Este documento describe los principales controles establecidos en la norma ISO 27001. Explica que los controles cubren aspectos como la política de seguridad, la organización de la información de seguridad, la administración de recursos, la seguridad de los recursos humanos y más. Detalla cada uno de los grupos de controles y los pasos necesarios para implementarlos de manera efectiva como parte de un sistema de gestión de seguridad de la información.
El documento habla sobre la norma ISO/IEC 27001 para la gestión de la seguridad de la información. Explica que la norma define los requisitos para un sistema de gestión de seguridad de la información y ayuda a proteger los activos de información y dar confianza a las partes interesadas. También describe los beneficios de la certificación, la formación requerida y los pasos hacia la certificación.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren más que solo medidas técnicas, y pueden incluir documentos, procedimientos y más. Describe los primeros cinco grupos de controles, incluyendo la política de seguridad, organización de información de seguridad, administración de recursos, seguridad de recursos humanos y seguridad física y del entorno.
Este documento presenta información sobre la norma ISO 27001. Brevemente describe qué es la ISO 27001, las ventajas de estar certificado según esta norma, y las ayudas que ofrece la administración pública española para que las pequeñas y medianas empresas se certifiquen. También resume los principales controles que establece la norma en áreas como política de seguridad, organización de la información de seguridad, administración de recursos y seguridad de los recursos humanos.
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Explica los últimos seis de los once controles propuestos por la norma, incluyendo la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y el marco legal y buenas prácticas. Para cada control, describe brevemente los objetivos y algunas de las medidas que deben considerarse para cumplir con los requisitos de la norma.
Curso herramientas para la eficacia de la auditoría gubernamental 09.feb.2014miguelserrano5851127
El documento presenta una discusión sobre el control gubernamental y la importancia del control preventivo. Resalta que el control preventivo permite advertir a las entidades sobre posibles daños a los recursos públicos aplicados a procesos en marcha, actuando como un control ex ante. También establece que el control preventivo se enmarca en la atribución del Sistema Nacional de Control de formular oportunamente recomendaciones para mejorar la capacidad y eficiencia de las entidades.
Este documento describe varias metodologías y herramientas relacionadas con el control interno, la seguridad y la auditoría informática. Explica conceptos como la clasificación de la información, los objetivos y procedimientos de control, y las diferencias entre auditoría y control interno informático. También cubre temas como el análisis de riesgos, las herramientas de control, y los pasos para realizar una auditoría de una aplicación.
El documento define una auditoría de seguridad y describe sus objetivos, enfoques, definiciones clave y tipos. Explica que una auditoría de seguridad es un examen periódico y metódico para verificar la suficiencia de un programa de seguridad. Luego describe los parámetros para realizar auditorías de seguridad, incluidos objetivos, principios, alcance, frecuencia y contenido. Finalmente, explica las actividades típicas de una auditoría, como la revisión de documentación e informes.
La metodología PRIMA se utiliza para clasificar la información y obtener los procedimientos de control. Define diferentes niveles de jerarquía de información como estratégica, restringida, de uso interno y de uso general. Sus pasos incluyen identificar la información, definir propietarios e inventariar activos, definir la matriz de clasificación y desarrollar el plan de acciones. Otras metodologías discutidas incluyen MARION, RISCKPAC, CRAMM y sus enfoques cuantitativos y cualitativos para el anális
El documento habla sobre la norma ISO/IEC 27001 para la gestión de la seguridad de la información. Explica que la norma define los requisitos para un sistema de gestión de seguridad de la información y ayuda a proteger los activos de información y dar confianza a las partes interesadas. También describe los beneficios de la certificación, la formación requerida y los pasos hacia la certificación.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren más que solo medidas técnicas, y pueden incluir documentos, procedimientos y más. Describe los primeros cinco grupos de controles, incluyendo la política de seguridad, organización de información de seguridad, administración de recursos, seguridad de recursos humanos y seguridad física y del entorno.
Este documento presenta información sobre la norma ISO 27001. Brevemente describe qué es la ISO 27001, las ventajas de estar certificado según esta norma, y las ayudas que ofrece la administración pública española para que las pequeñas y medianas empresas se certifiquen. También resume los principales controles que establece la norma en áreas como política de seguridad, organización de la información de seguridad, administración de recursos y seguridad de los recursos humanos.
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Explica los últimos seis de los once controles propuestos por la norma, incluyendo la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y el marco legal y buenas prácticas. Para cada control, describe brevemente los objetivos y algunas de las medidas que deben considerarse para cumplir con los requisitos de la norma.
Curso herramientas para la eficacia de la auditoría gubernamental 09.feb.2014miguelserrano5851127
El documento presenta una discusión sobre el control gubernamental y la importancia del control preventivo. Resalta que el control preventivo permite advertir a las entidades sobre posibles daños a los recursos públicos aplicados a procesos en marcha, actuando como un control ex ante. También establece que el control preventivo se enmarca en la atribución del Sistema Nacional de Control de formular oportunamente recomendaciones para mejorar la capacidad y eficiencia de las entidades.
Este documento describe varias metodologías y herramientas relacionadas con el control interno, la seguridad y la auditoría informática. Explica conceptos como la clasificación de la información, los objetivos y procedimientos de control, y las diferencias entre auditoría y control interno informático. También cubre temas como el análisis de riesgos, las herramientas de control, y los pasos para realizar una auditoría de una aplicación.
El documento define una auditoría de seguridad y describe sus objetivos, enfoques, definiciones clave y tipos. Explica que una auditoría de seguridad es un examen periódico y metódico para verificar la suficiencia de un programa de seguridad. Luego describe los parámetros para realizar auditorías de seguridad, incluidos objetivos, principios, alcance, frecuencia y contenido. Finalmente, explica las actividades típicas de una auditoría, como la revisión de documentación e informes.
La metodología PRIMA se utiliza para clasificar la información y obtener los procedimientos de control. Define diferentes niveles de jerarquía de información como estratégica, restringida, de uso interno y de uso general. Sus pasos incluyen identificar la información, definir propietarios e inventariar activos, definir la matriz de clasificación y desarrollar el plan de acciones. Otras metodologías discutidas incluyen MARION, RISCKPAC, CRAMM y sus enfoques cuantitativos y cualitativos para el anális
El documento describe un modelo de seguridad informática basado en la norma ISO 17799. Explica que la seguridad de la información es fundamental para las organizaciones y que se debe implementar un modelo con políticas sólidas, equipo capacitado, herramientas de protección actualizadas y un plan de concientización. El modelo involucra determinar riesgos, establecer controles, construir lineamientos, aplicar políticas y realizar mantenimiento y mejora continua.
Tecnicas de seguridad tecnologia de la informacion (1)brandon maldonado
El documento describe los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO/IEC 27001. Cubre temas como la política de seguridad, evaluación y tratamiento de riesgos, auditorías internas, comunicación, documentación y mejora continua del SGSI. El SGSI tiene el objetivo de proteger la información cumpliendo con los requisitos normativos y satisfaciendo las necesidades de las partes interesadas.
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
Explicamos el proceso de certificación ISO 27001, paso posterior a la implantación de un SGSI . En que consiste la auditoría de certificación, que pasos tiene y como una empresa debe estar preparada para poder conseguir esta certificación. Explicamos también que España es actualmente el noveno pais del mundo en número de certificaciones ISO 27001 lo que la hace situarse en un punto relevante en la innovación de la gestión tecnológica.
En esta presentación se muestra una breve introducción a la norma ISO 27001; también se muestran algunas ventajas, ejemplos y se explica cómo se debería iniciar. Sistema de Gestión de Seguridad de la Información de la Empresa
Curso Declaración de Riesgos 08.NOV.2013 - Miguel Aguilar SerranoMiguel Aguilar
El curso internaliza conceptos y prácticas vinculadas con la gestión y administración de los riesgos, que luego serán utilizados en la evaluación del control interno y del mapeo.
Metodología de control de proyectos t.i v3ealfaroaraya
Este documento describe la importancia de tener una metodología para administrar proyectos. Administrar proyectos sin una metodología puede resultar en problemas de comunicación, calidad errática, exceso de costos y fracaso de proyectos. Una metodología como PRINCE2 ayuda a definir el alcance, planificar los recursos, administrar riesgos, mejorar la comunicación y identificar problemas. El documento también explica los roles y responsabilidades requeridos para organizar y controlar proyectos exitosamente.
Este documento presenta una agenda para una clase sobre auditoría de sistemas. Explica conceptos clave como qué es una auditoría de sistemas y sus tipos principales. Los objetivos generales de una auditoría de sistemas incluyen mejorar la relación costo-beneficio de los sistemas, incrementar la satisfacción de los usuarios, y asegurar la integridad y confidencialidad de la información a través de recomendaciones de seguridad y controles.
Este documento presenta una guía para elaborar políticas de seguridad informática en la Universidad Nacional de Colombia. Explica las 11 etapas del ciclo de vida de una política, agrupadas en 4 fases: desarrollo, implementación, mantenimiento y eliminación. Define conceptos como política, estándar, mejor práctica, guía y procedimiento. Además, destaca la importancia de comunicar, hacer seguimiento y actualizar las políticas para garantizar su cumplimiento continuo.
Sistema de gestión de la seguridad de la informacióncarolapd
Un SGSI es un sistema para gestionar la seguridad de la información de una organización de forma sistemática y documentada. Incluye establecer una política de seguridad, evaluar riesgos, tratar los riesgos identificados, y documentos como procedimientos, registros e informes. Se implementa siguiendo el ciclo PDCA de planificación, ejecución, verificación y acción continua para mantener y mejorar continuamente la seguridad de la información.
Este documento proporciona sugerencias para mejorar la seguridad en las operaciones de centros de procesamiento de datos. Recomienda implementar controles de acceso, sistemas de vigilancia y control de accesos. También sugiere definir responsabilidades claras para la protección de activos, mantener al personal informado y utilizar herramientas de gestión para el cumplimiento de protocolos.
El documento describe los conceptos clave del control interno, incluyendo su definición según el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). Explica que el control interno es un proceso llevado a cabo por el personal de una organización para proporcionar seguridad razonable sobre el logro de los objetivos de la organización. También presenta el marco COSO, que incluye componentes como el ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo.
Este documento resume la norma ISO 27004, la cual proporciona orientación sobre cómo medir la efectividad de un sistema de gestión de seguridad de la información (SGSI) certificado bajo ISO 27001. La norma establece un modelo y método para mediciones de seguridad, define cómo seleccionar y desarrollar mediciones relevantes, y describe los pasos para implementar un programa de mediciones. El objetivo es ayudar a las organizaciones a evaluar la eficiencia de sus controles de seguridad y mejorar continuamente su SGSI mediante el uso de métric
La auditoría se realizó en el área de producción de harina de pescado de la Corporación PFB - Centinela SAC para evaluar los procedimientos de ingreso y control de datos. Se encontró que existen procedimientos documentados para la preparación, autorización y generación de documentos fuente, así como responsables asignados. Sin embargo, los documentos fuente no están diseñados específicamente para guiar el registro inicial de la información.
Este documento presenta un resumen de la auditoría realizada al área de producción de harina de pescado de la empresa Corporación PFB - Centinela SAC. Se revisaron los procedimientos para la preparación, entrada y validación de datos, así como los controles establecidos. Se determinó que existen procedimientos documentados y personal responsable designado para cada etapa del proceso. No obstante, se identificaron algunas oportunidades de mejora en aspectos como la seguridad física de terminales y la implementación de controles más estrictos.
Pat i.e. el gran maestro 2016- una ultimo modificadoHECTOR ZEVALLOS
Este documento presenta el Plan Anual de Trabajo (PAT) 2016 de la Institución Educativa "El Gran Maestro" en Arequipa, Perú. El PAT describe los objetivos, metas y actividades planificadas para el año escolar de 2016 con el fin de mejorar la calidad educativa. Se incluye un diagnóstico de la situación actual de la institución y una matriz con objetivos, metas e indicadores. El PAT fue elaborado con la participación de la comunidad educativa y busca solucionar problemas identificados para mejorar el rendimiento estudiantil
Este documento presenta información sobre la capacitación docente en el año 2016. Explica que el currículo nacional define lo que los estudiantes deben aprender y guía el trabajo de los docentes. También habla sobre las rutas de aprendizaje, la competencia matemática, el enfoque centrado en la resolución de problemas, y las evaluaciones ECE, LLECE y PISA que miden la calidad educativa.
Alfabetizacion Digital -"Una Propuesta para la Región Lambayeque"kamuka
El documento destaca la importancia de la alfabetización digital en los docentes peruanos. Señala que la 6a Política Pedagógica Nacional propone fortalecer las tecnologías de la información y comunicación a través de un proyecto nacional, lo que obliga a los docentes e instituciones educativas a cambiar su visión de la escuela tradicional hacia una escuela moderna. También propone impulsar la investigación e innovación pedagógica a través de una red de investigación educacional.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que un control no es solo una medida técnica, sino que abarca todo tipo de acciones, documentos y procedimientos. Describe los primeros dos grupos de controles - Política de seguridad y Organización de la información de seguridad - en detalle. Resalta la importancia de tener una política de seguridad bien planificada y de mantener actualizada la cadena de contactos internos y externos relacionados con la seguridad de la información de la organiz
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren una amplia gama de acciones, documentos y medidas para garantizar que los riesgos identificados estén cubiertos y sean auditables. Describe cada uno de los primeros cinco grupos de controles, incluidos la política de seguridad, la organización de la información de seguridad, la administración de recursos, la seguridad de los recursos humanos y la seguridad física y del entorno.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren más que solo medidas técnicas, y pueden incluir documentos, procedimientos y otras acciones. Describe los controles relacionados con la política de seguridad, organización de la información de seguridad, administración de recursos, seguridad de recursos humanos y seguridad física y del entorno.
El documento describe un modelo de seguridad informática basado en la norma ISO 17799. Explica que la seguridad de la información es fundamental para las organizaciones y que se debe implementar un modelo con políticas sólidas, equipo capacitado, herramientas de protección actualizadas y un plan de concientización. El modelo involucra determinar riesgos, establecer controles, construir lineamientos, aplicar políticas y realizar mantenimiento y mejora continua.
Tecnicas de seguridad tecnologia de la informacion (1)brandon maldonado
El documento describe los requisitos de un sistema de gestión de seguridad de la información (SGSI) de acuerdo con la norma ISO/IEC 27001. Cubre temas como la política de seguridad, evaluación y tratamiento de riesgos, auditorías internas, comunicación, documentación y mejora continua del SGSI. El SGSI tiene el objetivo de proteger la información cumpliendo con los requisitos normativos y satisfaciendo las necesidades de las partes interesadas.
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
Explicamos el proceso de certificación ISO 27001, paso posterior a la implantación de un SGSI . En que consiste la auditoría de certificación, que pasos tiene y como una empresa debe estar preparada para poder conseguir esta certificación. Explicamos también que España es actualmente el noveno pais del mundo en número de certificaciones ISO 27001 lo que la hace situarse en un punto relevante en la innovación de la gestión tecnológica.
En esta presentación se muestra una breve introducción a la norma ISO 27001; también se muestran algunas ventajas, ejemplos y se explica cómo se debería iniciar. Sistema de Gestión de Seguridad de la Información de la Empresa
Curso Declaración de Riesgos 08.NOV.2013 - Miguel Aguilar SerranoMiguel Aguilar
El curso internaliza conceptos y prácticas vinculadas con la gestión y administración de los riesgos, que luego serán utilizados en la evaluación del control interno y del mapeo.
Metodología de control de proyectos t.i v3ealfaroaraya
Este documento describe la importancia de tener una metodología para administrar proyectos. Administrar proyectos sin una metodología puede resultar en problemas de comunicación, calidad errática, exceso de costos y fracaso de proyectos. Una metodología como PRINCE2 ayuda a definir el alcance, planificar los recursos, administrar riesgos, mejorar la comunicación y identificar problemas. El documento también explica los roles y responsabilidades requeridos para organizar y controlar proyectos exitosamente.
Este documento presenta una agenda para una clase sobre auditoría de sistemas. Explica conceptos clave como qué es una auditoría de sistemas y sus tipos principales. Los objetivos generales de una auditoría de sistemas incluyen mejorar la relación costo-beneficio de los sistemas, incrementar la satisfacción de los usuarios, y asegurar la integridad y confidencialidad de la información a través de recomendaciones de seguridad y controles.
Este documento presenta una guía para elaborar políticas de seguridad informática en la Universidad Nacional de Colombia. Explica las 11 etapas del ciclo de vida de una política, agrupadas en 4 fases: desarrollo, implementación, mantenimiento y eliminación. Define conceptos como política, estándar, mejor práctica, guía y procedimiento. Además, destaca la importancia de comunicar, hacer seguimiento y actualizar las políticas para garantizar su cumplimiento continuo.
Sistema de gestión de la seguridad de la informacióncarolapd
Un SGSI es un sistema para gestionar la seguridad de la información de una organización de forma sistemática y documentada. Incluye establecer una política de seguridad, evaluar riesgos, tratar los riesgos identificados, y documentos como procedimientos, registros e informes. Se implementa siguiendo el ciclo PDCA de planificación, ejecución, verificación y acción continua para mantener y mejorar continuamente la seguridad de la información.
Este documento proporciona sugerencias para mejorar la seguridad en las operaciones de centros de procesamiento de datos. Recomienda implementar controles de acceso, sistemas de vigilancia y control de accesos. También sugiere definir responsabilidades claras para la protección de activos, mantener al personal informado y utilizar herramientas de gestión para el cumplimiento de protocolos.
El documento describe los conceptos clave del control interno, incluyendo su definición según el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO). Explica que el control interno es un proceso llevado a cabo por el personal de una organización para proporcionar seguridad razonable sobre el logro de los objetivos de la organización. También presenta el marco COSO, que incluye componentes como el ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo.
Este documento resume la norma ISO 27004, la cual proporciona orientación sobre cómo medir la efectividad de un sistema de gestión de seguridad de la información (SGSI) certificado bajo ISO 27001. La norma establece un modelo y método para mediciones de seguridad, define cómo seleccionar y desarrollar mediciones relevantes, y describe los pasos para implementar un programa de mediciones. El objetivo es ayudar a las organizaciones a evaluar la eficiencia de sus controles de seguridad y mejorar continuamente su SGSI mediante el uso de métric
La auditoría se realizó en el área de producción de harina de pescado de la Corporación PFB - Centinela SAC para evaluar los procedimientos de ingreso y control de datos. Se encontró que existen procedimientos documentados para la preparación, autorización y generación de documentos fuente, así como responsables asignados. Sin embargo, los documentos fuente no están diseñados específicamente para guiar el registro inicial de la información.
Este documento presenta un resumen de la auditoría realizada al área de producción de harina de pescado de la empresa Corporación PFB - Centinela SAC. Se revisaron los procedimientos para la preparación, entrada y validación de datos, así como los controles establecidos. Se determinó que existen procedimientos documentados y personal responsable designado para cada etapa del proceso. No obstante, se identificaron algunas oportunidades de mejora en aspectos como la seguridad física de terminales y la implementación de controles más estrictos.
Pat i.e. el gran maestro 2016- una ultimo modificadoHECTOR ZEVALLOS
Este documento presenta el Plan Anual de Trabajo (PAT) 2016 de la Institución Educativa "El Gran Maestro" en Arequipa, Perú. El PAT describe los objetivos, metas y actividades planificadas para el año escolar de 2016 con el fin de mejorar la calidad educativa. Se incluye un diagnóstico de la situación actual de la institución y una matriz con objetivos, metas e indicadores. El PAT fue elaborado con la participación de la comunidad educativa y busca solucionar problemas identificados para mejorar el rendimiento estudiantil
Este documento presenta información sobre la capacitación docente en el año 2016. Explica que el currículo nacional define lo que los estudiantes deben aprender y guía el trabajo de los docentes. También habla sobre las rutas de aprendizaje, la competencia matemática, el enfoque centrado en la resolución de problemas, y las evaluaciones ECE, LLECE y PISA que miden la calidad educativa.
Alfabetizacion Digital -"Una Propuesta para la Región Lambayeque"kamuka
El documento destaca la importancia de la alfabetización digital en los docentes peruanos. Señala que la 6a Política Pedagógica Nacional propone fortalecer las tecnologías de la información y comunicación a través de un proyecto nacional, lo que obliga a los docentes e instituciones educativas a cambiar su visión de la escuela tradicional hacia una escuela moderna. También propone impulsar la investigación e innovación pedagógica a través de una red de investigación educacional.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que un control no es solo una medida técnica, sino que abarca todo tipo de acciones, documentos y procedimientos. Describe los primeros dos grupos de controles - Política de seguridad y Organización de la información de seguridad - en detalle. Resalta la importancia de tener una política de seguridad bien planificada y de mantener actualizada la cadena de contactos internos y externos relacionados con la seguridad de la información de la organiz
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren una amplia gama de acciones, documentos y medidas para garantizar que los riesgos identificados estén cubiertos y sean auditables. Describe cada uno de los primeros cinco grupos de controles, incluidos la política de seguridad, la organización de la información de seguridad, la administración de recursos, la seguridad de los recursos humanos y la seguridad física y del entorno.
Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren más que solo medidas técnicas, y pueden incluir documentos, procedimientos y otras acciones. Describe los controles relacionados con la política de seguridad, organización de la información de seguridad, administración de recursos, seguridad de recursos humanos y seguridad física y del entorno.
Este documento presenta información sobre la norma ISO 27001. En 3 oraciones o menos:
La norma ISO 27001 establece los requisitos para un sistema de gestión de seguridad de la información. La certificación ISO 27001 demuestra que una organización toma medidas para asegurar la seguridad de la información. El documento explica los beneficios de la certificación ISO 27001 y los controles que cubre la norma.
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Describe seis controles de seguridad de la información, incluida la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas, administración de incidentes, continuidad del negocio y cumplimiento legal. Explica que cada control involucra documentación, procedimientos y medidas técnicas para garantizar la seguridad de los activos de información de una organización.
El documento describe las normas ISO-27001 e ISO-27004. ISO-27001 establece los requisitos de un sistema de gestión de seguridad de la información, mientras que ISO-27004 provee directrices para medir la efectividad de dicho sistema. El documento explica que ISO-27004 ayuda a las organizaciones a medir el cumplimiento de controles de seguridad definidos en ISO-27001. Además, introduce conceptos clave como atributos, indicadores y métodos de medición para evaluar aspectos como la implementación de controles y la eficiencia general
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Explica los últimos seis de los once controles propuestos por la norma, incluyendo la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y el marco legal y buenas prácticas. Para cada control, describe brevemente los objetivos y algunas de las medidas que deben considerarse para cumplir con los requisitos de la norma ISO
Este documento resume la segunda parte de un análisis de la norma ISO 27001. Se explican los últimos seis de los once controles propuestos por la norma, incluyendo la administración de comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, administración de incidentes de seguridad, administración de continuidad del negocio y el marco legal y buenas prácticas. Se describe cada control y sus objetivos de manera concisa.
Este documento proporciona una descripción general de la norma ISO 27001. La norma especifica los requisitos para establecer, implementar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información según el modelo PDCA. La norma ayuda a las organizaciones a gestionar y proteger sus activos de información mediante la selección de controles de seguridad adecuados y la certificación. El documento también describe los términos clave relacionados con la norma e incluye referencias a otras normas de la familia
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
El documento describe la serie de normas ISO 27000 relacionadas con la gestión de la seguridad de la información. Explica que la ISO 27001 especifica los requisitos para un sistema de gestión de seguridad de la información certificable, mientras que la ISO 27002 proporciona recomendaciones de buenas prácticas en seguridad de la información. También resume brevemente otros estándares en desarrollo como la ISO 27003 sobre la implementación de sistemas de gestión de seguridad de la información.
Este documento resume la norma ISO 27004, la cual proporciona una guía para medir la efectividad y eficiencia de un Sistema de Gestión de Seguridad de la Información (SGSI) implementado de acuerdo a la norma ISO 27001. La ISO 27004 describe un modelo y método para medir atributos clave y desarrollar indicadores, así como también recomienda definir un programa de medición que incluya la selección de métricas estratégicas, su implementación y revisión periódica. El objetivo final es que las medic
ISO 27001 es una norma internacional para la gestión de la seguridad de la información que describe cómo implementarla en una organización. Se basa en un enfoque de gestión de riesgos para proteger la confidencialidad, integridad y disponibilidad de la información. Siguiendo los pasos establecidos en la norma, las organizaciones pueden obtener la certificación de que cumplen con sus requisitos de seguridad.
Este documento presenta información sobre políticas de seguridad informática y su importancia para las organizaciones. Explica que las políticas de seguridad deben comunicarse claramente a los usuarios y enfocarse en proteger los activos más valiosos de la organización. También describe los elementos clave que deben incluirse en las políticas de seguridad y los pasos recomendados para establecerlas de manera efectiva.
El documento habla sobre la norma ISO 27001, la cual establece los requisitos para un sistema de gestión de seguridad de la información. La norma ayuda a proteger los activos de información y otorga confianza a las partes interesadas. TÜV Rheinland ofrece la certificación ISO 27001, la cual brinda beneficios como el cumplimiento de requisitos internacionales y una ventaja competitiva.
Este documento presenta un resumen de la Norma ISO 27001 sobre la gestión de la seguridad de la información. Explica que la norma establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en el modelo Plan-Do-Check-Act. También describe los principales componentes de dicho sistema como el análisis de riesgos, los controles y la documentación requerida. Finalmente, resume los beneficios de la certificación ISO 27001 para las organizaciones.
Este documento presenta un resumen de la Norma ISO 27001, que establece los requisitos para un Sistema de Gestión de Seguridad de la Información. La norma ayuda a las organizaciones a proteger la información mediante la identificación de riesgos y la implementación de controles de seguridad apropiados. La certificación ISO 27001 demuestra a clientes y socios el nivel de seguridad de una organización.
Este documento presenta un resumen de la Norma ISO 27001 sobre gestión de la seguridad de la información. Explica que la norma establece los requisitos para implementar un sistema de gestión de seguridad de la información basado en el modelo Plan-Do-Check-Act. También describe los principales componentes de dicho sistema como el análisis de riesgos, los controles y la documentación requerida. Finalmente, menciona algunos de los beneficios de certificarse bajo esta norma internacional.
Este documento resume la evolución del estándar ISO 27001 desde 1995 hasta la versión actual de 2005. Explica que ISO 27001 especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información. La norma se basa en el modelo Plan-Do-Check-Act y cubre temas como el ISMS, evaluación de riesgos y controles.
El documento habla sobre las políticas de seguridad informática. Explica que las PSI son lineamientos que comunican a los usuarios cómo actuar frente a los recursos informáticos de la empresa. Luego describe los elementos que debe contener una PSI, como su alcance, objetivos, responsabilidades y consecuencias de violaciones. También discute cómo establecer las PSI mediante evaluaciones de riesgos, involucramiento del personal y justificación de las ventajas de las políticas. Finalmente, explica que las PSI son la base para la administración de seguridad
Este documento describe los componentes clave de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO/IEC 27001. Explica que un SGSI es un sistema documentado para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información de una organización. También describe los pasos para establecer un SGSI, incluyendo definir el alcance, realizar un análisis de riesgos, seleccionar controles, implementar el sistema, y revisarlo de
Catalogo Cajas Fuertes BTV Amado Salvador Distribuidor OficialAMADO SALVADOR
Explora el catálogo completo de cajas fuertes BTV, disponible a través de Amado Salvador, distribuidor oficial de BTV. Este catálogo presenta una amplia variedad de cajas fuertes, cada una diseñada con la más alta calidad para ofrecer la máxima seguridad y satisfacer las diversas necesidades de protección de nuestros clientes.
En Amado Salvador, como distribuidor oficial de BTV, ofrecemos productos que destacan por su innovación, durabilidad y robustez. Las cajas fuertes BTV son reconocidas por su eficiencia en la protección contra robos, incendios y otros riesgos, lo que las convierte en una opción ideal tanto para uso doméstico como comercial.
Amado Salvador, distribuidor oficial BTV, asegura que cada producto cumpla con los más estrictos estándares de calidad y seguridad. Al adquirir una caja fuerte a través de Amado Salvador, distribuidor oficial BTV, los clientes pueden tener la tranquilidad de que están obteniendo una solución confiable y duradera para la protección de sus pertenencias.
Este catálogo incluye detalles técnicos, características y opciones de personalización de cada modelo de caja fuerte BTV. Desde cajas fuertes empotrables hasta modelos de alta seguridad, Amado Salvador, como distribuidor oficial de BTV, tiene la solución perfecta para cualquier necesidad de seguridad. No pierdas la oportunidad de conocer todos los beneficios y características de las cajas fuertes BTV y protege lo que más valoras con la calidad y seguridad que solo BTV y Amado Salvador, distribuidor oficial BTV, pueden ofrecerte.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
1. ISO - 27001 2009Alumna: Karina Alejos SolísVIII ciclo Seguridad de información - ISO 27001 En un artículo anterior a este, denominado “Análisis de la ISO 27001: 2005”, se desarrollaron los conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese texto presentaba lo siguiente: “Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: SGSI (Sistema de Gestión de la Seguridad de la Información) o ISMS (Information Security Managemet System) Valoración de riegos (Risk Assesment) De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (o ISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay más aspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente). Tal vez la conclusión más importante de ese texto fuera que “Se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo”. Por esta razón es que se consideró necesario seguir adelante con el análisis del mismo. Los primeros pasos para la implementación de esta norma son: Definir el ámbito y política del SGSI. Proceso de análisis y valoración de riesgos (Evaluación de Riesgos). Selección, tratamiento e implementación de Controles. DESARROLLO PRESENTACIÓN: Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues la norma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectos que se mencionan en ella. Existen varios tipos de metodologías, en España las más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad en los pasos y resultados. Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surgirá la primera decisión acerca de los controles que se deberán abordar. La preparación y planificación de SGSI, se trató en el artículo anterior, pero en definitiva, lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy especialmente la de los controles que se consideren excluidos de la misma. “DESCONCEPTO”: Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición, monitorización, etc; se piensa en algo muy técnico o acción. En el caso de este estándar, el concepto de “Control”, es mucho (pero mucho) más que eso, pues abarca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc. Un “control” es lo que permite garantizar que cada aspecto, que se valoro con un cierto riesgo, queda cubierto y auditable¿Cómo? De muchas formas posibles El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en once rubros. Para cada uno de ellos define el objetivo y lo describe brevemente. Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo exhaustivo, por lo tanto se pueden seleccionar más aún. Es decir, estos 133 controles (hoy) son los mínimos que se deberán aplicar, o justificar su no aplicación, pero esto no da por completa la aplicación de la norma si dentro del proceso de análisis de riesgos aparecen aspectos que quedan sin cubrir por algún tipo de control. Por lo tanto, si a través de la evaluación de riesgos se determina que es necesaria la creación de nuevos controles, la implantación del SGSI impondrá la inclusión de los mismos, sino seguramente el ciclo no estará cerrado y presentará huecos claramente identificables. Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Cumplimiento (legales, de estándares, técnicas y auditorías) DESARROLLO DE LOS CONTROLES: En este ítem, para ser más claro, se respetará la puntuación que la norma le asigna a cada uno de los controles. A.5 POLÍTICA DE SEGURIDAD: Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado “Desconcepto” sobre lo que uno piensa que es un control, pues aquí se puede apreciar claramente la complejidad que representa el diseño, planificación, preparación, implementación y revisiones de una Política de Seguridad (la revisión es justamente el segundo control que propone). Como se mencionó “un Control es mucho (pero mucho), más que eso”. Todo aquel que haya sido responsable alguna vez de esta tarea, sabrá de lo que se está hablando. La Política de Seguridad, para ser riguroso, en realidad debería dividirse en dos documentos: Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora, la alta dirección. Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir. Algo sobre lo que generalmente no se suele reflexionar o remarcar es que: Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Haciendo abuso de la avanzada edad de este autor, es que se van a citar dos puntos de partida para la mencionada actividad que, a juicio del mismo, siguen siendo grandes referentes metodológicos a la hora de la confección de estos controles. Se trata de lo que proponen las siguientes RFCs (Request For Comments). Política de seguridad (RFC – 2196 Site Security Handbook) y también la anterior (RFC-1244, que si bien queda obsoleta por la primera es muy ilustrativa) ambas, planten una metodología muy eficiente de feedback partiendo desde el plano más alto de la Organización hasta llegar al nivel de detalle, para comparar nuevamente las decisiones tomadas y reingresar las conclusiones al sistema evaluando los resultados y modificando las deficiencias. Se trata de un ciclo permanente y sin fin cuya característica fundamental es la constancia y la actualización de conocimientos. Esta recomendación plantea muy en grande los siguientes pasos: Política de Seguridad (RFC 1244) Análisis de riesgo Grado de exposición Plan de seguridad (semejante a Certificación ISO) Plan de contingencia La política es el marco estratégico de la Organización, es el más alto nivel. El análisis de riesgo y el grado de exposición determinan el impacto que puede producir los distintos niveles de clasificación de la información que se posee. Una vez determinado estos conceptos, se pasa al Cómo que es el Plan de Seguridad, el cual, si bien en esta RFC no está directamente relacionado con las normas ISO, se mencionan en este texto por la similitud en la elaboración de procedimientos de detalle para cada actividad que se implementa, y porque se reitera, su metodología se aprecia como excelente (y dados los años del autor, sabrán disculpar la fechas de publicación de ambas RFCs..{Les garantizo que están en inglés, y no en Sánscrito}). A.6 ORGANIZACIÓN DE LA INFORMACIÓN DE SEGURIDAD: Este segundo grupo de controles abarca once de ellos y se subdivide en: Organización Interna: Compromiso de la Dirección, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de interés en temas de seguridad, revisiones independientes. Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio. Lo más importante a destacar de este grupo son dos cosas fundamentales que abarcan a ambos subgrupos: Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.) Derechos y obligaciones de cualquiera de los involucrados. En este grupo de controles, lo ideal es diseñar e implementar una simple base de datos, que permita de forma amigable, el alta, baja y/o modificación de cualquiera de estos campos. La redacción de la documentación inicial de responsables: derechos y obligaciones (para personal interno y ajeno) y el conjunto de medidas a adoptar con cada uno de ellos. Una vez lanzado este punto de partida, se debe documentar la metodología de actualización, auditabilidad y periodicidad de informes de la misma. A.7 ADMINISTRACIÓN DE RECURSOS: Este grupo cubre cinco controles y también se encuentra subdividido en: Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. Clasificación de la información: Guías de clasificación y Denominación, identificación y tratamiento de la información. Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en seguridad de la información, en cuanto a que todo recurso debe estar perfectamente inventariado con el máximo detalle posible, que se debe documentar el “uso adecuado de los recursos” y que toda la información deberá ser tratada de acuerdo a su nivel. En el caso de España, tanto la LOPD como la LSSI han aportado bastante a que esta tarea sea efectuada con mayor responsabilidad en los últimos años. También se puede encontrar en Internet varias referencias a la clasificación de la información por niveles. Tal vez sí valga la pena mencionar aquí el problema que se suele encontrar en la gran mayoría de las empresas que cuentan con un parque informático considerable, sobre el cual, se les dificulta mucho el poder mantener actualizado su sistema de inventario. El primer comentario, es que este aspecto debe abordarse “sí o sí”, pues es imposible pensar en seguridad, si no se sabe fehacientemente lo que se posee y cada elemento que queda desactualizado o no se lo ha inventariado aún, es un hueco concreto en la seguridad de todo el sistema, y de hecho suelen ser las mayores y más frecuentes puertas de entrada, pues están al margen de la infraestructura de seguridad. El segundo comentario, es que se aprecia que las mejores metodologías a seguir para esta actividad, son las que permiten mantener “vivo” el estado de la red y por medio de ellas inventariar lo que se “escucha”. Esta metodología lo que propone es, hacer un empleo lógico y completo de los elementos de red o seguridad (IDSs, Firewalls, Routers, sniffers, etc.) y aprovechar su actividad cotidiana de escucha y tratamiento de tramas para mantener “vivo” el estado de la red. Es decir, nadie mejor que ellos saben qué direcciones de la “Home Net” se encuentran activas y cuáles no, por lo tanto, aprovechar esta funcionalidad para almacenar y enviar estos datos a un repositorio adecuado, el cual será el responsable de mantener el inventario correspondiente. Sobre este tema, se propone la lectura de dos artículos publicados hace tiempo en Internet por este autor que se denominan “Metodología Nessus-Snort” y “Matriz de Estado de Seguridad”, si bien los mismos deben ser actualizados al día de hoy, de ellos se puede obtener una clara imagen de cómo se puede realizar esta tarea y aprovechar las acciones de seguridad para mejorar el análisis de riesgo y el inventario. A.8 SEGURIDAD DE LOS RECURSOS HUMANOS: Este grupo cubre nueve controles y también se encuentra subdividido en: Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y condiciones de empleo. Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias. Finalización o cambio de empleo: Finalización de responsabilidades, devolución de recursos, revocación de derechos. Este grupo, en la actualidad, debe ser el gran ausente en la mayoría de las organizaciones. Se trata de un serio trabajo a realizar entre RRHH y los responsables de Seguridad de la Información de la organización. Se debe partir por la redacción de la documentación necesaria para la contratación de personal y la revocación de sus contratos (por solicitud, cambio o despido). En la misma deberán quedar bien claras las acciones a seguir para los diferentes perfiles de la organización, basados en la responsabilidad de manejo de información que tenga ese puesto. Como se pueda apreciar, tanto la contratación como el cese de un puesto, es una actividad conjunta de estas dos áreas, y cada paso deberá ser coordinado, según la documentación confeccionada, para que no se pueda pasar por alto ningún detalle, pues son justamente estas pequeñas omisiones de las que luego resulta el haber quedado con alta dependencia técnica de personas cuyo perfil es peligroso, o que al tiempo de haberse ido, mantiene accesos o permisos que no se debieran (casos muy comunes). Tanto el inicio como el cese de cualquier tipo de actividad relacionada con personal responsable de manejo de información de la organización, son actividades muy fáciles de procedimentar, pues no dejan de ser un conjunto de acciones secuenciales muy conocidas que se deben seguir “a raja tabla” y que paso a paso deben ser realizadas y controladas. Se trata simplemente de ¡¡¡ESCRIBIRLO!!! (y por supuesto de cumplirlo luego), esto forma parte de las pequeñas cosas que cuestan poco y valen mucho ¿Por qué será que no se hacen?. En cuanto a formación, para dar cumplimiento al estándar, no solo es necesario dar cursos. Hace falta contar con un “Plan de formación”. La formación en seguridad de la información, no puede ser una actividad aperiódica y determinada por el deseo o el dinero en un momento dado, tiene que ser tratada como cualquier otra actividad de la organización, es decir se debe plantear: Meta a la que se desea llegar. Determinación de los diferentes perfiles de conocimiento. Forma de acceder al conocimiento. Objetivos de la formación. Metodología a seguir. Planificación y asignación de recursos. Confección del plan de formación. Implementación del plan. Medición de resultados. Mejoras. Si se siguen estos pasos, se llegará a la meta, pero no solo a través de la impartición de uno o varios cursos o la distribución de documentos de obligada lectura, sino con un conjunto de acciones que hará que se complementen e integren en todo el SGSI como una parte más, generando concienciación y adhesión con el mismo. A.9 SEGURIDAD FÍSICA Y DEL ENTORNO: Este grupo cubre trece controles y también se encuentra subdividido en: Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga. Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software. A juicio del autor, uno de los mejores resultados que se pueden obtener en la organización de una infraestructura de seguridad de la información, está en plantearla siempre por niveles. Tal vez no sea necesario hacerlo con el detalle de los siete niveles del modelo ISO/OSI, pero sí por lo menos de acuerdo al modelo TCP/IP que algunos consideran de cuatro (Integrando físico y enlace) y otros de cinco niveles. Nuevamente el criterio de este autor, aprecia que es correcto considerar separadamente el nivel físico con el de enlace, pues presentan vulnerabilidades muy diferentes. Si se presenta entonces el modelo de cinco niveles, se puede organizar una estructura de seguridad contemplando medidas y acciones por cada uno de ellos, dentro de las cuales se puede plantear, por ejemplo, lo siguiente: Aplicación: Todo tipo de aplicaciones. Transporte: Control de puertos UDP y TCP. Red: Medidas a nivel protocolo IP e ICMP, túneles de nivel 3. Enlace: Medidas de segmentación a nivel direccionamiento MAC, tablas estáticas y fijas en switchs, control de ataques ARP, control de broadcast y multicast a nivel enlace, en el caso WiFi: verificación y control de enlace y puntos de acceso, 802.X (Varios), empleo de túneles de nivel 2, etc. Físico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de comunicaciones, control de acceso físico, conductos de comunicaciones, cables, fibras ópticas, radio enlaces, centrales telefónicas (Tema a desarrollar en este punto) Como se puede apreciar, este es una buena línea de pensamiento para plantear cada una de las actividades y evitar que se solapen algunas de ellas y/o que queden brechas de seguridad. En el caso físico, es conveniente también separar todas ellas, por lo menos en los siguientes documentos: Documentación de control de accesos y seguridad perimetral general, áreas de acceso y entrega de materiales y documentación, zonas públicas, internas y restringidas, responsabilidades y obligaciones del personal de seguridad física. Documentación de CPDs: Parámetros de diseño estándar de un CPD, medidas de protección y alarmas contra incendios/humo, caídas de tensión, inundaciones, control de climatización (Refrigeración y ventilación), sistemas vigilancia y control de accesos, limpieza, etc. Documentación y planos de instalaciones, canales de comunicaciones, cableado, enlaces de radio, ópticos u otros, antenas, certificación de los mismos, etc. Empleo correcto del material informático y de comunicaciones a nivel físico: Se debe desarrollar aquí cuales son las medidas de seguridad física que se debe tener en cuenta sobre los mismos (Ubicación, acceso al mismo, tensión eléctrica, conexiones físicas y hardware permitido y prohibido, manipulación de elementos, etc.). No se incluye aquí lo referido a seguridad lógica. Seguridad física en el almacenamiento y transporte de material informático y de comunicaciones: Zonas y medidas de almacenamiento, metodología a seguir para el ingreso y egreso de este material, consideraciones particulares para el transporte del mismo (dentro y fuera de la organización), personal autorizado a recibir, entregar o recuperación de información que es motivo de otro tipo de procedimientos y normativa. Documentación de baja, redistribución o recalificación de elementos: Procedimientos y conjunto de medidas a seguir ante cualquier cambio en el estado de un elemento de Hardware (Reubicación, cambio de rol, venta, alquiler, baja, destrucción, compartición con terceros, incorporación de nuevos módulos, etc.). RESUMEN y CONCLUSIONES PARCIALES DE ESTA PARTE: Como se pudo apreciar hasta ahora, el concepto de “Control”, no es el convencional que se puede tener al respecto. Se lo debe considerar como un conjunto de medidas, acciones y/o documentos que permiten cubrir y auditar cierto riesgo. Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Es recomendable subdividirla en un Plan y en una Política de seguridad (Consejo “de viejo”: Ver RFCs: 1244 y 2196) Organizar: Responsables, obligaciones, derechos, acuerdos, etc (Base de datos y documentación que la sustente). Recursos: Responsables de los mismos y clasificación de la información que contienen. LOPD, LSSI. Inventario “VIVO” (Consejo: aprovechar al máximo los elementos de Red y Seguridad, para eso están). Recursos humanos: Coordinar y sincronizar el trabajo de ambas gerencias (RRHH y Seguridad). Tres momentos fundamentales: Inicio – durante (Plan de formación) – Cese. Documentar y procedimentar los pasos que “tácitamente” se siguen. Seguridad física: Mentalidad de “Niveles TCP/IP” para dividir bien las tareas.