Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados"

Transcripción

1 ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2010

2 FORMATO PRELIMINAR AL DOCUMENTO Título: Fecha elaboración aaaa-mm-dd: Sumario: Palabras Claves: ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA 15/12/2010 Este documento presenta la correspondencia de estándares entre el Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea y otros de amplia utilización. Correspondencia, estándares, dominios, políticas, Modelo de Seguridad de la Información, MECI, COBIT, ITIL, NTC GP 1000, ISO Formato: DOC Lenguaje: Castellano Dependencia: Código: Ministerio de Tecnologías de la Información y las Comunicaciones- Programa Agenda de Conectividad Estrategia de Gobierno en línea Área de Operación y Apropiación: Convenio CINTEL 108 GEL108_M odelo_segu ridad_infor Versión: Estado: Documento Final macion Categoría: Autor (es): CINTEL Revisó: Aprobó: Información Adicional: Clara Teresa Martinez Rojas Gerente de Proyecto CINTEL Diana Patricia Peña Paez Consultora de Operación Programa Agenda de Conectividad Angélica Janneth Jaramillo Pinzón Consultora Desarrollo: Servicios de Gobierno en Línea Programa Agenda de Conectividad Francy Johanna Pimiento Coordinadora de Operación y Desarrollo Programa Agenda de Conectividad No disponible Firmas: Ubicación: Página 2 de 53

3 CONTROL DE CAMBIOS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN /12/2010 Extracción de documento de Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea. Página 3 de 53

4 TABLA DE CONTENIDO 1. INTRODUCCIÓN PROPÓSITO CORRESPONDENCIA DE ESTÁNDARES POLÍTICA DEL SISTEMA DE GESTIÓN POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD OBJETIVOS DE SEGURIDAD CORRESPONDENCIA DE ESTÁNDARES POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS AL CONTROL DE ACCESO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA NO REPUDIACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PRIVACIDAD Y CONFIDENCIALIDAD POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA INTEGRIDAD POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA DISPONIBILIDAD DEL SERVICIO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA DISPONIBILIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PROTECCIÓN DEL SERVICIO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS AL REGISTRO Y AUDITORIA Página 4 de 53

5 DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad de la Información con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del Programa Gobierno en línea. Todas las referencias a las políticas, definiciones o contenido relacionado, publicadas en la norma técnica colombiana NTC ISO/IEC 27001, así como a los anexos con derechos reservados por parte de ISO/ICONTEC. Página 5 de 53

6 1. INTRODUCCIÓN Existen muchos estándares a nivel internacional y algunos nacionales que abordan la problemática de seguridad de la información, en su mayoría plantean aproximaciones particulares al aseguramiento de la información y a las características que se deben cumplir para poder garantizar la misma. Este documento realiza un barrido de varios estándares de uso nacional con el fin de demostrar cómo los dominios planteados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea se ajustan a estos. Los estándares abarcados son: MECI NTC GP: 1000:2004 ISO27001 COBIT 4.1 ITIL v3 Página 6 de 53

7 2. PROPÓSITO El propósito de este documento es ofrecer una comparativa entre los dominios planteados en el Modelo y varios estándares relacionados con seguridad de la información que son de amplio uso nacional, con el fin de brindar un marco informativo para las entidades que proveen servicios para la estrategia de Gobierno en Línea. Página 7 de 53

8 3. CORRESPONDENCIA DE ESTÁNDARES Es importante mantener una relación de las políticas de seguridad de la información aplicables al programa Gobierno en línea, que se han desarrollado a lo largo del presente documento, y todas aquellas políticas y buenas prácticas condensadas en otros estándares que se han aplicado en las entidades públicas, por tal motivo se presentan a continuación el conjunto de consideraciones y la interrelación de políticas adaptadas del capítulo 6 del documento MODELO DE SEGURIDAD DE LA INFORMACIÓN SISTEMA SANSI - SGSI -, la cual complementa las políticas planteadas Política del Sistema de Gestión La Estrategia de Gobierno en línea requiere que la información que se gestiona a través de los servicios y trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales y preservar la privacidad personal. Esta política se enfoca a la protección de la confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de La máxima autoridad de las entidades públicas y privadas que participan en la cadena de prestación de servicios para la Estrategia de Gobierno en línea es responsable por implementar los requerimientos de seguridad que se plantean en la política con el fin proteger la información y activos públicos. El nivel de protección que cada entidad debe implementar para la información y los servicios de la Estrategia de Gobierno en Línea, debe corresponder a un proceso de análisis y evaluación de riesgos. La gestión de riesgos es un requerimiento del sistema de gestión de seguridad de la información. Este proceso se ha fortalecido en las entidades públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema de gestión de la calidad NTC GP 1000:2004 para las entidades públicas. El sistema de gestión de seguridad de la información para la Estrategia de Gobierno en línea es complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos de este sistema. En la implementación del sistema de gestión, se debe tener cuidado especial en la identificación de los elementos comunes, para evitar que se dupliquen esfuerzos Políticas y Objetivos de Seguridad de la Información Políticas de Seguridad Las políticas de seguridad que se plantean en este documento se basan en un análisis y evaluación de riesgos para cada una de las fases de la Estrategia de Gobierno en línea. Estas políticas representan Página 8 de 53

9 directrices generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de servicios durante las fases de implementación de la Estrategia de Gobierno en línea. Política de Control de Acceso Las entidades que provean servicios de Gobierno en Línea que requieran mayor nivel de seguridad como resultado de un análisis y evaluación de riesgos, deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo, deben implementar mecanismos y controles que aseguren el acceso bajo el principio del mínimo privilegio necesario para realizar las labores de cada cliente o usuario de dichos servicios. Igualmente, se deben implementar controles para una efectiva administración de usuarios y derechos de acceso. Política de no repudiación Las entidades que provean servicios de transacciones electrónicas para Gobierno en Línea, deben garantizar la no repudiación de las transacciones implementando mecanismos de seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios públicos, empresas), los proveedores del servicio (entidades certificadoras) y la entidad estatal con relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas. Política de Privacidad y Confidencialidad Los datos personales de los clientes y demás información enviada a través de los servicios de Gobierno en Línea deben ser protegidos y manejados de manera responsable y segura. Política de Integridad La información que se recibe o se envía a través de los servicios de Gobierno en Línea debe conservar los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Política de Disponibilidad del Servicio Las entidades que provean servicios de Gobierno en Línea deben asegurar la disponibilidad continua de los servicios bajo su control. Política de Disponibilidad de la Información Las entidades que provean servicios de Gobierno en Línea deben asegurar que los datos de los usuarios y clientes se mantienen protegidos contra pérdida por actos accidentales o intencionales o por fallas de los equipos. Página 9 de 53

10 Política de Protección del Servicio Las entidades que provean servicios de Gobierno en Línea deben asegurar que los servicios y sus activos de información relacionados estén adecuadamente protegidos contra ataques externos o internos. Política de Registro y Auditoría Las entidades que provean servicios de Gobierno en Línea deben mantener y proteger los registros de las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios Objetivos de Seguridad Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en línea, se establecieron objetivos de control asociados a cada política. Por otra parte, considerando que las entidades públicas como parte del proceso de modernización de la gestión pública han implementado el sistema de gestión integrado de control interno, MECI y el sistema de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, alineamiento de los requerimientos de seguridad de la información con estos sistemas con el fin de evitar duplicación de esfuerzos. Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la Información (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios de TI (ITIL) entre otros. En ese sentido, a continuación se identifica el alineamiento de los requerimientos de seguridad con éstas mejores prácticas Correspondencia de estándares Políticas de Seguridad de la Información asociadas al control de acceso MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o 2.1 Actividades de Control o 2.2 Información Página 10 de 53

11 o 2.3 Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección o Comunicación interna o Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o Comunicación con el cliente o 7.3 Diseño y desarrollo o Revisión del diseño y desarrollo o Verificación del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o Identificación y trazabilidad Página 11 de 53

12 o 8.4 Análisis de datos ISO27001 o CONTROL DE ACCESO o Requisito de la entidad para el control de acceso o Política de control de acceso o Gestión del acceso de usuarios o Registro de usuarios o Gestión de privilegios o Gestión de contraseñas para usuarios o Revisión de los derechos de acceso de los usuarios o Responsabilidades de los usuarios o Uso de contraseñas o Equipo de usuario desatendido o Política de escritorio despejado y pantalla despejada o Control de acceso a las redes o Política de uso de los servicios de red o Autenticación de usuarios para conexiones externas. o Identificación de los equipos en las redes o Protección de los puertos de configuración y diagnóstico remoto o Separación en las redes o Control de conexión a las redes Página 12 de 53

13 o Control de enrutamiento en la red o Control de acceso al sistema operativo o Procedimientos de ingresos seguros o Identificación y autenticación de usuarios o Sistema de gestión de contraseñas o Uso de las utilidades del sistema o Tiempo de inactividad de la sesión o Limitación del tiempo de conexión o Control de acceso a las aplicaciones y a la información. o Restricción de acceso a la información o Aislamiento de sistemas sensibles o Computación móvil y trabajo remoto o Computación y comunicaciones móviles o Trabajo remoto o Requisitos de seguridad de los sistemas de información o Análisis y especificación de los requisitos de seguridad o Controles criptográficos o Política sobre el uso de los controles criptográficos o Gestión de llaves COBIT 4.1 o PO2.3 Esquema de clasificación de datos Página 13 de 53

14 o PO3.4 Estándares tecnológicos o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o AI1.2 Reporte de análisis de riesgos o DS5.2 Plan de seguridad de TI o DS5.3 Administración de identidad o DS5.4 Administración de cuentas del usuario o DS5.7 Protección de la tecnología de seguridad o DS5.8 Administración de llaves criptográficas o DS5.10 Seguridad de la red o DS5.11 Intercambio de datos sensitivos ITIL v 3 o OPERACIÓN DEL SERVICIO o SO 4.5 Administración del acceso o SO Objetivo/Meta/Propósito o SO Alcance o SO Valor para el negocio o SO Políticas/principios/conceptos básicos o SO Procesos, actividades, métodos y técnicas o SO4.5.6 Triggers, entradas, salidas, interfaces entre procesos o SO Administración de Información o SO Métricas Página 14 de 53

15 o SO Desafíos, factores críticos de éxito y riesgos o SO 5.3 Administración de mainframe o SO 5.4 Administración y soporte de servidores o SO 5.5 Administración de la red o SO 5.7 Administración de bases de datos o SO 5.8 Administración de servicios de directorio o SO 5.10 Administración del middleware o SO 5.11 Administración de Internet y servicios web Políticas de Seguridad de la Información asociadas a la no repudiación MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección Página 15 de 53

16 o Comunicación interna o Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o Comunicación con el cliente o 7.3 Diseño y desarrollo o Revisión del diseño y desarrollo o Verificación del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o Identificación y trazabilidad o 8.4 Análisis de datos ISO27001 o Servicios de Comercio Electrónico o Comercio electrónico o Transacciones en línea o Información disponible al público Página 16 de 53

17 o Requisitos de seguridad de los sistemas de información o Análisis y especificación de los requisitos de seguridad o Controles criptográficos o Política sobre el uso de los controles criptográficos o Gestión de llaves COBIT 4.1 o AC4 Integridad y validez del procesamiento de datos o AC6 Autenticidad e integridad de las transacciones o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o AI2.3 Control y auditabilidad de las aplicaciones o AI2.4 Seguridad y disponibilidad de las aplicaciones. o DS5.8 Administración de llaves criptográficas o DS5.11 Intercambio de datos sensitivos o DS11.6 Requerimientos de seguridad para administración de datos ITIL v 3 o SO 5.10 Administración del middleware o SD Diseño de las soluciones del servicio o SD 5.2 Administración de información y datos Políticas de Seguridad de la Información asociadas a la privacidad y confidencialidad MECI o Ambiente de control Página 17 de 53

18 o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5. Responsabilidad de la dirección o Comunicación interna o Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o Comunicación con el cliente o 7.3 Diseño y desarrollo o Revisión del diseño y desarrollo o Verificación del diseño y desarrollo Página 18 de 53

19 o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o Identificación y trazabilidad o 8.4 Análisis de datos ISO27001 o Gestión de la prestación del servicio por terceras partes o Prestación del servicio o Monitoreo y revisión de los servicios por terceras partes o Gestión de los cambios en los servicios por terceras partes o Gestión de la seguridad de las redes o Controles de las redes o Seguridad de los servicios de la red o Respaldo o Respaldo de la información. o Intercambio de la información o Políticas y procedimientos para el intercambio de información o Acuerdos para el intercambio o Medios físicos en tránsito o Mensajería electrónica o Sistemas de información de la entidad Página 19 de 53

20 o Servicios de Comercio Electrónico o Comercio electrónico o Transacciones en línea o Información disponible al público o Requisito de la entidad para el control de acceso o Política de control de acceso o Gestión del acceso de usuarios o Registro de usuarios o Gestión de privilegios o Gestión de contraseñas para usuarios o Revisión de los derechos de acceso de los usuarios o Responsabilidades de los usuarios o Uso de contraseñas o Equipo de usuario desatendido o Política de escritorio despejado y pantalla despejada o Control de acceso a las redes o Política de uso de los servicios de red o Autenticación de usuarios para conexiones externas. o Identificación de los equipos en las redes o Protección de los puertos de configuración y diagnóstico remoto o Separación en las redes Página 20 de 53

21 o Control de conexión a las redes o Control de enrutamiento en la red o Control de acceso al sistema operativo o Procedimientos de ingresos seguros o Identificación y autenticación de usuarios o Sistema de gestión de contraseñas o Uso de las utilidades del sistema o Tiempo de inactividad de la sesión o Limitación del tiempo de conexión o Control de acceso a las aplicaciones y a la información. o Restricción de acceso a la información o Aislamiento de sistemas sensibles o Computación móvil y trabajo remoto o Computación y comunicaciones móviles o Trabajo remoto o Requisitos de seguridad de los sistemas de información o Análisis y especificación de los requisitos de seguridad o Controles criptográficos o Política sobre el uso de los controles criptográficos o Gestión de llaves COBIT 4.1 Página 21 de 53

22 o AC4 Integridad y validez del procesamiento de datos o AC6 Autenticidad e integridad de las transacciones o PO2.3 Esquema de clasificación de datos o PO3.4 Estándares tecnológicos o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o AI1.2 Reporte de análisis de riesgos o AI2.3 Control y auditabilidad de las aplicaciones o AI2.4 Seguridad y disponibilidad de las aplicaciones. o DS11.1 Requerimientos de la entidad para administración de datos o DS5.2 Plan de seguridad de TI o DS5.3 Administración de identidad o DS5.4 Administración de cuentas del usuario o DS5.7 Protección de la tecnología de seguridad o DS5.8 Administración de llaves criptográficas o DS5.10 Seguridad de la red o DS5.11 Intercambio de datos sensitivos o DS11.1 Requerimientos de la entidad para administración de datos o DS11.2 Acuerdos de almacenamiento y conservación o DS11.3 Sistema de administración de librerías de medios o DS11.4 Eliminación o DS11.5 Copias de seguridad y restauración Página 22 de 53

23 o DS11.6 Requerimientos de seguridad para administración de datos ITIL v 3 o SO 4.5 Administración del acceso o SO Objetivo/Meta/Propósito o SO Alcance o SO Valor para el negocio o SO Políticas/principios/conceptos básicos o SO Procesos, actividades, métodos y técnicas o SO Triggers, entradas, salidas, interfaces entre procesos o SO Administración de Información o SO Métricas o SO Desafíos, factores críticos de éxito y riesgos o SO Copia de respaldo y restauración o SO 5.3 Administración de mainframe o SO 5.4 Administración y soporte de servidores o SO 5.5 Administración de la red o SO 5.6 Almacenamiento y archivo o SO 5.7 Administración de bases de datos o SO 5.8 Administración de servicios de directorio o SO 5.10 Administración del middleware o SO 5.11 Administración de Internet y servicios web Página 23 de 53

24 o SD Diseño de las soluciones del servicio o SD 5.2 Administración de información y datos Políticas de Seguridad de la Información asociadas a la integridad MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección o Comunicación interna o Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio Página 24 de 53

25 o 7.2 Procesos relacionados con el cliente o Comunicación con el cliente o 7.3 Diseño y desarrollo o Revisión del diseño y desarrollo o Verificación del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o Identificación y trazabilidad o 8.4 Análisis de datos ISO27001 o Respaldo o Respaldo de la información. o Gestión de la seguridad de las redes o Controles de las redes o Seguridad de los servicios de la red o Requisito de la entidad para el control de acceso o Política de control de acceso o Gestión del acceso de usuarios o Registro de usuarios o Gestión de privilegios Página 25 de 53

26 o Gestión de contraseñas para usuarios o Revisión de los derechos de acceso de los usuarios o Control de acceso a las redes o Política de uso de los servicios de red o Autenticación de usuarios para conexiones externas. o Identificación de los equipos en las redes o Protección de los puertos de configuración y diagnóstico remoto o Separación en las redes o Control de conexión a las redes o Control de enrutamiento en la red o Computación móvil y trabajo remoto o Computación y comunicaciones móviles o Trabajo remoto o Controles criptográficos o Política sobre el uso de los controles criptográficos o Gestión de llaves COBIT 4.1 o AC4 Integridad y validez del procesamiento de datos o AC6 Autenticidad e integridad de las transacciones o PO2.3 Esquema de clasificación de datos o PO3.4 Estándares tecnológicos Página 26 de 53

27 o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o AI1.2 Reporte de análisis de riesgos o AI2.3 Control y auditabilidad de las aplicaciones o AI2.4 Seguridad y disponibilidad de las aplicaciones. o DS11.1 Requerimientos de la entidad para administración de datos o DS5.2 Plan de seguridad de TI o DS5.3 Administración de identidad o DS5.4 Administración de cuentas del usuario o DS5.7 Protección de la tecnología de seguridad o DS5.8 Administración de llaves criptográficas o DS5.10 Seguridad de la red o DS5.11 Intercambio de datos sensitivos o DS11.1 Requerimientos de la entidad para administración de datos o DS11.2 Acuerdos de almacenamiento y conservación o DS11.3 Sistema de administración de librerías de medios o DS11.4 Eliminación o DS11.5 Copias de seguridad and restoration o DS11.6 Requerimientos de seguridad para administración de datos ITIL v 3 o SO 4.5 Administración del acceso o SO Objetivo/Meta/Propósito Página 27 de 53

28 o SO Alcance o SO Valor para el negocio o SO Políticas/principios/conceptos básicos o SO Procesos, actividades, métodos y técnicas o SO Triggers, entradas, salidas, interfaces entre procesos o SO Administración de Información o SO Métricas o SO Desafíos, factores críticos de éxito y riesgos o SO Copia de respaldo y restauración o SO 5.3 Administración de mainframe o SO 5.4 Administración y soporte de servidores o SO 5.5 Administración de la red o SO 5.6 Almacenamiento y archivo o SO 5.7 Administración de bases de datos o SO 5.8 Administración de servicios de directorio o SO 5.10 Administración del middleware o SO 5.11 Administración de Internet y servicios web o SD Diseño de las soluciones del servicio o SD 5.2 Administración de información y datos Políticas de Seguridad de la Información asociadas a la disponibilidad del servicio MECI Página 28 de 53

29 o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección o Comunicación interna o Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o Comunicación con el cliente o 7.3 Diseño y desarrollo o Revisión del diseño y desarrollo Página 29 de 53

30 o Verificación del diseño y desarrollo o Control de los cambios del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o Identificación y trazabilidad o 8.4 Análisis de datos ISO27001 o Planificación y aceptación del sistema o Gestión de la capacidad o Aspectos de seguridad de la información, de la gestión de la continuidad de la entidad. o Inclusión de la seguridad de la información en el proceso de gestión de la continuidad de la entidad. o Continuidad de la entidad y evaluación de riesgos o Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la información. o Estructura para la planificación de la continuidad de la entidad o Pruebas, mantenimiento y reevaluación de los planes de continuidad de la entidad COBIT 4.1 o DS3 Administrar el desempeño y la capacidad o DS3.1 Planeación del desempeño y la capacidad o DS3.2 Capacidad y desempeño actual Página 30 de 53

31 o DS3.3 Capacidad y desempeño futuros o DS3.4 Disponibilidad de recursos de TI o DS3.5 Monitoreo y reporte o DS4 Garantizar la continuidad del servicio o DS4.1 IT Marco de trabajo de continuidad o DS4.2 Planes de continuidad de TI o DS4.3 Recursos críticos de TI o DS4.4 Mantenimiento del plan de continuidad de TI o DS4.5 Pruebas del plan de continuidad de TI o DS4.6 Entrenamiento del plan de continuidad de TI o DS4.7 Distribución del plan de continuidad de TI o DS4.8 Recuperación y reanudación de los servicios de TI o DS4.9 Almacenamiento de respaldos fuera de las instalaciones o DS4.10 Revisión post-reanudación ITIL v 3 o SO 4.1 Administración de eventos o SD 4.3 Administración de la capacidad o SD 4.4 Administración de la disponibilidad o SD Actividades de administración de la disponibilidad o SD 4.5 Administración de la continuidad del servicio o SD Etapa 1 - Inicio Página 31 de 53

32 o SD Etapa 2 Requerimientos y estrategia o SD Etapa 3 implementación o SD Etapa 4 - Operación continua o SO Copia de respaldo y restauración o SD Apéndice K Contenido de un plan de recuperación de desastres Políticas de Seguridad de la Información asociadas a la disponibilidad de la información MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o Control de documentos o Control de los registros o 5 Responsabilidades de la dirección Página 32 de 53

33 o Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad ISO27001 o Respaldo o Respaldo de la información COBIT 4.1 o DS4.9 Almacenamiento de respaldos fuera de las instalaciones o DS11.2 Acuerdos de almacenamiento y conservación o DS11.5 Respaldo y restauración o DS11.6 Requerimientos de seguridad para la administración de datos ITIL v 3 o SO Copia de respaldo y restauración o SD 5.2 Administración de información y datos Políticas de Seguridad de la Información asociadas a la protección del servicio MECI o Ambiente de control o Direccionamiento estratégico o Administración del riesgo o Actividades de Control o Información Página 33 de 53

34 o Comunicación pública o 5 Roles y responsabilidades NTC GP: 1000:2004 o 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos o 4.2 Gestión documental o 5 Responsabilidad de la dirección o Comunicación interna o Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad o 6.3 Infraestructura o 6.4 Ambiente de trabajo o 7.1 Planificación de la realización del producto y/o prestación del servicio o 7.2 Procesos relacionados con el cliente o Comunicación con el cliente o 7.3 Diseño y desarrollo o Revisión del diseño y desarrollo o Verificación del diseño y desarrollo o 7.4 Adquisición de bienes y servicios o 7.5 Producción y prestación del servicio o Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad o Identificación y trazabilidad Página 34 de 53

35 o 8.4 Análisis de datos ISO27001 o Gestión de la seguridad de las redes o Controles de las redes o Seguridad de los servicios de la red o Monitoreo o Registro de auditorias o Monitoreo del uso del sistema o Protección de la información del registro o Registros del administrador y del operador o Registro de fallas o Sincronización de relojes o Control de acceso a las redes o Política de uso de los servicios de red o Autenticación de usuarios para conexiones externas. o Identificación de los equipos en las redes o Protección de los puertos de configuración y diagnóstico remoto o Separación en las redes o Control de conexión a las redes o Control de enrutamiento en la red o Control de acceso al sistema operativo Página 35 de 53

36 o Procedimientos de ingresos seguros o Identificación y autenticación de usuarios o Sistema de gestión de contraseñas o Uso de las utilidades del sistema o Tiempo de inactividad de la sesión o Limitación del tiempo de conexión o Control de acceso a las aplicaciones y a la información o Restricción de acceso a la información o Aislamiento de sistemas sensibles o Computación móvil y trabajo remoto o Computación y comunicaciones móviles o Trabajo remoto o Requisitos de seguridad de los sistemas de información o Análisis y especificación de los requisitos de seguridad o Seguridad en los procesos de desarrollo y soporte o Procedimientos de control de cambios o Revisión técnica de las aplicaciones después de los cambios en el sistema operativo o Restricción en los cambios a los paquetes de software o Fuga de información o Desarrollo de software contratado externamente o Gestión de la vulnerabilidad técnica Página 36 de 53

37 o Control de vulnerabilidades técnicas o Gestión de los incidentes y las mejoras en la seguridad de la información o Responsabilidades y procedimientos. o Aprendizaje debido a los incidentes de seguridad de la información o Recolección de evidencia COBIT 4.1 o PO4.11 Segregación de funciones o PO3.4 Estándares tecnológicos o PO6.1 Ambiente de políticas y de control o PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI o PO8.3 Estándares de desarrollo y de adquisición o AI1.2 Reporte de análisis de riesgos o AI2.3 Control y auditabilidad de las aplicaciones o AI2.4 Seguridad y disponibilidad de las aplicaciones. o AI2.5 Configuración e implantación de software aplicativo adquirido o AI2.6 Actualizaciones importantes en sistemas existentes o AI2.7 Desarrollo de software aplicativo o AI2.8 Aseguramiento de la Calidad del Software o AI2.9 Administración de los requerimientos de aplicaciones o AI2.10 Mantenimiento de software aplicativo o AI3.2 Protección y disponibilidad del recurso de infraestructura Página 37 de 53

38 o AI3.3 Mantenimiento de la Infraestructura o AI4.2 Transferencia de conocimiento a la gerencia de la entidad o AI4.3 Transferencia de conocimiento a usuarios finales o AI4.4 Transferencia de conocimiento al personal de operaciones y soporte o AI5.2 Administración de contratos con proveedores o AI6.1 Estándares y procedimientos para cambios o AI6.2 Evaluación de impacto, priorización y autorización o AI6.3 Cambios de emergencia o AI6.4 Seguimiento y reporte del estatus de cambio o AI6.5 Cierre y documentación del cambio o AI7.1 Entrenamiento o AI7.2 Plan de prueba o AI7.3 Plan de implantación o AI7.4 Ambiente de prueba o AI7.5 Conversión de sistema y datos o AI7.6 Prueba de cambios o AI7.7 Prueba final de aceptación o AI7.8 Transferencia a producción o AI7.9 Liberación de software o AI7.10 Distribución del sistema o AI7.11 Registro y rastreo de cambios Página 38 de 53

39 o AI7.12 Revisión posterior a la implantación o DS2.3 Administración de riesgos del proveedor o DS2.4 Monitoreo del desempeño del proveedor o DS 5.7 Protección de la tecnología de seguridad o DS5.10 Seguridad de la red o DS9 Administrar la configuración o DS9.1 Repositorio de configuración y línea base o DS9.2 Identificación y mantenimiento de elementos de configuración o DS9.3 Revisión de integridad de la configuración o ME1.2 Definición y recolección de datos de monitoreo o ME2.2 Revisiones de Auditoría o ME2.5 Aseguramiento del control interno o ME4.7 Aseguramiento independiente. o DS5.1 Administración de la seguridad de TI o DS5.2 Plan de seguridad de TI o DS5.3 Administración de identidad o DS5.4 Administración de cuentas del usuario o DS5.5 Pruebas, vigilancia y monitoreo de la seguridad o DS5.6 Definición de incidente de seguridad o DS5.7 Protección de la tecnología de seguridad o DS5.8 Administración de llaves criptográficas Página 39 de 53

40 o DS5.9 Prevención, detección y corrección de software malicioso o DS5.10 Seguridad de la red o DS8 Administrar la mesa de servicio y los incidentes o DS8.1 Mesa de Servicios o DS8.2 Registro de consultas de clientes o DS8.3 Escalamiento de incidentes o DS8.4 Cierre de incidentes o DS8.5 Análisis de tendencias o DS10 Administración de problemas o DS10.1 Identificación y clasificación de problemas o DS10.2 Rastreo y resolución de problemas o DS10.3 Cierre de problemas o DS10.4 Integración de las administraciones de cambios, configuración y problemas ITIL v 3 o SD Diseñando soluciones y servicios o SO 4.5 Administración del acceso o SO Objetivo/Meta/Propósito o SO Alcance o SO Valor para el negocio o SO Políticas/principios/conceptos básicos o SO Procesos, actividades, métodos y técnicas Página 40 de 53

41 o SO Triggers, entradas, salidas, interfaces entre procesos o SO Administración de Información o SO Métricas o SO Desafíos, factores críticos de éxito y riesgos o SO Copia de respaldo y restauración o SO 5.3 Administración de mainframe o SO 5.4 Administración y soporte de servidores o SO 5.5 Administración de la red o SO 5.6 Almacenamiento y archivo o SO 5.7 Administración de bases de datos o SO 5.8 Administración de servicios de directorio o SO 5.10 Administración del middleware o SO 5.11 Administración de Internet y servicios web o SD Diseño de las soluciones del servicio o SD 5.2 Administración de información y datos Políticas de Seguridad de la Información asociadas al registro y auditoria MECI o 3.1 Autoevaluación o 3.2 Evaluación independiente o 3.3 Planes de mejoramiento NTC GP: 1000:2004 Página 41 de 53

42 o Revisión del diseño y desarrollo o Verificación del diseño y desarrollo o Validación de los procesos de producción y de la prestación del servicio o 7.6 Control de los dispositivos de seguimiento y de medición o 8 Medición, análisis y mejora o Auditoría interna del sistema de gestión de la calidad o 8.2 Seguimiento y medición de los procesos o Seguimiento y medición del producto y/o servicio o 8.3 Control del producto y/o servicio no conforme ISO27001 o Monitoreo o Registro de auditorias o Monitoreo del uso del sistema o Protección de la información del registro o Registros del administrador y del operador o Registro de fallas o Sincronización de relojes COBIT 4.1 o AI2.3 Control y auditabilidad de las aplicaciones o DS5.5 Pruebas, vigilancia y monitoreo de la seguridad o DS5.7 Protección de la tecnología de seguridad Página 42 de 53

43 o ME1.2 Definición y recolección de datos de monitoreo o ME2.2 Revisiones de Auditoria o ME2.5 Aseguramiento del control interno o ME4.7 Aseguramiento independiente. ITIL v 3 o SO 5.1 Monitoreo y control o SD 8.5 Medición del diseño del servicio o CSI 4.1 Los siete pasos del proceso de mejoramiento del servicio o CSI 5.3 Benchmarking o CSI 4.1g Siete pasos para implementar acciones correctivas o CSI 8 Implementar mejoramiento continuo del servicio En la Tabla 1 y en la Tabla 2 se puede observar la relación existente entre varios estándares de seguridad de la información, las características comunes y los elementos en los que concuerdan o difieren. Este análisis permite tomar elementos de estándares ya implementados en las entidades del estado y alinearlos a las políticas de seguridad de la información planteadas. Tabla 1: Interrelación de estándares de seguridad de la información PROPÓSITO ISO ISM3 ISF-SOGP Brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). Prevenir y mitigar ataques, errores y accidentes que puedan comprometer la seguridad de los sistemas de información y los procesos organizacionales que los soportan. Optimizar el uso de los recursos (la información, las inversiones y gastos, las personas, el tiempo y la infraestructura). Promover buenas prácticas de seguridad de la información en las organizaciones. Ayudar a mejorar el nivel de seguridad para reducir los riesgos de información a un nivel aceptable. Página 43 de 53

44 PROPÓSITO COBIT ITIL AS NZ 4360 NTC GP 1000 MECI Conjunto de buenas prácticas para el gobierno, control y aseguramiento de TI cuyo propósito es asegurar efectividad en la implantación de TI de manera que minimice los riesgos tecnológicos y maximice los beneficios de las inversiones de TI. Promover un enfoque da calidad para lograr efectividad y eficiencia en la prestación de servicios de TI. Proporcionar guía para permitir que las empresas públicas, privadas o comunitarias, los grupos y los individuos logren entre otros: Una base más rigurosa, y confiable para la toma de decisiones y la planificación; mejor identificación de las oportunidades y las amenazas; Ganar valor a partir de la incertidumbre y la variabilidad; una gestión proactiva y no reactiva. Establecer los requisitos para la implementación de un sistema de gestión de la calidad aplicable a la rama ejecutiva del poder público y otras entidades prestadoras de servicios. Establecer las políticas, los métodos y mecanismos de prevención, control, evaluación y de mejoramiento permanente de la entidad pública, que le permiten el cumplimiento de sus objetivos institucionales y la finalidad social del estado en su conjunto. PRINCIPIOS ISO Adhesión a los principios de la OCDE para la seguridad de sistemas y redes: Toma de conciencia Responsabilidad Respuesta Valoración de riesgos Diseño e Implantación de seguridad Gestión de la seguridad Reevaluación Página 44 de 53

45 PRINCIPIOS ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 Plantea los siguientes objetivos básicos de seguridad: El uso de servicios y el acceso a repositorios está restringido a usuarios autorizados; La disponibilidad de los repositorios, servicios y canales excede las expectativas de los clientes; La confiabilidad y el desempeño de los servicios y canales excede las expectativas de los clientes; La existencia de repositorios y servicios está asegurada tanto como las expectativas de los clientes; Los repositorios que terminen su ciclo de vida son destruidos; Se asegura la precisión, importancia y consistencia de los repositorios; La fecha y el tiempo exacto se refleja en todos los registros; Se propicia que los usuarios sean responsables por los repositorios y mensajes que ellos crean o modifican; Se propicia que los usuarios sean responsables por el uso de servicios y aceptación de contratos y acuerdos; Define como principios los controles de seguridad para cada una de las seis secciones que componen el documento. Los principios de más alto nivel se resumen así: Compromiso demostrado de la alta dirección con la seguridad de la información. Especificación de responsabilidades por la seguridad de la información en los contratos del personal. El Comité directivo o su equivalente debería tener el control sobre la seguridad de la información. El marco de referencia de Cobit se basa en el siguiente principio: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural". Administración integrada de servicios Orientación hacia los clientes y usuarios de la tecnología Los principios se pueden inferir como: Identificación de amenazas y oportunidades Conciencia y cultura Responsabilidad en la toma de decisiones Comunicación Relación de costo beneficio Página 45 de 53

46 PRINCIPIOS NTC GP 1000 MECI Enfoque hacia el cliente Liderazgo Participación activa Enfoque basado en los procesos Enfoque del sistema para la gestión Mejora continua Enfoque basado en hechos para la toma de decisiones Relaciones mutuamente beneficiosas con proveedores de bienes o servicios Coordinación, cooperación y articulación Transparencia Principios de la función administrativa: Responsabilidad, transparencia, moralidad, igualdad, imparcialidad, eficiencia, eficacia, economía, celeridad, publicidad, preservación del medio ambiente. Los fundamentos que lo enmarcan: Autocontrol, autogestión y autorregulación. MODELO PHVA ISO ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI La norma adopta el modelo de procesos PHVA. Enfoque basado en procesos. Para cada proceso se identifica el nivel de la organización responsable del proceso, dueño del proceso, objetivo del proceso, métricas, entradas, salidas y actividades del proceso entre otros. Es aplicable el modelo PHVA. El enfoque está orientado a controles. Describe un conjunto de objetivos de control y controles para seguridad de información en 6 áreas claves. La estructura de procesos de TI definida en Cobit se enfoca en el modelo PHVA. Orientado a procesos y es aplicable el modelo PHVA. Enfoque orientado a procesos aplicando PHVA Enfoque orientado a procesos aplicando PHVA Enfoque de operación basado en procesos. NIVELES DE MADUREZ ISO No se especifican Página 46 de 53

47 ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI Niveles de madurez de capacidad: Indefinido; Definido; Administrado; Controlado; Optimizado. Niveles de madurez de cubrimiento: Nivel 1 inversión mínima con mínima reducción del riesgo; Nivel 2 inversión moderada con reducción adicional de riesgo; Nivel 3 inversión significativa con alta reducción del riesgo; Nivel 4 inversión alta con alta reducción del riesgo; Nivel 5 similar a la anterior más el uso obligatorio de métricas. No hay especificación. Para cada proceso de TI se define un modelo de madurez: 0 - Inexistente (No existe el proceso); 1 - Inicial (Proceso adhoc y desorganizado); 2 - Repetible (sigue un patrón regular); 3 - Definido (proceso documentado y comunicado); 4 - Administrado (proceso monitoreado y medido) ; 5 - Optimizado (las mejores prácticas seguidas y automatizadas); No se especifican No se especifican No se especifican No se especifican ESTABLECIMIENTO DEL SISTEMA DE GESTIÓN ISO Establecimiento y gestión del SGSI Establecimiento del SGSI Implementación y Operación del SGSI Seguimiento y revisión del SGSI Mantenimiento y mejora del SGSI ISM Establecer y mejorar el SGSI ISF-SOGP SM Administración de la seguridad COBIT La implementación de los procesos de TI de Cobit apoya el SGSI que se adopte. Los criterios de confidencialidad, integridad, disponibilidad y cumplimiento son impactados principalmente por los procesos: P02, P09, AI6, DS45, DS5, DS11, DS12 y ME3. ITIL Se direcciona en el libro Estrategia del Servicio AS NZ 4360 Se direcciona en el numeral 4 Establecimiento de una Gestión eficaz de riesgo. NTC GP , Sistema de Gestión de la calidad 4.1 Requisitos Generales Seguimiento y medición de los procesos Seguimiento y medición del producto MECI 1.Subsistema de Control Estratégico 2. Subsistema de Control de Gestión. 2.1 Componente actividades de control GESTIÓN DE RIESGOS Página 47 de 53

48 GESTIÓN DE RIESGOS ISO Establecimiento del SGSI, numerales c) al j) c) Definir enfoque organizacional para la valoración de riesgos d) Identificar los riesgos e) Analizar y evaluar los riesgos f) Identificar y evaluar las opciones de tratamiento de los riesgos g) Seleccionar objetivos de control y controles para el tratamiento de riesgos h) Obtener Aprobación de la dirección sobre los riesgos residuales propuestos i) Obtener aprobación de la dirección para implementar y operar el SGSI j) Elaborar declaración de aplicabilidad ISM3 GP-01G Política de administración de riesgos GP-3 Diseño y evolución ISF-SOGP SM3.3 Gestionar Análisis de riesgos de información SM3.4 Metodologías de Análisis de riesgos de información CB5.3 Análisis de Riesgos de Información CI5.4 Análisis de Riesgos de Información NW4.4 Análisis de Riesgos de Información SD3.5 Análisis de riesgos de información COBIT P09 Administrar y evaluar los riesgos de TI. Otros procesos con impacto primario en la gestión de riesgos: P04,P06, P09, DS2, DS4, DS5, DS11, DS12, ME2, ME3, ME4 ITIL Se menciona en los 5 libros a través del ciclo de vida del servicio. Se focaliza en los riesgos relacionados con la disponibilidad del servicio y con la efectividad y eficiencia en la prestación del servicio. AS NZ 4360 Es el fundamento de la norma. Las etapas del proceso son: a) Comunicación y consulta b) Establecimiento del contexto c) Identificación de los riesgos d) Análisis de los riesgos e) Evaluación de los riesgos f) Tratamiento de los riesgos g) Monitoreo y Revisión NTC GP Requisitos generales g) identificar y diseñarlos puntos de control sobre losriesgos de mayor probabilidad de ocurrencia en las materias y funciones que le competen a cada entidad Control de la producción y de la prestación del servicio g) los riesgos de mayor probabilidad Acción preventiva MECI 1.3 Componente Administración de Riesgos Contexto estratégico Identificación de riesgos Análisis de Riesgos Valoración del Riesgo Políticas de administración del riesgo Página 48 de 53

49 REQUISITOS DE DOCUMENTACIÓN ISO Requisitos de documentación Generalidades Control de documentos Control de Registros ISM3 GP-1 Administración de Documentos ISF-SOGP Se hace referencia a la documentación en las 6 secciones del documento. COBIT Cobit hace referencia a la documentación en los controles de los procesos, PC6 Políticas, Planes y Procedimientos, además de los procesos: AI4.4, AI6.5, AI7.9, DS13.1. ITIL Se menciona en varios lugares de los libros, como por ejemplo: SD Apéndice C Documentación de Procesos, SO 3.7 Documentación, ST 4.7 Administrar el conocimiento, SD Apéndice D Diseñando y planeando documentos y su contenido. AS NZ 4360 Es tratado en las siguientes secciones: 3.8 Registro del Proceso de Gestión del Riesgo Desarrollo y comunicación de la política de gestión de riesgo NTC GP Requisitos de la documentación Generalidades Manual de la calidad Control de los documentos Control de los registros MECI Manual de procedimientos RESPONSABILIDAD Y COMPROMISO DE LA DIRECCIÓN ISO Responsabilidad de la dirección 5.1 Compromiso de la dirección ISM3 Explícitamente no se mencionan aspectos de responsabilidad y compromiso de la dirección para establecer y mantener el modelo, no obstante, uno de los factores críticos de éxito de implementación del modelo es la alineación de los objetivos de seguridad con los objetivos y necesidades de la entidad, lo cual permite suponer acuerdos y consenso entre la administración y TI para la implementación del Modelo. Cada proceso de seguridad tiene un dueño identificado. Numerales relacionados: 4.3 Objetivos de seguridad y 5. Requerimientos de certificación. ISF-SOGP SM1 Direccionamiento de Alto Nivel COBIT Los procesos con impacto primario en alineamiento estratégico y que implican compromiso de la dirección son: PO1, PO2, PO6 - PO10, AI1, AI2, DS1, ME3, ME4 ITIL Se direcciona en el libro Estrategia del Servicio. Página 49 de 53

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO OFICINA ASESORA DE PLANEACIÓN, Junio 2013 Elaborado por : Carlos Fernando Campos Sosa CONTENIDO QUÉ ES EL SISTEMA INTEGRADO DE GESTIÓN?... 1 POR QUÉ ES ÚTIL EL SIG?... 3 CÓMO CONTRIBUIMOS A IMPLEMENTAR

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ Tabla de contenido 1 INTRODUCCIÓN... 3 2 ALCANCE... 3 3 OBJETIVO GENERAL... 4 3.1 OBJETIVOS ESPECÍFICOS... 4 4 REQUISITOS PARA LA IMPLEMENTACIÓN DEL PROGRAMA DE GESTIÓN DOCUMENTAL... 5 4.1 REQUISITOS NORMATIVOS...

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

[Guía de auditoría AudiLacteos]

[Guía de auditoría AudiLacteos] [Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

SISTEMA INTEGRADO DE GESTION DE CALIDAD Y CONTROL INTERNO ALCALDIA MUNICIPAL DE SABANAGRANDE

SISTEMA INTEGRADO DE GESTION DE CALIDAD Y CONTROL INTERNO ALCALDIA MUNICIPAL DE SABANAGRANDE SISTEMA INTEGRADO DE GESTION DE CALIDAD Y CONTROL INTERNO ALCALDIA MUNICIPAL DE SABANAGRANDE MODELO ESTANDAR DE CONTROL INTERNO MECI 1000:2005 CONTROL INTERNO Conjunto de principios, fundamentos, reglas,

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

seguridad de la Información. Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL

seguridad de la Información. Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL CobiT como promotor de la seguridad de la Información. H i l G bi d TI Hacia el Gobierno de TI Lucio Augusto Molina Focazzio, CISA IT Governance Committee member CobiT Accredited Trainer Certified ITIL

Más detalles

5a. Academia de Actualización

5a. Academia de Actualización 5a. Academia de Actualización Profesional 2008 Modelos de Madurez para la mejora de la Gestión de IT PwC Agenda / Contenido Qué implica la Gestión de IT? Características generales de un Modelo de Madurez

Más detalles

GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL

GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL Personería Municipal Cucunubá Cundinamarca Comité Interno de Archivo Personero Municipal Víctor Alfonso Poveda Sánchez Secretaria de Personería Luz Elena

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

MODELO ESTANDAR DE CONTROL INTERNO - MECI

MODELO ESTANDAR DE CONTROL INTERNO - MECI 1 de 14 25/11/2015 06:02 a.m. MODELO ESTANDAR DE CONTROL INTERNO - MECI A. ENTORNO DE CONTROL A1 La entidad: Pregunta a. ha organizado el equipo MECI. b. Ha identificado sus funciones acorde con la normatividad

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO 1 METODOLOGIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO INES SIERRA RUIZ JEFE OFICINA Bucaramanga, 2008 2 CONTENIDO

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Seguridad de la Información

Seguridad de la Información Gestión de Riesgos ISO 27001/27005 & ISO 31000 Seguridad de la Información Germán Castro Arévalo CROSS BORDER TECHNOLOGY Abril 15, 2013 Agenda Introducción Conceptos básicos sobre seguridad de la información

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0

LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0 LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0 LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0. Ministerio de Tecnologías de la Información

Más detalles

GUÍA PARA LA ELABORACIÓN DE DOCUMENTOS DIRECCIÓN DE PLANEACIÓN

GUÍA PARA LA ELABORACIÓN DE DOCUMENTOS DIRECCIÓN DE PLANEACIÓN GUÍA PARA LA ELABORACIÓN DE DOCUMENTOS DIRECCIÓN DE PLANEACIÓN 1. Objetivo Establecer e implantar los criterios y características para la elaboración y codificación de los documentos del Sistema Integrado

Más detalles

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL

AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN AFINES OBJETIVOS OBJETIVOS DE CONTROL AI 2 ADQUISICIÓN Y MANTENIMIENTO DE SOFTWARE DE APLICACIÓN OBJETIVOS 1 Métodos de Diseño 2 Cambios Significativos a Sistemas Actuales 3 Aprobación del Diseño 4 Definición y Documentación de Requerimientos

Más detalles

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PROPUESTA DE IMPLEMENTACION DEL MARCO DE GESTION COBIT por

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL

PROGRAMA DE GESTIÓN DOCUMENTAL Código: Aprobó: Olga Sanabria Amín Vicepresidente Financiera y Administrativa Reviso: Carlos Alejandro Vanegas Gerente de Logística Elaboró: Grupo de Gestión Documental Gerencia de Logística VFA-OD-PGD-

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

Unidad 4 Sistema Integrado de Gestión

Unidad 4 Sistema Integrado de Gestión Unidad 4 Sistema Integrado de Gestión 4.1 Componentes del Sistema Integrado de Gestión Un sistema integrado de gestión es aquel que reúne un conjunto de actividades relacionadas entre sí que tiene por

Más detalles

GESTION DOCUMENTAL PROGRAMA DE GESTION DOCUMENTAL

GESTION DOCUMENTAL PROGRAMA DE GESTION DOCUMENTAL GESTION DOCUMENTAL PROGRAMA DE GESTION DOCUMENTAL Personería Municipal de Berbeo Boyacá Comité Interno de Archivo Personero Municipal Jorge Enrique Chaparro Mora 06 de Febrero de 2015 1 CONTENIDO 1. INTRODUCCIÓN

Más detalles

GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL

GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL Personería Municipal de Choachí Cundinamarca Comité de Archivo Personero Municipal VICTOR ARCENIO PRIETO GONZALEZ Secretaria de Personería YOLANDA IBAGÓN

Más detalles

AUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN

AUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN Instituto Nacional de Tecnología Industrial Programa de Metrología Legal Sede Central - Av. Gral. Paz 5445 e/ Albarellos y Av. Constituyentes - B1650KNA C.C. 157 B1650WAB San Martín, Prov. Buenos Aires

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL

PROGRAMA DE GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL CÁMARA DE COMERCIO Bogotá, D.C.; Octubre de 2015 Versión 1.0 Tabla de contenido 1 INTRODUCCIÓN... 5 2 ALCANCE... 6 3 OBJETIVO GENERAL... 6 3.1 OBJETIVOS ESPECÍFICOS... 6

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Ing. Nicolás Serrano nserrano@bcu.gub.uy

Ing. Nicolás Serrano nserrano@bcu.gub.uy Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles