionales garantizadas y pagos compensatorios. También controla el comercio importando y export
Este documento presenta un proyecto de Photoshop sobre ser responsable por otro ser humano. Propone imaginar una situación donde uno es responsable por otro, como dar clases particulares a un niño para un examen. Luego se pide describir la situación con palabras y un boceto, y finalmente crear un fotomontaje en Photoshop que ilustre la idea usando al menos 5 fotos de alta resolución.
El documento resume el origen y evolución del dios Marte en la mitología romana. Originalmente un dios agrícola, Marte se transformó en el dios de la guerra bajo la influencia griega. Era hijo de Júpiter y Juno, protector de Roma y padre de Rómulo y Remo. Tuvo importantes festivales y sacerdotes dedicados a él, y aparece representado en la Eneida durante escenas de guerra.
El documento clasifica y describe brevemente varios periféricos de entrada y salida comunes. Entre los periféricos de entrada se mencionan escáneres, lápices ópticos y pantallas táctiles. Los periféricos de salida incluyen monitores, faxes y tarjetas de sonido.
There are several color schemes for arranging colors including monochromatic, complementary, analogous, split complementary, triadic, and tetradic. A monochromatic scheme uses tints and shades of a single color. Complementary colors are directly across from each other on the color wheel. Analogous colors are adjacent to each other on the color wheel. A split complementary scheme uses a base color and the two colors on either side of its complement. A triadic scheme uses three colors evenly spaced around the color wheel. A tetradic scheme uses four colors.
La mujer y las dimensiones del espacio alimentario: un instrumento para abord...FAO
Presentación de Juliana Rochet, Elisabetta Recine, Andrea Sugai Luiza Torquato, y Gabriela Cunha de la Universidad de Brasilia; en el VI Encuentro Regional del Observatorio del Derecho a la Alimentación en América Latina y el Caribe realizado en Montevideo, Uruguay. La exposición tiene como objetivos comprender las dinámicas de alimentación en la perspectiva de un grupo de mujeres de la periferia de la ciudad de Brasilia a través de técnicas e instrumentos participativos. Asimismo, desarrollar enfoques participativos de educación alimentaria y nutricional en la perspectiva de género a partir de la identificación y caracterización de los conocimientos, las decisiones y las prácticas alimentarias del grupo.
La guía de trabajo presenta una serie de actividades relacionadas con la tecnología y su importancia en la educación, incluyendo ver un video, responder preguntas, analizar las ventajas y desventajas de las TIC, y completar un crucigrama en línea sobre términos de informática.
El documento resume las normas clave que regulan el sistema penitenciario español como la Constitución española de 1978 y la Ley Orgánica 1/1979. Explica que el tiempo en prisión debe servir para reeducar y reinsertar a los presos para su vuelta a la libertad. También describe las actividades en las cárceles que facilitan este proceso de tratamiento y la preparación para la incorporación social de las personas condenadas.
El documento describe las funciones de hash, la criptografía asimétrica como RSA, y los certificados digitales X.509 V3. Las funciones de hash se usan para garantizar la integridad de los textos mediante la generación de resúmenes digitales. La criptografía asimétrica como RSA usa claves públicas y privadas para cifrar y descifrar mensajes. Los certificados digitales X.509 V3 contienen datos como la clave pública del usuario y son firmados por una autoridad de certificación para autenticar la identidad del usuario.
El documento describe los principales factores productivos necesarios para producir bienes y servicios: el trabajo (tanto físico como intelectual), los recursos naturales (renovables y no renovables), el capital (físico, humano y financiero), la tecnología (producción manual, mecanizada y tecnificada) y el conocimiento y saber hacer de las personas. Estos factores son elementos clave para el crecimiento económico.
Este documento resume las siete semillas del secreto de la felicidad, que son: 1) el autoconocimiento, 2) el control del ego, 3) la meditación, 4) el servicio desinteresado, 5) las decisiones éticas, 6) el equilibrio de la vida, y 7) la libertad. Cada semilla representa un principio importante para alcanzar la felicidad y el equilibrio interior a través del desarrollo espiritual y el bienestar personal.
El documento describe los principales elementos de la gestión de seguridad de la información para pymes, incluyendo tecnología, procesos, personal, controles relacionados con el negocio, sistema de información y revisión del sistema. Se enfoca en ilustrar las medidas que una pyme del sector servicios en Murcia debería tomar para establecer una estrategia de seguridad de la información que proteja sus datos e información.
El documento describe los conceptos clave de la gestión de seguridad de la información para pymes, incluyendo las amenazas a las que se enfrentan, los tres elementos fundamentales (tecnología, procesos y personas), y los controles relacionados con el negocio, personal, sistemas de información y revisión del sistema. La seguridad de la información requiere una estrategia coordinada en estas áreas para proteger la confidencialidad, integridad y disponibilidad de los datos de una organización.
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
El documento describe el estándar ISO 27005 para la gestión de riesgos de seguridad de la información. Explica que el estándar incluye fases como el establecimiento del contexto, la identificación de riesgos, la estimación de riesgos, la evaluación de riesgos y la comunicación y vigilancia de los riesgos. También detalla los pasos para implementar el estándar dentro de una organización.
Este documento presenta un resumen de estándares de seguridad de la información utilizados en México, incluyendo ISO/IEC 27001 e ISO 17799. ISO/IEC 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información, mientras que ISO 17799 proporciona un código de buenas prácticas para la seguridad de la información de una organización. El documento también discute el contexto mexicano y algunas normas comúnmente usadas para regular la seguridad de
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
Cuando el acceso a la información es nuestro mayor riesgo
Con solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información.
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
Con solo conocer algunas de las estadísticas sobre riesgos por falta de cumplimiento regulatorio y controles que facilitan el fraude, nos daremos cuenta que gran parte de la solución está centrada en una adecuada gestión de accesos a la información.
El documento discute la necesidad de replantear los modelos tradicionales de seguridad de la información para hacer frente a las nuevas amenazas internas y externas. Propone adoptar un enfoque de seguridad integral y basado en riesgos que identifique los activos más valiosos, evalúe las amenazas reales, proteja la información clave y habilite el desempeño del negocio de una manera segura.
Este documento describe varias normas relacionadas con la seguridad de la información en el contexto mexicano, incluyendo ISO 27001, ISO 17799 y COSO. Explica que ISO 27001 especifica los requisitos para establecer un sistema de gestión de seguridad de la información, mientras que ISO 17799 proporciona recomendaciones de mejores prácticas. También indica que COSO es un modelo para la evaluación de sistemas de control interno y la gestión de riesgos en las organizaciones.
La gestión de riesgos tiene como objetivo principal garantizar la supervivencia de la organización minimizando los costos asociados a los riesgos a través de un enfoque científico que anticipe pérdidas y minimice su impacto. Los objetivos de gestión de riesgos deben estar formalizados en una política corporativa definida por la alta dirección. Un factor clave es determinar qué riesgos requieren acciones específicas en función de su potencial de pérdida.
Este documento introduce el concepto de seguridad informática y su importancia para las empresas. Explica que la información es un activo valioso que requiere protección contra amenazas internas y externas. También describe los objetivos de la seguridad (confidencialidad, integridad y disponibilidad), los mecanismos básicos para lograrla (autenticación, autorización, auditoría), y la necesidad de clasificar la información y los riesgos asociados. Finalmente, resalta que las empresas deben establecer políticas y procedimientos formales de
El documento proporciona información sobre la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica los beneficios de implementar un SGSI, como la reducción de riesgos, ahorro de costos y cumplimiento legal. También describe las fases de implementación de un SGSI que incluyen el establecimiento, implantación, monitoreo y mejora continua del sistema.
El documento habla sobre las políticas de seguridad informática. Explica que las políticas establecen las expectativas de una organización con respecto a la seguridad de la información y los recursos tecnológicos. También describen los elementos clave que deben incluirse como el alcance, los objetivos, las responsabilidades y las consecuencias por violaciones. Finalmente, señala que es importante identificar los activos valiosos, las amenazas potenciales y los riesgos asociados para desarrollar una política de seguridad efectiva.
Este documento trata sobre la seguridad informática. Explica brevemente qué es la seguridad informática, contra qué nos debemos proteger y algunos estándares y normas internacionales como la BS 7799, ISO 17799 e ISO/IEC 27001. También menciona la relación entre la auditoría informática y la seguridad informática, así como las certificaciones que puede obtenerse a través de ISACA.
Este documento habla sobre las políticas de seguridad informática. Explica que una política de seguridad debe cubrir los niveles físico, lógico y humano. También debe incluir estrategias proactivas y reactivas para prevenir y responder a amenazas. Finalmente, la implementación de una política requiere apoyo gerencial y notificar a todos los involucrados sobre los nuevos procedimientos.
Este documento discute las políticas de seguridad informática y propone una estrategia para su implementación. Explica que una política de seguridad debe abarcar los niveles físico, lógico y humano, e incluir estrategias proactivas y reactivas. También destaca la importancia del apoyo gerencial y la notificación a todos los involucrados sobre los cambios. Finalmente, enfatiza que la política debe ser un documento dinámico sujeto a actualizaciones periódicas.
Este documento describe tres modelos principales de seguridad de la información: 1) modelos basados en políticas de seguridad de la información, 2) modelos basados en herramientas de protección, y 3) modelos basados en el equipo de trabajo. Cada modelo tiene sus propias características, pero comparten el objetivo común de proteger la información. Las políticas de seguridad, herramientas de protección y capacitación del personal son elementos clave para implementar con éxito estos modelos de seguridad de la información.
El documento describe un modelo de seguridad informática basado en la norma ISO 17799. Explica que la seguridad de la información es fundamental para las organizaciones y que se debe implementar un modelo con políticas sólidas, equipo capacitado, herramientas de protección actualizadas y un plan de concientización. El modelo involucra determinar riesgos, establecer controles, construir lineamientos, aplicar políticas y realizar mantenimiento y mejora continua.
El documento presenta información sobre un diplomado en auditoría y seguridad informática. Incluye detalles sobre un módulo sobre control de accesos y computación y comunicación móvil. Se proporcionan lineamientos básicos sobre seguridad de la información, control de acceso, políticas de seguridad, informática móvil y posibles soluciones para mejorar la seguridad. Finalmente, se incluyen recomendaciones como documentar procedimientos, aumentar el personal de TI y adoptar normas internacionales como ISO 27002.
Similar a Introduccin a los conceptos de seguridad (20)
Este documento explora la responsabilidad extracontractual del Estado por los daños causados por las entidades prestadoras del servicio de salud. Presenta dos hipótesis sobre si el Estado es o no responsable, y analiza conceptos como daño antijurídico, derecho a la salud y régimen de responsabilidad. Según la jurisprudencia citada, para que el Estado sea responsable se requiere la existencia de un daño antijurídico imputable a la entidad pública bajo títulos como falla en el servicio.
La sentencia del 12 de mayo de 2011 desarrolla en profundidad los elementos de la responsabilidad extracontractual del Estado. Establece que el Estado es responsable cuando causa un daño antijurídico a través de la acción u omisión de autoridades públicas. Si el Estado es condenado por una conducta dolosa o gravemente culposa de un funcionario, puede repetir contra ese funcionario. También determina que corresponde al juez tasar de forma discrecional la reparación de daños morales.
Documento sobre el nivel de enlace de datosHarold Morales
La capa de enlace de datos es responsable de la transferencia fiable de información a través de un circuito de transmisión. Organiza los datos en unidades llamadas tramas y se encarga de funciones como la detección y corrección de errores, el control de flujo, y la gestión y coordinación de la comunicación entre dos máquinas directamente conectadas.
Este documento describe conceptos fundamentales de direcciones IP y redes, incluyendo la estructura de las direcciones IP, las máscaras de red, las clases de direcciones IP, subredes y direcciones especiales como broadcast y loopback. Explica cómo las máscaras dividen las direcciones IP en partes de red y estación y cómo esto determina el tamaño máximo de una red.
Este documento presenta una demanda de reposición y cancelación de título valor contra el Banco de Occidente. Manuel Valderrama constituyó un CDT con el banco en 2012 pero el título valor se incineró accidentalmente. Solicita al juez que declare la destrucción del título original, reconozca la existencia jurídica del mismo y ordene al banco expedir un nuevo documento para el pago del CDT.
El documento describe los principales servicios de seguridad de la información como la confidencialidad, autenticación, integridad, no repudiación y disponibilidad. También describe otros servicios como la autorización, auditoría, anonimato, protección contra repeticiones y certificación por terceros de confianza. Finalmente, menciona algunas técnicas comunes para implementar estos servicios como identificación de usuarios, encriptación y firewalls.
Capitulo 1 propiedades de la seguridad de la informacionHarold Morales
El documento introduce los fundamentos de la seguridad de la información, incluyendo las propiedades de integridad, confidencialidad y disponibilidad de la información. Explica que la seguridad de la información implica medidas para proteger la información a través del mantenimiento de estas propiedades. También analiza conceptos como autenticidad, no repudio, autorización y auditoría, así como esquemas de seguridad en bases de datos.
El documento trata sobre varios temas relacionados con la responsabilidad administrativa y médica en Colombia. Explica conceptos como la caducidad de la acción de reparación directa, los elementos de la responsabilidad extracontractual del Estado, la falla probada del servicio médico y el oblito quirúrgico. También aborda temas como la tasación de perjuicios morales y el reconocimiento de estos a hijos menores.
1) El documento describe la capa de enlace de datos, incluyendo qué es un enlace de datos, las configuraciones y tipos de estaciones, y los modos de operación de un enlace de datos. 2) Explica técnicas de control de flujo como parada y espera, parada y arranque, y ventana deslizante. 3) También cubre temas como detección y corrección de errores, protocolos de enlace de datos como HDLC y PPP.
Este documento describe la capa física del modelo OSI. Explica que la capa física controla cómo se colocan los datos en los medios de comunicación mediante la codificación de bits en señales y la transmisión de estas señales a través de los medios físicos. También describe los servicios y protocolos de la capa física, incluidos los métodos de señalización y codificación, y las características y usos de los principales tipos de medios de red como el cobre, la fibra óptica y los medios in
1. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
Introducción a los conceptos de Seguridad de
información
Entendiendo los conceptos básicos de seguridad
¿0.1 Que es la seguridad de la información?
La Seguridad de la información es el conjunto de estándares, procesos,
procedimientos, estrategias, recursos informáticos, recursos educativos
y recurso humano integrado para proveer toda la protección debida y
requerida a la información y a los recursos informáticos de una empresa,
institución o agencia gubernamental
La información es un recurso o activo que, como otros recursos importantes del
negocio, es esencial a una organización y a su operación y por consiguiente necesita ser
protegido adecuadamente. Esto es especialmente importante en el ambiente comercial
cada vez más interconectado. Como resultado de esta ínter conectividad creciente, la
información se expone ahora a un número ascendente y a una variedad más amplia de
de amenazas y vulnerabilidades.
La información puede existir en muchas formas. Puede imprimirse o puede escribirse en
el papel, guardar electrónicamente, transmitirse por el correo o usando los medios
electrónicos, puede ser mostrada en las películas, o hablada en la conversación.
Cualquier forma que la información tome, o cualquier medio por donde sea compartida
o guardada, siempre debe ser apropiadamente protegida.
La seguridad de la información es la protección de información de una gama amplia de
amenazas para asegurar la continuidad comercial, minimizar el riesgo comercial, y
aumentar al máximo el retorno en las inversiones y las oportunidades de negocios.
La seguridad de la información se logra llevando a cabo un conjunto conveniente de
controles, incluyendo las políticas, los procesos, procedimientos, estructuras
orgánicas y funciones del hardware y software. Estos controles deben ser
establecidos, implementados, supervisados, revisados y mejorados, dónde sea necesario,
para asegurar que se reúnen la seguridad específica y objetivos de negocio de la
organización. Esto debe hacerse en conjunción con otros procesos de administración
de negocios.
¿0.2 Por qué se necesita la seguridad de la información?
La información y los procesos de apoyo, sistemas, y redes son uno de los recursos mas
importantes del negocio. Definir, lograr, mantener y mejorar la seguridad de la
información pueden ser esenciales para mantenerse en el borde competitivo, mantener
un alto flujo del dinero en efectivo, tener rentabilidad, cumplimiento legal, y
sostenimiento de la imagen comercial.
Se enfrentan las organizaciones y sus sistemas de información y redes con las amenazas
de seguridad de un amplio rango de fuentes, incluyendo fraude ayudado por
computadora, espionaje, sabotaje, vandalismo, fuego o diluvio e inundaciones.
Autor: Ingeniero Jaime Hernando Rubio Rincón página 1
2. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
Las causas de daño como el código malévolo, penetración de computadoras, y ataques
de negación del servicio han llegado a ser más comunes, más ambicioso, y mas
sofisticados.
La seguridad de la información y proteger las infraestructuras críticas del negocio es
importante para ambos sectores público y de negocios del sector privado. En ambos
sectores, la seguridad de la información funcionará como un habilitador, por ejemplo
para lograr el e-government o el e-bussines, y evitar o reducir los riesgos pertinentes. La
interconexión de las redes privadas públicas y privadas y el compartir de recursos de
información aumentan la dificultad de lograr el control de acceso. La tendencia a la
informática distribuida también ha debilitado la efectividad del control central,
especializado.
No se han diseñado muchos sistemas de información seguros. La seguridad que puede
lograrse a través de los medios técnicos es limitada, y debe apoyarse por una apropiada
gestión apropiada y por los procedimientos. Identificando qué controles deben ser
implementados requiere planificación cuidadosa y atención al detalle. La gestión de la
seguridad de la información requiere, como un mínimo, participación por todos los
empleados de la organización. También puede requerir la participación de los
accionistas, proveedores, terceros, tercera parte, clientes u otras terceras partes externas.
Asesoría y Consejo de especialista de las organizaciones externas también puede
necesitarse.
0.3 Cómo establecer los requerimientos de seguridad?
Es esencial que una organización identifique sus requerimientos de seguridad. Hay tres
fuentes principales de los requerimientos de seguridad.
1. una fuente se deriva de evaluar los riesgos de la organización, mientras se tienen en
cuenta la estrategia de negocio global de la organización y sus objetivos. A través de
una valoración de riesgo, se identifican amenazas a los recursos, se evalúa la
vulnerabilidad y la probabilidad de ocurrencia y se estima el impacto potencial.
2. otra fuente es los requerimientos legales, estatutarios, reguladores y contractuales que
la organización, sus socios comerciales, contratistas, y proveedores de servicio tienen
que satisfacer, y el ambiente socio-cultural.
3. una fuente extensa es el conjunto particular de principios, objetivos y requerimientos
comerciales para la información que se procesa que una organización ha desarrollado
para apoyar sus funcionamientos.
0.4 Evaluando los riesgos de seguridad
Los requerimientos de seguridad son identificados mediante una valoración metódica de
riesgos de seguridad. El gasto en los controles se necesita probablemente equilibrar
contra el daño comercial que puedan ser resultado de las fallas de seguridad.
Los resultados de la valoración de riesgo ayudarán a guiar y determinar la acción de
gestión apropiada y las prioridades para manejar los riesgos de la seguridad de la
Autor: Ingeniero Jaime Hernando Rubio Rincón página 2
3. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
información, y por llevar a cabo los controles seleccionados para protegerse contra cada
uno de estos riesgos.
La valoración de riesgo debe repetirse periódicamente para estar atentos a cualquier
cambio que pudiera influir en los resultados de valoración del riesgo.
.
0.5 Seleccionando Controles
Una vez se han identificado requerimientos de seguridad y riesgos y las decisiones para
el tratamiento de riesgos han sido tomadas, deben seleccionarse los controles
apropiados e implementarlos para asegurar la mitigación de los riesgos a un nivel
aceptable. Pueden seleccionarse los controles de esta norma o de otros juegos de
controles, o pueden diseñarse nuevos controles apropiados para satisfacer las
necesidades específicas. La selección de controles de seguridad depende en decisiones
orgánicas basadas en el criterio para la aceptación de riesgo, la opciones en el
tratamiento de riesgo, y el enfoque de gestión general de riesgo aplicado en la
organización, y también debe estar sujeto regulaciones relevantes y a la legislación
internacional y nacional.
Algunos de los controles en esta norma pueden ser considerados como guías de los
principios para la gestión de la seguridad de la información y aplicable para la mayoría
de las organizaciones. Ellos se explican en más detalle debajo bajo del encabezado “el
punto de partida de seguridad de la información.”
Puede encontrarse más información sobre seleccionar controles y otras opciones de
tratamiento de riesgo en la cláusula 4.2 “Tratando los riesgos de seguridad".
0.6 Punto de partida de seguridad de la información
Varios controles pueden ser considerados como un buen punto de partida para llevar a
cabo la protección de la información. Ellos o están basado en los requerimientos
esenciales de tipo legislativo o se consideran ser una practica común para la seguridad
de la información.
Controles considerados esenciales a una organización desde un punto de vista del
legislativo incluyen, (dependiendo de la legislación aplicable):
a) protección de los datos y retiro de información personal
b) protección de archivos de la organización
c) los derechos de la propiedad intelectual
Controles considerados como práctica común para la seguridad de la información
incluyen:
a) el documento de políticas de seguridad de la información
b) la asignación de responsabilidades de seguridad de la información c) el
conocimiento de seguridad de la información, educación, y entrenamiento
d) el proceso correcto en las aplicaciones ;
e) la gestión de vulnerabilidad técnica ;
f) la gestión de continuidad del negocio ;
Autor: Ingeniero Jaime Hernando Rubio Rincón página 3
4. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
g) la gestión de incidentes de seguridad de la información y mejoras
Estos controles aplican a la mayoría de las organizaciones y en la mayoría de los
ambientes.
Debe notarse que aunque todos los controles en esta norma son importantes y deben ser
considerados, la relevancia de cualquier control debe determinarse a la luz de los riesgos
específicos que una organización pudiera enfrentar. Aunque el enfoque anterior es
considerado un punto de partida bueno, no reemplaza la selección de controles basado
en una valoración de riesgo.
0.7 Factores críticos de éxito
La experiencia ha mostrado que los factores siguientes son a menudo críticos a la
aplicación exitosa de la seguridad de la información dentro de una organización:
a) la política de seguridad de la información, la estrategia, objetivos, y
actividades que reflejen los objetivos de negocios;
b) un enfoque y una estructura para implementar, mantener, supervisar y mejorar
la seguridad de la información que sea consistente con la cultura organizacional;
c) el apoyo visible y comprometido de todos los niveles de gestión;
d) una comprensión buena de los requerimientos de seguridad de la información,
valoración de riesgo, y gestión del riesgo;
e) el mercadeo eficaz de los conceptos de seguridad de la información a todos
los gerentes, empleados, tercera partes para lograr el conocimiento;
f) la distribución de guía en la política de seguridad de la información y normas
a todos los gerentes, los empleados y terceras partes;
g) la provisión financiera para consolidar las actividades de gestión de la
seguridad de la información;
h) proporcionar conocimiento apropiado, entrenamiento, y educación;
i) establecer un proceso eficaz de manejo de incidentes de seguridad de la
información;
j) la aplicación de un sistema de mediciones que se pueda usar para evaluar el
rendimiento en la gestión de seguridad de la información y realimente
sugerencias la mejora de esa gestión.
0.8 Desarrollo de sus propias pautas
Este código de práctica puede considerarse como un punto de partida para la
organización en vías de desarrollo específico de las pautas. No todos los controles y
guías en este código de práctica pueden ser aplicables.
Además, pueden requerirse controles y pautas adicionales no incluidas en esta norma.
Cuando se desarrollan los documentos conteniendo pautas adicionales o controles,
puede ser útil incluir las referencias cruzadas a las cláusulas en esta norma dónde
aplique para facilitar la verificación de cumplimiento por parte de interventores y
socios de negocios.
Autor: Ingeniero Jaime Hernando Rubio Rincón página 4
5. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
0.9 Términos y definiciones
Para los propósitos de este documento los siguientes términos y definiciones aplican:
2.1 Activo cualquier elemento que tenga un valor para la organización [ISO/IEC 13335-
1:2004]
2.2 control significado de manejo del riesgo. Los medios de manejar el riesgo, incluso las
políticas, los procedimientos, las pautas, prácticas o estructuras organizacionales que pueden
ser de tipo administrativo, técnico, de gestión, o de naturaleza legal.
NOTA La palabra control se usa como un sinónimo para resguardo o contramedida.
2.3 pauta una descripción que clarifica lo que debe hacerse y cómo, para lograr el conjunto de
los objetivos establecidos en las políticas [ISO/IEC 13335-1:2004]
2.4 facilidades de procesamiento de información cualquier sistema de procesamiento de
información, servicio o infraestructura, o las localidades físicas que los alojan
2.5 la seguridad de información la preservación de la confidencialidad, integridad y
disponibilidad de la información; además, otras propiedades, fuertemente relacionadas tales
como la autenticidad, la responsabilidad, non-repudio, y fiabilidad pueden también ser
involucradas.
2.6 el evento de seguridad de la información es una ocurrencia identificada de un sistema,
servicio o estado de la red indicando una posible brecha de la política de seguridad de
información o fracaso de sus resguardos, o una situación previamente desconocida que puede
ser pertinente a la seguridad. [ISO/IEC TR 18044:2004
2.7 incidente de seguridad de información
un incidente de seguridad de la información se indica por un solo o una serie de eventos de
seguridad de la información no deseados o inesperados que tienen una probabilidad
significativa de comprometer las operaciones del negocio mediante las amenazas a la
seguridad de la información.[ISO/IEC TR 18044:2004]
2.8 la política la intención y dirección global como formalmente fue expresada por la gerencia
o administración
2.9 el riesgo la combinación de la probabilidad de un evento y su consecuencia [ISO/IEC
Guide 73:2002]
2.10 análisis de riesgo el uso sistemático de información para identificar las fuentes y estimar
el riesgo [ISO/IEC Guide 73:2002]
2.11 la valoración del riesgo el proceso global de análisis de riesgo y evaluación de riesgo
[ISO/IEC Guide 73:2002]
2.12 la evaluación del riesgo el proceso de comparar el riesgo estimado contra el criterio de
un riesgo dado determina la importancia del riesgo [ISO/IEC Guide 73:2002]
2.13 la gestión del riesgo las actividades coordinadas para dirigir y controlar una organización
con respecto al riesgo
NOTA: La gestión del Riesgo incluye típicamente valoración de riesgo, tratamiento de riesgo,
aceptación de riesgo y comunicación del riesgo.[ISO/IEC Guide 73:2002]
2.14 Tratamiento del riesgo el proceso de selección y aplicación de medidas para modificar el
riesgo [ISO/IEC Guide 73:2002]
2.15 tercera parte esa persona o institución que se reconocen como un ser independiente de las
partes involucradas, con respecto a un problema, trabajo o labor en cuestión [ISO/IEC Guide
2:1996]
2.16 la amenaza una causa potencial de un incidente no deseado que puede producir daño a
un sistema u organización [ISO/IEC 13335-1:2004]
2.17 la vulnerabilidad una debilidad de un recurso o grupo de recursos que pueden explotarse
por uno o más amenazas [ISO/IEC 13335-1:2004]
Autor: Ingeniero Jaime Hernando Rubio Rincón página 5
6. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
Concepto integrado de los diferentes elementos de la
seguridad de la información
Análisis de
riesgos
Vulnerabilidad Riesgo
Amenaza:
Confidencialidad Evento
Disponibilidad
Integridad
Autenticidad Plan de protección,
(No repudio) Recursos de HW y SW
(FW, IDS, Criptografía)
para protección, PPPE y
auditoria permanente
Figura 1. Relación vulnerabilidad, amenaza, riesgo y evento
En la Figura 1 pretendemos hacer un esquema que explique integralmente
los conceptos fundamentales de la seguridad. En primer lugar tenemos
las vulnerabilidades que vienen siendo como los puntos débiles de la
seguridad de la información. Haciendo una paradoja puede ser como un
defecto de la infraestructura de recursos informáticos que pone en riesgo
su propia supervivencia o la la de la información. Por otro lado tenemos el
sutil tema de la amenaza en cualquiera de sus tipos incluidos en la
gráfica, externa o interna a la organización. La conjunción simultanea de
la vulnerabilidad y la amenaza construye e implica un riesgo de
seguridad.
La ocurrencia del riesgo lo convierte entonces en un evento y la teoria de
Seguridad y Protección de la información es ese conjunto de actividades
marcadas en azul que trata por todos los medios que el riesgo se
convierta en evento, mitigando la probabilidad de ocurrencia del mismo.
1.0 Evaluando riesgos de seguridad
Las valoraciones de riesgos deben identificar, deben cuantificar, y deben prioritizar los riesgos
contra el criterio para la aceptación de riesgo y los objetivos pertinentes a la organización. Los
resultados deben guiar y deben determinar la apropiada acción administrativa y la prioridad
para gestionar el riesgo de la seguridad de información y para implementar los controles
seleccionados para protegerse contra estos riesgos. El proceso de evaluar los riesgos y
Autor: Ingeniero Jaime Hernando Rubio Rincón página 6
7. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
seleccionar los controles puede necesitar ser realizado varios veces para cubrir partes diferentes
de la organización o los sistemas individuales de información.
La valoración de riesgo debe incluir el enfoque sistemático de estimar la magnitud de riesgos (el
análisis de riesgo) y el proceso de comparar los riesgos estimados contra el criterio de riesgo
para determinar la importancia de los riesgos (la evaluación de riesgo).
También deben realizarse periódicamente las valoraciones de riesgo para conducir los cambios
en los requerimientos seguridad y en la situación de riesgo, por ejemplo en los recursos,
amenazas, las vulnerabilidades, los impactos, la evaluación del riesgo, y cuando los cambios
significativos ocurren. Estas valoraciones de riesgo deben emprenderse de una manera metódica
capaz de producir resultados comparables y reproducibles.
La valoración del riesgo de seguridad de la información debe tener un alcance claramente
definido para ser eficaz y debe incluir las relaciones con las valoraciones de riesgo en otras
áreas, si es lo apropiado.
El alcance de una valoración de riesgo o puede ser la organización entera, o las partes de la
organización, un sistema de información individual, componentes del sistema específicos, o
servicios dónde esto es factible, realista, y útil. Se discuten ejemplos de metodologías de
valoración de riesgo en ISO/IEC TR13335-3 (Las guías para la Gestión de la Seguridad de
la información: Las técnicas para el manejo de Seguridad de la INFORMACIÓN).
1.2 Tratando los riesgos de seguridad
Antes de considerado el tratamiento de un riesgo, la organización debe decidir el criterio para
determinar si o no se pueden aceptar los riesgos. Por ejemplo, pueden aceptarse los riesgos si se
evalúa que el riesgo es bajo o que el costo de tratamiento no es rentable para la organización.
Las decisiones tomadas deben documentadas.
Para cada uno de los riesgos identificados siguiendo a la evaluación se debe tomar una decisión
de tratamiento del riesgo. Las posibles opciones para el tratamiento de riesgo incluyen:
a) aplicando los controles apropiados para reducir los riesgos;
b) aceptando los riesgos a sabiendas y objetivamente, asumiendo que ellos satisfacen
claramente
la política de organización y los criterio para la aceptación de riesgo;
c) evitando los riesgos no permitiendo acciones que causarían la ocurrencia de los
riesgos;
d) transfiriendo los riesgos asociados a una tercera parte, por ejemplo aseguradores o
proveedores.
Para los riesgos dónde la decisión de tratamiento de riesgo ha sido aplicar los controles
apropiados, estos controles deben seleccionarse y deben llevarse a cabo para cumplir con los
requerimientos identificados por una valoración de riesgo. Los controles deba asegurar que se
reducen los riesgos a un nivel aceptable teniendo en cuenta:
a) los requerimientos y restricciones de la legislación nacional e internacional y las
regulaciones;
b) los objetivos organizacionales;
c) los requerimientos y restricciones operacionales;
d) el costo de implementación y operación respecto al nivel de riesgo que esta siendo
reducido, y restante , permaneciendo proporcional a los requerimientos y restricciones
de la organización.
e) la necesidad de equilibrar la inversión en la aplicación y funcionamiento de controles
contra el
dañe para ser el resultado de los fracasos de seguridad probablemente.
Autor: Ingeniero Jaime Hernando Rubio Rincón página 7
8. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
Pueden seleccionarse los controles de esta norma o de otro conjunto de normas de control, o
pueden diseñarse nuevos controles para satisfacer las necesidades específicas de la
organización. Es necesario reconocer que algunos controles no puedan ser aplicables a cada
sistema de información o ambiente, y no podría ser factible para todas las organizaciones. Como
un ejemplo, el parágrafo 10.1.3 describe cómo pueden dividir los deberes y funciones para
prevenir el fraude y el error. No puede ser posible para las organizaciones más pequeñas dividir
todos los deberes y otras maneras de lograr el mismo objetivo del control pueden ser
necesarias. Como otro ejemplo, el parágrafo 10.10 describe cómo el uso del sistema puede
supervisarse y pueden recolectarse evidencias. Los controles descritos por ejemplo el registro
de eventos, podrían entrar en choque con la legislación aplicable, como protección de la
privacidad del cliente o en el lugar de trabajo.
Los controles de seguridad de información deben ser considerados en los sistemas, proyectos y
aplicaciones diseñando la especificación de los requerimientos de seguridad en la fase de
diseño.
Fallas en este punto puede producir costos adicionales así y hacer menos eficaz las soluciones,
y quizá, en el peor caso, incapacidad para lograr la seguridad adecuada.
Debe tenerse presente que ningún conjunto de controles puede lograr la seguridad completa, y
gestión adicional debe ser implementada para monitorear, evaluar y mejorar la eficiencia y la
efectividad en los controles de seguridad para soportar los objetivos de la organización.
2 Política de seguridad
Un política de seguridades es una decisión ejecutiva sobre el quehacer en
el procesamiento, acceso, almacenamiento, creación, mantenimiento y
eliminación de la información, para protegerla adecuadamente.
2.1 Política de seguridad de información
El objetivo: Proporcionar gestión de dirección y apoyar la seguridad de información de acuerdo
con los requerimientos del negocio, leyes pertinentes y regulaciones.
La dirección debe establecer una política clara en la línea con los objetivos del negocios y debe
demostrar apoyo y compromiso con la seguridad de información a través de la emisión y
mantenimiento de una política de seguridad de información para la organización.
2.1.2 Documento de la política de seguridad de la información
Control
Un Documento de la política de seguridad de la información debe aprobarse por la dirección, y
publicarlo y comunicarlo a todos los empleados y la tercera parte externa pertinente.
La guía de aplicación
El Documento de la política de seguridad de la información debe declarar el compromiso de la
dirección y debe partir del enfoque de la organización para el manejo de la seguridad de
información. El documento de la política debe contener declaraciones involucrando:
a) una definición de seguridad de la información, sus objetivos globales, alcance y la
importancia de la seguridad como un mecanismo habilitador para compartir la
información (ver el parágrafo de la introducción);
b) una declaración de intención de la dirección para , apoyar las metas y principios de
seguridad de la información, en línea con la estrategia y objetivos de negocios;
Autor: Ingeniero Jaime Hernando Rubio Rincón página 8
9. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
c) un armazón por establecer objetivos de control y controles, incluso la estructura de la
valoración y manejo de riesgo;
d) una explicación breve de las políticas de seguridad, principios, normas, y
requerimientos de cumplimiento de importancia particular para la organización,
incluyendo:
1) la complacencia con el legislativo, los requerimientos reguladores y
contractuales;
2) la educación de seguridad, entrenamiento, y requerimientos de conocimiento;
3) la gestión de continuidad del negocio;
4) las consecuencias de las violaciones de la política de seguridad de la
información;
e) una definición de las responsabilidades generales y específicas para la gestión de la
seguridad de información, incluyendo el informar los incidentes de seguridad de la
información;
f) las referencias a documentación que pueden apoyar la política, por ejemplo la
seguridad más detallada las políticas y procedimientos para los sistemas de información
específicos o las reglas de seguridad que los usuarios deben cumplir.
Esta política de seguridad de información debe comunicarse a lo largo de la organización a los
usuarios en un formato apropiado, accesible y entendible al lector intencional.
Otra información
La política de seguridad de información podría ser una parte de un documento de la política
general. Si la información de la política de seguridad es distribuída fuera de la organización, el
debe tenerse cuidado para no descubrir o revelar información sensible. Información adicional
puede encontrarse en el ISO/IEC 13335-1:2004.
2.1.3 Revisión de la política de seguridad de información
Control
La política de seguridad de información debe revisarse a intervalos planeados o si ocurren
cambios significativos para asegurar su conveniencia de continuación, suficiencia, y efectividad.
La guía de aplicación
La política de seguridad de información debe tener un dueño quien tenga responsabilidades de
gestión aprobadas para el desarrollo, revisión, y evaluación de la política de seguridad. La
revisión debe incluir las oportunidades de evaluación para la mejora de la política de seguridad
de información de la organización y enfoque a manejar la seguridad de información en
respuesta a los cambios al ambiente organizacional, las circunstancias comerciales y de
negocios, las condiciones legales, o el ambiente técnico.
La revisión de la política de seguridad de información debe tomar cuenta de los resultados de
revisiones manejadas. Allí debe definirse los procedimientos de manejo de revisión, incluso un
horario o período de la revisión.
La entrada a la gestión de revisión debe incluir la información en:
a) la retroalimentación de terceras partes interesadas;
b) los resultados de revisiones independientes (vea 6.1.8);
c) el estado de acciones preventivas y correctivas (vea 6.1.8 y 15.2.1);
d) los resultados de revisiones de gestiones anteriores;
e) efectividad del proceso y cumplimientos de las política de seguridad de la
información;
Autor: Ingeniero Jaime Hernando Rubio Rincón página 9
10. Escuela Colombiana de Ingeniería Julio Garavito
SYPI Semestre II 2005
Notas del profesor Fascículo No2
f) cambios que podrían afectar el enfoque de la organización al manejo de la seguridad
de información, incluso los cambios al ambiente organizacional, circunstancias
comerciales, disponibilidad de recursos, las condiciones contractuales, regulatorias y
legales, o al ambiente técnico;
g) las tendencias relacionadas con las amenazas y vulnerabilidades;
h) incidentes reportados de seguridad de información (vea 13.1);
i) recomendaciones proporcionadas por las autoridades pertinentes (vea 6.1.6).
La salida de la gestión de revisión debe incluir cualquier decisión y acciones relacionadas a:
a) la mejora del enfoque de la organización a la gestión de la seguridad de la
información y sus procesos;
b) la mejora de objetivos de control y controles;
c) la mejora en la asignación de recursos y/o responsabilidades.
Un registro de la gestión de revisión debe mantenerse. La aprobación gerencial para la política
revisada debe obtenerse.
Autor: Ingeniero Jaime Hernando Rubio Rincón página 10