Lista de verificación norma ISO (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)"

Transcripción

1 Lista de verificación norma ISO (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la Documento de la política de seguridad de la PREGUNTA DE AUDITORIA HALLAZGOS CUMPLIMIENTO Existe una política de seguridad de la aprobada por la administración, publicada y comunicada apropiadamente a todos los funcionarios? Dicha política establece el compromiso de la administración y el enfoque de la gestión de seguridad de la? Revisión y evaluación Existe un responsable de la política de seguridad de la, que tiene a cargo su mantenimiento y revisión de acuerdo con un proceso definido? 4. Seguridad organizacional 4.1. Estructura para la seguridad de la Comité de la Dirección sobre seguridad de la Coordinación de la seguridad de la Asignación de responsabilidades para la seguridad de la Proceso de autorización para instalaciones de procesamiento de datos Asesoría por parte de un especialista en seguridad de la El proceso de revisión asegura que se dé una revisión como respuesta a cualquier cambio que afecte la línea de base inicial; por ejemplo: incidentes de seguridad significativos, nuevas vulnerabilidades o cambios organizacionales o en la infraestructura técnica? Existe un comité de la dirección que asegura un rumbo claro y un apoyo visible de las iniciativas de seguridad dentro de la organización? Existe un comité interdisciplinario con representantes de las diferentes áreas de la organización que coordina la implementación de los controles de seguridad de la? Se han definido claramente responsabilidades para proteger los elementos individuales y para llevar a cabo procesos de seguridad específicos? Se ha implementado un proceso de autorización para las instalaciones de procesamiento de datos? Se cuenta con la asesoría de especialistas en seguridad cuando se los requiere? Se cuenta con un funcionario encargado de coordinar el conocimiento y experiencias internas para asegurar la consistencia de las decisiones de seguridad y colaborar en el 1

2 desarrollo? Cooperación entre organizaciones Se mantienen contactos apropiados con representantes de las autoridades, entes reguladores, proveedores de servicios de y telecomunicaciones, de manera tal que en caso de incidentes de seguridad se pueda recibir un respaldo apropiado? Revisión independiente de la seguridad de la 4.2. Seguridad del acceso por terceras partes Identificación de riesgos por el acceso de terceras partes La implementación de la política de seguridad es revisada de manera independiente de forma periódica? Se han identificado riesgos por acceso de terceras partes y se han implementado los controles apropiados? Requisitos de seguridad en contratos con terceras partes 4.3. Contratación externa(outsourcing) Requisitos de seguridad en contratos de contratación externa Se han identificado y clasificado los tipos de acceso y se conocen las justificaciones para los mismos? Los contratos incluyen, de manera formal y detallada, todos los requerimientos para garantizar el cumplimiento de la política de seguridad y los estándares de la organización? Los requerimientos de seguridad son tratados en los contratos con las terceras partes cuando se ha contratado la gestión de sistemas de, redes o ambientes de cómputo? El contrato debe incluir la manera en la que deben ser cumplidos los requerimientos legales, la manera en la que es mantenida y verificada la seguridad de los recursos de la, los derechos para auditar; de igual forma debe incluir aspectos de seguridad física y cómo se garantiza la disponibilidad de los servicios en eventos de desastre? 5. Clasificación y control de activos 5.1. Responsabilidad de activos Inventario de activos Existe un inventario de activos de la de la organización, el cual se mantiene actualizado? Cada activo identificado tiene su propietario, su clasificación de seguridad definida y aprobada y su ubicación identificada? 5.2. Clasificación de la Guías de clasificación Existe una guía de clasificación de la que ayuda a Etiquetado y manejo de la 6. Seguridad del personal 6.1. Seguridad en la definición de cargos y suministro de recursos. determinar cómo debe ser manejada y protegida la? Existen procedimientos definidos para el etiquetado y manejo de la de acuerdo con el esquema de clasificación adoptado por la organización? 2

3 Inclusión de la seguridad en las responsabilidades laborales Los roles y responsabilidades definidos en la política de seguridad de la están documentados apropiadamente? Selección y políticas sobre personal En el momento de contratación del personal permanente, se realizaron las verificaciones correspondientes de la suministrada? Acuerdos de confidencialidad Los empleados en el momento de su contratación firmaron un acuerdo de confidencialidad que incluye los aspectos de Términos y condiciones de relación laboral 6.2. Formación del usuario Educación y formación en seguridad de la 6.3. Respuesta a incidentes y anomalías en materia de seguridad Reporte de los incidentes de seguridad seguridad de la? Los términos y condiciones de la relación laboral cobija la responsabilidad de los empleados respecto a la seguridad de la? Los empleados de la organización y de terceras partes reciben capacitación en la seguridad de la y son actualizados con respecto a las políticas y los procedimientos organizacionales? Existe un procedimiento establecido para reportar, tan rápido como sea posible, los incidentes a través de canales de gestión apropiados? Existe un procedimiento establecido para reportar debilidades de seguridad? Reporte de las debilidades de la seguridad Reporte de las anomalías del Existe un procedimiento establecido para reportar anomalías en el funcionamiento del software? software Aprendizaje de los incidentes Existe un mecanismo establecido que permite tipificar, evaluar y cuantificar los incidentes, debilidades y anomalías de funcionamiento? Proceso disciplinario Existe un proceso disciplinario formal establecido para sancionar a los empleados que violen la política de seguridad de la de la organización? 7. Seguridad física y del entorno 7.1. Áreas seguras Perímetro de seguridad física Qué elementos de seguridad física protegen los sitios de procesamiento e? Controles de acceso físico Qué controles de acceso físico existen en la organización y en Seguridad de oficinas, recintos e instalaciones qué lugares se encuentran ubicados? Pueden cerrarse las instalaciones de procesamiento de o contienen gabinetes de seguridad? Las instalaciones de procesamiento de están protegidas de desastres naturales o humanos? Trabajo en áreas seguras Existen controles de protección para personal o terceras partes 3

4 Áreas de despacho y de carga aisladas que trabajan en áreas seguras? Se encuentran convenientemente separadas las áreas de despacho y carga de las zonas seguras para evitar riesgos de acceso? 7.2 Seguridad de los equipos Ubicación y protección de equipos Los equipos se encuentran ubicados apropiadamente para minimizar riesgos de acceso innecesarios? Existe una política para evitar el consumo de bebidas y alimentos en las instalaciones de procesamiento de equipos? Las condiciones ambientales, que pueden afectar el funcionamiento de las plataformas de procesamiento de equipos, son controladas y monitoreadas? Suministro de energía Los equipos son protegidos de fallas del fluido eléctrico como UPS, generadores de respaldo, etc.? Seguridad del cableado Los tendidos de cableado eléctrico y de telecomunicaciones está protegido contra interceptaciones? Mantenimiento de equipos Se realiza el mantenimiento de los equipos de acuerdo con las recomendaciones de los proveedores? Seguridad de los equipos fuera de las instalaciones Seguridad en la reutilización o eliminación de equipos 7.3. Controles generales Política de puesto de trabajo despejado y bloqueo de pantalla El mantenimiento sólo es llevado a cabo por personal autorizado? Se cuenta con un registro actualizado de los equipos de su mantenimiento, fallas y medidas preventivas y correctivas? Cuando es necesario transportar equipos, se cuenta con los controles apropiados? Toda utilización de equipos fuera de las instalaciones de la organización es autorizada formalmente por la administración? Los equipos utilizados fuera de las instalaciones cuentan al menos con las mismas condiciones de seguridad con que cuentan dentro de las mismas? Los dispositivos de almacenamiento que contienen sensitiva son físicamente destruidos o sobreescritos cuando no se requiere guardar más en ellos? Se utilizan, por política, bloqueadores de pantalla que se activan cuando no se está utilizando el equipo? Los empleados dejan abandonado material confidencial en forma impresa sobre sus puestos de trabajo? Retiro de bienes Se pueden retirar equipos, software o de puestos de trabajo sin la autorización apropiada? 4

5 8. Gestión de comunicaciones y operaciones 8.1. Procedimientos operacionales y responsabilidades Procedimientos de operación y documentación Control de los cambios operacionales Procedimientos para administración de incidentes Se realizan verificaciones regulares o auditorías sorpresa para detectar el retiro de elementos no autorizado? En la política de seguridad se identifican procedimientos operativos como backup, mantenimiento de equipos u otros? Dichos procedimientos están documentados y son utilizados? Los aplicativos de los sistemas de están sujetos a un mecanismo de control de cambios, y se exige una autorización antes de ejecutar cualquier cambio en producción? Se mantienen los registros de los cambios? Existe un procedimiento de gestión de incidentes para manejar los incidentes de seguridad? El procedimiento considera los diferentes tipos de incidentes? Se lleva un registro de los incidentes que se presentan y se toman medidas especiales en el caso de incidentes recurrentes? Separación de funciones Se separan las funciones y áreas de responsabilidad para reducir oportunidades de modificaciones no autorizadas de la o usos indebidos de la misma o de servicios? El entorno de desarrollo y pruebas está separado del de producción? Separación de las instalaciones de desarrollo y producción Gestión de instalaciones externas. Cuando se contrata a una empresa externa para gestionar un sistema de de antemano se analizan los riesgos asociados y se toman los controles de seguridad necesarios? 8.2. Planificación y aceptación del sistema Planificación de la capacidad Existen procedimientos para realizar el monitoreo de la capacidad de procesamiento y almacenamiento utilizado de los servidores críticos? Aceptación del sistema Existen criterios establecidos para la aceptación de actualizaciones o nuevos sistemas? 8.3. Protección contra software malicioso Controles contra software malicioso Existen controles contra software malicioso? La política de seguridad hace referencia al licenciamiento de software y a la prohibición de uso de software no autorizado? Existe un procedimiento y un encargado para revisar los boletines de alerta sobre software malicioso? 5

6 Se utiliza software antivirus y se actualiza periódicamente? Se verifica que el tráfico originado desde redes no seguras no contenga virus? 8.4. Mantenimiento interno Información de respaldo Se ha establecido y se ejecuta una política de backup de la de los servidores críticos? Los medios de backup, junto con los procedimientos de recuperación, son almacenados de manera segura y a una distancia prudente de los servidores? Se verifican periódicamente los medios de backups y los procesos de recuperación para verificar su efectividad? Bitácoras del operador Se lleva un registro consistente. por parte de los operadores, de las actividades realizadas sobre los sistemas de? Dichos registros son verificados de manera regular contra los procedimientos operativos? Bitácora de fallas Se llevan bitácoras de fallas en las que se detallan las soluciones tomadas? 8.5. Administración de redes Controles de redes Se han establecido controles de seguridad; por ejemplo, separación de instalaciones de gestión de sistema y de redes? 8.6. Seguridad y manejo de los medios Administración de los medios de computación removibles Existen controles especiales para proteger la transmitida desde redes publicas, como la utilización de VPNs? Se ha establecido un procedimiento de gestión de medios de almacenamiento removibles como cintas, disquetes y reportes? Eliminación de medios Los medios que no se requieren más son eliminados de manera segura? Procedimientos para el manejo de la Seguridad de la documentación del sistema 8.7. Intercambio de y de software Se lleva un registro de la destrucción de elementos con sensible? Existe un procedimiento para el manejo del almacenamiento de la? El sistema de documentación está protegido contra accesos no autorizados? La lista de acceso a la documentación del sistema está limitada a los que realmente lo requieren y a los componentes que lo requieren, y es autorizada por el propietario de la aplicación? 6

7 Acuerdos para intercambio de y software Existe algún acuerdo formal o informal para el intercambio de y software con otra organización? El acuerdo cobija los aspectos de seguridad basados en la sensibilidad de la relacionada? Seguridad en medios de tránsito Se tiene en cuenta la seguridad de los medio que transportan la? Los medios están protegidos contra accesos no autorizados, pérdida o corrupción? Seguridad en comercio electrónico Si se utiliza comercio electrónico, se cuenta con los controles para protección contra actividades fraudulentas? Seguridad del correo electrónico se ha establecido una política con respecto al uso del correo electrónico? se ha establecido una política de utilización de este tipo de sistemas? Seguridad de los sistemas de oficina electrónica (ofimáticas) Sistemas públicamente disponibles se ha establecido un proceso formal de autorización de la para hacerla disponible públicamente? Otras formas de intercambio de Existen controles para proteger la integridad de la que se hace pública? Existen políticas, procedimientos o controles establecidos para el intercambio de a través de voz, fax y video conferencia? 9. Control de accesos 9.1. Requisitos de negocio para el control de acceso Política de control de acceso Los requerimientos del negocio para el control de acceso han sido definidos y documentados? La política de control de acceso establece las reglas y derechos de acceso para cada usuario o grupos de usuarios? 9.2 Administración de acceso de usuarios Registro de usuarios Existe un procedimiento formal de registro y eliminación de registro de acceso a recursos? Administración de privilegios La utilización de algunos tipos de privilegios en el entorno de Administración de contraseñas para usuarios Revisión de los derechos de acceso de los usuarios los sistemas de están restringidos y controlados? La asignación de contraseñas está controlada a través de un proceso de gestión formal? Se les solicita a los usuarios la firma de un acuerdo de confidencialidad de la contraseña? Existe un proceso regular para revisar los derechos de acceso de los usuarios? 7

8 9.3. Responsabilidades de los usuarios Uso de contraseñas Existe una guía establecida para la selección y seguridad de Equipo de cómputo de usuario desatendido 9.4. Control de acceso a redes Política de uso de los servicios de red las contraseñas? Los usuarios son conscientes de los procedimientos de protección de equipos desatendidos y de su responsabilidad para implementar tal protección? Se ha establecido una política sobre el correcto uso de los servicios de red? Ruta forzosa Se manejan rutas forzosas para conectar terminales con servidores críticos? Existe un mecanismo de autenticación especial para conexiones externas? Autenticación de usuarios para conexiones externas Autenticación de nodos Se autenticas las conexiones con sistemas remotos? Protección de puertos de diagnóstico Se controla el acceso a puertos de diagnóstico? remoto Subdivisión de redes La red de la organización presenta divisiones lógicas separadas utilizando mecanismos de seguridad como firewalls? Control de conexión a las redes Se ha establecido un control de conexión a redes externas? Control de enrutamiento en la red Existen controles de red que aseguren que los flujos de datos no están en contra de la política de control de acceso de las aplicaciones del negocio? Seguridad de los servicios de la red La organización una descripción detallada de las características de seguridad provee para todos los servicios de red? 9.5. Control de acceso al sistema operativo Identificación automática de terminales Se utiliza el mecanismo de identificación automática de terminales para autenticar conexiones? Procedimientos de conexión de El acceso a los sistemas es logrado sólo a través de un terminales proceso de conexión (login) seguro? Identificación y autenticación del Se le provee a cada usuario un identificador único? usuario Sistema de administración de Se cuenta con un sistema de gestión de contraseñas? contraseñas Uso de utilidades del sistema El uso de utilidades del sistema es altamente restringido y Alarmas anti coacción para proteger a los usuarios Desactivación automática de terminales controlado? Se provee de alarmas anti coacción a los usuarios que podrían ser victimas de coacción? Las terminales después de un periodo de inactividad se desactivan o se bloquean automáticamente? 8

9 Limitación del tiempo de conexión Existen restricciones en el tiempo de conexión a aplicaciones de alto riesgo? 9.6. Control de acceso a las aplicaciones Restricción de acceso a la El acceso de los usuarios a las aplicaciones está definido en la política de control de acceso y es coherente con lo política de acceso de la y los requerimientos de acceso a la aplicación? Aislamiento de sistemas sensibles Los sistemas sensibles de la organización se ejecutan en ambientes de cómputo independientes? 9.7. Monitoreo de acceso y usos de los sistemas Bitácoras de eventos Se registra de manera coherente los accesos a los sistemas? Seguimiento del uso de los sistemas Se han establecido procedimientos para monitorear la utilización de los sistemas de procesamiento de? Sincronización de relojes Se ha establecido un procedimiento de sincronización de relojes de los dispositivos de procesamiento de y de comunicaciones? 9.8. Computación móvil y trabajo remoto Computación móvil Ha sido adoptada una política formal que toma en cuenta los riesgos de las facilidades de computación móvil? Se ha brindado una capacitación especial a los usuarios de estos servicios? Trabajo remoto Existe alguna política, procedimiento o estándar para controlar las actividades de los trabajadores remotos, y es coherente con la política se seguridad de la de la organización? 10. Desarrollo y mantenimiento de sistemas Requisitos de seguridad de los sistemas Análisis y especificaciones de los requisitos de seguridad Los requerimientos de seguridad hacen parte de las especificaciones de nuevos sistemas solicitados? Seguridad de las aplicaciones del sistema Validación de los datos de entrada Se verifica que los datos de entrada de las aplicaciones de sistema son correctos y apropiados? Control de procesamiento interno Se han identificado áreas de riesgo dentro del procesamiento interno de los programas y se han incluido mecanismos de validación? Autenticación de mensajes Se ha realizado un proceso de análisis de riesgos de seguridad para establecer si las aplicaciones requieren autenticación de mensajes? y se ha identificado un método apropiado para ello en los casos que se requiere? Validación de los datos de salida Se valida que los datos de salida del procesamiento de la aplicación son correctos y apropiados, según las características de procesamiento? Controles criptográficos Política sobre el uso de controles Se ha establecido una política de uso de controles 9

10 criptográficos criptográficos? Se ha realizado una evaluación de riesgo para analizar la sensibilidad de los datos y qué protección debe ser asignada? Cifrado Se utilizan técnicas de encriptación para proteger la confidencialidad de la? Firmas digitales Se utilizan firmas digitales para proteger la integridad y autenticidad de los documentos electrónicos? Servicios de no repudio Servicios de no repudiación son utilizados para resolver disputas de ocurrencia o no ocurrencia de eventos o acciones? Administración de llaves Se ha establecido un sistema de gestión de llaves digitales? Dicho sistema es seguro y cumple con los estándares relacionados? Seguridad de los archivos del sistema Control de software operativo Se han establecido controles para la implementación de software en los sistemas operativos? Los datos de prueba de los sistemas son controlados y protegidos? Han sido despersonalizados previamente? Protección de los datos de prueba del sistema Control de acceso a la librería de Se han establecido controles severos para el acceso a las librerías de programas fuente? programas fuente Seguridad en los procesos de desarrollo y soporte Procedimiento de control de cambios Se cuenta con un procedimiento estricto de control de cambios Revisión técnica de los cambios en el sistema operativo Restricciones en los cambios a los paquetes de software Canales encubiertos y código troyano del sistema de? Se ha establecido un procedimiento de verificación de las aplicaciones del sistema luego de cambios en el sistema operativo? Se han establecido restricciones para los cambios a los paquetes de software? Se han establecido controles para verificar que no se han introducido canales encubiertos y código troyano con actualizaciones o nuevos sistemas? Desarrollo externo de software Se han establecido controles sobre el desarrollo de software externo, que incluyan aspectos de licenciamiento, calidad, pruebas de detección de canales encubiertos y código troyano? 11 Gestión de la continuidad del negocio Aspectos de la gestión de la continuidad del negocio Proceso de gestión de la continuidad del negocio Se ha establecido un proceso de gestión de la continuidad del negocio? Continuidad del negocio y análisis de Se han determinado los eventos que pueden causar interrupciones en el proceso de negocio? 10

11 impacto Elaboración e implementación de planes de continuidad Estructura para la planificación de la continuidad del negocio Prueba, mantenimiento y reevaluación de los planes de continuidad del negocio 12. Cumplimiento Cumplimiento con los requisitos legales Identificación de la legislación aplicable Derechos de propiedad intelectual (DPI) Se cuenta con un plan de continuidad o de recuperación del negocio? Dichos planes son verificados de manera regular? Se ha establecido una solo formato de estructura para los diferentes planes de continuidad del negocio? Los planes de continuidad del negocio son verificados de manera regular para probar su efectividad y, en los casos requeridos, son actualizados o modificados? Se han definido explícitamente todos los requerimientos legales, regulatorios, de cada uno de los sistemas de? Se han establecido procedimientos para controlar el cumplimiento de los derechos de propiedad intelectual? Funcionan apropiadamente dichos controles? Los registros de de importancia son protegidos contra destrucción? Protección de los registros de la organización Protección de los datos y privacidad Se ha establecido una estructura de gestión y control para de la personal proteger la de tipo personal? Prevención del uso inadecuado de las instalaciones de procesamiento de la Reglamentación de los controles criptográficos Recolección de evidencias El proceso de recolección de evidencias es adecuado y está de acuerdo con las mejores prácticas de la industria? Revisiones de la política de seguridad y del cumplimiento técnico Cumplimiento de la política de seguridad Los mensajes de aviso de las pantallas de acceso de los sistemas indican que el sistema es privado y que el acceso no autorizado está prohibido y es ilegal? Se conoce y se da cumplimiento a la reglamentación legal vigente internacional y nacional sobre controles criptográficos? Todas las áreas de la organización son consideradas en las revisiones periódicas del cumplimiento de la política de seguridad? Verificación de cumplimiento técnico Se verifica de manera regular que los sistemas de cumplan con los estándares de implementación de seguridad? Consideraciones de la auditoría de sistemas Controles de auditoría de sistemas Los requerimientos y actividades de auditoría son cuidadosamente planeados y acordados para minimizar alteraciones al proceso de negocio? Protección de las herramientas de Las herramientas de auditoría, sean software o archivos de 11

12 auditoría de sistemas datos, son protegidos apropiadamente para evitar malos usos? 12

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM

Autorizan ejecución de la Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

ANEXO H DECLARACIÓN DE APLICABILIDAD

ANEXO H DECLARACIÓN DE APLICABILIDAD ANEXO H DECLARACIÓN DE APLICABILIDAD La presente declaración que son relevantes para el SGSI de la organización y aplicables al mismo. Adicionalmente en ella se encuentran justificada la eclusión de algunos

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 9 SEGURIDAD FÍSICA Y AMBIENTAL 9.1 ÁREAS SEGURAS

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Procedimiento de Gestión de Incidentes de Seguridad de la Información SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA

UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA POLÍTICA DE SEGURIDAD INFORMÁTICA Página: 1 DE 15 Código: DR-SI-01 Rev. 01 F. EMISIÓN: 04 DE JULIO DEL 2014 F. REV.: 04/07/2014 PUESTO ELABORÓ : JEFE DEL DEPARTAMENTO

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES Objetivo: Propender por el correcto uso de los recursos informáticos de la UCM, mediante

Más detalles

ISO27002.es PATROCINADO POR:

ISO27002.es PATROCINADO POR: ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES 5. POLÍTICAS DE SEGURIDAD. 5.1 Directrices de la Dirección en seguridad de la información. 5.1.1 Conjunto de políticas para la seguridad

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Uso Equipos personales Ministerio del Interior N05

Uso Equipos personales Ministerio del Interior N05 Uso Equipos personales Ministerio del Interior N05 Introducción Propósito. Describir lo necesario para minimizar los riesgos de seguridad de información que afectan a los equipos portátiles del Ministerio

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma de uso Identificación y autentificación Ministerio del Interior N02 Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

Seguridad en Sistemas y Redes de Computadoras. Módulo 3: Seguridad de las operaciones. Carlos A. Rojas Kramer UCC

Seguridad en Sistemas y Redes de Computadoras. Módulo 3: Seguridad de las operaciones. Carlos A. Rojas Kramer UCC Seguridad en Sistemas y Redes de Computadoras Módulo 3: Seguridad de las operaciones Carlos A. Rojas Kramer UCC Agenda Manejo administrativo. Conceptos de operación de computadoras. Mecanismos para protección

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN Capítulo VI POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN En este capitulo se elaboraran las políticas de seguridad con el propósito de proteger la información de la empresa, estas servirán de guía para la

Más detalles

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL

CONSEJO DE NORMALIZACIÓN Y CERTIFICACIÓN DE COMPETENCIA LABORAL NORMAS TÉCNICAS DE COMPETENCIA LABORAL I. Datos Generales de la Calificación CTEL0450.01 Propósito Título Operación y mantenimiento de sistemas de conmutación por paquetes en redes de área local (LAN) Ofertar al sector un referente que permita

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional

Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional Versión 1 Julio-2005 Política Modelo Documento Público A fin de garantizar la autoría e integridad

Más detalles

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ 1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE

Más detalles

ÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN

ÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN ETAPA I OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución, en conjunto con las áreas que la componen, realiza un Diagnóstico de la situación de seguridad de la información institucional, e identifica

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6 POLÍTICAS DE USO DE HARDWARE Y SOFTWARE OBJETO Establecer las características del Hardware y Software Estándar a utilizar en la red, computadores personales (Desktop), portátiles (Laptops) y servidores.

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

ESQUEMA 1 DE NORMA IRAM-ISO IEC 17799

ESQUEMA 1 DE NORMA IRAM-ISO IEC 17799 INSTITUTO ARGENTINO DE NORMALIZACIÓN ESQUEMA 1 ISO IEC 17799 2002 DE NORMA IRAM-ISO IEC 17799 Tecnología de la información Código de práctica para la administración de la seguridad de la información Information

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR: DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y ELABORADO POR: REVISADO POR: APROBADO POR: Nº edición: 01 Nº revisión: 01 Página 2 de 19 Fecha Edición Revisión Cambios Realizados 20-01-2014 1 1 Versión

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

BBVA emarkets Seguridad

BBVA emarkets Seguridad BBVA emarkets Seguridad BBVA emarkets BBVA emarkets es un sistema para realizar operaciones mediante Internet. El sistema no requiere la instalación de software y se puede ingresar a él mediante un navegador

Más detalles

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA FACULTAD DE MEDICINA / UNIVERSIDAD DE CHILE INTRODUCCIÓN 2 1. Política de Seguridad. 4 Definición Dominios de la seguridad Roles y Responsabilidades Implementación

Más detalles

Medidas de seguridad ficheros automatizados

Medidas de seguridad ficheros automatizados RECOMENDACIÓN SOBRE MEDIDAS DE SEGURIDAD A APLICAR A LOS DATOS DE CARÁCTER PERSONAL RECOGIDOS POR LOS PSICÓLOGOS Para poder tratar datos de carácter personal en una base de datos adecuándose a la Ley 15/1999,

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles