El 09/09 de 2014 se realizó en el Auditorio de Medrano 951 (UTN BA) el Seminario "ISO 27001 - Sistemas de Gestión de Seguridad de la Información".
Los invitamos a ver el contenido del #Seminario en #SlideShare
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Jornada de ciberseguridad en el Parque Tecnológico de Almería (PITA), el 29 de Noviembre de 2016 a las 10:00 con motivo del día internacional de la seguridad informática que se celebra el 30 de Noviembre.
https://indalics.com/seguridad-informatica
Diapositivas de Inducción a personal Administrativo sobre políticas de seguridad dentro de una empresa y como estas influyen para bien en su vida fuera de lo laboral.
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
Presentación de Norma ISO 17799, seguridad informática, como parte entrenamiento personal informático y no informático del Ministerior del Interior del Perú. Presentación elaborada durante el periodo en que brindé mis servicios como Consultor para el MINITER.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Jornada de ciberseguridad en el Parque Tecnológico de Almería (PITA), el 29 de Noviembre de 2016 a las 10:00 con motivo del día internacional de la seguridad informática que se celebra el 30 de Noviembre.
https://indalics.com/seguridad-informatica
Diapositivas de Inducción a personal Administrativo sobre políticas de seguridad dentro de una empresa y como estas influyen para bien en su vida fuera de lo laboral.
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
Esta presentación habla sobre las los tipos de virus que pueden afectar nuestra información del ordenador, tambien tratatara sobre el sifnificado de cada uno de estos diferentes tipos de virus.
Presentación de Norma ISO 17799, seguridad informática, como parte entrenamiento personal informático y no informático del Ministerior del Interior del Perú. Presentación elaborada durante el periodo en que brindé mis servicios como Consultor para el MINITER.
ISO 27001 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. La revisión más reciente de esta norma fue publicada en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
Durante su sesión se presentaron las lecciones aprendidas por empresas que han implementado y certificado SGSI (Sistema de Gestión de la Información), los retos y desafíos a los que enfrentan al implementar y mantener en guardia la Seguridad de su Información, así como la forma en cómo resisten y gestionan sus riesgos e incidentes en el día a día para protegerse inclusive de lo que aún no se hayan imaginado.
En la actualidad, ninguna empresa a nivel internacional puede pasar por desapercibida ante grupos como Anonymous o aquellas páginas similares a WikiLeaks que básicamente mediante robo o fuga de información pretenden dar a conocer las fallas o debilidades de las empresas o bien divulgar su información sobre todo si ésta es confidencial.
Usted se ha preguntado si acaso está en la mira de ser el siguiente objetivo en la lista. ¿De qué forma puede garantizar el minimizar el daño que puede sufrir su empresa y enfrentar incidentes de Seguridad de la Información? Las empresas que han implementado Sistemas de Gestión de Seguridad de la Información (SGSI), cuentan con respuestas apropiadas ante los incidentes que se les presentan, dicha respuesta es tratada mediante éste tipo de implementaciones, las cuales mediante el tratamiento de riesgos deciden en forma estratégica las medidas de control apropiadas para administrar de manera eficiente y efectiva su Seguridad de la Información.
Durante el seminario se presentaron los beneficios de la implementación de la metodología de mejora "Lean Six Sigma".
Lean Six Sigma es esencialmente una metodología estructurada y focalizada, que combina herramientas estadísticas con un enfoque disciplinado de resolución de problemas.
+ info: http://goo.gl/AOghMD
Presentación del Seminario Gratuito "Beneficios de la aplicación de Six Sigma" dictado por la Ing. Mónica Herbón en la Universidad Tecnológica Nacional, Regional Buenos Aires, el pasado 12 de mayo del 2014.
Entrevista al Lic. Pablo Coronel, Auditor Líder en Sistemas de Gestión de la Calidad sobre los beneficios de la Ley de Software para empresas certificadas en ISO 9001. Parte 2
http://calidad.sceu.frba.utn.edu.ar/
Entrevista al Lic. Pablo Coronel, Auditor Líder en Sistemas de Gestión de la Calidad sobre los beneficios de la Ley de Software para empresas certificadas en ISO 9001. Parte 1
http://calidad.sceu.frba.utn.edu.ar/
La UTN Buenos Aires organiza en conjunto con el Instituto Superior ASIMRA (A-780), un Simposio de especialistas en Ciencias Ambientales. El mismo tendrá lugar el día jueves 14 de Noviembre de 9 a 18 hs en el Aula Manga de la Facultad, Medrano 951 CABA.
Web del evento: http://www.sceu.frba.utn.edu.ar/simposioma
Curso Introducción a la Norma ISO 9001 dictado por el Centro de Gestión de la Calidad de UTN BA, también disponible en
http://calidad.sceu.frba.utn.edu.ar/index.php/cursos-seminarios?pid=58&sid=65:Introduccion-a-la-Norma-ISO-90012008
Curso Diplomatura Gestión del Medio Ambiente y Auditor Líder en Medio Ambiente dictado por el Centro de Gestión de la Calidad de UTN BA, también disponible en
http://calidad.sceu.frba.utn.edu.ar/index.php/cursos-seminarios?pid=57&sid=74:Diplomatura-en-Implementacion-de-Sistema-de-Gestion-de-Medio-Ambiente-segun-norma-ISO-140012004
Curso Auditor Interno en OHSAS 18001 dictado por el Centro de Gestión de la Calidad de UTN BA, también disponible en
http://calidad.sceu.frba.utn.edu.ar/index.php/cursos-seminarios?pid=70&sid=76:Auditor-Interno-en-Seguridad-y-Salud-Ocupacional-OHSAS-1800107-ISO-19011
Programa del curso dictado por el Centro de Gestión de la Calidad de UTN BA, también disponible en
http://calidad.sceu.frba.utn.edu.ar/index.php/cursos-seminarios?pid=58&sid=64:Auditor-Interno-en-Gestion-de-la-Calidad-ISO-9001
Desde la publicación de la enmienda menor a la norma ISO 9001 en el año 2008, el subcomité SC 2 del comité 176 ha estado llevando a cabo una amplia investigación y la preparación para la próxima gran revisión (prevista actualmente para el año 2015).
Esto es para mantener la ISO 9001 relevante, reflejar los cambios pertinentes en su entorno y asegurarse de que continúa ofreciendo "confianza en la capacidad de la organización para proporcionar de forma coherente productos y servicios que satisfagan tanto los requisitos de los clientes como los requisitos legales y reglamentarios.
Disertante:
Miembro del TC 176 SC3 Vice chairman: ISO International Organization for Standardizatio. Gerente de certificación de Sistemas de Gestión, Alimentos y Competencias Personales en IRAM.
Generación y desarrollo de negocios de Certificación de tercera parte para sistemas de gestión. Logro de crecimiento sostenido en la participación de mercado y la retanbilidad del negocio. Representación a nivel internacional en grupos estrategicos del sector de sistemas de gestión como ISO e IQNet. Especialidades:Auditor Leader ISO 9001 - IQNet Peer Assessor
http://www.congresodecalidad.com.ar/
El PACC es un programa a nivel nacional que promueve la inversión de las PyMES en asistencia técnica para lograr mejoras en la competitividad, innovación de productos y procesos. Otorga aportes no reembolsables entre 40% y 70% de los honorarios de los profesionales involucrados en el proyecto, hasta $130.000.
Acciones de monitoreo en calidad de aire y agua en la cuenca Matanza-Riachuelo
La Autoridad de Cuenca Matanza Riachuelo –ACUMAR- es un organismo público que se desempeña como la máxima autoridad en materia ambiental en la región. Es un ente autónomo, autárquico e interjurisdiccional que conjuga el trabajo con los tres gobiernos que tienen competencia en el territorio: Nación, Provincia de Buenos Aires y Ciudad Autónoma de Buenos Aires.
El organismo se crea en 2006 mediante la Ley 26.168 atendiendo a la preocupante situación de deterioro ambiental de la cuenca. En 2008, la Corte Suprema de Justicia de la Nación intimó a la ACUMAR a implementar un plan de saneamiento en respuesta a la causa judicial conocida como “Causa Mendoza”, reclamo presentado en 2004 por un grupo de vecinos.
En este escenario, la ACUMAR articula políticas públicas comunes y coordina los esfuerzos interinstitucionales para la implementación del Plan Integral de Saneamiento Ambiental (PISA).
Disertante: Andrés Carsen
Director de Calidad Ambiental, Autoridad de Cuenca Matanza-Riachuelo (ACUMAR).
Es biólogo especializado en Ciencias Ambientales, con estudios de post-grado en la Universidad de Dalhousie, Halifax, Nueva Escocia., Canadá. Entre otras actividades, ha sido responsable de la elaboración e implementación de proyectos regionales y nacionales relacionados con la conservación de los recursos hídricos y consultor internacional de proyectos implementados con apoyo de organismos multilaterales (entre otros Programa de las Naciones Unidas para el Desarrollo-PNUD, Oficina de las Naciones Unidas para ejecución de Proyectos-UNOPS, Organización de Estados Americanos-OEA y Programa de las Naciones Unidas para el medio ambiente). Actualmente trabaja en la Autoridad de Cuenca Matanza Riachuelo-ACUMAR como Coordinador del Área calidad Ambiental.
¿Qué necesita una organización para ser Lean?
Abstract
El principio fundamental para desarrollar y sostener una cultura Lean es poder comprender el hecho que Lean es un” viaje”, un proceso, es una trasformación que nunca tiene fin.
En este workshop queremos desarrollar las ideas fundamentales que sostienen la filosofía Lean, cuáles son las características que una organización debe desarrollar para “ser Lean” y cuáles son las características que “matan” dicha cultura.
Una base fundamental de esta forma de pensar tiene que ver con “mantener las cosas simples” por lo que les contaremos algunas experiencias donde se han desarrollado soluciones sencillas a distintas problemáticas.
Disertante: Lic. Juan Pablo Lancini
Licenciado en Recursos Humanos y Posgrado en Riesgos del Trabajo -Universidad de Morón. Diplomatura en Lean Six Sigma Green Belt - UTN. Diplomatura en Lean Six Sigma Black Belt - UTN. Especialización en el uso de herramientas Lean Six Sigma y benchmarking realizado en el parque industrial de Jaguariúna – Brasil. Especialización: “Aplicación de VSM, JIT, OEE, SMED” Technische Universität Darmstadt Alemania. Es docentes de Filosofía Lean en el Centro de Gestión de la Calidad de UTN Buenos Aires. Además, es Coordinador de Lean System en Fresenius Medical Care Argentina S.A. desde mayo 2012
www.congresodecalidad.com.ar
Exposición durante la primer Sesión Plenaria del IV Congreso Nacional de Sistemas de Gestión y Mejora Continua.
Barreras que Impiden la maduración de un sistema de gestión. Por Rafael Griffi.
Disertantes:
Ing. Jorge Lopez: Director de la Maestría en Ingeniería en Calidad. Escuela de Posgrado UTN.BA
Ing. Hector Collaiani: Auditor Líder de Sistemas de Gestión de la Calidad. ISO 9001 en TÜV Rheinland Argentina.
Lic. José María Donati: Director General de la Dirección General de Estadística y Censos del Gobierno de la Ciudad Autónoma de Buenos Aires.
Ing. Rafael Griffi: Gerente General de DQS-UL MSS Argentina S. R. L.
Coordinador:
Ing. Homero Jeanneret: Vice Presidente en Nitargen S.A.
www.congresodecalidad.com.ar
Exposición durante la primer Sesión Plenaria del IV Congreso Nacional de Sistemas de Gestión y Mejora Continua.
Barreras que Impiden la maduración de un sistema de gestión. Por Jorge Lopez.
Disertantes:
Ing. Jorge Lopez: Director de la Maestría en Ingeniería en Calidad. Escuela de Posgrado UTN.BA
Ing. Hector Collaiani: Auditor Líder de Sistemas de Gestión de la Calidad. ISO 9001 en TÜV Rheinland Argentina.
Lic. José María Donati: Director General de la Dirección General de Estadística y Censos del Gobierno de la Ciudad Autónoma de Buenos Aires.
Ing. Rafael Griffi: Gerente General de DQS-UL MSS Argentina S. R. L.
Coordinador:
Ing. Homero Jeanneret: Vice Presidente en Nitargen S.A.
www.congresodecalidad.com.ar
Exposición durante la primer Sesión Plenaria del IV Congreso Nacional de Sistemas de Gestión y Mejora Continua.
Barreras que Impiden la maduración de un sistema de gestión. Por Hector Collaiani.
Disertantes:
Ing. Jorge Lopez: Director de la Maestría en Ingeniería en Calidad. Escuela de Posgrado UTN.BA
Ing. Hector Collaiani: Auditor Líder de Sistemas de Gestión de la Calidad. ISO 9001 en TÜV Rheinland Argentina.
Lic. José María Donati: Director General de la Dirección General de Estadística y Censos del Gobierno de la Ciudad Autónoma de Buenos Aires.
Ing. Rafael Griffi: Gerente General de DQS-UL MSS Argentina S. R. L.
Coordinador:
Ing. Homero Jeanneret: Vice Presidente en Nitargen S.A.
www.congresodecalidad.com.ar
Exposición durante la primer Sesión Plenaria del IV Congreso Nacional de Sistemas de Gestión y Mejora Continua.
Barreras que Impiden la maduración de un sistema de gestión. Por José María Donatii.
Disertantes:
Ing. Jorge Lopez: Director de la Maestría en Ingeniería en Calidad. Escuela de Posgrado UTN.BA
Ing. Hector Collaiani: Auditor Líder de Sistemas de Gestión de la Calidad. ISO 9001 en TÜV Rheinland Argentina.
Lic. José María Donati: Director General de la Dirección General de Estadística y Censos del Gobierno de la Ciudad Autónoma de Buenos Aires.
Ing. Rafael Griffi: Gerente General de DQS-UL MSS Argentina S. R. L.
Coordinador:
Ing. Homero Jeanneret: Vice Presidente en Nitargen S.A.
www.congresodecalidad.com.ar
Abstract:
¿Cómo medir la calidad de un servicio? Se puede medir algo intangible?
La utilidad de definir objetivos e indicadores apropiados para el seguimiento del desempeño de los servicios brindados.
Caso práctico implementado en empresas privadas y en organismos públicos.
Disertante: Ing. Juan Ignacio Sayavedra
Ingeniero Industrial actualmente cursando Máster en innovación y desarrollo emprendedor de Universidad de Salamanca.
Brinda servicios de consultoría en mejoras de procesos e implementaciones de sistemas de gestión de calidad en organismos públicos como GCBA, Gobierno Nacional; y empresas privadas tanto de servicios como industriales.
Diserntante: Ing. Ramiro Walter Garbarini,
Ingeniero en Sistemas de Información actualmente cursando Maestría en Tecnología Informática Aplicada a la Educación de la Universidad Nacional de La Plata. Brinda servicios de consultoría en mejoras de procesos e implementaciones de sistemas de gestión de calidad en empresas privadas tanto de servicios como industriales.
Caso de éxito
Mediciones de Eficiencia y transparencia en la gestión de la Dirección General de Suministros de la Policía Metropolitana a causa de la implementación de la norma ISO-9001 en el proceso de compras.
La presente exposición tiene por objeto demostrar mediante índices e indicadores de medición de gestión las mejoras obtenidas en el proceso de compras desarrollado en la Policía Metropolitana, a partir de la implementación de la Norma ISO-9001. Reflejando eficiencia y transparencia en cada una de las etapas del proceso.
Disertante: Dra. Genoveva María Ferrero
Abogada. Directora General de Suministros a la Policía Metropolitana, Ministerio de Justicia y Seguridad del Gobierno de la Ciudad Autónoma de Buenos Aires.
www.congresodecalidad.com.ar
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...JAVIER SOLIS NOYOLA
El Mtro. JAVIER SOLIS NOYOLA crea y desarrolla el “ROMPECABEZAS DE ECUACIONES DE 1ER. GRADO OLIMPIADA DE PARÍS 2024”. Esta actividad de aprendizaje propone retos de cálculo algebraico mediante ecuaciones de 1er. grado, y viso-espacialidad, lo cual dará la oportunidad de formar un rompecabezas. La intención didáctica de esta actividad de aprendizaje es, promover los pensamientos lógicos (convergente) y creativo (divergente o lateral), mediante modelos mentales de: atención, memoria, imaginación, percepción (Geométrica y conceptual), perspicacia, inferencia, viso-espacialidad. Esta actividad de aprendizaje es de enfoques lúdico y transversal, ya que integra diversas áreas del conocimiento, entre ellas: matemático, artístico, lenguaje, historia, y las neurociencias.
3. Objetivos
• Filosofía de la ISO
• Seguridad de la Información
• La norma ISO / IEC 27001:2013
• Factores clave de éxito para su
implementación
4. MISIÓN
OBJETIVOS DEL
NEGOCIO
RIESGOS DEL
NEGOCIO
RIESGOS
APLICABLES
CONTROLES
INTERNOS
REVISIÓN
ISO 9001
ISO/IEC 27001
ISO/IEC 22301
ISO/IEC 20000
ISO 14001
OHSAS 18001
ISO 26000
Sistemas
de Gestión
Integrados
5. Información
La información constituye un importante activo,
esencial para las necesidades empresariales de
una organización. La información puede existir de
muchas maneras. Puede estar impresa o escrita
en papel, puede estar almacenada
electrónicamente, ser transmitida por correo o por
medios electrónicos, se la puede mostrar en
videos, o exponer oralmente en conversaciones.
ISO / IEC 27000:2014
6. Términos y definiciones
• Confidencialidad: Propiedad por la cual la información
no esté disponible ni sea divulgada a individuos,
organismos o procesos no autorizados.
ISO 27000:2014, cláusula 2.12
• Integridad: Propiedad de proteger la precisión y la
totalidad de los activos.
ISO 27000:2014, cláusula 2.40
• Disponibilidad: Propiedad de estar accesible y ser
utilizable a demanda por parte de un organismo
autorizado
ISO 27000:2014, cláusula 2.9
7. Seguridad de la información
Preservación de la confidencialidad, integridad y
disponibilidad de la información; además de otras
propiedades, que también pueden estar
involucradas como la autenticación, registro de
responsabilidad (accountability), el no repudio y la
confiabilidad.
ISO 27000:2014
8. SGSI
La parte del sistema global de gestión, basada en
un enfoque de riesgos empresariales, para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información.
Nota: El sistema de gestión incluye la estructura
organizacional, políticas, actividades de
planificación, responsabilidades, prácticas,
procedimientos, procesos y recursos.
9. DO CHECK ACT
8
8
Operación
Operación
9
9
Evaluación del
desempeño
Evaluación del
desempeño
10
Mejora
10
Mejora
7
Apoyo
Información
Documentada
Información
Documentada
Planificación y
control operativo
Planificación y
control operativo
Evaluación de
riesgos de
seguridad de
información
Evaluación de
riesgos de
seguridad de
información
Tratamiento de
riesgos de
seguridad de
información
Tratamiento de
riesgos de
seguridad de
información
Seguimiento,
medición,
análisis y
evaluación
Seguimiento,
medición,
análisis y
evaluación
AuAduidtoitroíarí ain itnetrenrana
Revisión por la
dirección
Revisión por la
dirección
No
No
conformidades y
conformidades y
acciónes
correctivas
acciónes
correctivas
MMejeojroar ac ocnotnintiunaua
7
Apoyo
RReceucrusrossos
CComompepteetnecnicaia
CConocniceinetniztiazcaicóinón
CComomunuinciaccaicóinón
4
4
Contexto de la
Organización
Contexto de la
Organización
5
5
Liderazgo
Liderazgo
6
6
PLAN
Planificación
Planificación
Comprender la
organización y su
Comprender la
organización y su
contexto
contexto
Comprender las
necesidades y
expectativas de las
partes interesadas
Comprender las
necesidades y
expectativas de las
partes interesadas
Determinar el
alcance del SGSI
Determinar el
alcance del SGSI
SGSGSISI
Liderazgo y
compromiso
Liderazgo y
compromiso
PoPloítliíctiaca
Roles,
Roles,
responsabilidades
y autoridades
de la organización
responsabilidades
y autoridades
de la organización
Acciones para
tratar riesgos y
oportunidades
Acciones para
tratar riesgos y
oportunidades
Objetivos de SI y
planes para
alcanzarlos
Objetivos de SI y
planes para
alcanzarlos
PDCA y las cláusulas
ISO/IEC 27001:2013
10. Cláusulas de la norma en el
modelo PDCA de mejora
continua
Mejora Continua
Mantener y
Mejorar el SGSI
10
Implementar y
Operar el SGSI
8
Establecer
el SGSI
4, 5, 6, 7
Anexo A
Partes
Interesadas
Requisitos y
Expectativas
de Seguridad
de la
Información
Partes
Interesadas
Seguridad
de la
Información
Gestionada
Plan
Monitorear y
Revisar el SGSI
9
Do
Check
Act
11. Anexo A de la norma ISO 27001
A 5 Políticas de seguridad de la información
A 6 Organización de la seguridad de la información
A 7 Seguridad de los recursos humanos
A 8 Gestión de activos
A 9 Control de accesos
A 10 Criptografia
A 11 Seguridad física y ambiental
A 12 Seguridad de las operaciones
A 13 Seguridad de las comunicaciones
A 14 Adquisición, desarrollo y mantenimiento de los
sistemas de información
A 15 Relaciones con los proveedores
A 16 Gestión de incidentes de seguridad de la información
A 17 Aspectos de seguridad de la información en la gestión
de la continuidad del negocio
A 18 Cumplimiento
Anexo A
12. Factores clave de éxito de una
implementación ISO 27001
1. Política y objetivos del SGSI.
2. Gestión de riesgos.
3. Compromiso de la Dirección.
4. Metodología de mejora continua.
5. Certificación del SGSI.
13. 1. Política y objetivos del SGC
• Establecer las directrices en la política (no en los objetivos).
• Identificar objetivos de calidad SMART:
– eSpecificos (Specific): ¿El objetivo es claro y no ambiguo?
– Medibles (Measurable): ¿El objetivo tiene un criterio de
medición?
– Alcanzables (Achievable): ¿El objetivo es desafiante pero
alcanzable?
– Realista (Realistic): ¿El objetivo puede ser logrado con los
recursos que tenemos?
– a Tiempo (Timely): ¿El objetivo tiene definido cuándo se desea
alcanzar?
• Alinear los objetivos con las directrices de la política
• Evidenciar a través de métricas el cumplimiento de los objetivos.
14. 2. Gestión de riesgos
• Participación de todo el personal involucrado:
– Dueños deben fijar la valoración o importancia de los activos en
función del negocio
– Custodios deben determinar los medios técnicos para
protegerlos, en función de las definiciones de los dueños
• Compromiso de la Dirección con la gestión de los
riesgos (ver factor clave de éxito 3).
• Revisiones periódicas de la gestión de riesgos y
aprendizaje de los incidentes de seguridad.
• Contar con un encargado de riesgos idóneo
técnicamente y para moderar un proceso de
comunicaciones interpersonales y liderar las
negociaciones entre dueños y custodios.
15. Definir:
Alcance,
Política y
Metodología
Identificar:
Activos,
Vulnerabilidades
Amenazas y
Controles
Analizar:
Riesgos
Costo / Beneficio
Decidir tratamiento de riesgos
Aceptar riesgo residual
Controles:
Seleccionar
SOA
Implantar
Seguros
Proveedores
Conocer y
Aceptar las
consecuencias
Cese de la
actividad que
lo origina
Planificar Identificar y
analizar
Dirección
Mitigar
riesgo
Transferir
riesgo
Aceptar
riesgo
Evitar
riesgo
Análisis y
valoración de
riesgos
Tratamiento
de riesgos
16. 3. Compromiso de la dirección
• Establecer la política, objetivos y comunicar a la
organización la importancia de alcanzarlos.
• Aprobación de la Declaración de aplicabilidad.
• Provisión de los recursos.
• Decidir los criterios de aceptación de riesgos.
• Asegurar que el programa de auditorías internas
mejora con el tiempo.
• Revisión por la dirección.
17. La Mejora Continua
Auditoría Auditoría Auditoría
Control Puntos de Auditoría
Operación “Normal” de la Seguridad
Tiempo
Nivel de Seguridad de la empresa
Seguridad operativa débil
Seguridad operativa más fuerte
Mejora continua
Preparación para la Auditoría
18. Modelo de madurez de Philip Crosby
1. Incertidumbre:
realidad confusa y
sin compromiso.
3. Ilustración: compromiso
de mejora, enfrentando
los problemas sin desviar
la acción a otros.
2. Despertar: reconocimiento de la
importancia de la gestión de la
calidad pero sin un compromiso de
invertir en ella.
5. Certeza:
4. Sabiduría:
gestión de la
calidad como
parte esencial
de los sistemas
de la empresa.
participación,
medición precisa e
intentos de hacer
permanentes las
mejoras logradas.
19. 5. Certificación del SGSI
• Es un proceso posterior a la
implementación, pero independiente.
• La realizan varios organismos prestigiosos
que determinan si el SGSI cumple con los
requisitos de ISO 27001.
• Facilita el apoyo de la Dirección.
• Alínea a las personas vinculadas con el
SGSI dentro de un objetivo compartido.
20. Proceso de certificación
CICLO
PERIODICO
Implantación del
Sistema de
Gestión de la
Seguridad de la
Información
Solicitud de la
Certificación
FASE I
Análisis de
Documentación
FASE II
Auditoría de
Certificación
Aprobación
NO
Visita
Adicional
Auditoria SI
anual
de
Mantenimiento
Visita Adicional
Aprobación
Mantenimiento
de
Certificado
NO
SI
Emisión de
Certificado
21. Esfuerzo de certificación
La organización debe evidenciar:
• Adherencia con su política de SGSI, objetivos y
procedimientos
• Que el SGSI concuerda con todos los requisitos normativos y
que alcanza los objetivos de la política de seguridad de la
información
La auditoría de certificación se focaliza en:
• Evaluar los riesgos relativos a la seguridad de la información
y que esa evaluación produzca resultados comparables y
reproducibles
• La documentación obligatoria
• La selección de controles y objetivos de control identificados
durante el proceso de gestión de riesgos.
22. Esfuerzo de certificación
La auditoría de certificación se focaliza en (continuación):
• Revisión de la eficacia del SGSI y las métricas de la eficacia de los
controles de seguridad de la información, reporte y revisión versus
los objetivos del SGSI
• Auditorías internas y revisiones de la Dirección
• Responsabilidad de la Dirección en función de la política de
seguridad de la información
• La correspondencia entre los controles seleccionados e
implantados, SOA, y los resultados de la evaluación y tratamiento
de riesgos, y la política y objetivos del SGSI
• La implementación de controles, teniendo en cuenta las métricas de
la eficacia de los controles de la organización, para determinar si
los controles implementados son efectivos para alcanzar los
objetivos establecidos
• Programas, procedimientos, registros, auditorías internas, y
revisiones de la eficacia para asegurar que son trazabables hacia la
gestión de riesgos, la política y objetivos del SGSI
23. Beneficios de la certificación
• Asegura la eficacia de la gestión de la seguridad de la información a
través del cumplimiento de una norma de reconocimiento
internacional
• Facilita el apoyo de la Dirección
• Mejora la conciencia, responsabilidad y sensibilización del personal
hacia la seguridad de la información
• Incrementa la confianza de clientes y socios estratégicos por la
garantía de calidad, confidencialidad comercial y cumplimiento de
leyes y reglamentaciones
• Implementa la seguridad de la información en los procesos de
negocio a través de la gestión de los mismos y no por la compra
sistemática de productos y tecnología (revisión de los riesgos y
controles a lo largo del tiempo)
• Integra al SGSI con otros sistemas de gestión como SGC y SGA
• Robustece la imagen de la empresa a nivel local e internacional
(elemento diferenciador de la competencia)
25. Próximo Curso
Auditor Interno en Seguridad de la
Información ISO/IEC 27001; 19011
Viernes 17, 24 y 31 de octubre de 9 a 18 hs.
Informes: calidad@sceu.frba.utn.edu.ar
Tel.: 4867-7500 Int. 7710
26. Novedades 2015
Diplomatura en Sistemas de Gestión de
Servicios de Tecnología y Seguridad de la
Información
120 hs.