DEAS EN CIENCIA. Uso de la norma iso/iec en un sistema de gestión de seguridad de la información

Tamaño: px
Comenzar la demostración a partir de la página:

Download "DEAS EN CIENCIA. Uso de la norma iso/iec 27001 en un sistema de gestión de seguridad de la información"

Transcripción

1 Nanofibras. Obtenidas mediante la técnica de electrohilado, la cual utiliza un campo eléctrico a través del cual se hace pasar el material de polímero mediante una bomba, con lo cual se forma la fibra. Fuente: https://karinaromerofibras.wordpress.com/author/vesselsromero. Año 23, Núm.41 Enero-Junio 2014 Facultad de Ingeniería, Universidad Autónoma del Estado de México D E A S ISSN: ISSN: Año 23, Núm.41 Enero-Junio 2014 Facultad de Ingeniería, Universidad Autónoma del Estado de México Uso de la norma iso/iec en un sistema de gestión de seguridad de la información Red de acceso abierto para el intercambio de metadatos de repositorios académicos An overview of road safety in the mena region Desarrollo de un concentrador solar para la degradación acelerada de polímeros de desecho

2 UNIVERSIDAD AUTÓNOMA DEL ESTADO DE MÉXICO Dr. en D. Jorge Olvera García RECTOR Dr. en Ed. Alfredo Barrera Baca SECRETARIO DE DOCENCIA Dra. en Est. Lat. Ángeles Ma. del Rosario Pérez Bernal SECRETARIA DE INVESTIGACIÓN Y ESTUDIOS AVANZADOS M. en D. José Benjamín Bernal Suárez SECRETARIO DE RECTORÍA M. en E. P. y D. Ivett Tinoco García SECRETARIA DE DIFUSIÓN CULTURAL M. en C. I. Ricardo Joya Cepeda SECRETARIO DE EXTENSIÓN Y VINCULACIÓN M. en E. Javier González Martínez SECRETARIO DE ADMINISTRACIÓN Dr. en C. Pol. Manuel Hernández Luna SECRETARIO DE PLANEACIÓN Y DESARROLLO INSTITUCIONAL Mtra. en A. Ed. Yolanda E. Ballesteros Sentíes SECRETARIA DE COOPERACIÓN INTERNACIONAL Dr. en D. Hiram Raúl Piña Libien ABOGADO GENERAL Lic. en Com. Juan Portilla Estrada DIRECTOR GENERAL DE COMUNICACIÓN UNIVERSITARIA Lic. Jorge Bernáldez García SECRETARIO TÉCNICO DE LA RECTORÍA M. en A. Emilio Tovar Pérez DIRECTOR GENERAL DE CENTROS UNIVERSITARIOS Y UNIDADES ACADÉMICAS PROFESIONALES M. en A. Ignacio Gutiérrez Padilla CONTRALOR UNIVERSITARIO FACULTAD DE INGENIERÍA M. en I. Raúl Vera Noguez DIRECTOR Dra. María Dolores Durán García SUBDIRECTORA ACADÉMICA M. en I. Luis Rojas Alonso SUBDIRECTOR ADMINISTRATIVO M. en I. Patricia Liévanos Martínez COORDINADORA DE DOCENCIA DE INGENIERÍA CIVIL M. en I. Balaam Valle Aguilar COORDINADOR DE DOCENCIA DE INGENIERÍA MECÁNICA M. en I. Juan Carlos Pérez Merlos COORDINADOR DE DOCENCIA DE INGENIERÍA ELECTRÓNICA M. en I. Mireya Salgado Gallegos COORDINADORA DE DOCENCIA DE INGENIERÍA EN COMPU- TACIÓN Dr. Iván Martínez Cienfuegos COORDINADOR DE DOCENCIA DE INGENIERÍA EN SISTEMAS ENERGÉTICOS SUSTENTABLES Dr. Sergio Alejandro Díaz Camacho COORDINADOR DE DOCENCIA DE MATERIAS PROPEDÉUTICAS M. en I. Gastón Vertiz Camaron COORDINADOR DE ESTUDIOS AVANZADOS Dr. José Cuauhtémoc Palacios González COORDINADOR DE INVESTIGACIÓN Dr. Eugenio Díaz Barriga Arceo COORDINADOR DE DIFUSIÓN CULTURAL M. en I. Víctor Manuel Pérez García COORDINADOR DE EXTENSIÓN Y VINCULACIÓN Ing. Brenda Pichardo Lewenstein COORDINADORA DE PLANEACIÓN Dr. Daury García Pulido COORDINADOR DEL CENTRO INTERAMERICANO DE RECURSOS DEL AGUA Dr. Luis Alejandro Escamilla Hernández COORDINADOR DEL CENTRO DE INVESTIGACIÓN EN INGE- NIERÍA ESTRUCTURAL Lic. José Alberto Carreón Rodríguez COORDINADOR DE TUTORÍA M. en A. Silvia Edith Albarrán Trujillo JEFA DEL DEPARTAMENTO DE CONTROL ESCOLAR M. en Educ. Soc. Florina Irene Pérez García JEFA DEL DEPARTAMENTO DE EDUCACIÓN CONTINUA Y A DISTANCIA L.C. Juana Fabila Sánchez JEFA DEL DEPARTAMENTO DE CONTROL ESCOLAR DE ESTUDIOS AVANZADOS M. en C.A. Eduardo Trujillo Flores JEFE DEL DEPARTAMENTO DE TITULACIÓN Ing. Jaime Rojas Rivas RESPONSABLE DEL DEPARTAMENTO DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Ing. Moisés Martínez Suárez JEFE DEL LABORATORIO DE MATERIALES Ing. Raymundo Escamilla Sánchez JEFE DEL LABORATORIO DE MODELADO

3 Año 23, Núm. 41 Enero-Junio 2014

4

5 COMITÉ CIENTÍFICO Guillermo Fernández Anaya Universidad Iberoamericana, México Luis De la Peña Universidad Nacional Autónoma de México, México Luis Esteva Maraboto Universidad Nacional Autónoma de México, México Juan de Dios Ortuzar Pontificia Universidad Católica de Chile, Chile Paulo Lopes dos Santos Universidad do Porto, Portugal Oswaldo Morales Nápoles Delft University of Technology, Nederland COMITÉ EDITORIAL Horacio Ramírez de Alba Universidad Autónoma del Estado de México, México Laura Valero Conzuelo Universidad Autónoma del Estado de México, México Juan Carlos Arteaga Arcos Universidad Autónoma del Estado de México, México Javier Romero Torres Universidad Autónoma del Estado de México, México Luis Alberto Quezada Téllez Universidad Iberoamericana, México Guadalupe Herrera Mejía Universidad Nacional Autónoma de México, México Carlos López Vázquez UNESCO-IHE Institute for Water Education, Nederland I Oscar A. Rosas Jaimes Editor Responsable Armando Barón Nava César Martínez Garduño Antonio Vargas Enríquez Apoyo Editorial Edición a cargo de la Coordinación de Publicaciones Periódicas de la Dirección del Programa Editorial María Trinidad Monroy Vilchis Coordinadora Erika Mendoza Enríquez Corrección de estilo Miguel Angel López Velásquez Diseño editorial I, Año 23, Núm. 41, Enero-Junio 2014, es una publicación semestral, editada por la Universidad Autónoma del Estado de México, a través de la Facultad de Ingeniería. Cerro de Coatepec s/n, Ciudad Universitaria, Toluca, Estado de México, C.P.50130, Tel , Editor responsable: Oscar A. Rosas Jaimes. Reserva de Derechos al Uso Exclusivo No , ISSN: , ambos otorgados por el Instituto Nacional del Derecho de Autor, Licitud de Título y Contenido No , otorgado por la Comisión Calificadora de Publicaciones y Revistas Ilustradas de la Secretaría de Gobernación. Impresa por CIGOME, S.A. de C.V. Este número se terminó de imprimir en enero de 2015 con un tiraje de 350 ejemplares. La opiniones expresadas por los autores no necesariamente reflejan la postura del editor de la publicación. Se autoriza la reproducción total o parcial de los contenidos e imágenes siempre y cuando se cite la fuente y no sea con fines de lucro.

6

7 CONTENIDO Editorial 7 Uso de la norma iso/iec en un sistema 9 de gestión de seguridad de la información Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos María Rosa Quintana Guerra y Juan Carlos Pérez Merlos Red de acceso abierto para el intercambio 23 de metadatos de repositorios académicos Iván S. González Magaña, Nicandro Farías Mendoza y Jesús A. Verduzco Ramírez An overview of road safety in the mena region 35 Elias M. Choueiri, Georges M. Choueiri y Bernard M. Choueiri Desarrollo de un concentrador solar para la degradación 47 acelerada de polímeros de desecho Eduardo González M., Miriam Sánchez P.

8

9 EDITORIAL Ante usted se encuentra una revista que ha sido modificada en su presentación. Sin embargo, esta nueva forma tiene un fondo en el cual las modificaciones resultan más numerosas y profundas. La revista científica Ideas en Ciencia ha reformado sus procesos de revisión para que se lleven a cabo mediante los procedimientos conocidos como por pares y a doble ciego, con el fin de asegurar una mayor calidad en los contenidos y un trato más profesional a nuestros autores. Además, se ha adecuado su formato para cumplir con normas editoriales internacionales que exigen la inclución de los datos necesarios de los autores, fecha de recepción y de admisión, identificaciones con la información del artículo según aparecen en los interiores y medidas normalizadas para revistas cientificas. El Comité Científico y Editorial se ha renovado en donde se incluye a personalidades de reconocida trayectoria dentro de la comunidad científica y técnica. Nos sentimos no sólo agradecidos con su respaldo, sino que ello nos impulsa a responder con toda la seriedad y energía necesarias para seguir elevando nuestro nivel editorial. Por último, Ideas en Ciencia ha comenzado ya su incursión en las redes sociales a través de facebook, y mientras estas líneas son redactadas, se está llevando a cabo el diseño y programación de la versión web. A nombre de todos los que trabajamos en Ideas en Ciencia, le damos la bienvenida a esta nueva era y agradecemos su preferencia.

10 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág Uso de la norma iso/iec en un Sistema de Gestión de Seguridad de la Información Recibido: 29 de abril de 2014 Aceptado: 03 de junio de 2014 Silvia Edith Albarrán Trujillo 1* Mireya Salgado Gallegos 1 María Rosa Quintana Guerra 1 Juan Carlos Pérez Merlos 1 Resumen Los Sistemas de Gestión de Seguridad de la Información (sgsi) fueron diseñados para proteger acciones relacionadas con la gestión y transmisión de datos a través de diferentes medios y las acciones relacionadas con ello. La norma que rige los sgsi es ISO/IEC que plantea los requisitos para establecer, implantar, mantener y mejorar los sgsi. Con la norma ISO/IEC cualquier institución puede certificarse a nivel mundial, garantizando la seguridad de la información que genera. Esta norma adopta la metodología conocida como el ciclo de Deming pdca, acrónimo de Plan, Do, Check, Act (Planear, Hacer, Revisar y Actuar), y la mejora continua (ISO/IEC, 2005a), base de la norma ISO/IEC 27001, llevando la protección de información a nuevos niveles. El crecimiento de empresas en México, principalmente pymes y la legislación que se ha puesto en marcha en 2012 acerca de la protección de datos personales, hacen factible implementar sgsi en dichas empresas. Con los elementos descritos se propone una guía para implantar un sgsi basado en la aplicación de la norma ISO/IEC Palabras clave: Sistemas de Gestión de Seguridad de la Información, sgsi, ISO/IEC 27001, seguridad de datos. Abstract Information Security Management Systems (isms) have been designed to protect activities related to data management and transmission through different media and the respective actions. The isms standard is ISO/IEC and points out the requirements to establish, implant, mantain and improve these systems. With the ISO/IEC standard any institution can be qualified internationally, giving warranty over the information that generates. The ISO/IEC standard adheres to the methodology known as Deming s Cycle: Plan, Do, Check, Act (pdca) and the Continual improvement process (ISO/IEC, 2005b) where the ISO/ IEC standard is based, taking the information protection to higher levels. The business growth in Mexico, mainly that of small and medium-sized businesses (SMBs), and the laws that appeared since 2012 about information privacy, have made necessary to ontroduce isms in such businesses. With this premices we are proposing a guide to introduce isms based on the implementation of ISO/IEC standard. Keywords: Information Security Management Systems, isms, ISO/IEC 27001, Data Security 1 Facultad de Ingeniería. Universidad Autónoma del Estado de México, México. *Correo de contacto:

11 10 Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos, María Rosa Quintana Guerra, Juan Carlos Pérez Merlos USO DE LA NORMA ISO/IEC EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN introducción Debido al crecimiento de empresas en México, principalmente medianas, y a la legislación sobre de la protección de datos personales, puesta en marcha en 2012, es deseable implementar sgsi en dichas empresas, garantizando así que cumplan con estas nuevas leyes. El objetivo del presente trabajo es proponer una guía para implantar un Sistema de Gestión de Seguridad de la Información (sgsi) basado en la aplicación de la norma ISO/IEC para pymes. sgsi es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información. isms es el concepto equivalente en idioma inglés, siglas de Information Security Management System (iso, 2011). Se definen los conceptos básicos, así como la legislación aplicable y los supuestos que favorecen la implementación de un sgsi en toda empresa. También se abordan las fases de implementación de un sgsi y las actividades a realizar en cada una de ellas. Finalmente, se desarrolla un caso práctico que pretende aplicar la norma ISO/IEC en una pyme, cuyo giro es una Casa de empeño. El ejercicio pretende ser ilustrativo no exhaustivo, por lo que se describe a un nivel poco profundo. El estándar ISO/IEC con título completo: BS :2005 (ISO/IEC 27001:2005) es el conjunto de estándares que aportan información sobre seguridad de la información de la familia ISO-2700x, específicamente (Álvarez & García, 2007). ISO/IEC Fundamentos y vocabulario. La aplicación de cualquier estándar necesita un vocabulario definido que evite distintas interpretaciones. ISO/IEC Requerimientos de sgsi (revisado BS 7799 Parte 2:2005) publicado el 15 de octubre de Norma principal de requerimientos del Sistema de Gestión de Seguridad de la Información, tiene su origen en la norma británica BS , no es obligatoria la implementación de todos los controles enumerados, la organización deberá argumentar sólidamente la no aplicabilidad de los controles no implementados. ISO/IEC (ISO 17799) Guía de buenas prácticas para la gestión de la seguridad de la información (Code of practice for information security management). Actualmente ISO/IEC 17799:2005, publicado el 15 de junio de Describe los objetivos de control y 133 controles, agrupados en 11 cláusulas. ISO/IEC ISMS Guía de implementación del sgsi (Implementation Guidance) (bajo desarrollo). ISO/IEC Métricas de medición de la gestión de la seguridad de la información (Information security management measurement) (bajo desarrollo), especificará las métricas y técnicas de medidas aplicables para determinar la eficacia y efectividad de la implantación de un sgsi y de los controles relacionados. Estas métricas se usan para la medición de los componentes de la fase Hacer (Do). ISO/IEC Información de riesgos en la gestión de la seguridad de la información

12 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág (Information security risk management) (basado e incorporado a ISO/IEC MICTS Part 2) (bajo desarrollo) guía para la gestión del riesgo de la seguridad de la información, servirá de apoyo a la ISO/IEC ISO/IEC Proceso de acreditación y certificación, especifica cómo se puede certificar un sgsi. Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un sgsi. metodología La implantación de un sgsi en una empresa suele oscilar entre seis meses y un año. Todo depende del ámbito, el tamaño y la complejidad de la organización (inteco, 2011). El diseño e implantación de un sgsi y su posterior mantenimiento implica describir funciones dentro de la organización para hacerse cargo de las nuevas actividades. En algunos casos se añadirán responsabilidades a puestos ya definidos y en otros se tratará de perfiles completamente nuevos, aunque en organizaciones de pequeño tamaño probablemente serán asumidos por personas de la plantilla y no necesariamente por personal nuevo. Los sgsi implican la realización de algunas acciones como: I. Establecer el contexto, alcance y límites del sgsi. II. Establecer el contexto, alcance y límites del sgsi. Según lo especificado por la Norma ISO-IEC 27001(ISO/IEC, 2005b), los límites del sgsi deben estar definidos en términos de las características de la organización, localización, activos y tecnologías. III. Definir la política de seguridad. Sienta las bases de lo que se va a hacer, mostrará el compromiso de la dirección con el sgsi y servirá para coordinar responsabilidades y tareas. Seleccionar los controles para reducir los riesgos. Identificar y seleccionar los controles de seguridad apropiados y justificados. Estos controles se describen en ISO 27001:2005. IV. Establecer el plan de seguridad que consta de seis fases: 1. Fase Plan (Plan). Consiste en el diseño del sgsi donde se realiza la evaluación de los riesgos de seguridad de la información y se seleccionan los controles adecuados. Planificar y diseñar el sgsi, según la norma UNE/ISO-IEC 27001, implica los siguientes seis puntos en esta fase: establecer el contexto, alcance y límites del sgsi, establecer responsabilidades, definir la política de seguridad, realizar análisis de riesgos, seleccionar los controles para reducir los riesgos y establecer el plan de seguridad.

13 12 Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos, María Rosa Quintana Guerra, Juan Carlos Pérez Merlos USO DE LA NORMA ISO/IEC EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 2. Fase Do (Hacer). Debe llevarse a efecto el plan de seguridad propuesto en la fase anterior. Algunas medidas de corte técnico requerirán poca documentación, pero otras más de índole organizativa, como es el caso de la gestión de la documentación o de los recursos humanos, que necesitan ser documentadas. Los procesos inherentes a esta fase son: implementar plan de tratamiento de riesgos, implementar los controles seleccionados, definir las métricas, implementar programas de formación y sensibilización, gestionar la operación del sgsi, gestionar recursos, implementar procedimientos y controles para la gestión de incidentes de seguridad y concientización del personal (Pallas Megas, 2009). 3. Se generan las políticas de seguridad, el inventario de activos (valoración de los activos, análisis de riesgos, identificación de requerimientos de seguridad, identificación de amenazas y vulnerabilidades, cálculo de riesgos de seguridad) (Lerma, 2006) (G. Alexander, 2009), documentos de aplicabilidad soa (Selección de Controles Adecuados) (G. Alexander, 2009), procedimientos, registros de labores realizadas y auditorías. Se debe establecer un marco de planificación para la continuidad del negocio, así como pruebas y mantenimiento de dichos planes (Berbecho B. & Montero Guevara, 2009). 4. Fase Check (Comprobar). Los procesos en esta fase son siete: monitoreo y revisión de controles, acciones correctoras y preventivas, métricas de valuación de riesgos, controles y verificación de satisfacción de los requerimientos de seguridad, realizar auditorías internas, revisión de alcance y líneas de mejoras del sgsi por la Dirección, actualizar los planes de seguridad y revisión de acciones que podrían impactar la eficacia y/o eficiencia del sgsi (Pallas Mega, 2009). 5. Fase Act (Actuar). De acuerdo a la norma ISO/IEC , esta etapa debe, en función de toda la información recabada en las etapas de monitoreo, métricas y revisión del sgsi, adoptar las decisiones y redefiniciones necesarias para corregir los aspectos y controles que no estén logrando la efectividad esperada y replantearse el acierto o no de los controles planteados, así como la vigencia de los objetivos de control. Por otra parte, debe mantenerse la coordinación en la empresa y considerar sugerencias, no conformidades o nuevos lineamientos recibidos por parte de ésta, como consecuencia de su propia revisión y propuestas de mejora en el ámbito de su sgsi. Los procesos que envuelven a esta fase del ciclo son las siguientes: implementar las mejoras identificadas para el sgsi, implementar las acciones correctivas y preventivas pertinentes, comunicar acciones y mejoras a todas las partes involucradas y asegurarse que las mejoras logren los objetivos previstos (Pallas Mega, 2009). Documentación del sgsi. Se tiene un documento principal del sgsi. Sin detalle y documentos de soporte al sgsi (Políticas técnicas de dominio, alcance y cometido específico, procedimientos y guías e instructivos de operación).

14 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág De acuerdo a la norma ISO/IEC 27001, la documentación debe incluir: política, objetivos y alcance del sgsi. Procedimientos y controles que dan soporte al sgsi incluyendo: Procedimientos de control documentados. Registro de los procedimientos de control. Procedimientos de la auditoría interna. Procedimientos para las acciones correctivas y preventivas. Procedimientos de revisión. Descripción de la metodología de evaluación de riesgos. Reporte de evaluación de riesgos. Plan de tratamiento de riesgos. Documentación de los procedimientos para asegurar la efectividad de las etapas de planificación, operación y control del sgsi, incluyendo como se medirá la efectividad de los controles. Registros requeridos por la ISO/IEC Declaración de aplicabilidad. Informe de auditoría. Proceso de certificación. Una vez implantado el sgsi, con todo el trabajo que ello implica, puede darse el caso de que la organización decida mostrar sus logros a sus clientes, proveedores y al público en general. Para ello, se certificar el sistema. El Caso El presente proyecto abarca la definición del alcancen del sgsi, la identificación de activos y valuación de riesgos, controles, el desarrollo de un plan de tratamiento de riesgos y del enunciado de aplicabilidad para desarrollar políticas de acuerdo con los controles seleccionados. Se hace referencia una Casa de empeño. que es considerada como mediana empresa y en crecimiento. El objetivo de este caso práctico es la ejemplificación de la implantación de un sgsi en la Casa de empeño basado en la norma ISO/IEC 27001, se atiende a los puntos medulares de la norma. La presente aplicación se enfocará en las redes de telecomunicaciones y site de comunicaciones. Fase Plan En esta fase se determinan aspectos como los siguientes.

15 14 Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos, María Rosa Quintana Guerra, Juan Carlos Pérez Merlos USO DE LA NORMA ISO/IEC EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Alcance y límites del sgsi El alcance será únicamente el área de tramitación de empeños de manera presencial y la seguridad de la información que se maneja en los expedientes que forman el histórico de empeños. En equipamiento, se analizarán los equipos y las redes de comunicaciones. Quedan fuera del estudio los elementos como los datos de identificación y autenticación de los usuarios de los sistemas, las áreas de trabajo del personal que los maneja, el site de procesamiento de datos y las personas relacionadas con el proceso, así como la evaluación de seguridad de los servicios de proveedores externos. Definición de la política del sgsi y objetivos La política de seguridad sugerida a la empresa es la siguiente: Brindar servicios informáticos de calidad para la organización, los cuales garantizan la confidencialidad, integridad y disponibilidad de la información. Se dispone del personal, infraestructura y dispositivos lógicos y físicos para la prevención, corrección de los posibles riesgos. Establecer responsabilidades Cada uno de los miembros de la empresa debe firmar un acuerdo de confidencialidad donde se especifica no divulgar información sensible de la empresa a entidades externas. Dicho acuerdo es renovado cada año, con una vigencia de cinco años después de la salida del empleado de la empresa. El director de la empresa es el responsable de aprobar este documento. Al existir cambios que repercutan directamente a la seguridad de la información, como el cambio de equipo activo en la red o un servidor, se notifica formalmente, a través de una circular escrita y un correo electrónico a todo el personal que afecte este cambio, acciones que no son planeadas ni revisadas. En el caso de los proveedores, se ha dado acceso libre al site de comunicaciones y equipos, sin requerir de un control o supervisión por parte de la empresa. De manera general, los usuarios no tienen acceso a la información de la empresa fuera de la red de la empresa y acceso únicamente a sus archivos de acuerdo a los niveles de seguridad que se especifica en la aplicación erp (Enterprise Resourse Planning), utilizada en la empresa. Metodología, análisis y valuación del riesgo La metodología empleada para la valuación del riesgo se basa en la metodología MAGERIT 2.0, utilizada por el gobierno español.

16 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág La herramienta informática de Entorno de Análisis de Riesgos (ear) es PILAR, dispone de una biblioteca estándar de propósito general y es capaz de realizar calificaciones de seguridad respecto de normas conocidas como las siguientes: ISO/IEC 27002: Código de buenas prácticas para la Gestión de la Seguridad de la Información. ENS-Esquema Nacional de Seguridad (España). La empresa cuenta con un inventario respectivo de todos los activos que permiten brindar servicio a los usuarios tanto en el corporativo como en sucursal. Se obtiene una base de datos donde se especifican los siguientes datos por cada activo: nombre, número de serie, número de control y ubicación/área/departamento. Se tiene ubicado al propietario del activo, sin embargo, esto no se encuentra documentado. En el caso de activos de red, como switch y router, es el jefe de Telecomunicaciones y Bases de Datos. Adicionalmente, el propietario de los servidores que existen en el site de comunicaciones es una propiedad dividida entre el gerente de sistemas y los jefes de las diferentes áreas. La clasificación de la información no está definida. Para esta clasificación se debería considerar el valor, la confidencialidad y el grado crítico para la organización de la información. Seguridad de los recursos humanos Para solventar esta parte de la seguridad en el área de recursos humanos, la organización se enfoca en la contratación y permanencia del personal a través de documentos que acreditan la integridad de la persona como la carta de antecedentes no penales, cartilla militar, cartas de recomendación, certificados de escolaridad, firma de contrato y un acuerdo de confidencialidad. El jefe de área tiene la obligación de indicarle sus responsabilidades en cuanto a la seguridad de la información. Al término de su situación laboral, el empleado debe entregar todos los activos que estén a su cargo y la empresa retirará los permisos acceso a los que tenía (físico y lógico). Seguridad física y ambiental Las instalaciones cuentan con una puerta electrónica que se abre mediante una tarjeta con código de barras, que identifica a cada uno de los empleados. Existe, además, una recepcionista que permite el acceso a personas externas (proveedores, inversionistas, etc.) con previa verificación de su identidad mediante un documento oficial que lo acredite (IFE, licencia, pasaporte, etc.), este documento se escanea y almacena en una base de datos para el registro de visitantes.

17 16 Silvia Edith Albarrán Trujillo, Mireya Salgado Gallegos, María Rosa Quintana Guerra, Juan Carlos Pérez Merlos USO DE LA NORMA ISO/IEC EN UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN El site de comunicaciones cuenta con un cubículo exclusivo para este fin, el cual permanece cerrado y sólo tiene acceso el jefe de comunicaciones y el Gerente del departamento de sistemas. Para el ingreso a este lugar se debe llenar una bitácora destinada para ello. En cuanto a la seguridad física, el site de comunicaciones cuenta con un sistema acondicionado, respaldo de energía y sistema contra incendios. Todo equipo que sea retirado es registrado y almacenado en una bodega destinada para ello, con previa autorización del propietario del equipo. Gestión de las comunicaciones La empresa no cuenta con documentos que registren los procedimientos adecuados. Al realizar un cambio importante, éste es notificado al jefe del área afectada, quien decide si es necesario comunicar a los usuarios. En cuanto a la protección de código malicioso, en la red no se restringe el flujo de información, es decir, se otorga libre navegación por Internet a los usuarios. Únicamente se protege a los servidores que están detrás del firewall, debido a que éstos manejan información sensible de la empresa y clientes. Los respaldos de configuración y bases de datos son realizados por parte de los administradores de ingeniería, de modo que si un equipo o base de datos falla puede ser remplazada. No existe una gestión establecida de los medios removibles. Se utilizan discos, memorias de almacenamientos medios impresos con base en el criterio personal. En caso de existir una violación de la seguridad de la información, se toman acciones correctivas que solventan el incidente, pero no se lleva a cabo la documentación de dichos eventos. Control de acceso a la información Se cuenta con una política de control de acceso a la información, que es de conocimiento de todos los empleados, pero no se documentan nuevos incidentes ni es sometida a revisiones. El departamento que tiene a su cargo la gestión de accesos es el de sistemas, cuya función es tener una bitácora de los accesos de usuarios a aplicaciones o equipos, para lograr esto, se dan claves únicas e intransferibles para cada empleado que son modificadas o eliminadas. De forma general, las contraseñas son seguras ya que se cuentan con caracteres alfanuméricos y especiales. Sin embargo, no existe un procedimiento formal para su creación ni conservación de dichas claves. No se observan acciones adecuadas para proteger los equipos, únicamente se cuenta con una contraseña de inicio de sesión. Para proteger los equipos portátiles (laptop), existe una política que establece el registro obligatorio de los activos si salen de las instalaciones.

18 Ideas en Ciencia Año 23, Núm. 41 Enero-Junio 2014 ISSN: pág Adquisición, desarrollo y mantenimiento de los sistemas de información Los procesos para el control de cambios no se encuentran definidos formalmente, cada vez que es necesario un cambio en los sistemas de información se realizan los procedimientos adecuados para esa modificación en particular. Tras cambios en los sistemas operativos, se revisan y aprueban las aplicaciones críticas, todo cambio se maneja de forma estricta aun cuando no se cuenta con una política formal al respecto. Gestión de incidentes de la seguridad de la información Generalmente, los eventos de seguridad de la información son reportados a nivel de Departamento de Sistemas, cualquier integrante del departamento al observar, sospechar o percibir alguna debilidad, lo reporta al jefe inmediato superior del área respectiva, quien tomará acciones en caso de ser necesarias. Con el fin de garantizar la disponibilidad de la información, la empresa cuenta con un sistema redundante de energía eléctrica para los servidores. Gestión de la continuidad del negocio Para garantizar la continuidad del negocio, en el supuesto caso de presentarse un incidente, la empresa cuenta con plantas de luz en sucursales, así como servidores de remplazo para minimizar la falla. Las bases de datos son locales en las sucursales, la replicación de información se realiza cada noche en una transacción por lotes. Cumplimiento de normas legislativas La empresa define, documenta y actualiza los requerimientos estatutarios, reguladores y contractuales vigentes en las leyes mexicanas de manera general, más no para cada sistema de información que maneje los datos personales. Los registros personales de la empresa, así como la información personal, se encuentran protegidos de pérdida o destrucción, sin embargo, resulta conveniente aumentar las medidas para cumplir con la nueva legislación decretada en la LFPDPPP. Insuficiencias detectadas Cotejados los descubrimientos, se aprecian las siguientes insuficiencias:

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA Guatemala, 2,007 CAMINOS ES DESARROLLO 1 I. FICHA TÉCNICA DEL DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA: 1.1 TITULO DE LA UNIDAD: Departamento

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Organización Internacional de Estandarización

Organización Internacional de Estandarización NORMAS ISO Y SU COBERTURA Introducción Boletín #1 Organización Internacional de Estandarización La Organización Internacional de Estandarización, ISO, es una organización sin ánimo de lucro de carácter

Más detalles

Implantación de un Sistema de Gestión de Seguridad de la Información según la

Implantación de un Sistema de Gestión de Seguridad de la Información según la Implantación de un Sistema de Gestión de Seguridad de la Información según la norma UNE 71502 Asesor Técnico - Seguridad Consejería de Educación - Junta de Andalucía Jefe de Sistemas de Información - Secretaría

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

Especificación de Requisitos del Sistema de Registro y Control de Bienes Muebles de la ULA (ULA_SRCBM, versión 1.0)

Especificación de Requisitos del Sistema de Registro y Control de Bienes Muebles de la ULA (ULA_SRCBM, versión 1.0) Proyecto: Actualización del Sistema de Información de Muebles Documento: Especificación de s del Sistema de Registro y Control de Muebles ULA (ULA_SRCBM, versión 1.0) Elaborado por: William J. Montilva

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria: Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática

Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Informática Seguridad y Competencias Profesionales Tema 3: Legislación y Normas en Materia de Seguridad Curso 2012 2013 Departamento de Ingeniería Universidad de Cádiz Cádiz, 15 de octubre de 2012 Índice 1 2 Sistema

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Estándares y Normas de Seguridad

Estándares y Normas de Seguridad Estándares y Normas de Seguridad Por qué normas/estándares de seguridad? Las organizaciones necesitan (en ocasiones deben) demostrar que realizan una gestión competente y efectiva de la seguridad de los

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE EVALUACIÓN DE DESEMPEÑO Versión 05 Diciembre 2008 INDICE 1 Definición

Más detalles

PROCEDIMIENTO DE GESTIÓN DE ENTREGAS

PROCEDIMIENTO DE GESTIÓN DE ENTREGAS Página 1 de 16 PROCEDIMIENTO DE GESTIÓN DE ENTREGAS Rev. Fecha Descripción 01 09/03/2007 Primera versión del documento 02 22/09/2009 Actualización de logos y contenido en general 03 20/06/2010 Actualización

Más detalles

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Manual de Seguridad Informática Centro de Cómputo (Políticas, Controles) Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Contenido Introducción 3 Objetivos 4 Alcances 4 Equipo

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Actualización NCh ISO 9001:2015 Cambios y desafíos a enfrentar. Relator José M. Mantilla Suárez

Actualización NCh ISO 9001:2015 Cambios y desafíos a enfrentar. Relator José M. Mantilla Suárez Actualización NCh ISO 9001:2015 Cambios y desafíos a enfrentar. Relator José M. Mantilla Suárez NCh ISO 9001:2015. Cambios clave. Estructura de Alto Nivel de 10 cláusulas y texto clave idéntico para todas

Más detalles

Qué es la ISO 27001?

Qué es la ISO 27001? Qué es la ISO 27001? La información tiene una importancia fundamental para el funcionamiento y quizá incluso sea decisiva para la supervivencia de la organización. El hecho de disponer de la certificación

Más detalles

Guías y Procedimientos para la Creación y Publicación de Páginas Web del Recinto Universitario de Mayagüez

Guías y Procedimientos para la Creación y Publicación de Páginas Web del Recinto Universitario de Mayagüez Guías y Procedimientos para la Creación y Publicación de Páginas Web del Recinto Universitario de Mayagüez Revisión: Diciembre 2008 Propósito: Este documento describe los procedimientos para la creación

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

La descentralización del IMTA ha implicado, Sistema de proyectos IMTA. M. Villarreal, C. A. Servín y A. R. Pérez. Resumen.

La descentralización del IMTA ha implicado, Sistema de proyectos IMTA. M. Villarreal, C. A. Servín y A. R. Pérez. Resumen. Sistema de proyectos IMTA M. Villarreal, C. A. Servín y A. R. Pérez Resumen El Instituto Mexicano de Tecnología del Agua (IMTA), con base a su nueva personalidad jurídica, requirió tener una metodología

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE INTRODUCCIÓN El avance informático actual es muy alto comparado con lo se tenía en los años 90, al hablar de desarrollo de software se hace más notable, en el

Más detalles

PROCEDIMIENTO AUDITORÍAS INTERNAS

PROCEDIMIENTO AUDITORÍAS INTERNAS P-08-01 Marzo 2009 05 1 de 16 1. OBJETIVO Definir los lineamientos de planeación, documentación, ejecución y seguimiento de las Auditorías Internas de Calidad para determinar que el Sistema de Gestión

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ Tabla de contenido 1 INTRODUCCIÓN... 3 2 ALCANCE... 3 3 OBJETIVO GENERAL... 4 3.1 OBJETIVOS ESPECÍFICOS... 4 4 REQUISITOS PARA LA IMPLEMENTACIÓN DEL PROGRAMA DE GESTIÓN DOCUMENTAL... 5 4.1 REQUISITOS NORMATIVOS...

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID 1 - Cuestiones generales: la firma electrónica en el Ayuntamiento de Madrid. 1.1 - Certificados

Más detalles

INGRESO Y REGISTRO DE NUEVOS USUARIOS A LA PÁGINAH, LA RED INFORMATIVA DEL INSTITUTO NACIONAL DE ANTROPOLOGÍA E HISTORIA

INGRESO Y REGISTRO DE NUEVOS USUARIOS A LA PÁGINAH, LA RED INFORMATIVA DEL INSTITUTO NACIONAL DE ANTROPOLOGÍA E HISTORIA INSTITUTO NACIONAL DE ANTROPOLOGÍA E HISTORIA INGRESO Y REGISTRO DE NUEVOS USUARIOS A LA PÁG, LA RED INFORMATIVA DEL INSTITUTO NACIONAL DE ANTROPOLOGÍA E HISTORIA Noviembre del 2003 Revisión: Noviembre

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

ALCANCE DE LOS SERVICIOS Y PLIEGO DE PRESCRIPCIONES TÉCNICAS

ALCANCE DE LOS SERVICIOS Y PLIEGO DE PRESCRIPCIONES TÉCNICAS ALCANCE DE LOS SERVICIOS Y PLIEGO DE PRESCRIPCIONES TÉCNICAS DISEÑO, DESARROLLO, IMPLANTACIÓN Y MANTENIMIENTO DE UNA PLATAFORMA INFORMÁTICA PARA LA ReTBioH I. OBJETO El objeto del presente pliego lo constituye

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones

Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones Los Sistemas de Gestión de Seguridad de la Información. Un modelo a seguir. T21: Gestión de la Seguridad de las Organizaciones José Angel Valderrama Antón Gerente de Nuevas Tecnologías AENOR Índice 1.

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

TEMA: PONENTE: PROEXPORT (Colombia) Miguel

TEMA: PONENTE: PROEXPORT (Colombia) Miguel TEMA: PONENTE: PROEXPORT (Colombia) Miguel Angel Arévalo Q. Ingeniero de sistemas y computación, y Especialista en Construcción n de software experiencia en seguridad de la información n en ETB, CertificadoCISSP

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

Taxonomía de los Sistemas de Gestión

Taxonomía de los Sistemas de Gestión Taxonomía de los Sistemas de Gestión Carlos Rivera Orozco, Rosario Rodríguez Báez Bufete de Ingenieros Industriales, S. C. Pimentel 4104 B, Las Granjas, 31160, Chihuahua, México. carlos@bii.com.mx RESUMEN

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC

PLAN DE SEGURIDAD PARA NUEVOS MODELOS DE NEGOCIOS BASADOS EN TIC CONTADOR EDUARDO LUIS GARCÍA egarcia@criba.edu.ar Departamento de Ciencias de la Administración Universidad acional del Sur CATEGORÍA EN LA CUAL SE ENCUADRA EL TRABAJO Propuesta de contenido. MODALIDAD

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Evaluación Plataforma Educativa. Por. Ángela Maria Valderrama David Herney Bernal. Universidad de Antioquia. Julio - Octubre de 2004

Evaluación Plataforma Educativa. Por. Ángela Maria Valderrama David Herney Bernal. Universidad de Antioquia. Julio - Octubre de 2004 Evaluación Plataforma Educativa Por Ángela Maria Valderrama David Herney Bernal Julio - Octubre de 2004 Página 1 de 24 Introducción Somos conscientes de que parte de las exigencias de la sociedad actual

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Sistemas de Gestión de la Seguridad de la Información.

Sistemas de Gestión de la Seguridad de la Información. Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA INTEGRAL DE ATENCIÓN A CLIENTE(A)S, USUARIO(A)S Y BENEFICIARIO(A)S

Más detalles

Software generador de documentos a través de la Web

Software generador de documentos a través de la Web Julia Patricia Melo Morín 1 Software generador de documentos a través de la Web 1 Contacto: patricia.melo@itspanuco.edu.mx Resumen Uno de los mayores problemas a los que se enfrentan las grandes corporaciones

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

Automatización de bibliotecas con SIABUC

Automatización de bibliotecas con SIABUC Automatización de bibliotecas con SIABUC Segunda Edición José Román Herrera Morales Evangelina Serrano Barreda Juan Luis Campos Salcedo Luz María Pérez Santa Ana Jorge Rafael Gutiérrez Pulido María del

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS CÓDIGO: APO4-P-001 FECHA DE VIGENCIA 25/Nov/2013 1. OBJETIVO Gestionar, brindar soporte y

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

Sistemas de Pagos de Latinoamérica y el Caribe

Sistemas de Pagos de Latinoamérica y el Caribe Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe Evaluación del estado actual Banco de México Septiembre, 2008 Agradecimientos El Banco de México agradece a los Bancos Centrales

Más detalles