PROYECTO PRACTICO UNIDAD III

CONTROL, SEGURIDAD Y AUDITORÍA DE

LOS SISTEMAS DE INFORMACIÓN

Un "Sistema de Información Contable" forma parte

del Sistema de información de las organizaciones y
tiene por finalidad reunir datos de naturaleza
contable, procesarlos, utilizando un sistema adecuado
de procesamiento; crear y mantener archivos
contables, y producir información contable, bajo
distintas formas, para diferentes usuarios, He aquí la
relevancia de esta área de estudio.

Actividad I

Temas a Desarrollar
1. Seguridad de los sistemas de información.
 2. Importancia de la gestión de la seguridad de la
información.
Objetivos de la gestión de la seguridad de la
información.

El propósito de un Sistema de Gestión de Seguridad de

la Información es garantizar que los riesgos que
conlleva son conocidos, asumidos, gestionados y
minimizados por la organización de una forma
documentada, sistemática, estructurada, repetible,
eficiente, y, adaptada a los cambios que se produzcan
en los riesgos, el entorno y las tecnologías.
Ventajas
Mediante el Sistema de Gestión de Seguridad de la
Información, se obtendrán numerosas ventajas para la
organización:
 Confidencialidad de la información, que
únicamente es accesible para aquellos que estén
autorizados para ello.
 Disponibilidad de la información y de sus
activos asociados por parte de los usuarios
autorizados cuando éstos lo requieran.
 Integridad de la información para evitar que ésta
sea modificada por usuarios no autorizados para
ello.
 Autenticidad de la información para garantizar
que la información que se utilice sea auténtica.
 Trazabilidad de la información para garantizar
que se pueda rastrear a posteriori quién ha
accedido o ha modificado ésta.
 Elemento de diferenciación en el sector para la
organización, como organismo prestador de
servicios de confianza.
 Precisión y completitud de la información y de
sus métodos de cálculo.
 Incremento del compromiso interno, dado que el
sistema permite garantizar la eficacia de los
esfuerzos desarrollados en materia de Gestión de
Seguridad de la Información.
 Garantía de la conformidad y el cumplimiento a
las autoridades competentes de los aspectos
referentes a la reglamentación y leyes aplicables,
pudiendo evidenciarlo mediante registros.
 Establecimiento de planes para la adecuada
gestión de la continuidad del negocio.
  Establecimiento de procesos y actividades de
revisión, mejora continua y auditoría de la
gestión y tratamiento de la información.

3. Función de la gestión de la seguridad de la

información.
4. Consecuencias de la falta de seguridad, análisis y
gestión de riesgos.
5. Definición e implementación de políticas de
seguridad informática (ejemplos, en empresas
comerciales, industriales y de servicios).

 
 TECNOLOGÍA

POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN
1. Resumen de la política: La información debe
ser siempre protegida, cualquiera que sea su
forma de ser compartida, comunicada o
almacenada.
2. Introducción:
1. La información puede existir en diversas
formas: impresa o escrita en papel,
almacenada electrónicamente,
 transmitida por correo o por medios
electrónicos, mostrada en proyecciones o
en forma oral en las conversaciones.
2. La seguridad de la información es la
protección de la información contra una
amplia gama de amenazas con el fin de
garantizar la continuidad del negocio,
minimizar los riesgos empresariales y
maximizar el retorno de las inversiones y
oportunidades de negocio.
3. Alcance:
1. Esta política apoya la política general del
Sistema de Gestión de Seguridad de la
Información de la organización.
2. Esta política es de consideración por
parte de todos los miembros de la
organización.
4. Objetivos de seguridad de la información:
1. Comprender y tratar los riesgos
operacionales y estratégicos en seguridad
de la información para que permanezcan
en niveles aceptables para la
organización.
2. La protección de la confidencialidad de
la información relacionada con los
clientes y con los planes de desarrollo.
3. La conservación de la integridad de los
registros contables.
 4. Los servicios Web de acceso público y
las redes internas cumplen con las
especificaciones de disponibilidad
requeridas.
5. Entender y dar cobertura a las
necesidades de todas las partes
interesadas.
5. Principios de seguridad de la información:
1. Esta organización afronta la toma de
riesgos y tolera aquellos que, en base a la
información disponible, son
comprensibles, controlados y tratados
cuando es necesario. Los detalles de la
metodología adoptada para la evaluación
del riesgo y su tratamiento se encuentran
descritos en la política del SGSI.
2. Todo el personal será informado y
responsable de la seguridad de la
información, según sea relevante para el
desempeño de su trabajo.
3. Se dispondrá de financiación para la
gestión operativa de los controles
relacionados con la seguridad de la
información y en los procesos de gestión
para su implantación y mantenimiento.
4. Se tendrán en cuenta aquellas
posibilidades de fraude relacionadas con
el uso abusivo de los sistemas de
 información dentro de la gestión global
de los sistemas de información.
5. Se harán disponibles informes regulares
con información de la situación de la
seguridad.
6. Los riesgos en seguridad de la
información serán objeto de seguimiento
y se adoptarán medidas relevantes
cuando existan cambios que impliquen
un nivel de riesgo no aceptable.
7. Los criterios para la clasificación y la
aceptación del riesgo se encuentran
referenciados en la política del SGSI.
8. Las situaciones que puedan exponer a la
organización a la violación de las leyes y
normas legales no serán toleradas.
6. Responsabilidades:
1. El equipo directivo es el responsable de
asegurar que la seguridad de la
información se gestiona adecuadamente
en toda la organización.
2. Cada gerente es responsable de
garantizar que las personas que trabajan
bajo su control protegen la información
de acuerdo con las normas establecidas
por la organización.
3. El responsable de seguridad asesora al
equipo directivo, proporciona apoyo
 especializado al personal de la
organización y garantiza que los
informes sobre la situación de la
seguridad de la información están
disponibles.
4. Cada miembro del personal tiene la
responsabilidad de mantener la seguridad
de información dentro de las actividades
relacionadas con su trabajo.
7. Indicadores clave:
1. Los incidentes en seguridad de la
información no se traducirán en costes
graves e inesperados, o en una grave
perturbación de los servicios y
actividades comerciales.
2. Las pérdidas por fraude serán detectadas
y permanecerán dentro de unos niveles
aceptables.
3. La aceptación del cliente de los
productos o servicios no se verá afectada
negativamente por aspectos relacionados
con la seguridad de la información.
8. Políticas relacionadas: A continuación, se
detallan aquellas políticas que proporcionan
principios y guía en aspectos específicos de la
seguridad de la información:
1. Política del Sistema de Gestión de
Seguridad de la Información (SGSI).
 2. Política de control de acceso físico.
3. Política de limpieza del puesto de
trabajo.
4. Política de software no autorizado.
5. Política de descarga de ficheros (red
externa/interna).
6. Política de copias de seguridad.
7. Política de intercambio de información
con otras organizaciones.
8. Política de uso de los servicios de
mensajería.
9. Política de retención de registros.
10. Política sobre el uso de los servicios
de red.
11. Política de uso de informática y
comunicaciones en movilidad.
12. Política de teletrabajo.
13. Política sobre el uso de controles
criptográficos.
14. Política de cumplimiento de
disposiciones legales.
15. Política de uso de licencias de
software.
16. Política de protección de datos y
privacidad.
En un nivel inferior, la política de seguridad de la
información debe ser apoyada por otras normas o
procedimientos sobre temas específicos que obligan
aún más la aplicación de los controles de seguridad de
la información y se estructuran normalmente para
tratar las necesidades de determinados grupos dentro
de una organización o para cubrir ciertos temas.
EJEMPLOS DE ESTOS TEMAS DE POLÍTICA
INCLUYEN:
1. Control de acceso.
2. Clasificación de la información.
3. La seguridad física y ambiental.
Y MÁS DIRECTAMENTE DIRIGIDAS A
USUARIOS:
1. El uso aceptable de los activos.
2. Escritorio limpio y claro de la pantalla.
3. La transferencia de información.
4. Los dispositivos móviles y el teletrabajo.
5. Las restricciones a la instalación de software y
el uso.
6. Copia de seguridad.
7. La transferencia de información.
8. La protección contra el malware.
9. La gestión de vulnerabilidades técnicas.
10. Controles criptográficos.
11. Las comunicaciones de seguridad.
12. La intimidad y la protección de la
información personal identificable.
Estas políticas/normas/procedimientos deben ser
comunicadas a los empleados y partes externas
interesadas. La necesidad de normas internas de
seguridad de la información varía dependiendo de las
organizaciones.
Cuando algunas de las normas o políticas de seguridad
de la información se distribuyen fuera de la
organización, se deberá tener cuidado de no revelar
información confidencial. Algunas organizaciones
utilizan otros términos para estos documentos de
política, como: normas, directrices o reglas.
Todas estas políticas deben servir de apoyo para la
identificación de riesgos mediante la disposición de
controles en relación a un punto de referencia que
pueda ser utilizado para identificar las deficiencias en
el diseño e implementación de los sistemas, y el
tratamiento de los riesgos mediante la posible
identificación de tratamientos adecuados para las
vulnerabilidades y amenazas localizadas.
Esta identificación y tratamiento de los riesgos forman
parte de los procesos definidos en la sección de
Principios dentro de la política de seguridad o, como
se referencia en el ejemplo, suelen formar parte de la
propia política del SGSI, tal y como se observa a
continuación.
POLÍTICA DE SGSI
En vista de la importancia para el correcto desarrollo
de los procesos de negocio, los sistemas de
información deben estar protegidos adecuadamente.
Una protección fiable permite a la organización
percibir mejor sus intereses y llevar a cabo
eficientemente sus obligaciones en seguridad de la
información. La inadecuada protección afecta al
rendimiento general de una empresa y puede afectar
negativamente a la imagen, reputación y confianza de
los clientes, pero, también, de los inversores que
depositan su confianza, para el crecimiento estratégico
de nuestras actividades a nivel internacional.
El objetivo de la seguridad de la información es
asegurar la continuidad del negocio en la
organización y reducir al mínimo el riesgo de
daño mediante la prevención de incidentes de
seguridad, así como reducir su impacto potencial
cuando sea inevitable.
Para lograr este objetivo, la organización ha
desarrollado una metodología de gestión del riesgo
que permite analizar regularmente el grado de
exposición de nuestros activos importantes frente a
aquellas amenazas que puedan aprovechar ciertas
vulnerabilidades e introduzcan impactos adversos a las
actividades de nuestro personal o a los procesos
importantes de nuestra organización.
El éxito en el uso de esta metodología parte de la
propia experiencia y aportación de todos los
empleados en materia de seguridad, y mediante la
comunicación de cualquier consideración relevante a
sus responsables directos en las reuniones semestrales
establecidas por parte de la dirección, con el objeto de
localizar posibles cambios en los niveles de protección
y evaluar las opciones más eficaces en coste/beneficio
de gestión del riesgo en cada momento, y según el
caso.
Los principios presentados en la política de seguridad
que acompaña a esta política fueron desarrollados por
el grupo de gestión de la información de seguridad con
el fin de garantizar que las futuras decisiones se
basen en preservar la confidencialidad, integridad
y disponibilidad de la información relevante de la
organización. La organización cuenta con la
colaboración de todos los empleados en la aplicación
de las políticas y directivas de seguridad propuestas.
El uso diario de los ordenadores por el personal
determina el cumplimiento de las exigencias de
estos principios y un proceso de inspección para
confirmar que se respetan y cumplen por parte de toda
la organización. Adicionalmente a esta política, y a la
política de seguridad de la organización, se disponen
de políticas específicas para las diferentes actividades.
Todas las políticas de seguridad vigentes
permanecerán disponibles en la intranet de la
organización y se actualizarán regularmente. El
acceso es directo desde todas las estaciones de trabajo
conectadas a la red de la organización y mediante un
clic de ratón desde la página Web principal en el
apartado Seguridad de la Información. El objetivo de
la política es proteger los activos de información de
la organización en contra de todas las amenazas y
vulnerabilidades internas y externas, tanto si se
producen de manera deliberada como accidental.
LA DIRECCIÓN EJECUTIVA DE LA EMPRESA
ES LA RESPONSABLE DE APROBAR UNA
POLÍTICA DE SEGURIDAD DE LA
INFORMACIÓN QUE ASEGURE QUE:
1. La información estará protegida contra
cualquier acceso no autorizado.
2. La confidencialidad de la información,
especialmente aquella relacionada con los datos
de carácter personal de los empleados y
clientes.
3. La integridad de la información se mantendrá
en relación a la clasificación de la información
(especialmente la de “uso interno”).
4. La disponibilidad de la información cumple con
los tiempos relevantes para el desarrollo de los
procesos críticos de negocio.
5. Se cumplen con los requisitos de las
legislaciones y reglamentaciones vigentes,
especialmente con la Ley de Protección de
Datos y de Firma Electrónica.
6. Los planes de continuidad de negocio serán
mantenidos, probados y actualizados al menos
con carácter anual.
7. La capacitación en materia de seguridad se
cumple y se actualiza suficientemente para
todos los empleados.
 8. Todos los eventos que tengan relación con la
seguridad de la información, reales como
supuestos, se comunicarán al responsable de
seguridad y serán investigados.
Adicionalmente, se dispone de procedimientos de
apoyo que incluyen el modo específico en que se
deben acometer las directrices generales indicadas en
las políticas y por parte de los responsables
designados.
El cumplimiento de esta política, así como de la
política de seguridad de la información y de cualquier
procedimiento o documentación incluida dentro del
repositorio de documentación del SGSI, es obligatorio
y atañe a todo el personal de la organización.
Las visitas y personal externo que accedan a
nuestras instalaciones no están exentas del
cumplimiento de las obligaciones indiciadas en la
documentación del SGSI, y el personal interno
observará su cumplimiento.
En cualquier caso, de duda, aclaración o para más
información sobre el uso de esta política y la
aplicación de su contenido, por favor, consulte por
teléfono o e-mail al responsable del SGSI designado
formalmente en el organigrama corporativo.
Firmado Sr./Sra. xxxxxxx, Director ejecutivo.
 
Tweet
 
Share
 
0Guardar
Valora este artículo del blog:
 
1
2
3
4
5
6
7
8
9
10
 
5
¿Qué es la gestión de competencias?
Definiciones del Turismo Rural
SOBRE EL AUTOR

 
EL BLOG CEUPE
Entradas recientes del autor
Viernes, 05 Febrero 2021Tipos de responsabilidad
social empresarial♻️
Viernes, 05 Febrero 2021¿Qué canales de distribución
y venta se emplean para los servicios turísticos?
Jueves, 04 Febrero 2021Etapas de desarrollo de la
conciencia
 
COMENTARIOS 1

Invitado - Ivan Carrera en Jueves, 25 Abril 2019

17:01
deseo q me envien actualizaciones con contenido util e
interesante sobre el tema
 0Responder

Invitado
Lunes, 08 Febrero 2021
Suscribirse a este blog (Por favor, introduzca su
dirección de correo electrónico para suscribirse a las
actualizaciones de este post.)
ENVÍA TU COMENTARIO

Más Información
> Máster Big Data Analytics
> Máster en Dirección de Sistemas y Tecnologías de
la Información
> Máster en Ciencia de Datos para Negocios
> Máster Big Data y Business Analytics - Presencial
en España
> Máster en Ciberseguridad - Presencial en España
> Máster en Ciberseguridad
> Máster en Ingeniería Software
> Máster en Ciencias Computacionales y
Telecomunicaciones
SUSCRÍBETE AL BLOG
SUSCRÍBETE A NUESTRO BLOG
PRÓXIMAS CONFERENCIAS
24 de Febrero de 2021

Técnica Lean: 5S
LOGÍSTICA
08 de Febrero de 2021

Nuevos modelos de negocio basados en Datos. DaaS

(Data as a Service)
TECNOLOGÍA
03 de Febrero de 2021

¿Qué vida sueñas? ¡Constrúyela!

EMPRESAS

MARKETING Y COMUNICACIÓN

MEDIO AMBIENTE Y CALIDAD

FINANZAS

TECNOLOGÍA

RECURSOS HUMANOS

SOBRE CEUPE
PSICOLOGÍA Y EDUCACIÓN

DIRECCIÓN DE EMPRESAS

TURISMO

LOGÍSTICA

COMERCIO INTERNACIONAL

LEGISLACIONES LABORALES

ESCUELA INTERNACIONAL
AYUDAS DIRECTAS AL ESTUDIO
PROFESORADO UNIVERSITARIO Y DIRECTIVO

       
Conoce la Oferta Académica de Nuestra
Escuela: Masters y MBA online, Programas de
Postgrado y Cursos de Especialización
© 2021 CEUPE | Centro Europeo de Postgrado y
Empresa - All rights reserved | Aspectos
legales | Política de ventas |
WhatsApp
MENÚ

6. Planes de seguridad y contingencia en los

sistemas de información.
Anónimo
ECURED

Buscar
Navegación
Herramientas wiki
Plan de contingencia en seguridad Informática

Espacios de nombres
 Página
 Discusión
Acciones de página
 Ver código
 Historial
 Plan de contingencia

 Más
Dentro de
la seguridad
informática se
denomina plan
de
contingencia (ta
Concepto Definición de
mbién de
: acciones a realizar,
recuperación de
recursos a utilizar y
desastres o de
personal a emplear
continuación de
en caso de
negocios), a la
producirse un
definición de
acontecimiento
acciones a
intencionado o
realizar, recursos
accidental que
a utilizar y
inutilice o degrade
personal a
los recursos
emplear en caso
informáticos o de
de producirse un
transmisión de datos
acontecimiento
de una
intencionado o
organización.
accidental que
inutilice o
degrade los recursos informáticos o de transmisión de
datos de una organización. Es decir, es la
determinación precisa del quién, qué, cómo, cuándo y
dónde en caso de producirse una anomalía en el
sistema de información.
El plan de contingencia debe considerar todos los
componentes del sistema: Datos críticos, equipo lógico
de base, aplicaciones, equipos físicos y de
comunicaciones, documentación y personal. Además,
debe contemplar también todos los recursos auxiliares,
sin los cuales el funcionamiento de los sistemas podría
verse seriamente comprometido: suministro de
potencia; sistemas de climatización; instalaciones; etc.
Finalmente, debe prever también la carencia de
personal cualificado (por ejemplo, por una huelga que
impida el acceso del mismo) para el correcto
funcionamiento del sistema. Se debe destacar, que
previo al comienzo del trabajo, se debe obtener el
pleno compromiso de los máximos responsables de la
organización. Sin su apoyo decidido y constante, el
fracaso del plan está garantizado.
El plan de contingencias debe ser comprobado de
forma periódica para detectar y eliminar problemas. La
manera más efectiva de comprobar si funciona
correctamente, es programar simulaciones de
desastres. Los resultados obtenidos deben ser
cuidadosamente revisados, y son la clave para
identificar posibles defectos en el plan de
contingencia. Además el plan de contingencia debe
contemplar los planes de emergencia, backup,
recuperación, comprobación mediante simulaciones y
mantenimiento del mismo. Un plan de contingencia
adecuado debe ayudar a las empresas a recobrar
rápidamente el control y capacidades para procesar la
información y restablecer la marcha normal del
negocio.
Sumario
 [ocultar] 

 1 Etapas fundamentales de un Plan de

Contingencia.
o 1.1 Definición general del plan.
o 1.2 Determinación de vulnerabilidades.
o 1.3 Selección de los recursos alternativos.
o 1.4 Preparación detallada del plan.
o 1.5 Pruebas y mantenimiento.

 2 Plan de Recuperación de Desastres

 3 Fuentes
Etapas fundamentales de un Plan de Contingencia.

 Definición general del plan.

 Determinación de vulnerabilidades.
  Selección de los recursos alternativos.
 Preparación detallada del plan.
 Pruebas y mantenimiento.
Definición general del plan.
En esta etapa los altos responsables del organismo
deben establecer: quiénes, y cómo, deben elaborar el
plan, implementarlo, probarlo y mantenerlo; qué
acontecimientos debe contemplar y dónde se debe
desarrollar el plan. Los aspectos principales de esta
etapa son:
Marco del plan.
 ¿Debe limitarse a los equipos centrales?
 ¿Debe incluir los equipos departamentales, PC's
y LAN's?
 ¿Qué procesos son, estratégicamente, más
importantes?
Organización.
 ¿Quiénes deben componer el equipo de
desarrollo del plan?
 ¿Quién será el responsable de este equipo?.
 ¿Cómo se relacionarán con el resto de la
institución?
 ¿Qué nivel de autonomía tendrá el equipo?
 ¿A quién reportará?
Apoyo institucional.
Un alto responsable (idealmente el máximo) de la
institución remitirá una circular a todos los
departamentos involucrados, comunicándoles el
proyecto y su importancia estratégica para el
organismo. Asimismo, debe instar su total
colaboración e informarles de su responsabilidad en la
elaboración del mismo.
Presupuesto.
Debe prever los gastos asociados con:
 La adquisición del paquete informático, o
contratación de la empresa de servicios, para la
elaboración del proyecto.
 Reuniones, viajes, formación del personal.
 Costos del personal que constituye el equipo de
elaboración del plan.
 Almacenamiento externo y transporte de los
soportes de respaldo de la información.
 Adquisición o contratación de equipos.
Determinación de vulnerabilidades.
El propósito es obtener información de las
consecuencias, de todo tipo, que tendría la ocurrencia
de un siniestro.
Identificación de aplicaciones críticas.
Se determinarán las aplicaciones críticas
priorizándolas en orden de importancia. Se obtendrá
así un listado en el que las aplicaciones más vitales,
que ocuparán los primeros lugares de la lista, serán las
que se deban recuperar primero, y siempre en el orden
de aparición.
Identificación de recursos.
Se especificarán los recursos de los que dependen las
aplicaciones críticas. Estos recursos serán: equipo
lógico de base, equipos físicos, de comunicaciones,
etc.
Período máximo de recuperación.
 Cada departamento dependiente de aplicaciones
críticas determinará el período máximo que
puede permanecer sin dichas aplicaciones tras
un colapso de las mismas.
 Como consecuencia, se obtendrá una nueva
lista de aplicaciones según el período máximo
de recuperación. Este período podrá ser de
minutos, horas, semanas, etc.
Las informaciones de los apartados Identificación de
aplicaciones críticas y periodo máximo de
recuperación se obtendrán mediante formularios y
entrevistas a realizar a los máximos responsables de
los departamentos de la organización. Una vez
concluida esta etapa el equipo de desarrollo del PC
deberá obtener la conformidad de los departamentos
implicados y de los máximos responsables de la
institución.
Selección de los recursos alternativos.
Con los datos anteriores es fácil analizar y determinar
las alternativas más convenientes en términos de
costo-rendimiento. Estas alternativas pueden ser
procesos manuales, acuerdos mutuos, salas vacías
("cold-site") o salas operativas ("host-site").
Recuperación manual
Es sólo posible en un número muy escaso y
decreciente con los años de aplicaciones.
Acuerdos mutuos
 Se realizan entre dos instituciones de similar
configuración en sus Tecnologías de la
Información.
 Se precisa que cada institución tenga su PC.
 Las aplicaciones críticas de cada institución
puedan ser soportadas por los recursos
informáticos y de transmisión de datos de la
otra, sin degradar las propias aplicaciones de
ésta.
  Los cambios o actualizaciones de los recursos
sean simultáneos en ambas instituciones.
Con el crecimiento de las aplicaciones en tiempo real y
la interconexión de equipos de diferentes fabricantes,
los acuerdos mutuos se hacen cada vez más difíciles.
Salas vacías
Sólo son viables si la institución puede resistir sin sus
recursos de Tecnologías de la Información durante un
tiempo determinado. Es necesario que el fabricante de
los equipos a reponer se comprometa por escrito a
dicha reposición dentro del período máximo de
recuperación.
Salas operativas.
 Son necesarias si el período máximo de
recuperación es de minutos u horas.
 Una posibilidad es utilizar dos instalaciones
diferentes y separadas, una trabajando
normalmente como centro de desarrollo y otra
de producción. El centro de desarrollo debe
estar dimensionado con la suficiente holgura
para alojar las aplicaciones críticas de
producción caso de ser necesario.
 Otra posibilidad, la más usual, es la
contratación del servicio de respaldo a una
empresa especializada.
Preparación detallada del plan.
Incluye la documentación de las acciones a tomar, los
actores a involucrar, los recursos a emplear,
procedimientos a seguir, etc. en un formato adecuado
para su uso en situaciones críticas. Esta
documentación debe estar disponible en varios lugares
accesibles inmediatamente.
Plan de contingencia de las áreas de servicio.
Comprende el establecimiento del equipo humano de
recuperación, localización de las instalaciones de
emergencia, inventario de recursos de respaldo y su
ubicación, lista del personal involucrado y su
localización en todo momento, lista de empresas a
contactar, sitios de almacenamiento de los soportes de
respaldo de información, etc. Así mismo, se detallarán
los procedimientos de recuperación de las aplicaciones
críticas según su periodo máximo de recuperación.
Plan de contingencia de servicios.
Consta de la documentación de los procedimientos de
recuperación de los servicios con aplicaciones críticas.
Incluye el equipo humano de recuperación, el
inventario de informaciones, localización de las
instalaciones de emergencia, etc.
Plan de almacenamiento de información.
Mientras todos los CPD que se precian disponen de
soportes de respaldo de la información debidamente
almacenados en instalaciones externas, no sucede lo
mismo con los departamentos informatizados
autónomamente. Es vital que estos departamentos
identifiquen, dupliquen y almacenen externamente en
lugares seguros las informaciones críticas. Se
recomienda el establecimiento de una estrategia,
general para toda la institución, de información de
respaldo.
Pruebas y mantenimiento.
Si se quiere garantizar que el plan de contingencia, que
usualmente se realiza durante un período de tiempo no
muy extenso (pocos meses), sea operativo durante
años, esta etapa es absolutamente fundamental. De no
cuidar esta fase, el plan se convertirá en un costoso
ejercicio académico de validez muy limitada en el
tiempo. Un aspecto crucial es la formación del
personal para asegurar que el plan está vigente en cada
momento y funciona correctamente.

Pruebas.
Las pruebas no deben alterar el funcionamiento de los
departamentos, por lo que se pueden realizar pruebas
parciales en estos departamentos aisladamente. Con
mayor periodicidad se pueden realizar pruebas totales,
en horario nocturno o en un fin de semana.
Mantenimiento.
Comprende la actualización del plan según nuevas
aplicaciones se implementen, otras dejen de ser
operativas, se sustituyan equipos, cambie el personal o
su ubicación, varíe la legislación, se transformen los
objetivos estratégicos, etc. Las etapas citadas deben
realizarse consecutivamente en el orden expuesto y
sólo se pasará de una a otra tras haber concluido
satisfactoriamente la previa. El Plan de Contingencias
implica un análisis de los posibles riesgos a los cuales
pueden estar expuestos nuestros equipos de
procesamiento y la información contenida en los
diversos medios de almacenamiento, por lo que
previamente se debe haber realizado un análisis de
riesgo al sistema al cual se le va a realizar el plan de
contingencia.
Plan de Recuperación de Desastres
Es importante definir los procedimientos y planes de
acción para el caso de una posible falla, siniestro o
desastre en el área Informática, considerando como tal
todas las áreas de los usuarios que procesan
información por medio de la computadora. Cuando
ocurra una contingencia, es esencial que se conozca al
detalle el motivo que la originó y el daño producido, lo
que permitirá recuperar en el menor tiempo posible el
proceso perdido. La elaboración de los procedimientos
que se determinen como adecuados para un caso de
emergencia, deben ser planeados y probados
fehacientemente. Los procedimientos deberán ser de
ejecución obligatoria y bajo la responsabilidad de los
encargados de la realización de los mismos, debiendo
haber procesos de verificación de su cumplimiento. En
estos procedimientos estará involucrado todo el
personal de la Institución. Los procedimientos de
planes de recuperación de desastres deben de emanar
de la máxima autoridad Institucional, para garantizar
su difusión y estricto cumplimiento. Las actividades a
realizar en un plan de recuperación de desastres se
pueden clasificar en tres etapas:
 Actividades Previas al Desastre.
 Actividades Durante el Desastre.
 Actividades Después del Desastre.
Fuentes

 Gúia para elaborar un plan de contigencias

 Segu.info Seguridad de la información[1]
 http://sergio.molanphy.net/category/drp/
 Compu Seguridad Seguridad de la
información[2]
Categoría: 
  Ciencias informáticas


 Normativa de privacidad
 EcuRed
 Exoneraciones

SGSI
Información fundamental sobre el significado y
sentido de implantación y mantenimento de los
Sistemas de Gestión de la Seguridad de la Información
ISO/IEC 27005
Adaptación de la guía ISO 31000 para el desarrollo
de metodologías específicas para la seguridad de la
información
PreviousNext
Introducción

Independientemente del tipo de actividad y tamaño,

cualquier organización recopila, procesa, almacena y
transmite información mediante el uso y aplicación de
procesos, sistemas, redes y personas internos y/o
externos.
Todos ellos son activos de información esenciales para
lograr los objetivos de la organización. 
En función del contexto (tipo de industria, entorno de
actuación, ...) y de cada momento particular en que se
desarrollan sus actividades, las organizaciones están
inevitablemente expuestas a situaciones de riesgo en
base a diversos factores que pueden afectar y que, de
hecho afectan, negativamente a los activos de
información más necesarios. 
La supervivencia de las organizaciones depende en
gran medida de una correcta identificación de los
factores más relevantes y la apropiada valoración del
grado de incertidumbre asociado a la posibilidad real
de introducir efectos negativos en los activos de
información y la consecución de los objetivos de la
organización. 
La actuación de las gerencias de las organizaciones
para la gestión anticipada y proporcionada de estos
riesgos conlleva finalmente a estrategías adecuadas
para evitar, transferir o reducir el nivel de exposición
de los activos de información mediante la
implementación de medidas factibles en coste/eficacia
teniendo en consideración las ya existentes y el nivel
de esfuerzo en seguridad que cada organización puede
aplicar partiendo de unos mínimos.

¿Qué es un SGSI?

Confidencialidad: la información no se pone a

disposición ni se revela a individuos, entidades o
procesos no autorizados.

Integridad: mantenimiento de la exactitud y
completitud de la información y sus métodos de
proceso.

Disponibilidad: acceso y utilización de la información

y los sistemas de tratamiento de la misma por parte de
los individuos, entidades o procesos autorizados
cuando lo requieran.
Toda la información almacenada y procesada por una
organización está expuesta ante amenazas de ataque
(por intereses comerciales, intelectuales y/o chatante y
extorsión), error (intencionado o por neglicencia),
ambientales (por ej. inundación o incendio), fallo en
los sistemas (de almacenamiento de datos,
informáticos, redes telemáticas), entre otras y también
está sujeta a vulnerabilidades que representan puntos
débiles inherentes a su propio uso en el ciclo de vida
representado a continuación.
Permitir que una información precisa y completa esté
disponible de manera oportuna para aquellos
autorizados que tienen una necesidad es un catalizador
para la eficiencia del negocio.
Para poder interrelacionar y coordinar las actividades
de protección para la seguridad de la información,
cada organización necesita establecer su propia
política y objetivos para la seguridad de la información
dentro de la coherencia del marco de globales de la
organización.
Una vez fijados los objetivos en seguridad de la
información necesitamos asegurar el modo de poder
lograrlos eficazmente, en definitiva, un sistema de
gestión de la seguridad de la información o SGSI en su
forma abreviada.
Por tanto, un SGSI consiste en el conjunto de políticas,
procedimientos y directrices junto a los recursos y
actividades asociados que son administrados
colectivamente por una organización, en la búsqueda
de proteger sus activos de información esenciales.
Un SGSI desde la visión de el estándar internacional
ISO/IEC 27001 es un enfoque sistemático para
establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la información de
una organización y lograr sus objetivos comerciales
y/o de servicio (p.ej. en empresas públicas,
organizaciones sin ánimo de lucro, ...).
El alcance de un SGSI puede incluir, en función de
dónde se identifiquen y ubiquen los activos de
información esenciales, totalco sólo un parte de la
organización, funciones específicas e identificadas de
la organización, secciones específicas e identificadas
de la organización, o una o más funciones en un grupo
de organizaciones. 
El término seguridad de la información generalmente
se basa en que la información se considera un activo
que tiene un valor que requiere protección adecuada,
por ejemplo, contra la pérdida de disponibilidad,
confidencialidad e integridad.
Cada organización puede extender e integrar en un
SGSI las tres características básicas iniciales de
definición de la seguridad a otras adicionales como
suelen ser la autenticidad, trazabilidad, no repudio,
auditabilidad,... según se considere oportuno para
cumplir con los requerimientos internos y/o externos
aplicables en cada actividad.

Beneficios

Confianza y satisfacción de los requisitos de seguridad

de la información por los clientes y otras partes
interesadas
Establecimiento de una metodología de gestión de la
seguridad clara y estructurada cumpliendo con los
reglamentos, la legislación y las exigencias de la
industria
Gestionar los activos de información de manera
organizada que facilite la mejora continua y el ajuste a
los objetivos organizacionales en cada momento sin
una compra sistemática de productos y tecnologías
Reducción del riesgo de pérdida, robo o corrupción de
información con la posibilidad de continuar la
actividad después de un incidente grave (debido
cuidado y diligencia)

Implantación
El siguiente diagrama descargable es orientativo sobre
las fases de un proyecto de implantación de un SGSI
(desarrollado y compartido en abierto por miembros
internacionales del "Foro de implementación ISO
27k").

Las actividades propias para la implantación inicial de

un SGSI y su posterior mantenimiento se deben
considerar como un proyecto más que aborda la
organización mediante la determinación de
unas actividades críticas para el éxito del proyecto que
llevan asociadas una planificación con los
responsables principales, los recursos necesarios y los
posibles riesgos asociados al proyecto..

La siguiente información documentada mínima es

requerida para un SGSI atendiendo a las cláusulas del
estándar ISO/IEC 27001:2013:
1
Alcance SGSI (4.3)
El alcance del SGSI aclara los límites del SGSI en
función del contexto y/o importancia y ubicación de
los activos críticos de información de la organización
(por ejemplo, unidades, ubicaciones o departamentos)
y los riesgos propios o externos asociados (p.ej. leyes
y reglamentos, obligaciones contractuales, estrategias
y políticas impuestas por organismos centrales).

Se debe tener en cuenta los flujos de información que

cruza los límites del alcance.

Una estrategia de alto nivel impulsada por la

organización o una declaración de visión (ya sea hecha
o al menos formalmente respaldada por la alta
gerencia) es una forma de cristalizar tanto el alcance
como el propósito de aplicación del SGSI, y puede ser
útil para fines de concientización así como de
promoción.
2
Política del SGSI (5.2)
Establece y confirma el compromiso de la alta
dirección con los objetivos de seguridad de la
información de la organización y la mejora continua
del SGSI, entre otros posibles aspectos relevantes.
La alta gerencia puede preferir una política de tipo de
gobierno única, sucinta, amplia / general (que satisfaga
formalmente el requisito de ISO), completada con otro
conjunto adicional de políticas complementarias de
riesgo, seguridad, cumplimiento, privacidad y otras
políticas, procedimientos, pautas, etc. (Anexos
A5, A6.2.1, A9.1.1, A10.1.1, ...) o puede adoptar un
enfoque diferente.

3
Evaluación de riesgos
(6.1.2, 8.2)
Cada organización debe determinar el proceso más
apropiado disponiendo de ayudas más directas las
guías ISO/IEC 27005 e ISO 31000.

Los auditores esperan un proceso estructurado y

repetible, es decir, un procedimiento documentado de
evaluación de riesgos que explique cómo se
identifican, analizan (p. ej. en base a posibles
consecuencias y probabilidades de ocurrencia),
evaluan (p. ej. aplicando criterios específicos para la
aceptación del riesgo) y priorizan los riesgos
relacionados con los activos de información más
relevanes del alcance (p.ej. en atención a niveles de
riesgo definidos).

Las revisiones y actualizaciones periódicas y/o por

cambios sustanciales que afronta la organización son
requeridas para reflejar los cambios en los riesgos
antes de que se produzcan para mantener un enfoque
preventivo y de anticipación en acciones mitigadoras o
de control.

Informes relevantes, entradas en su registro de riesgos

con descripciones de riesgos, propietarios de riesgos
identificados, etc. y métricas para demostrar su
funcionamiento son información documentada típica
de apoyo adicional.

Como ejemplos de operación (8.2) los informes de

evaluación de riesgos, métricas de riesgos, listas
priorizadas de riesgos, inventarios o catálogos de
riesgos de información o entradas de riesgos de
información en inventarios/catálogos de riesgos
corporativos, etc. debates que surgen, memorandos
formales, correos electrónicos que expresan
preocupaciones sobre ciertos riesgos, o similares.

En definitiva, recopile evidencia material suficiente

para tranquilizar a los auditores de que el proceso está
generando resultados útiles sobre los riesgos de la
información.
4
Declaración de aplicabilidad (6.1.3)
Conocida también como SoA (por sus siglas en inglés)
establece los riesgos de información y los controles de
seguridad que son relevantes y aplicables al SGSI de
su organización, como resultado de la determinación
de sus evaluaciones periódicas del riesgo o según lo
exijan las leyes, reglamentos o buenas prácticas.

Para conocer en detalle las posibles acciones de

implantación que se pueden acometer de los controles
recomendados en el Anexo A de ISO/IEC 27001
puede hacer una referencia cruzada directa con la guía
de implementación ISO/IEC 27002 y/o con cualquier
otra fuente alternativa o suplementaria como NIST
SP800-53, ISO/IEC 20000, ISO 22301, ISO 22313,
IT-Grundschutz, el Estándar de Buenas Prácticas del
ISF,Esquema Nacional de Seguridad, ... (consultar la
sección dedicada a otros estándares relacionados), así
como una variedad de leyes y principios en privacidad,
entre otros.

La función esencial del documento SoA es evidenciar

que los controles recomendados en el Anexo A de
ISO/IEC 27001 se aplican cuando están dentro del
alcance y son apropiados para su organización o, por
el contrario, no se justifica el esfuerzo de su aplicación
por diferentes decisiones de gestión estratégicas o de
coste/efectividad que deben ser formalmente
registradas y justificadas para convencer a los
auditores de que no los ha descuidado, ignorado o
excluido arbitrariamente o de forma inavertida.

5
Tratamiento de riesgos (6.1.3, 8.3)
La evidencia típica incluye una política y/o
procedimiento por escrito para decidir e implementar
consistentemente aquellos planes de tratamiento del
riesgo adecuados.

Proporcionar informes relevantes, los planes de

tratamiento de riesgos relacionados con aquellas
situaciones no deseadas/inaceptables por la dirección,
entradas en su registro de riesgos, métricas, etc. son
formas de convencer a los auditores de que el proceso
funciona correctamente.

Otras preferencias en forma de listas, estructuras de

matriz o base de datos, una programación para el
control de tareas o plan de proyecto o similares son
requeridos para explicar el proceso a través del cual
los riesgos de información se van a controlar o están
siendo controlados en base a evidencias como métricas
que muestren el grado de eficacia en forma de
reducción en la frecuencia y/o gravedad de posibles
incidentes según el riesgo específico que se está
tratando.

Particularmente cuando se aceptan riesgos sustanciales

(incluidos los riesgos residuales) debe quedar
evidencia como las firmas del riesgo relevante o los
propietarios de activos que lo reconocen formalmente
aceptando así la responsabilidad por cualquier
incidente que surja.
6
Objetivos y planes (6.2)
El requisito de ISO de "retener información
documentada sobre los objetivos de seguridad de la
información" puede adoptar distintas formas.

Un enfoque habitual es comenzar con los

compromisos declarados en la política del SGSI
("marco para los objetivos") derivando de ellos el
riesgo de la información y los objetivos de seguridad
de forma más precisa.

Los objetivos, a diferencia de las declaraciones de la

política, sí deben determimar qué se realizará, con qué
recursos, quién es el responsable, cuándo se debe
completar y cómo se evalúan los resultados de los
objetivos. De este modo se constata el grado de
cumplimiento alcanzado de los compromisos de la
política del SGSI y su nivel de eficacia para acometer
posibles mejoras y en qué dirección según los
resultados.

Los objetivos pueden estructurarse en unos pocos de

alto nivel respaldados por otros objetivos de control de
nivel inferior y/o controles y/o métricas según el caso
que determine cada organización.

7
Competencias (7.2)
"Retener información documentada como evidencia de
la competencia" es muy variable según el tamaño de la
organización y el número de personas implicadas en el
alcance del SGSI.

Confiar en los registros de recursos humanos que

documenten la experiencia relevante, habilidades,
calificaciones, cursos de capacitación (entre otros) es
habitual.

Por otra parte, hay que considerar funciones y

responsabilidades específicas para las personas
asignadas a los roles relacionados con el SGSI y que
pueden extenderse a otras funciones y personas
relacionadas con los riesgos de la seguridad de la
información (seguridad física, gobernanza, privacidad,
continuidad del negocio, cumplimiento penal, ...).

Matrices de relación de personas con roles de acuerdo

con sus conjuntos de habilidades y/o tablas RASCI son
igualmente representaciones útiles simplificadas y
directas.
8
Planificación y control operacional y métricas (8.1,
9.1)
Mantener "información documentada en la medida
necesaria para tener la confianza de que los procesos
se han llevado a cabo según lo previsto" implica, en
términos generales, disponer de información de
gestión relacionada con el SGSI.

Aunque los detalles varían según la organización,

debería ser claramente evidente a partir de la
documentación de que el SGSI está en funcionamiento
con el nivel de eficacia requerido y con acciones de
corrección y/o de mejora según sea oportuno.

Ejemplos representativos (el volumen y variedad

dependerá del caso particular de cada SGSI
implementado) pueden ser presupuestos, recuentos de
personal e informes de progreso con métricas
relevantes, estrategias, planes, políticas,
procedimientos y pautas de seguridad de la
información, además de actividades de cumplimiento
relacionadas para verificar/medir, hacer cumplir y
reforzar el cumplimiento, así como, registros
generados por o información que surge de los
procedimientos/actividades, y otra documentación
como informes posteriores a incidentes, informes de
pruebas de seguridad, evaluaciones de productos de
seguridad, evaluaciones de vulnerabilidad,
evaluaciones de impacto comercial, acciones
preventivas o correctivas, arquitecturas y diseños de
seguridad...
9
Auditorías internas y revisión por la dirección (9.2,
9.3)
Los informes de auditoría interna del SGSI son la
evidencia más directa que documenta los principales
hallazgos, conclusiones y recomendaciones de la
auditoría con la posibilidad de comunicar no
conformidades y acciones correctivas, mejoras.

Es necesario que los informes de auditoría atiendan a

una programación de las auditorías en base a
calendarios, presupuestos y asignaciones de días de
trabajo del auditor, alcances de cada auditoría,
archivos de documentos de trabajo de auditoría con
hallazgos de auditoría detallados y evidencia (como
listas de verificación completadas), recomendaciones
de auditoría, planes de acción acordados y notas de
cierre, etc.

La imparcialidad y la competencia de los profesionales

designados para auditar los requistos del SGSI en el
sector industrial de actividad de la organización y a sus
sistemas de gestión de la información debe
garantizarse (7.2).

Los informes de revisión de la eficacia en la gestión

del SGSI por parte de la dirección en base a una
frecuencia predeterminada pueden verificarse
mediante calendarios, presupuestos,
alcances, documentos de trabajo con evidencia,
recomendaciones, planes de acción, notas de cierre,
etc. o cuestiones planteadas en los propios informes.
10
No conformidades y acciones correctivas (10.1)
Las no conformidades son requisitos del SGSI parcial
o totalmente insatisfechos.

El origen de los requisitos es obviamente el estándar

ISO/IEC 27001 pero también surgen de las
necesidades aplicadas por la propia organización
(estrategias, políticas, procedimientos, pautas) o por
partes externas a ella (leyes, regulaciones y contratos)
en relación a las actividades del alcance del SGSI.

Pueden documentarse en forma de problemas, eventos,

incidentes, hallazgos de auditoría y revisión, quejas, o
simplemente como "no conformidades" típicamente
en formularios de no conformidad/acción correctiva.

Los auditores de certificación deben verificar que las

no conformidades se identifican, investigan en sus
causas de origen, informan, abordan y resuelven
rutinaria y sistemáticamente.
Mantener un registro o índice de no conformidades,
junto con la evidencia cuidadosamente presentada de
las acciones emprendidas en respuesta a las no
conformidades, tales como:

- Reacción inmediata de contención o reparación de la

no conformidad;

- Análisis de causa raíz para evitar recurrencias;

- Aplicación y resultados finales de la acción

correctiva, incluida la revisión de su efectividad y
finalización/cierre/aprobación de la no conformidad.
Existe información documentada adicional asociada a
los SGSI que, aunque no es estríctamente requerida es
habitualmente generada según las necesidades,
habitualmene más volumen cuanto mayor es la
organización y/o el alcance definido para el SGSI. 

Aspectos clave

¡La falta de liderazgo es el principal motivo de fracaso

en la gestión eficaz del riesgo!
Sin liderazgo la gestión del riesgo provocará una
enorme confusión 
Establecer una política, objetivos y planes en
seguridad de la información.

Descripciones vagas, poco claras o excesivamente

generales en cómo la seguridad de la información
ayuda a toda la organización a alcanzar los objetivos
globales provocan desorientación y confusión en toda
la organización.

Es esencial que cada empleado y colaborador externo

tenga referencias específicas de cómo aporta a los
objetivos del SGSI desde su puesto de trabajo.
Establecer roles y responsabilidades de seguridad de la
información.

Las labores relacionadas con el liderazgo pueden

delegarse pero no las responsabilidades asociadas

Comunicar a la organización tanto la importancia de

lograr los objetivos de seguridad de la información y
de cumplir con la política de seguridad, como sus
responsabilidades legales y la necesidad de mejora
continua.
¡La falta de recursos es segunda razón de fracaso
en la gestión del riesgo!

El liderazgo incluye determinar los criterios y

tolerancia del riesgo, priorización del riesgo, delegar la
autoridad y la toma oportuna de decisiones para el uso
de los recursos.

La entidad que toma las decisiones debe disponer de

una autoridad definitiva para decisiones de control, de
uso de recursos y delegación de acciones.
Realizar revisiones del SGSI con el resultado de las
auditorías internas realizadas, entre otros puntos de
norma (9.3).

¡La falta de acciones oportunas es la tercera causa

de fracaso en la gestión del riesgo!

Las acciones deberían tener designados propietarios

para cada acción a modo de responsables de informar
sobre el progreso a los líderes.

Sin acciones oportunas, la organización experimentará

una prolongada exposición al riesgo.
 Definición clara de un alcance
apropiado. - Mantener la sencillez y restringirse a
un alcance manejable y reducido: un centro de
trabajo, un proceso de negocio clave, un único
centro de proceso de datos o un área sensible
concreta; una vez conseguido el éxito y
observados los beneficios, ampliar gradualmente
el alcance en sucesivas fases. Indicar las
inclusiones con mapas de procesos de alto nivel,
diagramas que representen instalaciones o
infraestructuras de servicios TI, conexiones de
telecomunicaciones, entre otros, ayuda a entender
mejor que funciones, servicios, departamentos,
delegaciones, ... están dentro o fuera del alcance
en atención a los intereses de las partes
interesadas y requisitos legales y reglamentarios
analizados en el momento inicial de implantación
del SGSI pero también durante sus revisión
periódica.
 Concienciación y formación del personal .
- Determinar las competencias necesarias para el
personal que realiza tareas en aplicación del SGSI
y satisfacer dichas necesidades por medio de
formación o de otras acciones (p.ej. contratación
de personal ya formado). Evaluar la eficacia de las
acciones realizadas manteniendo registros de
estudios, formación, habilidades, experiencia y
cualificación. 
 Proceso de evaluación de riesgos adecuada. - Es
habitual comprobar que las organizaciones aplican
metodologías inadecuadas por pensar
érroneamente que el estándar ISO/IEC 27001
"obliga" a aplicar ciertas metodologías
determindas y/o herramientas software que se
autodenominan "compliance" con la norma o con
"ISO 31000". Tampoco es siempre acertado
pensar que si otras organizaciones se han
certificado utilizando una metodología concreta
esa misma va a funcionar y ser comprensible en
nuestra organización. Cada organización debería
valorar varios tipos de metodologías hasta
confirmar la más adecuada según la cultura y
esfuerzo de análisis asociado.
 Organización y comunicación. - Especialmente
en situaciones que requieren de una respuesta
rápida y eficaz como es la gestión adecuada de la
continuidad de negocio, de los incidentes de
seguridad, del cumplimiento legal y de la
externalización de cadenas de provisión. La
gestión apropiada de la comunicación con medios
internos y externos es fundamental para evitar
situaciones de crisis que impacten la imagen de la
empresa o, al menos, limitar el impacto al mínimo
posible.  
 Integración del SGSI en la organización.
- Como en otros aspectos relevantes (p.ej.
seguridad y salud laboral, seguridad física o
mediambiental) conseguir que las medidas en
seguridad de la información formen parte de los
hábitos y procedimientos aplicados por todas las
personas en sus actividades laborales implica un
cambio más o menos drástico en los
comportamientos que requiere de tiempo y
esfuerzo para corregir/reconducir situaciones de
resistencia. Un SGSI que se "alimenta"
puntualmente de registros de actividad sin una
atención real en las actividades diarias suele verse
por el personal como una carga al tener "algo más
que atender" que debe ser corregido lo antes
posible y que demuestra un grado muy bajo de
madurez y eficacia en la implantación y
mantenimiento del SGSI. El nuevo formato de
publicación de todos los sistemas de gestión bajo
un mismo esquema de cláusulas (denominado
Anexo SL) facilita enormemente la integración de
dos o más sistemas de gestión en la misma
dinámica de integración con el negocio, incluso la
integración de otras demandas legales,
regulatorias y normativas no necesariamente
publicadas por "ISO".
  Nosotros
 Reconocimientos
 Contacto
 Principios
 FAQs
© 2005 Aviso Legal - Términos de uso información
iso27000.es

Blog: Simplificando la tecnología

Menú
La Seguridad de la Información
en Seguridad
Conocer y aplicar los cuatro pilares de la seguridad de
la información es la base para una actitud ciber-
resiliente, pero ¿sabes en qué consiste la ciber-
resiliencia?
La ciber-resiliencia es la capacidad de una
organización de gestionar el riesgo existente y
superarlo con un mínimo impacto para la
organización. Por lo tanto, es importante disponer de
soluciones tecnológicas que aseguren la protección,
conocer en todo momento el estado de protección de
nuestra infraestructura y contar con las herramientas
adecuadas para una gestión eficiente que garantice la
continuidad en caso de ciberataque. [Más información
sobre la ciber-resiliencia aquí]
GDPR: cambios en la seguridad de la información
Con la entrada en vigor de la GDPR el 25 de mayo de
2018  cambia el tratamiento y la protección de los
datos personales y sensibles de los ciudadanos
europeos con el objetivo de reforzar la privacidad de
la información y que concede a los individuos control
total sobre sus datos. [Más información sobre cómo
adaptarte a la GDPR aquí]
Principales cambios y diferencias que introduce la
GDPR frente a la antigua LOPD:
 

SISTEMA DE INFORMACION CONTABLE

Parte II

1. Preparar un catalogo de cuentas de una empresa

_______________________
(Tipo de empresa asignada por el maestro)
2. Diseñar de acuerdo a la estructura del catalogo
que elaboro un recuadro donde indique por cada
uno de sus componentes como estos dan soporte
al sistema de información de la empresa las
diferentes cuentas que le componen, ejemplo:
Activos
Efectivo – Datos que provee a la empresa para el
SIC.