Herramientas de usuario
master_cs:gsi:asesoramient_audiotira
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Próxima revisión | Revisión previa | ||
| master_cs:gsi:asesoramient_audiotira [2026/01/13 23:14] – creado thejuanvisu | master_cs:gsi:asesoramient_audiotira [2026/01/14 14:23] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 1: | Línea 1: | ||
| ====== Evaluación, | ====== Evaluación, | ||
| + | Las certificaciones tienen los siguientes beneficios: | ||
| + | * Mejor seguridad a menor coste | ||
| + | * Credibilidad y confianza: Muestra que se han tomado las precauciones requeridas para minimizar los riesgos del negocio | ||
| + | * Cumplimiento: | ||
| + | * Cumplir responsabilidades de confianza como organización en la protección de los activos de la compañía. | ||
| + | |||
| + | ===== Cumplimiento, | ||
| + | * Cumplimiento: | ||
| + | * Certificación: | ||
| + | * Acreditación: | ||
| + | |||
| + | ==== Certificación y Acreditación en España ==== | ||
| + | En españa está la Entidad Nacional de Acreditación (ENAC). Tiene los siguietes servicios de acreditación: | ||
| + | * Certificación de los Sistemas de Gestión de la seguridad (ISO27001): Asegura la confidencialidad, | ||
| + | * Certificación dentro del Esquema Nacional de Seguridad (ENS): Fija los principios básicos y requisitos mínimos, así como las medidas de protección a implantar en los sistemas de la adminsitración pública. | ||
| + | |||
| + | ===== ISO 27001 ===== | ||
| + | ==== ISO 27001: La Certificación ==== | ||
| + | |||
| + | Se suelen seguir los siguientes pasos: | ||
| + | * Pre-auditoría: | ||
| + | * Auditoría de certificación | ||
| + | * Fase 1: Revisión de la documentación | ||
| + | * Fase 2: Procesos y control | ||
| + | * Certificación: | ||
| + | * Seguimiento anual: Mejora continua. | ||
| + | |||
| + | ==== ISO 27001: El ciclo de certificación ==== | ||
| + | - Revisión de preparación | ||
| + | - Certificación | ||
| + | - Auditoría de supervisión: | ||
| + | - Auditoría de recertificación: | ||
| + | |||
| + | ==== Documentos y registros necesarios ==== | ||
| + | - Alcance del sistema de gestión de seguridad de la información | ||
| + | - Política de seguridad de la información | ||
| + | - Proceso de evaluación de riesgos | ||
| + | - Proceso de tratamiento de riesgos | ||
| + | - Objetivos de seguridad de la información | ||
| + | - Evidencia de la competencia de las personas que trabajan en SI | ||
| + | - Otros documentos relacionados con el SGSI considerados necesarios en la organización | ||
| + | - Documentos de planificación y control operacional | ||
| + | - Resultados de las evaluaciones de riesgo | ||
| + | - Decisiones con respecto al tratamiento del riesgo | ||
| + | - Evidencia del seguimiento y medición de seguridad de la información | ||
| + | - Porgrama de auditoría interna sobre SGSI y sus resultados | ||
| + | - Evidencia de las principales revisiones de la gestión del SGSI | ||
| + | - Evidencia de las no conformidades identificadas y acciones correctivas que surjan | ||
| + | |||
| + | ==== Problemas comunes ==== | ||
| + | * Registro de activos incompleto | ||
| + | * Riesgo del personal no incluido | ||
| + | * Métodos demasiado complicados | ||
| + | * No aprobado por gerencia | ||
| + | * Ubicación de la sala de servidores | ||
| + | * Sala de servidores no segura | ||
| + | * Incidentes no reportados por el personal | ||
| + | * Pruebas insuficientes para demostra mejora | ||
| + | |||
| + | |||
| + | ===== Esquema Nacional de Seguridad (ENS) ===== | ||
| + | RD 3/2010 Artículo 34: Auditoría de seguridad | ||
| + | * Los sistemas de información serán objeto de una auditoría regular ordinaria al menos cada 2 años para verificar el cumplimiento de los requerimientos del ENS | ||
| + | * Se debe realizar una auditoría siempre que se produzcan modificaciones sustanciales en los sistemas de la información. | ||
| + | |||
master_cs/gsi/asesoramient_audiotira.1768346082.txt.gz · Última modificación: 2026/01/13 23:14 por thejuanvisu
Herramientas de la página
