El documento describe los 14 dominios y 114 controles de seguridad contenidos en la norma ISO/IEC 27002:2013 para la gestión de la seguridad de la información. Entre los dominios se incluyen políticas de seguridad, organización de la seguridad, seguridad de los recursos humanos, gestión de activos, control de accesos, cifrado, seguridad física y ambiental, seguridad en las operaciones, seguridad en las comunicaciones, y adquisición y desarrollo de sistemas. La norma proporciona objetivos y cont
Este documento resume los conceptos clave de la norma ISO 27001 sobre sistemas de gestión de seguridad de la información. Explica que ISO es una organización internacional que establece estándares, incluyendo más de 17,000. La familia de normas ISO 27000 incluye requisitos, códigos de práctica y guías relacionadas con la seguridad de la información. La norma ISO 27001 especifica los requisitos de un sistema de gestión de seguridad que se basa en la evaluación de riesgos y la protección de activos crí
Este documento presenta una introducción a las normas ISO 27001 e ISO 27002. Explica las diferencias entre ambas normas, con ISO 27001 enfocada en los requisitos de un sistema de gestión de seguridad de la información certificable y ISO 27002 proporcionando recomendaciones sobre controles de seguridad. También cubre los dominios de ISO 27001 y cómo implementar un sistema de gestión de seguridad de la información siguiendo el ciclo de mejora continua Plan-Do-Check-Act.
El documento lista las normas de la familia ISO/IEC 27000, incluyendo el año de publicación y breves descripciones del objetivo de cada norma. Se actualiza periódicamente para incluir normas nuevas y revisiones. Cubre normas relacionadas con gestión de seguridad de la información, seguridad de redes, seguridad en aplicaciones, y más.
Este documento proporciona una introducción general a la norma ISO/IEC 27001 y compara las versiones de 2005 y 2013. Resume los principales cambios entre las versiones, incluidos nuevos dominios de seguridad, más requisitos de gestión y controles actualizados. También explica brevemente el propósito de un sistema de gestión de seguridad de la información certificado conforme a ISO/IEC 27001.
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Este documento compara COBIT 5 y NTC-ISO 27001 en términos de su origen, objetivos, responsabilidad, tipo de elemento, alcance, estructura, diseño, cobertura e integración. COBIT 5 se originó en el Reino Unido y se enfoca en desarrollar políticas y buenas prácticas de TI, mientras que NTC-ISO 27001 se originó en Colombia y se enfoca en la gestión de seguridad de la información. Ambos buscan establecer responsabilidades claras para jefes de tecnología y
La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en once dominios de control que cubren todos los aspectos relacionados con la seguridad de la información. Adoptar la norma ISO 17799 ofrece varias ventajas como una mejor planificación de la seguridad y garantías de continuidad del negocio, aunque no garantiza la inmunidad contra problemas de seguridad. Se requiere realizar análisis periódicos de riesgos y monitorear continuamente la situ
Este documento resume los conceptos clave de la norma ISO 27001 sobre sistemas de gestión de seguridad de la información. Explica que ISO es una organización internacional que establece estándares, incluyendo más de 17,000. La familia de normas ISO 27000 incluye requisitos, códigos de práctica y guías relacionadas con la seguridad de la información. La norma ISO 27001 especifica los requisitos de un sistema de gestión de seguridad que se basa en la evaluación de riesgos y la protección de activos crí
Este documento presenta una introducción a las normas ISO 27001 e ISO 27002. Explica las diferencias entre ambas normas, con ISO 27001 enfocada en los requisitos de un sistema de gestión de seguridad de la información certificable y ISO 27002 proporcionando recomendaciones sobre controles de seguridad. También cubre los dominios de ISO 27001 y cómo implementar un sistema de gestión de seguridad de la información siguiendo el ciclo de mejora continua Plan-Do-Check-Act.
El documento lista las normas de la familia ISO/IEC 27000, incluyendo el año de publicación y breves descripciones del objetivo de cada norma. Se actualiza periódicamente para incluir normas nuevas y revisiones. Cubre normas relacionadas con gestión de seguridad de la información, seguridad de redes, seguridad en aplicaciones, y más.
Este documento proporciona una introducción general a la norma ISO/IEC 27001 y compara las versiones de 2005 y 2013. Resume los principales cambios entre las versiones, incluidos nuevos dominios de seguridad, más requisitos de gestión y controles actualizados. También explica brevemente el propósito de un sistema de gestión de seguridad de la información certificado conforme a ISO/IEC 27001.
SEGURIDAD Y AUDITORIA INFORMÁTICA, ISO 17799
¿Qué es la norma ISO 17799?
Ventajas de la adopción de la norma ISO 17799
Orientación de la norma ISO 17799?
Conclusiones
Seguridad informática
Objetivos de la Seguridad Informáticadde
Este documento compara COBIT 5 y NTC-ISO 27001 en términos de su origen, objetivos, responsabilidad, tipo de elemento, alcance, estructura, diseño, cobertura e integración. COBIT 5 se originó en el Reino Unido y se enfoca en desarrollar políticas y buenas prácticas de TI, mientras que NTC-ISO 27001 se originó en Colombia y se enfoca en la gestión de seguridad de la información. Ambos buscan establecer responsabilidades claras para jefes de tecnología y
La norma ISO 17799 proporciona recomendaciones para la gestión de la seguridad de la información en una organización. Se estructura en once dominios de control que cubren todos los aspectos relacionados con la seguridad de la información. Adoptar la norma ISO 17799 ofrece varias ventajas como una mejor planificación de la seguridad y garantías de continuidad del negocio, aunque no garantiza la inmunidad contra problemas de seguridad. Se requiere realizar análisis periódicos de riesgos y monitorear continuamente la situ
Este documento describe la familia de estándares ISO 27000, que proporciona un marco para la gestión de la seguridad de la información. Explica varios estándares clave como ISO 27001, que contiene los requisitos para un sistema de gestión de seguridad de la información, ISO 27002, que provee directrices de buenas prácticas, e ISO 27005 que establece directrices para la gestión de riesgos en la seguridad de la información. Además, cubre otros estándares relacionados con la medición, certificación y sect
El documento define los conceptos generales de un informe de auditoría. En 3 oraciones o menos, el resumen es: El informe de auditoría comunica los objetivos, alcance, resultados, conclusiones y recomendaciones de la auditoría de manera objetiva, clara y oportuna. Incluye una comparación de la evidencia encontrada contra los criterios de auditoría y provee una base para mejorar procesos y cumplir objetivos.
Este documento describe la norma ISO 27000, que establece los requisitos para un sistema de gestión de seguridad de la información. Explica que la ISO 27000 proporciona un marco de gestión de seguridad de la información y que su objetivo es garantizar la selección de controles de seguridad adecuados. También resume brevemente varias normas relacionadas como la ISO 27001, ISO 27002, e ISO 27003.
La norma ISO 27001 describe cómo gestionar la seguridad de la información en una empresa. Fue publicada por primera vez en 2005 y actualizada en 2013. Establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en la evaluación y tratamiento de riesgos, así como en el ciclo PDCA de mejora continua.
El documento habla sobre la Norma ISO 27001 sobre la seguridad de la información. Explica que un Sistema de Gestión de Seguridad de la Información (SGSI) sigue los estándares como ISO 27001 para proteger la confidencialidad, integridad y disponibilidad de la información. Los beneficios de ISO 27001 incluyen establecer una metodología clara de gestión de riesgos, reducir pérdidas de información, garantizar el cumplimiento de leyes y dar confianza a los usuarios y empleados.
ISO 27001 es una norma internacional que describe cómo gestionar la seguridad de la información en una empresa mediante la protección de la confidencialidad, integridad y disponibilidad de la información. Se basa en la gestión de riesgos identificando y tratando sistemáticamente los potenciales problemas que podrían afectar la información. Ayuda a proteger los activos de información y otorga confianza a los clientes a través de la selección de controles de seguridad adecuados y la adopción de un enfoque por procesos para
El documento presenta tres procedimientos relacionados con el control de acceso en sistemas de información. El primero describe el monitoreo de derechos de acceso por usuario, el segundo trata sobre el monitoreo de asignación de privilegios por un auditor externo, y el tercero cubre el monitoreo de asignación de privilegios por el jefe de sistemas a los usuarios. Cada procedimiento detalla los objetivos, alcance, responsabilidades, documentos relacionados y definiciones.
La norma ISO/IEC 27005 trata sobre la gestión de riesgos en seguridad de la información. Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información para apoyar el proceso de gestión de riesgos definido en la norma ISO/IEC 27001. La norma es aplicable a cualquier organización que desee gestionar los riesgos que puedan afectar la seguridad de la información.
El documento proporciona información sobre los sistemas de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2013. Explica que la información constituye un activo importante para las organizaciones y que la norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información eficaz que proteja la confidencialidad, integridad y disponibilidad de la información.
Este documento presenta una introducción a los controles mínimos de seguridad de la información requeridos según la norma ISO 27002:2022. Explica que la norma fue actualizada en febrero de 2022 y establece 93 controles agrupados en cuatro categorías. También resume los principales cambios respecto a la versión anterior de 2013, incluyendo una nueva estructura de atributos para cada control y conceptos ampliados de ciberseguridad y protección de datos.
Este documento describe varios tipos de riesgos informáticos a los que están expuestas las organizaciones. Identifica seis categorías principales de riesgos: de integridad, relación, acceso, utilidad, infraestructura y seguridad general. Dentro de cada categoría, se enumeran diversos riesgos específicos relacionados con la autorización, procesamiento y confidencialidad de la información, así como con la estructura tecnológica y seguridad física de los sistemas.
Esta presentación se realizo en e Congreso Nacional de Ingeniería Informática en Chimbote. El cual describe como se genera el portafolio de proyectos de seguridad informática mediante una evaluación costo beneficio.
Este documento proporciona una guía sobre la implementación de la norma ISO 27001. Explica los beneficios de la certificación, que incluyen ventajas comerciales, operacionales y tranquilidad. También describe los principios básicos de la gestión de la seguridad de la información, como los tipos de riesgos, activos, incidentes y amenazas. Además, introduce el ciclo PHVA utilizado para la mejora continua del sistema de gestión de seguridad de la información de acuerdo con ISO 27001.
Este documento trata sobre la seguridad física y lógica. Explica que la seguridad física implica proteger el equipo de amenazas externas como acceso no autorizado, desastres naturales o alteraciones ambientales. La seguridad lógica se refiere a la configuración del sistema para evitar el acceso no autorizado a recursos y datos. Luego, detalla medidas como control de acceso, copias de seguridad y cifrado para proteger la información a nivel físico y lógico.
Este documento presenta una lista de códigos y nombres de controles de seguridad de la información de acuerdo con la norma ISO 27002. Los códigos están organizados en 15 dominios objetivos relacionados con la gestión de la seguridad de la información como política de seguridad, organización de la seguridad, gestión de activos, seguridad ligada al personal, seguridad física y del entorno, gestión de comunicaciones y operaciones, control de acceso, adquisición y mantenimiento de sistemas, gestión de incidentes, administración de la
La ISO 27002 proporciona una guía de buenas prácticas para la seguridad de la información. Describe 14 dominios y objetivos de control que las organizaciones deberían implementar para proteger sus activos e información. Siguiendo esta norma, las organizaciones pueden mejorar la conciencia y control de seguridad, identificar vulnerabilidades, reducir riesgos legales y de costos, y ganar una ventaja competitiva.
Este documento presenta los dominios, objetivos de control y controles de seguridad de la información descritos en la norma ISO/IEC 27002:2005. Describe 14 dominios de seguridad que incluyen política de seguridad, aspectos organizativos, gestión de activos, seguridad física, gestión de operaciones, control de acceso, adquisición de sistemas, gestión de incidentes, continuidad del negocio y cumplimiento. Para cada dominio, se especifican los objetivos de control y controles de seguridad relevantes.
La seguridad lógica y confidencialidad implica proteger la información contra el robo, destrucción, copia o difusión no autorizados mediante criptografía, firma digital, administración de seguridad y limitación de accesos. Esto ayuda a prevenir pérdidas a través de robos, fraudes, sabotajes u otras consecuencias negativas al garantizar la integridad, confidencialidad y disponibilidad de la información. Una auditoría puede detectar violaciones a la seguridad como paquetes copiados, virus u otros incidentes
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
El documento describe los 14 dominios, 35 objetivos de control y 114 controles definidos en la norma ISO/IEC 27002 para la gestión de la seguridad de la información. Cubre temas como políticas de seguridad, aspectos organizativos, seguridad ligada a los recursos humanos, gestión de activos, control de accesos, cifrado, seguridad física y ambiental, seguridad en la operativa, telecomunicaciones, adquisición de sistemas de información, relaciones con proveedores y gestión de incidentes.
El documento describe los 14 dominios, 35 objetivos de control y 114 controles de la norma ISO/IEC 27002:2013 para la gestión de la seguridad de la información. Cubre temas como políticas de seguridad, recursos humanos, gestión de activos, control de accesos, seguridad física y operativa, telecomunicaciones, adquisición de sistemas, relaciones con proveedores y gestión de incidentes.
Este documento describe la familia de estándares ISO 27000, que proporciona un marco para la gestión de la seguridad de la información. Explica varios estándares clave como ISO 27001, que contiene los requisitos para un sistema de gestión de seguridad de la información, ISO 27002, que provee directrices de buenas prácticas, e ISO 27005 que establece directrices para la gestión de riesgos en la seguridad de la información. Además, cubre otros estándares relacionados con la medición, certificación y sect
El documento define los conceptos generales de un informe de auditoría. En 3 oraciones o menos, el resumen es: El informe de auditoría comunica los objetivos, alcance, resultados, conclusiones y recomendaciones de la auditoría de manera objetiva, clara y oportuna. Incluye una comparación de la evidencia encontrada contra los criterios de auditoría y provee una base para mejorar procesos y cumplir objetivos.
Este documento describe la norma ISO 27000, que establece los requisitos para un sistema de gestión de seguridad de la información. Explica que la ISO 27000 proporciona un marco de gestión de seguridad de la información y que su objetivo es garantizar la selección de controles de seguridad adecuados. También resume brevemente varias normas relacionadas como la ISO 27001, ISO 27002, e ISO 27003.
La norma ISO 27001 describe cómo gestionar la seguridad de la información en una empresa. Fue publicada por primera vez en 2005 y actualizada en 2013. Establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en la evaluación y tratamiento de riesgos, así como en el ciclo PDCA de mejora continua.
El documento habla sobre la Norma ISO 27001 sobre la seguridad de la información. Explica que un Sistema de Gestión de Seguridad de la Información (SGSI) sigue los estándares como ISO 27001 para proteger la confidencialidad, integridad y disponibilidad de la información. Los beneficios de ISO 27001 incluyen establecer una metodología clara de gestión de riesgos, reducir pérdidas de información, garantizar el cumplimiento de leyes y dar confianza a los usuarios y empleados.
ISO 27001 es una norma internacional que describe cómo gestionar la seguridad de la información en una empresa mediante la protección de la confidencialidad, integridad y disponibilidad de la información. Se basa en la gestión de riesgos identificando y tratando sistemáticamente los potenciales problemas que podrían afectar la información. Ayuda a proteger los activos de información y otorga confianza a los clientes a través de la selección de controles de seguridad adecuados y la adopción de un enfoque por procesos para
El documento presenta tres procedimientos relacionados con el control de acceso en sistemas de información. El primero describe el monitoreo de derechos de acceso por usuario, el segundo trata sobre el monitoreo de asignación de privilegios por un auditor externo, y el tercero cubre el monitoreo de asignación de privilegios por el jefe de sistemas a los usuarios. Cada procedimiento detalla los objetivos, alcance, responsabilidades, documentos relacionados y definiciones.
La norma ISO/IEC 27005 trata sobre la gestión de riesgos en seguridad de la información. Proporciona recomendaciones y lineamientos de métodos y técnicas de evaluación de riesgos de Seguridad en la Información para apoyar el proceso de gestión de riesgos definido en la norma ISO/IEC 27001. La norma es aplicable a cualquier organización que desee gestionar los riesgos que puedan afectar la seguridad de la información.
El documento proporciona información sobre los sistemas de gestión de seguridad de la información de acuerdo con la norma ISO 27001:2013. Explica que la información constituye un activo importante para las organizaciones y que la norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información eficaz que proteja la confidencialidad, integridad y disponibilidad de la información.
Este documento presenta una introducción a los controles mínimos de seguridad de la información requeridos según la norma ISO 27002:2022. Explica que la norma fue actualizada en febrero de 2022 y establece 93 controles agrupados en cuatro categorías. También resume los principales cambios respecto a la versión anterior de 2013, incluyendo una nueva estructura de atributos para cada control y conceptos ampliados de ciberseguridad y protección de datos.
Este documento describe varios tipos de riesgos informáticos a los que están expuestas las organizaciones. Identifica seis categorías principales de riesgos: de integridad, relación, acceso, utilidad, infraestructura y seguridad general. Dentro de cada categoría, se enumeran diversos riesgos específicos relacionados con la autorización, procesamiento y confidencialidad de la información, así como con la estructura tecnológica y seguridad física de los sistemas.
Esta presentación se realizo en e Congreso Nacional de Ingeniería Informática en Chimbote. El cual describe como se genera el portafolio de proyectos de seguridad informática mediante una evaluación costo beneficio.
Este documento proporciona una guía sobre la implementación de la norma ISO 27001. Explica los beneficios de la certificación, que incluyen ventajas comerciales, operacionales y tranquilidad. También describe los principios básicos de la gestión de la seguridad de la información, como los tipos de riesgos, activos, incidentes y amenazas. Además, introduce el ciclo PHVA utilizado para la mejora continua del sistema de gestión de seguridad de la información de acuerdo con ISO 27001.
Este documento trata sobre la seguridad física y lógica. Explica que la seguridad física implica proteger el equipo de amenazas externas como acceso no autorizado, desastres naturales o alteraciones ambientales. La seguridad lógica se refiere a la configuración del sistema para evitar el acceso no autorizado a recursos y datos. Luego, detalla medidas como control de acceso, copias de seguridad y cifrado para proteger la información a nivel físico y lógico.
Este documento presenta una lista de códigos y nombres de controles de seguridad de la información de acuerdo con la norma ISO 27002. Los códigos están organizados en 15 dominios objetivos relacionados con la gestión de la seguridad de la información como política de seguridad, organización de la seguridad, gestión de activos, seguridad ligada al personal, seguridad física y del entorno, gestión de comunicaciones y operaciones, control de acceso, adquisición y mantenimiento de sistemas, gestión de incidentes, administración de la
La ISO 27002 proporciona una guía de buenas prácticas para la seguridad de la información. Describe 14 dominios y objetivos de control que las organizaciones deberían implementar para proteger sus activos e información. Siguiendo esta norma, las organizaciones pueden mejorar la conciencia y control de seguridad, identificar vulnerabilidades, reducir riesgos legales y de costos, y ganar una ventaja competitiva.
Este documento presenta los dominios, objetivos de control y controles de seguridad de la información descritos en la norma ISO/IEC 27002:2005. Describe 14 dominios de seguridad que incluyen política de seguridad, aspectos organizativos, gestión de activos, seguridad física, gestión de operaciones, control de acceso, adquisición de sistemas, gestión de incidentes, continuidad del negocio y cumplimiento. Para cada dominio, se especifican los objetivos de control y controles de seguridad relevantes.
La seguridad lógica y confidencialidad implica proteger la información contra el robo, destrucción, copia o difusión no autorizados mediante criptografía, firma digital, administración de seguridad y limitación de accesos. Esto ayuda a prevenir pérdidas a través de robos, fraudes, sabotajes u otras consecuencias negativas al garantizar la integridad, confidencialidad y disponibilidad de la información. Una auditoría puede detectar violaciones a la seguridad como paquetes copiados, virus u otros incidentes
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
El documento describe los 14 dominios, 35 objetivos de control y 114 controles definidos en la norma ISO/IEC 27002 para la gestión de la seguridad de la información. Cubre temas como políticas de seguridad, aspectos organizativos, seguridad ligada a los recursos humanos, gestión de activos, control de accesos, cifrado, seguridad física y ambiental, seguridad en la operativa, telecomunicaciones, adquisición de sistemas de información, relaciones con proveedores y gestión de incidentes.
El documento describe los 14 dominios, 35 objetivos de control y 114 controles de la norma ISO/IEC 27002:2013 para la gestión de la seguridad de la información. Cubre temas como políticas de seguridad, recursos humanos, gestión de activos, control de accesos, seguridad física y operativa, telecomunicaciones, adquisición de sistemas, relaciones con proveedores y gestión de incidentes.
El documento describe los 14 dominios, 35 objetivos de control y 114 controles de la norma ISO/IEC 27002:2013 para la gestión de la seguridad de la información. La norma cubre aspectos como políticas de seguridad, recursos humanos, gestión de activos, control de accesos, seguridad física y operativa, telecomunicaciones, adquisición de sistemas, relaciones con proveedores, gestión de incidentes, continuidad del negocio y cumplimiento normativo.
Este documento presenta los dominios, objetivos de control y controles de seguridad de la información descritos en la norma ISO/IEC 27002:2005. Describe 14 dominios de seguridad que incluyen política de seguridad, aspectos organizativos, gestión de activos, seguridad física, gestión de operaciones, control de acceso, adquisición de sistemas, gestión de incidentes, continuidad del negocio y cumplimiento. Para cada dominio, identifica los objetivos de control y controles específicos relacionados con la seguridad de
Este documento presenta la Norma Técnica Peruana NTP-ISO/IEC 17799:2007, que es la adopción de la Norma Internacional ISO/IEC 17799:2005 sobre el código de buenas prácticas para la gestión de la seguridad de la información. La norma establece los requisitos para la implementación de un sistema de gestión de seguridad de la información y contiene cláusulas sobre la evaluación de riesgos, política de seguridad, aspectos organizativos, clasificación de activos, seguridad física y l
El documento lista posibles controles de seguridad de la información relacionados con la norma ISO 27002. Se enumeran varios controles agrupados por categorías como gestión de activos, seguridad de equipos, gestión de acceso, seguridad de aplicaciones y sistemas, gestión de incidentes, y políticas de seguridad.
Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Se recomienda que la identificación de los controles a ser implementados se planifique en forma cuidadosa y con atención a todos los detalles. La gestión de la seguridad de la información requiere como mínimo de la participación de todos los empleados de la organización. Puede también requerir de la participación de los accionistas, proveedores, terceras partes, clientes u otras partes externas. También puede necesitarse del asesoramiento especializado de consultores de seguridad de la información.
El documento presenta la norma ISO 27002, la cual proporciona recomendaciones de mejores prácticas en gestión de seguridad de la información. La norma contiene 14 secciones que cubren aspectos como políticas de seguridad, gestión de activos, control de accesos, seguridad física y operativa, gestión de incidentes, y cumplimiento. La norma puede ser utilizada por cualquier organización pública o privada para mejorar la protección de su información confidencial.
Actividad 04 Seguridad en la red y las aplicaciones.docxAndrea Gomez
El documento presenta 10 incidentes de ciberseguridad y solicita identificar los posibles ataques o incidentes involucrados, así como los controles aplicables desde ISO 27001:2013 y CIS V8 para mitigarlos. Los incidentes incluyen ransomware, malware, problemas de concientización de usuarios, vulnerabilidades sin parches y ataques de denegación de servicio. Se deben proponer controles de acceso, gestión de cuentas, configuración segura, gestión de incidentes y actualizaciones de software para abordar estos riesgos.
Este documento establece las políticas de seguridad para el personal de empresas proveedoras que prestan servicios para EJIE. Incluye políticas generales como cumplir con la política de seguridad de EJIE y sólo prestar servicios cubiertos por el contrato. También incluye políticas específicas como seleccionar personal, realizar auditorías de seguridad, comunicar incidentes, gestionar activos e identidades, y actualizar las políticas de seguridad. El objetivo es proteger la información y sistemas de EJIE.
Este documento presenta la Norma Técnica Peruana NTP-ISO/IEC 17799:2007, la cual es una adopción de la Norma ISO/IEC 17799:2005 sobre el código de buenas prácticas para la gestión de la seguridad de la información. La norma establece requisitos y proporciona lineamientos para la implementación de controles de seguridad que protejan la información. Incluye cláusulas sobre evaluación de riesgos, política de seguridad, aspectos organizativos, clasificación de activos, seguridad del
Este documento presenta la Norma Técnica Peruana NTP-ISO/IEC 17799:2007, la cual es una adopción de la Norma ISO/IEC 17799:2005 sobre el código de buenas prácticas para la gestión de la seguridad de la información. La norma establece requisitos y proporciona lineamientos para la implementación de controles de seguridad que protejan la información. Incluye cláusulas sobre evaluación de riesgos, política de seguridad, aspectos organizativos, clasificación de activos, seguridad del
Este documento presenta una comparación entre las versiones ISO 27001:2005 e ISO 27001:2013. Explica los cambios de estructura y conceptos clave, incluyendo 11 dominios de seguridad en 2005 versus 14 en 2013. También describe 21 controles eliminados e introduce 14 nuevos. Resalta que 2013 fortalece el concepto de seguridad de la información y el sistema de gestión de seguridad de la información.
El documento habla sobre varios estándares de calidad e información de seguridad desarrollados por la Organización Internacional de Normalización (ISO). Explica que la ISO produce normas internacionales para facilitar el comercio y la transferencia de tecnología. Algunos de los estándares discutidos son ISO 9000 sobre sistemas de gestión de calidad, ISO 9001 sobre desarrollo de productos, ISO 17799 sobre seguridad de la información, e ISO 27000 sobre gestión de seguridad de la información.
El documento presenta información sobre un diplomado en auditoría y seguridad informática. Incluye detalles sobre un módulo sobre control de accesos y computación y comunicación móvil. Se proporcionan lineamientos básicos sobre seguridad de la información, control de acceso, políticas de seguridad, informática móvil y posibles soluciones para mejorar la seguridad. Finalmente, se incluyen recomendaciones como documentar procedimientos, aumentar el personal de TI y adoptar normas internacionales como ISO 27002.
Este documento describe los roles y responsabilidades clave para la seguridad de la información en una organización. Explica que el líder de seguridad de la información supervisa la seguridad a nivel de empresa, mientras que los responsables de seguridad de la información se encargan de la seguridad a nivel de sector. También destaca la importancia de que los propietarios de la información la clasifiquen y los usuarios clave apliquen las medidas de seguridad correspondientes. Además, enfatiza que los objetivos de control de la norma ISO 27
La NTP-ISO/IEC 17799 establece recomendaciones para la gestión de la seguridad de la información en entidades del gobierno peruano. La norma cubre 10 dominios como políticas de seguridad, organización, clasificación de activos, seguridad física y del personal. El documento evalúa la implementación de la norma en un ministerio, identificando carencias como falta de políticas formales, controles de acceso débiles y ausencia de planes de continuidad. La norma busca estandarizar prácticas de seguridad
El documento describe varios estándares ISO relacionados con sistemas informáticos y de calidad. Explica que la ISO es una organización internacional que establece normas para facilitar el comercio global. Luego describe varios estándares ISO clave como ISO 9000 para sistemas de gestión de calidad, ISO 9126 para atributos de calidad de software, ISO 17799 para seguridad de la información, e ISO 27000 para sistemas de gestión de seguridad de la información.
Similar a Resumen de Controles ISO 27002 - CNSD.pdf (20)
Buscador de Eventos y Fiestas en España - Buscafiestaholabuscafiesta
Buscafiesta.es es el buscador líder en España para fiestas y eventos, diseñado para satisfacer las necesidades tanto de organizadores como de asistentes. Este innovador software ofrece una plataforma integral que permite a los organizadores de eventos añadir, gestionar y promocionar sus actividades de manera totalmente autónoma, facilitando la visibilidad y escalabilidad de sus eventos.
Buscafiesta.es no solo conecta a los organizadores con su público objetivo, sino que también ofrece herramientas de marketing y análisis que ayudan a maximizar el impacto de cada evento. Ya sea para una fiesta local, un concierto multitudinario o un evento corporativo, Buscafiesta.es es la solución definitiva para hacer de cada evento un éxito rotundo.
1. ISO/IEC 27002:2013 - CONTIENE: 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES
5. POLÍTICAS DE SEGURIDAD.
5.1 Directrices de la Dirección en seguridad de la información.
5.1.1 Políticas para la seguridad de la información.
5.1.2 Revisión de las políticas para la seguridad de la información.
6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
6.1 Organización interna.
6.1.1 Roles y responsabilidades para la seguridad de la información.
6.1.2 Segregación de funciones o tareas.
6.1.3 Contacto con autoridades.
6.1.4 Contacto con grupos especiales de interés.
6.1.5 Seguridad de la información en la gestión de proyectos.
6.2 Dispositivos móviles y teletrabajo.
6.2.1 Política para dispositivos móviles.
6.2.2 Teletrabajo.
7. SEGURIDAD DE LOS RECURSOS HUMANOS.
7.1 Antes de la contratación.
7.1.1 Selección.
7.1.2 Términos y condiciones de contratación.
7.2 Durante la contratación.
7.2.1 Responsabilidades de gestión.
7.2.2 Concienciación, educación y capacitación en seguridad de la
información.
7.2.3 Proceso disciplinario.
7.3 Terminación y cambio de empleo.
7.3.1 Terminación o cambio de responsabilidades de empleo.
8. GESTIÓN DE ACTIVOS.
8.1 Responsabilidad por los activos.
8.1.1 Inventario de activos.
8.1.2 Propiedad de los activos.
8.1.3 Uso aceptable de los activos.
8.1.4 Devolución de activos.
8.2 Clasificación de la información.
8.2.1 Clasificación de la información.
8.2.2 Etiquetado de la información.
8.2.3 Manejo de activos.
8.3 Manejo de los soportes de almacenamiento.
8.3.1 Gestión de soportes extraíbles.
8.3.2 Eliminación de soportes extraíbles.
8.3.3 Soportes físicos en tránsito.
9. CONTROL DE ACCESOS.
9.1 Requisitos de negocio para el control de accesos.
9.1.1 Política de control de accesos.
9.1.2 Acceso a las redes y servicios de red.
9.2 Gestión de acceso de usuario.
9.2.1 Registro de altas y bajas de usuarios.
9.2.2 Aprovisionamiento de acceso a usuarios.
9.2.3 Gestión de los derechos de acceso con privilegios.
9.2.4 Gestión de información de autenticación secreta de usuarios.
9.2.5 Revisión de los derechos de acceso de usuarios.
9.2.6 Retirada o adaptación de los derechos de acceso
9.3 Responsabilidades de los usuarios.
9.3.1 Uso de información de autenticación secreta.
9.4 Control de acceso a sistemas y aplicaciones.
9.4.1 Restricción del acceso a la información.
9.4.2 Procedimientos seguros de inicio de sesión.
9.4.3 Gestión de contraseñas de usuario.
9.4.4 Uso de herramientas de administración de sistemas.
9.4.5 Control de acceso al código fuente de los programas.
10. CIFRADO.
10.1 Controles criptográficos.
10.1.1 Política de uso de los controles criptográficos.
10.1.2 Gestión de claves.
11. SEGURIDAD FÍSICA Y AMBIENTAL.
11.1 Áreas seguras.
11.1.1 Perímetro de seguridad física.
11.1.2 Controles de ingreso físico.
11.1.3 Asegurar oficinas, áreas e instalaciones.
11.1.4 Protección contra las amenazas externas y
ambientales.
11.1.5 Trabajo en áreas seguras.
11.1.6 Áreas de despacho y carga.
11.2 Seguridad de los equipos.
11.2.1 Emplazamiento y protección de equipos.
11.2.2 Servicios de suministro.
11.2.3 Seguridad del cableado.
11.2.4 Mantenimiento de los equipos.
11.2.5 Remoción de activos.
11.2.6 Seguridad de equipos y activos fuera de las
instalaciones.
11.2.7 Disposición o reutilización segura de equipos.
11.2.8 Equipos de usuario desatendidos.
11.2.9 Política de escritorio limpio y pantalla limpia.
12. SEGURIDAD EN LAS OPERACIONES.
12.1 Procedimientos y responsabilidades operativas.
12.1.1 Procedimientos operativos documentados.
12.1.2 Gestión de cambios.
12.1.3 Gestión de la capacidad.
12.1.4 Separación de entornos de desarrollo, prueba y
producción.
12.2 Protección contra código malicioso.
12.2.1 Controles contra el código malicioso.
12.3 Copias de seguridad.
12.3.1 Copias de seguridad de la información.
12.4 Registro de actividad y supervisión.
12.4.1 Registro y gestión de eventos de actividad.
12.4.2 Protección de los registros de información.
12.4.3 Registros de actividad del administrador y operador.
12.4.4 Sincronización de reloj.
12.5 Control del software en producción.
12.5.1 Instalación del software en sistemas de producción.
12.6 Gestión de la vulnerabilidad técnica.
12.6.1 Gestión de las vulnerabilidades técnicas.
12.6.2 Restricciones sobre la instalación de software.
12.7 Consideraciones para la auditoría de los sistemas de
información.
12.7.1 Controles de auditoría de sistemas de información.
13. SEGURIDAD EN LAS COMUNICACIONES.
13.1 Gestión de la seguridad en las redes.
13.1.1 Controles de la red.
13.1.2 Seguridad de servicios de red.
13.1.3 Segregación en redes.
13.2 Transferencia de información.
13.2.1 Políticas y procedimientos de transferencia de
información.
13.2.2 Acuerdos sobre transferencia de información.
13.2.3 Mensajes electrónicos.
13.2.4 Acuerdos de confidencialidad o no divulgación.
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS.
14.1 Requisitos de seguridad de los sistemas de información.
14.1.1 Análisis y especificación de requisitos de seguridad de la información.
14.1.2 Aseguramiento de servicios de aplicaciones sobre redes
públicas.
14.1.3 Protección de transacciones en servicios de aplicación.
14.2 Seguridad en los procesos de desarrollo y soporte.
14.2.1 Política de desarrollo seguro.
14.2.2 Procedimientos de control de cambio del sistema.
14.2.3 Revisión técnica de aplicaciones después de cambios a la plataforma
operativa.
14.2.4 Restricciones sobre cambios a los paquetes de software.
14.2.5 Principios de ingeniería de sistemas seguros.
14.2.6 Entorno de desarrollo seguro.
14.2.7 Desarrollo de software contratado externamente.
14.2.8 Pruebas de seguridad del sistema.
14.2.9 Pruebas de aceptación del sistema.
14.3 Datos de prueba.
14.3.1 Protección de datos de prueba.
15. RELACIONES CON PROVEEDORES.
15.1 Seguridad de la información en las relaciones con proveedores.
15.1.1 Política de seguridad de la información para las relaciones con los
proveedores.
15.1.2 Abordar la seguridad dentro de acuerdos con proveedores.
15.1.3 Cadena de suministro de tecnologías de la información y
comunicaciones.
15.2 Gestión de entrega de servicios del proveedor.
15.2.1 Monitoreo y revisión de servicios del proveedor.
15.2.2 Gestión de cambios a los servicios de proveedores.
16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN.
16.1 Gestión de incidentes de seguridad de la información y mejoras.
16.1.1 Responsabilidades y procedimientos.
16.1.2 Reporte de eventos de seguridad de la información.
16.1.3 Reporte de debilidades de seguridad de la información.
16.1.4 Evaluación y decisión sobre eventos de seguridad de la información.
16.1.5 Respuesta a los incidentes de seguridad de la información.
16.1.6 Aprendizaje de los incidentes de seguridad de la información.
16.1.7 Recolección de evidencia.
17. ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA GESTIÓN DE
LA CONTINUIDAD DEL NEGOCIO.
17.1 Continuidad de la seguridad de la información.
17.1.1 Planificación de continuidad de la seguridad de la información.
17.1.2 Implementación de continuidad de la seguridad de la información.
17.1.3 Verificación, revisión y evaluación de la continuidad de la seguridad
de la información.
17.2 Redundancias.
17.2.1 Disponibilidad de instalaciones para el procesamiento de la
información.
18. CUMPLIMIENTO.
18.1 Cumplimiento con los requisitos legales y contractuales.
18.1.1 Identificación de requisitos contractuales y legislación aplicable.
18.1.2 Derechos de propiedad intelectual.
18.1.3 Protección de registros.
18.1.4 Privacidad y protección de la información de datos personales.
18.1.5 Regulación de controles criptográficos.
18.2 Revisiones de la seguridad de la información.
18.2.1 Revisión independiente de la seguridad de la información.
18.2.2 Cumplimiento de las políticas y normas de seguridad.
18.2.3 Revisión del cumplimiento técnico.