Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren más que solo medidas técnicas, y pueden incluir documentos, procedimientos y otras acciones. Describe los controles relacionados con la política de seguridad, organización de la información de seguridad, administración de recursos, seguridad de recursos humanos y seguridad física y del entorno.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren más que solo medidas técnicas, y pueden incluir documentos, procedimientos y más. Describe los primeros cinco grupos de controles, incluyendo la política de seguridad, organización de información de seguridad, administración de recursos, seguridad de recursos humanos y seguridad física y del entorno.
El documento habla sobre la norma ISO/IEC 27001 para la gestión de la seguridad de la información. Explica que la norma define los requisitos para un sistema de gestión de seguridad de la información y ayuda a proteger los activos de información y dar confianza a las partes interesadas. También describe los beneficios de la certificación, la formación requerida y los pasos hacia la certificación.
Este documento describe los principales controles establecidos en la norma ISO 27001. Explica que los controles cubren aspectos como la política de seguridad, la organización de la información de seguridad, la administración de recursos, la seguridad de los recursos humanos y más. Detalla cada uno de los grupos de controles y los pasos necesarios para implementarlos de manera efectiva como parte de un sistema de gestión de seguridad de la información.
Este documento presenta información sobre la norma ISO 27001. Brevemente describe qué es la ISO 27001, las ventajas de estar certificado según esta norma, y las ayudas que ofrece la administración pública española para que las pequeñas y medianas empresas se certifiquen. También resume los principales controles que establece la norma en áreas como política de seguridad, organización de la información de seguridad, administración de recursos y seguridad de los recursos humanos.
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Explica los últimos seis de los once controles propuestos por la norma, incluyendo la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y el marco legal y buenas prácticas. Para cada control, describe brevemente los objetivos y algunas de las medidas que deben considerarse para cumplir con los requisitos de la norma.
El documento describe un modelo de seguridad informática basado en la norma ISO 17799. Explica que la seguridad de la información es fundamental para las organizaciones y que se debe implementar un modelo con políticas sólidas, equipo capacitado, herramientas de protección actualizadas y un plan de concientización. El modelo involucra determinar riesgos, establecer controles, construir lineamientos, aplicar políticas y realizar mantenimiento y mejora continua.
El documento describe el estándar ISO 27001 para la seguridad de la información. Establece los requisitos para implementar un sistema de gestión de seguridad de la información que siga el ciclo PDCA. La certificación demuestra el compromiso de una organización con la seguridad de la información y puede mejorar su reputación. El estándar cubre aspectos como la política de seguridad, gestión de activos, seguridad física, gestión de incidentes y continuidad del negocio.
Este documento describe varias normas relacionadas con la seguridad de la información en el contexto mexicano, incluyendo ISO 27001, ISO 17799 y COSO. Explica que ISO 27001 especifica los requisitos para establecer un sistema de gestión de seguridad de la información, mientras que ISO 17799 proporciona recomendaciones de mejores prácticas. También indica que COSO es un modelo para la evaluación de sistemas de control interno y la gestión de riesgos en las organizaciones.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren más que solo medidas técnicas, y pueden incluir documentos, procedimientos y más. Describe los primeros cinco grupos de controles, incluyendo la política de seguridad, organización de información de seguridad, administración de recursos, seguridad de recursos humanos y seguridad física y del entorno.
El documento habla sobre la norma ISO/IEC 27001 para la gestión de la seguridad de la información. Explica que la norma define los requisitos para un sistema de gestión de seguridad de la información y ayuda a proteger los activos de información y dar confianza a las partes interesadas. También describe los beneficios de la certificación, la formación requerida y los pasos hacia la certificación.
Este documento describe los principales controles establecidos en la norma ISO 27001. Explica que los controles cubren aspectos como la política de seguridad, la organización de la información de seguridad, la administración de recursos, la seguridad de los recursos humanos y más. Detalla cada uno de los grupos de controles y los pasos necesarios para implementarlos de manera efectiva como parte de un sistema de gestión de seguridad de la información.
Este documento presenta información sobre la norma ISO 27001. Brevemente describe qué es la ISO 27001, las ventajas de estar certificado según esta norma, y las ayudas que ofrece la administración pública española para que las pequeñas y medianas empresas se certifiquen. También resume los principales controles que establece la norma en áreas como política de seguridad, organización de la información de seguridad, administración de recursos y seguridad de los recursos humanos.
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Explica los últimos seis de los once controles propuestos por la norma, incluyendo la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y el marco legal y buenas prácticas. Para cada control, describe brevemente los objetivos y algunas de las medidas que deben considerarse para cumplir con los requisitos de la norma.
El documento describe un modelo de seguridad informática basado en la norma ISO 17799. Explica que la seguridad de la información es fundamental para las organizaciones y que se debe implementar un modelo con políticas sólidas, equipo capacitado, herramientas de protección actualizadas y un plan de concientización. El modelo involucra determinar riesgos, establecer controles, construir lineamientos, aplicar políticas y realizar mantenimiento y mejora continua.
El documento describe el estándar ISO 27001 para la seguridad de la información. Establece los requisitos para implementar un sistema de gestión de seguridad de la información que siga el ciclo PDCA. La certificación demuestra el compromiso de una organización con la seguridad de la información y puede mejorar su reputación. El estándar cubre aspectos como la política de seguridad, gestión de activos, seguridad física, gestión de incidentes y continuidad del negocio.
Este documento describe varias normas relacionadas con la seguridad de la información en el contexto mexicano, incluyendo ISO 27001, ISO 17799 y COSO. Explica que ISO 27001 especifica los requisitos para establecer un sistema de gestión de seguridad de la información, mientras que ISO 17799 proporciona recomendaciones de mejores prácticas. También indica que COSO es un modelo para la evaluación de sistemas de control interno y la gestión de riesgos en las organizaciones.
Este documento presenta una guía para elaborar políticas de seguridad informática en la Universidad Nacional de Colombia. Explica las 11 etapas del ciclo de vida de una política, agrupadas en 4 fases: desarrollo, implementación, mantenimiento y eliminación. Define conceptos como política, estándar, mejor práctica, guía y procedimiento. Además, destaca la importancia de comunicar, hacer seguimiento y actualizar las políticas para garantizar su cumplimiento continuo.
Este documento resume la norma ISO 27004, la cual proporciona orientación sobre cómo medir la efectividad de un sistema de gestión de seguridad de la información (SGSI) certificado bajo ISO 27001. La norma establece un modelo y método para mediciones de seguridad, define cómo seleccionar y desarrollar mediciones relevantes, y describe los pasos para implementar un programa de mediciones. El objetivo es ayudar a las organizaciones a evaluar la eficiencia de sus controles de seguridad y mejorar continuamente su SGSI mediante el uso de métric
Este documento presenta una introducción a un entrenamiento sobre la Norma ISO 17799/ISO 27001 para la implementación de medidas de seguridad de la información. El entrenamiento cubrirá 11 dominios de seguridad definidos en la norma ISO 17799, el proceso de certificación ISO 27001 y talleres prácticos. Al final, cada participante recibirá un manual de seguridad de la información basado en estas normas.
La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en 10 dominios que cubren aspectos como la política de seguridad, clasificación de activos, control de acceso, y continuidad del negocio. El documento analiza cómo esta norma podría aplicarse para mejorar la seguridad en el laboratorio de Cisco de la universidad, el cual actualmente carece de algunos controles y procesos clave recomendados por ISO 17799.
Este documento presenta una introducción a la programación de controladores lógicos (PLC), incluyendo conceptos básicos de programación estructurada y modular, consideraciones de seguridad funcional, y niveles de seguridad (SIL). También analiza ejemplos de algoritmos comúnmente usados en PLC y resuelve un caso ficticio usando PLC de diferentes fabricantes para mostrar diferencias.
1) El documento describe varias normas relacionadas con la administración y gestión de sistemas de información y tecnologías, incluyendo ISO 27001, ISO 17799, COBIT, ITIL, COSO y ISO/IEC 20000. 2) También analiza cuáles de estas normas serían viables de implementar en una pyme mexicana, concluyendo que ISO 27001 e ISO 17799 son las más adecuadas debido a su flexibilidad y bajo costo de implementación. 3) Finalmente, resume los beneficios que brindan normas como COB
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
El documento describe el modelo de seguridad y privacidad de la información (MSPI) de una organización. Explica que el MSPI incluye componentes de diagnóstico, planificación, implementación, evaluación de desempeño y mejora continua. También describe un modelo de madurez para determinar el estado actual de la seguridad y privacidad de la información de la organización.
El documento presenta tres procedimientos relacionados con el control de acceso en sistemas de información. El primero describe el monitoreo de derechos de acceso por usuario, el segundo el monitoreo de asignación de privilegios por un auditor externo, y el tercero el monitoreo de asignación de privilegios por el jefe de sistemas a los usuarios. Cada procedimiento detalla los objetivos, alcance, responsabilidades, documentos relacionados, definiciones y registros.
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
ISO 27001 da la posibilidad de implantar un sistema de gestión de seguridad de la información (SGSI) que permita operar, monitorear, mantener y mejorar la seguridad de la información. - See more at: http://www.pmg-ssi.com/#sthash.4nJY3AV6.dpuf
1) El documento describe el diseño de un manual de controles de implementación de sistemas de información que establece los controles necesarios en el proceso de implementación tomando en cuenta estándares internacionales como COSO, SAC, ISO 17799 y COBIT. 2) El manual contiene políticas y objetivos de control para cada uno de los procesos de implementación como organización, definición de puestos, capacitación, acceso, conversión de datos, pruebas y auditoría. 3) El propósito del manual es ayudar a las empresas a implementar sistemas de
El documento habla sobre la importancia de la normalización de la seguridad del sistema de información y los requisitos legales de protección de datos. Explica conceptos como los sistemas de gestión de seguridad de la información, la documentación de planes de seguridad, la continuidad del negocio, las relaciones con terceros, los recursos humanos, y el control empresarial en la era digital.
Este documento proporciona sugerencias para mejorar la seguridad en las operaciones de centros de procesamiento de datos. Recomienda implementar controles de acceso, sistemas de vigilancia y control de accesos. También sugiere definir responsabilidades claras para la protección de activos, mantener al personal informado y utilizar herramientas de gestión para el cumplimiento de protocolos.
Este documento presenta una panorámica de diferentes modelos de control, incluyendo COSO, COBIT, y otros. Explica las comunidades de objetivos de control, principios y madurez de la capacidad. Luego profundiza en los detalles de COSO, incluyendo su definición de control, características, componentes e integración de objetivos y controles.
El documento describe las tres fases para obtener ayudas del Plan Avanza 2009 para proyectos de implantación y certificación de normas de calidad y seguridad en empresas TIC: 1) solicitud de ayudas, 2) implantación de la norma seleccionada con la ayuda de Itera, y 3) certificación de la norma por una entidad independiente. El objetivo es mejorar la competitividad de las empresas mediante la mejora de procesos y la adopción de estándares de calidad y seguridad.
El documento presenta una introducción al estándar ISO 27001 para la gestión de la seguridad de la información. Explica que la certificación en seguridad se está tomando más en serio y que ISO 27001 se convertirá en una obligación para las empresas que quieran competir. Resume los principales puntos del estándar como la creación de un sistema de gestión de seguridad de la información, la evaluación de riesgos y los controles requeridos. También lista la documentación necesaria para cumplir con el estándar como la declaración de alcance, el
pruebas e informe de auditoria de sistemasflorezjef
Este documento define los conceptos clave relacionados con la identificación y evaluación de riesgos potenciales. Define los términos stakeholder, riesgo, elementos que comprenden el riesgo como probabilidad, amenazas, vulnerabilidades y activos. Explica los pasos para identificar, clasificar, gestionar y administrar los riesgos, incluyendo la identificación, valoración, probabilidad de ocurrencia y severidad del riesgo.
Este documento presenta un resumen de los aspectos clave de un informe de auditoría de sistemas. Explica las normas, evidencias, irregularidades y documentación relevantes para una auditoría. Luego describe los componentes fundamentales de un informe de auditoría, incluyendo la identificación, objetivos, alcance y conclusiones. El propósito final de un informe de auditoría es comunicar formalmente los hallazgos y resultados de la auditoría al cliente.
El documento presenta un informe de auditoría de sistemas. El objetivo general es definir los pasos para realizar un informe de auditoría de sistemas. Se establecen objetivos específicos como investigar las pautas para elaborar el informe, establecer una estructura con normas de redacción y presentación, y elaborar conclusiones. El informe detalla la metodología, resultados, hallazgos, conclusiones y recomendaciones de la auditoría realizada.
Durante dos semanas, se implementó un proyecto socioeducativo en un grupo de 34 estudiantes para contrarrestar el bullying y la exclusión. Se aplicaron estrategias como presentaciones, dinámicas de grupo y discusiones para promover la confianza, la escucha activa y el trabajo en equipo. Los resultados incluyeron una mejor convivencia entre los estudiantes, quienes compartieron más y apoyaron a sus compañeros. El bullying se redujo en un 80%, aunque se requiere continuar el trabajo para eliminarlo completamente.
Informe final de la auditoria de sistemascarlitos_8881
El resumen del informe de auditoría de sistemas indica que la mayoría de los ítems relacionados con la gestión informática, sistemas de cómputo, proyectos y contratos recibieron calificaciones de bueno a regular. Se recomienda aplicar medidas correctivas para mejorar los controles, organización, seguridad, mantenimiento y calidad en varias áreas evaluadas.
Este documento presenta una guía para elaborar políticas de seguridad informática en la Universidad Nacional de Colombia. Explica las 11 etapas del ciclo de vida de una política, agrupadas en 4 fases: desarrollo, implementación, mantenimiento y eliminación. Define conceptos como política, estándar, mejor práctica, guía y procedimiento. Además, destaca la importancia de comunicar, hacer seguimiento y actualizar las políticas para garantizar su cumplimiento continuo.
Este documento resume la norma ISO 27004, la cual proporciona orientación sobre cómo medir la efectividad de un sistema de gestión de seguridad de la información (SGSI) certificado bajo ISO 27001. La norma establece un modelo y método para mediciones de seguridad, define cómo seleccionar y desarrollar mediciones relevantes, y describe los pasos para implementar un programa de mediciones. El objetivo es ayudar a las organizaciones a evaluar la eficiencia de sus controles de seguridad y mejorar continuamente su SGSI mediante el uso de métric
Este documento presenta una introducción a un entrenamiento sobre la Norma ISO 17799/ISO 27001 para la implementación de medidas de seguridad de la información. El entrenamiento cubrirá 11 dominios de seguridad definidos en la norma ISO 17799, el proceso de certificación ISO 27001 y talleres prácticos. Al final, cada participante recibirá un manual de seguridad de la información basado en estas normas.
La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en 10 dominios que cubren aspectos como la política de seguridad, clasificación de activos, control de acceso, y continuidad del negocio. El documento analiza cómo esta norma podría aplicarse para mejorar la seguridad en el laboratorio de Cisco de la universidad, el cual actualmente carece de algunos controles y procesos clave recomendados por ISO 17799.
Este documento presenta una introducción a la programación de controladores lógicos (PLC), incluyendo conceptos básicos de programación estructurada y modular, consideraciones de seguridad funcional, y niveles de seguridad (SIL). También analiza ejemplos de algoritmos comúnmente usados en PLC y resuelve un caso ficticio usando PLC de diferentes fabricantes para mostrar diferencias.
1) El documento describe varias normas relacionadas con la administración y gestión de sistemas de información y tecnologías, incluyendo ISO 27001, ISO 17799, COBIT, ITIL, COSO y ISO/IEC 20000. 2) También analiza cuáles de estas normas serían viables de implementar en una pyme mexicana, concluyendo que ISO 27001 e ISO 17799 son las más adecuadas debido a su flexibilidad y bajo costo de implementación. 3) Finalmente, resume los beneficios que brindan normas como COB
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
El documento describe el modelo de seguridad y privacidad de la información (MSPI) de una organización. Explica que el MSPI incluye componentes de diagnóstico, planificación, implementación, evaluación de desempeño y mejora continua. También describe un modelo de madurez para determinar el estado actual de la seguridad y privacidad de la información de la organización.
El documento presenta tres procedimientos relacionados con el control de acceso en sistemas de información. El primero describe el monitoreo de derechos de acceso por usuario, el segundo el monitoreo de asignación de privilegios por un auditor externo, y el tercero el monitoreo de asignación de privilegios por el jefe de sistemas a los usuarios. Cada procedimiento detalla los objetivos, alcance, responsabilidades, documentos relacionados, definiciones y registros.
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
ISO 27001 da la posibilidad de implantar un sistema de gestión de seguridad de la información (SGSI) que permita operar, monitorear, mantener y mejorar la seguridad de la información. - See more at: http://www.pmg-ssi.com/#sthash.4nJY3AV6.dpuf
1) El documento describe el diseño de un manual de controles de implementación de sistemas de información que establece los controles necesarios en el proceso de implementación tomando en cuenta estándares internacionales como COSO, SAC, ISO 17799 y COBIT. 2) El manual contiene políticas y objetivos de control para cada uno de los procesos de implementación como organización, definición de puestos, capacitación, acceso, conversión de datos, pruebas y auditoría. 3) El propósito del manual es ayudar a las empresas a implementar sistemas de
El documento habla sobre la importancia de la normalización de la seguridad del sistema de información y los requisitos legales de protección de datos. Explica conceptos como los sistemas de gestión de seguridad de la información, la documentación de planes de seguridad, la continuidad del negocio, las relaciones con terceros, los recursos humanos, y el control empresarial en la era digital.
Este documento proporciona sugerencias para mejorar la seguridad en las operaciones de centros de procesamiento de datos. Recomienda implementar controles de acceso, sistemas de vigilancia y control de accesos. También sugiere definir responsabilidades claras para la protección de activos, mantener al personal informado y utilizar herramientas de gestión para el cumplimiento de protocolos.
Este documento presenta una panorámica de diferentes modelos de control, incluyendo COSO, COBIT, y otros. Explica las comunidades de objetivos de control, principios y madurez de la capacidad. Luego profundiza en los detalles de COSO, incluyendo su definición de control, características, componentes e integración de objetivos y controles.
El documento describe las tres fases para obtener ayudas del Plan Avanza 2009 para proyectos de implantación y certificación de normas de calidad y seguridad en empresas TIC: 1) solicitud de ayudas, 2) implantación de la norma seleccionada con la ayuda de Itera, y 3) certificación de la norma por una entidad independiente. El objetivo es mejorar la competitividad de las empresas mediante la mejora de procesos y la adopción de estándares de calidad y seguridad.
El documento presenta una introducción al estándar ISO 27001 para la gestión de la seguridad de la información. Explica que la certificación en seguridad se está tomando más en serio y que ISO 27001 se convertirá en una obligación para las empresas que quieran competir. Resume los principales puntos del estándar como la creación de un sistema de gestión de seguridad de la información, la evaluación de riesgos y los controles requeridos. También lista la documentación necesaria para cumplir con el estándar como la declaración de alcance, el
pruebas e informe de auditoria de sistemasflorezjef
Este documento define los conceptos clave relacionados con la identificación y evaluación de riesgos potenciales. Define los términos stakeholder, riesgo, elementos que comprenden el riesgo como probabilidad, amenazas, vulnerabilidades y activos. Explica los pasos para identificar, clasificar, gestionar y administrar los riesgos, incluyendo la identificación, valoración, probabilidad de ocurrencia y severidad del riesgo.
Este documento presenta un resumen de los aspectos clave de un informe de auditoría de sistemas. Explica las normas, evidencias, irregularidades y documentación relevantes para una auditoría. Luego describe los componentes fundamentales de un informe de auditoría, incluyendo la identificación, objetivos, alcance y conclusiones. El propósito final de un informe de auditoría es comunicar formalmente los hallazgos y resultados de la auditoría al cliente.
El documento presenta un informe de auditoría de sistemas. El objetivo general es definir los pasos para realizar un informe de auditoría de sistemas. Se establecen objetivos específicos como investigar las pautas para elaborar el informe, establecer una estructura con normas de redacción y presentación, y elaborar conclusiones. El informe detalla la metodología, resultados, hallazgos, conclusiones y recomendaciones de la auditoría realizada.
Durante dos semanas, se implementó un proyecto socioeducativo en un grupo de 34 estudiantes para contrarrestar el bullying y la exclusión. Se aplicaron estrategias como presentaciones, dinámicas de grupo y discusiones para promover la confianza, la escucha activa y el trabajo en equipo. Los resultados incluyeron una mejor convivencia entre los estudiantes, quienes compartieron más y apoyaron a sus compañeros. El bullying se redujo en un 80%, aunque se requiere continuar el trabajo para eliminarlo completamente.
Informe final de la auditoria de sistemascarlitos_8881
El resumen del informe de auditoría de sistemas indica que la mayoría de los ítems relacionados con la gestión informática, sistemas de cómputo, proyectos y contratos recibieron calificaciones de bueno a regular. Se recomienda aplicar medidas correctivas para mejorar los controles, organización, seguridad, mantenimiento y calidad en varias áreas evaluadas.
Redacción del informe de auditoría evaluación cumplimiento programas de preve...Illescas Ricardo
El presente artículo tiene como objetivo orientar el ejercicio profesional en la redacción de Informes de Auditoría externa para informar sobre el resultado de la evaluación del cumplimiento de los Programas de Prevención de Lavado de Dinero con énfasis en las disposiciones de la legislación nicaragüense. La propuesta parte de la Norma Prudencial para la Prevención de Lavado de Dinero y de Otros Activos contenida en la Resolución de la Superintendencia de Bancos y Otras Instituciones Financieras de referencia CD- SIBOIF-197-2-MAR01-2002. Integra un sumario de procedimientos que lleven a la redacción del Dictamen o Informe de Auditoría Externa.
Este documento trata sobre el lavado de activos y la financiación del terrorismo en Colombia. Brevemente describe: 1) El lavado de activos es un delito que busca dar apariencia de legalidad a dinero proveniente de actividades ilegales como el narcotráfico; 2) El lavado de activos mueve grandes cantidades de dinero a nivel global y en Colombia, por lo que el país ha implementado varios sistemas y controles normativos para combatirlo; 3) La Circular Externa Número 100-000005 de 2014 de la Superintendencia de Socied
Este documento contiene definiciones de varios términos clave relacionados con el lavado de activos y la financiación del terrorismo. Explica conceptos como lavado de activos, financiación del terrorismo, riesgo de LA/FT, SARLAFT y otros.
El documento presenta información sobre el marco legal y los procedimientos para el transporte terrestre de carga en Colombia. Explica las regulaciones en materia penal, administrativa, civil y comercial, así como los roles de los involucrados en un contrato de transporte, los seguros obligatorios y los procedimientos para reclamaciones, transporte de sustancias químicas y mercancías peligrosas, control portuario, uso de contenedores y reporte de operaciones sospechosas. También incluye recomendaciones para la evaluación y planeación del transporte de
El documento habla sobre la gestión de clientes y la prevención del lavado de activos y la financiación del terrorismo (SIPLAFT-SARLAFT). Explica que la Unidad de Información y Análisis Financiero (UIAF) es responsable de combatir el lavado de activos y recopilar información de entidades públicas y privadas. También describe los requisitos para que las empresas implementen sistemas SIPLAFT-SARLAFT como conocer a los clientes, designar oficiales de cumplimiento y reportar operaciones sospechosas.
1) El documento presenta 10 secciones que ofrecen consejos sobre redacción para mejorar la calidad de los informes de investigación. 2) Los consejos incluyen evitar el uso excesivo de gerundios, mayúsculas, palabras innecesarias, oraciones y párrafos largos. 3) También recomienda el uso apropiado de tiempos verbales, personas, preposiciones y vocablos como "debe", "sino" o "que".
Este documento presenta un resumen de un trabajo de investigación realizado por estudiantes de la Facultad de Ciencias Económicas de la Universidad Privada Antenor Orrego sobre el análisis de estados financieros para la toma de decisiones de la empresa "Tejada Urquizo & Asociados Sociedad Civil" en el periodo 2010-2011. El documento incluye la introducción, marco teórico, objetivos, presentación y discusión de resultados, conclusiones y recomendaciones.
El documento analiza el sistema de administración de riesgo de lavado de activos y financiación del terrorismo (SARLAFT) en Colombia. Establece sanciones de 6 a 15 años de prisión y multas de 500 a 50.000 salarios mínimos por lavado de activos. Las penas aumentan si se comete por una persona jurídica o sus administradores. También permite el decomiso, congelamiento y confiscación de bienes relacionados.
Este documento describe tres tipos de trenes de propulsión híbrida que combinan motores eléctricos y de combustión interna, incluyendo sistemas en serie, combinados y paralelos. También menciona supercondensadores, grupos electrógenos, paneles fotovoltaicos, baterías inerciales y de alta capacidad como elementos para almacenar energía eléctrica y mover el vehículo.
El documento presenta varios modelos de informes de auditoría, incluyendo informes sin salvedades, con salvedades y con opinión desfavorable. También discute la publicidad del informe de auditoría y proporciona ejemplos para familiarizar al alumno con los elementos clave de un informe de auditoría como la introducción, opinión, salvedades y conclusión.
El documento presenta información sobre la estructura y requisitos de un informe de auditoría. Explica que el informe debe contener una introducción, observaciones, conclusiones y recomendaciones. Además, destaca la importancia de que el informe sea claro, conciso, oportuno, útil y con un tono constructivo.
El documento proporciona información sobre la elaboración de informes de auditoría. Explica que un informe de auditoría debe comunicar información útil para la toma de decisiones a través de observaciones, conclusiones y recomendaciones. También describe los pasos requeridos para la elaboración de un informe de auditoría, incluida la estructura, contenido, normas de redacción y presentación.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que un control no es solo una medida técnica, sino que abarca todo tipo de acciones, documentos y procedimientos. Describe los primeros dos grupos de controles - Política de seguridad y Organización de la información de seguridad - en detalle. Resalta la importancia de tener una política de seguridad bien planificada y de mantener actualizada la cadena de contactos internos y externos relacionados con la seguridad de la información de la organiz
Este documento presenta información sobre la norma ISO 27001. En 3 oraciones o menos:
La norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información. La certificación ISO 27001 demuestra que una organización toma medidas para asegurar la seguridad de la información. El documento explica los beneficios de la certificación ISO 27001 y los controles que cubre la norma.
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Explica los últimos seis de los once controles propuestos por la norma, incluyendo la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y el marco legal y buenas prácticas. Para cada control, describe brevemente los objetivos y algunas de las medidas que deben considerarse para cumplir con los requisitos de la norma ISO
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Se explican los últimos seis de los once controles propuestos por la norma, incluyendo la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y el marco legal y buenas prácticas. Se describe cada control y sus objetivos de manera concisa.
Este documento resume la norma ISO 27004, la cual proporciona una guía para medir la efectividad y eficiencia de un Sistema de Gestión de Seguridad de la Información (SGSI) implementado de acuerdo a la norma ISO 27001. La ISO 27004 describe un modelo y método para medir atributos clave y desarrollar indicadores, así como también recomienda definir un programa de medición que incluya la selección de métricas estratégicas, su implementación y revisión periódica. El objetivo final es que las medic
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Describe seis controles de seguridad de la información, incluida la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas, administración de incidentes, continuidad del negocio y cumplimiento legal. Explica que cada control involucra documentación, procedimientos y medidas técnicas para garantizar la seguridad de los activos de información de una organización.
Este documento proporciona una introducción al estándar ISO 27001 para la seguridad de la información. Explica que la norma especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. También cubre la evolución de la norma, el proceso de implementación, la certificación, otros estándares relacionados con la seguridad de la información, y los beneficios de la certificación ISO 27001.
Este documento presenta un análisis de la norma ISO 27001. Explica el origen y posicionamiento del estándar, señalando que fue desarrollado por ISO/IEC JTC 1 para proveer un modelo de sistema de gestión de seguridad de la información. Resume los principales puntos cubiertos por el estándar, incluyendo la creación de un ISMS, evaluación de riesgos y controles. Concluye explicando brevemente algunos de los términos clave definidos por la norma como activo, disponibilidad, confidencialidad
ISO 27001 es una norma internacional para la gestión de la seguridad de la información que describe cómo implementarla en una organización. Se basa en un enfoque de gestión de riesgos para proteger la confidencialidad, integridad y disponibilidad de la información. Siguiendo los pasos establecidos en la norma, las organizaciones pueden obtener la certificación de que cumplen con sus requisitos de seguridad.
El documento describe las normas ISO-27001 e ISO-27004. ISO-27001 establece los requisitos de un sistema de gestión de seguridad de la información, mientras que ISO-27004 provee directrices para medir la efectividad de dicho sistema. El documento explica que ISO-27004 ayuda a las organizaciones a medir el cumplimiento de controles de seguridad definidos en ISO-27001. Además, introduce conceptos clave como atributos, indicadores y métodos de medición para evaluar aspectos como la implementación de controles y la eficiencia general
Este texto, trata de presentar un análisis de la situación actual que presenta ISO/IEC para cualquier empresa que desee planificar e implementar una política de seguridad orientada a una futura certificación dentro de este estándar.
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
El documento describe la serie de normas ISO 27000 relacionadas con la gestión de la seguridad de la información. Explica que la ISO 27001 especifica los requisitos para un sistema de gestión de seguridad de la información certificable, mientras que la ISO 27002 proporciona recomendaciones de buenas prácticas en seguridad de la información. También resume brevemente otros estándares en desarrollo como la ISO 27003 sobre la implementación de sistemas de gestión de seguridad de la información.
Este documento resume la evolución del estándar ISO 27001 desde 1995 hasta la versión actual de 2005. Explica que ISO 27001 especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información. La norma se basa en el modelo Plan-Do-Check-Act y cubre temas como el ISMS, evaluación de riesgos y controles.
Este documento presenta un análisis de la norma ISO 27001:2005 sobre gestión de la seguridad de la información. Explica que la norma propone un enfoque organizativo para gestionar la seguridad de la información mediante un sistema de gestión de seguridad de la información (ISMS). También describe los principales elementos de la norma, incluido el ISMS, la evaluación de riesgos y los controles. Finalmente, resume brevemente algunos de los puntos clave de la norma como la aplicación del modelo PDCA y los términos y
Este documento presenta un análisis de la norma ISO 27001:2005 sobre gestión de la seguridad de la información. Explica que la norma propone un enfoque organizativo para establecer, implementar, operar, monitorear y mejorar un sistema de gestión de seguridad de la información. También describe los principales elementos de la norma, incluido el sistema de gestión de seguridad, la evaluación de riesgos y los controles. Finalmente, resume brevemente algunos de los puntos clave de la norma como la aplicación del ciclo
La norma ISO/IEC 27001 especifica los requisitos para establecer un Sistema de Gestión de la Seguridad de la Información según el ciclo PDCA. Su objetivo es que las organizaciones gestionen adecuadamente la seguridad de la información mediante procesos como la identificación de riesgos, el establecimiento de controles y la mejora continua. La certificación de un SGSI conforme a esta norma implica una auditoría externa que verifica su correcta implantación y eficacia.
Este documento proporciona una introducción al estándar ISO 27001. Explica que fue desarrollado por el comité técnico ISO/IEC JTC 1 para establecer un marco de administración de seguridad de la información. Describe que el estándar se basa en el modelo PDCA y requiere que las organizaciones establezcan, implementen, operen, supervisen, revisen, mantengan y mejoren un sistema de gestión de seguridad de la información certificado. También define los principales términos relacionados con la seguridad
Este estándar establece los requisitos para un Sistema de Gestión de Seguridad de la Información (ISMS) efectivo. El ISMS debe basarse en un enfoque de gestión de riesgos y en el ciclo Planificar-Hacer-Verificar-Actuar. La organización debe establecer una política de seguridad, objetivos, roles y responsabilidades; identificar y evaluar riesgos; implementar controles de seguridad; realizar auditorías internas periódicas; y revisar el ISMS para mejorar continuamente.
ISO 27001 es un estándar internacional para la seguridad de la información que establece los requisitos para implementar un sistema de gestión de seguridad de la información. La norma puede ser adoptada por cualquier tipo de organización y permite que una empresa obtenga una certificación de un tercero que confirme que su sistema de seguridad cumple con los requisitos de ISO 27001. La norma especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información siguiendo el ciclo Plan-Do-
La norma ISO 27001 describe cómo gestionar la seguridad de la información en una empresa. Fue publicada por primera vez en 2005 y actualizada en 2013. Establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en la evaluación y tratamiento de riesgos, así como en el ciclo PDCA de mejora continua.
El documento presenta el Instituto Tecnológico de Galicia (ITG), una fundación privada sin ánimo de lucro dedicada a mejorar la competitividad de las empresas gallegas. El ITG ofrece servicios de innovación tecnológica, gestión de la innovación, TIC, tecnologías de la construcción y formación. Además, lidera proyectos de I+D+i a nivel europeo, nacional y regional con la participación de empresas gallegas.
Este documento resume un trabajo de grado que aplica los estándares ISO 17799 y 27001 para diagnosticar la seguridad física y lógica en laboratorios de informática. El trabajo incluye una introducción, marco teórico, resumen de los estándares, aplicación de formatos de evaluación, trabajo de campo evaluando la seguridad física y lógica en dos laboratorios y conclusiones. El objetivo es generar un formato estándar para diagnosticar vulnerabilidades físicas y lógicas en centros de cómputo.
El documento discute los factores críticos para el éxito en la implementación de la norma ISO27001 para la gestión de seguridad de la información. Identifica algunos de estos factores como el compromiso gerencial, alinear la seguridad con los objetivos de negocio, tratar la implementación como un proceso continuo y no como un proyecto, y capacitar a los empleados. También enfatiza la importancia de involucrar a las partes interesadas y establecer un sistema para medir el desempeño de la seguridad e identificar á
El documento compara los estándares ISO 22000 y EFQM para la gestión de la seguridad alimentaria y la calidad total. Explica que ISO 22000 establece los requisitos para un sistema de gestión de seguridad alimentaria, mientras que EFQM es un modelo de excelencia empresarial basado en nueve criterios. Finalmente, resume que ISO 22000 se enfoca en el sistema de gestión de seguridad alimentaria, la responsabilidad de la dirección y la gestión de recursos, mientras que EFQM evalúa aspectos como la planificación y estrategia,
Iso27k Iso27001 Overview From Howard Smithdcordova923
ISO 27001 is an international standard for information security management. It provides a framework for implementing and maintaining an information security management system (ISMS). The standard covers key aspects like risk management, security policies, asset classification/control, personnel security, physical/environmental security, communications/operations management, access control, and more. Organizations can get certified to show they have proper controls in place to protect sensitive information according to the standard's requirements.
El documento presenta el Sistema de Gestión de Seguridad de la Información que se está implementando en el Ministerio de Hacienda de acuerdo a estándares internacionales. Explica que la seguridad de la información busca preservar la confidencialidad, integridad y disponibilidad de los datos. También describe la estructura y proceso de desarrollo del sistema, así como los roles de las diferentes unidades y la documentación requerida. Finalmente, solicita la colaboración de las direcciones en la designación de encargados de seguridad y en la difus
Este documento describe un curso de un día sobre los estándares ISO 27001 e ISO 17799 para la gestión de la seguridad de la información. El curso cubrirá los objetivos, estructura y aplicación práctica de ambas normas para ayudar a las organizaciones a establecer y mantener sistemas de gestión de seguridad de la información efectivos. El curso se dirige a responsables de seguridad de la información, auditores y otros profesionales interesados en aprender sobre los estándares de seguridad.
Este documento introduce el tema de la seguridad de la información y la tecnología, explicando que es un tema importante para los negocios debido a la dependencia en la tecnología. Explica que la adopción de la tecnología ha creado nuevos riesgos y que la seguridad de la información gira en torno a proteger la información del negocio. Resume las principales actividades que una empresa debe realizar para proteger su información y negocio, como reconocer el valor de la información, identificar riesgos, implementar controles
El documento describe cómo la tecnología puede facilitar el cumplimiento de los controles de seguridad de la información definidos en los estándares ISO 27001 e ISO 27002. Explica cómo herramientas como Oracle Database Vault y Oracle Identity Management ayudan a controlar el acceso a datos y a cumplir con requisitos como la LOPD española sobre registro y auditoría de accesos.
El documento presenta información sobre la auditoría de la gestión de las tecnologías de la información. Describe brevemente la problemática actual de la gestión TI, haciendo referencia a informes como el Standish Chaos Report. Luego introduce la Metodología para la Auditoría Integral de la Gestión de Tecnología de Información (MAIGTI), la cual se basa en estándares internacionales como COBIT, ISO/IEC 12207 y ISO/IEC 17799. Finalmente, resume los principales procesos cubiertos por estos estándares en relación con
Este documento describe los principales aspectos de la norma ISO 27001 para la gestión de la seguridad de la información. Explica que ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información. También cubre los beneficios de la certificación ISO 27001, como demostrar el compromiso con la seguridad de la información y mejorar la confianza de las partes interesadas.
Todo sobre la tarjeta de video (Bienvenidos a mi blog personal)AbrahamCastillo42
Power point, diseñado por estudiantes de ciclo 1 arquitectura de plataformas, esta con la finalidad de dar a conocer el componente hardware llamado tarjeta de video..
LA GLOBALIZACIÓN RELACIONADA CON EL USO DE HERRAMIENTAS.pptxpauca1501alvar
Explica cómo las tecnologías digitales han facilitado e impulsado la globalización al eliminar barreras geográficas y permitir un flujo global sin precedentes de información, bienes, servicios y capital. Se describen los impactos de las herramientas digitales en áreas como la comunicación global, el comercio electrónico internacional, las finanzas y la difusión cultural. Además, se mencionan los beneficios como el crecimiento económico y el acceso a la información, así como los desafíos como la desigualdad y el impacto ambiental. Se concluye que la globalización y las herramientas digitales se refuerzan mutuamente, promoviendo una creciente interdependencia mundial.
Presentación realizada en el #Collabdays #Madrid 2024 donde traté las funcionalidades de Gobierno que incorpora ShrePoint Premium para facilitar la adopción de Copilot para Microsoft 365: Controles de Acceso Restringido | Acceso Condicional Granular | Bloqueo de descarga de archivos | Gestión del Ciclo de Vida de Sitios | Acciones recientes en Sitios de SharePoint | Informe de cambios
El uso de las TIC en la vida cotidiana.pptxjgvanessa23
En esta presentación, he compartido información sobre las Tecnologías de la Información y la Comunicación (TIC) y su aplicación en diversos ámbitos de la vida cotidiana, como el hogar, la educación y el trabajo.
He explicado qué son las TIC, las diferentes categorías y sus respectivos ejemplos, así como los beneficios y aplicaciones en cada uno de estos ámbitos.
Espero que esta información sea útil para quienes la lean y les ayude a comprender mejor las TIC y su impacto en nuestra vida cotidiana.
Ingeniería en Telemática y ejercicios.pdfCamila301231
La ingeniería de telemática se encarga de satisfacer todas las necesidades de los usuarios, lo que incluye la creación de aplicaciones mediante el uso de software avanzado para que todos puedan enviar y recibir mensajes.
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)codesiret
Los protocolos son conjuntos de
normas para formatos de mensaje y
procedimientos que permiten a las
máquinas y los programas de aplicación
intercambiar información.
Infografia TCP/IP (Transmission Control Protocol/Internet Protocol)
Iso 27001 Los Controles
1. ISO-27001: Los Controles
ISO-27001: LOS CONTROLES (Parte I)
Por: Alejandro Corletti Estrada
Mail: acorletti@hotmail.com
Madrid, noviembre de 2006.
Este artículo es la continuación del análisis de la norma ISO-27001.
Para facilitar su lectura y que no sea tan extenso, se presentará en dos
partes. En la presente (Parte I), se desarrollarán los primeros cinco grupos
de controles, dejando los seis restantes para la parte II del mismo.
PRÓLOGO
En un artículo anterior a este, denominado “Análisis de la ISO 27001:2005”, se desarrollaron los
conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y
posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese
texto presentaba lo siguiente:
“Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres
grandes líneas:
- SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS:
Information Security Managemet System).
- Valoración de riegos (Risk Assesment)
- Controles”
De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y
se hizo bastante hincapié en el concepto de SGSI (o ISMS), por considerarse a este tema el que más
necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema
completo de Gestión de la Seguridad” (Si bien hay más aspectos que están siendo incorporados en una
nueva versión de controles que estará disponible muy brevemente).
Tal vez la conclusión más importante de ese texto fuera que “Se puede prever, que la certificación
ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el
corto plazo”. Por esta razón es que se consideró necesario seguir adelante con el análisis del mismo.
Los primeros pasos para la implementación de esta norma son:
Alejandro Corletti Estrada Página 1 de 9
2. ISO-27001: Los Controles
- Definir el ámbito y política del SGSI.
- Proceso de análisis y valoración de riesgos (Evaluación de Riesgos).
- Selección, tratamiento e implementación de Controles.
- ………
El tercer punto anteriormente presentado es lo que se desarrollará en el presente artículo para tratar de
entrar en el detalle de cada uno de los grupos que propone ISO 27001.
DESARROLLO
I. PRESENTACIÓN:
Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues la norma deja abierto el camino a la
aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es
decir satisfaga todos los aspectos que se mencionan en ella. Existen varios tipos de metodologías, en
España las más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es posible la aplicación de
procedimientos propietarios o particulares, si presenta rigurosidad en los pasos y resultados.
Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo
a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo.
Es decir, que de esta actividad surgirá la primera decisión acerca de los controles que se deberán
abordar.
La preparación y planificación de SGSI, se trató en el artículo anterior, pero en definitiva, lo importante
de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar y
documentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la
Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la
norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad
entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y
muy especialmente la de los controles que se consideren excluidos de la misma.
“DESCONCEPTO”: Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de
alarma, hito, evento, medición, monitorización, etc…., se piensa en algo muy técnico o acción. En el
caso de este estándar, el concepto de “Control”, es mucho (pero mucho) más que eso, pues abarca
todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas,
etc………………….
Un “Control” es lo que permite garantizar que cada aspecto,
que se valoró con un cierto riesgo, queda cubierto y auditable
¿Cómo? De muchas formas posibles.
Alejandro Corletti Estrada Página 2 de 9
3. ISO-27001: Los Controles
El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en once
rubros. Para cada uno de ellos define el objetivo y lo describe brevemente.
Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo exhaustivo, por lo
tanto se pueden seleccionar más aún. Es decir, estos 133 controles (hoy) son los mínimos que se
deberán aplicar, o justificar su no aplicación, pero esto no da por completa la aplicación de la norma si
dentro del proceso de análisis de riesgos aparecen aspectos que quedan sin cubrir por algún tipo de
control. Por lo tanto, si a través de la evaluación de riesgos se determina que es necesaria la creación
de nuevos controles, la implantación del SGSI impondrá la inclusión de los mismos, sino seguramente
el ciclo no estará cerrado y presentará huecos claramente identificables.
Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente
forma:
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información, desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Cumplimiento (legales, de estándares, técnicas y auditorías)
II. DESARROLLO DE LOS CONTROLES
En este ítem, para ser más claro, se respetará la puntuación que la norma le asigna a cada uno de los
controles.
A.5 Política de seguridad.
Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner
de manifiesto sobre el mencionado “Desconcepto” sobre lo que uno piensa que es un control,
pues aquí se puede apreciar claramente la complejidad que representa el diseño, planificación,
preparación, implementación y revisiones de una Política de Seguridad (la revisión es justamente
el segundo control que propone)……….como se mencionó “un Control es mucho (pero mucho),
mas que eso…”
Todo aquel que haya sido responsable alguna vez de esta tarea, sabrá de lo que se está hablando.
La Política de Seguridad, para ser riguroso, en realidad debería dividirse en dos documentos:
Alejandro Corletti Estrada Página 3 de 9
4. ISO-27001: Los Controles
- Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea
rectora, la alta dirección. Define las grandes líneas a seguir y el nivel de compromiso de la
dirección con ellas.
- Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un
nivel más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán
cumplir.
Algo sobre lo que generalmente no se suele reflexionar o remarcar es que:
Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre
la gran mayoría de los aspectos que hacen falta para un verdadero SGSI.
Haciendo abuso de la avanzada edad de este autor, es que se van a citar dos puntos de partida
para la mencionada actividad que, a juicio del mismo, siguen siendo grandes referentes
metodológicos a la hora de la confección de estos controles.
Se trata de lo que proponen las siguientes RFCs (Request For Comments). Política de seguridad
(RFC – 2196 Site Security Handbook) y también la anterior (RFC-1244, que si bien queda
obsoleta por la primera es muy ilustrativa) ambas, planten una metodología muy eficiente de
feedback partiendo desde el plano más alto de la Organización hasta llegar al nivel de detalle,
para comparar nuevamente las decisiones tomadas y reingresar las conclusiones al sistema
evaluando los resultados y modificando las deficiencias. Se trata de un ciclo permanente y sin
fin cuya característica fundamental es la constancia y la actualización de conocimientos. Esta
recomendación plantea muy en grande los siguientes pasos:
Política de Seguridad (RFC1244)
Análisis de riesgo
Grado de exposición
Plan de Seguridad (semejante a Certificación ISO)
Plan de contingencia
La política es el marco estratégico de la Organización, es el más alto nivel. El análisis de riesgo
y el grado de exposición determinan el impacto que puede producir los distintos niveles de
clasificación de la información que se posee. Una vez determinado estos conceptos, se pasa al
Cómo que es el Plan de Seguridad, el cual, si bien en esta RFC no está directamente relacionado
con las normas ISO, se mencionan en este texto por la similitud en la elaboración de
procedimientos de detalle para cada actividad que se implementa, y porque se reitera, su
metodología se aprecia como excelente………(y dados los años del autor, sabrán disculpar la
fechas de publicación de ambas RFCs....{Les garantizo que están en Inglés, y no en Sánscrito}).
Alejandro Corletti Estrada Página 4 de 9
5. ISO-27001: Los Controles
A.6 Organización de la información de seguridad.
Este segundo grupo de controles abarca once de ellos y se subdivide en:
- Organización Interna: Compromiso de la Dirección, coordinaciones, responsabilidades,
autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de interés
en temas de seguridad, revisiones independientes.
- Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a
clientes y socios de negocio.
Lo más importante a destacar de este grupo son dos cosas fundamentales que abarcan a ambos
subgrupos:
- Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor
detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.).
- Derechos y obligaciones de cualquiera de los involucrados.
En este grupo de controles, lo ideal es diseñar e implementar una simple base de datos, que
permita de forma amigable, el alta, baja y/o modificación de cualquiera de estos campos. La
redacción de la documentación inicial de responsables: derechos y obligaciones (para personal
interno y ajeno) y el conjunto de medidas a adoptar con cada uno de ellos. Una vez lanzado este
punto de partida, se debe documentar la metodología de actualización, auditabildad y
periodicidad de informes de la misma.
A.7 Administración de recursos
Este grupo cubre cinco controles y también se encuentra subdividido en:
- Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de
los mismos.
- Clasificación de la información: Guías de clasificación y Denominación, identificación y
tratamiento de la información.
Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en
seguridad de la información, en cuanto a que todo recurso debe estar perfectamente inventariado
con el máximo detalle posible, que se debe documentar el “uso adecuado de los recursos” y que
toda la información deberá ser tratada de acuerdo a su nivel. En el caso de España, tanto la
LOPD como la LSSI han aportado bastante a que esta tarea sea efectuada con mayor
responsabilidad en los últimos años. También se puede encontrar en Internet varias referencias a
la clasificación de la información por niveles.
Tal vez sí valga la pena mencionar aquí el problema que se suele encontrar en la gran mayoría de
las empresas que cuentan con un parque informático considerable, sobre el cual, se les dificulta
Alejandro Corletti Estrada Página 5 de 10
6. ISO-27001: Los Controles
mucho el poder mantener actualizado su sistema de inventario. El primer comentario, es que
este aspecto debe abordarse “sí o sí”, pues es imposible pensar en seguridad, si no se sabe
fehacientemente lo que se posee y cada elemento que queda desactualizado o no se lo ha
inventariado aún, es un hueco concreto en la seguridad de todo el sistema, y de hecho suelen
ser las mayores y más frecuentes puertas de entrada, pues están al margen de la infraestructura de
seguridad .
El segundo comentario, es que se aprecia que las mejores metodologías a seguir para esta
actividad, son las que permiten mantener “vivo” el estado de la red y por medio de ellas
inventariar lo que se “escucha”. Esta metodología lo que propone es, hacer un empleo lógico y
completo de los elementos de red o seguridad (IDSs, Firewalls, Routers, sniffers, etc.) y
aprovechar su actividad cotidiana de escucha y tratamiento de tramas para mantener “vivo” el
estado de la red. Es decir, nadie mejor que ellos saben qué direcciones de la “Home Net” se
encuentran activas y cuáles no, por lo tanto, aprovechar esta funcionalidad para almacenar y
enviar estos datos a un repositorio adecuado, el cual será el responsable de mantener el inventario
correspondiente. Sobre este tema, se propone la lectura de dos artículos publicados hace tiempo
en Internet por este autor que se denominan “Metodología Nessus-Snort” y “Matriz de Estado
de Seguridad”, si bien los mismos deben ser actualizados al día de hoy, de ellos se puede
obtener una clara imagen de cómo se puede realizar esta tarea y aprovechar las acciones de
seguridad para mejorar el análisis de riesgo y el inventario.
A.8 Seguridad de los recursos humanos.
Este grupo cubre nueve controles y también se encuentra subdividido en:
- Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y
condiciones de empleo.
- Durante el empleo: Administración de responsabilidades, preparación, educación y
entrenamiento en seguridad de la información, medidas disciplinarias.
- Finalización o cambio de empleo: Finalización de responsabilidades, devolución de recursos,
revocación de derechos.
Este grupo, en la actualidad, debe ser el gran ausente en la mayoría de las organizaciones. Se
trata de un serio trabajo a realizar entre RRHH y los responsables de Seguridad de la Información
de la organización.
Se debe partir por la redacción de la documentación necesaria para la contratación de personal y
la revocación de sus contratos (por solicitud, cambio o despido). En la misma deberá quedar bien
claro las acciones a seguir para los diferentes perfiles de la organización, basados en la
responsabilidad de manejo de información que tenga ese puesto. Como se pueda apreciar, tanto la
contratación como el cese de un puesto, es una actividad conjunta de estas dos áreas, y cada paso
deberá ser coordinado, según la documentación confeccionada, para que no se pueda pasar por
alto ningún detalle, pues son justamente estas pequeñas omisiones de las que luego resulta el
haber quedado con alta dependencia técnica de personas cuyo perfil es peligroso, o que al tiempo
de haberse ido, mantiene accesos o permisos que no se debieran (casos muy comunes).
Alejandro Corletti Estrada Página 6 de 10
7. ISO-27001: Los Controles
Tanto el inicio como el cese de cualquier tipo de actividad relacionada con personal responsable
de manejo de información de la organización, son actividades muy fáciles de procedimentar,
pues no dejan de ser un conjunto de acciones secuenciales muy conocidas que se deben seguir “a
raja tabla” y que paso a paso deben ser realizadas y controladas……..se trata simplemente de
¡¡¡ESCRIBIRLO!!! (y por supuesto de cumplirlo luego), esto forma parte de las pequeñas cosas
que cuestan poco y valen mucho ¿Por qué será que no se hacen????
En cuanto a formación, para dar cumplimiento al estándar, no solo es necesario dar cursos. Hace
falta contar con un “Plan de formación”. La formación en seguridad de la información, no puede
ser una actividad aperiódica y determinada por el deseo o el dinero en un momento dado, tiene
que ser tratada como cualquier otra actividad de la organización, es decir se debe plantear:
o Meta a la que se desea llegar.
o Determinación de los diferentes perfiles de conocimiento.
o Forma de acceder al conocimiento.
o Objetivos de la formación.
o Metodología a seguir.
o Planificación y asignación de recursos.
o Confección del plan de formación.
o Implementación del plan.
o Medición de resultados.
o Mejoras.
Si se siguen estos pasos, se llegará a la meta, pero no solo a través de la impartición de uno o
varios cursos o la distribución de documentos de obligada lectura, sino con un conjunto de
acciones que hará que se complementen e integren en todo el SGSI como una parte más,
generando concienciación y adhesión con el mismo.
A.9 Seguridad física y del entorno
Este grupo cubre trece controles y también se encuentra subdividido en:
- Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de
locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en
áreas e seguridad, accesos públicos, áreas de entrega y carga.
- Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los
equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento
fuera de la organización, seguridad en la redistribución o reutilización de equipamiento,
borrado de información y/o software.
A juicio del autor, uno de los mejores resultados que se pueden obtener en la organización de una
infraestructura de seguridad de la información, está en plantearla siempre por niveles. Tal vez no
sea necesario hacerlo con el detalle de los siete niveles del modelo ISO/OSI, pero sí por lo menos
de acuerdo al modelo TCP/IP que algunos consideran de cuatro (Integrando físico y enlace) y
otros de cinco niveles.
Alejandro Corletti Estrada Página 7 de 10
8. ISO-27001: Los Controles
Nuevamente el criterio de este autor, aprecia que es correcto considerar separadamente el nivel
físico con el de enlace, pues presentan vulnerabilidades muy diferentes. Si se presenta entonces el
modelo de cinco niveles, se puede organizar una estructura de seguridad contemplando medidas y
acciones por cada uno de ellos, dentro de las cuales se puede plantear, por ejemplo, lo siguiente:
o Aplicación: Todo tipo de aplicaciones.
o Transporte: Control de puertos UDP y TCP.
o Red: Medidas a nivel protocolo IP e ICMP, túneles de nivel 3.
o Enlace: Medidas de segmentación a nivel direccionamiento MAC, tablas estáticas y
fijas en switchs, control de ataques ARP, control de broadcast y multicast a nivel
enlace, en el caso WiFi: verificación y control de enlace y puntos de acceso, 802.X
(Varios), empleo de túneles de nivel 2, etc.
o Físico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de
comunicaciones, control de acceso físico, conductos de comunicaciones, cables,
fibras ópticas, radio enlaces, centrales telefónicas (Tema a desarrollar en este punto)
Como se puede apreciar, este es una buena línea de pensamiento para plantear cada una de las
actividades y evitar que se solapen algunas de ellas y/o que queden brechas de seguridad.
En el caso físico, es conveniente también separar todas ellas, por lo menos en los siguientes
documentos:
o Documentación de control de accesos y seguridad perimetral general, áreas de
acceso y entrega de materiales y documentación, zonas públicas, internas y
restringidas, responsabilidades y obligaciones del personal de seguridad física.
o Documentación de CPDs: Parámetros de diseño estándar de un CPD, medidas de
protección y alarmas contra incendios/humo, caídas de tensión, inundaciones,
control de climatización (Refrigeración y ventilación), sistemas vigilancia y control
de accesos, limpieza, etc.
o Documentación y planos de instalaciones, canales de comunicaciones, cableado,
enlaces de radio, ópticos u otros, antenas, certificación de los mismos, etc.
o Empleo correcto del material informático y de comunicaciones a nivel físico: Se
debe desarrollar aquí cuales son las medidas de seguridad física que se debe tener en
cuenta sobre los mismos (Ubicación, acceso al mismo, tensión eléctrica, conexiones
físicas y hardware permitido y prohibido, manipulación de elementos, etc.) . No se
incluye aquí lo referido a seguridad lógica.
o Seguridad física en el almacenamiento y transporte de material informático y de
comunicaciones: Zonas y medidas de almacenamiento, metodología a seguir para el
ingreso y egreso de este material, consideraciones particulares para el transporte del
mismo (dentro y fuera de al organización), personal autorizado a recibir, entregar o
sacar material, medidas de control. No se incluye aquí lo referido a resguardo y
Alejandro Corletti Estrada Página 8 de 10
9. ISO-27001: Los Controles
recuperación de información que es motivo de otro tipo de procedimientos y
normativa.
o Documentación de baja, redistribución o recalificación de elementos:
Procedimientos y conjunto de medidas a seguir ante cualquier cambio en el estado de
un elemento de Hardware (Reubicación, cambio de rol, venta, alquiler, baja,
destrucción, compartición con terceros, incorporación de nuevos módulos, etc.).
III. RESUMEN y CONCLUSIONES PARCIALES DE ESTA PARTE.
- Como se pudo apreciar hasta ahora, el concepto de “Control”, no es el convencional que se
puede tener al respecto. Se lo debe considerar como un conjunto de medidas, acciones y/o
documentos que permiten cubrir y auditar cierto riesgo.
- Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de
los aspectos que hacen falta para un verdadero SGSI. Es recomendable subdividirla en un Plan
y en una Política de seguridad (Consejo “de viejo”: Ver RFCs: 1244 y 2196)
- Organizar: Responsables, obligaciones, derechos, acuerdos, etc (Base de datos y
documentación que la sustente).
- Recursos: Responsables de los mismos y clasificación de la información que contienen.
LOPD, LSSI. Inventario “VIVO” (Consejo: aprovechar al máximo los elementos de Red y
Seguridad, para eso están).
- Recursos humanos: Coordinar y sincronizar el trabajo de ambas gerencias (RRHH y
Seguridad). Tres momentos fundamentales: Inicio – durante (Plan de formación) – Cese.
Documentar y procedimentar los pasos que “tácitamente” se siguen.
- Seguridad física: Mentalidad de “Niveles TCP/IP” para dividir bien las tareas.
Alejandro Corletti Estrada, Madrid, noviembre de 2006.
Alejandro Corletti Estrada Página 9 de 10