SlideShare ist ein Scribd-Unternehmen logo

Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó

Foro Global Crossing
Foro Global Crossing

Presentación de Roberto Puyó en Foro Global Crossing Perú 2009

Technologie
1 von 42
Downloaden Sie, um offline zu lesen
Información segura. Negocios seguros. Caso: Implementando SGSI en  Caso: Implementando SGSI en Instituciones Estatales Roberto Puyó Valladares, CISM Comité Técnico de Normalización e Intercambio  Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI Oficial de Seguridad LOGO ORADOR
Agenda 1 ¿Por qué Implementar un SGSI? 2 Alineamiento con Objetivos Institucionales 3 Alcance 4 Lecciones Aprendidas 5 Integrabilidad de Estándares 6 Visión d l Seguridad d la Información Vi ió de la S id d de l I f ió 7 El Proyecto 8 Trabajo del Comité EDI
Lo Público…
Documentos Adulterados 4
Documentos Adulterados Papel sumergido en bebida gaseosa Papel sumergido en bebida gaseosa Papel sumergido en Té (Cola Cola) (Cola-Cola) (Pepsi Cola) (Pepsi-Cola)
Documentos Adulterados
¿Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los de la Información Confidencialidad Integridad g Disponibilidad p Seguridad vela por
Alineamiento con Objetivos Institucionales US01 - Mejorar la percepción del cliente de la lid d del l calidad d l servicio. i i US.02- Reducir el fraude 11 PI.02 PI 02 - Mejorar la calidad del servicio *Fuente: PEI 2007 -201 FI.01 - Conciliar rentabilidad con seguridad EN.02 - Mejorar la Imagen Institucional j g : SEGURIDAD DE LA INFORMACIÓN SGSI
PLAP - LIMA Centro Cívico Departamentales CENTRO DE COMPUTO Primera Etapa: • Sistemas Informáticos • Infraestructura Certificar • Servidores en • Comunicaciones ISO/IEC • Aplicaciones 27001 •BBases d D t de Datos
SGSI en la Institución SGSI en la Institución SGSI – Proceso n SGSI – Proceso 1 SGSI Proceso 2
Alcance – Ámbito de implementación Ámbito: Centro de Cómputo Soporte Técnico (Adm. de la Plataforma y las Mesa d M de Comunicaciones) Ayuda (Soporte a Seguridad Usuarios) ) de la Adm. de la Contingencia del C.C. Información Adm. de las Operaciones del Centro de Cómputo
Alcance – Lo norma implementada ISO 27001: “Sistema de Gestión de Seguridad de la Información” Política de  Seguridad Organización de la Seguridad  de Información S G S I Seguridad del  S id d d l Implica a: Gestión de Activos RRHH Gestión de las Comunicaciones y  Seguridad Física Operaciones Organización Tecnología Gestión de Acceso Adquisición, desarrollo y  Legal mantenimiento de sistemas Física Gestión de las  Gestión de la  Continuidad  del Negocio Continuidad del Negocio Cumplimiento p Incidencias de Seguridad Incidencias de Seguridad Personas Procesos Tecnología
El Proyecto Lo implementado en el Centro de Cómputo Análisis Establecimiento E t bl i i t Implementación I l t ió Monitoreo y M it Mantenimiento y Preliminar y del SGSI y Operación Revisión Mejora Planeamiento Normativa de Auditorías Plan de Mejora j Definición Alcance Seguridad Internas Continua Análisis GAP Análisis de Plan de Cuadro de Control Plan para la Impacto Respuesta al y Monitoreo Revisión Ejecutiva Riesgo Análisis de Implementación Riesgo de Controles Preparación para la Certificación Plan de Selección de Educación en Controles Seguridad Certificación Documento Aplicabilidad
Lección Aprendida No confunda las normas ISO/IEC 27001  No confunda las normas ISO/IEC 27001 ISO/IEC 27002 (ISO/IEC 17799). 
Lección Aprendida Si no tiene claro el alcance que quiere cubrir  Si no tiene claro el alcance que quiere cubrir con la gestión de la seguridad:  RECOMENDAMOS NO INICIAR LA  RECOMENDAMOS NO INICIAR LA IMPLEMENTACIÓN de un SGSI.
Lección Aprendida Obtenga la aprobación de la Jefatura y/o  Obtenga la aprobación de la Jefatura y/o Gerencia General de su Institución, si no tiene  este apoyo será difícil implementar. este apoyo será difícil implementar.
Lección Aprendida Organice el Comité de Seguridad de la  Organice el Comité de Seguridad de la Información. Tienen que participar representantes de  Tienen que participar representantes de diversas áreas, tales como RRHH, Legal, TI,  personal de las áreas de los procesos  personal de las áreas de los procesos áreas de los procesos  principales.  principales No olvidar involucrar al área responsable de  N l id i l lá bl d emitir documentos normativos. 
Lección Aprendida De ser necesario, modificar el MOF de la  De ser necesario, modificar el MOF de la Institución para que ciertas funciones clave,  en lo que respecta a la seguridad de la  en lo que respecta a la seguridad de la información y la gestión de riesgos, sean  incluidas.
Lección Aprendida Desarrolle o revise las políticas de seguridad de la  p g Institución. Cambie el enfoque de políticas de  seguridad informática a políticas de seguridad de la  información. Guíese de los dominios de la norma ISO/IEC 17799  (ISO/IEC 27002). ( / ) Busque apoyo en otras Instituciones Públicas para no  tratar de “Inventar la Pólvora”. t t d “I t l Pól ”
Lección Aprendida Uno de los puntos vitales en la implementación es el  desarrollo de la Guía de Gestión de Riesgos. Recomendamos utilizar la norma ISO/IEC 27005:2008 – Gestión de Riesgos de la Seguridad de la Información – Disponible como NTP aproximadamente a fines de año.
Lección Aprendida Es necesario y recomendable que se ejecute un  y q j Análisis de Impacto al Negocio – BIA
Lección Aprendida De acuerdo al nivel de madurez y la  disponibilidad presupuestal, es recomendable  disponibilidad presupuestal es recomendable mantener una persona a tiempo completo  revisando los temas de seguridad.  revisando los temas de seguridad
Lección Aprendida Activar la seguridad y la auditoria razonable  Activar la seguridad y la auditoria razonable de las bases de datos en los ambientes de  producción.  producción. Generar registros de auditorias sobre la  actividad de los administradores. actividad de los administradores
Lección Aprendida No olvide revisar los accesos que los usuarios  No olvide revisar los accesos que los usuarios tienen en los sistemas de información.  No olvide que los accesos dentro de los  No olvide que los accesos dentro de los sistemas deben encontrarse acordes con las   funciones desempeñadas.  funciones desempeñadas
Lección Aprendida Capacite a los empleados en seguridad de la  Capacite a los empleados en seguridad de la información.  Presente casos reales que se hayan efectuado  Presente casos reales que se hayan efectuado en la institución.  Utilice lenguaje apropiado.  Utili l j i d Prepare presentaciones diferenciadas por  áreas pero con el mismo mensaje de fondo. 
LEY Nº 27309 ‐ INCORPORA AL CODIGO PENAL LOS DELITOS  LEY Nº 27309 ‐ INFORMATICOS (ART. 2007 C.P.) INFORMATICOS (ART. 2007 C.P.) Art. 207º A .- El que utiliza o ingresa Art. 207º B .- El que utiliza, ingresa o indebidamente a una base de datos, sistema interfiere indebidamente una base de o red de computadoras o cualquier parte de datos, sistema o red o programa de la misma, para diseñar, ejecutar o alterar un computadoras o cualquier parte de la esquema u otro similar, o para interferir, misma con el fin de alterarlos, dañarlos interceptar, acceder o copiar información en o destruirlos. transito o contenida en una base de datos. CIRCUNSTANCIAS AGRAVANTES Art. 207º C El agente accede a una base de El agente pone en peligro la datos, sistema o red de seguridad nacional". computadoras, haciendo uso de información i f ió privilegiada, i il i d obtenida en función a su cargo.
FIGURAS DELICTIVAS MAS CONOCIDAS EMPLEANDO ALTA TECNOLOGIA DELITO CONTRA EL (Código Penal) DELITO CONTRA LA LIBERTAD PATRIMONIO OFENSAS AL PUDOR PUBLICO (HURTO AGRAVADO) (PORNOGRAFIA INFANTIL) Art. 186º.- El que para obtener Art. 183º A.- El que posee, promueve, provecho, se apodera ilegítimamente fabrica, distribuye, exhibe, ofrece, de un bien mueble, total o comercializa o publica, importa o exporta parcialmente ajeno, sustrayéndolo del por cualquier medio incluido la INTERNET, lugar donde se encuentra, … objetos, libros, IMÁGENES VISUALES o auditivas, o realiza espectáculos en vivo de 3. Mediante la tili ió de i t 3 M di t l utilización d sistemas carácter pornográfico, en los cuales se de transferencia electrónica de utilice a personas de 14 y menos de 18 años fondos, de la telemática en general o de edad, … la violación del empleo de claves secretas. t Cuando el menor tenga menos de 14 años de edad, …
Lección Aprendida Determine métricas de Seguridad de la  Información.  I f ió
Lección Aprendida Implemente un procedimiento de  Implemente un procedimiento de registro, seguimiento y control de los  “Incidentes de Seguridad de la  Información”.
Lección Aprendida De ser el caso no dude en solicitar apoyo de la  De ser el caso no dude en solicitar apoyo de la Policía Informática del Perú – DIVINDAT.  División de Investigaciones de Delitos de Alta  División de Investigaciones de Delitos de Alta Tecnología. http://www.policiainformatica.gob.pe/ http://www policiainformatica gob pe/
Lección Aprendida Efectúen una revisión del código fuente de sus  Efectúen una revisión del código fuente de sus aplicaciones.  Nadie sabe lo que se puede encontrar. Podrían  Nadie sabe lo que se puede encontrar Podrían existir “puertas traseras” colocadas por los  programadores.  programadores
Lección Aprendida Estandarice el  desarrollo de sus  sistemas de  información. Debe  información Debe incluir los estándares  de seguridad en lo que  de seguridad en lo que respecta al código  fuente.  Se recomienda revisar  la página  http://www.owasp.org
Lección Aprendida No deje de lado el enfoque de la reducción de fraudes en sus  organizaciones
Lección Aprendida Integre los estándares para NO DUPLICAR los estándares para NO DUPLICAR  ESFUERZOS: COSO COBIT ISO/IEC 27001 ISO/IEC 27002 Reglamento de Seguridad y Salud en el  Trabajo
Integrabilidad REGULACIONES SST BCI Seguridad y Salud en el Trabajo Business Continuity Institute DRI PMI-PMBOK Disaster Recovery Institute ISO 27.005 CMMI BS 25.999 Gestión de Riesgos de segurida nivel de Madurrez Business Continuity Management COBIT/ ISO 27.001 – 27.002 ISO 20.000 Sistema de Gestión de Seguridad ISO 38500 Sistema de Gestión de Servicios TI de la Información (SGSI) Gobernabilidad TI (ITIL) Sistemas de Gestión y Gobernabilidad alineados con el Negocio COSO - ERM
Integración de Normas – Arman contra la corrupción y el fraude Escenario del Fraude Control a implementar Informe COSO – RC N° Norma ISO/IEC 27001:2005 COBIT v4- Control de 320-2006- CG- Control – Sistema de Gestión de Tecnologías[ Interno] Seguridad Tipo d Fraude Norma de la SBS de Uso indebido de los privilegios Código de Ética 3.2 Segregación de A.11 Control de Accesos. DS5 – Garantizar la Corrupción en los sistemas de información Funciones A.11.1.1 Política de Control Seguridad de los Sistemas para ingresar información sin 4.4 44 Sistemas de de Accesos sustento, adulterar montos, y Información A.11.2.2 Gestión de favorecer a terceros. Privilegios. A.11.2.4 Revisión de los derechos de acceso de los usuarios Obtener información de los Aplicar transformación de datos entre los 4.4 Sistemas de A.10.1.4 Separación de las DS11 Administración de la sistemas de información de los ambientes. Efectuar separación lógica de los Información instalaciones de desarrollo, Información ambientes de pruebas o ambientes. Controlar el acceso a los mismos. prueba y operación. desarrollo, dado que la No entregar copias de las bases de datos de A.11.6 Control de Acceso a información ahí almacenada producción en los ambientes de pruebas o las aplicaciones e es idéntica a la de los desarrollo. información. ambientes de producción. A.11.6.2 Aislamiento de sistemas sensibles. Personal que ingresa a una Se debe hacer un chequeo y verificación de 1.4 Estructura A.8 Seguridad en Recursos PO7 Administrar recursos organización sin que se informaciones anteriores de todos los Organizacional Humanos humanos de TI verifiquen sus documentos. candidatos para el empleo, en concordancia 1.5 Administración de A.8.2.3 Proceso disciplinario con las leyes, regulaciones y ética. Recursos Humanos Se debe limitar el acceso a los sistemas, 4.4 Sistemas de según la necesidad de tener y saber. Información Uso de accesos físicos y Reforzar el procedimiento de baja del 1.5 Administración de A.8.3.1. Responsabilidades PO7 Administrar recursos lógicos de empleados que ya personal. Lo ideal es que sus cuentas se Recursos Humanos de Finalización humanos de TI dejaron de laborar. encuentran centralizadas al momento de la A.8.3.2 Devolución de DS12 Administrar el baja. Aquí debe establecerse apoyo con el Activos ambiente físico personal de vigilancia de la Entidad. A.8.3.3 Al finalizar el empleo DS11 Administrar los Retiro de derechos de datos acceso.
Visión de la seguridad en la Institución Un Sistema de Gestión de la Seguridad de la Información UNIFICADO SGS (UNIFICADO) de la Institución SGSI (U C O) a st tuc ó INTEGRACIÓN Ó SGSI - Centro de Cómputo SGSI SGSI SGSI SGSI SGSI Servicio Servicio de Servicio de Servicio de Servicio de Mantenimien to de Atención al Calificaciones de Verificaciones Administración Aplicaciones Público Expedientes de Aportes de Archivos
El Proyecto ‐ Cronograma Lo implementado en el Centro de Cómputo 2007 2008 2009 SGSI Semestre Semestre Semestre Semestre Semestre Semestre I II I II I II Análisis Preliminar y Planeamiento X X Establecimiento del SGSI X X Implementación y Operación p X X Monitoreo y Revisión X X Mantenimiento y Mejora j X Auditoria para la Certificación X Certificación
El Proyecto ‐ Esfuerzo RECURSOS: Equipo consultor y personal de la Institución Para el SGSI del Centro de Cómputo p 564 días útiles Mas de 02 Esfuerzo total AÑOS del proyecto Desde Hasta dedicados ENE 07 FEB 09 Consultores Instit. Participación p Mas de M d 35 Directa 6 3 personas Participación participando 14 15 Indirecta
El Proyecto ‐ Resultados La Institución aprobó exitosamente la auditoría de certificación para el Centro de Cómputo(*) Se usaron las buenas prácticas internacionales Un Sistema d G tió alineado a l Obj ti U Si t de Gestión li d los Objetivos I tit i Institucionales l En los próximos 18 meses la integración de los 06 SGSI (*) En tramites
Por último – desde el Comité EDI • Para el 2009 en proceso:  • PNTP ISO/IEC 27006: 2007 ‐ Information technology Security PNTP ‐ ISO/IEC 27006: 2007 Information technology – Security  techniques – Requirements for bodies providing audit and  certification of information security management systems. • PNTP ISO/IEC 27005: 2008 ‐ Information technology Security PNTP ‐ ISO/IEC 27005: 2008 Information technology – Security  techniques – Information security risk management • PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information  security management in health using security management in health using • PNTP – ISO 28001:2007 ‐ Security management systems for the  supply chain ‐ Best practices for implementing supply chain  security, assessments and plans ‐ Requirements and guidance. security assessments and plans Requirements and guidance
!MUCHAS GRACIAS por su atención! p Roberto Puyó Valladares, CISM Roberto Puyó Valladares CISM robertopuyovalladares@gmail.com 995786312

Empfohlen

Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaMariana Heredia Thorne
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 

Empfohlen

Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Seguridad de la información - 2016
Seguridad de la información - 2016Seguridad de la información - 2016
Seguridad de la información - 2016Matías Jackson
 
Norma nist
Norma nistNorma nist
Norma nistcristina
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaMariana Heredia Thorne
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
Normatecnica
NormatecnicaNormatecnica
NormatecnicaJhon Egoavil
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Manuel Santander
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaUniversidad Dominicana OYM
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799Lilia Quituisaca-Samaniego
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJesenia Ocaña Escobar
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Plan de seguridad FD2013
Plan de seguridad FD2013Plan de seguridad FD2013
Plan de seguridad FD2013Fabián Descalzo
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaAlcantara
 
27001
2700127001
27001jupape
 

Weitere ähnliche Inhalte

Was ist angesagt?

Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Jorge Pariasca
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Gabriel Marcos
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Manuel Santander
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 

Was ist angesagt? (20)

Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
Buenas prácticas en seguridad de la información (...y algunas no tan buenas t...
 
Normatecnica
NormatecnicaNormatecnica
Normatecnica
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Plan de seguridad FD2013
Plan de seguridad FD2013Plan de seguridad FD2013
Plan de seguridad FD2013
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 

Andere mochten auch

Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad InformáticaAlcantara
 
Plan Avanza 2011 ISO 27001 - ISO20000
Plan Avanza 2011 ISO 27001 - ISO20000 Plan Avanza 2011 ISO 27001 - ISO20000
Plan Avanza 2011 ISO 27001 - ISO20000 ITsencial
 
La importancia de los procesos de seguridad de la información: ventajas y efi...
La importancia de los procesos de seguridad de la información: ventajas y efi...La importancia de los procesos de seguridad de la información: ventajas y efi...
La importancia de los procesos de seguridad de la información: ventajas y efi...Foro Global Crossing
 
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...ARGENACO
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionseguinfo2012
 
Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas
Aplicación de SGSI para el Proceso de Pronósticos y Alertas HidrometeorologicasAplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas
Aplicación de SGSI para el Proceso de Pronósticos y Alertas HidrometeorologicasJuan Grover Ulloa Ninahuamán
 
Protocolo de Monitoreo
Protocolo de MonitoreoProtocolo de Monitoreo
Protocolo de Monitoreomrc1979
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 

Andere mochten auch (20)

Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
27001
2700127001
27001
 
ISO/IEC 27001
ISO/IEC 27001ISO/IEC 27001
ISO/IEC 27001
 
Plan Avanza 2011 ISO 27001 - ISO20000
Plan Avanza 2011 ISO 27001 - ISO20000 Plan Avanza 2011 ISO 27001 - ISO20000
Plan Avanza 2011 ISO 27001 - ISO20000
 
Guia iso 27001
Guia iso 27001Guia iso 27001
Guia iso 27001
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
La importancia de los procesos de seguridad de la información: ventajas y efi...
La importancia de los procesos de seguridad de la información: ventajas y efi...La importancia de los procesos de seguridad de la información: ventajas y efi...
La importancia de los procesos de seguridad de la información: ventajas y efi...
 
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas
Aplicación de SGSI para el Proceso de Pronósticos y Alertas HidrometeorologicasAplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas
Aplicación de SGSI para el Proceso de Pronósticos y Alertas Hidrometeorologicas
 
Protocolo de Monitoreo
Protocolo de MonitoreoProtocolo de Monitoreo
Protocolo de Monitoreo
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Estudio de seguridad
Estudio de seguridadEstudio de seguridad
Estudio de seguridad
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 

Ähnlich wie Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó

Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Ricardo Cañizares Sales
 
Integracion Sistemas 9000 166002
Integracion Sistemas 9000 166002Integracion Sistemas 9000 166002
Integracion Sistemas 9000 166002Victor Gomez Romero
 
ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011Ramsés Gallego
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...AGESTIC - Asociación Gallega Empresas TIC
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpCarmelo Branimir España Villegas
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005ascêndia reingeniería + consultoría
 
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]RootedCON
 
Nds l audita
Nds l auditaNds l audita
Nds l auditands
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02vazquezdavid
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02luciarias
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 

Ähnlich wie Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó (20)

Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010 Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
Eulen Seguridad - ALAMYS - Cartagena de Indias Colombia - abril 2010
 
Integracion Sistemas 9000 166002
Integracion Sistemas 9000 166002Integracion Sistemas 9000 166002
Integracion Sistemas 9000 166002
 
ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011ISACA Barcelona Chapter Congress - July 2011
ISACA Barcelona Chapter Congress - July 2011
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integral
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drpMicrosoft power point_-_auditoria_plan_de_continuidad_bcp_drp
Microsoft power point_-_auditoria_plan_de_continuidad_bcp_drp
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
 
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
Gianluca D'Antonio - ¿Estamos preparados? [RootedCON 2010]
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Nds l audita
Nds l auditaNds l audita
Nds l audita
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02
 
GESConsultor
GESConsultorGESConsultor
GESConsultor
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
I foro de gestión pymes software - Aenor
I foro de gestión pymes software - AenorI foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
La Convergencia de la Seguridad
La Convergencia de la SeguridadLa Convergencia de la Seguridad
La Convergencia de la Seguridad
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 

Mehr von Foro Global Crossing

Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorForo Global Crossing
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloForo Global Crossing
 
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...Foro Global Crossing
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasForo Global Crossing
 
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasGabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasForo Global Crossing
 
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraPuppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraForo Global Crossing
 
Tomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceTomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceForo Global Crossing
 
Gabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webGabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webForo Global Crossing
 
Gianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsGianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsForo Global Crossing
 
Marcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeMarcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeForo Global Crossing
 
Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Foro Global Crossing
 
Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Foro Global Crossing
 
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Foro Global Crossing
 
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Foro Global Crossing
 
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Foro Global Crossing
 
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Foro Global Crossing
 
miguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamentemiguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamenteForo Global Crossing
 
Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Foro Global Crossing
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo 10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo Foro Global Crossing
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezForo Global Crossing
 

Mehr von Foro Global Crossing (20)

Presentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - EcuadorPresentación consolidada 3er Foro Global Crossing - Ecuador
Presentación consolidada 3er Foro Global Crossing - Ecuador
 
Miguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarloMiguel Cisterna - Outsourcing IT: cuando implementarlo
Miguel Cisterna - Outsourcing IT: cuando implementarlo
 
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
David Delgado - Microsoft: el camino hacia la nube con nuestros socios tecno...
 
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendenciasMarcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
Marcelo Ruiz (Frost & Sullivan) - Outsourcing tic vision y tendencias
 
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadasGabriel Marcos - Soluciones en la nube, decisiones aterrizadas
Gabriel Marcos - Soluciones en la nube, decisiones aterrizadas
 
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la InfraestructuraPuppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
Puppy Rojas - Banda Ancha para todos, mas allá de la Infraestructura
 
Tomás Grassi - Communications as a Service
Tomás Grassi - Communications as a ServiceTomás Grassi - Communications as a Service
Tomás Grassi - Communications as a Service
 
Gabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% webGabriela Franchetto - Innovación a la velocidad 100% web
Gabriela Franchetto - Innovación a la velocidad 100% web
 
Gianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network SolutionsGianni Hanawa - Accediendo a la nube: Network Solutions
Gianni Hanawa - Accediendo a la nube: Network Solutions
 
Marcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nubeMarcela Núñez - Cloud Computing: Aterrizando la nube
Marcela Núñez - Cloud Computing: Aterrizando la nube
 
Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"Rodrigo Rojas - "To share or not to share"
Rodrigo Rojas - "To share or not to share"
 
Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País Alfredo Barriga - Cloud Computing y Competitividad País
Alfredo Barriga - Cloud Computing y Competitividad País
 
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
Presentación Marmora, Hanawa & Repetti - Foro Global Crossing Perú 2011
 
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
Octavio Novoa Textil del Valle - Foro Global Crossing Peru 2011
 
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
Elder Cama Ernst & Young - Foro Global Crossing Peru 2011
 
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
Oscar Schmitz CXO Community - Foro Global Crossing Peru 2011
 
miguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamentemiguel cisterna como ordenarnos metodologicamente
miguel cisterna como ordenarnos metodologicamente
 
Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas Culpa o caso fortuito - Rodrigo Rojas
Culpa o caso fortuito - Rodrigo Rojas
 
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo 10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
10 Mandamientos de la Continuidad de Negocios - Luis Piccolo
 
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela NuñezContinuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
Continuidad de Negocios: Aportando valor a la empresa - Marcela Nuñez
 

Kürzlich hochgeladen

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 

Kürzlich hochgeladen (13)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 

Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó

  • 1. Información segura. Negocios seguros. Caso: Implementando SGSI en  Caso: Implementando SGSI en Instituciones Estatales Roberto Puyó Valladares, CISM Comité Técnico de Normalización e Intercambio  Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI Oficial de Seguridad LOGO ORADOR
  • 2. Agenda 1 ¿Por qué Implementar un SGSI? 2 Alineamiento con Objetivos Institucionales 3 Alcance 4 Lecciones Aprendidas 5 Integrabilidad de Estándares 6 Visión d l Seguridad d la Información Vi ió de la S id d de l I f ió 7 El Proyecto 8 Trabajo del Comité EDI
  • 5. Documentos Adulterados Papel sumergido en bebida gaseosa Papel sumergido en bebida gaseosa Papel sumergido en Té (Cola Cola) (Cola-Cola) (Pepsi Cola) (Pepsi-Cola)
  • 7. ¿Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los de la Información Confidencialidad Integridad g Disponibilidad p Seguridad vela por
  • 8. Alineamiento con Objetivos Institucionales US01 - Mejorar la percepción del cliente de la lid d del l calidad d l servicio. i i US.02- Reducir el fraude 11 PI.02 PI 02 - Mejorar la calidad del servicio *Fuente: PEI 2007 -201 FI.01 - Conciliar rentabilidad con seguridad EN.02 - Mejorar la Imagen Institucional j g : SEGURIDAD DE LA INFORMACIÓN SGSI
  • 9. PLAP - LIMA Centro Cívico Departamentales CENTRO DE COMPUTO Primera Etapa: • Sistemas Informáticos • Infraestructura Certificar • Servidores en • Comunicaciones ISO/IEC • Aplicaciones 27001 •BBases d D t de Datos
  • 10. SGSI en la Institución SGSI en la Institución SGSI – Proceso n SGSI – Proceso 1 SGSI Proceso 2
  • 11. Alcance – Ámbito de implementación Ámbito: Centro de Cómputo Soporte Técnico (Adm. de la Plataforma y las Mesa d M de Comunicaciones) Ayuda (Soporte a Seguridad Usuarios) ) de la Adm. de la Contingencia del C.C. Información Adm. de las Operaciones del Centro de Cómputo
  • 12. Alcance – Lo norma implementada ISO 27001: “Sistema de Gestión de Seguridad de la Información” Política de  Seguridad Organización de la Seguridad  de Información S G S I Seguridad del  S id d d l Implica a: Gestión de Activos RRHH Gestión de las Comunicaciones y  Seguridad Física Operaciones Organización Tecnología Gestión de Acceso Adquisición, desarrollo y  Legal mantenimiento de sistemas Física Gestión de las  Gestión de la  Continuidad  del Negocio Continuidad del Negocio Cumplimiento p Incidencias de Seguridad Incidencias de Seguridad Personas Procesos Tecnología
  • 13. El Proyecto Lo implementado en el Centro de Cómputo Análisis Establecimiento E t bl i i t Implementación I l t ió Monitoreo y M it Mantenimiento y Preliminar y del SGSI y Operación Revisión Mejora Planeamiento Normativa de Auditorías Plan de Mejora j Definición Alcance Seguridad Internas Continua Análisis GAP Análisis de Plan de Cuadro de Control Plan para la Impacto Respuesta al y Monitoreo Revisión Ejecutiva Riesgo Análisis de Implementación Riesgo de Controles Preparación para la Certificación Plan de Selección de Educación en Controles Seguridad Certificación Documento Aplicabilidad
  • 14. Lección Aprendida No confunda las normas ISO/IEC 27001  No confunda las normas ISO/IEC 27001 ISO/IEC 27002 (ISO/IEC 17799). 
  • 15. Lección Aprendida Si no tiene claro el alcance que quiere cubrir  Si no tiene claro el alcance que quiere cubrir con la gestión de la seguridad:  RECOMENDAMOS NO INICIAR LA  RECOMENDAMOS NO INICIAR LA IMPLEMENTACIÓN de un SGSI.
  • 16. Lección Aprendida Obtenga la aprobación de la Jefatura y/o  Obtenga la aprobación de la Jefatura y/o Gerencia General de su Institución, si no tiene  este apoyo será difícil implementar. este apoyo será difícil implementar.
  • 17. Lección Aprendida Organice el Comité de Seguridad de la  Organice el Comité de Seguridad de la Información. Tienen que participar representantes de  Tienen que participar representantes de diversas áreas, tales como RRHH, Legal, TI,  personal de las áreas de los procesos  personal de las áreas de los procesos áreas de los procesos  principales.  principales No olvidar involucrar al área responsable de  N l id i l lá bl d emitir documentos normativos. 
  • 18. Lección Aprendida De ser necesario, modificar el MOF de la  De ser necesario, modificar el MOF de la Institución para que ciertas funciones clave,  en lo que respecta a la seguridad de la  en lo que respecta a la seguridad de la información y la gestión de riesgos, sean  incluidas.
  • 19. Lección Aprendida Desarrolle o revise las políticas de seguridad de la  p g Institución. Cambie el enfoque de políticas de  seguridad informática a políticas de seguridad de la  información. Guíese de los dominios de la norma ISO/IEC 17799  (ISO/IEC 27002). ( / ) Busque apoyo en otras Instituciones Públicas para no  tratar de “Inventar la Pólvora”. t t d “I t l Pól ”
  • 21. Lección Aprendida Es necesario y recomendable que se ejecute un  y q j Análisis de Impacto al Negocio – BIA
  • 22. Lección Aprendida De acuerdo al nivel de madurez y la  disponibilidad presupuestal, es recomendable  disponibilidad presupuestal es recomendable mantener una persona a tiempo completo  revisando los temas de seguridad.  revisando los temas de seguridad
  • 23. Lección Aprendida Activar la seguridad y la auditoria razonable  Activar la seguridad y la auditoria razonable de las bases de datos en los ambientes de  producción.  producción. Generar registros de auditorias sobre la  actividad de los administradores. actividad de los administradores
  • 24. Lección Aprendida No olvide revisar los accesos que los usuarios  No olvide revisar los accesos que los usuarios tienen en los sistemas de información.  No olvide que los accesos dentro de los  No olvide que los accesos dentro de los sistemas deben encontrarse acordes con las   funciones desempeñadas.  funciones desempeñadas
  • 25. Lección Aprendida Capacite a los empleados en seguridad de la  Capacite a los empleados en seguridad de la información.  Presente casos reales que se hayan efectuado  Presente casos reales que se hayan efectuado en la institución.  Utilice lenguaje apropiado.  Utili l j i d Prepare presentaciones diferenciadas por  áreas pero con el mismo mensaje de fondo. 
  • 26. LEY Nº 27309 ‐ INCORPORA AL CODIGO PENAL LOS DELITOS  LEY Nº 27309 ‐ INFORMATICOS (ART. 2007 C.P.) INFORMATICOS (ART. 2007 C.P.) Art. 207º A .- El que utiliza o ingresa Art. 207º B .- El que utiliza, ingresa o indebidamente a una base de datos, sistema interfiere indebidamente una base de o red de computadoras o cualquier parte de datos, sistema o red o programa de la misma, para diseñar, ejecutar o alterar un computadoras o cualquier parte de la esquema u otro similar, o para interferir, misma con el fin de alterarlos, dañarlos interceptar, acceder o copiar información en o destruirlos. transito o contenida en una base de datos. CIRCUNSTANCIAS AGRAVANTES Art. 207º C El agente accede a una base de El agente pone en peligro la datos, sistema o red de seguridad nacional". computadoras, haciendo uso de información i f ió privilegiada, i il i d obtenida en función a su cargo.
  • 27. FIGURAS DELICTIVAS MAS CONOCIDAS EMPLEANDO ALTA TECNOLOGIA DELITO CONTRA EL (Código Penal) DELITO CONTRA LA LIBERTAD PATRIMONIO OFENSAS AL PUDOR PUBLICO (HURTO AGRAVADO) (PORNOGRAFIA INFANTIL) Art. 186º.- El que para obtener Art. 183º A.- El que posee, promueve, provecho, se apodera ilegítimamente fabrica, distribuye, exhibe, ofrece, de un bien mueble, total o comercializa o publica, importa o exporta parcialmente ajeno, sustrayéndolo del por cualquier medio incluido la INTERNET, lugar donde se encuentra, … objetos, libros, IMÁGENES VISUALES o auditivas, o realiza espectáculos en vivo de 3. Mediante la tili ió de i t 3 M di t l utilización d sistemas carácter pornográfico, en los cuales se de transferencia electrónica de utilice a personas de 14 y menos de 18 años fondos, de la telemática en general o de edad, … la violación del empleo de claves secretas. t Cuando el menor tenga menos de 14 años de edad, …
  • 29. Lección Aprendida Implemente un procedimiento de  Implemente un procedimiento de registro, seguimiento y control de los  “Incidentes de Seguridad de la  Información”.
  • 30. Lección Aprendida De ser el caso no dude en solicitar apoyo de la  De ser el caso no dude en solicitar apoyo de la Policía Informática del Perú – DIVINDAT.  División de Investigaciones de Delitos de Alta  División de Investigaciones de Delitos de Alta Tecnología. http://www.policiainformatica.gob.pe/ http://www policiainformatica gob pe/
  • 31. Lección Aprendida Efectúen una revisión del código fuente de sus  Efectúen una revisión del código fuente de sus aplicaciones.  Nadie sabe lo que se puede encontrar. Podrían  Nadie sabe lo que se puede encontrar Podrían existir “puertas traseras” colocadas por los  programadores.  programadores
  • 34. Lección Aprendida Integre los estándares para NO DUPLICAR los estándares para NO DUPLICAR  ESFUERZOS: COSO COBIT ISO/IEC 27001 ISO/IEC 27002 Reglamento de Seguridad y Salud en el  Trabajo
  • 35. Integrabilidad REGULACIONES SST BCI Seguridad y Salud en el Trabajo Business Continuity Institute DRI PMI-PMBOK Disaster Recovery Institute ISO 27.005 CMMI BS 25.999 Gestión de Riesgos de segurida nivel de Madurrez Business Continuity Management COBIT/ ISO 27.001 – 27.002 ISO 20.000 Sistema de Gestión de Seguridad ISO 38500 Sistema de Gestión de Servicios TI de la Información (SGSI) Gobernabilidad TI (ITIL) Sistemas de Gestión y Gobernabilidad alineados con el Negocio COSO - ERM
  • 36. Integración de Normas – Arman contra la corrupción y el fraude Escenario del Fraude Control a implementar Informe COSO – RC N° Norma ISO/IEC 27001:2005 COBIT v4- Control de 320-2006- CG- Control – Sistema de Gestión de Tecnologías[ Interno] Seguridad Tipo d Fraude Norma de la SBS de Uso indebido de los privilegios Código de Ética 3.2 Segregación de A.11 Control de Accesos. DS5 – Garantizar la Corrupción en los sistemas de información Funciones A.11.1.1 Política de Control Seguridad de los Sistemas para ingresar información sin 4.4 44 Sistemas de de Accesos sustento, adulterar montos, y Información A.11.2.2 Gestión de favorecer a terceros. Privilegios. A.11.2.4 Revisión de los derechos de acceso de los usuarios Obtener información de los Aplicar transformación de datos entre los 4.4 Sistemas de A.10.1.4 Separación de las DS11 Administración de la sistemas de información de los ambientes. Efectuar separación lógica de los Información instalaciones de desarrollo, Información ambientes de pruebas o ambientes. Controlar el acceso a los mismos. prueba y operación. desarrollo, dado que la No entregar copias de las bases de datos de A.11.6 Control de Acceso a información ahí almacenada producción en los ambientes de pruebas o las aplicaciones e es idéntica a la de los desarrollo. información. ambientes de producción. A.11.6.2 Aislamiento de sistemas sensibles. Personal que ingresa a una Se debe hacer un chequeo y verificación de 1.4 Estructura A.8 Seguridad en Recursos PO7 Administrar recursos organización sin que se informaciones anteriores de todos los Organizacional Humanos humanos de TI verifiquen sus documentos. candidatos para el empleo, en concordancia 1.5 Administración de A.8.2.3 Proceso disciplinario con las leyes, regulaciones y ética. Recursos Humanos Se debe limitar el acceso a los sistemas, 4.4 Sistemas de según la necesidad de tener y saber. Información Uso de accesos físicos y Reforzar el procedimiento de baja del 1.5 Administración de A.8.3.1. Responsabilidades PO7 Administrar recursos lógicos de empleados que ya personal. Lo ideal es que sus cuentas se Recursos Humanos de Finalización humanos de TI dejaron de laborar. encuentran centralizadas al momento de la A.8.3.2 Devolución de DS12 Administrar el baja. Aquí debe establecerse apoyo con el Activos ambiente físico personal de vigilancia de la Entidad. A.8.3.3 Al finalizar el empleo DS11 Administrar los Retiro de derechos de datos acceso.
  • 37. Visión de la seguridad en la Institución Un Sistema de Gestión de la Seguridad de la Información UNIFICADO SGS (UNIFICADO) de la Institución SGSI (U C O) a st tuc ó INTEGRACIÓN Ó SGSI - Centro de Cómputo SGSI SGSI SGSI SGSI SGSI Servicio Servicio de Servicio de Servicio de Servicio de Mantenimien to de Atención al Calificaciones de Verificaciones Administración Aplicaciones Público Expedientes de Aportes de Archivos
  • 38. El Proyecto ‐ Cronograma Lo implementado en el Centro de Cómputo 2007 2008 2009 SGSI Semestre Semestre Semestre Semestre Semestre Semestre I II I II I II Análisis Preliminar y Planeamiento X X Establecimiento del SGSI X X Implementación y Operación p X X Monitoreo y Revisión X X Mantenimiento y Mejora j X Auditoria para la Certificación X Certificación
  • 39. El Proyecto ‐ Esfuerzo RECURSOS: Equipo consultor y personal de la Institución Para el SGSI del Centro de Cómputo p 564 días útiles Mas de 02 Esfuerzo total AÑOS del proyecto Desde Hasta dedicados ENE 07 FEB 09 Consultores Instit. Participación p Mas de M d 35 Directa 6 3 personas Participación participando 14 15 Indirecta
  • 40. El Proyecto ‐ Resultados La Institución aprobó exitosamente la auditoría de certificación para el Centro de Cómputo(*) Se usaron las buenas prácticas internacionales Un Sistema d G tió alineado a l Obj ti U Si t de Gestión li d los Objetivos I tit i Institucionales l En los próximos 18 meses la integración de los 06 SGSI (*) En tramites
  • 41. Por último – desde el Comité EDI • Para el 2009 en proceso:  • PNTP ISO/IEC 27006: 2007 ‐ Information technology Security PNTP ‐ ISO/IEC 27006: 2007 Information technology – Security  techniques – Requirements for bodies providing audit and  certification of information security management systems. • PNTP ISO/IEC 27005: 2008 ‐ Information technology Security PNTP ‐ ISO/IEC 27005: 2008 Information technology – Security  techniques – Information security risk management • PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information  security management in health using security management in health using • PNTP – ISO 28001:2007 ‐ Security management systems for the  supply chain ‐ Best practices for implementing supply chain  security, assessments and plans ‐ Requirements and guidance. security assessments and plans Requirements and guidance
  • 42. !MUCHAS GRACIAS por su atención! p Roberto Puyó Valladares, CISM Roberto Puyó Valladares CISM robertopuyovalladares@gmail.com 995786312