pres200071
TRANSCRIPT
CORPORACIÓN UNIFICADA NACIONAL DE EDUCACIÓN SUPERIOR –CUN
AUDITORIAS DE SISTEMAS
NORMAS 270001
PROYECTO FINAL
Presentado por:
FREDY DAVID PARRA
Bogotá, 320 de marzo de 2014
CONTENIDO
• Estándar 20071(explicación en mis propias palabras)
• Quien certifica
• Costos
Estándar 20071
Tecnología de la Información – Técnicas de seguridad – Sistemas de
gestión de seguridad de la información – Requerimientos, es un
documento de protocolo de el buen proceso de asegurar la información
de una empresa, el cual implementa, operar, monitoria, revisar,
mantener y mejorar el sistema de seguridad de información (SGSI),
esto se alinea a estadales de la ISO 9001 y la NTCGP 1000:2009, este
documento esta dividido en numerales:
• 1.2 Enfoque del Proceso
• La organización necesita identificar y manejar muchas actividades para poder funcionar de manera efectiva. Cualquier actividad que usa recursos y es manejada para permitir la elaboración o interacción con algún sistema (software, páginas web, base de datos, etc.), se puede considerar un proceso. Con frecuencia el proceso de un sistema forma directamente la interacción del siguiente proceso. La aplicación de un sistema de procesos dentro de la organización, junto con la identificación y las interacciones de estos procesos, y su gestión, puede considerarse un enfoque del proceso.
• a) Entender los requerimientos de seguridad de la información de la organización y la necesidad de establecer una política y objetivos para la seguridad de la información.
• b) Implementar y operar controles para manejar los riesgos de la seguridad de la información.
• c) Monitorear y revisar el desempeño y la efectividad del SGSI.
• d) Mejoramiento continúo en base a la medición del objetivo.
• adopta el modelo del proceso Planear-Hacer-Chequear-Actuar (PDCA),
• Compatibilidad con otros sistemas de gestión
Como anteriormente dicho este sistema esta enlazado con
otros estándares de calidad.
• Alcance:
lo que se pretende realizar con la implementación y
seguimiento de el proceso de seguridad de información.
• Aplicación
Se establece los requerimientos aplicables en la
organización.
• Referencias normativas
ISO/IEC 17799:2005, Tecnología de la información – Técnicas de seguridad – Código de práctica para la gestión de la seguridad de la información.
LEY 1273 DE 2009 De la Protección de la información y de los datos.
Artículos relevantes de la ley:
- Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO.
- Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN.
- Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS.
- Artículo 269D: DAÑO INFORMÁTICO.
- Artículo 269E: USO DE SOFTWARE MALICIOSO.
- Artículo 269F: VIOLACIÓN DE DATOS PERSONALES.
- Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES.
LEY ESTATUTARIA 1581 DE 2012
Hay varios numerales dentro del documento pero voy a explicar con mi palabras.
Para la organización es importante tener en cuenta sus actividades comerciales , como también los riesgos que en estas actividades se puedan presentar, para la implementación se debe tener en cuenta los alcances, limites, actividades, ubicación y activos como también por parte de infraestructura tecnológica.
Estas decisiones la aprueba la gerencia de la organización , definiendo los objetivos y los procesos de la organización,
También se establece planes de acción esto hace parte del planear, actuar, revisar y hacer.
En toda las áreas de la organización también es importante implementar un plan de riesgos, y en este plan esta dentro la tecnología, todo objetivos se realizan en base a los estándares de calidad y seguridad de información.
Para establecer los riesgos también hay un proceso.
Identificación de los riesgos.
Analizar y evaluar los riesgos
Identificar y evaluar las opciones para el tratamiento de los riesgos. Las acciones posibles
Aplicar los debido controles Obtener la aprobación de la gerencia para los riesgos residuales propuestos.
Una vez implementado el sistema de seguridad se pasa al paso revisar en este esta la auditorias y controles para mirar que acciones de mejora requiere el sistema, y que controles tienen que llevar el riesgos.
A estos planes se le realiza seguimiento el cual solicita evidencias anteriormente dichas en la auditorias y controles.
Por ultimo se reúnen la alta gerencia a sacar conclusiones de mejoramiento.
• Quien certifica
la organización SGS, ISO 27000.es
• Costos Según su manejo en la empresas.