Curso Virtual de Seguridad de la Informaci - PowerPoint PPT Presentation

Loading...

PPT – Curso Virtual de Seguridad de la Informaci PowerPoint presentation | free to download - id: 717059-MmI5Z



Loading


The Adobe Flash plugin is needed to view this content

Get the plugin now

View by Category
About This Presentation
Title:

Curso Virtual de Seguridad de la Informaci

Description:

Title: SEGURIDAD DE LA INFORMACI N Author: u11008 Last modified by: User Created Date: 9/26/2013 5:55:36 PM Document presentation format: Presentaci n en pantalla (4:3) – PowerPoint PPT presentation

Number of Views:5
Avg rating:3.0/5.0
Slides: 89
Provided by: u1165
Learn more at: http://www.intelectumconsultores.com
Category:

less

Write a Comment
User Comments (0)
Transcript and Presenter's Notes

Title: Curso Virtual de Seguridad de la Informaci


1
Curso Virtual de Seguridad de la Información
Preparado por
Expositor Ing. Christian Granda Valenzuela
2
CONTENIDO
  • Fundamentos de Seguridad de la Información
  • Marco Regulatorio
  • Fase de Planificación
  • Implementación Sistema de Gestión de Seguridad de
    Información Fase Do
  • Implementación Sistema de Gestión de Seguridad de
    Información Fase Check

3
Fundamentos de Seguridad de la Información
Fundamentos de Seguridad de la Información
4
Qué es Información?
  • La Información es un activo que como cualquier
    otro activo importante del negocio, tiene valor
    para la organización, consecuentemente necesita
    Protección Adecuada.

5
La Información Puede Estar
  • Impresa o escrita en papel.
  • Almacenada electrónicamente.
  • Transmitida por correo o en forma electrónica.
  • Mostrada en videos corporativos.
  • Hablada en conversaciones.
  • Estructura corporativa de información.

6
Definición de Seguridad
  • Es la preservación de los criterios de
    confidencialidad, disponibilidad e integridad de
    la información Circular SBS G-105-2002
  • Este objetivo se puede lograr mediante la
    adecuada combinación de políticas,
    procedimientos, estructura organizacional y
    herramientas especializadas.

7
Información a Proteger
  • Cuál es la información más valiosa que
    manejamos
  • La información asociado a nuestros clientes.
  • La información asociado a nuestras ventas.
  • La información asociada a nuestro personal.
  • La información asociada a nuestros productos.
  • La información asociada a nuestras operaciones.

8
Contra qué se debe proteger la Información?
  • La Seguridad de la Información, protege a ésta
    de una amplia gama de amenazas, tanto de orden
    fortuito como destrucción, incendio o
    inundaciones, como de orden deliberado, tal como
    fraude, espionaje, sabotaje, vandalismo, etc.

9
Que debe Garantizar
  • La seguridad de la información se caracteriza
    aquí como la preservación de
  • su confidencialidad, asegurando que sólo quienes
    estén autorizados pueden acceder a la
    información.
  • su integridad, asegurando que la información y
    sus métodos de proceso son exactos y completos.
  • su disponibilidad, asegurando que los usuarios
    autorizados tienen acceso a la información y a
    sus activos asociados cuando lo requieran.

10
Vulnerabilidades Comunes
  • Inadecuado compromiso de la dirección.
  • Personal inadecuadamente capacitado y
    concientizado.
  • Inadecuada asignación de responsabilidades.
  • Ausencia de políticas/ procedimientos.
  • Ausencia de controles
  • (físicos/lógicos)
  • (disuasivos/preventivos/detectivos/correctivos)
  • Ausencia de reportes de incidentes y
    vulnerabilidades.
  • Inadecuado seguimiento y monitoreo de los
    controles.

11
Obstáculos
  • Falta de conciencia de usuarios finales.
  • Presupuesto.
  • Falta de apoyo de la alta gerencia.
  • Falta de Entrenamiento.
  • Pobre definición de responsabilidades.
  • Falta de herramientas.
  • Aspectos legales.

12
Estándares y Mejores Prácticas
  • ISO 177992000
  • Es un código de practica que presenta
    lineamientos generales para la administración de
    seguridad de la información. Cubre los temas a
    manera de políticas y se presenta como un punto
    de partida para la elaboración de políticas
    particulares de cada organización
  • No trata de temas técnicos, cubre temas de manera
    general, tales como seguridad física, seguridad
    del personal, administración de seguridad, etc.

13
Estándares y Mejores Prácticas
  • ITIL (Information Technology Infrastructure
    Library)
  • Es un conjunto de mejores practicas de gestión de
    servicios de tecnología de información.
  • Los conceptos que soportan estos estándares
    buscan alcanzar el planeamiento de procesos
    consistentes, documentados y reutilizables que
    mejoran la entrega de servicios de TI alineados
    al negocio.

14
Estándares y Mejores Practicas
  • COBIT (Control Objectives for Information and
    Related Technology)
  • Es un marco referencial sobre gobierno de TI que
    facilita el entendimiento de los riesgos
    relacionados a la tecnología de información.
  • Responde a QUÉ controles se requieren cumplir
    para alcanzar una optima gestión de TI.

15
Marco Regulatorio
Resolución G140-2009 Gestión de Seguridad de
Información
16
Características Principales
  • Emitida el 02 de Abril de 2009.
  • Deja sin efecto a la Circular G105-2002
  • Toma como base el estándar ISO 27001.
  • Plazo de adecuación al 31 de Marzo de 2010.
  • Establece criterios mínimos para una adecuada
    gestión de la seguridad de la información.

17
Características Principales
  • Las empresas deberán establecer, mantener y
    documentar un sistema de gestión de la seguridad
    de la información(SGSI)
  • Las empresas deberán contar con una estructura
    organizacional que les permita y mantener el
    sistema de gestión de la seguridad de la
    información.

18
Estructura de la Circular
19
Características Principales
Quiénes deben cumplir la norma?
20
Sistema de Gestión de Seguridad de la Información
(SGSI)
  • El sistema de gestión de la seguridad de la
    información (SGSI) es la parte del sistema de
    gestión de la empresa, basado en un enfoque de
    riesgos del negocio, para
  • Establecer,
  • Implementar,
  • Operar,
  • Monitorear,
  • Mantener y mejorar la seguridad de la
    información.

21
SGSI
22
SGSI
  • Un Sistema de Gestión de la Seguridad de la
    Información basado en ISO 27001 está formado por
    una serie de documentos que pueden clasificarse
    en una pirámide de cuatro niveles.

23
SGSI
24
Sistema de Gestión de Seguridad de la Información
(SGSI)
  • REGISTROS
  • Documentos que proporcionan una evidencia
    objetiva, en cumplimiento de los requisitos.
  • INSTRUCCIONES CHECKLIST Y FORMULARIOS
  • Describen como se realizan las tareas y las
    actividades especificas

25
Sistema de Gestión de Seguridad de la Información
(SGSI)
  • PROCEDIMIENTOS
  • Documentos de Nivel operativo aseguran que se
    realice de manera eficaz la planificación,
    operación y control de procesos.
  • MANUAL DE SEGURIDAD
  • Documento que dirige todo el sistema, expone y
    determina las intenciones, alcance, objetivos,
    responsabilidades, etc., del SGSI.

26
G140 2009 - SGCI
  • Marco normativo interno de la empresa.
  • Deben contar con la aprobación del directorio
    de la empresa.
  • Comunicadas al personal de la empresa.

Políticas de Seguridad
  • Procedimiento estándar para la administración
    de riesgo.
  • En concordancia con la gestión de riesgo
    operacional de la empresa.

Metodología de Gestión de Riesgo
  • Verificación del cumplimiento de normas ,
    estándares, políticas y procedimientos.
  • Información para procesos de auditoría.

Mantenimiento de Registros Adecuados
27
G140 2009 Estructura Organizacional
  • Permite la implementación y mantenimiento del
    SGSI.
  • Responsabilidad de un área especializada o áreas
    ya existentes en la empresa.
  • Funciones asignadas
  • Asegurar el cumplimiento de políticas.
  • Coordina y monitorea la implementación de
  • controles.
  • Procesos de inducción y concientización para
  • personal.
  • Evaluación de incidentes de seguridad

28
Controles de Seguridad de la Información(G140
2009)
29
Macro Regulatorio
ISO 27001
30
Normativa ISO 27001
  • La norma ISO 27001 define cómo organizar la
    seguridad de la información en cualquier tipo de
    organización.
  • Permite la implementación y mantenimiento del
    Sistema de Gestión para la Seguridad de la
    Información(SGSI) Responsabilidad de un área
    especializada o áreas ya existentes en la
    empresa.
  • La Norma ISO 27001 abarca

31
Normativa ISO 27001
32
Normativa ISO 27001
  • Funciones asignadas
  • Asegurar el cumplimiento de políticas.
  • Coordina y monitorea la implementación de
  • controles.
  • Procesos de inducción y concientización para
  • personal.
  • Evaluación de incidentes de seguridad

33
Normativa ISO 27001
  • Especifica los requisitos necesarios para
    establecer, implantar, mantener y mejorar un SGSI
    según el conocido Ciclo de Demming PDCA
    acrónimo de
  • Plan - Planificar
  • Do - Hacer
  • Check - Verificar
  • Act - Actuar

34
Seguridad de Información (Norma ISO 27001)
35
Implementación de un SGSI
Fase de Planificación
36
Establecer el Plan
  • Establecer la política de seguridad, objetivos,
    metas, procesos y procedimientos relevantes para
    manejar riesgos y mejorar la seguridad de la
    información para generar resultados de acuerdo
    con una política y objetivos marco de la
    organización.

37
Establecer el Plan
  • Definir el alcance del SGSI a la luz de la
    organización.
  • Definir la Política de Seguridad.
  • Aplicar un enfoque sistémico para evaluar el
    riesgo.
  • No se establece una metodología a seguir.

38
Establecer el Plan
  • Identificar y evaluar opciones para tratar el
    riesgo
  • Mitigar, eliminar, transferir, aceptar
  • Seleccionar objetivos de Control y controles a
    implementar
  • A partir de los controles definidos por la
    ISO/IEC 17799
  • Establecer enunciado de aplicabilidad

39
Gestión de la Documentación
  • Las ISO 27001 ,establece requisitos para la
    gestión de la documentación. Una gestión
    documental según este estandard internacionales
    nos permite manejar la documentación de una
    manera controlada, segura, ordenada y eficiente .

40
Gestión de la Documentación
  • Se deben tener en cuenta los siguientes puntos
    en la Gestión de la Documentación
  • Los documentos deben estar protegidos y
    controlados.
  • Debe existir un procedimiento documentado que
    describa el proceso de gestión documental.
  • Los documentos deben aprobarse antes de su uso.
  • Los documentos deben revisarse y actualizarse
    cuando sea necesario. En ese caso, deberán volver
    a aprobarse.

41
Gestión de la Documentación
  • Los cambios y el estado de la revisión actual de
    cada documento deben estar identificados.
  • Las versiones correctas de cada documento deben
    estar disponibles en los puntos de uso.
  • Los documentos deben estar disponibles para
    aquellas personas que los necesitan y deben
    transferirse, almacenarse y eliminarse siguiendo
    los procedimientos establecidos para su
    clasificación de seguridad.

42
Gestión de la Documentación
  • Los documentos que proceden del exterior deben
    identificarse como tal.
  • La distribución de la documentación debe estar
    controlada.
  • Debe evitarse el uso de documentos obsoletos.
  • Si un documento obsoleto se conserva, debe
    identificarse claramente como obsoleto.

43
Definición del Alcance
  • Según lo especificado por la Norma ISO-270001
    Los límites del SGSI deben estar definidos por
    las características de la organización ,
    localización , activos y tecnologías, se debe
    definir
  • Las Localizaciones físicas incluidas.
  • Las Actividades de la Organización
  • Las Tecnologías Utilizadas

44
Política de Seguridad
  • El objetivo de la Política de Seguridad es
    dirigir y dar soporte a la gestión de la
    seguridad de la información de acuerdo a los
    requisitos del negocio y la legislación
    aplicable.
  • La Política de Seguridad debe ser definida ,
    aprobada , publicada y comunicada por la
    Dirección, estableciendo las líneas de acción que
    alineadas con los objetivos del negocio.

45
Política de Seguridad
  • La política debe ser un documento comprensible
    para todas las personas a las que va dirigida.
  • La política debe ser revisada en periodos
    planificados, o en caso de que se produzcan
    cambios importantes en a organización.

46
Política de Seguridad
47
Enfoque de la Evaluación de Riesgo
  • Se define como la utilización sistemática de la
    información disponible, para identificar
    peligros y estimar los riesgos se deben evaluar
    lo siguientes puntos
  • Evaluar el impacto en el negocio ante una falla
    de seguridad que suponga la pérdida de
    confidencialidad, integridad o disponibilidad de
    un activo de información.
  • Evaluar la probabilidad de ocurrencia de un fallo
    de seguridad en relación a las amenazas,
    vulnerabilidades, impactos en los activos y los
    controles que ya estén implementados

48
Enfoque de la Evaluación de Riesgo
49
Procedimiento para la Evaluación de Riesgo
  • La evaluación de riesgos es la tarea más
    compleja del proyecto para la norma ISO 27001, se
    debe consideran los siguientes puntos
  • Identificar los Activos de Información y sus
    responsables.
  • Identificar las Vulnerabilidades de cada activo
  • Identificar las amenazas

50
Procedimiento para la Evaluación de Riesgo
  • Identificar los requisitos legales y
    contractuales que la organización esta obligada a
    cumplir con sus clientes, socios o proveedores.
  • Identificar los riesgos Definir para cada
    activo, la probabilidad de que las amenazas o las
    vulnerabilidades propias del activo puedan causar
    un daño total o parcial al activo de la
    información, en relación a su disponibilidad,
    confidencialidad e integridad del mismo.

51
Procedimiento para la Evaluación de Riesgo
  1. Cálculo del riesgo Este se realiza a partir de
    la probabilidad de ocurrencia del riesgo y el
    impacto que este tiene sobre la organización.
  2. Plan de tratamiento del riesgo En este punto
    estamos preparados para definir la política de
    tratamiento de los riesgos en función de los
    puntos anteriores y de la política definida por
    la dirección.

52
Procedimiento para la evaluación de Riesgo
53
Tratamiento de Riesgo
  • El objetivo principal del proceso de tratamiento
    de riesgos es reducir los riesgos no aceptables.
  • En este paso, se debe redactar un Informe sobre
    la evaluación de riesgos que documente todos los
    pasos tomados durante el proceso de evaluación y
    tratamiento de riesgos.

54
Declaración de Aplicabilidad Statement of
applicability (SOA)
  • Es uno de los elementos principales de un sistema
    de gestión de seguridad de la información.
    Consiste en un documento que relaciona los
    controles que se aplican en el sistema de
    gestión.
  • Su objetivo principal es descubrir los controles
    relevantes aplicables al SGSI.

55
Declaración de Aplicabilidad Statement of
applicability (SOA)
  • La Norma ISO 27001 contiene una relación de
    documentos de los cuales una organización debe
    seleccionar los documentos que debe implantar y
    mantener, el resultado de esa elección forma
    parte del plan de tratamiento de riesgos.
  • Cada Empresa es libre de elaborar su formato de
    aplicabilidad según su propio SGSI y siguiendo
    los parámetros de la norma.

56
Implementación de un SGSI
FASE DO
57
Definición
  • Consiste en Implementar y gestionar el el SGSI
    de acuerdo a su política, controles, procesos y
    procedimientos.
  • preparar un plan de tratamiento del riesgo
  • implantar los controles que se hayan seleccionado
  • medir la eficacia de dichos controles
  • crear programas de formación y concienciación

58
Plan de Tratamientos
  • Definir un plan de tratamiento de riesgos que
    identifique las acciones, recursos,
    responsabilidades y prioridades en la gestión de
    los riesgos de seguridad de la información.
  • La Meta es alcanzar los objetivos de los
    controles identificados.

59
Recursos Documentación y Medición
  • Gestionar los recursos necesarios asignados al
    SGSI para el mantenimiento de la seguridad de la
    información.
  • Definir un sistema de métricas que permita
    obtener resultados reproducibles y comparables
    para medir la eficacia de los controles
    seleccionados.

60
Gestión de los Activos de la Información
  • Es necesario tener un Inventario de todos los
    activos que permita gestionar los riesgos de
    manera controlada.
  • Según la norma ISO 27001 a cada activo se le debe
    asignar un responsable.
  • Clasificar el nivel de riesgo asociado a cada
    activo de la información.
  • Definir las medidas de control asociadas a la
    clasificación hecha por la empresa

61
Seguridad Ligada al Recurso Humano
  • Los Usuarios se acostumbran a usar la tecnología
    sin saber como funciona o de los riesgos que
    pueden correr.
  • Son las principales víctimas.
  • También son el punto de entrada de muchos de los
    problemas crónicos.
  • El eslabón más débil en la cadena de seguridad.

62
Seguridad Ligada al Recurso Humano
  • Dos enfoques para controlarlo
  • Principio del MENOR PRIVILEGIO POSIBLE
  • Reducir la capacidad de acción del usuario sobre
    los sistemas.
  • Objetivo Lograr el menor daño posible en caso de
    incidentes.
  • EDUCAR AL USUARIO
  • Generar una cultura de seguridad. El usuario
    ayuda a reforzar y aplicar los mecanismos de
    seguridad.
  • Objetivo Reducir el número de incidentes

63
Seguridad Ligada al Recurso Humano
  • El software moderno es muy complejo y tiene una
    alta probabilidad de contener vulnerabilidades de
    seguridad.
  • Un mal proceso de desarrollo genera software de
    mala calidad. Prefieren que salga mal a que
    salga tarde.
  • Usualmente no se enseña a incorporar requisitos
    ni protocolos de seguridad en los productos de
    SW.

64
Seguridad Ligada al Recurso Humano
  • Propiedades de la Información en un Trusted
    System
  • Confidencialidad Asegurarse que la información
    en un sistema de cómputo y la transmitida por un
    medio de comunicación, pueda ser leída SOLO por
    las personas autorizadas.
  • Autenticación Asegurarse que el origen de un
    mensaje o documento electrónico esta
    correctamente identificado, con la seguridad que
    la entidad emisora o receptora no esta
    suplantada.

65
Seguridad Ligada al Recurso Humano
  • Integridad Asegurarse que solo el personal
    autorizado sea capaz de modificar la información
    o recursos de cómputo.
  • No repudiación Asegurarse que ni el emisor o
    receptor de un mensaje o acción sea capaz de
    negar lo hecho.
  • Disponibilidad Requiere que los recursos de un
    sistema de cómputo estén disponibles en el
    momento que se necesiten.

66
Seguridad Ligada al Recurso Humano
  • Ataques contra el flujo de la información
  • Flujo Normal
  • Los mensajes en una red se envían a partir de un
    emisor a uno o varios receptores
  • El atacante es un tercer elemento en la realidad
    existen millones de elementos atacantes,
    intencionales o accidentales.

67
Seguridad Ligada al Recurso Humano
  • Ataques contra el flujo de la información
  • Interrupción
  • Los mensajes en una red se envían a partir de un
    emisor a uno o varios receptores
  • El atacante es un tercer elemento en la realidad
    existen millones de elementos atacantes,
    intencionales o accidentales.

68
Seguridad Ligada al Recurso Humano
  • Ataques contra el flujo de la información
  • Intercepción
  • Una persona, computadora o programa sin
    autorización logra el acceso a un recurso
    controlado.
  • Es un ataque contra la Confidencialidad.
  • Ejemplos Escuchas electrónicos, copias ilícitas
    de programas o datos, escalamiento de
    privilegios.

69
Seguridad Ligada al Recurso Humano
  • Ataques contra el flujo de la información
  • Modificación
  • La persona sin autorización, además de lograr el
    acceso, modifica el mensaje.
  • Este es un ataque contra la Integridad.
  • Ejemplos Alterar la información que se transmite
    desde una base de datos, modificar los mensajes
    entre programas para que se comporten diferente.

70
Seguridad Ligada al Recurso Humano
  • Ataques contra el flujo de la información
  • Fabricación
  • Una persona sin autorización inserta objetos
    falsos en el sistema.
  • Es un ataque contra la Autenticidad.
  • Ejemplos Suplantación de identidades, robo de
    sesiones, robo de contraseñas, robo de
    direcciones IP, etc...
  • Es muy difícil estar seguro de quién esta al otro
    lado de la línea.

71
Seguridad Física y Ambiental
  • Control de Acceso Físico
  • Sistemas de vigilancia, CCTV y otros.
  • Llaves, cerraduras electrónicas, bitácora de
    acceso.
  • Medidas de Prevención.
  • Sistemas de Detección y extinción de incendios
  • Detección de aniegos
  • Controles de temperatura y Humedad
  • UPS y grupo electrógeno

72
Gestión de Comunicaciones y operaciones
  • Controles Operativos
  • Procedimientos operativos formales.
  • Segregación de funciones y separación de
    ambientes.
  • Control de cambios del ambiente operativo
  • Infraestructura e instalaciones.
  • Monitoreo de actividades de terceros y de
    capacitación de procesamiento.

73
Gestión de Comunicaciones y operaciones
  • Seguridad de Redes
  • Controles antivirus
  • Protección de medios de comunicación e
    intercambio de información.
  • Protección de canales electrónicos.
  • Registro de Eventos
  • Información para procesos de auditoría.

74
Control de Accesos
  • El control de acceso regula que el usuario
    acceda únicamente a los recursos sobre los cuales
    tenga derecho, sus tareas derivadas
  • Encauzar al usuario debidamente.
  • Verificar el desvió de cualquier acceso, fuera de
    lo correcto.

75
Control de Accesos
  • Existencia de política de control de accesos
    documentada.
  • Prevenir accesos no autorizados.
  • Todo usuario debe tener documentadas sus
    obligaciones dentro de la seguridad de la
    información de la empresa.
  • Control de acceso a redes.
  • Control de acceso a Sistemas Operativos
  • Control de acceso a información y aplicaciones.

76
Adquisición, Desarrollo y Mantenimiento de los
Sistemas de Información
  • Criterios para la adquisición y desarrollo de
    sistemas.
  • Controles en el ingreso, procesamiento y salida
    de información en un sistemas.
  • Protección de código fuente.
  • Adopción de procedimientos de encriptación para
    información sensible.

77
Adquisición, Desarrollo y Mantenimiento de los
Sistemas de Información
  • Promoción a producción
  • Procedimiento formal de control de cambios.
  • Control de Vulnerabilidades
  • Control sobre vulnerabilidades de infraestructura
    y aplicaciones informáticas.

78
Gestión de Incidentes
  • Reporte de Incidentes de Seguridad de la
    Información
  • Procedimientos formales para reporte de
    incidentes .
  • Inventario de Incidentes
  • Reporte de Vulnerabilidades detectadas en
    aplicaciones informáticas.

79
Gestión de Incidentes
  • Respuesta a Incidentes de Seguridad de la
    Información.
  • Procedimientos formales de respuesta a
    incidentes.
  • Comité de respuesta a Incidentes
  • Respuesta a Vulnerabilidades detectadas en
    sistemas Informáticos.

80
Implementación de un SGSI
FASE CHECK
81
Definición
  • En esta fase se ejecutan los procedimientos y
    controles de monitorización y revisión para
    detectar errores en resultados de procesamiento,
    identificar brechas e incidentes de seguridad,
    determinar si las actividades de seguridad de la
    información están desarrollándose como estaba
    planificado.
  • Detectar y prevenir incidentes de seguridad
    mediante el uso de indicadores y comprobar si las
    acciones tomadas para resolver incidentes de
    seguridad han sido eficaces.

82
Objetivo de la Supervisión y Revisión
  • Proceso de verificación y revisión por parte de
    la dirección  del cumplimiento de los objetivos
    propuestos, el alcance proyectado,  las medidas
    de seguridad implementadas para mitigar los
    riesgos

83
Requisitos de la Norma
  • Se debe establecer y ejecutar procedimientos de
    monitoreo para
  • Detectar y prevenir eventos e incidentes de
    seguridad mediante el uso de indicadores.
  • Identificar ataques a la seguridad fallidos y
    exitosos.
  • Brindar a la gerencia indicadores para determinar
    la adecuación de los controles y el logro de los
    objetivos de seguridad.

84
Requisitos de la Norma
  • Determinar las acciones realizadas para resolver
    brechas a la seguridad.
  • Mantener registros de las acciones y eventos que
    pueden impactar al SGSI.
  • Realizar revisiones regulares a la eficiencia del
    SGSI.

85
Procedimientos de Supervisión y Revisión
  • Ejecutar procedimientos de supervisión y
    revisión, así como mecanismos de control para
  • Detectar lo antes posible los errores en los
    resultados procesados.
  • Identificar debilidades del sistema de seguridad
  • Medir la eficacia de los controles para verificar
    si se han cumplido los requisitos de seguridad.

86
Procedimientos de Supervisión y Revisión
  • Revisar las evaluaciones de riesgo en intervalos
    planificados.
  • Realizar auditorías internas.
  • Actualizar planes de seguridad.
  • Registrar acciones e incidencias.

87
Verificaciones Periódicas de la Eficacia del SGSI
  • Realizar revisiones periódicas de la eficacia del
    SGSI teniendo en cuenta
  • Los resultados de las auditorías de seguridad.
  • Los incidentes
  • Los resultados de las mediciones de eficacia
  • Revisión del cumplimiento de la política y de los
    objetivos del SGSI
  • Revisión de controles de seguridad.

88
Agradece su participación.
About PowerShow.com