Material Seminario de Calidad Consulta - UAM … 27000 Segurida… · Seminario Calidad 2014 Material de ... Encriptación de la información en el disco duro del equipo de cómputo

Seminario Calidad 2014

Material de Consulta



ISO/IEC ISO/IEC 27001:2013 27001:2013 –– SGSISGSI

SistemasSistemas de de GestiónGestiónde la de la de la de la

SeguridadSeguridad de la de la InformaciónInformación



Discurso sobre Discurso sobre CybersecurityCybersecurity29 de Mayo de 200929 de Mayo de 200929 de Mayo de 200929 de Mayo de 2009

“none of this progress would be possible, and none of these 21st century challenges can be fully met without America's digital century challenges can be fully met, without America s digital infrastructure -- the backbone that underpins a prosperous economy and a strong military and an open and efficient government. Without that foundation we can't get the job done.”

“It's long been said that the revolutions in communications and information technology have given birth to a virtual world. But make no mistake: This world -- cyberspace -- is a world that we depend on every single day It's our hardware and our software our desktops and laptops and cell day. It s our hardware and our software, our desktops and laptops and cell phones and Blackberries that have become woven into every aspect of our lives.”

“It's the broadband networks beneath us and the wireless signals around us It s the broadband networks beneath us and the wireless signals around us, the local networks in our schools and hospitals and businesses, and the massive grids that power our nation. It's the classified military and intelligence networks that keep us safe, and the World Wide Web that has made us more interconnected than at any time in human history So

2

made us more interconnected than at any time in human history. So cyberspace is real. And so are the risks that come with it.”

2Seminario Calidad 2014


Discurso sobre Discurso sobre CybersecurityCybersecurity29 de Mayo de 200929 de Mayo de 200929 de Mayo de 200929 de Mayo de 2009

“It's the great irony of our Information Age -- the very technologies that empower us to create and to build also empower those who would disrupt and empower us to create and to build also empower those who would disrupt and destroy. And this paradox -- seen and unseen -- is something that we experience every day.”

“It's about the privacy and the economic security of American families. We rely on the Internet to pay our bills to bank to shop to file our taxes But we've had to on the Internet to pay our bills, to bank, to shop, to file our taxes. But we've had to learn a whole new vocabulary just to stay ahead of the cyber criminals who would do us harm -- spyware and malware and spoofing and phishing and botnets. Millions of Americans have been victimized, their privacy violated, their identities stolen, their lives upended, and their wallets emptied. According to one survey, in the past two years alone cyber crime has cost Americans more than $8 billion.”

“In one brazen act last year, thieves used stolen credit card information to steal millions of dollars from 130 ATM machines in 49 cities around the world --and they did it in just 30 minutes ”and they did it in just 30 minutes.

“In short, America's economic prosperity in the 21st century will depend on cybersecurity. And this is also a matter of public safety and national security. We count on computer networks to deliver our oil and gas, our power and our

3

water. We rely on them for public transportation and air traffic control. Yet we know that cyber intruders have probed our electrical grid and that in other countries cyber attacks have plunged entire cities into darkness.”



¿Qué ha pasado después de este discurso?¿Qué ha pasado después de este discurso?

44



Veamos un ejemplo personalVeamos un ejemplo personal

Dejar la computadora portátilen el asiento trasero o la

cajuela del auto

P líti Políticas: Las computadoras portátiles nunca se deben dejar desatendidas en el auto.Estacionarse siempre donde exista algún tipo de protección física (estacionamiento).

Tecnología:Establecer el uso de contraseñas robustas.Encriptación de la información en el disco duro del equipo de cómputo portátil.Respaldar la información en un sitio central cada semana al menos.

Acuerdo legal.Hacer legalmente responsable al personal por los daños causados, en caso de no seguir los controles establecidos.

Procedimientos:Monitorear que se realicen los respaldos y sean exitosos.Monitorear que se usen los controles tecnológicos establecidos.

5

q gReporte y seguimiento de incidentes.Aplicación de medidas disciplinarias.

Entrenamiento:Entrenar al personal sobre los controles (políticas, tecnologías, acuerdo legal y procedimientos).



Veamos un ejemplo en una empresaVeamos un ejemplo en una empresa

B

Mainframe:

Red

Solicita transferenciaInternacional

Cliente:Asiste a sucursal o Sistema mundial para

t f i i t i l

Bancos alrededordel mundo

Uso de software obsoleto

Sistema OperativoSubsistema TransaccionalBase de DatosSoftware aplicativo especializado para transferencias internacionales (SWIFT)

Banco‐ Cuenta origen (moneda)Banco‐Cuenta destino (moneda)

utiliza banca por internet

transferencias internacionales entre bancos

SWIFT:Society for Worldwide Interbank Financial TelecommunicationUso de so t a e obso eto

Políticas: Mantener información vigente del software instalado.Mantener información vigente de la fecha de expiración de las versiones de software.

Tecnología:Herramientas de control de activos (control de software: instalación licenciamiento expiración etc )

internacionales (SWIFT).

Herramientas de control de activos (control de software: instalación, licenciamiento, expiración, etc.)Acuerdo legal.

Hacer legalmente responsable al proveedor de notificar con tiempo suficiente la expiración del software.Procedimientos:

Gestión de activos y configuración (conocer la base instalada de software, versiones y fechas de expiración).Gestión de Cambios y Liberaciones (actualización periódica del software).Gestión de p o eedo es (cont atos ac e dos ni eles de se icio e niones pe iódicas)

6

Gestión de proveedores (contratos, acuerdos, niveles de servicio, reuniones periódicas).Entrenamiento:

Entrenar al personal de soporte técnico sobre las políticas, tecnología, acuerdos con proveedores y procedimientos.



¿Dónde utilizamos información?¿Dónde utilizamos información?

7



Era de la InformaciónEra de la Información

Procesamiento

AlmacenamientoAlmacenamiento

Ancho de Banda

8




Internet of thingsg

Cybersecurity9




Big Data Visualization

Cloud Computing 10




Mobile Computing

Censura y control 11




Interactive Public Display

3D Imaging and Multimedia Applications 12




Interfaces

Cerebro‐Computadora

RobóticaRobótica

13




Países sin manejo de efectivo* Estudio MasterCard 2013

14



InformaciónInformación

• La información son datos que han sido procesados y puestos en una forma útil para el usuario.f p

15



¿Dónde manejamos información?¿Dónde manejamos información?

16



La Información: La Información: Un activo valioso y críticoUn activo valioso y críticoUn activo valioso y críticoUn activo valioso y crítico

17



Seguridad de la InformaciónSeguridad de la Información

Preservación de la:

ConfidencialidadAcceden quienes están

IntegridadEs precisa confiable y Acceden quienes están

autorizadosEs precisa, confiable y

completa

DisponibilidadE tá di ibl d Está disponible cuando se

necesita

18



Organización idealOrganización ideal

19



Organización en riesgoOrganización en riesgo

20



Marco Legal, Normativo Marco Legal, Normativo y y ContractualContractualy y ContractualContractual

• Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental

• Ley Federal de Contabilidad Gubernamental

• MAAGTIC

• Ley Federal de Protección de Datos Personales

• Código de Comercio

• Circular Única de Bancos

• PCI

• SOX

etc.

Circular Única de Bancos:

“II. Factor de Autenticación Categoría 2: Se compone de información que solo el Usuario conozca e ingrese a través de un Dispositivo de Acceso, tales como Contraseñas y Números de Identificación Personal (NIP), y deberán cumplir con las características siguientes:(46) a) En ningún caso se podrá utilizar como tales, la información siguiente:(46) i El Identificador de Usuario.(46) ii El nombre de la Institución.(46) iii Más de dos caracteres idénticos en forma consecutiva.(46) iv Más de dos caracteres consecutivos numéricos o alfabéticos.(46) No resultará aplicable lo previsto en el presente inciso para el caso de Pago Móvil, Banca Móvil y las operaciones realizadas a través de Cajeros Automáticos y Terminales punto de Venta, siempre que las Instituciones informen al Usuario al momento de la contratación, de la importancia de la composición de las Contraseñas para estos servicios.p p

(46) b) Su longitud deberá ser de al menos seis caracteres, salvo por lo siguientei Cuatro caracteres para los servicios ofrecidos a través de Cajeros Automáticos y Terminales Punto de Venta.ii Cinco caracteres para Pago Móvil, yiii Ocho caracteres para Banca por Internet. 21



Incidente de seguridad de la Incidente de seguridad de la informacióninformacióninformacióninformación

El último rally fue después de que el CEO aconsejó a los empleados comprar la acción, aunque él había estado vendiendo,recuperando 16.1 MUSD en acciones vendidas. Una compañía fuerte se hubiera recuperado, a partir de un precio más bajo perorazonable, sin embargo esta empresa había ocultado miles de millones de dólares en deudas y pérdidas operativas a través decomplejos esquemas contables, una vez que esto salió a la luz los inversionistas desaparecieron.

22



¿Han escuchado de algún incidente¿Han escuchado de algún incidentede seguridad de la información?de seguridad de la información?de seguridad de la información?de seguridad de la información?

23



¿Por qué es importante su gestión?¿Por qué es importante su gestión?

Compartir contraseñas A iti t i d

Cambios no planeados/autorizados Acceso a sitios no autorizados Uso indebido de equipo de cómputo Equipos desatendidos D did

Destrucción/disposición inadecuadas

USB’s sin control

Inadecuada separación de funciones Documentos perdidos Robo Bases de datos destruidas M i i l d

Inadecuada separación de funciones

Infraestructura del centro de cómputo

Efectos del clima Mantenimiento no controlado Respaldos inservibles Redes de comunicación caídas

Personal no controlado

Terceros / outsourcing sin control

I li i l l/ l Aplicaciones mal diseñadas Intrusión Conversaciones en lugares públicos

b t l

Incumplimiento legal/contractual

Contratos extraviados

Controles no observadossobre temas clave Controles no observados

24



Ciclo de la informaciónCiclo de la información

• Genera

CorporativoCentroEspejo

• Procesa

Corporativo Espejo

• Transfiere

• Almacena

OficinasInternacionales

Red

Clientes/

• Dispone

Clientes/Proveedores Oficinas

Regionales

25



Importancia de la InformaciónImportancia de la Información

• Activo vital en la organización.• Da una ventaja competitivaDa una ventaja competitiva• Permite mantener la operación• Asociada al flujo de efectivo y

rentabilidadrentabilidad• Cumplir requerimientos legales y

contractuales• Permite proyectar una• Permite proyectar una

imagen pública y comercial

26



Ventajas de la GestiónVentajas de la Gestión

• OrganizacionalOrganizacional• Legal• Operativa• Comercial• Financiera• Recursos Humanos

27



Gestión del RiesgoGestión del Riesgo

PlanearIdentificar, Dimensionar y Valorar los Riesgos

HacerSeleccionar, implementar

y operar

ActuarMantener y mejorar los

t l d Gestión del Riesgoy p

los controles para tratar los riesgos

controles de los riesgos

g

ChecarMonitoreo y revisión de los riesgos

28



Valoración de RiesgosValoración de Riesgos

Amenazas:

ActivosInformación

TerrorismoManifestaciones

TerremotoFuego

I d ió InformaciónProcesosServiciosSoftware

InundaciónFalla de HW/SW

RoboAcceso no autorizado

FraudeHuracán

HardwareInfraestructura

PersonalImagen

HuracánUso ilegal del SWFalla de energía

Fuga de informaciónErrores HumanosCambios fallidos Imagen

etc.Fallas de la redResponsabilidad legal o contractual

29




V l bilid dVulnerabilidadesFalta de entrenamiento

Personal molestoFalta de protección físicaFalta de mantenimiento

Ubicación inadecuada de instalacionesAplicaciones complicadasFalta de control de cambios

Inadecuada separación de funcionesP t d i i t l dPuertos de servicio no controlados

Pruebas inadecuadas a las aplicacionesFalta de control de los datos de prueba

Falta de monitoreoFalta de políticas

Falta de procedimientosFalta de procedimientosFalta de un plan de continuidad

Falta de supervisión de proveedoresInstalaciones inadecuadas

30




Cambios fallidos Impacto/ConsecuencialFalta de Control de Cambios:

Personal de soporte realiza cambio de configuración en ambiente SAN en hora pico y tira la red, afectando todos

a la organización:Financiero

LegalContractual

Público

Activos

los servicios

Acceso no

autorizado

Personal Molesto:Empleado envía email Al DG de la compañíadesde la cuenta

PúblicoCliente

Personal

autorizado desde la cuenta de su gerente

Ubicación del CC:Ventanas hacia la calle, se RIESGO

Terrorismo

pone bomba casera en macetón frente a la ventana

RIESGO

3131




32



ControlesControles

ControlesControles

ObjetivosInformación / Procesos de la organización

Controles Controles

33



ISO/IEC 27001 ISO/IEC 27001 -- FamiliaFamilia

34




ISO/IEC 27000:2012, Information Technology – Security Techniques – Information Security Management Systems Overview and vocabularySecurity Management Systems – Overview and vocabulary

ISO/IEC 27001: 2013, Information Technology – Security Techniques – Information Security Management Systems – RequirementsSecurity Management Systems Requirements

ISO/IEC 27002:2013, Information Technology – Security Techniques – Code of Practice for Information Security controlsy

ISO/IEC 27005:2011, Information Technology ‐ Security Techniques ‐ Information Security Risk Management

ISO/IEC 27007:2011 Information Technology ‐ Security Techniques – Guidelines for Information Security Management Systems Auditing

ISO 19011: 2011 Guidelines for Auditing Management Systems35




1. ISO/IEC 27003:2010 – Information technology -- Security techniques Information security management system implementation -- Information security management system implementation

guidance 2. ISO/IEC 27004:2009 – Information technology -- Security techniques

-- Information security management -- Measurement -- Information security management -- Measurement 3. ISO/IEC 27005:2011 – Information technology -- Security techniques

-- Information security risk management4. ISO/IEC 27006:2011 – Information technology -- Security techniques 4. ISO/IEC 27006:2011 Information technology Security techniques

-- Requirements for bodies providing audit and certification of information security management systems

5. ISO/IEC 27007:2011 – Information Technology - Security Techniques – Guidelines for Information Security Management Systems Auditing

6. ISO/IEC TR 27008:2011 – Information technology -- Security techniques – Guidelines for auditors on information security

lcontrols

36




7. ISO/IEC 27011:2008 – Information technology -- Security techniques Information security management guidelines for techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

8. ISO/IEC 27031:2011 Information technology -- Security techniques – Guidelines for information and communications technology – Guidelines for information and communications technology readiness for business continuity (consultar también: ISO 22301:2012)

9. ISO/IEC 27799:2008 – Health informatics -- Information security 9. ISO/IEC 27799:2008 Health informatics Information security management in health using ISO/IEC 27002

10. ISO/IEC 24762:2008 Information technology -- Security techniques -- Guidelines for information and communications technology disaster recovery services

etc.

37



ISO/IEC 27001 ISO/IEC 27001 -- SGSISGSI

Contexto de la organizaciónContexto de la organizaciónContexto de la organizaciónEntender la organización y su contexto, Entender la necesidades y expectativas de las partes interesadas, Determinar el

alcance del sistema de gestión de seguridad de la información, Sistema de Gestión de seguridad de la información

Contexto de la organizaciónEntender la organización y su contexto, Entender la necesidades y expectativas de las partes interesadas, Determinar el

alcance del sistema de gestión de seguridad de la información, Sistema de Gestión de seguridad de la información

Pl ióPl ióLiderazgoLiderazgo y compromiso, Política,

Roles, responsabilidades y autoridades organizacionales

LiderazgoLiderazgo y compromiso, Política,

Roles, responsabilidades y autoridades organizacionales

PlaneaciónAcciones para abordar los riesgos y las oportunidades, Objetivos de seguridad de la información y la

planeación para lograrlos

PlaneaciónAcciones para abordar los riesgos y las oportunidades, Objetivos de seguridad de la información y la

planeación para lograrlos

SoporteRecursos, Competencia,

Concientización, Comunicación e Información documentada

SoporteRecursos, Competencia,

Concientización, Comunicación e Información documentada

OperaciónPlaneación y control de la operación, Valoración de riesgos de seguridad de la información, Tratamiento de riesgos de

seguridad de la información

OperaciónPlaneación y control de la operación, Valoración de riesgos de seguridad de la información, Tratamiento de riesgos de

seguridad de la informaciónseguridad de la informaciónseguridad de la información

Evaluación del desempeño

Evaluación del desempeño MejoraMejoradesempeño

Monitoreo, medición, análisis y evaluación, Auditoría interna, Revisión por la dirección

desempeñoMonitoreo, medición, análisis y evaluación, Auditoría

interna, Revisión por la dirección

ejo aNo conformidad y acción correctiva,

Mejora continua

ejo aNo conformidad y acción correctiva,

Mejora continua

38



ISO/IEC 27001 ISO/IEC 27001 -- CláusulasCláusulas

0. Introducción1. Alcance2. Referencias normativas3. Términos y definiciones4. Contexto de la organización

Entender la organización y su contextoEntender la organización y su contextoEntender las necesidades y expectativas de las partes interesadasDeterminar el alcance del sistema de gestión de seguridad de la informaciónSistema de gestión de seguridad de la información

5. LiderazgoLiderazgo y compromisoLiderazgo y compromisoPolíticaRoles, responsabilidades y autoridades organizacionales

6. PlaneaciónA i b d l i l t id dAcciones para abordar el riesgo y las oportunidadesObjetivos de seguridad de la información y la planeación para lograrlos

39



ISO/IEC 27001 ISO/IEC 27001 -- CláusulasCláusulas

7. SoporteRecursosCompetenciaConcientizaciónComunicaciónInformación documentada

8. OperaciónPlaneación y control de la operaciónV l ió d i d id d d l i f ióValoración de riesgos de seguridad de la informaciónTratamiento de riesgos de seguridad de la información

9. Evaluación del desempeñoMonitoreo medición análisis y evaluaciónMonitoreo, medición, análisis y evaluaciónAuditoría InternaRevisión por la dirección

10 Mejora10. MejoraNo conformidad y acción correctivaMejora continua 40



ISO/IEC 27001 ISO/IEC 27001 –– Anexo AAnexo A

A.5 Políticas de seguridad de la informaciónA.5.1 Guía gerencial para la seguridad de la informacióng p g

A.6 Organización de la seguridad de la informaciónA.6.1 Organización internaA.6.2 Dispositivos móviles y trabajo remoto

A 7 Seguridad de los recursos humanosA.7 Seguridad de los recursos humanosA.7.1 Antes del empleo A.7.2 Durante el empleoA.7.3 Terminación y cambio de empleo

A.8 Gestión de activosA.8.1 Responsabilidad por los activosA.8.2 Clasificación de la informaciónA 8 3 Manejo de mediosA.8.3 Manejo de medios

A.9 Control de accesoA.9.1 Requerimientos del negocio de control de accesoA.9.2 Gestión de Acceso de los UsuariosA 9 3 R bilid d d l iA.9.3 Responsabilidades de los usuariosA.9.4 Control de acceso al sistema y aplicaciones

41




A.10 CriptografíaA 10 1 Controles criptográficosA.10.1 Controles criptográficos

A.11 Seguridad física y ambientalA.11.1 Áreas segurasA.11.2 Equipo

A 12 S id d d l iA.12 Seguridad de las operacionesA.12.1 Responsabilidades y Procedimientos

de OperaciónA.12.2 Protección contra código maliciosogA.12.3 RespaldoA.12.4 Registro de bitácoras y monitoreoA.12.5 Control del software de producciónA 12 6 Gestión de vulnerabilidades técnicasA.12.6 Gestión de vulnerabilidades técnicasA.12.7 Consideraciones de auditoría

de los sistemas de informaciónA.13 Seguridad de las comunicacionesg

A.13.1 Gestión de seguridad de la redA.13.2 Transferencia de información

42




A.14 Adquisición, desarrollo y mantenimiento de sistemasA.14.1 Requerimientos de seguridad de los sistemas de informaciónA.14.2 Seguridad en los procesos de desarrollo y soporteA.14.3 Datos de prueba

A.15 Relaciones con proveedoresA 15 1 Seguridad de la información en las relaciones con proveedoresA.15.1 Seguridad de la información en las relaciones con proveedoresA.15.2 Gestión de la entrega de servicios del proveedor

A.16 Gestión de incidentes de seguridad de la informaciónA.16.1 Gestión de incidentes de seguridad de la información y mejoras

43




A.17 Aspectos de seguridad de la información de la gestión de la continuidad del negocio

A.17.1 Continuidad de la seguridad de la informaciónA.17.2 Redundancias

A.18 CumplimientoA 18 1 Cumplimiento de los requerimientosA.18.1 Cumplimiento de los requerimientos

legales y contractualesA.18.2 Revisiones de seguridad de la información

14 cláusulas, 35 objetivos de control y 114 controles

44



ISO/IEC 27001 ISO/IEC 27001 Información DocumentadaInformación DocumentadaInformación DocumentadaInformación Documentada

1. Alcance del SGSI.2 P líti d id d d l i f ió2. Política de seguridad de la información.3. Proceso de valoración de riesgos de seguridad

de la información.4 Proceso de tratamiento de riesgos de seguridad4. Proceso de tratamiento de riesgos de seguridad

de la información.5. Declaración de aplicabilidad.6. Plan de tratamiento de riesgos.6 a de t ata e to de esgos7. Objetivos de seguridad de la información.8. Competencias.9. Determinada como necesaria por la organización

para la eficacia del SGSI.10. De origen externo determinada como necesaria para el SGSI.

45



ISO/IEC 27001 ISO/IEC 27001 Información DocumentadaInformación DocumentadaInformación DocumentadaInformación Documentada

11. Determinada como necesaria para tener confianza de que los procesos se ejecutan como se planearonde que los procesos se ejecutan como se planearon.

12. Resultados de la valoración de riesgos de seguridad de la información.

13 R lt d d l t t i t d i13. Resultados del tratamientos de riesgos de seguridad de la información.

14. Resultados del monitoreo y medición.15 P d dit í15. Programas de auditorías.16. Resultados de auditorías.17. Resultados de la revisiones por la dirección.18. No conformidades, acciones tomadas y resultados

de las acciones correctivas.19. Requerida de acuerdo a los controles seleccionados.

46



ISO/IEC 27001 ISO/IEC 27001 -- CertificaciónCertificación

Asociación mundial de organismos deAsociación mundial de organismos deacreditación de la evaluación de laconformidad

IAFIAF International Accreditation Forum

Organismos nacionales que acreditan a losOrganismos de Certificación, a fin de que

OAOA Organismos de AcreditaciónOrganismos de Certificación, a fin de quepuedan realizar auditorías de certificación.En México existe la “ema”: EntidadMexicana de Acreditación. NormaISO 17011, evaluación de pares.

OCOC Organismo de CertificaciónOrganizaciones acreditadas para llevara acabo auditorías de certificación bajonormas internacionales. Norma: ISO 17021y otras (ISO/IEC 27006), evaluación deacreditación.

OrganizaciónOrganización Organización Certificada

Organización interesada en certificarsebajo una norma internacional y que esauditada por un Organismos deCertificación acreditado. Norma ISO/IEC27001 y otras.

47



ISO/IEC 27001 ISO/IEC 27001 -- CertificaciónCertificación

P C V1 V2 V3 V4 V5 RP C V1 V2 V3 V4 V5 R

0 0.5 1.0 1.5 2.0 2.5 3 años

Pre-certificación (P) - Una vez, en sitio.

Certificación (C)Etapa 1: revisión documental y otros remota o en sitioEtapa 1: revisión documental y otros, remota o en sitio.Etapa 2: en sitio.

Auditoría de Vigilancia (V): Una cada seis meses, hasta completar 5 auditorías,ciclo de dos años y medio (al menos una al año).

Auditoría de Seguimiento (S): Cuando existan no-conformidades derivadas de unaauditoría.

Auditoría de Re-certificación (R): Una al cumplir el 3er año de la certificación. 48



Seguridad de la InformaciónSeguridad de la Información¿Es únicamente un tema del área de TIC?¿Es únicamente un tema del área de TIC?¿Es únicamente un tema del área de TIC?¿Es únicamente un tema del área de TIC?

Respuesta: !NO!, es una tema de la organización en suconjunto.

Anexo A de ISO 27001:

46% - TI30% - Organización, documentación9% Seguridad Física9% - Seguridad Física6% - Legal5% - Proveedores y Clientes4% - Recursos Humanos

49



¿Cómo convencer a la alta ¿Cómo convencer a la alta dirección?dirección?dirección?dirección?

• ¿Es realmente necesario?.

Cumplimiento legal, normativo y contractual

Establecer una ventaja competitiva

Reducción de costos, mediante la reducción de incidentes.

Optimización de la operaciones, mediante la clara definición

de roles y responsabilidades

• ¿Encaja con la estrategia de la organización?.

Simplemente explicar como la falta de confidencialidad, integridad

y/o disponibilidad de la información pondrá en riesgo la realización

de la estrategia de la organización.

• ¿Cómo reducir los costos?.

Calcular el retorno sobre la inversión en seguridad.

La mayoría de los incidentes se deben al comportamiento humano, por lo tanto es más barato invertir enpolíticas, procesos, procedimientos, entrenamiento y concientización, comparado con la tecnología.

• ¿Cómo mediremos el éxito?.

Establecer objetivos claros y medibles.

Contar con un esquema de medición.

Contar con mecanismos para actuar cuando existan desviaciones. 50



FinFin

Dudas

P tPreguntas

Comentarios

51



ISO/IEC ISO/IEC 27001:2013 27001:2013 –– SGSISGSI

SistemasSistemas de de GestiónGestiónde la de la de la de la

SeguridadSeguridad de la de la InformaciónInformación



Documents

Material Seminario de Calidad Consulta - UAM … 27000 Segurida… · Seminario Calidad 2014 Material de ... Encriptación de la información en el disco duro del equipo de cómputo