Este documento trata sobre la seguridad, aseguramiento de la calidad y auditoría de los sistemas de información. Explica los componentes de la seguridad de los SI, incluyendo la gestión de la seguridad, el análisis de riesgos y los planes de contingencia. También cubre el aseguramiento de la calidad de los SI y la auditoría de los SI, incluyendo sus objetivos, elementos a revisar y metodología.
El documento presenta estrategias para maximizar la seguridad corporativa. Propone el uso de tecnología de videovigilancia como una herramienta de inteligencia competitiva para prevenir pérdidas, supervisar riesgos y lograr resultados. También describe una metodología de incorporación tecnológica gradual que incluye planes de contingencia, capacitación, evaluación de proveedores y ciclos de mejora continua.
El documento habla sobre los conceptos de seguridad privada e incluye definiciones de seguridad, las diferencias entre seguridad pública y privada, y los pasos clave para establecer un sistema de seguridad privada como determinar los valores a proteger, realizar un estudio de seguridad, establecer planes operativos, de emergencias y recuperación, e identificar y analizar los factores de riesgo.
El documento describe un análisis de riesgos y gestión de riesgos presentado en la conferencia FIST en abril de 2005 en Madrid. Se discuten los niveles de madurez de la seguridad, el análisis de riesgos, la definición de políticas de seguridad, y la importancia de la sensibilización y la tecnología en la gestión de riesgos. También se analizan conceptos como activos, vulnerabilidades, amenazas, impacto y riesgo.
El documento describe un programa de educación continua y desarrollo profesional para la industria de la seguridad privada nacional en México. El programa ofrece cursos de seguridad de la información a diferentes categorías de proveedores de seguridad privada, incluyendo guardias, operadores de equipos, caninos adiestrados, sistemas electrónicos, traslado de valores, blindajes y consultores. Los cursos incluyen niveles propedéuticos, introductorios, intermedios y avanzados sobre conceptos básicos, identificación de ataques,
Este documento trata sobre la seguridad, aseguramiento de la calidad y auditoría de los sistemas de información. Explica los componentes de la seguridad de los SI, incluyendo la gestión de la seguridad, el análisis de riesgos y los planes de contingencia. También cubre el aseguramiento de la calidad de los SI y la auditoría de los SI, incluyendo sus objetivos, elementos a revisar y metodología.
El documento presenta estrategias para maximizar la seguridad corporativa. Propone el uso de tecnología de videovigilancia como una herramienta de inteligencia competitiva para prevenir pérdidas, supervisar riesgos y lograr resultados. También describe una metodología de incorporación tecnológica gradual que incluye planes de contingencia, capacitación, evaluación de proveedores y ciclos de mejora continua.
El documento habla sobre los conceptos de seguridad privada e incluye definiciones de seguridad, las diferencias entre seguridad pública y privada, y los pasos clave para establecer un sistema de seguridad privada como determinar los valores a proteger, realizar un estudio de seguridad, establecer planes operativos, de emergencias y recuperación, e identificar y analizar los factores de riesgo.
El documento describe un análisis de riesgos y gestión de riesgos presentado en la conferencia FIST en abril de 2005 en Madrid. Se discuten los niveles de madurez de la seguridad, el análisis de riesgos, la definición de políticas de seguridad, y la importancia de la sensibilización y la tecnología en la gestión de riesgos. También se analizan conceptos como activos, vulnerabilidades, amenazas, impacto y riesgo.
El documento describe un programa de educación continua y desarrollo profesional para la industria de la seguridad privada nacional en México. El programa ofrece cursos de seguridad de la información a diferentes categorías de proveedores de seguridad privada, incluyendo guardias, operadores de equipos, caninos adiestrados, sistemas electrónicos, traslado de valores, blindajes y consultores. Los cursos incluyen niveles propedéuticos, introductorios, intermedios y avanzados sobre conceptos básicos, identificación de ataques,
Guía de seguridad proteccion perimetral…clave de la seguridad fisica miguel911
El documento habla sobre la importancia de implementar medidas de seguridad física para proteger el hogar y la oficina, como barreras estructurales, sistemas de alarma electrónicos y procedimientos de seguridad. Recomienda implementar múltiples capas de protección, incluyendo puertas y ventanas resistentes, alarmas, cámaras de video, iluminación adecuada y procedimientos para prevenir robos y otros delitos. También enfatiza la importancia de la educación sobre seguridad física.
Seguridad de edificios control de acccesososwaldo chomba
El documento describe los fundamentos de la seguridad en edificios comerciales. Explica que la protección de edificios se realiza de forma estática o con rondas interiores, y que los agentes de seguridad deben observar atentamente las zonas que protegen. También destaca la importancia de establecer zonas de seguridad, escalones de protección y planes integrales de seguridad, emergencia y evacuación. El objetivo final es prevenir, disuadir, detectar y reaccionar a riesgos, y proteger a las personas y bienes
Este documento presenta un caso práctico sobre la auditoría de sistemas de una universidad peruana. Incluye varios apartados como la presentación del caso "Poniendo en marcha las defensas" sobre las medidas que debe tomar una empresa para reducir riesgos de pérdida de información, y los casos prácticos sobre tipos de controles, estimación de riesgos y la certificación de seguridad de información de Telefónica del Perú bajo la norma ISO 27001.
Seguridad fisica simulacros en operaciones minerasoswaldo chomba
El documento describe un plan de simulacro para una unidad minera ante posibles robos, asaltos o intrusiones. Explica que los simulacros permiten evaluar la respuesta de emergencia de manera efectiva y adquirir conocimientos sobre los procedimientos organizativos. Luego detalla los objetivos, términos clave, directorio de emergencia y el plan de acción con sus distintas fases para responder a una emergencia por asalto o intrusión de manera organizada.
Evento Capital - Estrategias de seguridad para amenazas avanzadasGabriel Marcos
El documento presenta estrategias de seguridad para amenazas avanzadas. Explica que la información es el activo más valioso de una empresa y que la seguridad de la información es la gestión del riesgo, el cual no puede ser eliminado pero sí gestionado. Luego describe amenazas avanzadas como ataques persistentes y redes botnet, y los desafíos que plantean para la seguridad. Finalmente, propone un enfoque ideal basado en políticas, planes, ejecución y monitoreo constantes para gestionar el riesgo
Seguridad de Minas comportamiento preventivo en seguridad um cmboswaldo chomba
Este documento trata sobre el comportamiento preventivo en seguridad para agentes de seguridad en unidades mineras. Explica que un agente de seguridad debe mantener un estado de alerta, usar herramientas de apoyo, y seguir un plan de seguridad. También destaca la importancia de la observación y detección temprana de amenazas para que los agentes tengan más tiempo para reaccionar de manera apropiada.
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGabriel Marcos
El documento presenta una sesión sobre gestión de amenazas avanzadas para CIOs y CISOs. Explica los conceptos de amenazas avanzadas persistentes y redes botnet, y destaca las zonas de riesgo comunes como servidores críticos, servidores públicos, sucursales remotas y usuarios remotos. También describe controles de seguridad clave para estas zonas de riesgo como firewalls, IPS, antivirus y autenticación fuerte.
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.
Este documento presenta una introducción a la gestión de la seguridad informática. Explica la importancia de proteger los datos mediante medidas de seguridad lógica y física. Describe el análisis de riesgos como un proceso clave para establecer un nivel adecuado de seguridad mediante la identificación de amenazas, vulnerabilidades y posibles pérdidas. Finalmente, introduce conceptos como políticas de seguridad, modelos de seguridad y el uso de herramientas para la gestión y evaluación del riesgo.
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
El documento presenta una introducción a los conceptos de riesgo, análisis de riesgos y metodologías como NIST 800-30. Explica que el riesgo es el potencial de que una amenaza explote una vulnerabilidad y cause daño, y que el análisis de riesgos identifica amenazas, vulnerabilidades y sus impactos. También resume los pasos de la metodología NIST 800-30 como la caracterización del sistema, identificación de amenazas, análisis de vulnerabilidades, controles y determinación del riesgo.
El documento analiza la importancia de estudiar la guerra para los estados. Indica que para determinar el resultado de un conflicto bélico hay que valorar cinco factores fundamentales: la política, el clima, el terreno, el comandante y la doctrina. Mediante el análisis de estos factores, es posible predecir el resultado final de una batalla.
Este documento describe los servicios de consultoría de seguridad empresarial ofrecidos por REDsegura. Explica que las organizaciones enfrentan riesgos diarios que pueden afectar su infraestructura, personal e información. REDsegura ayuda a identificar vulnerabilidades y administrar riesgos mediante servicios como valoraciones de seguridad de red, diseño de sistemas de seguridad y definición de políticas organizacionales. El objetivo es proteger el negocio y operaciones de una organización.
Excelente presentación de Federico Pacheco, donde se dan a conocer aspecto referente a la Gestión de la Seguridad, estoy seguro sera de utilidad para muchos.
Presentación ofrecida en la jornada de charlas sobre seguridad organizada por el COPCA y Tertulia21.
Se analizan los aspectos principales de la seguridad de los sistemas, los puntos débiles más y menos conocidos y las consideraciones más básicas a tener en cuenta para incrementar la seguridad de nuestra red.
El documento describe los conceptos clave de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT), incluyendo sus funciones, tipos (académico, comercial, público, etc.), herramientas utilizadas, y etapas para la creación de un CSIRT. Además, proporciona contactos de CSIRT alrededor del mundo para colaboración.
Este documento presenta un resumen del seminario "Riesgos Emergentes" de Maricarmen García de Ureña. El seminario cubre temas como la definición de riesgos, el análisis de riesgos mediante el uso de técnicas como el análisis de corbata, y la gestión integral de riesgos siguiendo estándares internacionales. Se provee un ejemplo detallado del análisis de riesgos para ilustrar el proceso.
Este documento resume la Norma ISO 27001 sobre seguridad informática. La ISO 27001 es un estándar que protege la información de las empresas mediante la confidencialidad, integridad y disponibilidad de la información. Siguiendo las actividades del sistema de gestión de seguridad de la información, las organizaciones pueden establecer, implementar, operar, mantener y monitorear su sistema de seguridad. Esto proporciona ventajas competitivas al demostrar la seguridad de la información de los clientes y garantizar el cumplimiento de las leyes.
1) El documento presenta los requisitos del Estándar Internacional ISO/IEC 27001 para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el modelo Plan-Do-Check-Act (PDCA). 2) Describe los procesos clave de establecer, implementar, monitorear, revisar, mantener y mejorar el SGSI. 3) También incluye requisitos para la documentación, control de registros, responsabilidad de la gerencia y recursos.
Guía de seguridad proteccion perimetral…clave de la seguridad fisica miguel911
El documento habla sobre la importancia de implementar medidas de seguridad física para proteger el hogar y la oficina, como barreras estructurales, sistemas de alarma electrónicos y procedimientos de seguridad. Recomienda implementar múltiples capas de protección, incluyendo puertas y ventanas resistentes, alarmas, cámaras de video, iluminación adecuada y procedimientos para prevenir robos y otros delitos. También enfatiza la importancia de la educación sobre seguridad física.
Seguridad de edificios control de acccesososwaldo chomba
El documento describe los fundamentos de la seguridad en edificios comerciales. Explica que la protección de edificios se realiza de forma estática o con rondas interiores, y que los agentes de seguridad deben observar atentamente las zonas que protegen. También destaca la importancia de establecer zonas de seguridad, escalones de protección y planes integrales de seguridad, emergencia y evacuación. El objetivo final es prevenir, disuadir, detectar y reaccionar a riesgos, y proteger a las personas y bienes
Este documento presenta un caso práctico sobre la auditoría de sistemas de una universidad peruana. Incluye varios apartados como la presentación del caso "Poniendo en marcha las defensas" sobre las medidas que debe tomar una empresa para reducir riesgos de pérdida de información, y los casos prácticos sobre tipos de controles, estimación de riesgos y la certificación de seguridad de información de Telefónica del Perú bajo la norma ISO 27001.
Seguridad fisica simulacros en operaciones minerasoswaldo chomba
El documento describe un plan de simulacro para una unidad minera ante posibles robos, asaltos o intrusiones. Explica que los simulacros permiten evaluar la respuesta de emergencia de manera efectiva y adquirir conocimientos sobre los procedimientos organizativos. Luego detalla los objetivos, términos clave, directorio de emergencia y el plan de acción con sus distintas fases para responder a una emergencia por asalto o intrusión de manera organizada.
Evento Capital - Estrategias de seguridad para amenazas avanzadasGabriel Marcos
El documento presenta estrategias de seguridad para amenazas avanzadas. Explica que la información es el activo más valioso de una empresa y que la seguridad de la información es la gestión del riesgo, el cual no puede ser eliminado pero sí gestionado. Luego describe amenazas avanzadas como ataques persistentes y redes botnet, y los desafíos que plantean para la seguridad. Finalmente, propone un enfoque ideal basado en políticas, planes, ejecución y monitoreo constantes para gestionar el riesgo
Seguridad de Minas comportamiento preventivo en seguridad um cmboswaldo chomba
Este documento trata sobre el comportamiento preventivo en seguridad para agentes de seguridad en unidades mineras. Explica que un agente de seguridad debe mantener un estado de alerta, usar herramientas de apoyo, y seguir un plan de seguridad. También destaca la importancia de la observación y detección temprana de amenazas para que los agentes tengan más tiempo para reaccionar de manera apropiada.
Gestión de amenazas avanzadas para el CIO/CISO - SEGURINFO 2012 - BogotáGabriel Marcos
El documento presenta una sesión sobre gestión de amenazas avanzadas para CIOs y CISOs. Explica los conceptos de amenazas avanzadas persistentes y redes botnet, y destaca las zonas de riesgo comunes como servidores críticos, servidores públicos, sucursales remotas y usuarios remotos. También describe controles de seguridad clave para estas zonas de riesgo como firewalls, IPS, antivirus y autenticación fuerte.
Guía de implementación, integración de la seguridad en el ciclo de vida del s...Internet Security Auditors
Fermín Garde, responsable de Desarrollo de Negocio MM.PP. de Wincor Nixdorf, realizó una presentación sobre tres aspectos fundamentales del cumplimiento de la normativa PA DSS: la Guía de Implementación, la Integración de la Seguridad en el Ciclo de Vida del Software y el Laboratorio de Pruebas PCI Compliant.
Este documento presenta una introducción a la gestión de la seguridad informática. Explica la importancia de proteger los datos mediante medidas de seguridad lógica y física. Describe el análisis de riesgos como un proceso clave para establecer un nivel adecuado de seguridad mediante la identificación de amenazas, vulnerabilidades y posibles pérdidas. Finalmente, introduce conceptos como políticas de seguridad, modelos de seguridad y el uso de herramientas para la gestión y evaluación del riesgo.
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
El documento presenta una introducción a los conceptos de riesgo, análisis de riesgos y metodologías como NIST 800-30. Explica que el riesgo es el potencial de que una amenaza explote una vulnerabilidad y cause daño, y que el análisis de riesgos identifica amenazas, vulnerabilidades y sus impactos. También resume los pasos de la metodología NIST 800-30 como la caracterización del sistema, identificación de amenazas, análisis de vulnerabilidades, controles y determinación del riesgo.
El documento analiza la importancia de estudiar la guerra para los estados. Indica que para determinar el resultado de un conflicto bélico hay que valorar cinco factores fundamentales: la política, el clima, el terreno, el comandante y la doctrina. Mediante el análisis de estos factores, es posible predecir el resultado final de una batalla.
Este documento describe los servicios de consultoría de seguridad empresarial ofrecidos por REDsegura. Explica que las organizaciones enfrentan riesgos diarios que pueden afectar su infraestructura, personal e información. REDsegura ayuda a identificar vulnerabilidades y administrar riesgos mediante servicios como valoraciones de seguridad de red, diseño de sistemas de seguridad y definición de políticas organizacionales. El objetivo es proteger el negocio y operaciones de una organización.
Excelente presentación de Federico Pacheco, donde se dan a conocer aspecto referente a la Gestión de la Seguridad, estoy seguro sera de utilidad para muchos.
Presentación ofrecida en la jornada de charlas sobre seguridad organizada por el COPCA y Tertulia21.
Se analizan los aspectos principales de la seguridad de los sistemas, los puntos débiles más y menos conocidos y las consideraciones más básicas a tener en cuenta para incrementar la seguridad de nuestra red.
El documento describe los conceptos clave de un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT), incluyendo sus funciones, tipos (académico, comercial, público, etc.), herramientas utilizadas, y etapas para la creación de un CSIRT. Además, proporciona contactos de CSIRT alrededor del mundo para colaboración.
Este documento presenta un resumen del seminario "Riesgos Emergentes" de Maricarmen García de Ureña. El seminario cubre temas como la definición de riesgos, el análisis de riesgos mediante el uso de técnicas como el análisis de corbata, y la gestión integral de riesgos siguiendo estándares internacionales. Se provee un ejemplo detallado del análisis de riesgos para ilustrar el proceso.
Este documento resume la Norma ISO 27001 sobre seguridad informática. La ISO 27001 es un estándar que protege la información de las empresas mediante la confidencialidad, integridad y disponibilidad de la información. Siguiendo las actividades del sistema de gestión de seguridad de la información, las organizaciones pueden establecer, implementar, operar, mantener y monitorear su sistema de seguridad. Esto proporciona ventajas competitivas al demostrar la seguridad de la información de los clientes y garantizar el cumplimiento de las leyes.
1) El documento presenta los requisitos del Estándar Internacional ISO/IEC 27001 para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el modelo Plan-Do-Check-Act (PDCA). 2) Describe los procesos clave de establecer, implementar, monitorear, revisar, mantener y mejorar el SGSI. 3) También incluye requisitos para la documentación, control de registros, responsabilidad de la gerencia y recursos.
Este documento proporciona información sobre ISO 27001-2012, un sistema de gestión de seguridad de la información (SGSI). Detalla lo que es un SGSI, cómo implantar uno basado en ISO 27001, los beneficios de la certificación ISO 27001, y una propuesta de proyecto para 2012. También presenta a EuroHelp y sus actividades relacionadas con la seguridad de la información y el desarrollo de software.
Conoce cuáles son los factores del ciclo que se deben cumplir para contar con un Sistemas de Gestión de Seguridad de la Información (SGSI) eficiente en la empresa.
Este documento proporciona información sobre la norma ISO/IEC 27001, que establece los requisitos para un sistema de gestión de seguridad de la información. Se explica brevemente el origen y evolución de esta norma y las normas relacionadas de la serie ISO 27000. También resume los principales cambios introducidos en la versión de 2013 de la norma ISO 27001.
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt
Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS
Este documento trata sobre la seguridad, aseguramiento de calidad y auditoría de los sistemas de información. Explica conceptos como la seguridad de los SI, la gestión de la seguridad, el aseguramiento de calidad y la auditoría. Detalla los elementos que componen cada uno de estos temas y las técnicas utilizadas para la auditoría de los SI.
Gestión de la seguridad con Software Libre. Repaso a las diferentes soluciones disponibles en el mundo Open Source para gestionar la seguridad informática. Toni de la Fuente.
El documento presenta una introducción al estándar ISO 17799 para la seguridad de la información, describiendo 10 aspectos clave como políticas de seguridad, clasificación de activos, personal de seguridad, seguridad física, administración de operaciones, control de acceso, desarrollo y mantenimiento de sistemas, contingencia, cumplimiento y control e información. Explica cada uno de estos aspectos y los controles asociados.
Este documento presenta información sobre la interpretación y auditoría de la norma ISO/IEC 27001:2005 de sistemas de gestión de seguridad de la información. Incluye definiciones clave, el proceso de auditoría, y detalles sobre la estructura y requisitos de la norma ISO 27001.
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Ricardo Cañizares Sales
Ponencia de Eulen Seguridad en el La 6ª Edición del Seminario Internacional de Seguridad Integral y Gestión de Riesgos en Ferrocarriles Metropolitanos se ha celebrado en la ciudad de Cartagena de Indias (Colombia) del 20 al 23 de abril, y ha sido organizado por ALAMYS en colaboración con la Fundación Mapfre.
Este documento presenta una introducción a los estándares de seguridad informática y la norma ISO/IEC 27001. Explica brevemente las estadísticas sobre incidentes de seguridad, herramientas y responsabilidades comunes. Luego, describe los componentes clave de ISO/IEC 27001, incluida su estructura, enfoque basado en riesgos, requisitos de documentación y roles de la gerencia. El objetivo final es ayudar a las organizaciones a comprender mejor cómo implementar un sistema de gestión de seguridad de la información efectivo
Esta charla la preparé para el Segurinfo 2011 que se realizó en Perú, esta charla trata de identificar aquellos temas que deben estar dentro de las prioridades de un oficial de seguridad de la información, de tal manera que la organización trabaje de manera segura, pero sin perder la capacidad de hacer negocios, y dentro de ese día a día, surgen una serie de consideraciones, que hacen que esta labor, no sea nada facil...
El documento describe la convergencia de la seguridad y la propuesta de Eulen Seguridad para abordarla de forma integral. Los factores como la convergencia tecnológica y de amenazas están impulsando la integración de funciones de seguridad física, de la información, reputacional y de continuidad del negocio. Eulen Seguridad ofrece estas soluciones integrales aprovechando su experiencia de 46 años y su nueva unidad de seguridad de la información.
El documento describe la convergencia de la seguridad y la propuesta de Eulen Seguridad para abordarla de forma integral. Los factores como la convergencia tecnológica y de amenazas están impulsando la integración de funciones de seguridad física, de la información, medioambiental y de continuidad del negocio. Eulen Seguridad ofrece estas soluciones integrales a través de servicios como vigilancia, sistemas de seguridad, consultoría de seguridad de la información y auditorías.
1) El documento habla sobre la seguridad de la información y compara la norma ISO 17799 con el Sistema de Gestión de Seguridad de la Información ISO 27001. 2) Explica las etapas de un proyecto de seguridad incluyendo el análisis de riesgos, determinación de brechas y plan de implementación. 3) Los 11 dominios de la ISO 17799 incluyen control de accesos, gestión de activos, política de seguridad y gestión de incidentes.
Rt impacto panama [modo de compatibilidad]Saeta de Dios
El documento presenta una introducción al riesgo tecnológico y su impacto en el negocio. Explica que el riesgo de TI debe ser gestionado como parte integral del riesgo corporativo para garantizar la continuidad del negocio. También describe el proceso de autoevaluación para medir la efectividad de los controles internos de TI y asegurar el cumplimiento de los objetivos empresariales.
Este documento describe la convergencia de la seguridad hacia un enfoque integral y propone que Eulen Seguridad ofrezca una amplia gama de servicios de seguridad que incluyen seguridad física, de la información, reputacional y de continuidad del negocio. Argumenta que el modelo tradicional de seguridad está superado y que la integración de funciones de seguridad es crucial para lograr la calidad y competitividad.
Este documento describe la convergencia de la seguridad hacia un enfoque integral y la propuesta de Eulen Seguridad para brindar servicios de seguridad integral. Actualmente, las organizaciones enfrentan múltiples riesgos de seguridad que van más allá de la seguridad física tradicional. La convergencia tecnológica y de proveedores requiere una integración de funciones de seguridad. Eulen Seguridad ofrece servicios que abarcan la seguridad física, reputacional, de la información y la continuidad del
La norma NTC-ISO/IEC 27001 establece los requisitos para implementar un sistema de gestión de seguridad de la información. Describe 11 dominios de seguridad que cubren aspectos como políticas de seguridad, gestión de activos, seguridad física, control de acceso, gestión de incidentes y continuidad del negocio. La norma también especifica los requisitos para la certificación de un sistema de gestión de seguridad de la información que cumpla con los controles definidos.
El documento habla sobre la importancia de la normalización de la seguridad del sistema de información y los requisitos legales de protección de datos. Explica conceptos como los sistemas de gestión de seguridad de la información, la documentación de planes de seguridad, la continuidad del negocio, las relaciones con terceros, los recursos humanos, y el control empresarial en la era digital.
El documento describe cómo RSA puede ayudar con la transformación digital al abordar los riesgos digitales asociados. Explica que la transformación digital aumenta los riesgos cibernéticos como ataques más sofisticados y una mayor superficie de ataque. RSA ofrece una variedad de soluciones de seguridad como RSA Archer, RSA NetWitness y RSA Fraud and Risk Intelligence Suite para gestionar estos riesgos de manera integral.
El documento describe los pasos para realizar un análisis de riesgos de seguridad de la información. Estos incluyen 1) identificar los activos, 2) valorar los activos, 3) identificar las amenazas, 4) determinar el impacto de las amenazas en los activos, 5) calcular el riesgo, 6) establecer salvaguardas y 7) reevaluar el impacto y riesgo residual. El objetivo es proteger los activos mediante la reducción del riesgo.
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
Este documento describe los elementos clave de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con las normas ISO 27001 e ISO 27002. Explica que un SGSI ayuda a proteger la confidencialidad, integridad y disponibilidad de la información. A continuación, detalla las siete tareas principales para definir e implementar un SGSI, incluyendo el desarrollo de una política de seguridad, un inventario de activos, un análisis de riesgos, documentación, capacitación e implementación, y auditorías internas
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
Este documento presenta un proyecto para definir un sistema de gestión de la seguridad de la información (SGSI) de acuerdo con la norma ISO 27001. Explica que un SGSI protege la confidencialidad, integridad y disponibilidad de la información. Describe las normas aplicables como ISO 27001 e ISO 27002 y la estructura de un SGSI. Detalla los elementos clave de un SGSI como el inventario de activos, gestión de riesgos, análisis de riesgos y actividades del proyecto como definición del alcance,
Similar a La seguridad alineada con necesidades de negocio (20)
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
La seguridad alineada con necesidades de negocio
1. GESTIÓN DE LA SEGURIDAD
ORIENTADA A NEGOCIO
Javier Cao Avellaneda
Ingeniero en Informática
Director técnico del Área de Seguridad de la Información
javier.cao@firma-e.com
2. Presentación: ¿Quiénes somos Firma-e?
Seguridad de la Protección de Datos
Información Personales
Expediente
Factura y Firma
Electrónico y Gestión
Electrónica
Documental Segura
3. Agenda
• Análisis del entorno.
• Cómo enfocar la seguridad.
• La gestión de la seguridad.
4. ¿Qué está pasando?
Estamos en el Siglo XXI, la era de la
información digital.
5. Nuevos modelos TI: Virtualización y Cloud
Datos Datos
Soft Soft
Soft-Hard
1.- Nuevos entornos = nuevos riesgos.
Hard CPD
2.- Complejidad en aumento.
CPD
7. Escenarios de riesgo TI
• En este nuevo marco hay diferentes tipologías de
riesgos:
– Riesgos propios: Controlados por la Organización.
– Riesgos transferidos: Delegados en subcontratas.
– Riesgos indirectos: Los ocasionados por la delegación
que hacen de nuestros riesgos las subcontratas en otros
terceros.
– Riesgos invisibles: Ocasionados por situaciones que
aparentemente no nos tendrían que afectar pero que
generan incidentes.
8. ¿Quiénes son los enemigos?
ENEMIGO 1:
• EL FAMOSO "ERROR INFORMÁTICO"
ENEMIGO 2:
• FRAUDE CON ÁNIMO DE LUCRO
(desde DENTRO o desde FUERA)
ENEMIGO 3:
• FALTA DE RECURSOS o MANTENIMIENTO TI
Y DESCONOCIMIENTO LEGISLACIÓN TI.
10. ¿Por dónde entran?
DOMINIOS CON PROBLEMAS DIFERENTES:
Dominio de cliente final (end point o medio de acceso)
• Usb y medios de almacenamiento portatiles.
• Usuarios remotos.
• Tablets, portátiles y equipos PC.
• Y una nueva moda BYOD, Bring you own device.
Protección perimetral y frontend.
• Firewalls y equipos de protección perimetral.
• Elementos de red e infraestructura.
• Servidores de correo.
Backend. (Donde están los datos y el valor.)
• Servidores de BB.DD. y aplicaciones.
• Servidores de directorio.
12. ¿Por qué entran?
Proporcionalidad defensa-ataque
Hace unos años la vigilancia pasiva Ahora se habla de labores de
era viable. “inteligencia de red” y SIEM.
13. Agenda
• Análisis del entorno.
• Cómo enfocar la seguridad.
• La gestión de la seguridad.
15. Seguridad de la información: A C I D
FLUJO NORMAL
DISPONIBILIDAD CONFIDENCIALIDAD
INTERRUPCIÓN INTERCEPTACIÓN
MODIFICACIÓN SUPLANTACIÓN
INTEGRIDAD AUTENTICACIÓN
16. Elementos de la seguridad de la información
Medidas de seguridad
Salvaguardas
Amenazas
Incendio
Corte Eléctrico
Fallecimiento empleado
ACTIVO
Virus
Avería
hardware Impacto
Vulnerabilidades
19. Gestión del riesgo
• Airbag
REDUCIR • Alarma anti robo
• Revisiones periódicas
EVITAR ACEPTAR
• No tener • No hacer nada
• Contratar seguro
TRANSFERIR “a todo riesgo”
20. ¿Qué se puede hacer? Estrategia del control
RIESGO
Prevención
Detección INCIDENTE
Represión
DAÑOS
Corrección
RECUPERACIÓN
Recuperación
21. Gestión del riesgo
ANÁLISIS DEL RIESGO
TRATAMIENTO DEL RIESGO
ACEPTAR REDUCIR EVITAR TRASFERIR
¿ACEPTABLE
POR DIRECCIÓN?
ACEPTACIÓN DEL RIESGO
22. Gestión del riesgo.
Costo del
impacto si Costo de las
se produce medidas de
un incidente seguridad
23. ¿Qué seguridad debemos buscar?
¿Inestable? ¿Estable?
Nunca ha pasado nada pero sabríamos
reacciona y resistir.
¡ RESILIENCIA !
Nunca ha pasado nada pero no sabríamos
cómo nos afectaría.
24. Agenda
• Análisis del entorno.
• Cómo enfocar la seguridad.
• La gestión de la seguridad.
25. Servicios de FIRMA-E: Diseño de la seguridad
OBJETIVO 1: Construir el modelo de seguridad.
OBJETIVO 2: Obtener diagnóstico de riesgos.
Actividades:
1. Identificar procesos de negocio y dependencias.
2. Valorar la información según negocio.
3. Análisis holístico de amenazas.
4. Cálculo de riesgo potencial.
5. Decidir el criterio de aceptación de riesgo.
RESULTADOS: Toma de decisiones de seguridad
26. Marco de normas ISO 27000
• ISO 27001: Especificación para la
construcción de un SGSI.
– Especifica los REQUISITOS para ESTABLECER, IMPLANTAR,
DOCUMENTAR y EVALUAR un SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN de acuerdo con la Norma
ISO /IEC 27002 dentro del CONTEXTO de los RIESGOS
identificados por la ORGANIZACIÓN.
• ISO 27002: Buenas prácticas para la gestión
de la seguridad.
– Define los objetivos de control (finalidades) y controles de
seguridad (contramedidas) a utilizar para reducir y/o mitigar
riesgos.
– Define 11 bloques de control, 39 objetivos y 133 controles.
27. Elementos del SGSI
SGSI ESPECIFICACIÓN ISO 27001
ISO 27001:2005
Procedimientos Documentos
SGSI SGSI Auditorias R
P D A
Registros
SGSI
CONTROLES ISO 27002
ISO 27002:2005
Procedimientos
Procesos Medidas
seguridad
P D M R
Registros
seguridad
ACTIVOS
28. Planificar-Hacer-Verificar-Revisar
- Definir la Política de Seguridad
- Ejecutar el plan de
- Establecer el alcance del SGSI gestión de riesgos
- Realizar el análisis de riesgos - Implantar el SGSI
- Seleccionar los controles - Implantar los controles
- Adoptar acciones correctivas - Revisar internamente el SGSI
- Adoptar acciones preventivas - Realizar auditorias del SGSI
29. Objetivos de seguridad de la Organización
• Las necesidades quedan determinadas por tres
aspectos:
Propios del modelo Análisis de
de negocio riesgos
Cumplimiento
legal
29
30. Objetivos de operación del SGSI
• OBJ-S1: Garantizar 99,671% de disponibilidad de
servicios críticos.
• OBJ-S2: Nº Intentos acceso no autorizados no
superen el 5% accesos totales.
• OBJ-S3: Tiempo medio de respuesta para incidencias
de seguridad < 4 horas.
• OBJ-S4: 95% de éxito en ejecución de copias de
seguridad y sus pruebas.
31. Basada en objetivos y evidencias, no creencias.
OS-1 OS-2 OS-3 OS-4 OS-5 … OG-1 OG-2 OG-3
Axioma de la inseguridad:
IND1 IND2 IND3 IND4 IND5 IND10 IND11 IND12
“La mayoría de la gente asumirá que todo es
seguro hasta que se les muestren evidencias
significativas de lo contrario, lo inverso de lo
que sugiere una aproximación razonable”.
32. Madurez del SGSI
Madurez
Nivel 5
Nivel 4 Optimizado
Nivel 3 Definido y gestionado
SGSI
Nivel 2 Definido y documentado
Nivel 1 Implantado pero no supervisado
Nivel 0
Iniciado
5
No existe control 4
3
2
1
0
32
Tiempo
33. Documentación para certificación ISO 27001:2005
• Documentación del SGSI:
D– Política de seguridad
D– Objetivos del SGSI.
D
– Descripción del alcance del SGSI.
D
– Metodología utilizada para la realización del análisis y gestión
D del riesgo.
D– Informe de análisis de riesgo
D– Plan de tratamiento del riesgo.
D– Declaración de aplicabilidad
• Procedimientos generales del SGSI:
P
– Control de la documentación y registros
P
– Procedimiento de auditoría
P
– Procedimiento de gestión de la mejora continua.
P
– Procedimiento de revisión por la Dirección.
34. Beneficios de un SGSI
• Conocimiento de riesgos
• Calidad en seguridad= Confianza
• Cumplimiento legal
• Competitividad en el mercado
36. Siempre seguridad basada en riesgo.
El ENS establece un conjunto suficiente de
garantías si:
– Se implanta ANTES de poner en marcha las sedes
electrónicas.
– Se audita su correcto funcionamiento por personal
cualificado.
– Se diferencia