Suche senden
Hochladen
09 Global Knowledge II Avanza 2009
•
1 gefällt mir
•
989 views
P
Pepe
Folgen
Presentación II de Global Knowledge en Plan Avanza 2009
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 57
Empfohlen
Normatecnica
Normatecnica
Jhon Egoavil
Gestion calidad cambio
Gestion calidad cambio
Alex Vaca
Seguridad web
Seguridad web
camposer
SAT - SISTEMA DE ALERTA TEMPRANA - REGIÓN CALLAO
SAT - SISTEMA DE ALERTA TEMPRANA - REGIÓN CALLAO
Walter Vegazo Muro
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
Miguel de la Cruz
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
fredycollaguazo
04 ingsoft jdchc
04 ingsoft jdchc
Javier Chávez Centeno
análisis y gestión del riesgo
análisis y gestión del riesgo
Sindi Santos Cardenas
Empfohlen
Normatecnica
Normatecnica
Jhon Egoavil
Gestion calidad cambio
Gestion calidad cambio
Alex Vaca
Seguridad web
Seguridad web
camposer
SAT - SISTEMA DE ALERTA TEMPRANA - REGIÓN CALLAO
SAT - SISTEMA DE ALERTA TEMPRANA - REGIÓN CALLAO
Walter Vegazo Muro
Vulnerabilidades en sitios web(español)
Vulnerabilidades en sitios web(español)
Miguel de la Cruz
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
fredycollaguazo
04 ingsoft jdchc
04 ingsoft jdchc
Javier Chávez Centeno
análisis y gestión del riesgo
análisis y gestión del riesgo
Sindi Santos Cardenas
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
Imperva
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completa
Maxwell Kenshin
Administración de riesgos en un proyecto software
Administración de riesgos en un proyecto software
Anna Vega
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
Aranda Software
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
Angel Reyes
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Blace57
Gestion De Riesgos
Gestion De Riesgos
malupahu
Gestión de riesgos en proyectos
Gestión de riesgos en proyectos
Guillermo Montero Fdez-Vivancos
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
eliseo ortiz
Guia tecnica para evaluación de software
Guia tecnica para evaluación de software
Alex Betancur
Gestion Riesgos
Gestion Riesgos
Diego Celi
Riesgos del proyecto
Riesgos del proyecto
Santos Gabriel
El Balance Scorecard ó BSC
El Balance Scorecard ó BSC
Juan Carlos Fernandez
PHP Avanzado: Patrones de diseño
PHP Avanzado: Patrones de diseño
Rightster
GESTION DE LA CALIDAD DEL PROYECTO
GESTION DE LA CALIDAD DEL PROYECTO
Raquel Solano
Seguridad Informática
Seguridad Informática
jemarinoi
Gestión del riesgo de software
Gestión del riesgo de software
jose_macias
Estimación de Proyectos de Software
Estimación de Proyectos de Software
Andrés Felipe Montoya Ríos
Gestión de Riesgos en Proyectos según el PMBOK: Lineamientos Generales para s...
Gestión de Riesgos en Proyectos según el PMBOK: Lineamientos Generales para s...
Manuel Asmat Córdova MBA, SCPM®, PgMP®, PMP®
Seguridad en sitios web
Seguridad en sitios web
UTPL
Estándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica
I foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
EOI Escuela de Organización Industrial
Weitere ähnliche Inhalte
Andere mochten auch
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
Imperva
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completa
Maxwell Kenshin
Administración de riesgos en un proyecto software
Administración de riesgos en un proyecto software
Anna Vega
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
Aranda Software
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
Angel Reyes
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Blace57
Gestion De Riesgos
Gestion De Riesgos
malupahu
Gestión de riesgos en proyectos
Gestión de riesgos en proyectos
Guillermo Montero Fdez-Vivancos
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
eliseo ortiz
Guia tecnica para evaluación de software
Guia tecnica para evaluación de software
Alex Betancur
Gestion Riesgos
Gestion Riesgos
Diego Celi
Riesgos del proyecto
Riesgos del proyecto
Santos Gabriel
El Balance Scorecard ó BSC
El Balance Scorecard ó BSC
Juan Carlos Fernandez
PHP Avanzado: Patrones de diseño
PHP Avanzado: Patrones de diseño
Rightster
GESTION DE LA CALIDAD DEL PROYECTO
GESTION DE LA CALIDAD DEL PROYECTO
Raquel Solano
Seguridad Informática
Seguridad Informática
jemarinoi
Gestión del riesgo de software
Gestión del riesgo de software
jose_macias
Estimación de Proyectos de Software
Estimación de Proyectos de Software
Andrés Felipe Montoya Ríos
Gestión de Riesgos en Proyectos según el PMBOK: Lineamientos Generales para s...
Gestión de Riesgos en Proyectos según el PMBOK: Lineamientos Generales para s...
Manuel Asmat Córdova MBA, SCPM®, PgMP®, PMP®
Seguridad en sitios web
Seguridad en sitios web
UTPL
Andere mochten auch
(20)
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completa
Administración de riesgos en un proyecto software
Administración de riesgos en un proyecto software
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
Análisis de riesgos de un proyecto de software
Análisis de riesgos de un proyecto de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestion De Riesgos
Gestion De Riesgos
Gestión de riesgos en proyectos
Gestión de riesgos en proyectos
10 Riesgos más importantes en aplicaciones Web
10 Riesgos más importantes en aplicaciones Web
Guia tecnica para evaluación de software
Guia tecnica para evaluación de software
Gestion Riesgos
Gestion Riesgos
Riesgos del proyecto
Riesgos del proyecto
El Balance Scorecard ó BSC
El Balance Scorecard ó BSC
PHP Avanzado: Patrones de diseño
PHP Avanzado: Patrones de diseño
GESTION DE LA CALIDAD DEL PROYECTO
GESTION DE LA CALIDAD DEL PROYECTO
Seguridad Informática
Seguridad Informática
Gestión del riesgo de software
Gestión del riesgo de software
Estimación de Proyectos de Software
Estimación de Proyectos de Software
Gestión de Riesgos en Proyectos según el PMBOK: Lineamientos Generales para s...
Gestión de Riesgos en Proyectos según el PMBOK: Lineamientos Generales para s...
Seguridad en sitios web
Seguridad en sitios web
Ähnlich wie 09 Global Knowledge II Avanza 2009
Estándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica
I foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
EOI Escuela de Organización Industrial
La Importancia de los procesos de Seguridad en la Información, por Maximilian...
La Importancia de los procesos de Seguridad en la Información, por Maximilian...
Foro Global Crossing
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
LibreCon
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
Richard Gonzalo Llanos Gutierrez
Iso18788 2015 - SGOS
Iso18788 2015 - SGOS
CONSULTORES & AUDITORES EN GESTION S.A.S
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Miguel A. Amutio
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
Presentación Audisec
Presentación Audisec
Manuel Reboreda
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
Chema Alonso
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
CAELUM-CMMI
Tríptico Aixa Corpore
Tríptico Aixa Corpore
cholawer
DOITsmart.es - Claves de exito en la certificación ISO 27001
DOITsmart.es - Claves de exito en la certificación ISO 27001
Toni Martin Avila
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
xavazquez
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
Miguel A. Amutio
Auditoria
Auditoria
xxgiancarloxx
Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares
Grupo14 tfinal parte3
Grupo14 tfinal parte3
arodri7703
Presentación audisec cloud_computing_fundacióndintel
Presentación audisec cloud_computing_fundacióndintel
Manuel Reboreda
Iso 27000(2)
Iso 27000(2)
Benet Oliver Noguera
Ähnlich wie 09 Global Knowledge II Avanza 2009
(20)
Estándares de seguridad informática
Estándares de seguridad informática
I foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
La Importancia de los procesos de Seguridad en la Información, por Maximilian...
La Importancia de los procesos de Seguridad en la Información, por Maximilian...
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
Iso18788 2015 - SGOS
Iso18788 2015 - SGOS
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Herramientas para adecuarse al ENS (Esquema Nacional de Seguridad).
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Presentación Audisec
Presentación Audisec
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
Tríptico Aixa Corpore
Tríptico Aixa Corpore
DOITsmart.es - Claves de exito en la certificación ISO 27001
DOITsmart.es - Claves de exito en la certificación ISO 27001
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
20120530 herramientas para adecuarse al ens
20120530 herramientas para adecuarse al ens
Auditoria
Auditoria
Iso 27001 2013
Iso 27001 2013
Grupo14 tfinal parte3
Grupo14 tfinal parte3
Presentación audisec cloud_computing_fundacióndintel
Presentación audisec cloud_computing_fundacióndintel
Iso 27000(2)
Iso 27000(2)
Mehr von Pepe
05 Almira Labs VII Semana CMMI
05 Almira Labs VII Semana CMMI
Pepe
03 Tecsidel VII Semana CMMI
03 Tecsidel VII Semana CMMI
Pepe
04 Panel VII Semana CMMI
04 Panel VII Semana CMMI
Pepe
01 Ministerio de Defensa VII Semana CMMI
01 Ministerio de Defensa VII Semana CMMI
Pepe
01 Insa VI Semana CMMI
01 Insa VI Semana CMMI
Pepe
06 IAPSolutions VI Semana CMMI
06 IAPSolutions VI Semana CMMI
Pepe
05 Visure VI Semana del CMMI
05 Visure VI Semana del CMMI
Pepe
04 Grupo Gesfor VI Semana CMMI
04 Grupo Gesfor VI Semana CMMI
Pepe
03 Siconet VI Semana CMMI
03 Siconet VI Semana CMMI
Pepe
02 Avanade VI Semana CMMI
02 Avanade VI Semana CMMI
Pepe
09 Gesein VI Semana CMMI
09 Gesein VI Semana CMMI
Pepe
07 Caelum VI Semana CMMI
07 Caelum VI Semana CMMI
Pepe
08 Consejo VI Semana CMMI
08 Consejo VI Semana CMMI
Pepe
02 Deloitte SFIC 2009
02 Deloitte SFIC 2009
Pepe
08 AEC SFIC 2009
08 AEC SFIC 2009
Pepe
03 IDC SFIC 2009
03 IDC SFIC 2009
Pepe
18 Inycom SFIC 2009
18 Inycom SFIC 2009
Pepe
19 AEMES SFIC 2009
19 AEMES SFIC 2009
Pepe
17 IBM SFIC 2009
17 IBM SFIC 2009
Pepe
16 Vector Software SFIC 2009
16 Vector Software SFIC 2009
Pepe
Mehr von Pepe
(20)
05 Almira Labs VII Semana CMMI
05 Almira Labs VII Semana CMMI
03 Tecsidel VII Semana CMMI
03 Tecsidel VII Semana CMMI
04 Panel VII Semana CMMI
04 Panel VII Semana CMMI
01 Ministerio de Defensa VII Semana CMMI
01 Ministerio de Defensa VII Semana CMMI
01 Insa VI Semana CMMI
01 Insa VI Semana CMMI
06 IAPSolutions VI Semana CMMI
06 IAPSolutions VI Semana CMMI
05 Visure VI Semana del CMMI
05 Visure VI Semana del CMMI
04 Grupo Gesfor VI Semana CMMI
04 Grupo Gesfor VI Semana CMMI
03 Siconet VI Semana CMMI
03 Siconet VI Semana CMMI
02 Avanade VI Semana CMMI
02 Avanade VI Semana CMMI
09 Gesein VI Semana CMMI
09 Gesein VI Semana CMMI
07 Caelum VI Semana CMMI
07 Caelum VI Semana CMMI
08 Consejo VI Semana CMMI
08 Consejo VI Semana CMMI
02 Deloitte SFIC 2009
02 Deloitte SFIC 2009
08 AEC SFIC 2009
08 AEC SFIC 2009
03 IDC SFIC 2009
03 IDC SFIC 2009
18 Inycom SFIC 2009
18 Inycom SFIC 2009
19 AEMES SFIC 2009
19 AEMES SFIC 2009
17 IBM SFIC 2009
17 IBM SFIC 2009
16 Vector Software SFIC 2009
16 Vector Software SFIC 2009
Kürzlich hochgeladen
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
maryfer27m
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
JavierHerrera662252
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
241523733
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
MiguelAngelVillanuev48
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
chaverriemily794
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
Alexander López
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
jeondanny1997
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
241522327
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
241514984
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
Alexander López
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Alexander López
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
JOSEFERNANDOARENASCA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
241531640
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
JOSEMANUELHERNANDEZH11
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
ValentinaTabares11
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
narvaezisabella21
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
AdrianaMartnez618894
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
MidwarHenryLOZAFLORE
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
241514949
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
DIDIERFERNANDOGUERRE
Kürzlich hochgeladen
(20)
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Google-Meet-como-herramienta-para-realizar-reuniones-virtuales.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
09 Global Knowledge II Avanza 2009
1.
Introducción al estándar
ISO 27001 Gabriel Díaz Orueta 16/09/2008 1 © 2008 Global Knowledge Training LLC. All rights reserved
2.
CONTENIDOS 1- ¿De qué
vamos a hablar? 2- Un poco de historia 3- La familia de normas 2700x 4- El estándar ISO 27001 5- Implantación y certificación 16/09/2008 2 © 2008 Global Knowledge Training LLC. All rights reserved
3.
1- ¿Dónde estamos?
Durante una feria a la que el CEO de una importante compañía de desarrollo de Software asistió para dar una conferencia, con el ánimo de ser lo más gráfico posible, hizo una comparación entre los logros de su compañía y los de la industria del automóvil. Y se le ocurrió la siguiente frase: “Si la General Motors se hubiera desarrollado como la industria de la informática en los últimos diez años, ahora podríamos conducir automóviles que correrían a 160.000 Km/h, pesarían menos de 14 kilogramos y recorrerían una distancia de 1.000 kilómetros con un solo litro de gasolina. Además, su precio sería de 25 dólares”. 16/09/2008 3 © 2008 Global Knowledge Training LLC. All rights reserved
4.
La respuesta de
General Motors: “Puede que tenga razón, pero si la industria del automóvil hubiera seguido la evolución de la informática hoy tendríamos coches de las siguientes características: Su automóvil tendría dos accidentes En ocasiones, su coche se pararía y cada día, sin que usted pudiera no podría volver a arrancarlo. Este explicarse la causa. hecho podría producirse al intentar Ocasionalmente, su coche se pararía realizar una maniobra (como girar a en medio de una autopista sin la izquierda). La solución será ninguna razón. Debería aceptarlo con reinstalar de nuevo el motor. resignación, volver a arrancar y Extrañamente, también aceptaría tal seguir conduciendo esperando que hecho resignado. no vuelva a ocurrir (y, por supuesto, Además, las puertas de su vehículo no tendría ninguna garantía de ello). se bloquearían frecuentemente sin Siempre que se presentase un nuevo razón aparente. Sin embargo, podría vehículo, los conductores deberían volverlas a abrir utilizando algún volver a aprender a conducir porque truco como accionar el tirador al nada funcionaría igual que en el mismo tiempo que con una mano modelo anterior. gira la llave de contacto y con la otra agarra la antena de la radio. 16/09/2008 4 © 2008 Global Knowledge Training LLC. All rights reserved
5.
Aproximación a los
problemas de seguridad Código malicioso Usuarios autorizados Vulnerabilidades del equipamiento Usuarios no autorizados Gestión de la compañía Otros 11% 9% 31% 11% 15% 23% 16/09/2008 5 © 2008 Global Knowledge Training LLC. All rights reserved
6.
ISO 27000: la
punta del iceberg Hay ya una gran cantidad de estándares y normas técnicas sobre diversos asuntos relacionados con la seguridad informática: - Firma digital - Seguridad de redes - Cifrado (algoritmos, - No repudio modos de operación, - Números primos gestión de claves) - Evaluación de seguridad de - Autenticación de entidades los productos - Funciones hash - Gestión de incidentes de - Detección de intrusiones seguridad - Actividades de forensia TI - Time-stamping - Message authentication codes 16/09/2008 6 © 2008 Global Knowledge Training LLC. All rights reserved
7.
Hay que cambiar
las cosas… Los pobres resultados en seguridad de la información son normalmente el resultado de una mala gestión y no de controles técnicos pobres. La serie de estándares de SGSI 27000 afrontan los problemas de información a los que nos enfrentamos desde el punto de vista de la gestión. No resulta sencillo, pero son “buenas prácticas” y funcionan. 16/09/2008 7 © 2008 Global Knowledge Training LLC. All rights reserved
8.
2- Un poco
de historia • 1992: El “Department of Trade and Industry (DTI)”, parte del gobierno del Reino Unido, publica su 'Code of Practice for Information Security Management'. • 1995: Este documento es reformado y republicado por el British Standards Institute (BSI) en 1995 como BS- 7799. • 1996: Empiezan a surgir herramientas y soporte, como COBRA. • 1999: Se publica la primera gran revisión del BS-7799. Se ponen en marcha esquemas de certificación y de acreditación, como el propio BSI. 16/09/2008 8 © 2008 Global Knowledge Training LLC. All rights reserved
9.
Un poco de
historia • 2000: En Diciembre, se republica BS7799 como un estándar ISO “fast tracked”. Se convierte en ISO 17799 (más formalmente ISO/IEC 17799). • 2001: Se pone en marcha el 'ISO 17799 Toolkit'. • 2002: Se publica una segunda parte del estándar: BS7799-2. Esta vez se trata de una especificación de Gestión de la Seguridad, más que un código de buenas prácticas. Se pone en marcha el proceso de alineamiento con otras normas de gestión, como ISO 9000. • 2005: Se publica una nueva versión de ISO 17799, que incluye dos nuevas secciones y un alineamiento mayor con los procesos de BS7799-2 • 2005: Se publica ISO 27001 como reemplazo de BS7799-2, que es retirado. Se trata de una especificación para un “ISMS (information security management system)”, alineado con ISO 17799 y compatible con ISO 9001 and ISO 14001. 16/09/2008 9 © 2008 Global Knowledge Training LLC. All rights reserved
10.
¿De dónde llegó
ISO 17799? • El BS7799 se concibió como un sistema de gestión neutral con respecto a los fabricantes y a las tecnologías que, implementado correctamente, permitiría a la dirección de una organización asegurar que sus medidas de seguridad de la información son efectivas. • Desde el principio, el BS7799 puso su foco en la protección de la disponibilidad, confidencialidad e integridad de la información de la organización y estos siguen siendo, hoy en día, los objetivos del estándar. • Originalmente BS7799 era un sólo estándar y tenía el status de “Código de Prácticas”. En otras palabras, proporcionaba guía a las organizaciones, pero no había sido escrito como una especificación que pudiera formar la base de una cerificación externa y de un esquema de certificaciones. 16/09/2008 10 © 2008 Global Knowledge Training LLC. All rights reserved
11.
1995
1996 1999 2000 2002 2005 BS7799:1995 ISO 14980:1996 BS7799-1:1999 ISO/IEC 17799:2000 UNE/ISO 17799:2002 ISO 27001:2005 ISO 27002:2005 2007-11-28 UNE-ISO/IEC 27001:2007 16/09/2008 11 © 2008 Global Knowledge Training LLC. All rights reserved
12.
3- La familia
de normas 2700x Estándares publicados ISO/IEC 27001 – El estándar de certificación contra el que se pueden certificar los SGSI (Sistemas de Gestión de Seguridad de la Información) ISO/IEC 27002 – El nuevo nombre del estándar ISO 17799 (revisado en 2005 y renumerado como ISO/IEC 27002:2005 en Julio de 2007) ISO/IEC 27005 - El estándar propuesto para gestión de riesgos (aprobado en Junio de 2008) ISO/IEC 27006 – Una guía para el proceso de registro y certificación (publicado en 2007) 16/09/2008 12 © 2008 Global Knowledge Training LLC. All rights reserved
13.
La familia de
normas 2700x En preparación: ISO/IEC 27000 – un vocabulario estándar para las normas de un SGSI ISO/IEC 27003 – una guía nueva de implementación de un SGSI. Tiene su origen en el anexo B de la norma BS7799-2 ISO/IEC 27004 – un nuevo estándar sobre métricas de gestión de seguridad de la información ISO/IEC 27007 – un “guideline” sobre auditorías de SGSI ISO/IEC 27011 – un “guideline” para telecomunicaciones en SGSI ISO/IEC 27799 – una guía de implementación del ISO/IEC 27002 en la industría sanitaria 16/09/2008 13 © 2008 Global Knowledge Training LLC. All rights reserved
14.
La idea principal…
Plan Establecer el Establecer el SGSI SGSI Mantener yyoperar Mantener yy Do Act Mantener operar Mantener el SGSI mejorar el SGSI el SGSI mejorar el SGSI Monitorizar yy Monitorizar revisar el SGSI revisar el SGSI Check Ciclo PDCA de DEMMING 16/09/2008 14 © 2008 Global Knowledge Training LLC. All rights reserved
15.
ISO 27000
• Definé la terminología para toda la serie de estándares 27000 • Trata de buscar consistencia en la termonología • Se espera que impacte en otras normas como COBIT (procesos TI) e ITIL para evitar confusiones 16/09/2008 15 © 2008 Global Knowledge Training LLC. All rights reserved
16.
ISO 27004 • Especificará
las métricas y técnicas de medida aplicables para determinar la eficiencia y efectividad de la implantación de un SGSI y de los controles relacionados. Estas métricas se usan fundamentalmente para la medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA. 16/09/2008 16 © 2008 Global Knowledge Training LLC. All rights reserved
17.
4- El estándar
ISO 27001 ¿Qué es un Sistema de Gestión de Seguridad de la Información? “Es un conjunto de políticas, procedimientos y controles que persigue mantener el riesgos de los sistemas de información dentro de unos niveles asumibles por la dirección y mejorar la seguridad de la información para apoyar los procesos de negocio a través del ciclo de mejora continua”. El núcleo sobre el que se fundamenta un SGSI es la GESTION DEL RIESGO 16/09/2008 17 © 2008 Global Knowledge Training LLC. All rights reserved
18.
¿Cómo trata el
riesgo un SGSI? Primero… Activos analizar el CLASIFICACION Amenazas Vulnerabilidades DEL RIESGO riesgo Impacto Segundo… Cuarto… decidir sobre 1.- Aceptarlo NIVEL 2.- Transferirlo corregir y el riesgo ACEPTABLE DEL 3.- Gestionarlo RIESGO mejorar Tercero… 1.- Políticas medir cómo 2.- Procedimientos CONTROL DEL van las cosas 3.- Implantación RIESGO 4.- Eficacia 16/09/2008 18 © 2008 Global Knowledge Training LLC. All rights reserved
19.
PRINCIPIOS BÁSICOS
La identificación y la protección de la información es la esencia de ISO 27001 Tipos de activos de información: – Contenido, contenedor, el que lo transporta – Bases de datos, aplicaciones, registros y sistema TI – Registros legales, organizativos y del comité de dirección – Protección intelectual – Reputación – Gente Los 3 aspectos fundamentales de la Seguridad de la Información: – Confidencialidad- Protección de la información frente a revelación no autorizada – Integridad- Protección de la información frente a modificación no autorizada y seguridad de la precisión y completitud – Disponibilidad- Asegurarse de que la información está disponible cuando es necesaria 16/09/2008 19 © 2008 Global Knowledge Training LLC. All rights reserved
20.
CONTENIDOS DE LA
NORMA 0- Introducción: generalidades e introducción al método PDCA. 1- Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. 2- Normas para consulta: otras normas que sirven de referencia. 3- Términos y definiciones: breve descripción de los términos más usados en la norma. 4- Sistema de gestión de la seguridad de la información: cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma. 16/09/2008 20 © 2008 Global Knowledge Training LLC. All rights reserved
21.
CONTENIDOS DE LA
NORMA 5- Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. 6- Auditorías internas del SGSI: cómo realizar las auditorías internas de control y cumplimiento. 7- Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección. 8- Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas. 16/09/2008 21 © 2008 Global Knowledge Training LLC. All rights reserved
22.
CONTENIDOS DE LA
NORMA Anexo A: Objetivos de control y controles: anexo normativo que enumera los objetivos de control y controles que se encuentran detallados en la norma ISO 27002:2005 Anexo B: Relación con los Principios de la OCDE: anexo informativo con la correspondencia entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE. Anexo C: Correspondencia con otras normas: anexo informativo con una tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001. Anexo D: Bibliografía: normas y publicaciones de referencia. 16/09/2008 22 © 2008 Global Knowledge Training LLC. All rights reserved
23.
DETALLES
Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: • Valoración de riegos (Risk Assesment) • SGSI • Controles 16/09/2008 23 © 2008 Global Knowledge Training LLC. All rights reserved
24.
VALORACIÓN DE LOS
RIESGOS Puede ser desarrollada con cualquier tipo de metodología (pública o particular), siempre y cuando sea completa y metódica. El resultado final de un análisis de riesgo, es: • Clara identificación, definición y descripción de los activos. • El impacto que podría ocasionar un problema sobre cada uno. • Conjunto de acciones que pueden realizarse (agrupadas). • Propuesta de varios cursos de acción posibles (Máx, inter1/2s, mín). • Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. 16/09/2008 24 © 2008 Global Knowledge Training LLC. All rights reserved
25.
Análisis de Riesgos
El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean mas objetivos – Introduce un grado importante de objetividad – Permite a la organización gestionar sus riesgos por sí mismos – Apoyar la toma de decisiones basándose en los riesgos propios – Centrarse en proteger los activos importantes – Formar y comunicar los aspectos de la seguridad necesarios Control de los riesgos Disminución del riesgo Riesgo conocido y asumido Vigilancia del nivel de riesgo. por la compañía 16/09/2008 25 © 2008 Global Knowledge Training LLC. All rights reserved
26.
Análisis de Riesgos.
Definiciones 16/09/2008 26 © 2008 Global Knowledge Training LLC. All rights reserved
27.
Análisis de Riesgos.
Relaciones Explota Amenazas Vulnerabilidades Afecta a Protegen Aumenta contra Aumenta Disminuye Riesgo Salvaguardas Activos Aumenta Satisfecho Indica Tiene por Requisitos de Valor de activos seguridad 16/09/2008 27 © 2008 Global Knowledge Training LLC. All rights reserved
28.
Análisis de Riesgos.
Relaciones Dir. Transversal, Dir. Equipos obsoletos, Hackers, Sabotajes, Explota Buff. Overflow, Buff. Overflow, Buff. Overrun, Buff. Overrun, Virus, Phising, Unauthorized mail access, access, Spam, Averías, etc. Priv. Escalation, DoS, Escalation, DoS, Falta formación, formació Afecta a Protegen Aumenta Open Relay, etc. Relay, contra Aumenta Cluster, Antivirus, Disminuye Antispam, Backup Riesgo eMail Respaldo, Formación, etc. Aumenta Satisfecho Indica Tiene por Requisitos de Valor del eMail seguridad 16/09/2008 28 © 2008 Global Knowledge Training LLC. All rights reserved
29.
Análisis de Riesgos.
Metodologías de Análisis de Riesgos • NIST SP800-30(NIST-USA). • MAGERIT • IT Baseline Protection Manual (BSI - Alemania). • CRAMM (Siemens Insight Consulting - UK) • OCTAVE (SEI Carnegie Mellon University - US). • EBIOS (DCSSI-Francia). • MÉHARI (Méthode Harmonisée d’Analyse de Risques Informatiques). 565 €, herramienta RISICARE (≈9200€+565€ formación extranjero) • Otras: COBRA, SCORE, CALIO, ISAAM, RA2, MOSLER, Gretener, etc. 16/09/2008 29 © 2008 Global Knowledge Training LLC. All rights reserved
30.
RESPONSABILIDADES DE LA
DIRECCIÓN Compromiso Recursos Formación preparación competencia 16/09/2008 30 © 2008 Global Knowledge Training LLC. All rights reserved
31.
COMPROMISO DE LA
DIRECCIÓN La Alta Dirección, no tiene por qué tener la menor idea de los aspectos técnicos de la Seguridad Informática (es más, sería un error que le dedique tiempo a aprender estas cosas) Lo que tiene clarísimo es la relación: Coste/beneficio/Negocio con una visión global de la empresa. Y ahí sí sabrá elegir cual es el mejor curso de Acción que deberá adoptar para su Negocio global (si se lo ha sabido presentar debidamente). Por lo tanto el trabajo importante es saber resumir/concretar la tarea de muchas semanas o meses que conlleva esta actividad, entre 3 a 6 CURSOS DE ACCIÓN, y una vez adoptada la decisión directiva, encontrar todos los medios de llevar adelante esta determinación (y por supuesto, generar el correspondiente “feedback”) 16/09/2008 31 © 2008 Global Knowledge Training LLC. All rights reserved
32.
Gestión de la
Seguridad . ISO 27001 Definir el alcance del SGSI Definir la política del SGSI Identificar los riesgos Gestionar los riesgos Seleccionar los controles ISO 17799:2005 Planificar Implantar las Establecer mejoras Definir e implantar el SGSI plan de gestión de Adoptar acciones Actuar Hacer riesgos preventivas y correctivas Implantar Mantener y Implantar y controles Comunicar acciones Mejorar el SGSI Operar el SGSI seleccionados y sus y resultados indicadores Verificar que las Comprobar Implantar el mejoras cumplen su Sistema de Gestión objetivo Monitorizar y Revisar el SGSI Desarrollar procedimientos de monitorización Revisar regularmente el SGSI Revisar los niveles de riesgo 16/09/2008 32 © 2008 Global Knowledge Training LLC. All rights reserved Auditar internamente el SGSI
33.
Gestión de la
Seguridad . Criterios de éxito para la implantación de un SGSI Las recomendaciones de la norma Política de seguridad coherente con los objetivos de negocio 1. Un sistema consistente con la cultura de la organización 2. Un buen análisis de los requerimientos de seguridad 3. Buena comunicación de la seguridad a todo el personal 4. Métricas e indicadores que permitan saber cómo funciona el SGSI 5. Distribución de guías de seguridad 6. Soporte de la dirección 7. Recursos 8. Formación y concienciación 9. Gestión de incidentes 10. 16/09/2008 33 © 2008 Global Knowledge Training LLC. All rights reserved
34.
SGSI
En el punto cuatro de la norma, se establecen los conceptos rectores del SGSI. Punto 4.1. Requerimientos generales: La organización, establecerá, implementará, operará, monitorizará, revisará, mantendrá y mejorará un SGSI documentado en su contexto para las actividades globales de su negocio y de cara a los riesgos. Para este propósito, el proceso está basado en el modelo PDCA. 16/09/2008 34 © 2008 Global Knowledge Training LLC. All rights reserved
35.
SGSI
Punto 4.3.2. Control de documentos: Todos los documentos requeridos por el SGSI serán protegidos y controlados. Un procedimiento documentado deberá establecer las acciones de administración necesarias para: •Aprobar documentos y prioridades o clasificación de empleo •Revisiones, actualizaciones y reaprobaciones de documentos •Asegurar que los cambios y las revisiones sean identificadas •Asegurar que las últimas versiones estén disponibles •Asegurar que los documentos permanezcan legibles e identificables •Asegurar que los documentos estén disponibles para quien los necesite y sean transferidos, guardados y finalmente clasificados •Asegurar que los documentos de origen externo sean identificados •Asegurar el control de la distribución de documentos •Prevenir el empleo no deseado de documentos obsoletos 16/09/2008 35 © 2008 Global Knowledge Training LLC. All rights reserved
36.
LOS CONTROLES •
Son mecanismos que chequean estado de las TI en términos de cómo proporcionan valor y de cómo se gestiona el riesgo. • La perspectiva con la que tanto TI como la dirección deben verlos: – No son un mal obligatorio por ley o una obligación que viene del dpto. de Seguridad de la Información – No son sólo necesarios, generan resultados positivos cuando se ejecutan correctamente 16/09/2008 36 © 2008 Global Knowledge Training LLC. All rights reserved
37.
CONTROLES EN ANEXO
A Este anexo los numera de la siguiente manera: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Marco legal y buenas prácticas 16/09/2008 37 © 2008 Global Knowledge Training LLC. All rights reserved
38.
16/09/2008
38 © 2008 Global Knowledge Training LLC. All rights reserved
39.
ALGUNOS EJEMPLOS A.9 Physical
and environmental security A.9.1 Secure areas Objective: To prevent unauthorized physical access, damage and interference to the organization premises and information A.9.1.1 Physical Security perimeter CONTROL: Security perimeters (barriers such as walls, card controlled and entry gates or manned reception desks) shall be used to protect areasthat contain information and information processing facilities A.9.1.2 Physical entry controls CONTROL: Secure areas shall be protected by appropiate entry controls to ensure that only authorized personnel are allowed access A.9.1.3 Securing offices, rooms CONTROL: Physical security for offices, rooms and facilities and facilities shall be designed and applied …… 16/09/2008 39 © 2008 Global Knowledge Training LLC. All rights reserved
40.
ISO 27002
Código de buenas prácticas para la gestión de la seguridad de los sistemas de información 16/09/2008 40 © 2008 Global Knowledge Training LLC. All rights reserved
41.
16/09/2008
41 © 2008 Global Knowledge Training LLC. All rights reserved
42.
ISO 27002 -
Tipos de controles Prevención Riesgo Detección Incidente Contención Daños Corrección Evaluación Recuperación 16/09/2008 42 © 2008 Global Knowledge Training LLC. All rights reserved
43.
16/09/2008
43 © 2008 Global Knowledge Training LLC. All rights reserved
44.
¿Cómo decidir qué
controles debo usar? Confirmar lo relevante de los controles a través de una valoración de riesgos Definir claramente los objetivos, asegurando que se alinean con el negocio: - Usar indicadores que existan, tipo KPIs de ITIL Para la auditoría del SGSI identificar controles que se puedan monitorizar continuamente mediante herramienteas elegidas Antes de usar ninguna herramienta confirmar los objetivos con la dirección y con terceros contratados a través de SLAs/OLAs 16/09/2008 44 © 2008 Global Knowledge Training LLC. All rights reserved
45.
Gestión de la
Seguridad . Factores de éxito Orientación al negocio Liderazgo de la dirección Participación del personal Seguridad basada en riesgo Enfoque basado en procesos, no en productos Enfoque de sistema de gestión Medición y mejora continua Toma de decisión basada en hechos Gestión planificada de incidentes 16/09/2008 45 © 2008 Global Knowledge Training LLC. All rights reserved
46.
ISO 27001/27002
BENEFICIOS • Alineamiento con la serie ISO 9000 de gestión de calidad • Asegura una gran consistencia en la gestión de los sistemas de información • Cohesión internacional • Reconocimiento profesional • Beneficios frente a administraciones públicas OBSTACULOS • Aceptación y despegue internacional • Soporte y acuerdos a nivel nacional 16/09/2008 46 © 2008 Global Knowledge Training LLC. All rights reserved
47.
5- IMPLANTACIÓN Y
CERTIFICACIÓN Auditoría / evaluación inicial Análisis de riesgos Consultora Selección de controles PROYECTO DE IMPLANTACION Y Desarrollo e implantación del SGSI CERTIFICACION DE SGSI Auditoría interna Corrección de no conformidades Certificadora Auditoría de certificación 16/09/2008 47 © 2008 Global Knowledge Training LLC. All rights reserved
48.
Proceso a seguir
16/09/2008 48 © 2008 Global Knowledge Training LLC. All rights reserved
49.
DETERMINACIÓN DE RIESGOS
16/09/2008 49 © 2008 Global Knowledge Training LLC. All rights reserved
50.
16/09/2008
50 © 2008 Global Knowledge Training LLC. All rights reserved
51.
16/09/2008
51 © 2008 Global Knowledge Training LLC. All rights reserved
52.
SOLICITUD + MANUAL+
PROCEDIMIENTOS REVISIÓN DE DOCUMENTACIÓN DOC. NO COMPLETA Y ADECUADA SI AUDITORÍA INICIAL SI ACCIONES CORRECTORAS VALIDAS PETICIÓN DE NUEVAS ACCIONES CORRECTORAS CONCESIÓN DEL CERTIFICADO NO Y/O VISITA EXTRAORDINARIA AUDITORÍA DE SEGUIMIENTO (ANUAL) SI ACCIONES CORRECTORAS VALIDAS PETICIÓN DE NUEVAS VALIDACIÓN DEL NO ACCIONES CORRECTORAS CERTIFICADO Y/O VISITA EXTRAORDINARIA AUDITORÍA DE RENOVACIÓN 16/09/2008 52 (TRIANUAL) © 2008 Global Knowledge Training LLC. All rights reserved
53.
16/09/2008
53 © 2008 Global Knowledge Training LLC. All rights reserved
54.
16/09/2008
54 © 2008 Global Knowledge Training LLC. All rights reserved
55.
¿Alguna pregunta?
Gabriel Díaz Orueta 16/09/2008 55 © 2008 Global Knowledge Training LLC. All rights reserved
56.
REFERENCIAS •
http://www.iso.org/iso/home.htm • http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html • http://www.standardsglossary.com/ • http://en.wikipedia.org/wiki/ISO_27000 • http://www.27000-toolkit.com/ • http://www.iso27001security.com/ • http://www.praxiom.com/27001.htm • http://www.information-security-policies-and standards.com/standard/index.htm • http://www.informationshield.com/iso17799.html • http://www.isaca.com/cobit • http:// www.itil.co.uk 16/09/2008 56 © 2008 Global Knowledge Training LLC. All rights reserved
57.
Muchas gracias a
todos 16/09/2008 57 © 2008 Global Knowledge Training LLC. All rights reserved