La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad de la Información

Publicada porDeifilia Benito Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Seguridad de la Información"— Transcripción de la presentación:

1 Seguridad de la Información
Conferencia de Seguridad de la Información NORMA ISO / BS 7799 2004

2 Apertura Recepción Presentación General Objetivo Instructor
Temario detallado

3 Objetivo Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales.

4 Instructores Martín Vila
Business Director I -Sec Information Security ( ) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Guarded Networks, Ernst & Young / IT College, I-SEC).

5 Instructores Tania Cozzi
Senior Security Consultant - I -Sec Information Security (2004) Senior / Supervisor IT Security - BDO ( ) Consultor de Seguridad informática - Megatone (Auckland, New Zealand) (2001) Posee una Maestría en Auditoria de Sistemas (Universidad del Salvador – Bs. As.) – ( ) Ha llevado adelante y supervisado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en cursos de capacitación internos y e internacionales relacionados con el Análisis e implementación de controles, metodología de Auditoria de Sistemas, Estándares Internacionales, entre otros.

6 Reconocer los riesgos y su impacto en los negocios
Paso 1: Por que? Reconocer los riesgos y su impacto en los negocios

7 Algunos datos INFORMATICA El objetivo del virus “Bugbear” no es colapsar computadoras sino robar datos bancarios Los expertos confirmaron que envía la información que captura a miles de direcciones de Internet. Además, también puede desactivar los sistemas de seguridad de la PC, destruir sus archivos y descomponer impresoras. INTERNET Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.

8 Algunos datos

9 Algunos datos Microsoft cierra la mayoría de sus chats Quiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países.

10 Algunos datos Despido Rechazan demanda de empleada por uso indebido de Internet El juez del trabajo Jorge Finizzola consideró justo el despido de una empleada que usó las computadoras de la empresa para recibir y enviar correos electrónicos ajenos a su tarea y de contenido pornográfico, indicaron fuentes tribunalicias. El magistrado rechazó la demanda iniciada por una empleada, que fue identificada como R.I.V, ya que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a la reclamante las costas del juicio. 

11 La seguridad de redes, una prioridad para las empresas
Algunos datos La seguridad de redes, una prioridad para las empresas Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.

12 Algunos datos NEGOCIOS Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información La gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; también quieren ahorrar millones. Por Daniela Blanco. Especial para Clarín.com.

13 Algunos datos LA POLICIA LO DETUVO EL DOMINGO CUANDO FUE A VOTAR Acusan a un joven de un crimen luego de un rastreo informático Verónica Tomini tenía 24 años y era gerenta de una empresa de marketing. Los investigadores detectaron que horas antes del crimen había chateado con el sospechoso para arreglar un encuentro. Martín Sassone. . El martes 19 de agosto, Verónica Tomini estaba en su trabajo y recibió un mensaje en su computadora: "Bebota, tengo ganas de verte". Ella respondió: "Yo también Cachorro. Nos vemos esta noche en casa". Así, rastreando los mensajes de chat de la víctima, los investigadores llegaron al principal sospechoso del crimen: un joven de 24 años que fue detenido el domingo cuando fue a votar.

14 Algunos riesgos

15 Virus Software ilegal Ingeniería social Acceso clandestino a redes
Captura de PC desde el exterior Algunos riesgos Fraudes informáticos Robo de información Software ilegal Spamming Destrucción de equipamiento Intercepción y modificación y violación de s Violación de contraseñas Virus Violación de la privacidad de los empleados Incumplimiento de leyes y regulaciones Ingeniería social empleados deshonestos Mails anónimos con agresiones Programas “bomba, troyanos” Interrupción de los servicios Destrucción de soportes documentales Acceso clandestino a redes Robo o extravío de notebooks, palms Acceso indebido a documentos impresos Propiedad de la información Indisponibilidad de información clave Intercepción de comunicaciones voz y wireless Falsificación de información para terceros Agujeros de seguridad de redes conectadas

16 Backups inexistentes Password cracking Exploits Keylogging
Algunos riesgos Instalaciones default Escalamiento de privilegios Password cracking Exploits Puertos vulnerables abiertos Man in the middle Servicios de log inexistentes o que no son chequeados Denegación de servicio Backups inexistentes Últimos parches no instalados Desactualización Keylogging Port scanning Hacking de Centrales Telefónicas

17 Según una encuesta del Departamento de Defensa de USA:
Sobre aprox 9000 computadores atacados, 7,900 fueron dañados. 400 detectaron el ataque. Sólo 19 informaron el ataque. Algunos datos

18 En general todos coinciden en:
El 80% de los incidentes/fraudes son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS Algunos datos

19 En mi compañía ya tenemos seguridad porque ...
... implementamos un firewall. ... contratamos una persona para el área. ... en la última auditoría de sistemas no me sacaron observaciones importantes. ... ya escribí las políticas. ... hice un penetration testing y ya arreglamos todo. Algunas realidades

20 en formato electrónico / magnético / óptico
en formato impreso en el conocimiento de las personas Algunos conceptos preliminares

21 Principales riesgos y el impacto en los negocios
En estos tipos de problemas es difícil: Darse cuenta que pasan, hasta que pasan. Poder cuantificarlos económicamente, por ejemplo ¿cuánto le cuesta a la compañía 4 horas sin sistemas? Poder vincular directamente sus efectos sobre los resultados de la compañía. Principales riesgos y el impacto en los negocios

22 No existe la “verdad absoluta” en Seguridad Informática.
No es posible eliminar todos los riesgos. No se puede ser especialista en todos los temas. La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía. Cada vez los riesgos y el impacto en los negocios son mayores. No se puede dejar de hacer algo en este tema. Algunas premisas

23 POR TODAS ESAS RAZONES

24 Deberia asegurar mi Informacion
Se puede estar preparado para que ocurran lo menos posible: sin grandes inversiones en software sin mucha estructura de personal Tan solo: ordenando la Gestión de Seguridad parametrizando la seguridad propia de los sistemas utilizando herramientas licenciadas y libres en la web Deberia asegurar mi Informacion

25 Paso 2: Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables

26 Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common Criteria ITSEC – Information Technology Security Evaluation Criteria: White Book Sans Institute Sarbanes Oxley Act, HIPAA Normas aplicables

27 Paso 3: Que pide la Norma ISO 17799 Gestión de Seguridad?

28 Normas de Gestión ISO International Standards Organization: Normas ISO
   ISO 9001 – Calidad ISO – Ambiental ISO – Seguridad de la Información La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO Basada en el BRITISH STANDARD 7799. ISO (Europa) y NIST (USA). Normas de Gestión ISO

29 Norma ISO 17799 Seguridad de la Información
Dos partes: 17799 – 1 . NORMALIZACION (Mejores Prácticas) Homologada en Argentina IRAM/ISO/IEC 17799 17799 – 2 . CERTIFICACION Aún no fue publicada por ISO. Hoy en día las certificaciones son sobre el BS 7799. Norma ISO Seguridad de la Información

30 GESTION DE SEGURIDAD DE LA INFORMACION
Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: GESTION DE SEGURIDAD DE LA INFORMACION Alcance Recomendaciones para la gestión de la seguridad de la información Base común para el desarrollo de estándares de seguridad Norma ISO Seguridad de la Información

31 Norma ISO 17799 Seguridad de la Información
Preservar la: confidencialidad: accesible sólo a aquellas personas autorizadas a tener acceso. integridad: exactitud y totalidad de la información y los métodos de procesamiento. disponibilidad: acceso a la información y a los recursos relacionados con ella toda vez que se requiera. Norma ISO Seguridad de la Información

32 Norma ISO 17799 Seguridad de la Información
1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO Seguridad de la Información

33 Qué es la Seguridad de la Información
La información = activo comercial Tiene valor para una organización y por consiguiente debe ser debidamente protegida. “Garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades” “La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados” Qué es la Seguridad de la Información

34 Formas o medios que se distribuye o almacena
Impresa, escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación. Formas o medios que se distribuye o almacena

35 Implementando un conjunto adecuado de CONTROLES:
Políticas Prácticas Procedimientos Estructuras Organizacionales Funciones del Software Gestión de Seguridad de la Información

36 Cómo establecer los requerimientos de Seguridad
Evaluar los riesgos: se identifican las amenazas a los activos, se evalúan vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: la organización, sus socios comerciales, los contratistas y los prestadores de servicios. Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

37 Selección de controles
“Los controles pueden seleccionarse sobre la base de la Norma ISO 17799, de otros estándares, o pueden diseñarse nuevos controles para satisfacer necesidades específicas según corresponda” Costo de implementación vs riesgos a reducir y las pérdidas monetarias y no monetarias Revisiones periódicas de: - Riesgos - Controles implementados

38 política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;
una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional; apoyo y compromiso manifiestos por parte de la gerencia; un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos; comunicación eficaz de los temas de seguridad a todos los gerentes y empleados; Factores críticos del éxito

39 distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas; instrucción y entrenamiento adecuados; un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo. Factores críticos del éxito

40 Dominio 1 - Política de Seguridad
Dominios de Norma ISO Dominio 1 - Política de Seguridad

41 Dominio 1: POLÍTICA DE SEGURIDAD
Nivel gerencial debe: v     aprobar y publicar la política de seguridad v     comunicarlo a todos los empleados

42 Política de Seguridad Dominio 1: POLÍTICA DE SEGURIDAD Autorización
Protección Física Propiedad Eficacia Eficiencia Exactitud Integridad Legalidad Disponibilidad Confidencialidad Confiabilidad

43 Organización de la Seguridad
Dominio 2 Organización de la Seguridad

44 Dominio 2: ORGANIZACION DE LA SEGURIDAD
Sponsoreo y seguimiento Dirección de la Compañía Foro / Comité de Seguridad Autorización Dueño de datos Definición Área de Seguridad Informática Área de Legales, RRHH, Auditoria, OyM Administración Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado Área de sistemas Control Auditoría Interna Auditoría Externa Principales roles y funciones

45 Clasificación y Control de Activos
Dominio 3 Clasificación y Control de Activos

46 Inventarios de Información e Instalaciones
Designar un propietario para cada uno de ellos Clasificación de la información Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS

47 Seguridad del Personal
Dominio 4 Seguridad del Personal

48 Dominio 4: SEGURIDAD DEL PERSONAL
Administracion del Personal Sanciones Concientizacion Administracion de Incidentes

49 Seguridad Fisica y Ambiental
Dominio 5 Seguridad Fisica y Ambiental

50 Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Impedir accesos no autorizados, daños e interferencia a: sedes instalaciones información

51 Gestión de Operaciones y Comunicaciones
Dominio 6 Gestión de Operaciones y Comunicaciones

52 Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Seguridad en los Procesos de TI: Planificación y aprobación de sistemas Protección contra software malicioso Mantenimiento back up Administración de la red Administración y seguridad de los medios de almacenamiento Acuerdos de intercambio de información y software

53 Sistema de Control de Accesos
Dominio 7 Sistema de Control de Accesos

54 Administración de accesos de usuarios
Administración de privilegios Responsabilidades del usuario Control de acceso a la red Camino forzado Autenticación de usuarios para conexiones externas Monitoreo del acceso y uso de los sistemas Dominio 7: SISTEMA DE CONTROL DE ACCESOS

55 Desarrollo y Mantenimiento de Sistemas
Dominio 8 Desarrollo y Mantenimiento de Sistemas

56 Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Requerimientos de seguridad de los sistemas Asegurar que la seguridad es incorporada a los sistemas de información. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.

57 Plan de Continuidad del Negocio
Dominio 9 Plan de Continuidad del Negocio

58 Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.

59 Dominio 10 Cumplimiento

60 Dominio 10 : CUMPLIMIENTO
Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.   Garantizar la conformidad de los sistemas con las políticas y estándares de seguridad de la organización. Maximizar la efectividad y minimizar las interferencias de los procesos de auditoría de sistemas. Asegurar las evidencias.

61 Relación entre RIESGOS y DELITOS informáticos
Dominio 10 : CUMPLIMIENTO Delitos tradicionalmente denominados informáticos Relación entre RIESGOS y DELITOS informáticos Delitos convencionales Infracciones por “Mal uso”

62 Norma ISO 17799 Seguridad de la Información
1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento Norma ISO Seguridad de la Información

63 Metodologia de Implementación Seguridad de la Información
Como lo hago? Metodologia de Implementación del ISMS Programa Continuo de Seguridad de la Información

64 Definir una METODOLOGIA
Implementación de un Programa Integral de Seguridad de la Información

65 Implementación de un Programa de Seguridad
Identificación de los principales riesgos informáticos para su compañía P Definición por la Dirección de una política básica de seguridad A Acción concreta en dos frentes: Normativo Implementación de un Programa de Seguridad Ejecutivo

66 Clasificación de los más críticos
Identificación de riesgos en su compañía Fraudes informáticos Ataques externos a las redes Modificaciones no autorizadas de datos por empleados Acceso y difusión inoportuna de datos sensibles Falta de disponibilidad de los sistemas Software ilegal Falta de control de uso de los sistemas Destrucción de información y equipos R Clasificación de los más críticos

67 Personas y Organizaciones
dentro y/o fuera Identificación de riesgos en su compañía R Competidores Empleados descontentos Proveedores Clientes Hackers Consultores “in company” Compañías asociadas

68 Donde hay información sensible
en los sistemas centrales en las PC´s en las laptops en los e mails en contratos en documentos impresos en los legajos del personal Donde hay información sensible Identificación de riesgos en su compañía R

69 Definición de una política básica de seguridad
Breve Clara Implementable Puesta en marcha por la Dirección Difundida al personal y terceros P

70 Definición de una política básica de seguridad
Política de Seguridad Autorización Protección Física Propiedad Eficacia Eficiencia Exactitud Integridad Legalidad Disponibilidad Confidencialidad Confiabilidad

71 Identificación de responsabilidades de seguridad
Sponsoreo y seguimiento Dirección de la Compañía Comité de Seguridad Autorización Dueños de datos Definición Area de Seguridad Informática Area de Legales Identificación de responsabilidades de seguridad Acción concreta: Plano Normativo A Cumplimiento directo Usuarios finales Terceros y personal contratado Area de sistemas Administración Administrador de Seguridad Control Auditoría Interna / Externa

72 Acción concreta: Plano Normativo
Normas con definiciones Procedimientos con acción de usuarios Estándares técnicos para los sistemas Esquema de reportes de auditoría De acuerdo con regulaciones y legislaciones vigentes Desarrollo de la normativa básica y publicación A

73 Definición de un sistema de “premios y castigos” en su compañía
Definición de acciones a sancionar y medidas disciplinarias a imponer Comunicarción al personal y terceros “in company” Utilización de convenios de confidencialidad Definición de un sistema de “premios y castigos” en su compañía Acción concreta: Plano Normativo A

74 Definición e implementación de la función de Seguridad Informática
Perfil de la función Análisis de riesgos informáticos Participación en proyectos especiales Administración del día a día Objetivos y tareas básicas Programas de trabajo rutinarios Automatización de tareas y reportes en los sistemas Definición e implementación de la función de Seguridad Informática Acción concreta: Plano Ejecutivo A

75 Mejoras en los procesos del área de Sistemas
Administración de Usuarios y Permisos en los Sistemas Separación de Ambientes de Trabajo Licencias legales de Software Copias de Respaldo Seguridad Física de las Instalaciones y Recursos Prevención de Virus y Programas Maliciosos Seguridad en las Comunicaciones Auditoría Automática y Administración de Incidentes de Seguridad Uso del Correo Electrónico Uso de Servicios de Internet Mejoras en los procesos del área de Sistemas Acción concreta: Plano Ejecutivo A

76 Plan de Continuidad del Negocio
Acción concreta: Plano Ejecutivo A El Plan de Continuidad del Procesamiento es parte integrante del Plan de Continuidad del Negocio y se enmarca específicamente en: Definir los riesgos emergentes ante una situación de interrupción no prevista del procesamiento de la información relacionada con las operaciones de los sistemas y definir los planes de recupero de la capacidad de procesamiento para minimizar los impactos de la interrupción en la correcta marcha del negocio. El punto central es focalizarse específicamente en la recuperación de las funciones y sistemas críticos para el negocio, cuya interrupción puede afectar directamente los objetivos de la compañía.

77 Plan de Continuidad del Negocio
Acción concreta: Plano Ejecutivo A Componentes - Tecnológico: procesamiento de los sistemas - Funcional: procedimientos del personal

78 Plan de Continuidad del Negocio
Acción concreta: Plano Ejecutivo A Etapas en la Implementación del Plan    1: Clasificación de los distintos escenarios de desastres 2: Evaluación de impacto en el negocio 3: Desarrollo de una estrategia de recupero 4: Implementación de la estrategia 5: Documentación del plan de recupero 6: Testeo y mantenimiento del plan

79 Parametrización de las redes y los sistemas de una forma más segura
Redes internas Accesos externos Bases de datos Sistemas aplicativos Correo electrónico Servidores, PC´s y laptops Seguridad física Integración con otras tecnologías Parametrización de las redes y los sistemas de una forma más segura Análisis de la posibilidad de uso de softwares de seguridad avanzada (encripción, administración centralizada, monitoreo automático) Acción concreta: Plano Ejecutivo A

80 Implementación de monitoreos de incidentes de seguridad
Acciones preventivas de monitoreo las 24 hs Implementación de Help Desk de Seguridad Circuitos de reportes de incidencias Monitoreos periódicos Auditorías Implementación de monitoreos de incidentes de seguridad Acción concreta: Plano Ejecutivo A

81 Acción concreta: Plano Ejecutivo
Concientización a los usuarios en seguridad Usuarios finales Usuarios del área de sistemas Terceros “in company” Intranet de seguridad Correo electrónico Mensajes en cartelera Presentaciones grupales Videos institucionales Firma de compromisos Acción concreta: Plano Ejecutivo A Utilizando la tecnología y los medios disponibles

82 Programa de Mejora Continua
Implemente Ud. Mismo el ISMS ISO 17799 Programa de Mejora Continua

83 Implemente Ud. Mismo el ISMS ISO 17799
Diagnóstico Inicial: Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO 2 a 3 semanas

84 Implemente Ud. Mismo el ISMS ISO 17799
Módulos: Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrá variar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal.

85 Implemente Ud. Mismo el ISMS ISO 17799
Módulo 1: Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso)

86 Definir, aprobar y difundir la Política de Seguridad de la Compañía
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 2: Definir, aprobar y difundir la Política de Seguridad de la Compañía Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía Definir y difundir las responsabilidades de Seguridad Informática de cada sector de la Compañía Implementar Esquema de Propietarios de Datos

87 Iniciar proceso de redacción de las Normas
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 3: Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros Iniciar proceso de redacción de las Normas

88 Finalizar Clasificación de Información
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 4: Finalizar Clasificación de Información Relevar medidas implementadas en las funciones del área de sistemas

89 Finalizar la Redacción y Difundir las Normas de Seguridad
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 5: Finalizar la Redacción y Difundir las Normas de Seguridad Implementar las definiciones de las Normas

90 Implementar mejoras en los sectores usuarios para información impresa
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 6: Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas Implementar mejoras en los sectores usuarios para información impresa

91 Iniciar proceso de redacción de Procedimientos críticos
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 7: Iniciar proceso de redacción de Procedimientos críticos Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información

92 Finalizar la redacción y difundir los Procedimientos críticos
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 8: Finalizar la redacción y difundir los Procedimientos críticos Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)

93 Implementar los Procedimientos de Seguridad Críticos
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 9: Implementar los Procedimientos de Seguridad Críticos Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad

94 Definir junto a RRHH mecanismos de Control y Sanciones
Implemente Ud. Mismo el ISMS ISO 17799 Módulo 10: Definir junto a RRHH mecanismos de Control y Sanciones Efectuar la Concientización de Usuarios de toda la Compañía

95 Implemente Ud. Mismo el ISMS ISO 17799
Módulo 11: Diagnóstico General respecto Norma ISO (similar a una Preauditoría de Certificación ISO)

96 Implemente Ud. Mismo el ISMS ISO 17799
Módulo 12: Implementación de las mejoras identificadas en el Diagnóstico según ISO 17799

97 Facilidad en el USO vs mejor PROTECCION
Sugerencias prácticas a tener en cuenta Facilidad en el USO vs mejor PROTECCION de la Información

Descargar ppt "Seguridad de la Información"

Presentaciones similares

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION

SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION
INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
Academia Latinoamericana de Seguridad Informática

Academia Latinoamericana de Seguridad Informática
Especializacion en Seguridad de la Información 2005 INFORMATION SECURITY Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas.

Especializacion en Seguridad de la Información 2005 INFORMATION SECURITY Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas.
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
Seguridad Informática

Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.

NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
Aspectos Organizativos para la Seguridad

Aspectos Organizativos para la Seguridad
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Normas de Control Interno para Tecnología de la Información Res

Normas de Control Interno para Tecnología de la Información Res
REQUISTOS DE LA CERTIFICACIÓN.

REQUISTOS DE LA CERTIFICACIÓN.
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui.

Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui.

Presentaciones similares

Anuncios Google