Seguridad de la Información Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799   2004

Apertura Recepción Presentación General Objetivo Instructor Temario detallado

Objetivo Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales.

Instructores Martín Vila   Business Director I -Sec Information Security (2002 - 2004) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Guarded Networks, Ernst & Young / IT College, I-SEC).

Instructores Tania Cozzi   Senior Security Consultant - I -Sec Information Security (2004) Senior / Supervisor IT Security - BDO (2001-2004) Consultor de Seguridad informática - Megatone (Auckland, New Zealand) (2001) Posee una Maestría en Auditoria de Sistemas (Universidad del Salvador – Bs. As.) – (1998-2000) Ha llevado adelante y supervisado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en cursos de capacitación internos y e internacionales relacionados con el Análisis e implementación de controles, metodología de Auditoria de Sistemas, Estándares Internacionales, entre otros.

Reconocer los riesgos y su impacto en los negocios Paso 1: Por que? Reconocer los riesgos y su impacto en los negocios

Algunos datos INFORMATICA El objetivo del virus “Bugbear” no es colapsar computadoras sino robar datos bancarios Los expertos confirmaron que envía la información que captura a miles de direcciones de Internet. Además, también puede desactivar los sistemas de seguridad de la PC, destruir sus archivos y descomponer impresoras. INTERNET Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.

Algunos datos

Algunos datos Microsoft cierra la mayoría de sus chats Quiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países.

Algunos datos Despido Rechazan demanda de empleada por uso indebido de Internet El juez del trabajo Jorge Finizzola consideró justo el despido de una empleada que usó las computadoras de la empresa para recibir y enviar correos electrónicos ajenos a su tarea y de contenido pornográfico, indicaron fuentes tribunalicias. El magistrado rechazó la demanda iniciada por una empleada, que fue identificada como R.I.V, ya que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a la reclamante las costas del juicio. 

La seguridad de redes, una prioridad para las empresas Algunos datos La seguridad de redes, una prioridad para las empresas Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.

Algunos datos NEGOCIOS Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información La gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; también quieren ahorrar millones. Por Daniela Blanco. Especial para Clarín.com.

Algunos datos LA POLICIA LO DETUVO EL DOMINGO CUANDO FUE A VOTAR Acusan a un joven de un crimen luego de un rastreo informático Verónica Tomini tenía 24 años y era gerenta de una empresa de marketing. Los investigadores detectaron que horas antes del crimen había chateado con el sospechoso para arreglar un encuentro. Martín Sassone. . El martes 19 de agosto, Verónica Tomini estaba en su trabajo y recibió un mensaje en su computadora: "Bebota, tengo ganas de verte". Ella respondió: "Yo también Cachorro. Nos vemos esta noche en casa". Así, rastreando los mensajes de chat de la víctima, los investigadores llegaron al principal sospechoso del crimen: un joven de 24 años que fue detenido el domingo cuando fue a votar.

Algunos riesgos

Virus Software ilegal Ingeniería social Acceso clandestino a redes Captura de PC desde el exterior Algunos riesgos Fraudes informáticos Robo de información Software ilegal Spamming Destrucción de equipamiento Intercepción y modificación y violación de e-mails Violación de contraseñas Virus Violación de la privacidad de los empleados Incumplimiento de leyes y regulaciones Ingeniería social empleados deshonestos Mails anónimos con agresiones Programas “bomba, troyanos” Interrupción de los servicios Destrucción de soportes documentales Acceso clandestino a redes Robo o extravío de notebooks, palms Acceso indebido a documentos impresos Propiedad de la información Indisponibilidad de información clave Intercepción de comunicaciones voz y wireless Falsificación de información para terceros Agujeros de seguridad de redes conectadas

Backups inexistentes Password cracking Exploits Keylogging Algunos riesgos Instalaciones default Escalamiento de privilegios Password cracking Exploits Puertos vulnerables abiertos Man in the middle Servicios de log inexistentes o que no son chequeados Denegación de servicio Backups inexistentes Últimos parches no instalados Desactualización Keylogging Port scanning Hacking de Centrales Telefónicas

Según una encuesta del Departamento de Defensa de USA: Sobre aprox 9000 computadores atacados, 7,900 fueron dañados. 400 detectaron el ataque. Sólo 19 informaron el ataque. Algunos datos

En general todos coinciden en: El 80% de los incidentes/fraudes son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS Algunos datos

En mi compañía ya tenemos seguridad porque ... ... implementamos un firewall. ... contratamos una persona para el área. ... en la última auditoría de sistemas no me sacaron observaciones importantes. ... ya escribí las políticas. ... hice un penetration testing y ya arreglamos todo. Algunas realidades

en formato electrónico / magnético / óptico en formato impreso en el conocimiento de las personas Algunos conceptos preliminares

Principales riesgos y el impacto en los negocios En estos tipos de problemas es difícil: Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos económicamente, por ejemplo ¿cuánto le cuesta a la compañía 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los resultados de la compañía. Principales riesgos y el impacto en los negocios

No existe la “verdad absoluta” en Seguridad Informática. No es posible eliminar todos los riesgos. No se puede ser especialista en todos los temas. La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía. Cada vez los riesgos y el impacto en los negocios son mayores. No se puede dejar de hacer algo en este tema. Algunas premisas

POR TODAS ESAS RAZONES

Deberia asegurar mi Informacion Se puede estar preparado para que ocurran lo menos posible: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web Deberia asegurar mi Informacion

Paso 2: Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables

Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common Criteria ITSEC – Information Technology Security Evaluation Criteria: White Book Sans Institute Sarbanes Oxley Act, HIPAA Normas aplicables

Paso 3: Que pide la Norma ISO 17799 Gestión de Seguridad?

Normas de Gestión ISO International Standards Organization: Normas ISO    ISO 9001 – Calidad ISO 14001 – Ambiental ISO 17799 – Seguridad de la Información La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO 17799. Basada en el BRITISH STANDARD 7799. ISO (Europa) y NIST (USA). Normas de Gestión ISO

Norma ISO 17799 Seguridad de la Información Dos partes: 17799 – 1 . NORMALIZACION (Mejores Prácticas) Homologada en Argentina IRAM/ISO/IEC 17799 17799 – 2 . CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS 7799. Norma ISO 17799 Seguridad de la Información

GESTION DE SEGURIDAD DE LA INFORMACION Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance Recomendaciones para la gestión de la seguridad de la información Base común para el desarrollo de estándares de seguridad Norma ISO 17799 Seguridad de la Información

Norma ISO 17799 Seguridad de la Información Preservar la: confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la información y los métodos de procesamiento. disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera. Norma ISO 17799 Seguridad de la Información

Norma ISO 17799 Seguridad de la Información 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO 17799 Seguridad de la Información

Qué es la Seguridad de la Información La información = activo comercial Tiene valor para una organización y por consiguiente debe ser debidamente protegida. “Garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades” “La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados” Qué es la Seguridad de la Información

Formas o medios que se distribuye o almacena   Impresa, escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación. Formas o medios que se distribuye o almacena

Implementando un conjunto adecuado de CONTROLES: Políticas Prácticas Procedimientos Estructuras Organizacionales Funciones del Software Gestión de Seguridad de la Información

Cómo establecer los requerimientos de Seguridad Evaluar los riesgos:   se identifican las amenazas a los activos, se evalúan vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: la organización, sus socios comerciales, los contratistas y los prestadores de servicios. Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

Selección de controles “Los controles pueden seleccionarse sobre la base de la Norma ISO 17799, de otros estándares, o pueden diseñarse nuevos controles para satisfacer necesidades específicas según corresponda”   Costo de implementación vs riesgos a reducir y las pérdidas monetarias y no monetarias Revisiones periódicas de: - Riesgos - Controles implementados

política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional; apoyo y compromiso manifiestos por parte de la gerencia; un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos; comunicación eficaz de los temas de seguridad a todos los gerentes y empleados; Factores críticos del éxito

distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas; instrucción y entrenamiento adecuados; un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo. Factores críticos del éxito

Dominio 1 - Política de Seguridad Dominios de Norma ISO 17.799 Dominio 1 - Política de Seguridad

Dominio 1: POLÍTICA DE SEGURIDAD Nivel gerencial debe:   v     aprobar y publicar la política de seguridad v     comunicarlo a todos los empleados

Política de Seguridad Dominio 1: POLÍTICA DE SEGURIDAD Autorización Protección Física Propiedad Eficacia Eficiencia Exactitud Integridad Legalidad Disponibilidad Confidencialidad Confiabilidad

Organización de la Seguridad Dominio 2 Organización de la Seguridad

Dominio 2: ORGANIZACION DE LA SEGURIDAD Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales, RRHH, Auditoria, OyM Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Principales roles y funciones

Clasificación y Control de Activos Dominio 3 Clasificación y Control de Activos

Inventarios de Información e Instalaciones Designar un propietario para cada uno de ellos Clasificación de la información Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS

Seguridad del Personal Dominio 4 Seguridad del Personal

Dominio 4: SEGURIDAD DEL PERSONAL Administracion del Personal Sanciones Concientizacion Administracion de Incidentes

Seguridad Fisica y Ambiental Dominio 5 Seguridad Fisica y Ambiental

Dominio 5: SEGURIDAD FISICA Y AMBIENTAL   Impedir accesos no autorizados, daños e interferencia a: sedes instalaciones información

Gestión de Operaciones y Comunicaciones Dominio 6 Gestión de Operaciones y Comunicaciones

Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES Seguridad en los Procesos de TI: Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de almacenamiento Acuerdos de intercambio de información y software

Sistema de Control de Accesos Dominio 7 Sistema de Control de Accesos

Administración de accesos de usuarios Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas Dominio 7: SISTEMA DE CONTROL DE ACCESOS

Desarrollo y Mantenimiento de Sistemas Dominio 8 Desarrollo y Mantenimiento de Sistemas

Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS Requerimientos de seguridad de los sistemas Asegurar que la seguridad es incorporada a los sistemas de información.   Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.

Plan de Continuidad del Negocio Dominio 9 Plan de Continuidad del Negocio

Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO   Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.

Dominio 10 Cumplimiento

Dominio 10 : CUMPLIMIENTO Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.   Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización. Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas. Asegurar las evidencias.

Relación entre RIESGOS y DELITOS informáticos Dominio 10 : CUMPLIMIENTO Delitos tradicionalmente denominados informáticos Relación entre RIESGOS y DELITOS informáticos Delitos convencionales Infracciones por “Mal uso”

Norma ISO 17799 Seguridad de la Información 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO 17799 Seguridad de la Información

Metodologia de Implementación Seguridad de la Información Como lo hago? Metodologia de Implementación del ISMS Programa Continuo de Seguridad de la Información

Definir una METODOLOGIA Implementación de un Programa Integral de Seguridad de la Información

Implementación de un Programa de Seguridad Identificación de los principales riesgos informáticos para su compañía P Definición por la Dirección de una política básica de seguridad A Acción concreta en dos frentes: Normativo Implementación de un Programa de Seguridad Ejecutivo

Clasificación de los más críticos Identificación de riesgos en su compañía Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos R Clasificación de los más críticos

Personas y Organizaciones dentro y/o fuera Identificación de riesgos en su compañía R Competidores Empleados descontentos Proveedores Clientes Hackers Consultores “in company” Compañías asociadas

Donde hay información sensible en los sistemas centrales en las PC´s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal Donde hay información sensible Identificación de riesgos en su compañía R

Definición de una política básica de seguridad Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros P

Definición de una política básica de seguridad Política de Seguridad Autorización Protección Física Propiedad Eficacia Eficiencia Exactitud Integridad Legalidad Disponibilidad Confidencialidad Confiabilidad

Identificación de responsabilidades de seguridad Sponsoreo y seguimiento Dirección de la Compañía Comité de Seguridad Autorización Dueños de datos Definición Area de Seguridad Informática Area de Legales Identificación de responsabilidades de seguridad Acción concreta: Plano Normativo A Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas Administración Administrador de Seguridad Control Auditoría Interna / Externa

Acción concreta: Plano Normativo Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes Desarrollo de la normativa básica y publicación A

Definición de un sistema de “premios y castigos” en su compañía Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros “in company” Utilización de convenios de confidencialidad Definición de un sistema de “premios y castigos” en su compañía Acción concreta: Plano Normativo A

Definición e implementación de la función de Seguridad Informática Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas Definición e implementación de la función de Seguridad Informática Acción concreta: Plano Ejecutivo A

Mejoras en los procesos del área de Sistemas Administración de Usuarios y Permisos en los Sistemas Separación de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Física de las Instalaciones y Recursos Prevención de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditoría Automática y Administración de Incidentes de Seguridad Uso del Correo Electrónico Uso de Servicios de Internet Mejoras en los procesos del área de Sistemas Acción concreta: Plano Ejecutivo A

Plan de Continuidad del Negocio Acción concreta: Plano Ejecutivo A El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en: Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía.

Plan de Continuidad del Negocio Acción concreta: Plano Ejecutivo A Componentes   - Tecnológico: procesamiento de los sistemas - Funcional: procedimientos del personal

Plan de Continuidad del Negocio Acción concreta: Plano Ejecutivo A Etapas en la Implementación del Plan    1: Clasificación de los distintos escenarios de desastres 2: Evaluación de impacto en el negocio 3: Desarrollo de una estrategia de recupero 4: Implementación de la estrategia 5: Documentación del plan de recupero 6: Testeo y mantenimiento del plan

Parametrización de las redes y los sistemas de una forma más segura Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores, PC´s y laptops Seguridad física Integración con otras tecnologías Parametrización de las redes y los sistemas de una forma más segura Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático) Acción concreta: Plano Ejecutivo A

Implementación de monitoreos de incidentes de seguridad Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías Implementación de monitoreos de incidentes de seguridad Acción concreta: Plano Ejecutivo A

Acción concreta: Plano Ejecutivo Concientización a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros “in company” Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos Acción concreta: Plano Ejecutivo A Utilizando la tecnología y los medios disponibles

Programa de Mejora Continua Implemente Ud. Mismo el ISMS ISO 17799 Programa de Mejora Continua

Implemente Ud. Mismo el ISMS ISO 17799 Diagnóstico Inicial: Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO 17799. 2 a 3 semanas

Implemente Ud. Mismo el ISMS ISO 17799 Módulos: Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal.

Implemente Ud. Mismo el ISMS ISO 17799 Módulo 1: Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso)

Definir, aprobar y difundir la Política de Seguridad de la Compañía Implemente Ud. Mismo el ISMS ISO 17799 Módulo 2: Definir, aprobar y difundir la Política de Seguridad de la Compañía Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía Implementar Esquema de Propietarios de Datos

Iniciar proceso de redacción de las Normas Implemente Ud. Mismo el ISMS ISO 17799 Módulo 3: Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros Iniciar proceso de redacción de las Normas

Finalizar Clasificación de Información Implemente Ud. Mismo el ISMS ISO 17799 Módulo 4: Finalizar Clasificación de Información Relevar medidas implementadas en las funciones del área de sistemas

Finalizar la Redacción y Difundir las Normas de Seguridad Implemente Ud. Mismo el ISMS ISO 17799 Módulo 5: Finalizar la Redacción y Difundir las Normas de Seguridad Implementar las definiciones de las Normas

Implementar mejoras en los sectores usuarios para información impresa Implemente Ud. Mismo el ISMS ISO 17799 Módulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas Implementar mejoras en los sectores usuarios para información impresa

Iniciar proceso de redacción de Procedimientos críticos Implemente Ud. Mismo el ISMS ISO 17799 Módulo 7: Iniciar proceso de redacción de Procedimientos críticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información

Finalizar la redacción y difundir los Procedimientos críticos Implemente Ud. Mismo el ISMS ISO 17799 Módulo 8: Finalizar la redacción y difundir los Procedimientos críticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)

Implementar los Procedimientos de Seguridad Críticos Implemente Ud. Mismo el ISMS ISO 17799 Módulo 9: Implementar los Procedimientos de Seguridad Críticos Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad

Definir junto a RRHH mecanismos de Control y Sanciones Implemente Ud. Mismo el ISMS ISO 17799 Módulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientización de Usuarios de toda la Compañía

Implemente Ud. Mismo el ISMS ISO 17799 Módulo 11: Diagnóstico General respecto Norma ISO 17799 (similar a una Preauditoría de Certificación ISO)

Implemente Ud. Mismo el ISMS ISO 17799 Módulo 12: Implementación de las mejoras identificadas en el Diagnóstico según ISO 17799

Facilidad en el USO vs mejor PROTECCION Sugerencias prácticas a tener en cuenta Facilidad en el USO vs mejor PROTECCION de la Información