DEAS EN CIENCIA. Uso de la norma iso/iec en un sistema de gestión de seguridad de la información
|
|
- Luis Soler Bustamante
- hace 8 años
- Vistas:
Transcripción
1 Nanofibras. Obtenidas mediante la técnica de electrohilado, la cual utiliza un campo eléctrico a través del cual se hace pasar el material de polímero mediante una bomba, con lo cual se forma la fibra. Fuente: Año 23, Núm.41 Enero-Junio 2014 Facultad de Ingeniería, Universidad Autónoma del Estado de México D E A S ISSN: ISSN: Año 23, Núm.41 Enero-Junio 2014 Facultad de Ingeniería, Universidad Autónoma del Estado de México Uso de la norma iso/iec en un sistema de gestión de seguridad de la información Red de acceso abierto para el intercambio de metadatos de repositorios académicos An overview of road safety in the mena region Desarrollo de un concentrador solar para la degradación acelerada de polímeros de desecho
2 UNIVERSIDAD AUTÓNOMA DEL ESTADO DE MÉXICO Dr. en D. Jorge Olvera García RECTOR Dr. en Ed. Alfredo Barrera Baca SECRETARIO DE DOCENCIA Dra. en Est. Lat. Ángeles Ma. del Rosario Pérez Bernal SECRETARIA DE INVESTIGACIÓN Y ESTUDIOS AVANZADOS M. en D. José Benjamín Bernal Suárez SECRETARIO DE RECTORÍA M. en E. P. y D. Ivett Tinoco García SECRETARIA DE DIFUSIÓN CULTURAL M. en C. I. Ricardo Joya Cepeda SECRETARIO DE EXTENSIÓN Y VINCULACIÓN M. en E. Javier González Martínez SECRETARIO DE ADMINISTRACIÓN Dr. en C. Pol. Manuel Hernández Luna SECRETARIO DE PLANEACIÓN Y DESARROLLO INSTITUCIONAL Mtra. en A. Ed. Yolanda E. Ballesteros Sentíes SECRETARIA DE COOPERACIÓN INTERNACIONAL Dr. en D. Hiram Raúl Piña Libien ABOGADO GENERAL Lic. en Com. Juan Portilla Estrada DIRECTOR GENERAL DE COMUNICACIÓN UNIVERSITARIA Lic. Jorge Bernáldez García SECRETARIO TÉCNICO DE LA RECTORÍA M. en A. Emilio Tovar Pérez DIRECTOR GENERAL DE CENTROS UNIVERSITARIOS Y UNIDADES ACADÉMICAS PROFESIONALES M. en A. Ignacio Gutiérrez Padilla CONTRALOR UNIVERSITARIO FACULTAD DE INGENIERÍA M. en I. Raúl Vera Noguez DIRECTOR Dra. María Dolores Durán García SUBDIRECTORA ACADÉMICA M. en I. Luis Rojas Alonso SUBDIRECTOR ADMINISTRATIVO M. en I. Patricia Liévanos Martínez COORDINADORA DE DOCENCIA DE INGENIERÍA CIVIL M. en I. Balaam Valle Aguilar COORDINADOR DE DOCENCIA DE INGENIERÍA MECÁNICA M. en I. Juan Carlos Pérez Merlos COORDINADOR DE DOCENCIA DE INGENIERÍA ELECTRÓNICA M. en I. Mireya Salgado Gallegos COORDINADORA DE DOCENCIA DE INGENIERÍA EN COMPU- TACIÓN Dr. Iván Martínez Cienfuegos COORDINADOR DE DOCENCIA DE INGENIERÍA EN SISTEMAS ENERGÉTICOS SUSTENTABLES Dr. Sergio Alejandro Díaz Camacho COORDINADOR DE DOCENCIA DE MATERIAS PROPEDÉUTICAS M. en I. Gastón Vertiz Camaron COORDINADOR DE ESTUDIOS AVANZADOS Dr. José Cuauhtémoc Palacios González COORDINADOR DE INVESTIGACIÓN Dr. Eugenio Díaz Barriga Arceo COORDINADOR DE DIFUSIÓN CULTURAL M. en I. Víctor Manuel Pérez García COORDINADOR DE EXTENSIÓN Y VINCULACIÓN Ing. Brenda Pichardo Lewenstein COORDINADORA DE PLANEACIÓN Dr. Daury García Pulido COORDINADOR DEL CENTRO INTERAMERICANO DE RECURSOS DEL AGUA Dr. Luis Alejandro Escamilla Hernández COORDINADOR DEL CENTRO DE INVESTIGACIÓN EN INGE- NIERÍA ESTRUCTURAL Lic. José Alberto Carreón Rodríguez COORDINADOR DE TUTORÍA M. en A. Silvia Edith Albarrán Trujillo JEFA DEL DEPARTAMENTO DE CONTROL ESCOLAR M. en Educ. Soc. Florina Irene Pérez García JEFA DEL DEPARTAMENTO DE EDUCACIÓN CONTINUA Y A DISTANCIA L.C. Juana Fabila Sánchez JEFA DEL DEPARTAMENTO DE CONTROL ESCOLAR DE ESTUDIOS AVANZADOS M. en C.A. Eduardo Trujillo Flores JEFE DEL DEPARTAMENTO DE TITULACIÓN Ing. Jaime Rojas Rivas RESPONSABLE DEL DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Ing. Moisés Martínez Suárez JEFE DEL LABORATORIO DE MATERIALES Ing. Raymundo Escamilla Sánchez JEFE DEL LABORATORIO DE MODELADO
3 Año 23, Núm. 41 Enero-Junio 2014
4
5 COMITÉ CIENTÍFICO Guillermo Fernández Anaya Universidad Iberoamericana, México Luis De la Peña Universidad Nacional Autónoma de México, México Luis Esteva Maraboto Universidad Nacional Autónoma de México, México Juan de Dios Ortuzar Pontificia Universidad Católica de Chile, Chile Paulo Lopes dos Santos Universidad do Porto, Portugal Oswaldo Morales Nápoles Delft University of Technology, Nederland COMITÉ EDITORIAL Horacio Ramírez de Alba Universidad Autónoma del Estado de México, México Laura Valero Conzuelo Universidad Autónoma del Estado de México, México Juan Carlos Arteaga Arcos Universidad Autónoma del Estado de México, México Javier Romero Torres Universidad Autónoma del Estado de México, México Luis Alberto Quezada Téllez Universidad Iberoamericana, México Guadalupe Herrera Mejía Universidad Nacional Autónoma de México, México Carlos López Vázquez UNESCO-IHE Institute for Water Education, Nederland I Oscar A. Rosas Jaimes Editor Responsable Armando Barón Nava César Martínez Garduño Antonio Vargas Enríquez Apoyo Editorial Edición a cargo de la Coordinación de Publicaciones Periódicas de la Dirección del Programa Editorial María Trinidad Monroy Vilchis Coordinadora Erika Mendoza Enríquez Corrección de estilo Miguel Angel López Velásquez Diseño editorial I, Año 23, Núm. 41, Enero-Junio 2014, es una publicación semestral, editada por la Universidad Autónoma del Estado de México, a través de la Facultad de Ingeniería. Cerro de Coatepec s/n, Ciudad Universitaria, Toluca, Estado de México, C.P.50130, Tel , ideasenciencia@uaemex.mx. Editor responsable: Oscar A. Rosas Jaimes. Reserva de Derechos al Uso Exclusivo No , ISSN: , ambos otorgados por el Instituto Nacional del Derecho de Autor, Licitud de Título y Contenido No , otorgado por la Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Impresa por CIGOME, S.A. de C.V. Este número se terminó de imprimir en enero de 2015 con un tiraje de 350 ejemplares. La opiniones expresadas por los autores no necesariamente reflejan la postura del editor de la publicación. Se autoriza la reproducción total o parcial de los contenidos e imágenes siempre y cuando se cite la fuente y no sea con fines de lucro.
6
7 CONTENIDO Editorial 7 Uso de la norma iso/iec en un sistema 9 de gestión de seguridad de la información Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos María Rosa Quintana Guerra y Juan Carlos Pérez Merlos Red de acceso abierto para el intercambio 23 de metadatos de repositorios académicos Iván S. González Magaña, Nicandro Farías Mendoza y Jesús A. Verduzco Ramírez An overview of road safety in the mena region 35 Elias M. Choueiri, Georges M. Choueiri y Bernard M. Choueiri Desarrollo de un concentrador solar para la degradación 47 acelerada de polímeros de desecho Eduardo González M., Miriam Sánchez P.
8
9 EDITORIAL Ante usted se encuentra una revista que ha sido modificada en su presentación. Sin embargo, esta nueva forma tiene un fondo en el cual las modificaciones resultan más numerosas y profundas. La revista científica Ideas en Ciencia ha reformado sus procesos de revisión para que se lleven a cabo mediante los procedimientos conocidos como por pares y a doble ciego, con el fin de asegurar una mayor calidad en los contenidos y un trato más profesional a nuestros autores. Además, se ha adecuado su formato para cumplir con normas editoriales internacionales que exigen la inclución de los datos necesarios de los autores, fecha de recepción y de admisión, identificaciones con la información del artículo según aparecen en los interiores y medidas normalizadas para revistas cientificas. El Comité Científico y Editorial se ha renovado en donde se incluye a personalidades de reconocida trayectoria dentro de la comunidad científica y técnica. Nos sentimos no sólo agradecidos con su respaldo, sino que ello nos impulsa a responder con toda la seriedad y energía necesarias para seguir elevando nuestro nivel editorial. Por último, Ideas en Ciencia ha comenzado ya su incursión en las redes sociales a través de facebook, y mientras estas líneas son redactadas, se está llevando a cabo el diseño y programación de la versión web. A nombre de todos los que trabajamos en Ideas en Ciencia, le damos la bienvenida a esta nueva era y agradecemos su preferencia.
10 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág Uso de la norma iso/iec en un Sistema de Gestión de Seguridad de la Información Recibido: 29 de abril de 2014 Aceptado: 03 de junio de 2014 Silvia Edith Albarrán Trujillo 1* Mireya Salgado Gallegos 1 María Rosa Quintana Guerra 1 Juan Carlos Pérez Merlos 1 Resumen Los Sistemas de Gestión de Seguridad de la Información (sgsi) fueron diseñados para proteger acciones relacionadas con la gestión y transmisión de datos a través de diferentes medios y las acciones relacionadas con ello. La norma que rige los sgsi es ISO/IEC que plantea los requisitos para establecer, implantar, mantener y mejorar los sgsi. Con la norma ISO/IEC cualquier institución puede certificarse a nivel mundial, garantizando la seguridad de la información que genera. Esta norma adopta la metodología conocida como el ciclo de Deming pdca, acrónimo de Plan, Do, Check, Act (Planear, Hacer, Revisar y Actuar), y la mejora continua (ISO/IEC, 2005a), base de la norma ISO/IEC 27001, llevando la protección de información a nuevos niveles. El crecimiento de empresas en México, principalmente pymes y la legislación que se ha puesto en marcha en 2012 acerca de la protección de datos personales, hacen factible implementar sgsi en dichas empresas. Con los elementos descritos se propone una guía para implantar un sgsi basado en la aplicación de la norma ISO/IEC Palabras clave: Sistemas de Gestión de Seguridad de la Información, sgsi, ISO/IEC 27001, seguridad de datos. Abstract Information Security Management Systems (isms) have been designed to protect activities related to data management and transmission through different media and the respective actions. The isms standard is ISO/IEC and points out the requirements to establish, implant, mantain and improve these systems. With the ISO/IEC standard any institution can be qualified internationally, giving warranty over the information that generates. The ISO/IEC standard adheres to the methodology known as Deming s Cycle: Plan, Do, Check, Act (pdca) and the Continual improvement process (ISO/IEC, 2005b) where the ISO/ IEC standard is based, taking the information protection to higher levels. The business growth in Mexico, mainly that of small and medium-sized businesses (SMBs), and the laws that appeared since 2012 about information privacy, have made necessary to ontroduce isms in such businesses. With this premices we are proposing a guide to introduce isms based on the implementation of ISO/IEC standard. Keywords: Information Security Management Systems, isms, ISO/IEC 27001, Data Security 1 Facultad de Ingeniería. Universidad Autónoma del Estado de México, México. *Correo de contacto: siedaltr@gmail.com
11 10 Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos, María Rosa Quintana Guerra, Juan Carlos Pérez Merlos USO DE LA NORMA ISO/IEC EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN introducción Debido al crecimiento de empresas en México, principalmente medianas, y a la legislación sobre de la protección de datos personales, puesta en marcha en 2012, es deseable implementar sgsi en dichas empresas, garantizando así que cumplan con estas nuevas leyes. El objetivo del presente trabajo es proponer una guía para implantar un Sistema de Gestión de Seguridad de la Información (sgsi) basado en la aplicación de la norma ISO/IEC para pymes. sgsi es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. isms es el concepto equivalente en idioma inglés, siglas de Information Security Management System (iso, 2011). Se definen los conceptos básicos, así como la legislación aplicable y los supuestos que favorecen la implementación de un sgsi en toda empresa. También se abordan las fases de implementación de un sgsi y las actividades a realizar en cada una de ellas. Finalmente, se desarrolla un caso práctico que pretende aplicar la norma ISO/IEC en una pyme, cuyo giro es una Casa de empeño. El ejercicio pretende ser ilustrativo no exhaustivo, por lo que se describe a un nivel poco profundo. El estándar ISO/IEC con título completo: BS :2005 (ISO/IEC 27001:2005) es el conjunto de estándares que aportan información sobre seguridad de la información de la familia ISO-2700x, específicamente (Álvarez & García, 2007). ISO/IEC Fundamentos y vocabulario. La aplicación de cualquier estándar necesita un vocabulario definido que evite distintas interpretaciones. ISO/IEC Requerimientos de sgsi (revisado BS 7799 Parte 2:2005) publicado el 15 de octubre de Norma principal de requerimientos del Sistema de Gestión de Seguridad de la Información, tiene su origen en la norma británica BS , no es obligatoria la implementación de todos los controles enumerados, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. ISO/IEC (ISO 17799) Guía de buenas prácticas para la gestión de la seguridad de la información (Code of practice for information security management). Actualmente ISO/IEC 17799:2005, publicado el 15 de junio de Describe los objetivos de control y 133 controles, agrupados en 11 cláusulas. ISO/IEC ISMS Guía de implementación del sgsi (Implementation Guidance) (bajo desarrollo). ISO/IEC Métricas de medición de la gestión de la seguridad de la información (Information security management measurement) (bajo desarrollo), especificará las métricas y técnicas de medidas aplicables para determinar la eficacia y efectividad de la implantación de un sgsi y de los controles relacionados. Estas métricas se usan para la medición de los componentes de la fase Hacer (Do). ISO/IEC Información de riesgos en la gestión de la seguridad de la información
12 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág (Information security risk management) (basado e incorporado a ISO/IEC MICTS Part 2) (bajo desarrollo) guía para la gestión del riesgo de la seguridad de la información, servirá de apoyo a la ISO/IEC ISO/IEC Proceso de acreditación y certificación, especifica cómo se puede certificar un sgsi. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un sgsi. metodología La implantación de un sgsi en una empresa suele oscilar entre seis meses y un año. Todo depende del ámbito, el tamaño y la complejidad de la organización (inteco, 2011). El diseño e implantación de un sgsi y su posterior mantenimiento implica describir funciones dentro de la organización para hacerse cargo de las nuevas actividades. En algunos casos se añadirán responsabilidades a puestos ya definidos y en otros se tratará de perfiles completamente nuevos, aunque en organizaciones de pequeño tamaño probablemente serán asumidos por personas de la plantilla y no necesariamente por personal nuevo. Los sgsi implican la realización de algunas acciones como: I. Establecer el contexto, alcance y límites del sgsi. II. Establecer el contexto, alcance y límites del sgsi. Según lo especificado por la Norma ISO-IEC 27001(ISO/IEC, 2005b), los límites del sgsi deben estar definidos en términos de las características de la organización, localización, activos y tecnologías. III. Definir la política de seguridad. Sienta las bases de lo que se va a hacer, mostrará el compromiso de la dirección con el sgsi y servirá para coordinar responsabilidades y tareas. Seleccionar los controles para reducir los riesgos. Identificar y seleccionar los controles de seguridad apropiados y justificados. Estos controles se describen en ISO 27001:2005. IV. Establecer el plan de seguridad que consta de seis fases: 1. Fase Plan (Plan). Consiste en el diseño del sgsi donde se realiza la evaluación de los riesgos de seguridad de la información y se seleccionan los controles adecuados. Planificar y diseñar el sgsi, según la norma UNE/ISO-IEC 27001, implica los siguientes seis puntos en esta fase: establecer el contexto, alcance y límites del sgsi, establecer responsabilidades, definir la política de seguridad, realizar análisis de riesgos, seleccionar los controles para reducir los riesgos y establecer el plan de seguridad.
13 12 Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos, María Rosa Quintana Guerra, Juan Carlos Pérez Merlos USO DE LA NORMA ISO/IEC EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 2. Fase Do (Hacer). Debe llevarse a efecto el plan de seguridad propuesto en la fase anterior. Algunas medidas de corte técnico requerirán poca documentación, pero otras más de índole organizativa, como es el caso de la gestión de la documentación o de los recursos humanos, que necesitan ser documentadas. Los procesos inherentes a esta fase son: implementar plan de tratamiento de riesgos, implementar los controles seleccionados, definir las métricas, implementar programas de formación y sensibilización, gestionar la operación del sgsi, gestionar recursos, implementar procedimientos y controles para la gestión de incidentes de seguridad y concientización del personal (Pallas Megas, 2009). 3. Se generan las políticas de seguridad, el inventario de activos (valoración de los activos, análisis de riesgos, identificación de requerimientos de seguridad, identificación de amenazas y vulnerabilidades, cálculo de riesgos de seguridad) (Lerma, 2006) (G. Alexander, 2009), documentos de aplicabilidad soa (Selección de Controles Adecuados) (G. Alexander, 2009), procedimientos, registros de labores realizadas y auditorías. Se debe establecer un marco de planificación para la continuidad del negocio, así como pruebas y mantenimiento de dichos planes (Berbecho B. & Montero Guevara, 2009). 4. Fase Check (Comprobar). Los procesos en esta fase son siete: monitoreo y revisión de controles, acciones correctoras y preventivas, métricas de valuación de riesgos, controles y verificación de satisfacción de los requerimientos de seguridad, realizar auditorías internas, revisión de alcance y líneas de mejoras del sgsi por la Dirección, actualizar los planes de seguridad y revisión de acciones que podrían impactar la eficacia y/o eficiencia del sgsi (Pallas Mega, 2009). 5. Fase Act (Actuar). De acuerdo a la norma ISO/IEC , esta etapa debe, en función de toda la información recabada en las etapas de monitoreo, métricas y revisión del sgsi, adoptar las decisiones y redefiniciones necesarias para corregir los aspectos y controles que no estén logrando la efectividad esperada y replantearse el acierto o no de los controles planteados, así como la vigencia de los objetivos de control. Por otra parte, debe mantenerse la coordinación en la empresa y considerar sugerencias, no conformidades o nuevos lineamientos recibidos por parte de ésta, como consecuencia de su propia revisión y propuestas de mejora en el ámbito de su sgsi. Los procesos que envuelven a esta fase del ciclo son las siguientes: implementar las mejoras identificadas para el sgsi, implementar las acciones correctivas y preventivas pertinentes, comunicar acciones y mejoras a todas las partes involucradas y asegurarse que las mejoras logren los objetivos previstos (Pallas Mega, 2009). Documentación del sgsi. Se tiene un documento principal del sgsi. Sin detalle y documentos de soporte al sgsi (Políticas técnicas de dominio, alcance y cometido específico, procedimientos y guías e instructivos de operación).
14 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág De acuerdo a la norma ISO/IEC 27001, la documentación debe incluir: política, objetivos y alcance del sgsi. Procedimientos y controles que dan soporte al sgsi incluyendo: Procedimientos de control documentados. Registro de los procedimientos de control. Procedimientos de la auditoría interna. Procedimientos para las acciones correctivas y preventivas. Procedimientos de revisión. Descripción de la metodología de evaluación de riesgos. Reporte de evaluación de riesgos. Plan de tratamiento de riesgos. Documentación de los procedimientos para asegurar la efectividad de las etapas de planificación, operación y control del sgsi, incluyendo como se medirá la efectividad de los controles. Registros requeridos por la ISO/IEC Declaración de aplicabilidad. Informe de auditoría. Proceso de certificación. Una vez implantado el sgsi, con todo el trabajo que ello implica, puede darse el caso de que la organización decida mostrar sus logros a sus clientes, proveedores y al público en general. Para ello, se certificar el sistema. El Caso El presente proyecto abarca la definición del alcancen del sgsi, la identificación de activos y valuación de riesgos, controles, el desarrollo de un plan de tratamiento de riesgos y del enunciado de aplicabilidad para desarrollar políticas de acuerdo con los controles seleccionados. Se hace referencia una Casa de empeño. que es considerada como mediana empresa y en crecimiento. El objetivo de este caso práctico es la ejemplificación de la implantación de un sgsi en la Casa de empeño basado en la norma ISO/IEC 27001, se atiende a los puntos medulares de la norma. La presente aplicación se enfocará en las redes de telecomunicaciones y site de comunicaciones. Fase Plan En esta fase se determinan aspectos como los siguientes.
15 14 Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos, María Rosa Quintana Guerra, Juan Carlos Pérez Merlos USO DE LA NORMA ISO/IEC EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Alcance y límites del sgsi El alcance será únicamente el área de tramitación de empeños de manera presencial y la seguridad de la información que se maneja en los expedientes que forman el histórico de empeños. En equipamiento, se analizarán los equipos y las redes de comunicaciones. Quedan fuera del estudio los elementos como los datos de identificación y autenticación de los usuarios de los sistemas, las áreas de trabajo del personal que los maneja, el site de procesamiento de datos y las personas relacionadas con el proceso, así como la evaluación de seguridad de los servicios de proveedores externos. Definición de la política del sgsi y objetivos La política de seguridad sugerida a la empresa es la siguiente: Brindar servicios informáticos de calidad para la organización, los cuales garantizan la confidencialidad, integridad y disponibilidad de la información. Se dispone del personal, infraestructura y dispositivos lógicos y físicos para la prevención, corrección de los posibles riesgos. Establecer responsabilidades Cada uno de los miembros de la empresa debe firmar un acuerdo de confidencialidad donde se especifica no divulgar información sensible de la empresa a entidades externas. Dicho acuerdo es renovado cada año, con una vigencia de cinco años después de la salida del empleado de la empresa. El director de la empresa es el responsable de aprobar este documento. Al existir cambios que repercutan directamente a la seguridad de la información, como el cambio de equipo activo en la red o un servidor, se notifica formalmente, a través de una circular escrita y un correo electrónico a todo el personal que afecte este cambio, acciones que no son planeadas ni revisadas. En el caso de los proveedores, se ha dado acceso libre al site de comunicaciones y equipos, sin requerir de un control o supervisión por parte de la empresa. De manera general, los usuarios no tienen acceso a la información de la empresa fuera de la red de la empresa y acceso únicamente a sus archivos de acuerdo a los niveles de seguridad que se especifica en la aplicación erp (Enterprise Resourse Planning), utilizada en la empresa. Metodología, análisis y valuación del riesgo La metodología empleada para la valuación del riesgo se basa en la metodología MAGERIT 2.0, utilizada por el gobierno español.
16 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág La herramienta informática de Entorno de Análisis de Riesgos (ear) es PILAR, dispone de una biblioteca estándar de propósito general y es capaz de realizar calificaciones de seguridad respecto de normas conocidas como las siguientes: ISO/IEC 27002: Código de buenas prácticas para la Gestión de la Seguridad de la Información. ENS-Esquema Nacional de Seguridad (España). La empresa cuenta con un inventario respectivo de todos los activos que permiten brindar servicio a los usuarios tanto en el corporativo como en sucursal. Se obtiene una base de datos donde se especifican los siguientes datos por cada activo: nombre, número de serie, número de control y ubicación/área/departamento. Se tiene ubicado al propietario del activo, sin embargo, esto no se encuentra documentado. En el caso de activos de red, como switch y router, es el jefe de Telecomunicaciones y Bases de Datos. Adicionalmente, el propietario de los servidores que existen en el site de comunicaciones es una propiedad dividida entre el gerente de sistemas y los jefes de las diferentes áreas. La clasificación de la información no está definida. Para esta clasificación se debería considerar el valor, la confidencialidad y el grado crítico para la organización de la información. Seguridad de los recursos humanos Para solventar esta parte de la seguridad en el área de recursos humanos, la organización se enfoca en la contratación y permanencia del personal a través de documentos que acreditan la integridad de la persona como la carta de antecedentes no penales, cartilla militar, cartas de recomendación, certificados de escolaridad, firma de contrato y un acuerdo de confidencialidad. El jefe de área tiene la obligación de indicarle sus responsabilidades en cuanto a la seguridad de la información. Al término de su situación laboral, el empleado debe entregar todos los activos que estén a su cargo y la empresa retirará los permisos acceso a los que tenía (físico y lógico). Seguridad física y ambiental Las instalaciones cuentan con una puerta electrónica que se abre mediante una tarjeta con código de barras, que identifica a cada uno de los empleados. Existe, además, una recepcionista que permite el acceso a personas externas (proveedores, inversionistas, etc.) con previa verificación de su identidad mediante un documento oficial que lo acredite (IFE, licencia, pasaporte, etc.), este documento se escanea y almacena en una base de datos para el registro de visitantes.
17 16 Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos, María Rosa Quintana Guerra, Juan Carlos Pérez Merlos USO DE LA NORMA ISO/IEC EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN El site de comunicaciones cuenta con un cubículo exclusivo para este fin, el cual permanece cerrado y sólo tiene acceso el jefe de comunicaciones y el Gerente del departamento de sistemas. Para el ingreso a este lugar se debe llenar una bitácora destinada para ello. En cuanto a la seguridad física, el site de comunicaciones cuenta con un sistema acondicionado, respaldo de energía y sistema contra incendios. Todo equipo que sea retirado es registrado y almacenado en una bodega destinada para ello, con previa autorización del propietario del equipo. Gestión de las comunicaciones La empresa no cuenta con documentos que registren los procedimientos adecuados. Al realizar un cambio importante, éste es notificado al jefe del área afectada, quien decide si es necesario comunicar a los usuarios. En cuanto a la protección de código malicioso, en la red no se restringe el flujo de información, es decir, se otorga libre navegación por Internet a los usuarios. Únicamente se protege a los servidores que están detrás del firewall, debido a que éstos manejan información sensible de la empresa y clientes. Los respaldos de configuración y bases de datos son realizados por parte de los administradores de ingeniería, de modo que si un equipo o base de datos falla puede ser remplazada. No existe una gestión establecida de los medios removibles. Se utilizan discos, memorias de almacenamientos medios impresos con base en el criterio personal. En caso de existir una violación de la seguridad de la información, se toman acciones correctivas que solventan el incidente, pero no se lleva a cabo la documentación de dichos eventos. Control de acceso a la información Se cuenta con una política de control de acceso a la información, que es de conocimiento de todos los empleados, pero no se documentan nuevos incidentes ni es sometida a revisiones. El departamento que tiene a su cargo la gestión de accesos es el de sistemas, cuya función es tener una bitácora de los accesos de usuarios a aplicaciones o equipos, para lograr esto, se dan claves únicas e intransferibles para cada empleado que son modificadas o eliminadas. De forma general, las contraseñas son seguras ya que se cuentan con caracteres alfanuméricos y especiales. Sin embargo, no existe un procedimiento formal para su creación ni conservación de dichas claves. No se observan acciones adecuadas para proteger los equipos, únicamente se cuenta con una contraseña de inicio de sesión. Para proteger los equipos portátiles (laptop), existe una política que establece el registro obligatorio de los activos si salen de las instalaciones.
18 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág Adquisición, desarrollo y mantenimiento de los sistemas de información Los procesos para el control de cambios no se encuentran definidos formalmente, cada vez que es necesario un cambio en los sistemas de información se realizan los procedimientos adecuados para esa modificación en particular. Tras cambios en los sistemas operativos, se revisan y aprueban las aplicaciones críticas, todo cambio se maneja de forma estricta aun cuando no se cuenta con una política formal al respecto. Gestión de incidentes de la seguridad de la información Generalmente, los eventos de seguridad de la información son reportados a nivel de Departamento de Sistemas, cualquier integrante del departamento al observar, sospechar o percibir alguna debilidad, lo reporta al jefe inmediato superior del área respectiva, quien tomará acciones en caso de ser necesarias. Con el fin de garantizar la disponibilidad de la información, la empresa cuenta con un sistema redundante de energía eléctrica para los servidores. Gestión de la continuidad del negocio Para garantizar la continuidad del negocio, en el supuesto caso de presentarse un incidente, la empresa cuenta con plantas de luz en sucursales, así como servidores de remplazo para minimizar la falla. Las bases de datos son locales en las sucursales, la replicación de información se realiza cada noche en una transacción por lotes. Cumplimiento de normas legislativas La empresa define, documenta y actualiza los requerimientos estatutarios, reguladores y contractuales vigentes en las leyes mexicanas de manera general, más no para cada sistema de información que maneje los datos personales. Los registros personales de la empresa, así como la información personal, se encuentran protegidos de pérdida o destrucción, sin embargo, resulta conveniente aumentar las medidas para cumplir con la nueva legislación decretada en la LFPDPPP. Insuficiencias detectadas Cotejados los descubrimientos, se aprecian las siguientes insuficiencias:
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesSEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesGUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000
1 INTRODUCCIÓN Dos de los objetivos más importantes en la revisión de la serie de normas ISO 9000 han sido: desarrollar un grupo simple de normas que sean igualmente aplicables a las pequeñas, a las medianas
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesSeminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:
Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesAviso Legal. Entorno Digital, S.A.
Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesTALLER: ISO 14001. Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco
TALLER: ISO 14001 Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco Es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Sistemas
Más detallesEXPERIENCIAS EN LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD PARA EL PROCESO DE PRODUCCIÓN DE SOFTWARE
EXPERIENCIAS EN LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD PARA EL PROCESO DE PRODUCCIÓN DE SOFTWARE MSc. Gloria María Guerrero Llerena J Gestión de la Calidad y Auditoría. CITMATEL E-mail:
Más detallesCONTROL DE DOCUMENTOS
CONTROL DE DOCUMENTOS ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Henry Giraldo Gallego Angela Viviana Echeverry Díaz Armando Rodríguez Jaramillo Cargo: Profesional Universitario
Más detallesGestión de la Prevención de Riesgos Laborales. 1
UNIDAD Gestión de la Prevención de Riesgos Laborales. 1 FICHA 1. LA GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 2. EL SISTEMA DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 3. MODALIDAD
Más detallesCopyright 2011 - bizagi. Gestión de Cambios Documento de Construcción Bizagi Process Modeler
Copyright 2011 - bizagi Gestión de Cambios Bizagi Process Modeler Tabla de Contenido Gestión de Cambios... 4 Descripción... 4 Principales factores en la Construcción del Proceso... 5 Modelo de Datos...
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesPrincipios de Privacidad y Confidencialidad de la Información
Principios de Privacidad y Confidencialidad de la Información Con el objetivo de mantener nuestro permanente liderazgo en la protección de la privacidad del cliente, Manufacturera 3M S.A de C.V está activamente
Más detallesEstándares y Normas de Seguridad
Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los
Más detallesARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital. AUTOR: Ing. Elvin Suarez Sekimoto
ARTÍCULO: Validación de un método ágil para el análisis de riesgos de la información digital AUTOR: Ing. Elvin Suarez Sekimoto Email: peluka_chino@hotmail.com U.A.P.-I.T.P.R. CARRERA CONTABILIDAD PUERTO
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesCURSO COORDINADOR INNOVADOR
CURSO COORDINADOR INNOVADOR PRESENTACIÓN La tarea que el Ministerio de Educación se propone a través de Enlaces, en relación al aseguramiento del adecuado uso de los recursos, con el fin de lograr un impacto
Más detallesFirma: Fecha: Marzo de 2008
Procedimiento General Tratamiento de No Conformidades, Producto no conforme, Acciones Correctivas y Acciones Preventivas (PG 03) Elaborado por: Jaime Larraín Responsable de calidad Revisado por: Felipe
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesMejora de la Seguridad de la Información para las Pymes Españolas
Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesPONTIFICIA UNIVERSIDAD CATOLICA DE CHILE Escuela de Ingeniería
REGLAMENTO DEL PROGRAMA DE POSTGRADO EN INGENIERIA Septiembre, 2007 TITULO I DEFINICIÓN Art. 1: El Programa de Postgrado en Ingeniería depende de la Escuela de Ingeniería y es conducente a los grados académicos
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesPOLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA. 1. información que se obtiene la aplicación y su utilización
POLÍTICA DE PRIVACIDAD PARA APLICACIONES MÓVILES GRUPOCOPESA Nuestra política de privacidad se aplica al uso de las aplicaciones informáticas de los siguientes medios de comunicación: LaTercera, LaCuarta,
Más detallesACUERDO 3 DE 2015. (febrero 17) Diario Oficial No. 49.431 de 20 de febrero de 2015 ARCHIVO GENERAL DE LA NACIÓN JORGE PALACIOS PRECIADO
ACUERDO 3 DE 2015 (febrero 17) Diario Oficial No. 49.431 de 20 de febrero de 2015 ARCHIVO GENERAL DE LA NACIÓN JORGE PALACIOS PRECIADO Por el cual se establecen lineamientos generales para las entidades
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detallesUNIVERSIDAD CENTRAL DE VENEZUELA CONSEJO UNIVERSITARIO Ciudad Universitaria de Caracas
EL DE LA UNIVERSIDAD CENTRAL DE VENEZUELA En uso de las atribuciones legales establecidas en el Artículo 26, Numeral 20 de la Ley de Universidades vigente, dicta las siguientes: POLÍTICAS PARA EL USO RACIONAL
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesINSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE
SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesGUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN
GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN 1. Objetivo 2. Introducción 3. Procedimiento de control de documentos 4. Procedimiento de control de registros
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesMONITOR. Guía de Apoyo Abreviada
MONITOR Guía de Apoyo Abreviada NUEVA VERSIÓN 2014 ÍNDICE 0. Presentación del documento... 3 1. Contexto del seguimiento de títulos... 4 1.1. Contexto nacional... 4 2. El programa MONITOR... 4 2.1. Objetivo
Más detallesLey Orgánica de Protección de Datos
Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener
Más detallesTECNÓLOGO EN INFORMÁTICA PLAN DE ESTUDIOS
Administración Nacional de Universidad de la República Educación Pública Facultad de Ingenieria CF Res..0.07 Consejo Directivo Central Consejo Directivo Central Res..05.07 Res. 17.0.07 TECNÓLOGO EN INFORMÁTICA
Más detallesPROCEDIMIENTO ELABORACIÓN DE DOCUMENTOS
P-04-01 Marzo 2009 05 1 de 19 1. OBJETIVO Definir la estructura y los lineamientos para la elaboración de todos los documentos que integran el Sistema de Gestión de la Calidad de la Comisión Nacional de
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesdeterminar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;
Soporte 6Claves para la ISO 14001-2015 BLOQUE 7: Soporte La planificación, como elemento fundamental del Ciclo PDCA (plan-do-check-act) de mejora continua en el que se basa el estándar ISO 14001, resulta
Más detallesCondiciones de servicio de Portal Expreso RSA
Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesPUNTO NORMA: 4.3.1. ASPECTOS AMBIENTALES
PUNTO NORMA: 4.3.1. ASPECTOS AMBIENTALES REQUISITOS ASPECTOS INDIRECTOS DE LA NORMA ISO 14001 EMISIONES A LA ATMÓSFERA: Gases de combustión (uso vehículos) CONSUMO DE RECURSOS NATURALES: Combustible (uso
Más detallesInfraestructura Extendida de Seguridad IES
Infraestructura Extendida de Seguridad IES BANCO DE MÉXICO Dirección General de Sistemas de Pagos y Riesgos Dirección de Sistemas de Pagos INDICE 1. INTRODUCCION... 3 2. LA IES DISEÑADA POR BANCO DE MÉXICO...
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesHospital Nacional de Maternidad UNIDAD DE INFORMATICA
Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallese-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.
Comercio electrónico. (e-commerce) Las empresas que ya están utilizando la red para hacer comercio ven como están cambiando las relaciones de la empresa con sus clientes, sus empleados, sus colaboradores
Más detallesIntroducción a la Firma Electrónica en MIDAS
Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento
Más detallesProcedimiento de Sistemas de Información
Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4
Más detallesALCANCE Las solicitudes de información del SIIU podrán ser realizadas por los administradores de los diferentes sistemas institucionales
OBJETIVO Brindar un mecanismo a los administradores de sistema que les permita solicitar información del SIIU resguardas en nuestras bases de datos. ALCANCE Las solicitudes de información del SIIU podrán
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detalles1. Seguridad de la Información... 3. 2. Servicios... 4
Guía de productos y servicios relacionados con la Seguridad de la Información INDICE DE CONTENIDO 1. Seguridad de la Información... 3 2. Servicios... 4 2.1 Implantación Sistema de Gestión de Seguridad
Más detallesSecretaría General OFICINA NACIONAL DE GESTIÓN Y PATRIMONIO DOCUMENTAL DIRECTRIZ TÉCNICA
Secretaría General OFICINA NACIONAL DE GESTIÓN Y PATRIMONIO DOCUMENTAL DIRECTRIZ TÉCNICA Tratamiento de documentos electrónicos aplicados a documentación de la Universidad Nacional de Colombia (Actualizada
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesGuías y Procedimientos para la Creación y Publicación de Páginas Web del Recinto Universitario de Mayagüez
Guías y Procedimientos para la Creación y Publicación de Páginas Web del Recinto Universitario de Mayagüez Revisión: Diciembre 2008 Propósito: Este documento describe los procedimientos para la creación
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesSISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT
SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT INTRODUCCIÓN La documentación de auditoría ó papeles de trabajo son el respaldo que tiene el auditor para registrar los procedimientos aplicados,
Más detallesAspectos Básicos en Gestión Documental,
Aspectos Básicos en Gestión Documental, Misión del Archivo Universitario El Archivo Universitario es el servicio responsable de organizar, proteger, custodiar, dar acceso y difundir el patrimonio documental
Más detallesPROGRAMA DE GESTION DOCUMENTAL
PROGRAMA DE GESTION DOCUMENTAL DGD-005 00 2 de 9 1. OBJETIVO Establecer el documento que permita definir de forma sistemática las actividades inherentes al proceso de gestión documental que incluyen: producción,
Más detallesMANUAL NIVEL DE REVISIÓN 2 MANUAL DE PROCESOS
MANUAL DÍA MES AÑO MANUAL DE PROCESOS REVISIONES Y APROBACIONES DEL DOCUMENTO: ACTIVIDAD PUESTO FIRMA ELABORO: REPRESENTANTE DEL COMITÉ DE CALIDAD REVISO: REPRESENTANTE DEL COMITÉ DE CALIDAD APROBÓ: DIRECTOR
Más detallesSGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es
SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesCONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL
CONTRALORIA GENERAL DE LA REPUBLICA UNIDAD DE TECNOLOGIAS DE INFORMACION POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL AÑO 2009 1 POLITICAS DE USO DE LA RED INALAMBRICA INSTITUCIONAL 1. INTRODUCCION.
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesMéxico, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS
Marco Operativo para Empresas Líderes y Organismos Operadores México, 2014 CONTENIDO INTRODUCCIÓN OBJETIVOS REGLAS GENERALES DE OPERACIÓN Y COORDINACIÓN PARA LAS EMPRESAS LÍDERES, ORGANISMOS OPERADORES
Más detallesRP-CSG-027.00. Fecha de aprobación 2012-03-08
Reglamento Particular para la Auditoría Reglamentaria de Prevención de Riesgos Laborales según el Reglamento de los Servicios de Prevención (R.D. 39/1997) RP-CSG-027.00 Fecha de aprobación 2012-03-08 ÍNDICE
Más detallesREPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ
1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento
Más detallesIng. Nicolás Serrano nserrano@bcu.gub.uy
Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del
Más detalles-OPS/CEPIS/01.61(AIRE) Original: español Página 11 5. Estructura del programa de evaluación con personal externo
Página 11 5. Estructura del programa de evaluación con personal externo 5.1 Introducción Esta sección presenta la estructura del programa de evaluación con personal externo. Describe las funciones y responsabilidades
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detalles