CONTENIDO 1 OBJETIVO GLOSARIO DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

Tamaño: px
Comenzar la demostración a partir de la página:

Download "CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3"

Transcripción

1 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO GLOSARIO DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES Metodología de Análisis de Riesgos Valoración de Activos Valoración de Amenazas y Vulnerabilidades Riesgos Aceptación del riesgo residual Revisión y monitoreo Plan de Tratamiento Nombre: John Edward Molano Hernández Cargo: Coordinador Grupo de Trabajo de Infraestructura Tecnológica y Seguridad Informática Fecha: Revisado y Aprobado por: Nombre: Oscar Javier Asprilla Cruz Cargo: Jefe Oficina de Tecnología e Informática Fecha: Aprobación Metodológica por: Nombre: Giselle Johanna Castelblanco Muñoz Cargo: Representante de la Dirección para el Sistema de Gestión de Calidad Fecha: Firma: (Original firmado) Firma: (Original firmado) Firma: (Original firmado) Cualquier copia impresa, electrónica o de reproducción de este documento sin la marca de agua o el sello de control de documentos, se constituye en copia no controlada. SC01-F02 Vr2 ( )

2 Página 2 de 21 1 OBJETIVO Desarrollar una metodología para la identificación, el análisis, la evaluación, las opciones para el tratamiento y la selección de controles para gestionar los riesgos de la seguridad de la información de la OTI de la SIC que produzca resultados comparables y reproducibles. 2 GLOSARIO Activo de información: Conforme con la norma ISO , un activo de información es cualquier cosa que tiene valor para la organización. Amenaza: Evento que tiene la propiedad potencial de dañar activos tales como información, procesos y sistemas y por lo tanto afectar las operaciones de la Entidad. Las amenazas pueden ser naturales, humanas, operacionales, sociales, tecnológicas y a las instalaciones (fuego, daños de agua), entre otras Confidencialidad: Propiedad que determina que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Control: Actividad, recurso, actuación o dispositivo que se usa para cumplir con una función. Disponibilidad: Propiedad de que la información sea accesible y utilizable por solicitud de una entidad autorizada. Impacto: Supone la pérdida de cualquier principio de seguridad de cada activo de información (confidencialidad, integridad y disponibilidad). Integridad: Propiedad de salvaguardar la exactitud y estado completo de los activos. Riesgo: Resultado de una amenaza que explota una vulnerabilidad. Su valor se obtiene en función de los 1 Instituto Colombiano de Normas Técnicas y Certificación (ICONTEC), NTC-ISO/IEC Tecnología de la Información. Técnicas de Seguridad. Gestión del Riesgo en la Seguridad de la Información, Colombia, 2008.

3 Página 3 de 21 valores de amenaza y vulnerabilidad. Tratamiento de Riesgo: Proceso de selección y puesta en aplicación de medidas para modificar el riesgo. Vulnerabilidad: Debilidad que puede ser explotada por amenazas para causar daños a los activos de la organización. Las vulnerabilidades no causan daño por si solas. 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES 3.1 Metodología de Análisis de Riesgos La asociación entre amenazas, vulnerabilidades, tipos de activos de información y controles de seguridad se da por medio del árbol de relaciones T.A:V.C que se encuentra por defecto en la herramienta de apoyo al SGSI (AGGIL). Para acceder al árbol de relaciones se debe presionar el botón Relaciones T.A.V.C del módulo ISO27001:2013, como se ilustra en la siguiente imagen: El árbol de relaciones T.A.V.C. puede ser visualizado de diferentes formas, mostrándose por defecto el siguiente orden: Tipo de Activo - Amenaza Vulnerabilidad Control. Con este árbol es fácil identificar cuáles son las amenazas asociadas a un tipo de activo en particular, cuáles son las vulnerabilidades explotadas por una amenaza y finalmente cuáles son los controles de seguridad de la norma ISO27001:2013 Anexo A que mitigan la existencia de dichas vulnerabilidades. Una visualización del árbol de relaciones T:A:V:C. para activos de tipo físico se muestra en la siguiente imagen:

4 Página 4 de 21 Un análisis de riesgos se comienza presionando el botón Análisis del módulo ISO27001:2013, como se ilustra en la siguiente imagen:

5 Página 5 de 21 Una vez allí se hace click en agregar y se diligencian los campos solicitados:

6 Página 6 de Valoración de Activos Al tener creado el análisis de riesgos, se debe valorar los activos de información. Para valorar los activos, se requiere que sus propietarios identifiquen las consecuencias que tendría para el negocio la pérdida de su confidencialidad, integridad o disponibilidad, en el peor caso posible, sin tener en cuenta medidas de seguridad existentes en la organización y de acuerdo con la siguiente codificación: Tabla 1. Codificación para Valoración de Activos Valoración CID Descripción Justificación 5 Supervivencia del negocio amenazada Requiere 4 Daño grave No requiere 3 Daño considerable No requiere 2 Daño menor No requiere 1 Daño insignificante No requiere Con el fin de obtener de obtener los impactos sobre el negocio a partir de la pérdida de los atributos de los activos, se han establecido dependencias entre los activos. Las dependencias se han establecido en el siguiente orden: 1. Información a. Servicio i. Software 1. Físicos a. Personal ii. Red 1. Persona 2. Procesos En este sentido, para asegurarse que se aplican todas las amenazas, vulnerabilidades y controles al análisis

7 Página 7 de 21 de riesgos, será necesario que exista al menos un activo de cada tipo (siempre que en el alcance se hayan detectado). Si alguno de los activos ya analizados debe ser re-categorizados, es importante mantener la historia de su categoría anterior, ya que esto debe reflejarse en los documentos generados, y adicionalmente supone una revisión en el análisis de riesgos para el activo re-categorizado. No se considerará activo de información, aquel que no cumpla con ninguno de los criterios especificados a continuación, ya que no tendrán ningún tipo de tratamiento. Lo mismo sucede cuando no puede ser catalogado dentro de la tipología de activos de información, o cuando éste no puede ser creado como una nueva categoría. Para facilitar el trabajo de identificación de los activos de información es indispensable que dichos activos sean categorizados por tipo, las siguientes son las categorías definidas para ello: Categoría de Activo Información Físico Servicio Personal Descripción Información vital para el negocio. Información personal privada según la Ley de Protección de Datos. Información estratégica requerida para alcanzar objetivos. Información de alto costo económico o en dedicación de recursos para conseguirla, almacenarla o procesarla. Elementos físicos que soportan los procesos de tratamiento de información y del negocio. Servicios relacionados con la seguridad o sus procesos Puesto de personal clave para la toma de decisiones relacionadas con la seguridad. Ejemplos de Activo Datos, Información de Bases de datos, archivos de documento digital, etc. Appliances, POS, lectores de tarjetas, servidores, etc. Servicio de correo, servicio de atención a usuarios, servicio de suscripción electrónica, etc. Directivos, desarrolladores, administradores, contadores, etc.

8 Página 8 de 21 Software Cualquier software de cliente final, como suites de ofimática, correo, edición de documentos, etc. Programas informáticos, adquiridos, desarrollados o mantenidos. Procesos Procesos cuya pérdida o degradación pueda hacer imposible llevar adelante la misión de la organización. Procesos que sean secretos o utilicen tecnología propietaria. Procesos necesarios para el cumplimiento legal, regulatorio o contractual. Red Elementos de la infraestructura de telecomunicaciones. Aplicativos, Motor de bases de datos, Página Web, etc. Proceso de seguridad de la información. Enrutadores, switches, etc. Una vez creado el nuevo análisis de riesgos y entendida la tabla de valoración de los activos de información, se debe proceder a valorarlos, seleccionando el análisis de riesgos, y haciendo click en en boton Activos se abre una nueva pestaña para su valoración, tal como se indica en las siguientes imágenes:

9 Página 9 de Valoración de Amenazas y Vulnerabilidades Una vez valorados los activos de información se procede a realizar la valoración de las amenazas y vulnerabilidades vinculadas a cada activo. Este procedimiento se realiza ingresando al menú Analisis de Riesgos en la opción Análisis del módulo ISO27001:213.

10 Página 10 de 21 Y luego se hace click en el boton amenazas: A continuación se desplega una ventana en la cual se debe seleccionar del menú desplegable Grupos, el grupo de activos que se desea valorar dentro de las siguientes opciones: Activos de Información Digital, Activos de Información Física, Activos de Servicio, Activos de Software, Activos Físicos, Activos Persona y No agrupados. Despues de seleccionar cada grupo de activos aparecerán el conjunto de amenazas asociadas y para cada amenaza el conjunto de vulnerabilidades aplicables; las cuales se deben ir serleccionando una por una para realizar la valoración.

11 Página 11 de 21 Una vez se hayan listados las amenazas y vulnerabilidades vinculadas al grupo de activos, se deben valorar con los siguientes criterios: Nivel de Amenaza Descripción Justificación La amenaza se considera presente y con alta probabilidad de que explote vulnerabilidades dentro del alcance. La amenaza se considera presente y con media probabilidad de que explote vulnerabilidades dentro del alcance. La amenaza se considera presente y con baja probabilidad de que explote vulnerabilidades dentro del alcance. La amenaza no está presente en el entorno del alcance de la implantación. No requiere No requiere Requiere Requiere El oficial de seguridad de la información utilizará la información contenida en la siguiente tabla para evaluar cada vulnerabilidad en función del grado de cumplimiento de los controles que la mitigan: Vulnerabilidad Descripción Justificación 5 La vulnerabilidad ha sido explotada en el pasado, más allá del No requiere

12 Página 12 de nivel de implantación del control. Es muy probable que la vulnerabilidad sea explotada en el futuro ya que el control no se ha implantado. Es probable que la vulnerabilidad sea explotada en el futuro, ya que el control se ha implantado parcialmente. Es poco probable que la vulnerabilidad sea explotada en el futuro, ya que el control está implantado. Es muy improbable que la vulnerabilidad sea explotada, ya que el control está implantado y auditado. La vulnerabilidad no aplica al activo, por lo que el control no se aplica. No requiere Requiere Requiere Requiere Requiere 3.4 Riesgos Una vez finalizada la valoración anterior, se procede a ir al menú RIESGOS, alli se muestran los activos y el nivel de riesgo en términos de integridad, confidencialidad y disponibilidad. En este lugar tambien se decide si el riesgo se debe tratar, aceptar o transferir el riesgo.

13 Página 13 de 21 El nivel de riesgo de los activos de información de la organización se obtiene por medio de multiplicar el valor de impacto del atributo de los activos por el nivel de amenaza y de vulnerabilidad: = * ( * ) : Riesgo del Atributo (Confidencialidad, Integridad, Disponibilidad) : Impacto del Atributo (Confidencialidad, Integridad, Disponibilidad) : Amenaza sobre el Atributo V : Vulnerabilidad del activo El valor de los activos de información es estático, tal y como lo han determinado los propietarios de dichos

14 Página 14 de 21 activos. Anualmente se revisará esta valoración sobre activos existentes por si la pérdida de alguno de sus atributos representase un impacto mayor por cambios en el sistema, por ejemplo debido a nuevas regulaciones legales o contractuales. La metodología de evaluación de riesgos consiste en comparar las medidas de seguridad implantadas actualmente con los controles de seguridad de la información establecidos en el anexo A de la norma NTC ISO/IEC 27001:2013, e identificar y gestionar las vulnerabilidades existentes o potenciales en los procesos y sistemas de información de la organización. Los posibles valores de riesgo se representan en la siguiente figura: Valor del Activo Nivel de Amenaza Nivel de Vulnerabilidad Nivel de Riesgo Los datos reflejados en la tabla anterior se interpretarán de la siguiente manera: Nivel de Riesgo Descripción No es necesario adoptar ninguna medida. El nivel de riesgo es suficientemente bajo y no justifica la implantación de controles adicionales. La dirección de la empresa, o un delegado de esta, determinará el nivel de los riesgos que son aceptables o no a su juicio. El nivel de riesgos no es aceptable, y sólo se podrán excluir controles que los mitiguen justificando dicha exclusión por parte de la dirección de la empresa. El responsable de

15 Página 15 de 21 seguridad que gestiona el SGSI determinará los controles que tendrán que aplicarse para mitigar los riesgos Gestión del riesgo Se establecen cuatro métodos para la gestión de riesgos: Aceptar. Tratar. Transferir. Evitar Aceptar el riesgo La Dirección de la OTI puede aceptar riesgos que no tratará de ninguna manera en los casos que: El riesgo sea menor o igual al nivel de riesgo aceptable. El costo de tratar el riesgo sea mayor que el daño que pueda causar su impacto. El costo de tratar el riesgo no pueda ser asumido económicamente por la empresa. En este caso deberán considerarse opciones adecuadas al presupuesto para el tratamiento aunque no sean las idóneas. Para cualquiera de estas situaciones, se justificará debidamente las razones por las que el riesgo se acepta Tratar el riesgo La Dirección de la OTI decidirá, a su juicio, la prioridad en la implantación de las medidas de tratamiento de riesgo, en proporción al nivel de riesgo, la facilidad de la implantación, el costo o a los cambios en la organización.

16 Página 16 de Riesgo ALTO: si el nivel de riesgo resultante para un activo es igual o superior a 49, la Dirección se remitirá a la norma NTC-ISO/IEC ISO 27001:2013 Anexo A para seleccionar los objetivos de control y controles que mitiguen el riesgo a un nivel aceptable y que encajen con los requisitos establecidos por la organización. En relación a los activos y a sus vulnerabilidades/amenazas asociadas, se implantarán todos los controles adicionales que tengan un efecto positivo en el negocio o en los procesos existentes y cuyo costo sea aceptable. 2. Riesgo MODERADO: el Comité de Seguridad puede aceptar un riesgo con un nivel entre 25 y 49 por cualquiera de las razones expuestas a continuación: a) El control o el proceso asociado no está alineado con la cultura de la organización. b) El personal necesario para su operación no está disponible. c) Los recursos económicos necesarios no están disponibles. d) No existe un beneficio claro para la organización. e) El costo de implantación del control supera el costo del activo que protege o el costo de una brecha de seguridad actual o futura. La aceptación del riesgo debe quedar documentada en las actas de reunión del Comité de Seguridad. En caso de no aceptación del riesgo, se actuará, como se indica para el caso de riesgo ALTO, seleccionando los procedimientos, mejores prácticas y mecanismos que mitiguen el riesgo a un nivel aceptable. 3. Riesgo BAJO: Los niveles de riesgo entre 1 y 24 son bajos y no requieren actuación ninguna. Se determina que un riesgo ALTO es inaceptable para la organización, a menos que así lo decida la Dirección y sobre el que dependa la propiedad y el derecho de uso del activo afectado mediante la justificación de dicha decisión.

17 Página 17 de Transferir el riesgo Cuando sea conveniente, la organización podrá transferir el riesgo a otras entidades. El responsable de seguridad es el encargado de asegurarse de que las responsabilidades que han sido transferidas son proporcionales al riesgo y de que sus colaboradores, proveedores o socios de negocio están conscientes de dichas responsabilidades. En caso de optar por transferir un riesgo, las acciones tomadas deben quedar documentadas y ser revisadas por el responsable de seguridad de la información. Las responsabilidades transferidas se reflejarán en acuerdos de nivel de servicio. Se registrarán las actuaciones llevadas adelante en la transferencia de los riesgos Evitar el riesgo La organización también puede optar por evitar el riesgo cesando un proceso o actividad o modificando la forma en que éste se lleva a cabo. En caso de optar por evitar un riesgo, las acciones tomadas deben quedar documentadas y ser revisadas por el responsable de seguridad. Si el proceso o actividad son modificados, deberá realizarse el análisis de riesgos para el proceso o actividad modificada, no así en caso de cese del mismo. Se registrarán las actuaciones llevadas adelante para evitar los riesgos. 3.5 Aceptación del riesgo residual Como se ha definido, el riesgo residual para cualquiera de los activos y una vez aplicados las medidas de control previstas deberían situarse en un rango de valores por debajo del valor de riesgo aceptable determinado por la Dirección de la OTI. Para aquellos casos en que, tras el tratamiento con los controles previstos, se determine un nivel de riesgo moderado, se deberá obtener la aprobación de la Dirección de la OTI para aceptar el riesgo residual resultante, lo que se documentará mediante Acta de reunión del Comité de Seguridad.

18 Página 18 de 21 Vulnerabilidad Residual Descripción La vulnerabilidad residual es parcial ya que el activo ha sido evaluado metodológicamente y se ha decidido aceptar su riesgo. Es poco probable que la vulnerabilidad residual sea explotada en el futuro, ya que el conjunto de controles estará implantado. Es muy improbable que la vulnerabilidad residual sea explotada, ya que el conjunto de controles estará implantado y auditado. La vulnerabilidad residual no aplica al activo porque la amenaza no aplica, o porque el conjunto de controles no aplica. Justificación No Requiere No Requiere No Requiere No Requiere Para realizar esta actividad, es necesario hacer click dentro de la pantalla de análisis al botón RESIDUAL: Después de esto se desplegará una nueva pestaña en la cual se valora el riesgo residual que puede llegar a existir después de implementados los controles (con las consideraciones descritas en la tabla anterior), de esta manera se obtiene el riesgo total de este análisis:

19 Página 19 de Revisión y monitoreo El análisis de riesgos se repetirá con un intervalo anual, partiendo de los niveles de riesgo residual del análisis anterior. Teniendo en cuenta las incidencias, no conformidades, auditorías internas, nuevos requisitos de seguridad de las partes interesadas, cambios en la legislación, riesgos no contemplados, nuevos riesgos por cambios en los sistemas de información, indicadores de la efectividad de los controles implantados y el valor de riesgo aceptable definido por la dirección para ese año se modifican los valores de vulnerabilidad en el nuevo análisis revisión del anterior. Esta revisión requiere información del ciclo de mejora continua del SGSI. Si en la revisión del análisis, se debe modificar el valor propuesto (residual en el análisis anterior), se debe justificar su cambio, ya sea por empeorar o por mejorar la valoración residual propuesta el año anterior. Si el valor de los riesgos que se obtienen a partir de este análisis excede el valor aceptable, se determina qué controles es necesario implantar o reforzar, incluyendo sólo estos en el Plan de Tratamiento asociado con este análisis de riesgos, definiendo el valor del riesgo residual tras su implantación. Las revisiones podrán llevarse a cabo antes de la fecha prevista si hay factores determinantes que lo aconsejen. En cualquier caso,

20 Página 20 de 21 se tendrán en cuenta las situaciones que pueden requerir que se revise el análisis de riesgos incluyendo: 1. Cambios en la organización, los objetivos de negocio, los procesos o en el alcance del SGSI. 2. Cambios tecnológicos. 3. Cambios en las amenazas identificadas o en los requisitos externos (legales, contractuales). 4. Efectividad de los controles implantados. 5. Nuevos requisitos de seguridad de las partes interesadas. Cada análisis realizado se guarda como registro y se realiza una comparación del valor de riesgo máximo anual de forma de representar la evolución del riesgo. 3.7 Plan de Tratamiento Para ejecutar el plan de tratamiento a los controles a los cuales sea necesario ejecutar actividades específicas, es necesario ir al menú general del SGSI (ISO 27001) y seleccionar PLAN DE TRATAMIENTO: Posteriormente saldrán todos los controles a los cuales sea necesario realizar el plan de tratamiento, y así mismo mediante la opción editar, se podrán generar nuevas actividades, asignación de presupuesto, asignación de responsables, etc.

21 Página 21 de 21

PROCEDIMIENTO DE BORRADO SEGURO CONTENIDO

PROCEDIMIENTO DE BORRADO SEGURO CONTENIDO Página 1 de 7 CONTENIDO 1 OBJETIVO... 2 2 DESTINATARIOS... 2 3 GLOSARIO... 2 4 REFERENCIAS... 3 5 GENERALIDADES... 3 6 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 6.1 Solicitud de borrado seguro

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

PROCEDIMIENTO DE CREACIÓN Y ELIMINACIÓN DE USUARIOS CONTENIDO

PROCEDIMIENTO DE CREACIÓN Y ELIMINACIÓN DE USUARIOS CONTENIDO Página 1 de 10 CONTENIDO 1 OBJETIVO... 2 2 DESTINATARIOS... 2 3 GLOSARIO... 2 4 REFERENCIAS... 3 5 GENERALIDADES... 3 6 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 6.1 CREACIÓN DE USUARIOS... 3

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

RESOLUCIÓN NÚMERO 036 (18 FEBRERO 2009)

RESOLUCIÓN NÚMERO 036 (18 FEBRERO 2009) RESOLUCIÓN NÚMERO 036 (18 FEBRERO 2009) Por medio de la cual se adopta el Sistema de Gestión de la Seguridad de la Información -SGSI - de la Procuraduría General de la Nación EL PROCURADOR GENERAL DE LA

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

SECRETARÍA GENERAL. División de Sistemas de Información CORREO ELECTRÓNICO C/ CAMPEZO, 1 EDIFICIO 8 28022 MADRID TEL: 91 822 50 03 FAX: 91 822 50 23

SECRETARÍA GENERAL. División de Sistemas de Información CORREO ELECTRÓNICO C/ CAMPEZO, 1 EDIFICIO 8 28022 MADRID TEL: 91 822 50 03 FAX: 91 822 50 23 SECRETARÍA GENERAL División de Sistemas de Información PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN POR PROCEDIMIENTO ABIERTO DEL SERVICIO DE CONSULTORÍA TECNOLÓGICA PARA LA OFICINA DE PROYECTOS

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

MANUAL DE USUARIO DE EGROUPWARE MANUAL DE USUARIO EGROUPWARE

MANUAL DE USUARIO DE EGROUPWARE MANUAL DE USUARIO EGROUPWARE MANUAL DE USUARIO EGROUPWARE 1 INDICE Que es egroupware... 3 Inicio de sesión... 4 Aplicaciones de egroupware... 4 Correo electrónico... 5 Calendario... 7 ACL... 9 Administración de proyectos... 10 Libreta

Más detalles

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA

ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA ÍNDICE INTRODUCCIÓN DE LA INFORMACIÓN A LA SEGURIDAD DE LA INFORMACIÓN LAS NORMAS ISO Y LA NECESIDAD DE UNA HERRAMIENTA DE APOYO A LA CONSULTORÍA GESCONSULTOR 10 RAZONES PARA UTILIZAR GESCONSULTOR SOPORTE

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Proyecto de implantación de una oficina virtual de atención al ciudadano en el Ayuntamiento de Baza

Proyecto de implantación de una oficina virtual de atención al ciudadano en el Ayuntamiento de Baza Concurso abierto Marzo 2005 Contrato de Consultoría y Asistencia para el diseño del Servicio de Atención Ciudadana (SAC) del Ayuntamiento Proyecto de implantación de una oficina virtual de atención al

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

PROCEDIMIENTO DE GESTIÓN DE ENTREGAS

PROCEDIMIENTO DE GESTIÓN DE ENTREGAS Página 1 de 16 PROCEDIMIENTO DE GESTIÓN DE ENTREGAS Rev. Fecha Descripción 01 09/03/2007 Primera versión del documento 02 22/09/2009 Actualización de logos y contenido en general 03 20/06/2010 Actualización

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Mejora de la Seguridad de la Información para las Pymes Españolas

Mejora de la Seguridad de la Información para las Pymes Españolas Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Análisis de Riesgos de Seguridad de la Información

Análisis de Riesgos de Seguridad de la Información Nuevas oportunidades de negocio- La importancia del Análisis de Riesgos de Seguridad de la Información FRANCISCO MENÉNDEZ PIÑERA DTOR. TÉCNICO - SIGEA 23 de noviembre de 2007 1º ENCUENTRO NACIONAL DE LA

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

TUTORIAL SOLUCIÓN RECEPCIÓN Proveedores. Código: FX-TUT-ADMIN-01 Versión: 1.0 Revisión: 1 Fecha Elab: 14-11-2012. Página 1 de 25

TUTORIAL SOLUCIÓN RECEPCIÓN Proveedores. Código: FX-TUT-ADMIN-01 Versión: 1.0 Revisión: 1 Fecha Elab: 14-11-2012. Página 1 de 25 Página 1 de 25 1 Página 2 de 25 TUTORIAL SOLUCIÓN RECEPCIÓN 2 Página 3 de 25 ESTIMADO USUARIO, Agradecemos la confianza depositada en nuestro equipo al utilizar nuestras soluciones, las cuales le aseguramos

Más detalles

Contrato de Consultoría y Asistencia para el diseño del Servicio de Atención Ciudadana (SAC) del Ayuntamiento

Contrato de Consultoría y Asistencia para el diseño del Servicio de Atención Ciudadana (SAC) del Ayuntamiento Concurso abierto Marzo 2005 Contrato de Consultoría y Asistencia para el diseño del Servicio de Atención Ciudadana (SAC) del Ayuntamiento PROYECTO CONSULTORÍA Y ASISTENCIA TÉCNICA PARA LA CONEXIÓN DE LA

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 ESCANEAO DOCUMENTOS... 2 3 VERIFICACIÓN DE DOCUMENTOS ESCANEADOS... 12 4 CONSULTA DE DOCUMENTOS ASIGNADOS...

CONTENIDO 1 OBJETIVO... 2 2 ESCANEAO DOCUMENTOS... 2 3 VERIFICACIÓN DE DOCUMENTOS ESCANEADOS... 12 4 CONSULTA DE DOCUMENTOS ASIGNADOS... Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 ESCANEAO... 2 3 VERIFICACIÓN DE ESCANEADOS... 12 4 CONSULTA DE ASIGNADOS... 16 5 CONSULTA DE... 18 Elaborado por: Nombre: Héctor Alfonso Pérez U Cargo: Coordinador

Más detalles

INSTRUCTIVO PRÉSTAMO DE EXPEDIENTES A USUARIOS INTERNOS CONTENIDO

INSTRUCTIVO PRÉSTAMO DE EXPEDIENTES A USUARIOS INTERNOS CONTENIDO Página 1 de 12 CONTENIDO 1 OBJETIVO... 2 2 DEFINICIONES... 2 3 PASOS PARA LA SOLICITUD DE PRESTAMO DE EXPEDIENTES.... 3 3.1 Solicitud Préstamo de Expedientes.... 3 3.2 Búsqueda y envío de expedientes...

Más detalles

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

Manual de Quipux para usuarios finales

Manual de Quipux para usuarios finales Quipux, gestiona la documentación digital y/o impresa, dicha documentación puede se interna, es decir aquella que se remite y se recibe en los departamentos de la misma organización. Asimismo, el Quipux

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

INFORME Nº 032-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

INFORME Nº 032-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE INFORME Nº 032-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la contratación del servicio de soporte técnico, actualización

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

FACE. MANUAL PARA ADHESION A FACe PUNTO GENERAL DE ENTRADA DE FACTURAS ELECTRÓNICAS DE LA ADMINISTRACIÓN GENERAL DEL ESTADO

FACE. MANUAL PARA ADHESION A FACe PUNTO GENERAL DE ENTRADA DE FACTURAS ELECTRÓNICAS DE LA ADMINISTRACIÓN GENERAL DEL ESTADO FACE PUNTO GENERAL DE ENTRADA DE FACTURAS ELECTRÓNICAS DE LA ADMINISTRACIÓN GENERAL DEL ESTADO MANUAL PARA ADHESION A FACe Manual Usuario Adhesión a FACe Versión 1.0 Fecha de revisión 20/01/2015 Realizado

Más detalles

Seguridad de la Información

Seguridad de la Información Gestión de Riesgos ISO 27001/27005 & ISO 31000 Seguridad de la Información Germán Castro Arévalo CROSS BORDER TECHNOLOGY Abril 15, 2013 Agenda Introducción Conceptos básicos sobre seguridad de la información

Más detalles

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS COLEGIO LEONARDO DA VINCI SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS ACUERDO DE NIVEL DE SERVICIO HOJA DE CONTROL Colegio Leonardo Da Vinci Arica Unidad CTIC Titulo Servicio de Atención y Resolución

Más detalles

Aspectos generales de la aplicación.2. La aplicación...9. 1. Perfil de usuario..9. 2. Sistema de Gestión Avanzado..33. 3. Copias de Seguridad...

Aspectos generales de la aplicación.2. La aplicación...9. 1. Perfil de usuario..9. 2. Sistema de Gestión Avanzado..33. 3. Copias de Seguridad... PERFIL GERENTE DE EMPRESA Índice Aspectos generales de la aplicación.2 La aplicación...9 1. Perfil de usuario..9 2. Sistema de Gestión Avanzado..33 3. Copias de Seguridad...78 4. Gestión de Usuarios...81

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

El largo camino de un Plan Director de Seguridad de la Información

El largo camino de un Plan Director de Seguridad de la Información El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso

Más detalles

Centro de Gestión Administrativa y Fortalecimiento Empresarial Tunja GUIA GESTION DE FORMACION TITULADA A LA MEDIDA Y NO A LA MEDIDA

Centro de Gestión Administrativa y Fortalecimiento Empresarial Tunja GUIA GESTION DE FORMACION TITULADA A LA MEDIDA Y NO A LA MEDIDA GUIA GESTION DE FORMACION TITULADA A LA MEDIDA Y NO A LA MEDIDA Objetivo: Establecer el procedimiento para la gestión de la formación titulada a la medida y no a la medida. Desarrollo: La gestión de proyectos

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas?

Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas? Semana de Seguridad CTCR Índice 1.- Presentación empresa 2.- SGSI? 3.- Proceso de implantación SGSI Cómo asegurar la continuidad de mi negocio ante desastres y catástrofes imprevistas? Cristina Atienza

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Normas corporativas vinculantes (NCV) de Motorola Mobility

Normas corporativas vinculantes (NCV) de Motorola Mobility Normas corporativas vinculantes (NCV) de Motorola Mobility Introducción Estas normas corporativas vinculantes (en adelante denominadas normas ) explican de qué modo el grupo Motorola Mobility (en adelante

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION CÓDIGO: APO4-P-004 FECHA DE VIGENCIA 16/Dec/2013 1. OBJETIVO Proteger los de la Agencia Nacional

Más detalles

Autoevaluación Institucional con fines de Acreditación. Guía para la elaboración del Plan de Mejoramiento

Autoevaluación Institucional con fines de Acreditación. Guía para la elaboración del Plan de Mejoramiento Autoevaluación Institucional con fines de Acreditación Guía para la elaboración del Plan de Mejoramiento Contenido 1. Introducción... 4 2. Objetivo de la guía... 4 3. Aspectos a considerar... 4 3.1 Autoevaluación...5

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD

MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD Fecha última revisión: Diciembre 2010 Tareas Programadas TAREAS PROGRAMADAS... 3 LAS TAREAS PROGRAMADAS EN GOTELGEST.NET... 4 A) DAR DE ALTA UN USUARIO...

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

CODIGO DE CONDUCTA INFORMATICA

CODIGO DE CONDUCTA INFORMATICA Sistemas Informáticos CODIGO DE CONDUCTA INFORMATICA I. OBJETO El Código de Conducta Informática del Grupo Cobra tiene por finalidad establecer las pautas generales de actuación de todos los empleados

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

GLPI: SISTEMA DE GESTIÓN DE INCIDENCIAS Y REQUERIMIENTOS

GLPI: SISTEMA DE GESTIÓN DE INCIDENCIAS Y REQUERIMIENTOS Dirección de Tecnologías de la Información GLPI: SISTEMA DE GESTIÓN DE INCIDENCIAS Y REQUERIMIENTOS Manual de Envío de Incidencias Versión 2.0 DE ENVÍO DE INCIDENCIAS DEL SISTEMA GLPI PAGINA:2 de 10 Información

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles