SEGURIDAD EN COMPUTACION E

INFORMATICABRITISH STANDARDS INSTITUTE: BSIntegrantes:

AGÜERO ORTEGA JORGE ISAACPASACHE PAPA JESUS CHRISTIAMCABEZUDO MARTINEZ WILLIAMCHURA HUASHUAYO JORGE LUIS

BSIOrganización independiente

y global de serviciosFundada en 1901

Primera certificación ISO 9001 en España en 1989

Líder mundial de certificación y formación

2496 empleados en todo el mundo

Clientes en 147 países

Servicios a 80000 clientes

SISTEMA DE GESTION DE LA CONTINUIDAD DEL NEGOCIO (BS 25999)

Estrategias de Recuperación:

• Hot Sites: Normalmente esta configurado con todo el hardware y el software requerido para iniciar la recuperación a la mayor brevedad.

• Warm Sites: En esta opción no se incluyen servidores específicos de alta capacidad.

• Cold Sites: En esta opción sólo se tiene aire acondicionado, potencia, enlaces de telecomunicaciones, y otros.

• Alta disponibilidad y Mirroring sites: Se procesa cada transacción en paralelo con el sitio principal.

• Sitios móviles• Acuerdos recíprocos con otras organizaciones

CASO PRACTICO: Opera permite probar sitios móviles desde el PC

• La compañía permite a los desarrolladores que prueben sus sitios móviles desde sus propios ordenadores, gracias al lanzamiento de Opera Mobile 10 para Windows, Mac y Linux, un emulador del navegador Opera Mobile.

• A través de Opera Mobile 10 para Windows, Mac y Linux, los desarrolladores pueden instalar Opera Mobile y Opera Widgets Mobile Emulator en su propio PC o Mac. De esta forma, los desarrolladores no tienen la necesidad de invertir en varios teléfonos para hacer pruebas.

“Anteriormente, si querías probar y depurar tus sitios favoritos en Opera Mobile, necesitabas un teléfono o alguna máquina virtual que emulara el sistema operativo para móviles”, con la versión Opera Mobile 10 para Windows, Mac y Linux, se espera ofrecer una solución muy sencilla: una pequeña y natural aplicación, muy fácil de instalar en el PC de escritorio, y que funciona exactamente igual que la versión móvil, por lo que asegura que lo que se está viendo en el entorno de prueba es la misma que la versión final que recibirán los usuarios.

Caso BDO Certificado

BDO es una de las mayores organizaciones internacionales de auditoría y servicios profesionales

a la empresa.

Prestamos servicios de auditoría, asesoramiento jurídico y tributario, finanzas corporativas,

asesoramiento especializado de negocios y outsourcing con un enfoque internacional,

multidisciplinar y próximo

BDO Obtiene la certificación ISO/IEC 2700:2005 en el área de

Risk & Advisory Services• BDO, ha obtenido el certificado ISO/IEC 27001 en las

divisiones que componenel área de Risk Advisory Services (RAS) en Madrid: Auditoría Informática y Seguridad de la Información, Auditoría Interna y Consultoría. Dicha certificación ha sido emitida por la entidad de certificación British Standards Institution (BSI).

• La certificación engloba todas las actividades desarrolladas por las divisiones mencionadas, por lo que el proceso de implantación de la norma ha incluido todos los activos afectados (propios y de clientes que contratan a BDO) y todas las áreas anexas que actualmente apoyan las labores de Risk Advisory Services en BDO

• Según Rocío Troyano, Directora de Auditoría informática y Seguridad de la información de BDO , “estamos acostumbrados a implantar normas ISO en nuestros clientes y también a realizar auditorías periódicas, pero nunca habíamos sido nosotros los auditados, por lo que este proceso nos ha ayudado también a conocer los puntos claves que BSI persigue para otorgar la certificación, conocimiento que trataremos de incluir en todos los trabajos que nuestros clientes nos contraten”.

• En su opinión la certificación supone “una garantía para nuestros clientes de que la información que tratamos de ellos está debidamente protegida y una mejora en la gestión de inversiones de la Firma, que las ha focalizado en los puntos clave determinados por el análisis de riesgos realizado. La certificación también ha supuesto una normalización de los aspectos contractuales y regulatorios de aplicación para BDO”.

CASO PRACTICO

CERTIFICACION DE TELEFONICA ISO/IEC

27001:2005 • Telefónica del Perú alcanzó la Certificación Internacional ISO/IEC

27001:2005, para su Data Center, que brinda servicios de Outsourcing de TI, Disaster Recovery/Businnes Continuity, Hosting, Housing a las empresas de mayor envergadura en el país, y para sus centros de gestión de móviles, de banda ancha y de redes empresariales, que han sido elevados a estándares de clase mundial

• Esta certificación posiciona a Telefónica del Perú como la operadora de Latinoamérica con la certificación ISO 27001 de mayor alcance y la única con la Gestión de los Servicios Móviles y de Gestión del Data Center certificada.

CERTIFICACION DE TELEFONICA ISO/IEC 27001:2005

CERTIFICACION DE TELEFONICA ISO/IEC 27001:2005

Para poder certificarse, Telefónica debió seguir los siguientes pasos:1. Elegir la normaAntes de que pueda empezar a preparar su solicitud, necesita una copia de la norma. Debe leerla y familiarizarse con ella.Puede adquirir ISO/IEC 27001 e ISO/IEC 17799 en línea en nuestra Web. 2. ContactarPóngase en contacto con nosotros y explíquenos lo que necesita para que podamos elegir los mejores servicios para usted. A continuación, le haremos una propuesta, detallando el coste y el tiempo que supone una evaluación formal. 3. Cita con el equipo de evaluaciónLe asignaremos un responsable de cliente que será el principal punto de contacto durante todo el proceso, y mucho más que eso. Será una persona con excelentes conocimientos de su área de actividad y le prestará ayuda en el camino hacia la evaluación y el registro de su sistema de gestión de seguridad de la información.

CERTIFICACION DE TELEFONICA ISO/IEC 27001:2005

4. Considerar la formaciónSi va a implantar un sistema de gestión o bien si desea ampliar sus

conocimientos generales de la norma, dispone de una serie de talleres, seminarios y cursos. Más información sobre la formación.

5. Revisión y evaluaciónPodemos hacer un análisis de los procesos operativos de su sistema de

gestión de seguridad de la información existente según la norma e identificar cualquier omisión o punto débil que deba resolverse antes de la evaluación formal. Una vez resueltas las posibles incidencias, llevaremos a cabo una evaluación exhaustiva en sus instalaciones.

 6. Certificación y mucho másUna vez concluida correctamente la evaluación, emitimos un certificado

de registro que explica claramente el alcance de la certificación. El certificado tiene una validez de tres años y el asesor le visitará regularmente para ayudarle a garantizar que continúa cumpliendo con los requisitos y apoyarle en la mejora continua de los sistemas.

CERTIFICACION DE TELEFONICA ISO/IEC 27001:2005

El hecho de certificar un SGSI según la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la organización:•Demuestra la garantía independiente de los controles internos y cumple los requisitos de gestión corporativa y de continuidad de la actividad comercial. •Demuestra independientemente que se respetan las leyes y normativas que sean de aplicación. •Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que la seguridad de su información es primordial.

CERTIFICACION DE TELEFONICA ISO/IEC 27001:2005

• Verifica independientemente que los riesgos de la organización estén correctamente identificados, evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentación de protección de la información.

• Demuestra el compromiso de la cúpula directiva de su organización con la seguridad de la información.

• El proceso de evaluaciones periódicas ayuda a supervisar continuamente el rendimiento y la mejora.Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la norma del código profesional, ISO/IEC 17799 no logran estas ventajas.

CASO PRÁCTICO. BSI Mexico

Ante incidentes, Gestión de la Continuidad• La alarma de evacuación total sonó en la Torre Mayor el

30 de Agosto del 2007 alrededor de las 11:00 de la mañana Fue la primera vez que BSI México aplico su plan de evacuación

• Una amenaza de bomba en el edificio, que fue finalmente confirmada, obligaría a la empresa a cesar las operaciones del dia.

• Luego de 1 hora de espera, el presidente de BSI Mexico, decidió llevar a cabo el plan previsto para asegurar la continuidad

BSI Mexico• La indisponibilidad de la oficina no impactó fuertemente la

operación, debido a que los sistemas continuaron funcionando, y siguieron conectados en particular para las actividades vinculadas a la entrega de los servicios a los clientes. El personal clave seguía trabajando y conectados a través de la facilidad de home office. El uso de una oficina en Monterrey fue un apoyo clave.

• La indisponibilidad de acceso a la oficina corporativa en México fue uno de los riesgos contemplados en el análisis del impacto al negocio (Business Impact Analisys – BIA). Estrategias de prevención fueron determinadas basadas en el riesgo-costo-beneficio e incluyo, entre muchas otras acciones, la dispersión de su operación y el establecimiento de una oficina adicional en territorio nacional.

COMO REFERENCIA

• Las normas pueden referirse a distintos temas. BSI certifica en normas de medio ambiente (ISO 14001), calidad (ISO 9001), seguridad y salud laboral (OHSAS 18001), seguridad de la información (ISO/IEC 27001), tecnologías de la información (ISO/IEC 20000), continuidad de negocio (BS 25999), etc.

• Las normas británicas se llaman BS (denominación de British Standards) este seria el ejemplo de la norma de Continuidad de Negocio BS 25999.

Ciclo de continuidad del Negocio

1. Entendiendo/Conociendo la Organización.2. Determinando las Estrategias de Continuidad del Negocio.3. Desarrollando e Implementando un Plan de Respuesta.4. Probando, Manteniendo y Revisando