La versión en línea recibe un poco más de 30,000 visitias al mes, y cada vez son más, en su mayoría docentes en Guatemala.
Puedes verlo aquí: cnbguatemala.org
#Guatemala – Currículum Nacional Base del MINEDUC en linea
Responder
Diagnostico de Norma ISO/IEC270001
5 POLÍTICA DE SEGURIDAD –
5.1 Política de seguridad de la información:
Objetivo: Proporcionar orientación y apoyo de la dirección para la seguridad de la información, de acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes
5.1.1 Documento de política de seguridad de la información
La dirección debe establecer una orientación clara de la política, alineada a los objetivos de negocio, y que demuestre su apoyo y compromiso con la seguridad de la información
Comunicación a todos los empleados y a las partes externas pertinentes
Cumplimiento de los requisitos legislativos, reguladores y contractuales
Requisitos de educación, formación y concientización en seguridad
Considerar la gestión de la continuidad del negocio bien como las consecuencias de las violaciones a la política de seguridad de la información
5.1.2 Revisión de la política de seguridad de la información
La política de seguridad de la información debe ser revisada en intervalos planificados o si se producen cambios significativos, para asegurar la continuidad de su idoneidad, adecuación y efectividad
Ejemplos de entradas para la revisión por la dirección: a) retroalimentación de las partes interesadas; b) resultados de la revisiones independientes c) estado de las acciones correctivas y preventivas d) desempeño de los procesos y conformidad con la política de seguridad de la información e) incidentes de seguridad de la información reportados
La salida de la revisión por la dirección debe incluir :
mejora del enfoque de la organización a la gestión de la seguridad de la información y a sus procesos;
mejora de los objetivos de control y de los controles;
mejora en la asignación de recursos y/o responsabilidades Se debe mantener un registro de la revisión por la dirección y obtener la aprobación de la dirección para la política revisada.
6 Organización de la seguridad de la información
6.1 Organización interna :
Objetivo: Gestionar la seguridad de la información dentro de la organización
6.1.1 Compromiso de la dirección con la seguridad de la información: La dirección debe aprobar activamente la seguridad dentro de la organización. Acciones de la dirección:
a)Formular, revisar y aprobar la política de seguridad de la
información
b)Revisar la efectividad de la implementación de la política de seguridad de la información
Probar una orientación clara y apoyo visible hacia
las iniciativas de seguridad de la información
Proveer los recursos necesarios para la seguridad
Apoyar planes y programas para mantener la concientización en seguridad
6.1.2 Coordinación de la seguridad de la información
Se debe involucrar la participación y colaboración de directores, administradores, TI, RH, auditores, personal de seguridad y especialistas
Evaluar la adecuación y coordinación de la implementación de los controles de seguridad de la información
Promover en forma efectiva la educación, formación y concientización en seguridad de la información a través de la organización
Evaluar los incidentes de seguridad de la información y las acciones recomendadas en respuesta a los mismos
6.1.3 Asignación de responsabilidades sobre seguridad de la información
Todas las responsabilidades de seguridad de la información deben ser claramente definidas Se recomienda a la organización:
Evaluar, identificar y definir claramente los activos y los procesos de seguridad asociados con cada sistema
Asignar la entidad responsable de cada activo o proceso de seguridad y documentar los detalles de dicha responsabilidad
Designar un propietario de cada activo de información, que se convierte así, en responsable de su seguridad cotidiana.
6.1.4 Proceso de autorización para instalaciones de procesamiento de información
Definir e implantar un proceso de autorización por parte de la dirección para nuevas instalaciones de procesamiento de información
Comprobar donde sea necesario, que el hardware y el software sean compatibles con los demás dispositivos del sistema
Obtener autorización para asegurar que se cumple con todas las políticas y requisitos de seguridad de la información
Identificar e implementarse controles cuando del uso de procesamiento de información personales o privados por ejemplo: Computadoras portátiles, computadoras de uso doméstico u otros dispositivos portátiles
6.1.5 Acuerdos de confidencialidad
Identificar y revisar con regularidad los requisitos de los acuerdos de confidencialidad o de no-divulgación
Definir la información a ser protegida (por ejemplo :información confidencial);
Definir la duración prevista del acuerdo
Tomar acciones en caso de ruptura del acuerdo.
Cumplir con todas las leyes y regulaciones de la jurisdicción a la cual se aplican
6.1.6 Contacto con autoridades
Mantener contactos apropiados con las autoridades relevantes : -Cumplimiento de leyes -Departamento de bomberos -Autoridades de supervisión
6.1.7 Contacto con grupos de interés especial
Mantener contactos apropiados con los grupos de interés especial u otros foros especializados en seguridad, así como asociaciones de profesionales
Incrementar el conocimiento sobre las mejores prácticas y mantenerse al día con la información relevante sobre seguridad
Obtener acceso a asesoría especializada sobre seguridad de la información
Revisar la gestión de la seguridad de la información y su implementación independientemente, a intervalos planificados, o cuando ocurran cambios significativos en la implementación de la seguridad
Realizar la revisión por individuos independientes del área a revisar, por ejemplo por el cargo de auditoría interna, un gerente independiente o una organización externa especializada en estas revisiones.
Mantener los registros de la revisión
6.2 Partes externas:
Objetivo: Mantener la seguridad de la información de la organización y de las instalaciones de procesamiento de información a las que tienen acceso las partes externas, o que son procesadas, comunicadas o gestionadas por éstas
6.2.1 Identificación de los riesgos relacionados con partes externas Se recomienda a la organización:
Identificar los riesgos para los procesos de negocio que involucran partes externas, y se recomienda implementar controles apropiados antes de otorgar el acceso.
Considerar en la identificación de los riesgos:
-Las instalaciones de procesamiento de la información a los cuales requiere acceso la parte externa
-El tipo de acceso que la parte externa tendrá a la información y a las instalaciones de procesamiento de la información
-Los controles necesarios para proteger la información que no ha sido prevista que sea accesible por las partes externas
Ejemplos de partes externas:
proveedores de servicios, como ser proveedores
de servicios de Internet (ISPs), proveedores de red,
servicio telefónico, servicios de mantenimiento y soporte
b)servicios de seguridad
contratación externa de instalaciones, por ejemplo: sistemas de TI, servicios de recolección de datos, operaciones del centro de
llamados
desarrolladores y proveedores, por ejemplo: de productos de software y de sistemas de TI
e)limpieza, abastecimiento y otros servicios de soporte contratados externamente
personal temporal, colocación de estudiantes y otros cargos de corto plazo ocasionales.
6.2.2 Tener en cuenta la seguridad cuando se trata con clientes
Tratar todos los requisitos de seguridad identificados, antes de brindarles a los clientes acceso a activos o información de la Organización. Considerar:
a)Protección de activos
b)Descripción del producto y servicio a ser provisto c)Las diferentes razones, requisitos y beneficios del acceso del cliente
d)Política de control de acceso
e)Una descripción de cada servicio que debe estar disponible
f)El nivel a alcanzar por el servicio y los niveles inaceptables del servicio
6.2.3 Tener en cuenta la seguridad en los acuerdos con terceras partes
Los acuerdos con terceros deben cubrir todos los requisitos pertinentes de seguridad de la información. Considerar:
Asegurar la concientización del usuario sobre responsabilidades y aspectos de la seguridad de la información
El reporte y la notificación y de los incidentes de seguridad de la información y las brechas de seguridad, así como violaciones de los requisitos establecidos en los acuerdos
El nivel a alcanzar por el servicio y los niveles inaceptables del servicio
El derecho al seguimiento y a revocar cualquier actividad relacionada con los activos de la organización
7 Gestión de activos
7.1 Responsabilidad sobre los activos:
Objetivo: Implementar y mantener una adecuada protección sobre los activos de la organización
7.1.1 Inventario de activos : Todos los activos deben tener un responsable y se recomienda asignar a un propietario para cada uno de ellos Esto incluye tipo de activo, formato, localización, información del respaldo, información de licencias e importancia para el negocio
Ejemplos de activos :
a) Información: archivos y bases de datos, contratos, documentación de sistemas, procedimientos operativos , planes de continuidad del negocio
b)Activos de software: software de aplicación, software de sistemas, herramientas de desarrollo y utilitarios
c)Activos físicos: computadoras, equipos de comunicaciones, medios removibles y otros equipos
d)Servicios: calefacción, iluminación, suministro de energía y aire acondicionado
e)Recursos humanos f)Intangibles
7.1.2 Propiedad de los activos: Toda la información y los activos asociados con las instalaciones de procesamiento de la información deben pertenecer a un propietario designado por la organización
7.1.3 Uso aceptable de los activos: Todos los empleados, contratistas y usuarios de terceras partes deben seguir las reglas para el uso aceptable de la información y de los activos asociados con las instalaciones de procesamiento de la información.
Ejemplo: reglas para el uso del correo electrónico e Internet
7.2 Clasificación de la información:
7.2.1 Directrices de clasificación: La información debe ser clasificada en términos de sus requisitos legales, sensibilidad y criticidad para la organización
7.2.2 Etiquetado y manejo de la información: Los procedimientos para el etiquetado y el manejo de la información basado en el sistema de clasificación de la información, deberán ser definidos e implementados . La información debe ser clasificada en cuanto a su valor para la organización.
Ejemplo:
a)CONFIDENCIAL
b)RESERVADA
c)INTERNA
8 Seguridad ligada a los recursos humanos
8.1 Previo al empleo:
Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades, y que sean aptos para los roles para los cuales están siendo considerados, y para reducir el riesgo de hurto, fraude o mal uso de las instalaciones
8.1.1 Roles y responsabilidades
Los roles y responsabilidades de la seguridad de la información deben ser definidos y comunicados a los candidatos a puestos durante el proceso de pre-empleo 8.1.2 Selección
Deben ser realizadas las verificaciones de antecedentes en todos los candidatos al empleo, contratistas y usuarios de terceras partes de acuerdo con las leyes, regulaciones y normas éticas relevantes, en proporción a los requisitos del negocio, la clasificación de la información a ser accedida, y los riesgos percibidos. 8.1.3 Términos y condiciones de empleo
Los empleados, contratistas y usuarios de terceras partes deben acordar y firmar los términos y condiciones de su contrato de empleo, el cual deben declarar las responsabilidades de él y de la organización para la seguridad de la información.
8.2 Durante al empleo:
Objetivo: Asegurar que los empleados, contratistas y usuarios de terceras partes sean conscientes de las amenazas y la pertinencia de la seguridad de la información, de sus responsabilidades y obligaciones, y estén equipados para sustentar la política de seguridad de la organización en el curso de su trabajo normal, y para reducir el riesgo de errores humanos.
8.2.1 Responsabilidades de la dirección
La dirección debe solicitar a los empleados, contratistas y usuarios de terceras partes que apliquen la seguridad de acuerdo a las políticas y los procedimientos establecidos por la organización. 8.2.2 Concientización, educación y formación en seguridad de la información
Todos los empleados y, donde sea relevante, contratistas y usuarios de terceras partes deben recibir formación adecuada en concientización y actualizaciones regulares en políticas y procedimientos organizacionales, relevantes para su función laboral.
8.2.3 Proceso disciplinario
Debe ser establecido un proceso disciplinario formal para empleados que han perpetrado una violación a la seguridad.
8.3 Finalización o cambio de la relación laboral o empleo:
Objetivo: Asegurar que los empleados, contratistas o usuarios de terceras partes se desvinculen de una organización o cambien su relación laboral de una forma ordenada.
8.3.1 Responsabilidades en la desvinculación
Las responsabilidades en la desvinculación deben ser claramente definidas y atribuidas
Las responsabilidades y obligaciones contenidas en los contratos de los empleados, contratistas o terceras partes, deberán ser válidas, incluso luego del cierre de actividades
8.3.2 Devolución de activos
Empleados, contratistas y usuarios de terceras partes deben devolver todos los activos de la organización que estén en su posesión como consecuencia de la finalización de su relación laboral, contrato o acuerdo.
8.3.3 Remoción de derechos de acceso
Los derechos de acceso de todo empleado, contratista o usuario de terceras partes a información e instalaciones de procesamiento de la información deben ser removidos como consecuencia de la desvinculación de su empleo, contrato o acuerdo, o ajustado cuando cambia
9 Seguridad física y del ambiente
9.1 Áreas Seguras :
Objetivo: Evitar accesos físicos no autorizados, daños e interferencias contra las instalaciones y la información de la organización
9.1.1 Perímetro de seguridad física
9.1.2 Controles de accesos físico
9.1.3 Seguridad de oficinas, despachos e Instalaciones
9.1.4 Protección contra amenazas externas y del ambiente
Debe ser planeada e implementada la protección contra incendios, inundaciones, terremotos, explosiones, disturbios civiles, y por otras formas de desastre natural o artificial
Los equipamientos de reserva y los medio de respaldo deben estar localizados a una distancia prudente para evitar daños producto de un desastre que afecten al emplazamiento principal;
9.1.5 El trabajo en las áreas seguras
9.1.6 Áreas de acceso público, de entrega y de carga
9.2 Seguridad del equipamiento:
Objetivo: Prevenir pérdidas, daños, hurtos o comprometer los activos así como la interrupción de las actividades de la organización 9.2.1 Ubicación y protección del equipamiento
9.2.2 Elementos de soporte
Contempla otros elementos de soporte además del suministro de energía
9.2.3 Seguridad en el cableado
9.2.4 Mantenimiento del equipamiento
9.2.5 Seguridad del equipamiento fuera de las instalaciones de la organización
9.2.6 Seguridad en la reutilización o eliminación de equipos
9.2.7 Retiro de bienes
Equipamientos, información o software no deben ser retirados de su localización sin autorización previa
Se recomienda identificar aquellos empleados, contratistas y usuarios de terceras partes que tengan autoridad para permitir el retiro de activos, fuera de los locales de la organización;
10 Gestión de comunicaciones y operaciones
10.1 Procedimientos operacionales y responsabilidades:
Objetivo: Asegurar la operación correcta y segura de las instalaciones de procesamiento de información
10.1.1 Procedimientos documentados de Operación: La gestión de las pistas de auditoría y de la información del registro del sistema
10.1.2 Gestión de cambios
Planificación y pruebas de los cambios; 10.1.3 Segregación de tareas
Verificar que ninguna persona pueda tener acceso, modificar o utilizar activos sin autorización o detección.
10.1.3 Separación de los recursos para desarrollo, prueba y producción
10.2 Gestión de la entrega del servicio por terceras partes :
Objetivo: Implementar y mantener un nivel apropiado de la seguridad de la información y la entrega del servicio, acorde con los acuerdos de entrega del servicio por terceras partes
10.2.1 Entrega del servicio
Definir los requisitos de seguridad de la información con un usuario de terceras partes
Asegurar que un usuario de terceras partes tenga la capacidad de cumplimiento y planificación que garantice que los niveles de continuidad de servicios acordados sean mantenidos después de una falta de servicios o un desastre
10.2.2 Supervisión y revisión de los servicios por terceras partes
Realizar seguimiento a los niveles de desempeño de los servicios y analizar los informes
Brindar información sobre los incidentes en seguridad de la información 10.2.3 Gestión de cambios en los servicios de terceras partes
Considerar los cambios realizados por la organización (mejoras de los servicios, nuevas aplicaciones o actualizaciones)
Considerar los cambios en los servicios de usuarios de terceras partes (uso de nuevas tecnologías, nuevos productos, cambios de localización física, nuevas asociaciones)
10.3 Planificación y aceptación del sistema:
Objetivo: Minimizar el riesgo de fallos de los sistemas.
10.3.1 Gestión de la capacidad. Realizar proyecciones de los futuros requisitos de capacidad
10.3.2 Aceptación del sistema
10.4 Protección contra código malicioso y código móvil:
Objetivo: Proteger la integridad del software y de la información
10.4.1 Controles contra código malicioso
10.4.2 Controles contra código móvil
Evitar la ejecución de código móvil no autorizado
Asegurar que lo código móvil no autorizado tenga su ejecución impedida
Bloquear cualquier tipo de uso de código móvil no autorizado
Controlar los recursos disponibles para el acceso al código móvil
Definir los controles criptográficos de autenticación del código móvil
10.5 Respaldo:
Objetivo: Mantener la integridad y disponibilidad de la información y de las instalaciones de procesamiento de la información
10.5.1 Respaldo de la información
Los controles aplicados a los soportes en el sitio principal se deben ampliar para cubrir el sitio de respaldo
Los soportes de respaldo deben ser probados regularmente para asegurarse de que pueden ser confiables para el uso cuando sean necesarios
10.6 Gestión de la seguridad de red:
Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte.
10.6.1 Controles de red
10.6.2 Seguridad de los servicios de red
Considerar los servicios de red proporcionados de manera interna o externa
Definir los niveles de servicio, hacer seguimiento regular y auditar
Asegurar la implementación de los controles por los proveedores de servicios de red
10.7 Manejo de los medios:
Objetivo: Evitar la divulgación, la modificación, la eliminación o destrucción de los activos y la interrupción de las actividades del negocio no autorizados
10.7.1 Gestión de los medios removibles
Almacenar los medios físicos de forma segura en un ambiente protegido y de acuerdo con las especificaciones del fabricante
Mantener el registro de remoción de medios físicos como pista de auditoría
10.7.2 Eliminación de los medios
Eliminar los medios de forma segura
10.7.3 Procedimientos para el manejo de la Información
10.7.4 Seguridad de la documentación de sistemas
10.8 Intercambio de información:
Objetivo: Mantener la seguridad de la información y software intercambiado dentro de una organización y con cualquier otra entidad
10.8.1 Políticas y procedimientos de intercambio de información
Formular procedimientos diseñados para proteger el intercambio de información de la intercepción, copiado, modificación, desviación, y destrucción;
Adoptar procedimientos para el uso de la comunicaciones inalámbricas tomando en consideración los riesgos particulares involucrados
Evitar dejar información sensible o critica en el equipamiento de impresión, por ejemplo, fotocopiadoras, impresoras o fax
10.8.2 Acuerdos de intercambio
10.8.3 Medio físico en transito
10.8.4 Mensajería electrónica
10.8.5 Sistemas de Información de negocio
10.9 Servicios de comercio electrónico :
Objetivo: Garantizar la seguridad de los servicios de comercio electrónico, así como su uso seguro.
10.9.1 Comercio electrónico
Considerar mecanismos de autenticación
Asegurar la confidencialidad y la integridad de cualquier orden de transacción, información de pago, detalles de dirección de envío y confirmación de recepción
10.9.2 Transacciones en línea
Contemplar el uso de firmas electrónicas
Garantizar que el camino de comunicación entre todas las partes involucradas se encuentre criptografiado.
10.9.3 Información accesible públicamente
Crear mecanismos para garantizar la integridad de la información disponible en sistemas de acceso público, con el fin de prevenir modificaciones no autorizadas
10.10 Seguimiento y control:
Objetivo: Detectar actividades de procesamiento de información no autorizadas
10.10.1 Registros de auditoría
Ejemplos: identificación (ID) de usuario, fechas, horas, y los detalles de acontecimientos claves, registros de los intentos aceptados y rechazados de acceso al sistema, archivos accedidos y la clase de acceso y activación y desactivación de sistemas de protección
10.10.2 Supervisión del uso de sistemas: Crear procedimientos para hacer seguimiento del uso de los recursos del procesamiento de información
10.10.3 Protección de la información de registros (logs): Proteger la información de los registros (log), contra falsificación y acceso no autorizado
10.10.4 Registros del administrador y operador
10.10.5 Registro de fallas
10.10.6 Sincronización de relojes
11 Control de Acceso
11.1 Requisitos de negocio para el control de acceso:
Objetivo: Controlar el acceso a la información.
11.1 Requisitos de negocio para el control de Acceso
Adoptar como premisa:“Todo está generalmente prohibido salvo que expresamente sea permitido”
Aplicar el concepto “Need do know”
11.2 Gestión del acceso de usuarios:
Objetivo: Asegurar el acceso de usuarios autorizados y prevenir el acceso no autorizado a los sistemas de información.
11.2.1 Registro de usuarios
11.2.2 Gestión de privilegios
11.2.3 Gestión de contraseñas del usuario
11.2.4 Revisión de derechos de acceso de usuario
Realizar una revisión de los derechos de acceso de los usuarios en intervalos regulares
11.3 Responsabilidades del usuario:
Objetivo: Prevenir el acceso de usuario no autorizado, y el robo o compromiso de la información y de las instalaciones de procesamiento de la información
11.3.1 Uso de Contraseña
Orientar a los usuarios sobre mantener confidencialidad sobre las contraseñas;
Seleccionar contraseñas de calidad
Cambiar las contraseñas regularmente
11.3.2 Equipamiento desatendido por el usuario
11.3.3 Política de escritorio y pantalla limpios
Guardar la información crítica o sensible en un lugar seguro
Proteger los computadores con mecanismos de bloqueo de pantalla
Retirar inmediatamente de las impresoras documentos con información sensible o crítica
11.4 Control de acceso a la red:
Objetivo: Prevenir el acceso no autorizado a los servicios en red.
11.4.1 Políticas sobre el uso de servicios en red
11.4.2 Autenticación de usuarios para conexiones externas
11.4.3 Identificación de equipamiento en la red
11.4.4 Protección de los puertos de configuración y diagnóstico remoto
11.4.5 Separación en redes
11.4.6 Control de conexión de red
11.4.7 Control de enrutamiento de red
11.5 Control de acceso al sistema operativo:
Objetivo: Evitar el acceso no autorizado a los sistemas
operativos.
11.5.1 Procedimientos de conexión (log-on) seguros: Limitar el número de intentos fallidos de conexión,
11.5.2 Identificación y autenticación del usuario
11.5.3 Sistema de gestión de contraseñas
Crear mecanismos que obliguen a escoger contraseñas de calidad
Obligar al cambio de contraseña
Obligar al usuario a cambiar de contraseña temporalmente
Almacenar y transmitir las contraseñas de manera protegida
11.5.4 Utilización de utilitarios del sistema
11.5.5 Desconexión automática de sesiones
11.5.6 Limitación del tiempo de conexión
11.6 Control del acceso a las aplicaciones y a la información
Objetivo: Evitar el acceso no autorizado a la información contenida en los sistemas de aplicación.
11.6.1 Restricciones del acceso a la información
11.6.2 Aislamiento de sistemas sensibles
11.7 Informática móvil y trabajo remoto
Objetivo: Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y trabajo remoto
11.7.1 Informática y comunicaciones móviles
Considerar los requisitos de protección física, controles de acceso, copias de seguridad y protección antivirus.
Cuidados con los recursos en lugares desprotegidos
11.7.2 Trabajo remoto
12 Adquisición, desarrollo y mantenimiento de los sistemas de información
12.1 Requisitos de seguridad de los sistemas de información
Objetivo: Asegurar que la seguridad es parte integral de los sistemas de información.
12.1.1 Análisis y especificación de los requisitos de seguridad
12.2 Procesamiento correcto en las aplicaciones
Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de información en aplicaciones.
12.2.1 Validación de datos de entrada
12.2.2 Control de procesamiento interno
12.2.3 Integridad del mensaje
12.2.4 Validación de los datos de salida
12.3 Controles criptográficos
Objetivo: Proteger la confidencialidad, autenticidad e integridad de la información por medios criptográficos.
12.3.1 Política sobre el empleo de controles criptográficos
12.3.2 Gestión de claves
12.4 Seguridad de los archivos del sistema
Objetivo: Garantizar la seguridad de los archivos del sistema
12.4.1 Control de software en producción
12.4.2 Protección de datos de prueba del sistema
12.4.3 Control de acceso al código fuente de programas
12.5 Seguridad en los procesos de desarrollo y soporte
Objetivo: Mantener la seguridad del software de aplicación e información
12.5.1 Procedimientos de control de cambio
12.5.2 Revisión técnica de aplicaciones después de cambios del sistema operativo
12.5.3 Restricciones sobre cambios a paquetes de Software
12.5.4 Fuga de Información
12.5.5 Desarrollo externo de software
12.6 Gestión de vulnerabilidad técnica
Objetivo: Reducir los riesgos resultantes de la explotación de vulnerabilidades técnicas publicadas
12.6.1 Control de vulnerabilidades técnicas
13 Gestión de incidentes de la Seguridad de la Información Status: NO se tiene en el XXXX
13.1 Reporte de debilidades y eventos de seguridad de la información:
Objetivo: Asegurar que las debilidades y eventos de seguridad de la información asociados a sistemas de información son comunicados de manera de permitir tomar acciones correctivas a tiempo
13.1.1 Reportando eventos de seguridad de la información
Comunicar a los empleados, contratistas y usuarios de partes externas la responsabilidad que ellos tienen de notificar cualquier evento de seguridad de la información, lo más rápido posible
Capacitar a los empleados, contratistas y usuarios de partes externas en los procedimientos de notificación de incidentes de seguridad de la información
Alertar a los empleados, contratistas y usuarios de partes externas para no tomar ninguna acción propia e informar de manera inmediata el evento al punto designado de contacto
Crear un proceso disciplinario formal para tratar con los empleados, contratistas y usuarios de partes externas que cometan violaciones a la seguridad de la información
13.1.2 Notificación de las debilidades de seguridad
Ejemplos de incidentes de seguridad de la información:
-Robo o pérdida de computadores portátiles, pendrives, hardware o token
–Notebooks sin asistencia técnica y sin fijación del cable
-Sesión de trabajo no atendida (sin el usuario presente) y sin estar bloqueada
-Claves y contraseñas de acceso compartidas o expuestas
-Individuos circulando sin identificación
-Falla en el control de acceso físico (instalaciones) y en la lógica de seguridad electrónica)
-Información reservada expuesta en el escritorio, fotocopiadoras, basuras o impresoras
-Publicación no autorizada de información reservada
-Uso de la información y los recursos de la compañía para beneficios personales
-Uso indebido de correo electrónico, sobretodo cadenas de mensajes
-Uso indebido del servicio de internet, sobretodo para acceder a los sitios no entorno de trabajo
-Instalación de un sistema de aplicación no autorizado
-Intentos (exitoso o fallido) de lograr acceso no autorizado a la información
13.2 Gestión de incidentes y mejoras de seguridad de la información:
Objetivo: Asegurar que un enfoque consistente y eficaz se aplica a la gestión de los incidentes de seguridad de la información.
13.2.1 Responsabilidades y procedimientos
Elaborar procedimientos de gestión para asegurar una respuesta rápida, eficaz, y ordenada a los incidentes de seguridad de la información ØAnalizar e identificar la causa de un incidente
Implementar la acción correctiva para prevenir su repetición 13.2.2 Aprendiendo de los incidentes de seguridad de la información
Analizar el incidente de seguridad de la información teniendo en cuenta la mejora de los controles existentes o la implementación de controles adicionales
13.2.3 Recolección de evidencia . Recolectar y retener las evidencias, asegurando su calidad y completud
14 Gestión de la continuidad del negocio
14.1 Aspectos de seguridad de la información en la gestión de la continuidad del negocio:
Objetivo: Contrarrestar interrupciones a las actividades del negocio y proteger los procesos críticos del negocio contra los efectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su restauración oportuna.
14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del Negocio
14.1.2 Continuidad del negocio y evaluación de riesgos
14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información
14.1.4 Estructura para la planificación de la continuidad del negocio
14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio
15 Cumplimiento
15.1 Cumplimiento de los requisitos legales:
Objetivo: Evitar los incumplimientos de cualquier ley, estatuto, regulación u obligación contractual, y de cualquier requisito de seguridad
15.1.1 Identificación de la legislación aplicable
15.1.2 Derechos de propiedad intelectual
15.1.3 Protección de los registros de la Organización
15.1.4 Protección de los datos y privacidad de la información personal
15.1.5 Prevención del uso inadecuado de las instalaciones de procesamiento de la información
15.2 Cumplimiento de la política y las normas de seguridad, y cumplimiento técnico
Objetivo: Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.
15.2.1 Cumplimiento de las políticas y normas de Seguridad
15.2.2 Verificación del cumplimiento técnico
15.3 Consideraciones sobre la auditoría de sistemas de información
Objetivo: Maximizar la efectividad de, y reducir al mínimo la interferencia desde o hacia, el proceso de auditoría del sistema de información
15.3.1 Controles de auditoría de sistemas de Información
15.3.2 Protección de las herramientas de auditoría de sistemas de información
Nota: la fuente de este documento es la Norma ISO/IEC 270001 publicada por Coguanor del Ministerio de Economia en el 2010. Para mayor información: www.mineco.gob.gt
#Guatemala – Apoyo al #e-garage del #CampusTec
Alguno de nuestros colaboradores nos puede donar algo para el premio del PItch Contest que se va a llevar a cabo el 29 de octubre en la tarde en el Campus TEC?
Es para premiar a los ganadores del concurso que estamos organizando donde están participando casi todas las universidades de Guatemala..Prometido que por sencillo que sea aceptamos.
También estamos viendo si alguien tiene computadoras viejas, Diskettes o cualquier cosa que se pueda poner en las paredes como que si fuera un Hard Rock café pero de tecnología? Nos las donan?
Miren que este espacio sera para el uso de todos Uds…Gracias por su apoyo al Campus Tec y avisen incubadora@tec.com.gt si les interesa….
Union Square Ventures – VC in New York
La UIT publica las cifras técnicas y clasificaciones mundiales más recientes
Comunicado de prensa
- · 250 millones de personas adicionales se conectaron en línea en 2012
- · La República de Corea encabeza la clasificación de las TIC por tercer año consecutivo
- · A finales de 2013, 40% de la población mundial estará en línea,
pero 1 100 millones de hogares, o 4 400 millones
de personas, siguen sin estar conectados - · La banda ancha móvil es ahora más asequible que la banda ancha fija
- · Casi todo el mundo tiene ahora a su alcance un servicio móvil celular
- · 30% de los jóvenes en el mundo son “nativos digitales”
- · La banda ancha es cada vez más rápida; 2Mbps es ahora
el paquete básico más popular - · El CAPEX de los operadores de telecomunicaciones
culminó en 2008; a pesar del repunte económico los niveles de inversión no se han repuesto
Descargue 4 gráficos completos que muestran las principales tendencias mundiales
Ginebra, 7 de octubre de 2013 – La banda ancha móvil a través de teléfonos inteligentes y tabletas se ha convertido en el segmento del mercado mundial de las TIC que crece más rápidamente, según el informe anual emblemático de la UIT, Medición de la sociedad de la información 2013.
Las nuevas cifras publicadas hoy muestran una boyante demanda mundial de productos y servicios de tecnologías de la información y la comunicación (TIC), una disminución constante de los precios de los servicios celulares y de banda ancha, y un crecimiento sin precedente de la 3G.
A finales de 2013 habrá en total 6 800 millones de abonos móviles celulares, casi tantos como habitantes en el planeta.
Se estima que 2 700 millones de personas también estarán conectadas a Internet, aunque las velocidades y los precios varían mucho de una región a otra, y dentro de las propias regiones.
Las conexiones de banda ancha móvil por redes 3G y 3G+ crecen un 40 por ciento de media anual, lo que equivale a 2 100 millones de abonos de banda ancha móvil y una tasa de penetración mundial de casi 30 por ciento. Casi 50 por ciento de todos los habitantes del mundo disponen ahora de una cobertura de red de 3G.
Clasificación de los países en el índice de desarrollo de las TIC
Según nuevos datos de la edición de 2013 de Medición de la sociedad de la información, la República de Corea encabeza por tercer año consecutivo el desarrollo global de las TIC en el mundo, seguida de cerca por Suecia, Islandia, Dinamarca, Finlandia y Noruega.
Los Países Bajos, el Reino Unido, Luxemburgo y Hong Kong (China) también figuran entre los 10 primeros al entrar el Reino Unido en este grupo tras ocupar el 11º puesto el año pasado.
El Índice de Desarrollo de las TIC (IDI) de la UIT clasifica 157 países en función de su nivel de acceso, utilización y conocimientos de las TIC, y compara las clasificaciones de 2011 y 2012 (Gráfico 1). Gobiernos, organismos de las Naciones Unidas y empresas del sector privado consideran generalmente que es el rasero más preciso e imparcial del desarrollo global de las TIC a escala nacional.
Mejores resultados y dificultades de conectividad
Todos los países que ocupan los 30 primeros puestos del IDI son países de altos ingresos, lo que destaca el fuerte vínculo entre ingresos y avance de las TIC.
Se observan grandes diferencias entre países desarrollados y en desarrollo, y los valores del IDI son en promedio dos veces más elevados en los países desarrollados que en los países en desarrollo.
En el informe se identifica un grupo de “países más dinámicos” que han mejorado más de la media su clasificación o valor del IDI durante los últimos 12 meses. Se trata de (de la mayor a la menor mejora) los Emiratos Árabes Unidos, Líbano, Barbados, Seychelles, Belarús, Costa Rica, Mongolia, Zambia, Australia, Bangladesh, Omán y Zimbabwe (Cuadro 1).
También se identifican los países con los niveles de IDI más bajos, los llamados Países Menos Conectados (PMC) en los que viven 2 400 millones de personas, es decir la tercera parte de la población mundial total. Los Países Menos Conectados también son los que podrían sacar un gran provecho de un mejor acceso y utilización de las TIC en sectores tales como sanidad, enseñanza y empleo (Figura 1).
“Este año, las cifras del IDI son un gran motivo de optimismo, ya que los gobiernos dan claramente prioridad a las TIC, que consideran un motor importante del crecimiento socioeconómico, con la consiguiente mejora del acceso y disminución de precios”, declaró el Dr. Hamadoun I. Touré, Secretario General de la UIT. “Nuestro reto más apremiante es identificar posibilidades de permitir que esos países que todavía luchan por conectar a sus poblaciones instalen los servicios y redes que los ayudarán a salir de la pobreza”.
Precios y asequibilidad de la banda ancha
El análisis de las tendencias de los precios de la banda ancha en más de 160 países muestra que en los cuatro años transcurridos entre 2008 y 2012, los precios de la banda ancha fija disminuyeron globalmente un 82 por ciento, de 115,1 por ciento de la renta nacional bruta (RNB) por habitante en 2008 a 22,1 por ciento en 2012 (Gráfico 2).
La mayor bajada se ha producido los países en desarrollo donde los precios de la banda ancha fija bajaron un 30 por ciento al año entre 2008 y 2011.
El precio medio por unidad de velocidad (Mbps) también disminuyó significativamente entre 2008 y 2012, con un precio medio global de 19,50 USD por Mbps en 2012, casi la cuarta parte del precio facturado en 2008.
También se presentan por primera vez en este informe los resultados son de un ejercicio exhaustivo de compilación de datos sobre precios que se llevó a cabo para cuatro tipos diferentes de servicios de banda ancha móvil. Los resultados muestran que en los países en desarrollo la banda ancha móvil es ahora más asequible que la banda ancha fija, pero todavía mucho menos asequible que en los países desarrollados.
Austria tiene la banda ancha móvil más asequible del mundo, y Santo Tomé y Príncipe, Zimbabwe y la República Democrática del Congo la menos asequible, con un coste del servicio igual o superior a la renta nacional bruta (RNB) mensual media por habitante. Qatar, el Reino Unido, Alemania, Kuwait y Francia son, entre otros, países en los que la banda ancha móvil es asequible.
El objetivo mundial de asequibilidad de la banda ancha fijado en 2011 por la Comisión de la Banda Ancha para el Desarrollo Digital de la de la UIT/UNESCO tiene por objeto conseguir que el coste del servicio básico de banda ancha sea inferior a 5 por ciento del ingreso mensual medio.
Nativos digitales
Un nuevo modelo elaborado por la UIT para el informe de este año permite evaluar la población mundial de nativos digitales, y muestra que en 2012 había unos 363 millones de nativos digitales en una población mundial de unos 7 000 millones, lo que equivale a 5,2 por ciento de la población mundial total (Gráfico 3) y 30 por ciento de los jóvenes (Gráfico 4). En el modelo, un nativo digital es un joven conectado de 15 a 24 años de edad con cinco o más años de experiencia en línea.
En un total de 145 millones de jóvenes usuarios de Internet en los países desarrollados, se estima que 86,3 por ciento son nativos digitales, en comparación con menos de la mitad de los 503 millones de jóvenes usuarios de Internet en los países en desarrollo. Se prevé que en los próximos cinco años la población de nativos digitales en los países en desarrollo se multiplique por más de dos.
El informe muestra que, de manera general, los jóvenes están casi dos veces más conectados que la población mundial en general, y la diferencia es más pronunciada en los países en desarrollo.
“Esta primera medición mundial del número de nativos digitales es muy oportuna, ya que sigue de cerca a la presentación de la Declaración de los jóvenes, elaborada en la Cumbre Mundial de la Juventud BYND2015 de la UIT, ante la Asamblea General de las Naciones Unidas en Nueva York por la Excma. Sra. Laura Chinchilla, Presidenta de Costa Rica. “Los jóvenes son los que adoptan y utilizan las TIC con más entusiasmo. Son los que orientaran a nuestra industria en los próximos decenios, y debemos escuchar su voz”, declaró Brahima Sanou, Director de la Oficina de Desarrollo de las Telecomunicaciones de la UIT que elabora el informe Medición de la sociedad de la información.
La brecha digital
A principios de 2013 casi 80 por ciento de todos los hogares del mundo tenían un televisor, en comparación con 41 por ciento de hogares con computador y 37 por ciento con acceso a Internet.
El informe muestra que el número de hogares con acceso a Internet aumenta en todas las regiones, pero sigue habiendo grandes diferencias, con tasas de penetración que al final de este año alcanzarán prácticamente 80 por ciento en los países desarrollados, en comparación con 28 por ciento en los países en desarrollo (Gráfico 5).
Se estima que 1 100 millones de hogares en todo el mundo todavía no están conectados a Internet, y 90 por ciento de ellos están en países en desarrollo.
Con todo, la tendencia es muy positiva, ya que la proporción de hogares con acceso a Internet en los países en desarrollo ha pasado de 12 por ciento en 2008 a 28 por ciento en 2013, una tasa de crecimiento anual compuesta notable del 18 por ciento.
El porcentaje de usuarios de Internet en la población ha crecido a una media de dos cifras durante los últimos 10 años. El porcentaje de la población en línea en los países desarrollados alcanzará prácticamente el 77 por ciento a finales de 2013, en comparación con el 31 por ciento en los países en desarrollo.
Inversiones en las telecomunicaciones
Estudios de la UIT muestran que los gastos de capital (CAPEX) de los operadores de telecomunicaciones culminaron en 2008, con una inversión global total de 290 000 millones USD, seguida por dos años consecutivos de disminución. A pesar del repunte en 2011, todavía no se han restablecido los niveles de inversión de 2008 (Gráfico 6).
Los niveles de inversión aletargados desde 2008 son coherentes con un entorno económico global de acceso limitado a los mercados de capital, lo cual puede limitar la capacidad de los operadores para obtener fondos para nuevas inversiones. Con la expansión de los operadores mundiales hacia nuevos mercados, muchos operadores trabajan en países desarrollados y en desarrollo, y el entorno financiero negativo en los países desarrollados perjudica probablemente a las inversiones en los países en desarrollo.
Véase en la página siguiente una selección de gráficos y cuadros en los que se destacan las principales conclusiones
Medición de la Sociedad de la Información 2012: gráficos y cuadros
Gráfico 1: Clasificación IDI a finales de 2012
Leyenda:
Índice de desarrollo de las TIC, economías seleccionadas, 2012
Fuente: UIT
Cuadro 1: Países más dinámicos – cambios entre el IDI de 2012 y el de 2011
|
Cambio en el puesto IDI |
||
|
Puesto IDI 2012 |
País |
Cambio de puesto en el IDI |
|
33 |
Emiratos Árabes Unidos |
12 |
|
52 |
Líbano |
9 |
|
29 |
Barbados |
7 |
|
64 |
Seychelles |
6 |
|
41 |
Belarús |
5 |
|
60 |
Costa Rica |
5 |
|
85 |
Mongolia |
5 |
|
132 |
Zambia |
5 |
|
11/135 |
Australia/Bangladesh |
4* |
|
54/115 |
Omán/Zimbabwe |
4* |
Fuente: UIT. Nota: * Australia, Bangladesh, Omán y Zimbabwe subieron cuatro puestos en la clasificación IDI entre 2011 y 2012.
Figura 1: Países Menos Conectados (PMC), a finales de 2012
Leyenda:
Valor IDI:
Por encima de 2,33
PMC (2,33 y menos)
Datos no disponibles
Fuente: UIT
Gráfico 2: Precios de la banda ancha fija, como porcentaje del PIB per cápita
Fuente: UIT. El PIB p.c. se basa en datos del Banco Mundial. Nota: Medias simples. Basado en 144 economías para las que se disponía de los precios de la banda ancha fija de 2008, 2009, 2010, 2011 y 2012.
Gráfico 3: Nativos digitales como porcentaje de la población total, por región y nivel de desarrollo, a finales de 2012
Fuente: UIT.
Gráfico 4: Nativos digitales como porcentaje de los jóvenes (15-24), por región y nivel de desarrollo, finales de 2012
Fuente: UIT
Gráfico 5: Porcentaje de hogares con acceso a Internet por nivel de desarrollo, 2003-2013*
Fuente: UIT. Nota: * Estimación
Gráfico 6: Inversión anual (CAPEX) de los operadores de telecomunicaciones, mundo y por nivel de desarrollo, 2007-2011, total en USD
Fuente: UIT. Nota: “Mundo” incluye a 67 países que representan el 87 por ciento del PIB mundial. “Desarrollados” incluye a 31 países desarrollados que representan el 96 por ciento del PIB total del mundo desarrollado. “En desarrollo” incluye a 36 países en desarrollo que representan el 72 por ciento del PIB total del mundo en desarrollo.
*Nota a los editores:
El IDI combina 11 indicadores en una sola medición que se puede utilizar como referencia a escala mundial, regional y nacional, así como para seguir los avances del desarrollo de las TIC en el tiempo. Mide el acceso, utilización y conocimiento de las TIC, y comprende indicadores tales como abonos móviles celulares, hogares con computador, usuarios de Internet, abonos a Internet de banda ancha fija y móvil, y tasas de alfabetización básica.
Las estadísticas de la UIT son generalmente reconocidas como los datos globales más fiables e imparciales sobre el estado de la industria mundial de las TIC. Son ampliamente utilizados en todo el mundo por importantes organismos intergubernamentales, instituciones financieras y analistas del sector privado.
Véanse estadísticas de la UIT en www.itu.int/en/ITU-D/
Véase un resumen ejecutivo del Informe Medición de la Sociedad de la Información 2013 en www.itu.int/go/mis2013
Se ruega a los periodistas que deseen recibir gratuitamente el Informe completo en formato PDF se pongan en contacto con Sarah Parkes en la oficina de prensa de la UIT: sarah.parkes@itu.int
Telecargue gráficos del Informe de 2013 en www.itu.int/go/mis2013
Telecargue la presentación PowerPoint del Informe en www.itu.int/go/mis2013
Telecargue imágenes y fotografías del lanzamiento en www.flickr.com/photos/
Véanse los archivos de la filmación de la presentación enhttp://web.itu.int/ibs/ITU-D/
Siga los debates en Twitter en #ITUdata
Para más información, póngase en contacto con:
| Sarah Parkes
Jefa de Relaciones con los Medios de Comunicación, UIT Tel.: + 41 22 730 6135 Móvil: +41 79 599 1439 Correo-e: sarah.parkes@itu.int |
Siga a la UIT en Facebook: www.itu.int/facebook
Sobre la UIT
La UIT es la organización más importante de las Naciones Unidas en lo que concierne a las tecnologías de la información y la comunicación. Desde hace casi 150 años, la UIT ha coordinado la compartición del espectro radioeléctrico a escala mundial, ha promovido la cooperación internacional para la asignación de órbitas de satélite, se ha esforzado por mejorar la infraestructura de telecomunicaciones en el mundo en desarrollo, y ha establecido las normas mundiales que garantizan la interconexión continua de una amplia gama de sistemas de comunicaciones. De las redes de banda ancha a las tecnologías inalámbricas de última generación, la navegación aeronáutica y marítima, la radioastronomía, la meteorología por satélite y los servicios de telefonía fija y móvil convergentes, Internet y las tecnologías de radiodifusión, la UIT se compromete a conectar el mundo. www.itu.int
The Assets That Matter Now
Entrepreneurs and Patents…
#Guatemala – Cursos de la UVG en el #CampusTec
#GUATEMALA – Convocatoria Fondo de Innovación 2013
EL 19 de septiembre tomo vigencia la convocatoria FOINTEC XLII-A, la cual está orientada a la coordinación institucional de las organizaciones que conforman el Sistema Nacional de Innovación para el fortalecimiento de la innovación productiva y emprendimiento, la formación de Recurso Humano en economía del conocimiento, gestión tecnológica, transferencia y comercialización de tecnología y el fortalecimiento del sistema productivo en las siguientes áreas:
- · Establecimiento de Centros de Desarrollo Empresarial (Small Business Development Center (SBDC’s)
- · Tecno regiones,
- · Desarrollo de incubadoras,
- · Emprendimiento
- · Parques tecnológicos y asistencia técnica para la productividad.
Mas detalle:
One Day Event – CIG – Octubre 7, 2013
#Guatemala – Sitios interesantes de e-comercio a Octubre 2013
Grupo No 1:
http://cibertienda.gt/ – varios
http://www.guateganga.com/ – varios
Grupo No. 2:
http://www.intelaf.com/ – computadoras
http://cinepolis.com.gt/ – cine
http://mundoextremo.com/ – regalos para hombres
http://www.piedrasanta.com/ – libros y editorial
http://prediovirtual.com/ – carros
Grupo No. 3:
http://www.saulemendez.com/ – Saul Mendez – http://www.estilosaul.com/ – blog
http://pantomimacristia.
http://csantos.com – Joyeria fina Guatemalteca
http://www.mercadoglobal.org/ – artesanias finas Guatemaltecas
Grupo NO. 4:
http://www.picapic.com/ – productos de Quick Photo
http://www.asisicompro.com/ – ofertas
http://www.gpautos.net/ – predio virtual
http://www.mariasbag.com – bolsas guatemaltecas a nivel internacional
Grupo No. 5:
http://www.deguate.com.gt/ –
http://www.cucupons.com/ – Descuentos
http://www.bienchilero.com/ – Descuentos
#Guatemala: Crea aplicaciones para Gobierno electrónico
#Guatemala – apoyo en Hackathon de #DalGT en el equipo de #CampusTec
Estamos ya en el evento de #DalGT y necesitamos otro equipo para que programe un app o sitio Web en el Hackathon para apoyo al Mineduc y otras organizaciones…Se apunta alguno para ir a Chamba mañana a las 10 am a que hablemos? Interesados favor avisarme a incubadora@tec.com.gt
Favor ver:
-
Ya se pueden inscribir:
https://docs.google.com/forms/d/1UxAPdQPFvp6V9Leh84hCaX74E_7jrTnb46S4ryStRBo/viewform
Desarrollando América Latina, o DAL como nos gusta llamarlo, es una competencia regional que se da cada año en diferentes países latinoamericanos. En él se motiva la creación de aplicaciones ciudadanas que puedan servir como soluciones tecnológicas para los diferentes problemas de la región. Este año Guatemala está emocionada por unirse a este movimiento que busca involucrar a los ciudadanos en la transformación de la realidad del país y la región.
DAL Guatemala se llevará a cabo durante todo el mes de octubre para que los participantes puedan tener la oportunidad de desarrollar aplicaciones con datos abiertos y el apoyo de desarrolladores, diseñadores y emprendedores. Durante este tiempo se contará con actividades innovadoras y conferencias de reconocidas personalidades en el ámbito tecnológico.
El evento es gratis para los participantes y se realizará en el coworking space Chamba ubicada en Via 5, 1-23 Cuatro Grados Norte, Zona 4 (antigua sede del Centro Cultural de España).
Para conocer más sobre Guatecambia y DAL Guatemala puedes visitar:Facebook: Guatecambia
Twitter: @guatecambia y #DALGt
Página Web: www.guatecambia.com
Via 5, 1-23 Cuatro Grados Norte, Zona 4 (antigua sede del Centro Cultural de España)., Guatemala
A Value Creation Model For Business
5 HTML5 Features you need to know
#Guatemala – Visita NYSE – Octubre 13
#Guatemala – Foro de emprendedores sostenibles – 23 de Octubre
How to Get Your Conference Talk Accepted
#Guatemala – Lanzamiento de DAL este 5 de octubre en Chamba – 4 Grados Norte
Los esperamos…
Detalle:Medios
Foro de Innovación Tecnológica 2013 – Universidad Galileo
Ojala puedan ir…