IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ
|
|
- Juan Manuel Correa Blanco
- hace 8 años
- Vistas:
Transcripción
1 IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA INGENIERÍA INFORMÁTICA SANTIAGO DE CALI 2014
2 IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ Proyecto de Grado para optar por el título de Ingeniero Informático Director Miguel José Navas Jaime Ingeniero de Sistemas UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA INGENIERÍA INFORMÁTICA SANTIAGO DE CALI 2014
3 Nota de aceptación: Aprobado por el Comité de Grado en cumplimiento de los requisitos exigidos por la Universidad Autónoma de Occidente para optar al título de Ingeniero Informático. MARIO WILSON CASTRO Jurado SANTIAGO DE CALI, 10 de Julio de
4 AGRADECIMIENTOS Se hace muy difícil agradecer a todo el mundo llenando una sola página diciendo nombres propios, por eso diré los que sinceramente estuvieron conmigo en el desarrollo de este proyecto y que de una u otra forma depositaron su confianza en mí, apoyándome y que creyeron en mí sobre mis conocimientos básicos. Le soy muy agradecida a Dios por permitir que mis padres, Diomedes Montes Montaño y Melba Cecilia Santacruz Campo, estuvieran conmigo dándome su apoyo incondicional sobre el trabajo de grado que se realizó con éxito, mis padres siempre se esmeraron en darme la mejor educación y valores para tener un excelente progreso en la vida como persona con educación. A mi hermana Juli Angélica Quintero Santacruz, en ella siempre he recibido consejos como hermana mayor y ocupa un grandísimo lugar en mi corazón, a ella también le agradezco por la confianza y el apoyo. Agradezco a la Universidad Autónoma de Occidente, a los docentes que con su dedicación y empeño se recibieron sus conocimientos con paciencia para formarme como una gran profesional, a el Director de Programa de Ingeniería Informática Cesar Pardo Calvache, quien me brindo apoyo y herramientas para mi formación profesional y a mi director de proyecto de grado Miguel José Navas Jaime, quien con me colaboró como guía académico sobre mi proyecto. De igual manera agradezco a la División de Tecnologías de la Universidad Autónoma de Occidente, especialmente al Ingeniero Jorge Armando Rojas por aportarme excelentes conocimientos para mi vida profesional y brindarme la confianza absoluta sobre el desarrollo de este proyecto. De igual manera agradezco a mis demás familiares, amigos, y compañeros que me brindaran su apoyo, confianza y ánimo, para que mis metas y demás propósitos se cumplieran y que hoy en día se convirtieran en realidad siendo una gran profesional. 4
5 CONTENIDO pág. GLOSARIO 12 RESUMEN 13 INTRODUCCIÓN ANTECEDENTES PROBLEMA DE INVESTIGACIÓN PLANTEAMIENTO DEL PROBLEMA JUSTIFICACIÓN OBJETIVOS OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS MARCO DE REFERENCIA MARCO TEORICO NORMA ISO/IEC 31000: METODOLOGÍA OCTAVE ESTANDAR DE SEGURIDAD DE LA INFORMACIÓN NORMA ISO/IEC 27001: NORMA ISO/IEC 27002: ANEXO A SEGURIDAD FÍSICA ESTANDARES DE SEGURIDAD FÍSICA NORMA ANSI/EIA/TIA DESARROLLO DEL PROYECTO 49 5
6 7.1. FASE 1 VISTA ORGANIZACIONAL Activos críticos Perfil de amenazas Requerimientos de seguridad Prácticas actuales de seguridad FASE 2 VISTA TECNOLOGICA Vulnerabilidades tecnológicas FASE 3 ANÁLISIS DE RIESGOS Identificación y evaluación de riesgos Estrategia de protección y planes de mitigación de riesgos Valoración de los campos de la matriz análisis de riesgos Valoración del activo Riesgo neto Riesgo residual PLANTILLAS Plantilla 01, información sobre el activo del centro de datos Plantilla 02, análisis de riesgos Plantilla 03, controles de la ISO seleccionados CRITERIOS DE VALORACIÓN Probabilidad de ocurrencia Amenaza Vulnerabilidad Relevancia de activo Confidencialidad Integridad Disponibilidad Controles de la organización Control Controles de la norma ESCALA DE VALORACIÓN Riesgo neto Riesgo residual EJEMPLOS Cuadro de ejemplos de activos físicos Cuadro de ejemplos de amenazas informáticas Cuadro de ejemplos de vulnerabilidades METODOLOGÍA DE LA INVESTIGACIÓN RESULTADOS ANÁLISIS DE RIESGOS DEL CENTRO DE DATOS RECOMENDACIONES PARA LOS CONTROLES EXISTENTES 80 DEL CENTRO DE DATOS 6
7 9.3. POLÍTICA ESPECÍFICA DEL CONTROL DEL ACCESO FÍSICO 80 AL CENTRO DE DATOS 10. CONCLUSIONES RECOMENDACIONES 83 BIBLIOGRAFÍA 87 ANEXOS 90 7
8 LISTA DE FIGURAS pág. Figura 1. Principales fases de la seguridad de la información 26 Figura 2. Relaciones entre los principios, el marco de referencia y los 27 procesos para la gestión del riesgo Figura 3. El proceso de la metodología octave 31 Figura 4. Componentes del catálogo de prácticas octave 33 Figura 5. La serie de la norma ISO/IEC Figura 6. Dominios de la norma ISO/IEC 27002: Figura 7. Controles de la norma ISO/IEC 27002: Figura 8. Guía de desarrollo metodológico 49 Figura 9. Fase 1 metodología octave 50 Figura 10. Fase 2 metodología octave 54 Figura 11. Fase 3 metodología octave 57 8
9 LISTA DE CUADROS pág. Cuadro 1. Comparación de métodos biométricos 20 Cuadro 2. Nueva estructura de la norma ISO/IEC 27001: Cuadro 3. Descripción de los estándares de seguridad física 44 Cuadro 4. Prácticas estratégicas conciencia de seguridad y 53 formación Cuadro 5. Prácticas estratégicas estrategia de seguridad 53 Cuadro 6. Prácticas estratégicas gestión de seguridad 53 Cuadro 7. Prácticas estratégicas planes de contingencia / 53 recuperación de desastres Cuadro 8. Prácticas operacionales seguridad física. Planes de 55 seguridad física y procedimientos Cuadro 9. Prácticas operacionales seguridad física. Control de 56 acceso físico Cuadro 10. Prácticas operacionales seguridad física. Monitoreo 56 y auditoría de seguridad física Cuadro 11. Prácticas operacionales personal de seguridad. 56 Manejo de incidentes Cuadro 12. Prácticas operacionales personal de seguridad. 56 Personal de prácticas generales Cuadro 13. Cuadro descriptivo de activos físicos 59 Cuadro 14. Plantilla 01, Información sobre el Activo del Centro de Datos 61 Cuadro 15. Plantilla 02, Análisis de Riesgos 64 Cuadro 16. Plantilla 03, Controles de la ISO seleccionados 66 9
10 Cuadro 17. Cuadro descriptivo de valoración de una amenaza 67 Cuadro 18. Cuadro descriptivo de valoración de una vulnerabilidad 67 Cuadro 19. Cuadro descriptivo de valoración del impacto del activo 68 Cuadro 20. Cuadro descriptivo de evaluación del control de la 69 organización Cuadro 21. Cuadro descriptivo de los controles de la norma 69 Cuadro 22. Cuadro descriptivo de riesgo residual 72 Cuadro 23. Cuadro de ejemplos de activos físicos 73 Cuadro 24. Cuadro de ejemplos de amenazas informáticas 73 Cuadro 25. Cuadro de ejemplos de vulnerabilidades informáticas 75 10
11 LISTA DE ANEXOS pág. Anexo A. Información sobre el activo de información 90 Anexo B. Catálogo de prácticas metodología octave 91 Anexo C. Análisis de riesgos 97 Anexo D. Controles de la ISO seleccionados 97 11
12 GLOSARIO ESTANDAR: es un modelo para establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información cuyo diseño e implementación están influenciados por necesidades y objetivos, requisitos de seguridad, los procesos empleados, el tamaño y la estructura de la Organización, para asegurar controles de seguridad suficientes y proporcionales que protejan los activos de información y brinden confianza en las partes interesadas. INFORMACIÓN: es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION): es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. POLÍTICA: conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. SARI: es un documento que contiene información confidencial de la Universidad. Sistema de Administración de Riesgos de la Información. SEGURIDAD: cotidianamente se puede referir a la seguridad como ausencia de riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia. 12
13 RESUMEN La información es uno de los activos más importantes que tiene una compañía, por esto se hace necesario que los procesos y sistemas de información que la gestionan a diario deban ser protegidos de amenazas que afectan la continuidad del negocio y la no consecución de los objetivos organizacionales. Actualmente la información vital de una organización se encuentra en equipos informáticos y redes de datos, también se puede encontrar información vital en documentos físicos ya sea en carpetas físicas, en libros de contabilidad, etc. Todo esto hace que dichos equipos, redes o documentos físicos estén expuestos a diferentes riesgos e inseguridades por cualquier ente como una persona experta en seguridad informática o una organización externa, esto hace que la información sea afectada directamente en la disponibilidad, integridad y confidencialidad. Por lo tanto, para proteger a las organizaciones de estos riesgos es necesario conocerlas y afrontarlas de una manera adecuada, para ello se deben establecer unos procedimientos apropiados para mitigar los riesgos, tanto en amenazas como en vulnerabilidades. En el presente documento se ilustra el proceso que se debe llevar a cabo en una organización, en este caso en la Universidad Autónoma de Occidente, para conocer los riesgos a los que se encuentra expuesto el activo de información el cual está en el Centro de Datos en la misma Universidad, para luego determinar una serie de políticas, procedimientos y controles físicos de seguridad de la información, que permitirán mantener el riesgo en un nivel aceptable por la dirección de la organización. Palabras claves: Seguridad de la información, Seguridad informática, Análisis de Riesgos, Seguridad Física, Controles físicos, Amenazas, Vulnerabilidades, Activos de Información, Gestión de Riesgos, Norma ISO/IEC y Norma ISO/IEC
14 INTRODUCCION En la actualidad muchas empresas se relacionan con el tema de la Seguridad Informática y Seguridad de la Información para proteger la información de su propia organización. Siendo así que estas organizaciones deben de tener muchos activos de información importantes que contienen información confidencial de la misma empresa. Pero no solo debe ser confidencial la información sino también debe ser privada ya que no todos los empleados deben tener esa disponibilidad de acceder esa información, es decir, solo personal autorizado puede obtener todo tipo de datos posibles. Por lo tanto, la seguridad de la información tiene varias fases que se relacionan con los sistemas de información. Para ello existe un Modelo de Defensa de Profundidad que manifiesta toda clase de seguridad que puede tener un sistema de información, es decir este sistema de información puede ser atacado por un hacker o un ente de otra organización, y éste modelo protege el sistema mismo y su propia información. Para este proyecto se realizará el análisis de seguridad física de los centro de datos de la Universidad Autónoma de Occidente, identificando sus controles físicos según la norma ISO/IEC que es el código de las buenas prácticas; también se utilizará la norma ISO/IEC donde se observan los objetivos de cada fase de la seguridad de la información. Y por último se hará una identificación de riesgos, análisis de riesgos y evaluación de riesgos, con la ayuda de la norma ISO/IEC que trata sobre la gestión de riesgos que puede ser impactada en una organización. 14
15 2. ANTECEDENTES La seguridad de la información es un concepto que hoy en día todas las organizaciones tienen en cuenta, unas más que otras pero se maneja para proteger la información confidencial. Esto se ve nacional o internacionalmente ya sea en empresas públicas o privadas y en universidades. A continuación se mostrarán dos proyectos de grado, el primero es de Buenos Aires que se trata sobre la Metodología para el Aseguramiento de Entornos Informatizados, y el segundo proyecto de grado se relaciona con La Seguridad en el Centro de Computo. En la Universidad de Buenos Aires se encontró una tesis de grado Metodología para el Aseguramiento de Entornos Informatizados 1, el cual su propósito es formalizar una metodología práctica y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluación de los mismos, teniendo en cuenta el objetivo y los procesos del negocio. Su principal objetivo es proveer a los Ingenieros en Informática el Análisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones, para luego implementarlas con éxito y así lograr una efectiva protección y documentación del entorno efectivo. Cuando se habla de incidentes de Seguridad, o problemas de Seguridad Informática se refieren a: Acceso no autorizado a la información. Descubrimiento de información. Modificación no autorizada de datos. 1 BISOGNO, María Victoria. Metodología para Aseguramiento de Entornos Informatizados [en línea]. Trabajo de grado Ingeniero Informático. Buenos Aires: Universidad de Buenos Aires. Facultad de Ingeniería, p. [consultado: 14 de Noviembre 2013]. Disponible en: 15
16 Invasión a la privacidad. Denegación de servicios. Los niveles que cubrirá el proyecto son: Nivel físico. Nivel lógico. Nivel de la organización. En la parte de Seguridad Física, al momento de asegurar en este nivel, se tiene en cuenta lo siguiente: Protección del acceso a los servidores. Protección de los equipos. Controlar el acceso del personal y determinar a qué usuarios se le puede permitir el uso de los distintos recursos y a cuáles se les debe restringir. En cuanto al alcance a nivel físico el proyecto como tal, tiene en cuenta lo siguiente: Protección del edificio contra el acceso físico no autorizado. Protección de las oficinas del sector de Cómputo contra el acceso físico no autorizado. Protección del hardware e instalaciones del sector de cómputo y de ventas contra el acceso físico no autorizado. Protección de la red de comunicaciones de toda la empresa contra el acceso físico no autorizado. Protección de Cables. Protección de Servidores. Protección de la conexión wireless. Un proyecto de grado denominado SEGURIDAD EN EL CENTRO DE COMPUTO 2, elaborado para obtener el grado de Licenciado en Administración de Sistemas de Información, presenta los siguientes elementos que como antecedentes son referente para el presente trabajo: 2 PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. Trabajo de Grado Licenciado en Administración de Sistemas de Información, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: 16
17 La Seguridad de la Información bajo dos aspectos importantes: Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, el cual también se le puede llamar protección de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales. Garantizar el acceso, a todos los datos importantes, a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado Principales ataques potenciales y destrucción en un Centro de Cómputo Ingeniería Social: Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían; aunque a nadie le gusta ser manipulado, en algunos casos no es excesivamente perjudicial (por ejemplo un vendedor puede aplicar ingeniería social para conocer las necesidades de un cliente y ofrecer así mejor sus productos), si las intenciones de quien la pone en práctica no son buenas se convierte quizás el método de ataque más sencillo, menos peligroso para el atacante y por desgracia en uno de los más efectivos. Shoulder surfing: Consiste en espiar físicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en un papel pegado al monitor de su computador o escribirlas en la parte de abajo del teclado; cualquiera que pase por delante del puesto de trabajo, sin problemas puede leer el usuario y clave de acceso, e incluso el nombre de la máquina a la que pertenecen. Masquerading: Consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno; esta suplantación puede realizarse en persona o electrónicamente, un usuario utiliza para acceder a una máquina un login y password que no le pertenecen. Específicamente en este último caso, la suplantación en persona, es un ataque relativo tanto a la seguridad física del entorno de operaciones como a la seguridad del personal. Basureo o scavenging: La técnica del basureo está relacionada con los usuarios como con la seguridad física de los sistemas y consiste en obtener información dejada o alrededor de un sistema informático tras la ejecución de un trabajo. El basureo puede ser físico, como buscar en cubos de basura (trashing, traducido también por basureo), listados de impresión o copias de documentos, o lógico, como analizar buffers de impresoras, memoria liberada por procesos, o bloques de un disco que el sistema acaba de marcar como libres, en busca de información. 17
18 2.2. Seguridad Física del Centro de Cómputo La importancia de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos Controles de acceso físico Los controles de acceso físico conectan la información recibida en la red interconectada de dispositivos y sistemas especializados, al permitir a los centros de cómputo, la visualización de los distintos eventos y la consecuente toma de decisiones, que en muchos casos está a cargo de procedimientos preestablecidos, a fin de permitir a los mismos, tomar las decisiones en situaciones típicas u ordinarias, es decir, son las mismas máquinas las que proporcionan un nivel de operatividad y automatismo. Los métodos de autenticación se dividen en tres categorías: Sistemas basados en algo conocido. Sistemas lectores. Sistemas de autenticación biométricos Sistemas basados en algo conocido: Contraseñas En todos los esquemas de autenticación basados en contraseñas se cumple el mismo protocolo: las entidades (generalmente dos) que participan en la autenticación acuerdan una clave, clave que han de mantener en secreto si desean que la autenticación sea fiable. Cuando una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento de esa clave común, y si ésta es correcta se otorga el acceso a un recurso Sistemas lectores Las cuales son: Banda magnética: El más familiar y en algunos casos el más conveniente de los dispositivos de acceso físico es la tarjeta magnética. Tiene el aspecto de tarjeta de crédito o de documento de identidad. Sin embargo, las tarjetas pueden extraviarse, ser robadas o entregadas a terceras personas; en sí mismas no acreditan que el usuario sea la misma persona a quien se le expidió. Código de barras: También pueden usar unidades lectoras de códigos de barras, al utilizar para su conveniencia, por ejemplo, tarjetas con el código de 18
19 barras adherido. Las tarjetas tienen a la par una banda con un código de barras impresas que es reconocido por un lector de barras. Proximidad: Estos se usan para la lectura de códigos enviados por unidades como por ejemplo tarjetas que al aproximarse a la unidad lectora envían un código que es recibido por el dispositivo. Este tipo de dispositivos utiliza tecnología de radio frecuencia para leer la información de la tarjeta. Dependiendo de la potencia del dispositivo será la distancia que la tarjeta debe estar para enviar el código de ésta. Los dispositivos de aproximación pueden ser complementados con un teclado para reconocer un código personal, además del código de la tarjeta de aproximación; éstas pueden ser integradas con banda magnética o código de barras. Tarjetas inteligentes (smartcards): La tarjeta inteligente es una tarjeta convencional de plástico, que incorpora un chip en su interior. Este chip está formado por un microprocesador, una memoria de programa y una memoria de trabajo estructurada de forma lógica en varias zonas. Exteriormente lo que se puede observar es una placa de contactos que permiten comunicarse con el chip. El material empleado en las tarjetas es idóneo dada su durabilidad, resistencia ante factores externos, buen comportamiento en la impresión y posibilidad de grabarse en relieve Sistemas de autenticación biométrica Estos sistemas son basados en características físicas y de comportamiento de funciones personales del usuario a identificar. El reconocimiento de formas, la inteligencia artificial y el aprendizaje son las ramas de la informática que desempeñan el papel más importante en los sistemas de identificación biométricos. La criptología se limita aquí a un uso secundario, como el cifrado de una base de datos de patrones retinales, o la transmisión de una huella dactilar entre un dispositivo analizador y una base de datos. La autenticación basada en características físicas está desde que existe el hombre y, sin darse cuenta, es la más utilizada en la vida cotidiana; a diario se identifica a personas por los rasgos de su cara o por su voz. En la siguiente tabla se muestra una comparación de los rasgos más generales de los principales dispositivos biométricos: 19
20 Cuadro 1. Comparación de métodos biométricos. Ojo - Iris Ojo-Retina Huellas Geometría Escritura firma Voz dactilares de la mano Fiabilidad Muy alta Muy alta Alta Alta Alta Alta Facilidad de Media Baja Alta Alta Alta Alta uso Prevención de Muy alta Muy alta Alta Alta Media Media ataques Aceptación Media Media Media Alta Muy alta Alta Estabilidad Alta Alta Alta Media Media Media Identificación y Ambas Ambas Ambas Autenticación Ambas Autenticación autenticación Interferencias Gafas Irritaciones Suciedad, heridas, asperezas Artritis, reumatismo Firmas fáciles o cambiantes Ruido, resfriados Utilización Instalaciones nucleares, servicios médicos, centros penitenciarios Instalaciones nucleares, servicios médicos, centros penitenciarios Policía, industrial General Industrial Accesos remotos en bancos o bases de datos Fuente: PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: Los dispositivos biométricos tienen tres aspectos principales: Disponen de un mecanismo automático que lee y captura imagen digital o analógica de la característica a analizar. Disponen de una entidad para manejar aspectos como la comprensión, almacenamiento o comparación de los datos capturados con los guardados en una base de datos (que son considerados válidos). Ofrecen una interfaz para las aplicaciones que los utilizan. 20
21 3. PROBLEMA DE INVESTIGACIÓN 3.1. PLANTEAMIENTO DEL PROBLEMA Las empresas actualmente han sido afectadas por muchos factores que se relacionan con el manejo de la información. Entre esos factores se encuentran los activos de información que como ya sabemos son cualquier cosa que tenga valor en una organización. Esa serie de factores están involucradas actualmente en las organizaciones las cuales son Seguridad Informática y Seguridad de la Información en donde sus definiciones son totalmente diferentes y para eso se mostrarán más adelante. Actualmente la Universidad Autónoma de Occidente cuenta con varios centros de datos (DataCenter) donde almacenan información que contiene la universidad, cuya información se puede decir que es sobre los estudiantes, información sobre los profesores, información sobre los empleados, etc. Pero aquí el problema es que este centro de datos no cuenta con una seguridad física controlada, es decir se debe realizar un registro de los controles que tiene el centro de datos por medio de las normas ISO y normas para la seguridad física de centros de datos, realizar el registro de los controles y desarrollar las recomendaciones necesarias. La Universidad cuenta con dos centros de datos, el primero está ubicado en las oficinas de División de Tecnología, en una de los 4 bloques de aulas que tiene la Universidad y el otro queda en el Sótano en las oficinas de soporte técnico, pero este segundo no es un data center como tal, ahí permanece todo lo relacionado con Redes y Telecomunicaciones. El presente proyecto se enfocará en el Centro de Datos que se encuentra en las oficinas de División de Tecnologías. Por lo tanto se identificarán los controles de seguridad física según la norma ISO/IEC 27001:2005 y la norma ISO/IEC 27002:2005 teniendo control y organización en el centro de datos que contiene la División de Tecnologías de la Universidad. Primero se realiza un estudio sobre el centro de datos de la Universidad, es decir, conocer que contiene el centro de datos, que amenazas y vulnerabilidades están afectando la organización y por último realizar gestión de riesgos la cual siguen la norma ISO/IEC 31000:2009. De igual manera se consideran las normas o estándares que manejan un Data Center, cumpliendo con lo que describen estas normas. Considerando tres fases importantes de la seguridad de la información: la confidencialidad, la integridad y la disponibilidad. 21
22 Se deben considerar los tres pilares de la seguridad de la información, incluyendo la integridad, que también tiene que ver con la seguridad física, ya que se podría llegar a la manipulación y transformación de la información. 22
23 4. JUSTIFICACIÓN La Universidad Autónoma de Occidente cuenta en estos momentos con estudios que tienen control sobre la Seguridad Informática y Seguridad de la información; con este proyecto la Universidad pretende, para el centro de datos ubicado en las oficinas de la División de Tecnologías, desarrollar el análisis de la Seguridad Física. Se hace un estudio en el cual se identifican los controles que tiene el centro de datos por medio de normas estipuladas para estandarizar los controles y el manejo de la seguridad de la información y sobre la gestión de riesgos. No será necesario contener información sobre este centro de datos ya que sólo es un análisis físico más no lógico como tal. Para proteger la información de manera física se aplican los controles que se hallan en el centro de datos. Las consecuencias que podría ocasionar el no trabajar este proyecto, son primero que todo los riesgos que tendría la información si no se protegen físicamente los equipos que la contienen. La segunda consecuencia es que no se desarrollaría una secuencia sobre los controles de la seguridad física del centro de datos de la Universidad y la tercera consecuencia es que no se emplearía a un futuro las vulnerabilidades y amenazas que podría tener el centro de datos en el momento que tenga un riesgo inesperado. 23
24 5. OBJETIVOS 5.1. OBJETIVO GENERAL Identificar controles de seguridad física para el Centro de Datos de la Universidad Autónoma de Occidente bajo las Normas ISO/IEC 27001: 2005 e ISO/IEC 27002: 2005 con el fin de garantizar la continuidad del negocio OBJETIVOS ESPECÍFICOS Analizar los requerimientos de Seguridad Física estipulados en las normas ISO/IEC 27001: 2005 e ISO/IEC 27002: Gestionar los controles de Seguridad Física según las normas. Proteger la información de carácter crítico para la institución por medio de controles de acceso físico. Evaluar el nivel de Seguridad Física del centro de datos de la Universidad Autónoma de Occidente. Formular políticas para el control de Seguridad Física del centro de datos de la Autónoma de Occidente. Culturizar a los usuarios sobre los controles de la Seguridad Física planteada en las normas establecidas. 24
25 6. MARCO DE REFERENCIA 6.1. MARCO TEORICO Definición de seguridad informática. La seguridad informática se relaciona directamente con la seguridad de la información 3. La seguridad informática se define como cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden obtener daños en la información, comprender su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema. La seguridad informática también abarca en asegurar los recursos del sistema de información de una organización, siendo que el acceso a la información sea posible a las personas que estén autorizadas y que se encuentren acreditadas. También se puede decir que es la disciplina de proteger y resguardar la información gestionada, administrada y operada en los dispositivos los cuales son: estaciones de trabajo, portátiles, PDA s y equipos de comunicación Definición de seguridad de la información. Según la norma ISO/IEC es la preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y confidencialidad (ISO/IEC 17799:2005). La seguridad de la información es la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. 3 Concepto de Seguridad Informática, Empresa Yumbo ESPY, [en línea], consultado el 10 de Junio del 2010, disponible en Internet: 25
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesdeterminar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;
Soporte 6Claves para la ISO 14001-2015 BLOQUE 7: Soporte La planificación, como elemento fundamental del Ciclo PDCA (plan-do-check-act) de mejora continua en el que se basa el estándar ISO 14001, resulta
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesINFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE
INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS
Más detallesISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE
ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE MARZO 2007 Este documento contesta las preguntas más frecuentes que se plantean las organizaciones que quieren
Más detallesEstándares de Seguridad
Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesSEGURIDAD Y PROTECCION DE FICHEROS
SEGURIDAD Y PROTECCION DE FICHEROS INTEGRIDAD DEL SISTEMA DE ARCHIVOS ATAQUES AL SISTEMA PRINCIPIOS DE DISEÑO DE SISTEMAS SEGUROS IDENTIFICACIÓN DE USUARIOS MECANISMOS DE PROTECCIÓN Y CONTROL INTEGRIDAD
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesInfraestructura Tecnológica. Sesión 11: Data center
Infraestructura Tecnológica Sesión 11: Data center Contextualización La tecnología y sus avances nos han dado la oportunidad de facilitar el tipo de vida que llevamos, nos permite mantenernos siempre informados
Más detallesDirección de Planificación y Desarrollo Descripción de Programas y Proyectos - Octubre - 2014
Dirección de Planificación y Desarrollo Descripción de Programas y Proyectos - Octubre - 2014 Proveer el Data Center de equipo para la prevención y sofocación de incendios La Superintendencia de Valores
Más detallesSEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesLA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN
LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA
Más detallesGestión de la Prevención de Riesgos Laborales. 1
UNIDAD Gestión de la Prevención de Riesgos Laborales. 1 FICHA 1. LA GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 2. EL SISTEMA DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 3. MODALIDAD
Más detallesLey Orgánica de Protección de Datos
Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener
Más detallesXXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998
XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción
Más detallesInfraestructura Extendida de Seguridad IES
Infraestructura Extendida de Seguridad IES BANCO DE MÉXICO Dirección General de Sistemas de Pagos y Riesgos Dirección de Sistemas de Pagos INDICE 1. INTRODUCCION... 3 2. LA IES DISEÑADA POR BANCO DE MÉXICO...
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesCondiciones de servicio de Portal Expreso RSA
Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesGestión de la Seguridad de Activos Intelectuales
Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos
Más detallesProcedimiento de Sistemas de Información
Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesNORMATIVA ISO 27001. Tasador colaborador con con la la justicia
NORMATIVA ISO 27001 Tasador colaborador con con la la justicia 1 LA SEGURIDAD INFORMÁTICA COMO INVERSIÓN INTRODUCCIÓN A menudo, cuando me he reunido con los departamentos presupuestarios y de finanzas
Más detallesAUDITORIA DE SISTEMAS
AUDITORIA DE SISTEMAS Contenido 1 SEGURIDAD EN LOS CENTROS DE PROCESOS DE DATOS 2 SEGURIDAD FISICA 3 MECANISMOS DE SEGURIDAD BASICOS QUE DEBE CONTEMPLAR UN DATACENTER 4 COMBINACION DE METODOS PARA AUMENTAR
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad 3. La Calidad en la Actualidad La calidad en la actualidad 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer la calidad en la actualidad. La familia
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesPOLITICA DE PRIVACIDAD DE LA PAGINA WEB
POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la
Más detallesTaller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013
Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática
Más detallesGUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000
1 INTRODUCCIÓN Dos de los objetivos más importantes en la revisión de la serie de normas ISO 9000 han sido: desarrollar un grupo simple de normas que sean igualmente aplicables a las pequeñas, a las medianas
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesPreguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información
Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,
Más detallesProcedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral
Página: 1 de 1 Hoja de Control de Emisión y Revisiones. N de Revisión Páginas Afectadas Motivo del Cambio Aplica a partir de: 0 Todas Generación de documento 01-Agosto-2009 1 Todas Mejora del documento
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesGestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi
Gestión de Permisos Bizagi Suite Gestión de Permisos 1 Tabla de Contenido Gestión de Permisos... 3 Definiciones... 3 Rol... 3 Perfil... 3 Permiso... 3 Módulo... 3 Privilegio... 3 Elementos del Proceso...
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesLos mayores cambios se dieron en las décadas de los setenta, atribuidos principalmente a dos causas:
SISTEMAS DISTRIBUIDOS DE REDES 1. SISTEMAS DISTRIBUIDOS Introducción y generalidades La computación desde sus inicios ha sufrido muchos cambios, desde los grandes equipos que permitían realizar tareas
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detallesIntroducción a la Firma Electrónica en MIDAS
Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento
Más detallesGUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN
GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN 1. Objetivo 2. Introducción 3. Procedimiento de control de documentos 4. Procedimiento de control de registros
Más detallesArquitectura de seguridad OSI (ISO 7498-2)
Universidad Nacional Autónoma de México Facultad de Ingeniería Criptografía Grupo 2 Arquitectura de seguridad OSI (ISO 7498-2) ALUMNOS: ARGUETA CORTES JAIRO I. MENDOZA GAYTAN JOSE T. ELIZABETH RUBIO MEJÍA
Más detallesDE VIDA PARA EL DESARROLLO DE SISTEMAS
MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso
Más detallesBOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA
BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad
Más detallesAdministración de Centros Informáticos. Prof. Jhoan M. Chourio UNESR
Administración de Centros Informáticos Prof. Jhoan M. Chourio UNESR 12 de Marzo de 2014 SISTEMAS DE INFORMACIÓN ESTRATÉGICOS Son aquellos que de manera permanente proporcionan a la alta dirección una serie
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesPlan de Estudios. Diploma de Especialización en Seguridad Informática
Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías
Más detallesISO 31000:2009 - La gestión de riesgos como componente integral de la gestión empresarial
Angel Escorial Bonet Director General de Riskia, S.A. ISO 31000:2009 - La gestión de riesgos como componente integral de la gestión empresarial Sus antecedentes están en el modelo FERMA 2003 y en normas
Más detallesNuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesSOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES
G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla
Más detallesGestión de Configuración del Software
Gestión de Configuración del Software Facultad de Informática, ciencias de la Comunicación y Técnicas Especiales Herramientas y Procesos de Software Gestión de Configuración de SW Cuando se construye software
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesSistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)
Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA) Agenda 1. Introducción 2. Concepto Documento Electrónico 3. A que se le denomina Documento Electrónico 4. Componentes de un Documento Electrónico
Más detallesPrincipales Cambios de la ISO 9001:2015
INTRODUCCIÓN La nueva versión disponible de ISO 9001:2015, actualmente en su versión DIS, muestra una gran cantidad de cambios respecto de su predecesora. Muchos de estos cambios están en línea con otros
Más detallesCAPITULO III A. GENERALIDADES
CAPITULO III INVESTIGACION DE CAMPO SOBRE EL DISEÑO DE UN SISTEMA AUTOMATIZADO DE CONTROL INVENTARIO Y EXPEDIENTES DE MENORES DE EDAD PARA EL CENTRO DE DESARROLLO INTEGRAL LA TIENDONA EN LA ZONA METROPOLITANA
Más detallesOrientación acerca de los requisitos de documentación de la Norma ISO 9001:2000
Orientación acerca de los requisitos de documentación de la Norma ISO 9001:2000 Documento: ISO/TC 176/SC 2/N 525R Marzo 2001 ISO Traducción aprobada el 2001-05-31 Prólogo de la versión en español Este
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para
Más detallesResumen del trabajo sobre DNSSEC
Resumen del trabajo sobre Contenido 1. -...2 1.1. - Definición...2 1.2. - Seguridad basada en cifrado...2 1.3. - Cadenas de confianza...3 1.4. - Confianzas...4 1.5. - Islas de confianza...4 2. - Conclusiones...5
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE SOPORTE DE PLATAFORMA GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO El objeto del procedimiento es garantizar una plataforma tecnológica y un sistema de comunicación
Más detallesJavier Bastarrica Lacalle Auditoria Informática.
Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 9 SEGURIDAD FÍSICA Y AMBIENTAL 9.1 ÁREAS SEGURAS
Más detallesInforme final de evaluación del seguimiento de la implantación de títulos oficiales
Informe final de evaluación del seguimiento de la implantación de títulos oficiales 2014 MÁSTER UNIVERSITARIO EN DIRECCIÓN DE PROTOCOLO, PRODUCCIÓN, ORGANIZACIÓN Y DISEÑO DE EVENTOS Facultad de Ciencias
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesINTERVENTORIA ENFOCADA A LA INFORMATICA EN REDES Y COMUNICACIONES DE LA UNAD SEDE REGIONAL.
INTERVENTORIA ENFOCADA A LA INFORMATICA EN REDES Y COMUNICACIONES DE LA UNAD SEDE REGIONAL. ANALISIS En la UNAD sede regional, se llevará a cabo una interventoría privada de tipo teleinformático en el
Más detallesCharlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes
Charlas para la Gestión del Mantenimiento Fernando Espinosa Fuentes Conseguir una alta eficiencia de los activos es un reto importante ya que tiene un impacto significativo sobre los beneficios. Afecta
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesPolíticas para Asistencia Remota a Usuarios
Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta
Más detallesPUNTO NORMA: 4.3.1. ASPECTOS AMBIENTALES
PUNTO NORMA: 4.3.1. ASPECTOS AMBIENTALES REQUISITOS ASPECTOS INDIRECTOS DE LA NORMA ISO 14001 EMISIONES A LA ATMÓSFERA: Gases de combustión (uso vehículos) CONSUMO DE RECURSOS NATURALES: Combustible (uso
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detallesRecomendaciones relativas a la continuidad del negocio 1
Recomendaciones relativas a la continuidad del negocio 1 La continuidad de un negocio podría definirse como la situación en la que la operativa de una entidad tiene lugar de forma continuada y sin interrupción.
Más detallesCapítulo 5. Cliente-Servidor.
Capítulo 5. Cliente-Servidor. 5.1 Introducción En este capítulo hablaremos acerca de la arquitectura Cliente-Servidor, ya que para nuestra aplicación utilizamos ésta arquitectura al convertir en un servidor
Más detallesCONTROL DE DOCUMENTOS
CONTROL DE DOCUMENTOS ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Henry Giraldo Gallego Angela Viviana Echeverry Díaz Armando Rodríguez Jaramillo Cargo: Profesional Universitario
Más detalles