Seguridad de la Información, Auditoria, ISO 27001, ISO 20000, LOPD, ...

Audisec Consigue la Triple Certificación en ISO 27001, ISO 20000 y BS 25999

admin — Thu, 26 Aug 2010 07:05:33 +0000

AudiSec, Seguridad de la Información S.L. ha obtenido la certificación en las normas ISO 20000 (gestión de servicios TI) y BS 25999 (gestión de la continuidad de negocio), además de haber pasado con éxito la auditoria de seguimiento de la ISO 27001 (gestión de la seguridad de la información).

Desde Audisec Seguridad de la Información se ha optado por la integración de los tres sistemas en uno, optimizando procesos y costes, haciendo más competitiva a la compañia y creando un producto novedoso del que AudiSec Seguridad de la Información puede presumir.

Con este gran logro, AudiSec Seguridad de la Información S.L. se convierte en la primera empresa española en obtener esta triple certificación, dejando clara muestra de la apuesta que desde dentro de la organización se hace por la innovación y la mejora continua.

En cuanto a la auditoria, realizada por SGS, destacar que se hizo de manera integrada, siendo también innovadores en este aspecto y reduciendo nuevamente los costes y el trabajo interno.

Como factor competitivo para abordar con éxito este ambicioso proyecto se ha contado con la Suite de Herramientas Global, desarrolladas por Audisec Seguridad de la Información S.L.: GlobalSGSI, Global20000 y GlobalContinuity, integradas para poder gestionar el sistema como uno solo.

Gracias a las Herramientas Global se han podido reducir plazos de ejecución y optimizar la implantación de los procesos y medidas de seguridad y continuidad, ya que al contar con un entorno integrado donde realizar el proyecto las tareas han sido mucho más sencillas de realizar y posterormente de aprovechar por parte de todos los usuarios del sistema. Además, al tratarse de herramientas web, la mayoria de los trabajos se han podido ejecutar de forma paralela por todos los componentes del grupo de trabajo, ahorrando más del 60% del tiempo de implantación.

Se incrementan en un 75% las denuncias ante la AEPD

admin — Thu, 01 Jul 2010 07:50:35 +0000

Como se demuestra con esta noticia, cada vez va más en serio la protección de datos de carácter personal, es decir, nuestros datos, los datos de las personas.

Muchas veces se cuestiona la utilidad de esta ley, que realmente en ocasiones se queda en papel mojado, pero…¿qué pasaría si hubiese manga ancha para hacer cualquier cosa con nuestros datos?, mejor es no pensarlo…

La fuente de la noticia, vía “Tecnologiapyme“

Artículos sobre el Esquema Nacional de Seguridad (ENS)

admin — Thu, 24 Jun 2010 07:28:55 +0000

Os dejamos aquí cuatro artículos de Alejandro Delgado, director de proyectos de Audisec, hablando de forma muy amena sobre el Esqueman Nacional de seguridad.

Dichos artículos han sido publicados en la revista de la fundación DINTEL, un referente del sector.

http://www.revistadintel.es/Revista/Numeros/Numero2/Normas/delgado.pdf

http://www.revistadintel.es/Revista/Numeros/Numero3/Normas/delgado.pdf

http://www.revistadintel.es/Revista/Numeros/Numero5/Seguridad/ENS/delgado.pdf

http://www.revistadintel.es/Revista/Numeros/Numero6/Normas/delgado.pdf

Esperemos que os gusten.

ACTUALIZADO: tenemos un nuevo artículo sobre las medidas de seguridad del ENS, bastante práctico.

VII Jornada Internacional de Seguridad de la Información

admin — Mon, 26 Apr 2010 08:00:20 +0000

El próximo 25 de Mayo se celebrará la VII Jornada Internacional de Seguridad de la Información

Dicha Jornada va dirigida a todos los profesionales y expertos en Seguridad de la Información interesados en:

• Cloud Computing.

• Innovación en el sector de la Seguridad de la Información.

• Reducción de costes y la mejora del servicio como objetivo a conseguir.

• Adaptación de las nuevas tecnologías en la Administración Pública.

Para toda la información sobre la Jornada, les invitamos a que visiten la página Web, www.ismsforum.es . Sigan el siguiente enlace para información sobre el evento:
https://www.ismsforum.es/noticias/noticia.php?noticia=281

Eventos para la promoción de la 27001 y la 20000

admin — Tue, 06 Apr 2010 14:25:24 +0000

Audisec en colaboración con diferentes organismos, empresas e instituciones va a realizar durante el mes de abril una serie de eventos para dar a conocer las normas ISO 27001 e ISO 20000 por toda España.

Además, se presentarán las subvenciones que hay para certificarse en estos esquemas, siendo probablemente el penúltimo año que gocemos de estas ventajas para acceder a estas acreditaciones internacionales para nuestras empresas.

Los eventos son:

Día 8 de abril,Tres Cantos (Madrid). Organiza FEMAN (Federación Empresarial Madrid Norte)

Día 9 de abril, Madrid. Organiza Audisec.

Día 20 de abril, Madrid. Organiza Audisec.

Abril (fecha por confirmar) Evento en Cataluña.

Abril (fecha por confirmar) Evento en Castilla La Mancha.

Abril (fecha por confirmar) Evento en León.

Aprobado el Esquema Nacional de Seguridad (ENS)

admin — Mon, 11 Jan 2010 12:32:27 +0000

Aún no habíamos hablado de ello, pero ha sido aprobado por el consejo de ministros el pasado viernes el Real Decreto por el que se regula el esquema nacional de seguridad.

¿Qué es el Esquema Nacional de Seguridad?, a grandes rasgos, la 27001 adaptada a las administraciones públicas.

Próximamente hablaremos más de él.

ISO 27001 e ISO 20000

admin — Thu, 07 Jan 2010 21:07:57 +0000

Como todos sabemos (y los que no que lean atentamente) ISO 27001 (seguridad de la información) e ISO 20000 (gestión de servicios TI) tienen muchos puntos en común. La pergunta es evidente: ¿merece la pena implantar a la vez o es mejor comenzar por una de las dos normas?.

Para dar pistas sobre la respuesta (no dejan de ser opiniones) cabe resaltar que como aspectos comunes fundamentales tenemos:

Análisis de riesgos
Plan de continuidad de negocio
Plan de capacidad
Adquisiciones
Mejora continua: no confirmidades, acciones preventivas y acciones correctivas.
Auditoría interna
Revisión por la dirección.
Formación y concienciación.
Etc.

Por lo tanto, ¿merece la pena implantar a la vez?.

Servicio Cloud Cracker WPA

admin — Wed, 09 Dec 2009 15:21:20 +0000

Si, realmente es cómo lo habeis leido, un servicio de cracker WPA en la nube. Como ya es sabido el cifrado WPA en las redes WIFI es “vulnerable” por lo que se pude romper. Lo que es “nuevo” es un servicio de cracking que desde 17$ pone a trabajar a un cluster de computadores para consegurir crakear el cifrado WPA mediante un ataque por diccionario de 135 millones de palabras.

Eso si, en la web indican que esta destinado “…service for penetration testers and network auditors” ???

http://www.wpacracker.com/

Jornada ISO 27001

admin — Mon, 30 Nov 2009 15:29:33 +0000

Audisec, Seguridad de la Información y SGS organizan el próximo 2 de Diciembre de 2009 una jornada relativa a ISO 27001. Con el siguiente programa.

Más información en: www.audisec.es

9:00 – 9:30 Acreditación y recepción de los asistentes

9:30- Presentación del Evento

D. Enrique Polanco, Director de Seguridad Corporativa del Grupo Prisa.

9:45 “Plan Avanza: Impulso a la implantación y certificación ISO”

D. Luis Prieto Cuerdo, Subdirector Gral. para la Economía Digital; Dir. Gral. para el Desarrollo

de la Sociedad de la Información (MITYC)

10:10 “IsoQué?”

D. Antonio Quevedo, Director General (AUDISEC)

10:35 “IMPLANTACIÓN ISO 27001 CON GLOBALSGSI:

Retorno de inversión asegurado”

D. Alejandro Delgado, Director de Implantación ISO 27001 (AUDISEC)

11:00 Pausa Café

11:30 “GESTIÓN DE LA CONTINUIDAD DE NEGOCIO EN ISO 27001:2005”

D. Álvaro Rodriguez de Roa, Director de Seguridad de la Información y Gobierno TI SGS ICS (SGS ICS Ibérica S.A.)

11:50 “CASO DE ÉXITO EN PYMES: Una oportunidad de implantación”

D. Pedro Fuentes Rollón, Director General (GRUPO INEC, S.L.)

12:15 “CASO DE ÉXITO EN GRAN EMPRESA: Estrategia de negocio”

D. Gonzalo Huertas, Responsable de Desarrollo (UTI)

12:40 Vino Español

¿Nos afecta la LOPD si prestamos un servicio de mantenimiento técnico remoto?

pgarcia — Wed, 11 Nov 2009 08:50:22 +0000

Nos planteamos la cuestión, si nuestra empresa presta servicios de mantenimiento técnico, accediendo remotamente a los equipos de particulares o empresas, ¿estaremos bajo el ámbito de aplicación de la LOPD?.

Para ello, será necesario determinar si estamos realizando un tratamiento de datos, acudiendo a las definiciones que tanto la LOPD como su Reglamento de desarrollo establece del tratamiento de datos, como “cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

De esta amplia definición se deduce que la mera visualización de datos de carácter personal, tendrá la consideración de tratamiento de datos, de acuerdo con el criterio establecido por la Agencia Española de Protección de Datos y, por lo tanto, si en los equipos a los que tengamos acceso se almacenaran datos de carácter personal, la regulación de esta prestación de servicios deberá efectuarse conforme a los requisitos establecidos en el artículo 12 LOPD, adquiriendo la empresa la condición de encargado del tratamiento, no siendo válida como regulación en el contrato, la existencia única de una cláusula de confidencialidad de la información a la que se pudiera tener acceso, ya que al actuar como encargado del tratamiento será necesario establecer en el contrato los requisitos establecidos en el mencionado artículo 12 LOPD.