Seguridad Informática

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seguridad Informática"

Transcripción

1 Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador

2 Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida de la Seguridad Informática Conclusiones Propuesta para los miembros del IIMV

3 Introducción La Información es un activo que como cualquier otro activo importante del negocio, tiene valor para la organización, consecuentemente necesita Protección Adecuada.

4 Introducción Tipos de Información Impresos o escritos en papel. Almacenada electrónicamente. Transmite por correo o en forma electrónica. La que se muestra en videos corporativos. Lo que se habla en conversaciones. Estructura corporativa de información.

5 Introducción La implementación de esquemas de Administración de la Seguridad Informática en la institución debe seguir estándares y mejores prácticas del mercado. Es una necesidad del negocio ante las circunstancias actuales.

6 Introducción

7 Obstáculos

8 Obstáculos Falta de conciencia de usuarios finales. Presupuesto. Falta de apoyo de la alta gerencia. Falta de Entrenamiento. Pobre definición de responsabilidades. Falta de herramientas. Aspectos legales.

9 Administración de la Seguridad Informática

10 AS/NZS ISO/IEC 17799:2001 Conjunto de controles que dan una serie de recomendaciones en el desarrollo de un proceso de Administración de la Seguridad Informática. Son 127 controles estructurados en diez grandes áreas. Genera confianza entre las instituciones que se relacionan.

11 AS/NZS ISO/IEC 17799:2001 Porqué está siendo utilizado? Único SASI que es aceptado globalmente. Ayuda a reducir las primas de seguros. Para mejorar la Seguridad de la Información. Eleva la confianza de clientes y aliados en nuestra organización.

12 AS/NZS ISO/IEC 17799:2001 Donde está siendo utilizado como un estándar nacional? Australia/New Zealand Brazil Czech Republic Finland Iceland Ireland Netherlands Norway Sweden

13 AS/NZS ISO/IEC 17799:2001

14 AS/NZS ISO/IEC 17799:2001 Las 10 áreas que cubre son: Políticas de Seguridad, Seguridad Organizacional, Clasificación y Control de Activos, Seguridad del Personal, Seguridad Física y ambiental, Administraciones de las Operaciones y Comunicaciones,

15 AS/NZS ISO/IEC 17799:2001 Las 10 áreas que cubre son: Control de accesos, Desarrollo y mantenimiento de Sistemas, Administración de la Continuidad del negocio, Cumplimiento de aspectos legales.

16 Áreas que cubre el Estándar

17 1. Políticas de Seguridad Objetivo: Proveer dirección y soporte administrativo para la seguridad de Información. La administración superior debe definir una política clara y apoyar la Seguridad de la Información a través de la creación y mantenimiento de una política de seguridad de la información a lo largo de la organización.

18 1. Políticas de Seguridad Documento de Políticas de Seguridad. Debe ser aprobado por la administración, publicado y comunicado a todos los empleados. Revisión y Evaluación. La política debe ser administrada por una persona quién es responsable de su mantenimiento y revisión de acuerdo a un proceso definido.

19 2. Seguridad Organizacional Infraestructura de la Seguridad de la Información: Objetivo: Administrar la seguridad de la Información dentro de la organización. Consejo directivo o un grupo designado por este debería de asumir la responsabilidad de la seguridad de información.

20 2. Seguridad Organizacional Infraestructura de la Seguridad de la Información: Deben ser claramente definidas las responsabilidades para la protección de activos de información ó físicos y procesos de seguridad. Se deben establecer procesos de autorización para nuevas facilidades de procesamiento de la información. Es recomendable disponer de la asesoría de un especialista de seguridad (para propósitos de evaluación o de investigación de incidentes).

21 2. Seguridad Organizacional Seguridad en el acceso de terceros: Objetivo: Mantener la seguridad de los dispositivos de procesamiento de la información organizacional y activos de información al que acceden terceras partes. Revisar los tipos de acceso (físicos y lógicos). Contratos deben incluir controles.

22 3. Clasificación y Control de activos Accountability para los activos: Objetivo: Mantener protecciones apropiadas para los activos organizacionales. Inventario de Activos Ayudan a asegurar que hay una efectiva protección de activos. Cada activo deberá ser claramente identificado y se debe documentar la propiedad y clasificación de seguridad, además de su ubicación actual.

23 3. Clasificación y Control de activos Clasificación de la Información: Objetivo: Asegurar que los activos de información reciben un apropiado nivel de protección. Controles a la información deben tomar en cuenta las necesidades del negocio para compartir o restringir información. La responsabilidad de definir la clasificación de un ítem de información debe permanecer con la persona nombrada como dueña de la información.

24 4. Seguridad del Personal Seguridad en la definición de trabajos: Objetivo: Reducir los riesgos de errores humanos, robo, fraude o mal uso de las facilidades organizacionales. Todos los empleados y usuarios externos de los servicios de procesamiento de la información deberían firmar un acuerdo de confidencialidad. El acuerdo de confidencialidad debe hacer notar que la información es confidencial o secreta.

25 4. Seguridad del Personal Entrenamiento de usuarios: Objetivo: Asegurarse que los usuarios conocen de las amenazas y preocupaciones de la Seguridad de la Información. Todos los empleados de la organización deberán recibir entrenamiento apropiado en los procedimientos y políticas organizacionales. La regularidad dependerá de la actualización o los cambios que se den en la organización.

26 4. Seguridad del Personal Respuestas a eventos de seguridad: Objetivo: Minimizar el daño del mal funcionamiento de software o de un incidente de seguridad y monitorear y aprender de tales incidentes. Debe establecerse un procedimiento formal de reporte de incidentes como de respuesta a incidentes. Usuarios deberán reportar cualquier debilidad de seguridad observada o sospechas que tengan de los sistemas o servicios.

27 5. Seguridad Física y ambiental Respuestas a eventos de seguridad: Objetivo: Prevenir el acceso no autorizado, daño e interferencia a la información y premisas del negocio. Los elementos que forman parte del procesamiento de información sensitiva o crítica del negocio deberán ser resguardados y protegidos por un perímetro de seguridad definido con controles apropiados de entrada. Los equipos deben ser protegidos de caídas de electricidad y otras anomalías eléctricas.

28 6. Administración de Comunicaciones y Operaciones Responsabilidades y procedimientos operacionales: Objetivo: Asegurar la correcta y segura operación de todos los elementos de procesamiento de la información. Los procedimientos de operación identificados por la política de seguridad deberán ser documentados y revisados constantemente. Los cambios en los sistemas y elementos de procesamiento de información deben ser controlados.

29 6. Administración de Comunicaciones y Operaciones Responsabilidades y procedimientos operacionales: Se deben establecer procedimientos y responsabilidades para el manejo de incidentes, como: Procedimientos que cubran todos los tipos potenciales de incidentes de seguridad (pérdidas de servicio, negación de servicio, datos incorrectos, brechas de confidencialidad. Procedimientos para Planes de Contingencia, Análisis e Identificación de las causas de un incidente, Colección de pistas de auditoría, Reporte a las autoridades, etc.

30 6. Administración de Comunicaciones y Operaciones Responsabilidades y procedimientos operacionales: Acciones a seguir para recuperarse de problemas de seguridad y corrección de fallas en los sistemas, (las acciones de emergencias deben ser documentadas en detalle). La segregación de tareas es un método de reducir los riesgos del mal uso (accidental o deliberado) de los sistemas. Áreas de desarrollo de Sistemas y Pruebas deben estar separadas de los Sistemas en Producción.

31 6. Administración de Comunicaciones y Operaciones Planeamiento y Aceptación de Sistemas: Objetivo: Minimizar los riesgos de fallas en los sistemas. Se debe monitorear y proyectar los requerimientos de capacidad a fin de asegurar que hay disponible una adecuada capacidad de procesamiento y almacenamiento. Deben establecerse criterios de aceptación para nuevos sistemas de información, actualizaciones y nuevas versiones y se deben definir pruebas para llevarlas a cabo antes de su aceptación.

32 6. Administración de Comunicaciones y Operaciones Protección contra Software Malicioso: Objetivo: Proteger la integridad del Software y la Información. Controles contra Software Malicioso: Política para el cumplimiento con licencias de software y prohibir el uso de software No autorizado. Política para proteger contra los riesgos asociados al obtener archivos o software de redes externas. Instalación y actualización regular de Antivirus y software scaneador de computadoras cono una medida preventiva.

33 6. Administración de Comunicaciones y Operaciones Controles contra Software Malicioso: Revisar regularmente del software y contenido de datos de los sistemas que soportan los sistemas críticos del negocio. Revisar cualquier archivo electrónico contra virus. Revisar los documentos adjuntos en correos electrónicos así como cualquier archivo que se baje de Internet contra código malicioso. Procedimientos y responsabilidades administrativas para lidiar con la protección de virus en los sistemas, entrenamiento y reporte y recuperación de ataques. Planes de Continuidad del Negocio para recuperarse ante ataques de virus. Procedimientos para verificar todas la información en relación con software malicioso y verificar que los boletines de advertencia son verdaderos.

34 6. Administración de Comunicaciones y Operaciones Soporte Continuo. Objetivo: Mantener la integridad y disponibilidad del procesamiento de la información y servicios de comunicación.. Hacer copias en forma regular de la información esencial del negocio y del software. Se pueden utilizar los siguientes controles: Documentación de los Backups, copias adicionales y almacenadas en una localidad remota. Los Back-ups se deben proteger físicamente y contra las condiciones del ambiente.

35 6. Administración de Comunicaciones y Operaciones Administración de Redes. Objetivo: Asegurar la protección de la información en las redes así como de su infraestructura. Los administradores de la red deben implementar controles que aseguren a los datos en la red de accesos no autorizados. También se deben implementar controles adicionales para proteger los datos sensitivos que pasan sobre redes públicas.

36 6. Administración de Comunicaciones y Operaciones Seguridad y Manejo de los medios. Objetivo: Prevenir el daño a activos e interrupciones a actividades del negocio. Se deben definir procedimientos para la protección de documentos, discos, cintas, bases de datos, etc., del robo o acceso no autorizado. Los medios que no se ocupen más en la empresa deben ser desechados en forma segura. La documentación de sistemas puede contener información sensitiva por lo que debe ser almacenada con seguridad.

37 6. Administración de Comunicaciones y Operaciones Intercambio de información y software. Objetivo: Prevenir la pérdida, modificación o mal uso de la información intercambiada entre organizaciones. El correo electrónico presenta los siguientes riesgos: Vulnerabilidad de los mensajes ó acceso no autorizado. Vulnerabilidad a errores (direcciones incorrectas). Cambio en los esquemas de comunicación (más personal). Consideraciones legales (prueba de origen). Controles para el acceso remoto al correo.

38 7. Controles de Acceso Requerimientos del Negocio para el control de accesos: Objetivo: Controlar el acceso a la información. Las reglas y derechos para el control de acceso de usuarios o grupos de usuarios deben estar bien claras en un documento de políticas de acceso. Administración del Acceso a Usuarios Objetivo: Prevenir el acceso no autorizado a Sistemas de Información. Deben existir procedimientos formales para el registro y eliminación de usuarios.

39 7. Controles de Acceso Deben existir procesos formales para el control de los password. Usuarios deben seguir buenas prácticas de seguridad en la selección y uso de passwords. Control de Acceso a la red Objetivo: Protección de los servicios de la red. Se debe controlar el acceso a servicios internos y externos de la red. Control de acceso al Sistema operativo Objetivo: Prevenir el acceso no autorizado a la computadora. Restringir el acceso a recursos de la computadora.

40 7. Controles de Acceso Control de Acceso a Aplicaciones. Objetivo: Prevenir el acceso no autorizado a información mantenida en los Sistemas de Información. Monitorear el uso y acceso a los sistemas Los sistemas deben ser monitoreados para detectar desviaciones de las políticas de control de accesos y grabar eventos específicos para proveer de evidencia en caso de incidentes de seguridad. Computación Móvil. Objetivo: Asegurar la seguridad de la información cuando se utilizan dispositivos móviles.

41 8. Desarrollo y Mantenimiento de Sistemas Requerimientos de Seguridad en los Sistemas. Objetivo: Asegurar que la seguridad es incluida en los Sistemas de Información. Seguridad en las Aplicaciones Prevenir la pérdida, modificación, o mal uso de los datos en las aplicaciones. Seguridad en los archivos del Sistema. Objetivo: Asegurar que los proyectos de TI y actividades de soporte son conducidas en una manera segura.

42 9. Administración de la Continuidad del Negocio Objetivo: Actuar ante interrupciones de las actividades del Negocio y proteger procesos críticos del negocio de los efectos de fallas o desastres considerables.. Marco de trabajo para el planeamiento de las actividades del negocio. Un solo marco de trabajo de los planes de continuidad del negocio deben ser mantenidos para asegurarse que todos son desarrollados en forma consistentes, pruebas y mantenimiento. Se deben probar con frecuencia los Planes de Continuidad.

43 10. Cumplimiento Objetivo: Evitar brechas o violaciones a cualquier ley criminal o civil, regulatoria o contractual. Procedimientos apropiados deben ser implementados para asegurarse del cumplimiento de las restricciones legales en el uso de materiales con respecto a cuales pueden ser derechos de propiedad intelectual.

44 Ciclo de Vida de la Seguridad Informática

45 Ciclo de vida de la Seguridad Informática Ciclo en el cual se mantiene la seguridad informática en la organización. Está formada por un conjunto de fases. Es un método continuo para mitigar el riesgo.

46 Fases del proceso de seguridad Como lo define el Sans Institute 2001

47 Fases del proceso de seguridad. Evaluación Evaluación (Assess): Análisis de Riesgos basados en el OCTAVE method. Debilidades en Seguridad Informática (ej., auditorías, evaluación de Vulnerabilidades, pruebas de penetración, revisión de aplicaciones) Pasos a seguir para prevenir problemas

48 Fases del proceso de seguridad. Evaluación Debilidades: Determinar el estado de la seguridad en dos áreas principales: Técnica y No Técnica. No técnica: Evaluación de políticas. Técnica: Evaluación de Seguridad física, diseño de seguridad en redes, matriz de habilidades.

49 Fases del proceso de seguridad. Evaluación Otras áreas que se deben revisar: Seguridad exterior Seguridad de la basura Seguridad en el edificio Passwords Ingeniería social Clasificación de los datos Etc.

50 Fases del proceso de seguridad. Evaluación El Análisis de Riesgos nos permitirá: Realizar acciones: Proactivas Reactivas Administrar el Riesgo: Identificar Analizar Evaluar Tratamiento a seguir

51 Fases del proceso de seguridad. Evaluación Administración de Riesgos: Método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una actividad, función o procesos para minimizar pérdidas. La Administración de Riesgos se puede basar en el Estándar Australiano AS/NZ 4360:1999.

52 Fases del proceso de seguridad. Evaluación Establecer el Contexto e Identificar los riesgos Análisis y Evaluación de los Riesgos Tratar riesgos, Monitorear y comunicar Administración (basada en el estándar AS/NZ 4360)

53 Fases del proceso de seguridad. Diseño Actividades a desarrollar para evitar que sucedan acciones indeseables. Configuraciones de Seguridad efectivas basadas en estándares de la industria y organizacionales.

54 Fases del proceso de seguridad. Diseño Necesitamos políticas? Empleados accesando Internet? Problemas con el uso de la red o el ? Empleados utilizando información confidencial o privada? Acceso remoto a la organización? Dependencia de los recursos informáticos? Políticas define que prácticas son o no son aceptadas.

55 Fases del proceso de seguridad. Diseño Como concientizar? En persona, por escrito o través de la Intranet. Reuniones por departamento. Publicar artículos, boletines, noticias. Crear un espacio virtual para sugerencias y comentarios. Enviar s con mensajes de concientización. Pegar letreros en lugares estratégicos. Dar premios a empleados. Exámenes On-line. Crear eventos de Seguridad Informática.

56 Fases del proceso de seguridad. Diseño Logs en Firewalls. Se requiere Sistemas de detección de Intrusos? O necesitamos Sistemas de prevención de Intrusos? Firma digital para envío de documentos?

57 Fases del proceso de seguridad. Implementar Personal especializado pone en marcha los controles basados en el diseño desarrollado.

58 Tecnologías implantadas o planeadas Fuente: ISSA/BSA, 2003 Implantado Planeado Antivirus 99% 0% Firewalls 97% 1% Filtros de 74% 10% IDS 62% 12% Bloqueo de adjuntos 62% 3% Filtro de Web sites 59% 5% Análisis de Vulnerabilidades 43% 18% encriptado 31% 15%

59 Fases del proceso de seguridad. Administración y soporte Observar las actividades normales y reaccionar ante incidentes. Monitoreo y alertas. Las respuestas se basan en el documento de Políticas de Seguridad definido.

60 Fases del proceso de seguridad. Administración y soporte Forma en que se trata el incidente. Encontrar el problema y corregirlo. Prácticas forenses. Definir la responsabilidad y el causante del problema.

61 Fases del proceso de seguridad. Administración y soporte Manejo de Incidentes: Organización, Identificación, Encapsulamiento, Erradicación, Recuperación y Lecciones aprendidas.

62 Fases del proceso de seguridad. Capacitación continua Debe ser continuo con todo el Ciclo de Vida en la medida que se extienda en toda la organización. Habilidades y experiencia se alcanzan dentro de todo el proceso.

63 Conclusiones Se debe contar con una unidad de seguridad informática en la organización ó con el apoyo de consultoría externa, Impulsar un plan de concientización, No desconocer la importancia de la S.I., Utilizar una metodología: ciclo de vida, Acciones deben ser proactivas y no reactivas, Utilizar estándares de la industria en la Administración de SI y de los riesgos.

64 Propuesta de Proyecto Harmonizacion de la Seguridad Informática Objetivo Estratégico: Implementar esquemas de Seguridad Informática basados en Metodologías y estándares de la Industria de tal forma que se forme una base de conocimiento común entre las instituciones miembro del Instituto Iberoamericano de Valores. 1. Conformar un equipo de trabajo en Seguridad informática Regional, bajo la Coordinación del Instituto Iberoamericano de Valores, integrado por profesionales en tecnología de información de los BC s. 2. Elaborar guía para realización del Diagnóstico Estándares de Seguridad

65 Propuesta de Proyecto Harmonizacion de la Seguridad Informática 3. Desarrollar diagnóstico de seguridad informática en las instituciones. Ejecutado por los técnicos de informática designados para el desarrollo del diagnóstico, según guía proporcionada para tal fin. Desarrollar el diagnóstico en cada institución. Crear una matriz regional con los hallazgos. Presentar hallazgos, conclusiones y recomendaciones en la próxima reunión de informáticos del IIMV. 4. Elaborar prototipo de Seguridad Informática y presentación al foro de la reunión del IIMV para su aprobación Revisar documento desarrollado por técnicos en Seguridad Informática Tomando como base diagnóstico realizado, se tomarán todas aquellas acciones y recomendaciones que consideren más adecuadas a fin de implementarlas en cada institución. Estándares de Seguridad

66 Propuesta de Proyecto Harmonizacion de la Seguridad Informática 5. Elaborar planes de Trabajo institucionales de implementación de dichas recomendaciones Producto de las Políticas y estándares anteriores, cada institución deberá implementar las medidas preventivas y correctivas del caso con el objetivo de nivelar los esquemas de seguridad informática 6. Implementar y dar seguimiento al Plan de Trabajo, propio de cada Institución. Estándares de Seguridad

67 Consultas?

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Manejo y Análisis de Incidentes de Seguridad Informática

Manejo y Análisis de Incidentes de Seguridad Informática Manejo y Análisis de Incidentes de Seguridad Informática Julio Ardita jardita@cybsec.com CYBSEC Agenda - Incidentes de seguridad en la Argentina - Manejo de incidentes de seguridad - Metodologías de investigación

Más detalles

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Procedimiento de Gestión de Incidentes de Seguridad de la Información SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

Seguridad en Sistemas y Redes de Computadoras. Módulo 3: Seguridad de las operaciones. Carlos A. Rojas Kramer UCC

Seguridad en Sistemas y Redes de Computadoras. Módulo 3: Seguridad de las operaciones. Carlos A. Rojas Kramer UCC Seguridad en Sistemas y Redes de Computadoras Módulo 3: Seguridad de las operaciones Carlos A. Rojas Kramer UCC Agenda Manejo administrativo. Conceptos de operación de computadoras. Mecanismos para protección

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

DIPLOMADO EN SEGURIDAD INFORMÁTICA

DIPLOMADO EN SEGURIDAD INFORMÁTICA INSTITUTO TECNOLÓGICO AUTÓNOMO DE MEXICO DIPLOMADO EN SEGURIDAD INFORMÁTICA Coordinador: M.en.C Uciel Fragoso Rodríguez Objetivo general: Entender la situación de un medio ambiente interconectado en el

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

Antes de imprimir este documento piense en el medio ambiente!

Antes de imprimir este documento piense en el medio ambiente! Versión 2.0 Página 1 de 8 1. OBJETIVO Establecer el procedimiento y parametrización de la toma de copias de respaldo, a través de la definición de las actividades que se deben surtir, para garantizar la

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Attachments: Archivos adjuntos a los mensajes de correo electrónico.

Attachments: Archivos adjuntos a los mensajes de correo electrónico. 10/12/2014 Página 1 de 8 1. OBJETIVO Describir el uso adecuado de los servicios, software, equipos de computación y redes de datos en La Entidad. Estas políticas buscan proteger la información, las personas

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 11 CONTROL DE ACCESO 11.4 CONTROL DE ACCESO A

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

a. Derechos de Autor.

a. Derechos de Autor. Controles aplicables a la administración, a la organización y al procesamiento de los datos. Por Omar Javier Solano Rodríguez Profesor Univalle. Apartes del artículo: la auditoría como punto de apoyo al

Más detalles

MANUAL DE POLÍTICAS DE INFRAESTRUCTURA TECNOLÓGICA

MANUAL DE POLÍTICAS DE INFRAESTRUCTURA TECNOLÓGICA Página 1 de 9 1. OBJETIVO DEL MANUAL Implementar y dar a conocer las políticas de seguridad de toda la infraestructura tecnología de la empresa. Para lograr un mejor manejo de los recursos informáticos

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

INTERNET DATA CENTER COLOCATION

INTERNET DATA CENTER COLOCATION COLOCATION Entrega en el Internet Data Center UNE el entorno físico, ambiental y de seguridad ideal para el correcto funcionamiento de las plataformas tecnológicas que soportan los procesos de negocio

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN)

CONSEJO DE PROMOCIÓN TURÍSTICA DE MÉXICO MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN) MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN) Manual de Políticas y Estándares de Seguridad Informática para recuperación de información. CONSEJO

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

La Empresa en Riesgo?

La Empresa en Riesgo? 1 La Empresa en Riesgo? Claves de la Seguridad Informática MSc. Julio C. Ardita jardita@cybsec.com 19 de Octubre de 2004 Buenos Aires - ARGENTINA 2 Temario - Situación actual - Problemática de la seguridad

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Tecnología en Movimiento Para Usted

Tecnología en Movimiento Para Usted InsysGuard INSYS ofrece InsysGuard como Centro de Operaciones NOC & SOC (Network Operations Center & Security Operations Center) dentro del territorio nacional mexicano y todo el procesamiento se realizá

Más detalles

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva

Más detalles

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003

2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC IMNC-2006 / ISO 15189:2003 2. CRITERIOS DE REQUISITOS DE GESTIÓN NMX-EC EC-15189- IMNC-2006 / ISO 15189:2003 4. REQUISITOS DE GESTIÓN 4.1 Organización y gestión 4.2 Sistema de gestión de la calidad 4.3 Control de los documentos

Más detalles

Clasificación y protección de la Información. Un caso práctico

Clasificación y protección de la Información. Un caso práctico Clasificación y protección de la Información. Un caso práctico Presentada por: Daniel Marino Gerente Gestión de Riesgos y Cumplimiento, Sancor Seguros Claudio Tana Gerente de Consultoría, NeoSecure Leonardo

Más detalles

REPORTE DE CUMPLIMIENTO ISO 17799

REPORTE DE CUMPLIMIENTO ISO 17799 Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA

Más detalles

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS,

Más detalles

Ing. Nicolás Serrano nserrano@bcu.gub.uy

Ing. Nicolás Serrano nserrano@bcu.gub.uy Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del

Más detalles