SlideShare ist ein Scribd-Unternehmen logo

Auditoria inf.

Als DOCX, PDF herunterladen
F
Fer22P
Bildung
1 von 12
ISO 27001 Tecnología de la información, técnicas de seguridad, sistemas de gestión de seguridad de la información, requerimientos. Gestión de la seguridad de la información La norma ISO 27001 define cómo organizar la seguridad de la información en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta norma constituye la base para la gestión de la seguridad de la información. La ISO 27001 es para la seguridad de la información, su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. También permite que una organización sea certificada, lo cual significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha implementado en esa organización de la mejor forma posible.A raíz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la protección de datos personales, protección de información confidencial, protección de sistemas de información, gestión de riesgos operativos en instituciones financieras, etc. ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. Cuatro fases del sistema de gestión de seguridad de la información La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.
Las fases son las siguientes: La Fase de planificación: Esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles). Esta fase está formada por los siguientes pasos:  Determinación del alcance del SGSI;  Redacción de una Política de SGSI;  Identificación de la metodología para evaluar los riesgos y determinar los criterios para la aceptabilidad de riesgos;  Identificación de activos, vulnerabilidades y amenazas;  Evaluación de la magnitud de los riesgos;  Identificación y evaluación de opciones para el tratamiento de riesgos;  Selección de controles para el tratamiento de riesgos;  Obtención de la aprobación de la gerencia para los riesgos residuales;  Obtención de la aprobación de la gerencia para la implementación del SGSI;  Redacción de una declaración de aplicabilidad que detalle todos los controles aplicables, determine cuáles ya han sido implementados y cuáles no son aplicables. La Fase de implementación:Esta fase implica la realización de todo lo planificado en la fase anterior. Esta fase incluye las siguientes actividades:  Redacción de un plan de tratamiento del riesgo que describe quién, cómo, cuándo y con qué presupuesto se deberían implementar los controles correspondientes;  Implementación de un plan de tratamiento del riesgo;  Implementación de los controles de seguridad correspondientes;  Determinación de cómo medir la eficacia de los controles;  Realización de programas de concienciación y capacitación de empleados;  Gestión del funcionamiento normal del SGSI;  Gestión de los recursos del SGSI;  Implementación de procedimientos para detectar y gestionar incidentes de seguridad. La Fase de revisión: El objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos. Esta fase incluye lo siguiente:  Implementación de procedimientos y demás controles de supervisión y control para determinar cualquier violación, procesamiento incorrecto de
datos, si las actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.;  Revisiones periódicas de la eficacia del SGSI;  Medición la eficacia de los controles;  Revisión periódica de la evaluación de riesgos;  Auditorías internas planificadas;  Revisiones por parte de la dirección para asegurar el funcionamiento del SGSI y para identificar oportunidades de mejoras;  Actualización de los planes de seguridad para tener en cuenta otras actividades de supervisión y revisión;  Mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del SGSI. La Fase de mantenimiento y mejora: El objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior. Esta fase incluye lo siguiente:  Implementación en el SGSI de las mejoras identificadas;  Toma de medidas correctivas y preventivas y aplicación de experiencias de seguridad propias y de terceros;  Comunicación de actividades y mejoras a todos los grupos de interés;  Asegurar que las mejoras cumplan los objetivos previstos. El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI. Documentos de ISO 27001 La norma ISO 27001 requiere los siguientes documentos: El alcance del SGSI; La política del SGSI; Procedimientos para control de documentación, auditorías internas y procedimientos para medidas correctivas y preventivas; Todos los demás documentos, según los controles aplicables; Metodología de evaluación de riesgos; Informe de evaluación de riesgos; Declaración de aplicabilidad; Plan de tratamiento del riesgo; Registros. La cantidad y exactitud de la documentación depende del tamaño y de las exigencias de seguridad de la organización; esto significa que una docena de documentos serán suficientes para una pequeña organización, mientras que las organizaciones grandes y complejas tendrán varios cientos de documentos en su SGSI.
ISO 27001:2005 Introducción: - Generalidades - Enfoque por proceso - Compatibilidad con otros sistemas de gestión 1. Objeto y campo de aplicación: Se especifica el objetivo, la aplicación y el tratamiento de exclusiones. 1.1 Generalidades 1.2 Aplicación 2. Normas para consulta: Otras normas que sirven de referencia. 3. Términos y definiciones: Breve descripción de los términos más usados en la norma. 4. Sistema de gestión de la seguridad de la información: Cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma. 4.1 Requisitos generales 4.2 Creación y gestión del SGSI 4.2.1 Creación del SGSI 4.2.2 Implementación y operación del SGSI 4.2.3 Supervisión y revisión del SGSI 4.2.4 Mantenimiento y mejora del SGSI 4.3 Requisitos de documentación 4.3.1 Generalidades 4.3.2 Control de documentos. 4.3.3 Control de registros 5. Responsabilidad de la dirección: En cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. 5.1 Compromiso de la dirección 5.2 Gestión de los recursos 5.2.1 Provisión de los recursos 5.2.2 Concienciación, formación y competencia 6. Auditorías internas del SGSI: Cómo realizar las auditorías internas de control y cumplimiento. 7. Revisión del SGSI por la dirección: Cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.
7.1 Generalidades 7.2 Datos iniciales de la revisión. 7.3 Resultados de la revisión. 8. Mejora del SGSI: Mejora continua, acciones correctivas y acciones preventivas. 8.1 Mejora continua 8.2 Acción correctiva 8.3 Acción preventiva La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información. ISO 27002 Tecnología de la información, Técnicas de seguridad, Código de practica para la gestión de la seguridad de la información Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a la seguridad de la información. Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad ligada al personal que participa en la gestión de la información. Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión de la seguridad de la información. No es un sistema que permite una certificación de la seguridad. Seguridad de la información Debido a que la información es un activo no menos importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información.
La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos, procedimientos, estructuras organizacionales, y otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo. 2.1. Alcance Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo. 2.2. Términos y definiciones En este apartado se habla de un conjunto de términos y definiciones que se presentan al final de este documento, en el Glosario, que son las definiciones de:  Activo: Cualquier cosa que tenga valor para la organización.  Amenaza:Una causa potencial de un incidente no deseado, el cual puede resultar en daño a un sistema u organización.  Análisis de riesgo: Uso sistemático de la información para identificar las fuentes y calcular el riesgo.  Control:Medios para manejar el riesgo, incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal. El control también se utiliza como sinónimo de salvaguarda o contramedida.  Evaluación del riesgo: Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.  Evento de seguridad de la información:Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red, indicando una posible falla en la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.  Gestión del riesgo:Actividades coordinadas para dirigir y controlar una organización con relación al riesgo.  Incidente de seguridad de la información:Un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.  Lineamiento:Descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas.  Medios de procesamiento de la información:Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan.  Política:Intención y dirección general expresada formalmente por la gerencia.  Riesgo: Combinación de la probabilidad de un evento y su ocurrencia.  Seguridad de la información:Preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, no-reputación y confiabilidad.
 Tercera persona:Persona u organismo que es reconocido como independiente de las partes involucradas, con relación al ítem en cuestión.  Tratamiento del riesgo:Proceso de selección e implementación de medidas para modificar el riesgo.  Vulnerabilidad:La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas. 2.3. Estructura de este Estándar Este Estándar contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas: a) Política de seguridad. b) Aspectos organizativos de la seguridad de la información. c) Gestión de activos. d) Seguridad ligada a los recursos humanos. e) Seguridad física y ambiental. f) Gestión de comunicaciones y operaciones. g) Control de acceso. h) Adquisición, desarrollo y mantenimiento de los sistemas de información. i) Gestión de incidentes en la seguridad de la información. j) Gestión de la continuidad del negocio. k) Cumplimiento. El ISO/IEC 27002 se refiere a una serie de aspectos sobre la seguridad de las tecnologías de información, entre los que se destacan los siguientes puntos: 2.5. Política de seguridad Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes. Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si se distribuye fuera de la organización, no debería divulgar información confidencial que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar sus datos personales, etc.) 2.6. Aspectos organizativos de la seguridad de la información La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros.
En cuanto a la organización interna, se tiene como objetivo manejar la seguridad de la información dentro de la organización.Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organización. La organización con respecto a terceros, el objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar por la identificación de los riesgos relacionados con los grupos externos. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la información. 2.7. Gestión de activos Se deben asignar responsabilidades por cada uno de los activos de la organización, así como poseer un inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de todos los activos. Para esto el departamento de contabilidad tendrá que hacer un buen trabajo en cuanto a esta clasificación y desglose de activos, y el departamento de leyes de la empresa también tendrá que ser muy metódico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia. 2.8. Seguridad ligada a los recursos humanos El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas para concientizar y proporcionar formación y procesos disciplinarios relacionados a la seguridad y responsabilidad de los recursos humanos en este ámbito. También se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a la organización afectada de alguna manera en materia de seguridad.
2.9. Seguridad física y ambiental La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información. Se debe también contar con controles físicos de entrada, tales como puertas con llave, etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas externas y de origen ambiental, como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones, atentados terroristas, etc. Deben también haber áreas de acceso público de carga y descarga, parqueos, áreas de visita, entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo sobre la pared para sujetarse. 2.10. Gestión de comunicaciones y operaciones El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información, es necesario que los procedimientos de operación estén bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia. Es necesario tener un nivel de separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales. Si la organización se dedica a vender servicios, debe implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.Se tienen que establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación. 2.11. Control de acceso Se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas, etc.
Aparte de la autenticación correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada, como por ejemplo la activación automática de un protector de pantalla después de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contraseña conocida por quien estaba autorizado para utilizar la máquina desatendida. Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Para todo esto deben existir registros y bitácoras de acceso. Deben existir políticas que contemplen adecuadamente aspectos de comunicación móvil, redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la organización. 2.12. Adquisición, desarrollo y mantenimiento de los sistemas de información Examinarlos aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen. Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes. Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales. La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios, revisiones técnicas de aplicaciones tras efectuar cambios en el sistema operativo y también restricciones a los cambios en los paquetes de software. No se tiene que permitir la fuga ni la filtración de información no requerida. 2.13. Gestión de incidentes en la seguridad de la información La comunicación es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible. De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios. Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información es elemental.
2.14. Gestión de la continuidad del negocio Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.Estos planes no deben ser estáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y revaluación. Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. 2.15. Cumplimiento Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificación de la legislación aplicable debe estar bien definida. Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general. El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización, protección de datos y privacidad de la información personal, prevención del uso indebido de los recursos de tratamiento de la información, y a regulaciones de los controles criptográficos. Los sistemas de información deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estándares de implementación de la seguridad. Bibliografía: Sitios web (23 de 12 de 2012). Obtenido de http://www.iso27001standard.com/es/que-es-la-norma- iso-27001: http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares- esquemas/Seguridad-de-la-Informacion-ISOIEC27001/ http://www.iso27000.es/iso27000.html#section3c http://secugest.blogspot.com/2007/09/diferencias-entre-iso-27001-e-iso-27002.html
http://www.slideshare.net/DCEM/iso-27001-5472233 http://www.monografias.com/trabajos67/estandar-internacional/estandar- internacional2.shtml#ixzz2FuChXvRA http://mmujica.files.wordpress.com/2007/07/iso-27001-2005-espanol.pdf http://es.scribd.com/doc/46085176/Normas-ISO-27002

Empfohlen

Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
Iso27001
Iso27001Iso27001
Iso27001
ANDRULANCO2014
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Diego Cueva Córdova
 

Empfohlen

Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro
 
Iso27001
Iso27001Iso27001
Iso27001
ANDRULANCO2014
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Diego Cueva Córdova
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
Grupo Ingertec
 
Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)
ClaudiaCano41
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
Yesith Valencia
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
Mitcheel Matute
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : Resumen
David Herrero
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Edgardo Ortega
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listo
maricelcc
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Manuel Garcia Ramos
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
SENA810561
 
Social Media 2.5 Conference | Social Marketing: Optimierung des Share of Wallet
Social Media 2.5 Conference | Social Marketing: Optimierung des Share of WalletSocial Media 2.5 Conference | Social Marketing: Optimierung des Share of Wallet
Social Media 2.5 Conference | Social Marketing: Optimierung des Share of Wallet
Social Media Schweiz
 
Catequisis1
Catequisis1Catequisis1
Catequisis1
guest398891
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)
ClaudiaCano41
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
Coatzozon20
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
SENA810561
 

Was ist angesagt? (20)

SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
 
Politicas
PoliticasPoliticas
Politicas
 
Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)Actividad 3 de auditoria 2 infografia (1)
Actividad 3 de auditoria 2 infografia (1)
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : Resumen
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Ohsas listo
Ohsas listoOhsas listo
Ohsas listo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
 

Andere mochten auch

Deutsche Kolonialgeschichte 1884 1914
Deutsche Kolonialgeschichte 1884 1914Deutsche Kolonialgeschichte 1884 1914
Deutsche Kolonialgeschichte 1884 1914
Manuel
 
Regeton Mixx 2010
Regeton Mixx 2010Regeton Mixx 2010
Regeton Mixx 2010
cristiiiian
 
A Tag08: vortrag zu evoting
A Tag08: vortrag zu evotingA Tag08: vortrag zu evoting
A Tag08: vortrag zu evoting
peterpur
 
Holografische Folientechnologien _ documentation design thesis (german)
Holografische Folientechnologien _ documentation design thesis (german)Holografische Folientechnologien _ documentation design thesis (german)
Holografische Folientechnologien _ documentation design thesis (german)
Ralph Schneider
 
Clases de libros contables
Clases de libros contablesClases de libros contables
Clases de libros contables
Veronica Caro
 
Auswertung der Ausstellerbefragung
Auswertung der AusstellerbefragungAuswertung der Ausstellerbefragung
Auswertung der Ausstellerbefragung
EMEX Management GmbH
 
Guia didactica karaoke español ingles
Guia didactica karaoke español inglesGuia didactica karaoke español ingles
Guia didactica karaoke español ingles
Marina Palmer
 
Real madrid c.f
Real madrid c.fReal madrid c.f
Real madrid c.f
sabitas69
 

Andere mochten auch (20)

Social Media 2.5 Conference | Social Marketing: Optimierung des Share of Wallet
Social Media 2.5 Conference | Social Marketing: Optimierung des Share of WalletSocial Media 2.5 Conference | Social Marketing: Optimierung des Share of Wallet
Social Media 2.5 Conference | Social Marketing: Optimierung des Share of Wallet
 
Catequisis1
Catequisis1Catequisis1
Catequisis1
 
Deutsche Kolonialgeschichte 1884 1914
Deutsche Kolonialgeschichte 1884 1914Deutsche Kolonialgeschichte 1884 1914
Deutsche Kolonialgeschichte 1884 1914
 
Social Media 2.5 Conference | Employer Branding: Im Spannungsfeld zwischen Un...
Social Media 2.5 Conference | Employer Branding: Im Spannungsfeld zwischen Un...Social Media 2.5 Conference | Employer Branding: Im Spannungsfeld zwischen Un...
Social Media 2.5 Conference | Employer Branding: Im Spannungsfeld zwischen Un...
 
Social Media 2.5 Conference | Maturity Model: Reifegrade von Unternehmen in S...
Social Media 2.5 Conference | Maturity Model: Reifegrade von Unternehmen in S...Social Media 2.5 Conference | Maturity Model: Reifegrade von Unternehmen in S...
Social Media 2.5 Conference | Maturity Model: Reifegrade von Unternehmen in S...
 
Regeton Mixx 2010
Regeton Mixx 2010Regeton Mixx 2010
Regeton Mixx 2010
 
A Tag08: vortrag zu evoting
A Tag08: vortrag zu evotingA Tag08: vortrag zu evoting
A Tag08: vortrag zu evoting
 
Holografische Folientechnologien _ documentation design thesis (german)
Holografische Folientechnologien _ documentation design thesis (german)Holografische Folientechnologien _ documentation design thesis (german)
Holografische Folientechnologien _ documentation design thesis (german)
 
Clases de libros contables
Clases de libros contablesClases de libros contables
Clases de libros contables
 
Parlez Vous Turc
Parlez Vous TurcParlez Vous Turc
Parlez Vous Turc
 
Auswertung der Ausstellerbefragung
Auswertung der AusstellerbefragungAuswertung der Ausstellerbefragung
Auswertung der Ausstellerbefragung
 
Axter Deutsche Firmenpräsentation
Axter Deutsche FirmenpräsentationAxter Deutsche Firmenpräsentation
Axter Deutsche Firmenpräsentation
 
Diplomat In Drei Streifen
Diplomat In Drei StreifenDiplomat In Drei Streifen
Diplomat In Drei Streifen
 
Gebrauchsanleitung Eb351
Gebrauchsanleitung Eb351Gebrauchsanleitung Eb351
Gebrauchsanleitung Eb351
 
Guia didactica karaoke español ingles
Guia didactica karaoke español inglesGuia didactica karaoke español ingles
Guia didactica karaoke español ingles
 
In Zusammenarbeit mit den Gießereimitarbeitern die Arbeitsplätze gestalten – ...
In Zusammenarbeit mit den Gießereimitarbeitern die Arbeitsplätze gestalten – ...In Zusammenarbeit mit den Gießereimitarbeitern die Arbeitsplätze gestalten – ...
In Zusammenarbeit mit den Gießereimitarbeitern die Arbeitsplätze gestalten – ...
 
Networld Team
Networld TeamNetworld Team
Networld Team
 
Grupo 2
Grupo 2Grupo 2
Grupo 2
 
Überblick Crowdfunding - Wer investiert warum, wie viel und in welche Projekte?
Überblick Crowdfunding - Wer investiert warum, wie viel und in welche Projekte?Überblick Crowdfunding - Wer investiert warum, wie viel und in welche Projekte?
Überblick Crowdfunding - Wer investiert warum, wie viel und in welche Projekte?
 
Real madrid c.f
Real madrid c.fReal madrid c.f
Real madrid c.f
 

Ähnlich wie Auditoria inf.

Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Dilcia Mejia
 

Ähnlich wie Auditoria inf. (20)

iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
Introducción a los Sistemas de Gestión de Seguridad de la Información (SGSI)
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad Informatica
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
Sistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacionSistema gestion de seguridad de informacion
Sistema gestion de seguridad de informacion
 

Kürzlich hochgeladen

ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
JAVIER SOLIS NOYOLA
 
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
amelia poma
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
jlorentemartos
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
Juan Martín Martín
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 

Kürzlich hochgeladen (20)

La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
ACERTIJO LA RUTA DEL MARATÓN OLÍMPICO DEL NÚMERO PI EN PARÍS. Por JAVIER SOL...
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACIONRESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
RESOLUCIÓN VICEMINISTERIAL 00048 - 2024 EVALUACION
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
TEMA 14.DERIVACIONES ECONÓMICAS, SOCIALES Y POLÍTICAS DEL PROCESO DE INTEGRAC...
 
Novena de Pentecostés con textos de san Juan Eudes
Novena de Pentecostés con textos de san Juan EudesNovena de Pentecostés con textos de san Juan Eudes
Novena de Pentecostés con textos de san Juan Eudes
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdf
 
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.docSESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
SESION DE PERSONAL SOCIAL. La convivencia en familia 22-04-24 -.doc
 
Linea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docxLinea del tiempo - Filosofos Cristianos.docx
Linea del tiempo - Filosofos Cristianos.docx
 
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
1ro Programación Anual D.P.C.C planificación anual del área para el desarroll...
 
Power Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptxPower Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptx
 
Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024Prueba libre de Geografía para obtención título Bachillerato - 2024
Prueba libre de Geografía para obtención título Bachillerato - 2024
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por Valores
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdf
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 

Auditoria inf.

  • 1. ISO 27001 Tecnología de la información, técnicas de seguridad, sistemas de gestión de seguridad de la información, requerimientos. Gestión de la seguridad de la información La norma ISO 27001 define cómo organizar la seguridad de la información en cualquier tipo de organización, con o sin fines de lucro, privada o pública, pequeña o grande. Es posible afirmar que esta norma constituye la base para la gestión de la seguridad de la información. La ISO 27001 es para la seguridad de la información, su objetivo es proporcionar una metodología para la implementación de la seguridad de la información en una organización. También permite que una organización sea certificada, lo cual significa que una entidad de certificación independiente ha confirmado que la seguridad de la información se ha implementado en esa organización de la mejor forma posible.A raíz de la importancia de la norma ISO 27001, muchas legislaturas han tomado esta norma como base para confeccionar las diferentes normativas en el campo de la protección de datos personales, protección de información confidencial, protección de sistemas de información, gestión de riesgos operativos en instituciones financieras, etc. ISO/IEC 27001 es una norma adecuada para cualquier organización, grande o pequeña, de cualquier sector o parte del mundo. La norma es particularmente interesante si la protección de la información es crítica, también es muy eficaz para organizaciones que gestionan la información por encargo de otros, por ejemplo, empresas de subcontratación de TI. Puede utilizarse para garantizar a los clientes que su información está protegida El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización: Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial. Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información. Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información. Cuatro fases del sistema de gestión de seguridad de la información La norma ISO 27001 determina cómo gestionar la seguridad de la información a través de un sistema de gestión de seguridad de la información. Un sistema de gestión de este tipo, igual que las normas ISO 9001 o ISO 14001, está formado por cuatro fases que se deben implementar en forma constante para reducir al mínimo los riesgos sobre confidencialidad, integridad y disponibilidad de la información.
  • 2. Las fases son las siguientes: La Fase de planificación: Esta fase sirve para planificar la organización básica y establecer los objetivos de la seguridad de la información y para escoger los controles adecuados de seguridad (la norma contiene un catálogo de 133 posibles controles). Esta fase está formada por los siguientes pasos:  Determinación del alcance del SGSI;  Redacción de una Política de SGSI;  Identificación de la metodología para evaluar los riesgos y determinar los criterios para la aceptabilidad de riesgos;  Identificación de activos, vulnerabilidades y amenazas;  Evaluación de la magnitud de los riesgos;  Identificación y evaluación de opciones para el tratamiento de riesgos;  Selección de controles para el tratamiento de riesgos;  Obtención de la aprobación de la gerencia para los riesgos residuales;  Obtención de la aprobación de la gerencia para la implementación del SGSI;  Redacción de una declaración de aplicabilidad que detalle todos los controles aplicables, determine cuáles ya han sido implementados y cuáles no son aplicables. La Fase de implementación:Esta fase implica la realización de todo lo planificado en la fase anterior. Esta fase incluye las siguientes actividades:  Redacción de un plan de tratamiento del riesgo que describe quién, cómo, cuándo y con qué presupuesto se deberían implementar los controles correspondientes;  Implementación de un plan de tratamiento del riesgo;  Implementación de los controles de seguridad correspondientes;  Determinación de cómo medir la eficacia de los controles;  Realización de programas de concienciación y capacitación de empleados;  Gestión del funcionamiento normal del SGSI;  Gestión de los recursos del SGSI;  Implementación de procedimientos para detectar y gestionar incidentes de seguridad. La Fase de revisión: El objetivo de esta fase es monitorear el funcionamiento del SGSI mediante diversos “canales” y verificar si los resultados cumplen los objetivos establecidos. Esta fase incluye lo siguiente:  Implementación de procedimientos y demás controles de supervisión y control para determinar cualquier violación, procesamiento incorrecto de
  • 3. datos, si las actividades de seguridad se desarrollan de acuerdo a lo previsto, etc.;  Revisiones periódicas de la eficacia del SGSI;  Medición la eficacia de los controles;  Revisión periódica de la evaluación de riesgos;  Auditorías internas planificadas;  Revisiones por parte de la dirección para asegurar el funcionamiento del SGSI y para identificar oportunidades de mejoras;  Actualización de los planes de seguridad para tener en cuenta otras actividades de supervisión y revisión;  Mantenimiento de registros de actividades e incidentes que puedan afectar la eficacia del SGSI. La Fase de mantenimiento y mejora: El objetivo de esta fase es mejorar todos los incumplimientos detectados en la fase anterior. Esta fase incluye lo siguiente:  Implementación en el SGSI de las mejoras identificadas;  Toma de medidas correctivas y preventivas y aplicación de experiencias de seguridad propias y de terceros;  Comunicación de actividades y mejoras a todos los grupos de interés;  Asegurar que las mejoras cumplan los objetivos previstos. El ciclo de estas cuatro fases nunca termina, todas las actividades deben ser implementadas cíclicamente para mantener la eficacia del SGSI. Documentos de ISO 27001 La norma ISO 27001 requiere los siguientes documentos: El alcance del SGSI; La política del SGSI; Procedimientos para control de documentación, auditorías internas y procedimientos para medidas correctivas y preventivas; Todos los demás documentos, según los controles aplicables; Metodología de evaluación de riesgos; Informe de evaluación de riesgos; Declaración de aplicabilidad; Plan de tratamiento del riesgo; Registros. La cantidad y exactitud de la documentación depende del tamaño y de las exigencias de seguridad de la organización; esto significa que una docena de documentos serán suficientes para una pequeña organización, mientras que las organizaciones grandes y complejas tendrán varios cientos de documentos en su SGSI.
  • 4. ISO 27001:2005 Introducción: - Generalidades - Enfoque por proceso - Compatibilidad con otros sistemas de gestión 1. Objeto y campo de aplicación: Se especifica el objetivo, la aplicación y el tratamiento de exclusiones. 1.1 Generalidades 1.2 Aplicación 2. Normas para consulta: Otras normas que sirven de referencia. 3. Términos y definiciones: Breve descripción de los términos más usados en la norma. 4. Sistema de gestión de la seguridad de la información: Cómo crear, implementar, operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y control de la misma. 4.1 Requisitos generales 4.2 Creación y gestión del SGSI 4.2.1 Creación del SGSI 4.2.2 Implementación y operación del SGSI 4.2.3 Supervisión y revisión del SGSI 4.2.4 Mantenimiento y mejora del SGSI 4.3 Requisitos de documentación 4.3.1 Generalidades 4.3.2 Control de documentos. 4.3.3 Control de registros 5. Responsabilidad de la dirección: En cuanto a compromiso con el SGSI, gestión y provisión de recursos y concienciación, formación y capacitación del personal. 5.1 Compromiso de la dirección 5.2 Gestión de los recursos 5.2.1 Provisión de los recursos 5.2.2 Concienciación, formación y competencia 6. Auditorías internas del SGSI: Cómo realizar las auditorías internas de control y cumplimiento. 7. Revisión del SGSI por la dirección: Cómo gestionar el proceso periódico de revisión del SGSI por parte de la dirección.
  • 5. 7.1 Generalidades 7.2 Datos iniciales de la revisión. 7.3 Resultados de la revisión. 8. Mejora del SGSI: Mejora continua, acciones correctivas y acciones preventivas. 8.1 Mejora continua 8.2 Acción correctiva 8.3 Acción preventiva La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación según ISO/IEC 27001 le ayuda a gestionar y proteger sus valiosos activos de información. ISO 27002 Tecnología de la información, Técnicas de seguridad, Código de practica para la gestión de la seguridad de la información Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a la seguridad de la información. Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad ligada al personal que participa en la gestión de la información. Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión de la seguridad de la información. No es un sistema que permite una certificación de la seguridad. Seguridad de la información Debido a que la información es un activo no menos importante que otros activos comerciales, es esencial para cualquier negocio u organización contar con las medidas adecuadas de protección de la información, especialmente en la actualidad, donde la información se difunde a través de miles y miles de redes interconectadas. Esto multiplica la cantidad de amenazas y vulnerabilidades a las que queda expuesta la información.
  • 6. La seguridad de la información se logra implementando un conjunto adecuado de controles, políticas, procesos, procedimientos, estructuras organizacionales, y otras acciones que hagan que la información pueda ser accedida sólo por aquellas personas que están debidamente autorizadas para hacerlo. 2.1. Alcance Este Estándar Internacional va orientado a la seguridad de la información en las empresas u organizaciones, de modo que las probabilidades de ser afectados por robo, daño o pérdida de información se minimicen al máximo. 2.2. Términos y definiciones En este apartado se habla de un conjunto de términos y definiciones que se presentan al final de este documento, en el Glosario, que son las definiciones de:  Activo: Cualquier cosa que tenga valor para la organización.  Amenaza:Una causa potencial de un incidente no deseado, el cual puede resultar en daño a un sistema u organización.  Análisis de riesgo: Uso sistemático de la información para identificar las fuentes y calcular el riesgo.  Control:Medios para manejar el riesgo, incluyendo políticas, procedimientos, lineamientos, prácticas o estructuras organizacionales, las cuales pueden ser administrativas, técnicas, de gestión o de naturaleza legal. El control también se utiliza como sinónimo de salvaguarda o contramedida.  Evaluación del riesgo: Proceso de comparar el riesgo estimado con un criterio de riesgo dado para determinar la importancia del riesgo.  Evento de seguridad de la información:Cualquier evento de seguridad de la información es una ocurrencia identificada del estado de un sistema, servicio o red, indicando una posible falla en la política de seguridad de la información o falla en las salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad.  Gestión del riesgo:Actividades coordinadas para dirigir y controlar una organización con relación al riesgo.  Incidente de seguridad de la información:Un incidente de seguridad de la información es indicado por un solo evento o una serie de eventos inesperados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones comerciales y amenazar la seguridad de la información.  Lineamiento:Descripción que aclara qué se debiera hacer y cómo, para lograr los objetivos establecidos en las políticas.  Medios de procesamiento de la información:Cualquier sistema, servicio o infraestructura de procesamiento de la información, o los locales físicos que los alojan.  Política:Intención y dirección general expresada formalmente por la gerencia.  Riesgo: Combinación de la probabilidad de un evento y su ocurrencia.  Seguridad de la información:Preservación de confidencialidad, integración y disponibilidad de la información; además, también puede involucrar otras propiedades como autenticidad, responsabilidad, no-reputación y confiabilidad.
  • 7.  Tercera persona:Persona u organismo que es reconocido como independiente de las partes involucradas, con relación al ítem en cuestión.  Tratamiento del riesgo:Proceso de selección e implementación de medidas para modificar el riesgo.  Vulnerabilidad:La debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas. 2.3. Estructura de este Estándar Este Estándar contiene un número de categorías de seguridad principales, entre las cuales se tienen once cláusulas: a) Política de seguridad. b) Aspectos organizativos de la seguridad de la información. c) Gestión de activos. d) Seguridad ligada a los recursos humanos. e) Seguridad física y ambiental. f) Gestión de comunicaciones y operaciones. g) Control de acceso. h) Adquisición, desarrollo y mantenimiento de los sistemas de información. i) Gestión de incidentes en la seguridad de la información. j) Gestión de la continuidad del negocio. k) Cumplimiento. El ISO/IEC 27002 se refiere a una serie de aspectos sobre la seguridad de las tecnologías de información, entre los que se destacan los siguientes puntos: 2.5. Política de seguridad Su objetivo es proporcionar a la gerencia la dirección y soporte para la seguridad de la información, en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. Esto por supuesto debe ser creado de forma particular por cada organización. Se debe redactar un "Documento de la política de seguridad de la información." Este documento debe ser primeramente aprobado por la gerencia y luego publicado y comunicado a todos los empleados y las partes externas relevantes. Se debe tener especial cuidado respecto a la confidencialidad de este documento, pues si se distribuye fuera de la organización, no debería divulgar información confidencial que afecte de alguna manera a la organización o a personas específicas (por ejemplo que afecte la intimidad de alguien al divulgar sus datos personales, etc.) 2.6. Aspectos organizativos de la seguridad de la información La organización de la seguridad de la información se puede dar de dos formas: organización interna y organización con respecto a terceros.
  • 8. En cuanto a la organización interna, se tiene como objetivo manejar la seguridad de la información dentro de la organización.Se requiere un compromiso por parte de la gerencia para apoyar activamente la seguridad dentro de la organización. La organización con respecto a terceros, el objetivo de esto es mantener la seguridad de la información y los medios de procesamiento de información de la organización que son ingresados, procesados, comunicados a, o manejados por, grupos externos. Para ello se debe comenzar por la identificación de los riesgos relacionados con los grupos externos. Esto se puede dar tanto con clientes o con proveedores. Se debe tener especial cuidado respecto a los contratos que se hagan con terceros, para no afectar la seguridad de la información. 2.7. Gestión de activos Se deben asignar responsabilidades por cada uno de los activos de la organización, así como poseer un inventario actualizado de todos los activos que se tienen, a quien/quienes les pertenecen, el uso que se les debe dar, y la clasificación de todos los activos. Para esto el departamento de contabilidad tendrá que hacer un buen trabajo en cuanto a esta clasificación y desglose de activos, y el departamento de leyes de la empresa también tendrá que ser muy metódico en estos procesos, ya que los activos son todos los bienes y recursos que posee una empresa, incluyendo bienes muebles e inmuebles, dinero, etc. Por lo tanto este es un asunto delicado y de gran importancia. 2.8. Seguridad ligada a los recursos humanos El objetivo de esto es asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados, reduciendo el riesgo de robo, fraude y mal uso de los medios. Es necesario definir claramente los roles y responsabilidades de cada empleado. Todo esto no debe ser simplemente mediante acuerdos verbales, sino que se debe plasmar en el contrato de trabajo. También deben existir capacitaciones periódicas para concientizar y proporcionar formación y procesos disciplinarios relacionados a la seguridad y responsabilidad de los recursos humanos en este ámbito. También se deben especificar las responsabilidades cuando se da el cese del empleo o cambio de puesto de trabajo, para que la persona no se vaya simplemente y deje a la organización afectada de alguna manera en materia de seguridad.
  • 9. 2.9. Seguridad física y ambiental La seguridad física y ambiental se divide en áreas seguras y seguridad de los equipos. Respecto a las áreas seguras, se refiere a un perímetro de seguridad física que cuente con barreras o límites tales como paredes, rejas de entrada controladas por tarjetas o recepcionistas, y medidas de esa naturaleza para proteger las áreas que contienen información y medios de procesamiento de información. Se debe también contar con controles físicos de entrada, tales como puertas con llave, etc. Además de eso, es necesario considerar la seguridad física con respecto a amenazas externas y de origen ambiental, como incendios (para los cuales deben haber extintores adecuados y en los lugares convenientes), terremotos, huracanes, inundaciones, atentados terroristas, etc. Deben también haber áreas de acceso público de carga y descarga, parqueos, áreas de visita, entre otros. Si hay gradas, deben ser seguras y con las medidas respectivas como antideslizantes y barras de apoyo sobre la pared para sujetarse. 2.10. Gestión de comunicaciones y operaciones El objetivo de esto es asegurar la operación correcta y segura de los medios de procesamiento de la información, es necesario que los procedimientos de operación estén bien documentados, pues no basta con tener las ideas en la mente de los administradores, sino que se deben plasmar en documentos que por supuesto estén autorizados por la gerencia. Es necesario tener un nivel de separación entre los ambientes de desarrollo, de prueba y de operación, para evitar problemas operacionales. Si la organización se dedica a vender servicios, debe implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros.Se tienen que establecer políticas, procedimientos y controles de intercambio formales para proteger el intercambio de información a través del uso de todos los tipos de medios de comunicación. 2.11. Control de acceso Se debe contar con una política de control de acceso. Todo acceso no autorizado debe ser evitado y se deben minimizar al máximo las probabilidades de que eso suceda. Todo esto se controla mediante registro de usuarios, gestión de privilegios, autenticación mediante usuarios y contraseñas, etc.
  • 10. Aparte de la autenticación correspondiente, los usuarios deben asegurar que el equipo desatendido tenga la protección apropiada, como por ejemplo la activación automática de un protector de pantalla después de cierto tiempo de inactividad, el cual permanezca impidiendo el acceso hasta que se introduzca una contraseña conocida por quien estaba autorizado para utilizar la máquina desatendida. Son necesarios controles de acceso a la red, al sistema operativo, a las aplicaciones y a la información. Para todo esto deben existir registros y bitácoras de acceso. Deben existir políticas que contemplen adecuadamente aspectos de comunicación móvil, redes inalámbricas, control de acceso a ordenadores portátiles, y teletrabajo, en caso que los empleados de la empresa ejecuten su trabajo fuera de las instalaciones de la organización. 2.12. Adquisición, desarrollo y mantenimiento de los sistemas de información Examinarlos aspectos de seguridad es requerido al adquirir equipos y sistemas, o al desarrollarlos. No solamente se debe considerar la calidad y el precio, sino que la seguridad que ofrecen. Debe existir una validación adecuada de los datos de entrada y de salida, controlando el procesamiento interno en las aplicaciones, y la integridad de los mensajes. Deben establecerse procedimientos para el control de la instalación del software en los sistemas operacionales. La seguridad en los procesos de desarrollo y soporte debe considerar procedimientos de control de cambios, revisiones técnicas de aplicaciones tras efectuar cambios en el sistema operativo y también restricciones a los cambios en los paquetes de software. No se tiene que permitir la fuga ni la filtración de información no requerida. 2.13. Gestión de incidentes en la seguridad de la información La comunicación es fundamental en todo proceso. Por lo tanto, se debe trabajar con reportes de los eventos y debilidades de la seguridad de la información, asegurando una comunicación tal que permita que se realice una acción correctiva oportuna, llevando la información a través de los canales gerenciales apropiados lo más rápidamente posible. De la misma manera se debe contar con reportes de las debilidades en la seguridad, requiriendo que todos los empleados, contratistas y terceros de los sistemas y servicios de información tomen nota de y reporten cualquier debilidad de seguridad observada o sospechada en el sistema o los servicios. Asegurar que se aplique un enfoque consistente y efectivo a la gestión de los incidentes en la seguridad de la información es elemental.
  • 11. 2.14. Gestión de la continuidad del negocio Las consecuencias de los desastres, fallas en la seguridad, pérdida del servicio y la disponibilidad del servicio debieran estar sujetas a un análisis del impacto comercial. Se deben desarrollar e implementar planes para la continuidad del negocio para asegurar la reanudación oportuna de las operaciones esenciales. La seguridad de la información debiera ser una parte integral del proceso general de continuidad del negocio, y otros procesos gerenciales dentro de la organización.Estos planes no deben ser estáticos, sino que deben ser actualizados y ser sometidos a pruebas, mantenimiento y revaluación. Junto a la gestión de riesgos, debe aparecer la identificación de eventos que pueden causar interrupciones a los procesos comerciales, junto con la probabilidad y el impacto de dichas interrupciones y sus consecuencias para la seguridad de la información. 2.15. Cumplimiento Es una prioridad el buen cumplimiento de los requisitos legales para evitar las violaciones a cualquier ley; regulación estatutaria, reguladora o contractual; y cualquier requerimiento de seguridad. La identificación de la legislación aplicable debe estar bien definida. Se deben definir explícitamente, documentar y actualizar todos los requerimientos legales para cada sistema de información y para la organización en general. El cumplimiento de los requisitos legales se aplica también a la protección de los documentos de la organización, protección de datos y privacidad de la información personal, prevención del uso indebido de los recursos de tratamiento de la información, y a regulaciones de los controles criptográficos. Los sistemas de información deben estar bajo monitoreo y deben chequearse regularmente para ver y garantizar el cumplimiento de los estándares de implementación de la seguridad. Bibliografía: Sitios web (23 de 12 de 2012). Obtenido de http://www.iso27001standard.com/es/que-es-la-norma- iso-27001: http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/estandares- esquemas/Seguridad-de-la-Informacion-ISOIEC27001/ http://www.iso27000.es/iso27000.html#section3c http://secugest.blogspot.com/2007/09/diferencias-entre-iso-27001-e-iso-27002.html