certificacion iso17799 iso 27001 1

Seguridad de la Información

NORMA ISO 17799 / ISO 27001


NORMA ISO 17799 / ISO 27001

Objetivos

Implementación de medidascon los requerimientos de

� Identificación de los requerimientosnorma en sus 11 dominios

� Comprender el proceso de

con los requerimientos de27001:

� Comprender el proceso delograr la Certificación ISO

medidas de seguridad de acuerdola Norma ISO 17799 / ISO

requerimientos específicos dedominios.

de adecuar la compañía para

la Norma ISO 17799 / ISO

de adecuar la compañía paraISO 27001.

QUE ES SEGURIDAD DE LA INFORMACIÓN?

QUE ES SEGURIDAD DE LA INFORMACIÓN?

Por que?Por que?

Reconocer los riesgos y su impacto en los negocios

Por que?Por que?

Reconocer los riesgos y su impacto en los negocios

INTERNET

Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del

Algunos datos

11:22 | EL GUSANO

Un nuevo virus se esconde en tarjetas Apenas 150 “spammers” norteamericanos son los responsables del

90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.

esconde en tarjetas navideñas

Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.

ESTAFAS EN INTERNET El “phishing” ya pesca en todo AmericaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.

INTERNET

Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.

Detectaron casos que afectaron a numerosas empresas y a los clientes de bancos

Algunos hechos

12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un viruspropagar un virus

La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.

La pregunta secreta del caso "Paris Hilton"caso "Paris Hilton"------------------------------

Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a lamucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".

Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para

Algunos hechos

En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.

Libertad, control y responsabilidad en Internet

Diario judicial.com publica hoy un polémico fallo por el que

los responsables de un sitio de internet por un mensaje injurioso anónimo ingresado en un libro de visitas, de libre acceso por los navegantes. La resolución preocupa a los

sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público.

Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.

Libertad, control y responsabilidad en Internet

Diario judicial.com publica hoy un polémico fallo por el que se condena a se condena a los responsables de un sitio de internet por un

mensaje injurioso anónimo ingresado en un libro , de libre acceso por los navegantes. La resolución preocupa a los

sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público.

Algunos datos

La seguridad de redes, una prioridad para las empresasempresas

Cisco publicó los resultadosrealizado a directivos latinoamericanoscon los resultados, el 79 %Latinoamérica opina que laextrema prioridad".

La seguridad de redes, una prioridad para las

resultados de un estudio de seguridadlatinoamericanos de IT. De acuerdo

% de los Directivos de ITla seguridad es un tema

NEGOCIOS

Algunos datos

Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la informaciónUna nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información

No existe la “verdad absoluta”Información.

Algunas premisas

No es posible eliminar todos

La alta Gerencia está convencidade la Información nocompañía.

Cada vez los riesgos y elson mayores.

absoluta” en Seguridad de

todos los riesgos.

convencida que la Seguridadhace al negocio de

el impacto en los negocios

En mi compañía ya tenemos

... implementamos un firewall

... contratamos una persona

... en la última auditoríaobservaciones importantes

... ya escribí las políticas.

... hice un penetration testing

tenemos seguridad porque ...

firewall.

persona para el área.

de sistemas no hicieronimportantes.

testing y ya arreglamos todo.

En general todos coinciden en

Algunos datos

El 80% de los incidentes/fraudes/ataquesefectuados por personal interno

Fuentes:

The Computer Security Institute

Cooperative Association forCooperative Association for(CAIDA)

CERT

SANS

en:

incidentes/fraudes/ataques soninterno

Institute

for Internet Data Analysisfor Internet Data Analysis

Según una encuesta del DepartamentoUSA:

Algunos datos

USA:

Sobre aprox 9000 computadores

7,900 fueron dañados.

400 detectaron el ataque.

Sólo 19 informaron el ataqueSólo 19 informaron el ataque

Departamento de Defensa de

computadores atacados,

.

ataque.ataque.

en formato electrónico / magnético

Qué Información proteger

en formato impreso

en el conocimiento de las

El capital más valioso en las organizaciones

magnético / óptico

proteger

personas

El capital más valioso en las organizaciones

Principales riesgos y su impacto en los negocios

Principales riesgos y su impacto en los negocios

Captura

Violación de eViolación de contraseñas Intercepción y modificación de e

Spamming

Mails “anónimos” con información crítica o con agresiones

Violación de contraseñas

Interrupción de los servicios

Intercepción y modificación de e

VirusFraudes informáticos

Incumplimiento de leyes y regulaciones

Destrucción de soportes documentales

Acceso clandestino a redes

Ingenierí


Intercepción de comunicaciones

Acceso indebido a documentos impresos

Falsificación de información para terceros

Indisponibilidad de información clave

Captura de PC desde el exterior

Violación de e-mailsIntercepción y modificación de e-mails

Robo de información

Destrucción de equipamiento

Mails “anónimos” con información crítica o con agresiones

Intercepción y modificación de e-mails

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks

empleados deshonestos

Destrucción de soportes documentales


Programas “bomba”

Violación de la privacidad de los empleados

ía socialPropiedad de la Información


Intercepción de comunicaciones

Software ilegal

Password crackingInstalaciones default

Password cracking

Man in the middle

Denegación de servicio

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Backups inexistentesÚltimos parches no instalados

Replay attackKeylogging

Desactualización

Backups inexistentesÚltimos parches no instalados

Escalamiento de privilegiosdefault

Exploits

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Backups inexistentes

KeyloggingPort scanning

Backups inexistentes

Se puede estar preparado para que ocurran lo menos

Principales riesgos y el impacto

posible:

sin grandes inversiones en software

sin mucha estructura de personal

Tan solo:

Ordenando la Gestión de Seguridad

Se puede estar preparado para que ocurran lo menos

impacto en los negocios

sin grandes inversiones en software

sin mucha estructura de personal

Ordenando la Gestión de Seguridad

NORMAS APLICABLESNORMAS APLICABLES

Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las

Normas Internacionales aplicables

Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las

Normas Internacionales aplicables

Information Systems and Audit Control Association

British Standards Institute: BS

Normas y Metodologías aplicables

International Standards Organization:

Departamento de Defensa de USA:

ITSEC – Information Technology Security Evaluation Criteria: White Book

Sans Institute, Security Focus, etc

Sarbanes Oxley Act, Basilea II, HIPAA Act,

Leyes NACIONALES

OSSTMM, ISM3, ISO17799:2005, ISO27001OSSTMM, ISM3, ISO17799:2005, ISO27001

BS 25999

DRII

Information Systems and Audit Control Association - ISACA: COBIT

aplicables

International Standards Organization: Normas ISO

Departamento de Defensa de USA: Orange Book / Common Criteria

Information Technology Security Evaluation Criteria: White Book

Sarbanes Oxley Act, Basilea II, HIPAA Act,

ISO17799:2005, ISO27001ISO17799:2005, ISO27001

Norma ISO 27001Norma ISO 27001Gestión de SeguridadNorma ISO 27001Norma ISO 27001

Gestión de Seguridad

Normas de Gestión ISO

� ISO9001 – Calidad

� ISO14001 – Ambiental

� ISO17799-1 – Seguridad de la Información NORMALIZACION (Mejores Prácticas)

� ISO 27001 – CERTIFICACION de Seguridad de la Información

ISO

Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas)

CERTIFICACION de Seguridad de la Información

Está organizada en capítulos (dominios)los distintos criterios a ser tenidos

Norma ISO 17799 /Información

los distintos criterios a ser tenidospara llevar adelante una correcta

GESTION DE SEGURIDAD(SGSI –

Alcance

Recomendaciones para lainformación

Base común para el desarrollo

(dominios) en los que se tratantenidos en cuenta en cada tema

27001 Seguridad de la

tenidos en cuenta en cada temacorrecta:

SEGURIDAD DE LA INFORMACION– ISMS)

gestión de la seguridad de

desarrollo de estándares de seguridad

Qué cambió de la versión anteriorQué cambió de la versión anterior

Norma ISO 17799: 2005

ISO 27001ISO 27001

Qué cambió de la versión anteriorQué cambió de la versión anterior

Norma ISO 17799: 2005 –

ISO 27001ISO 27001

NUEVA SECCIONNUEVA SECCION

antes 10 ahora 11 Dominios

NUEVA SECCIONNUEVA SECCION

antes 10 ahora 11 Dominios

Alcance 1.

Términos y definiciones 2.

3.

4.

Política de Seguridad 5.

Organización de la Seguridad de la Información

6.

Clasificación y Control de Activos

7.

Seguridad del Personal 8.

Seguridad Física y Ambiental 9.

Administración de las Comunicaciones y Operaciones

10.

Administración de Accesos 11.

Desarrollo y Mantenimiento de Sistemas

12.

13.

Administración de la

Alcance

Términos y definiciones

Estructura del Estándar

Evaluación y Manejo de los Riesgos

Política de Seguridad

Organización de la Seguridad de la Información

Administración de Activos

Seguridad de los Recursos Humanos

Physical & Environmental Security

Administración de las Comunicaciones y Operaciones

Administración de Accesos

Adquisición , Desarrollo y Mantenimiento de Sistemas de Información

Administración de Incidentes de Seguridad de la Información

3: Estructura del Estandar

• Detalle para asistir al uso y aplicación más ameno y fácil del

Hay dos SECCIONES GENERALES nuevas

• Detalle para asistir al uso y aplicación más ameno y fácil del estándar.

4: Risk Assessment & Treatment

• Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES.

• La necesidad de una continua evaluación y administración de • La necesidad de una continua evaluación y administración de los RIESGOS

• Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS


Hay dos SECCIONES GENERALES nuevas


4: Risk Assessment & Treatment

• Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES.

• La necesidad de una continua evaluación y administración de • La necesidad de una continua evaluación y administración de

• Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS

BS7799

Fue revisado y se ha convertido en la nuevaFue revisado y se ha convertido en la nueva

ISO 27001Octubre 15, 2005Octubre 15, 2005

De la misma forma se espera quela ISO 17799 se convierta en ISO 27002

BS7799-2

Fue revisado y se ha convertido en la nuevaFue revisado y se ha convertido en la nueva

ISO 27001Octubre 15, 2005Octubre 15, 2005

De la misma forma se espera quela ISO 17799 se convierta en ISO 27002

NACE LA FAMILIA DE LAS NORMAS ISO 27000

BS ISO/IEC 27000 – Fundamentos y Vocabulario Vocabulario

BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos

BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información

BS ISO/IEC 27003 – Guía de Implementación

BS ISO/IEC 27004 – Métricas y Medidas

BS ISO/IEC 27005 – Gestión de Riesgos BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información

BS ISO/IEC 27006 – Versión Internacional de EA7/03

27007…...27011


2008/2009

Publicado en Octubre 2005

Anteriormente ISO/IEC 17799:2005Cambio a 27002 en el 2007 (solo se fue un cambio de número)

2008/2009

2007/2008

2008/2009. Actualmente BS 7799-3, 2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006

Versión Internacional Se decidirá durante 2Q06 si este será el número

Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC)


En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y AMPLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba en la BS7799-3. Con esta versión se puede cubrir el requerimiento de la ISO 27001 de tener una metodología de riesgo simple, es bien practica y en realidad, técnicamente es igual a como se clasificaba y administraba el riesgo anteriormente (impacto, probabilidad de ocurrencia, etc), y ya estaba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799


En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y AMPLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba en la

3. Con esta versión se puede cubrir el requerimiento de la ISO 27001 de tener una metodología de riesgo simple, es bien practica y en realidad, técnicamente es igual a como se clasificaba y administraba el riesgo anteriormente (impacto, probabilidad de ocurrencia, etc), y ya estaba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799

Preservar la:

confidencialidad:

Norma ISO 17799 Seguridad

confidencialidad:accesible sólo a aquellasacceso.

integridad:exactitud y totalidad deprocesamiento.

disponibilidad:acceso a la informaciónella toda vez que se requiera


aquellas personas autorizadas a

de la información y los métodos

información y a los recursos relacionadosrequiera.

Cómo es un Proceso de Certificación ISO 27001 de una

Organización?

Cómo es un Proceso de Certificación ISO 27001 de una

Organización?

QUÉ ES CERTIFICAR?

proceso de CertificaciónINFORME Firmado por parte

organización) que defineCRITERIO PROFESIONAL,CUMPLE o NO CUMPLEestablecidos en la Normativaestablecidos en la Normativa

Certificación es la Generación de unparte de un TERCERO (ajeno

define que, de acuerdo con suPROFESIONAL, dicha Organización

CUMPLE con los RequerimientosNormativa.Normativa.

PORQUE CERTIFICAR?

Para poder Mostrar al Mercadoadecuado SISTEMAadecuado SISTEMA

SEGURIDAD DE LA INFORMACIÓN

Una empresa CERTIFICADAMAS RIESGOS DE SEGURIDADsino que tienen un adecuadoRiesgos y Proceso de MEJORARiesgos y Proceso de MEJORA

Mercado que la Organización tieneDE GESTION DE LADE GESTION DE LA

INFORMACIÓN.

CERTIFICADA no implica que NO TIENESEGURIDAD DE LA INFORMACION,

Sistema de Gestión de dichosMEJORA CONTINUA.MEJORA CONTINUA.

Empresas certificadas en el mundoEmpresas certificadas en el mundo

500

750

1000

1250

0

250

2002 2003 2004

QUE ORGANIZACIONES PUEDEN

Cualquier Organización, grandeprivada, de Gobierno o sincondiciones y habilitada para

PUEDEN CERTIFICAR?

grande o pequeña, públicasin fines de lucro, etc, está

para CERTIFICARSE.

QUIENES ESTAN AUTORIZADOSCERTIFICACION?

Cualquier Agente ajeno a la OrganizaciónCualquier Agente ajeno a la OrganizaciónCompañía) puede Firmar el Informe

Pero dado que la Certificación ademásAsegurarse de Cumplir con la Normativa,poder Mostrar dicha Certificación al

recurre a Organizaciones queademás reconocidas INTERNACIONALMENTEtrabajo. Por ello se recurretrabajo. Por ello se recurreACREDITADAS (este es el términoInternacional de Acreditación. Ejemplo

el Bureau Veritas BVQI, Det Norske

AUTORIZADOS A EFECTUAR LA

Organización (Profesional IndependienteOrganización (Profesional IndependienteInforme antes mencionado.

además de un valor InternoNormativa, tiene un fin principal

al Mercado Externo, generalmenteestén Técnicamente Aceptadas

INTERNACIONALMENTE para efectuar dichoa Organizaciones que esténa Organizaciones que esténtécnico utilizado) en el Organismo

Ejemplo de este tipo de OrganizacionesNorske Veritas DNV, TÜV, etc.

COMO ES EL PROCESO DE

El requerimiento previo escon la Implementación delanterior.

Luego se convoca alCERTIFICACION.CERTIFICACION.

DE CERTIFICACION?

que la Organización cumplaSGSI definido en la Sección

Tercero para efectuar

Los principales PASOS son:

Preparar la Documentación Soporte

Efectuar la PREAUDITORIAAnalysis respecto al Estándar

Identificar conjuntamente:

•las NO CONFORMIDADESacuerdo al Estándar)acuerdo al Estándar)•las NO CONFORMIDADES(sólo se documentan•las NO CONFORMIDADESACEPTADAS (se definen

Soporte a Presentar

PREAUDITORIA para conocer el GAP

CONFORMIDADES (incumplimientosEstándar)Estándar)CONFORMIDADES que son ACEPTADAS

documentan los argumentos de justificación)CONFORMIDADES que NO

definen las MEJORAS a implementar)

Implementar las MEJORASDocumentales correspondientes

Efectuar la AUDITORIAGeneración del Informe Final

NO CONFORMIDADES (aceptadasResiduales aceptados por la Dirección

MEJORAS y Generar los Soportescorrespondientes

AUDITORIA DE CERTIFICACIONFinal de Certificación incluyendo

(aceptadas o NO y sus RiesgosDirección de la Organización)

PUEDE UNA ORGANIZACIONCERTIFICACION?

una Organización no cumplepuede ocurrir que en la AuditoríaCertificadora solicite que se saqueinicialmente.

ORGANIZACION PERDER

cumple con los requerimientos,Auditoría Periódica la Empresasaque la Certificación Obtenida

Cómo se implementa un Cómo se implementa un Programa de Gestión de

Seguridad de la Información (SGSI -

Cómo se implementa un Cómo se implementa un Programa de Gestión de

Seguridad de la Información - ISMS)?

SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Está basado en el Modelo utilizado por las NORMAS

Actuar

Está basado en el Modelo utilizado por las NORMAS ISO en general:

Verificar

SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Está basado en el Modelo utilizado por las NORMAS

Planificar

Está basado en el Modelo utilizado por las NORMAS ISO en general:

Hacer

Principales PASOS a seguir enSGSISGSI

Implementación del SGSI en 12

Definir el alcance del SGSI desdecaracterísticas de la actividad, lasus activos y su tecnología

Definir una Política GENERAL

en la IMPLEMENTACION del

PASOS:

desde el punto de vista de lasla organización, su ubicación,

GENERAL del SGSI

Qué es una Política?

Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación.

Son planteamientos de alto nivel que transmiten a los trabajadores la Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras.

Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización.

Son reglas de negocio de obligatorio cumplimiento debido a que son equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente.que los controles serán aplicados de manera consistente.

Son diferentes a los controles.

No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL

Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación.

Son planteamientos de alto nivel que transmiten a los trabajadores la Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras.

Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización.

Son reglas de negocio de obligatorio cumplimiento debido a que son el equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente.que los controles serán aplicados de manera consistente.

No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL

Definir una METODOLOGIAlos RIESGOS

Identificar y Valorar los riesgosIdentificar y Valorar los riesgos

Identificar y definir ALTERNATIVASriesgos:

• Aplicar controles• Aceptar los riesgos• Aceptar los riesgos• Evitar riesgos• Transferir los riesgos.

METODOLOGIA para la CLASIFICACION de

riesgosriesgos

ALTERNATIVAS para el tratamiento

HighHighHighHigh

21

Mapa de Riesgos Mapa de Riesgos

8

9

12

21

2

3

5

7

13

10

1519

20

22

23

251018

16

17

Mapa de Riesgos Mapa de Riesgos

11

16

26

1

4

Seleccionar objetivos de controlIMPLEMENTAR

EVIDENCIAS

control y controles específicos

)Preparar una DDA DeclaraciónCONTROLES se van a IMPLEMENTAR)

)Obtener la aprobación de la Dirección)Obtener la aprobación de la Dirección• DDA Declaración de Aplicabilidad• Riesgos Residuales no cubiertos

Formular un plan CONCRETO• Tratamiento de los riesgos• Controles a Implementar• Programas de entrenamiento• Programas de entrenamiento• Gestionar el SGSI• Procesos de detección yseguridad

Declaración de Aplicabilidad (quéIMPLEMENTAR)

Dirección de:Dirección de:Aplicabilidadcubiertos

CONCRETO y DETALLADO para:riesgos

entrenamiento y concientización.entrenamiento y concientización.

respuesta a los incidentes de

) Implementar los CONTROLES) Implementar los CONTROLES• En los Procesos

)Realizar Revisiones Periódicas

)Implementar las mejoras identificadas

CONTROLESCONTROLES

Periódicas

identificadas en el SGSI

Requisitos FUNDAMENTALESSOPORTE en un SGSI

MANTENIMIENTO ACTUALIZADOde la Documentación

FUNDAMENTALES de la Documentación

ACTUALIZADO Y PROTEGIDO

Cómo establecer los requerimientos

Evaluar los riesgos:

• se identifican las amenazas a los• se evalúan vulnerabilidades y probabilidades• se evalúan vulnerabilidades y probabilidades• se estima el impacto potencial.

Requisitos legales, normativos,que deben cumplir:

• la organización,• sus socios comerciales,• los contratistas y los prestadores• los contratistas y los prestadores

Conjunto específico de principios,procesamiento de la información,organización para respaldar sus

requerimientos de Seguridad

los activos,probabilidades de ocurrencia, yprobabilidades de ocurrencia, y

normativos, reglamentarios y contractuales

prestadores de servicios.prestadores de servicios.

principios, objetivos y requisitos parainformación, que ha desarrollado

operaciones.

Contexto Legal

Código Civil de 1887

Código de Comercio de 1971 Código de Comercio de 1971

Ley 23 de 1982

Articulo 15, 20 y 333 de la Constitución Política

Decisión 351 de 1993

Decreto 1900 de 1990

Ley 527 de 1999

Contexto Legal

Código de Comercio de 1971 Código de Comercio de 1971

Articulo 15, 20 y 333 de la Constitución Política

Áreas de Contingencias Jurídica

• Protección de Datos Personales

• Contratación Informática

• Propiedad Intelectual

• Servicios de Comercio Electrónico

• Aspectos Laborales en entornos Informáticos

• Incidentes Informáticos

• Telecomunicaciones

Áreas de Contingencias Jurídica

Protección de Datos Personales

Servicios de Comercio Electrónico

Aspectos Laborales en entornos Informáticos

política de seguridad, objetivosreflejen los objetivos de launa estrategia de implementación

Factores críticos del éxito

una estrategia de implementaciónsea consecuente con la culturaapoyo y compromiso manifiestosgerencia;un claro entendimientoseguridad, la evaluaciónadministración de los mismosadministración de los mismoscomunicación eficaz aempleados;

objetivos y actividades quela empresa;

implementación de seguridad queimplementación de seguridad quecultura organizacional;manifiestos por parte de

de los requerimientos deevaluación de riesgos y

mismos;mismos;a todos los gerentes

distribución de guías sobreseguridad de la informacióncontratistas;

Factores críticos del éxito

contratistas;instrucción y entrenamientoun sistema integral y equilibradoutilice para evaluar el desempeñoseguridad de la informaciónsugerencias tendientes a

sobre políticas y estándares deinformación a todos los empleados

entrenamiento adecuados;equilibrado de medición que sedesempeño de la gestión de

información y para brindarmejorarlo.

Alejandro Hernández, CBCPAlejandro Hernández, CBCPAlejandro Hernández, CBCPAlejandro Hernández, CBCP

(571) 758 6955(571) 758 6955

[email protected]@isec

Alejandro Hernández, CBCPAlejandro Hernández, CBCPAlejandro Hernández, CBCPAlejandro Hernández, CBCP

[email protected]@isec --global.comglobal.com