miércoles, 6 de noviembre de 2013

ISO 27000

ORIGEN

Proviene de la norma BS 7799 de British Standards Institution (organización británica equivalente a AENOR en España) creada en 1995 con el fin de facilitar a cualquier empresa un conjunto de buenas prácticas para la gestión de la seguridad de la información.
La norma ISO 27001 fue aprobada y publicada como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

OBJETIVOS

Esta familia de normas que tiene como objetivo definir requisitos para un sistema de gestión de la seguridad de la información (SGSI), con el fin de garantizar la selección de controles de seguridad adecuados y proporcionales, protegiendo así la información, es recomendable para cualquier empresa grande o pequeña de cualquier parte del mundo y más especialmente para aquellos sectores que tengan información crítica o gestionen la información de otras empresas.

FAMILIA 27000

  • ISO/IEC 27000Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información, una breve descripción del proceso Plan-Do-Check-Act y términos y definiciones que se emplean en toda la serie 27000.
  • ISO/IEC 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información.
  • ISO/IEC 27002:Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.
  • ISO/IEC 27003: Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI de acuerdo ISO/IEC 27001:2005.
  • ISO/IEC 27004: No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. Sin traducir.
  • ISO/IEC 27005: 4 de Junio de 2008. No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. Apoya los conceptos generales especificados en la norma ISO/IEC 27001. Sin traducir todavía.
  • ISO/IEC 27006: 1 de Marzo de 2007. Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información. Sin traducir todavía en España, pero traducida en México (NMX-I-041/06-NYCE).
  • ISO/IEC 27007: Publicación prevista en 2011. Consistirá en una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011.
  • ISO/IEC 27008: Publicación prevista en 2011. Consistirá en una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI.
  • ISO/IEC 27010: Publicación prevista en 2012. Es una norma en 2 partes, que consistirá en una guía para la gestión de la seguridad de la información en comunicaciones inter-sectoriales.
  • ISO/IEC 27011: 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. Sin traducción.
  • ISO/IEC 27012: Publicación prevista en 2011. Consistirá en un conjunto de requisitos y directrices de gestión de seguridad de la información en organizaciones que proporcionen servicios de e-Administración.
  • ISO/IEC 27013: Publicación prevista en 2012. Consistirá en una guía de implementación integrada de ISO/IEC 27001 y de ISO/IEC 20000-1.
  • ISO/IEC 27014: Publicación prevista en 2012. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
  • ISO/IEC 27015: Publicación prevista en 2012. Consistirá en una guía de SGSI para organizaciones del sector financiero y de seguros.
  • ISO/IEC 27016: Publicación prevista en 2012. Consistirá en una guía de SGSI relacionada con aspectos económicos en las organizaciones.
  • ISO/IEC 27031: Describe los conceptos y principios de la tecnología de información y comunicación (TIC)
  • ISO/IEC 27032: Guía relativa a la ciberseguridad.
  • ISO/IEC 27033: Seguridad en redes. Tiene 7 partes: 27033-1, conceptos generales ; 27033-2, directrices de diseño e implementación de seguridad en redes ; 27033-3, escenarios de redes de referencia ; 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad ; 27033-5, aseguramiento de comunicaciones mediante VPNs; 27033-6, convergencia IP; 27033-7, redes inalámbricas .
  • ISO/IEC 27034:  Varias guías de seguridad para aplicaciones informáticas.
  • ISO/IEC 27035:  Guía de gestión de incidentes de seguridad de la información.
  • ISO/IEC 27036:  Guía de seguridad de outsourcing (externalización de servicios).
  • ISO/IEC 27037:  Guía de identificación, recopilación y preservación de evidencias digitales.
  • ISO/IEC 27038:  Guía de especificación para la redacción digital.
  • ISO/IEC 27039: Guía para la selección, despliegue y operativa de sistemas de detección de intrusos.
  • ISO/IEC 27040:  Guía para la seguridad en medios de almacenamiento.
  • ISO 27799:  Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002.


BENEFICIOS

  • Garantía de los controles internos y cumplimiento de requisitos de gestión corporativa y de continuidad de la actividad comercial.
  • Pone de manifiesto el respeto a las leyes y normativas que sean de aplicación.
  • Fiabilidad de cara al cliente demostrar que la información está segura.
  • Identificación, evaluación y gestión de riesgos.
  • Evaluaciones periódicas que ayudan a supervisar el rendimiento y las posibles mejoras.
  • Se integra con otros sistemas de gestión
  • Reducción de costes y mejora de procesos
  • Aumento de la motivación y satisfacción del personal al contar con unas directrices claras.

IMPLANTACIÓN

La norma ISO 27001 (la principal de la familia) es certificable por una entidad de certificación externa y su implantación puede tardar de 6 a 12 meses dependiendo del nivel de seguridad de la información y del alcance de la empresa en la que se implante y es preferible realizar el proceso con ayuda de alguna consultoría externa a la organización.

Publicado por en 16:24 0 comentarios

ISO 27001


GESTIÓN DE LA SEGURIDAD DE LA INFORMÁTICA

Esta norma es la que rige la organización de la seguridad en la información en las organizaciones, no importa si es privada o publica, con o sin fines lucrativos. 
Esta norma constituye la base para gestionar la seguridad de la información.




La norma ISO determina como gestionar la seguridad de la información por medio de un sistema de gestión de seguridad de la informática SGSI que consta de 4 fases:

  • Planificación: Es para planificar la organización básica, establecer los objetivos de la seguridad de la información  y elegir los controles de seguridad mas adecuados.
  • Implementación: Es la realización de todo lo planificado en la fase de planificación.
  • Revisión: Es monitorear el Sistema de Gestión de Seguridad de la Informática mediante varios canales y verificar que los resultados sean acordes a los objetivos planteados.
  • Mantenimiento y mejora: Es mejorar todos lo incumplimientos en la fase de Revisión.


DOCUMENTOS DE ISO 27001



La norma ISO 27001 requiere los siguientes documentos:

  • Alcance del SGSI
  • Política del SGSI
  • Procedimientos para control de documentación , auditorias internas y procedimientos para medidas correctivas y preventivas
  • Todos los demás documentos, según los controles aplicables
  • Metodología de evaluación de riesgos
  • Informe de evaluación de riesgos
  • Declaración de aplicabilidad
  • Plan de tratamiento del riesgo
  • Registros


La cantidad y exactitud de la documentación depende del tamaño y de las exigencias de seguridad de la organización; esto significa que una docena de documentos serán suficientes para una pequeña organización, mientras que las organizaciones grandes y complejas tendrán varios cientos de documentos en su SGSI.


Publicado por en 16:00 0 comentarios

miércoles, 16 de octubre de 2013

El siguiente es el enlace para la visualizacion de la presentacion del dia 16 de Octubre de 2013.

http://prezi.com/vzkwx0wj8wcb/?utm_campaign=share&utm_medium=copy

Realizada por:

 Angelica Diaz
Jean Helberth Forero
Katherine Sanchez
Oscar Hernandez

Publicado por en 18:18 0 comentarios

miércoles, 9 de octubre de 2013

DECRETO 2145 DE 1999
(noviembre 4)


Por el cual se dictan normas sobre el Sistema Nacional de Control Interno de las Entidades y Organismos de la Administración Pública del Orden Nacional y Territorial y se dictan otras disposiciones.


CAPÍTULO I
CONCEPTUALIZACIÓN

Artículo  1º. Definición del Sistema Nacional de Control Interno. Es el conjunto de instancias de articulación y participación, competencias y sistemas de control interno, adoptados en ejercicio de la función administrativa por los organismos y entidades del Estado en todos sus órdenes, que de manera armónica, dinámica, efectiva, flexible y suficiente, fortalecen el cumplimiento cabal y oportuno de las funciones del Estado.
Artículo  2º. Modificado por el art. 1 del Decreto Nacional 2539 de 2000 . Ámbito de aplicación. El presente Decreto se aplica a todos los organismos y entidades que de acuerdo con la Ley 489 de 1998 conforman la Administración Pública, y a los particulares cuando cumplan funciones administrativas.

Parágrafo.- Las normas del presente Decreto serán aplicables, en lo pertinente, a las entidades autónomas y territoriales o sujetas a regímenes especiales en virtud del mandato constitucional.

[Visitada el 5 de Octubre del 2013]
REALIZADO POR: ANGÉLICA MILENA DIAZ CASTELBLANCO 
                                   JEAN HELBERTH FORERO MARTINEZ

Publicado por en 10:10 0 comentarios

LEY 489 DE 1998
(Diciembre 29)

Por la cual se dictan normas sobre la organización y funcionamiento de las entidades del orden nacional, se expiden las disposiciones, principios y reglas generales para el ejercicio de las atribuciones previstas en los numerales 15 y 16 del artículo 189 de la Constitución Política y se dictan otras disposiciones.

Artículo 1°. Objeto. La presente ley regula el ejercicio de la función administrativa, determina laestructura y define los principios y reglas básicas de la organización y funcionamiento de laAdministración Pública.

Artículo 2°. Ambito de aplicación. La presente ley se aplica a todos los organismos y entidades de la Rama Ejecutiva del Poder Público y de la Administración Pública y a los servidores públicos que por mandato constitucional o legal tengan a su cargo la titularidad y el ejercicio de funciones administrativas, prestación de servicios públicos o provisión de obras y bienes públicos y, en lo pertinente, a los particulares cuando cumplan funciones administrativas.

Parágrafo. Las reglas relativas a los principios propios de la función administrativa, sobre
delegación y desconcentración, características y régimen de las entidades descentralizadas,
racionalización administrativa, desarrollo administrativo, participación y control interno de la
Administración Pública seaplicarán, en lo pertinente, a las entidades territoriales, sin perjuicio de la autonomía que les es propia de acuerdo con la Constitución Política.

Mas Información: http://www.secretariasenado.gov.co/senado/basedoc/ley/1998/ley_0489_1998.html
[Visitada el 5 de Octubre del 2013]
REALIZADO POR: ANGÉLICA MILENA DIAZ CASTELBLANCO 
                                   JEAN HELBERTH FORERO MARTINEZ

Publicado por en 10:06 0 comentarios

martes, 8 de octubre de 2013


Por el cual se reglamenta parcialmente la Ley 87 de 1993

EL PRESIDENTE DE LA REPÚBLICA DE COLOMBIA

En uso de sus facultades constitucionales y legales, en especial de las conferidas por los ordinales 11 y 16 del artículo 189 de la Constitución Política, con sujeción a lo dispuesto en el Decreto 1050 de 1968 y en los artículos 9 a 13 de la Ley 87 de 1993, y
CONSIDERANDO:

Que según el artículo 9º. De la Ley 87 de 1993 la definición de la Unidad u Oficina de coordinación del Control interno en el nivel general o directivo de las entidades, es uno de los componentes del sistema de Control Interno encargada de evaluar la eficiencia, eficacia y economía de los demás controles y de asesorar a la dirección en la continuidad del proceso administrativo, la re evaluación de los planes establecidos y la introducción de los correctivos necesarios para el cumplimiento de las metas u objetivos previstos;

Que, de igual manera, consagró el artículo 13 de la citada Ley, la obligación e establecer al más alto nivel jerárquico un comité de Coordinación del Sistema de control Interno, de acuerdo con la naturaleza de las funciones propias de la organización;

Que de acuerdo con la mencionada Ley, los directivos de las entidades públicas deberán determinar, implantar y complementar el Sistema de control interno en sus respectivos organismos o entidades,

Que para tal efecto, y teniendo en cuenta los principios y reglas generales contenidos en la Ley 87 de 1993, se considera necesario disponer y autorizar la creación de Oficinas y Comités de Coordinación del Control Interno en aquellos Ministerios o Departamentos Administrativos que no cuentan con una de tales dependencias o disponer su adecuación o los mandatos de la mencionada Ley.


Realizado Por : Angelica Milena Diaz Castelblanco - Jean Helberth Forero Martinez

Tomado de : http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=4576 Visitado [ 9 de Octubre de 2013]


Publicado por en 23:32 0 comentarios


LEY 87 DE 1993

EL CONGRESO DE COLOMBIA,DECRETA:

ARTÍCULO 1o. DEFINICIÓN DEL CONTROL INTERNO. Se entiende por control interno el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la  dirección y en atención a las metas u objetivos previstos.
El ejercicio del control interno debe consultar los principios de igualdad, moralidad, eficiencia, economía, celeridad, imparcialidad, publicidad y valoración de costos ambientales. En consecuencia, deberá concebirse y organizarse de tal manera que su ejercicio sea intrínseco al desarrollo de las funciones de todos los cargos existentes en la entidad, y en particular de las asignadas a aquellos que tengan responsabilidad del mando.


PARÁGRAFO. El control interno se expresará a través de las políticas aprobadas por los nivel es de dirección y administración de las respectivas entidades y se cumplirá en toda la escala de la estructura administrativa, mediante la elaboración y aplicación de técnicas de dirección, verificación y evaluación de regulaciones administrativas, de manuales de funciones y procedimientos, de sistemas de información y de programas de selección, inducción y capacitación de personal.









Tomado de : http://www.secretariasenado.gov.co/senado/basedoc/ley/1993/ley_0087_1993.html [visitado el 9 de Octubre de 2013]
REALIZADO POR: ANGÉLICA MILENA DIAZ CASTELBLANCO 
                                   JEAN HELBERTH FORERO MARTINEZ

Publicado por en 23:22 0 comentarios