IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ

Tamaño: px
Comenzar la demostración a partir de la página:

Download "IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ"

Transcripción

1 IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA INGENIERÍA INFORMÁTICA SANTIAGO DE CALI 2014

2 IDENTIFICACIÓN DE LOS CONTROLES DE SEGURIDAD FÍSICA DEL CENTRO DE DATOS DE LA UNIVERSIDAD AUTONOMA DE OCCIDENTE KAREN ROCIO MONTES SANTACRUZ Proyecto de Grado para optar por el título de Ingeniero Informático Director Miguel José Navas Jaime Ingeniero de Sistemas UNIVERSIDAD AUTÓNOMA DE OCCIDENTE FACULTAD DE INGENIERÍA DEPARTAMENTO DE OPERACIONES Y SISTEMAS PROGRAMA INGENIERÍA INFORMÁTICA SANTIAGO DE CALI 2014

3 Nota de aceptación: Aprobado por el Comité de Grado en cumplimiento de los requisitos exigidos por la Universidad Autónoma de Occidente para optar al título de Ingeniero Informático. MARIO WILSON CASTRO Jurado SANTIAGO DE CALI, 10 de Julio de

4 AGRADECIMIENTOS Se hace muy difícil agradecer a todo el mundo llenando una sola página diciendo nombres propios, por eso diré los que sinceramente estuvieron conmigo en el desarrollo de este proyecto y que de una u otra forma depositaron su confianza en mí, apoyándome y que creyeron en mí sobre mis conocimientos básicos. Le soy muy agradecida a Dios por permitir que mis padres, Diomedes Montes Montaño y Melba Cecilia Santacruz Campo, estuvieran conmigo dándome su apoyo incondicional sobre el trabajo de grado que se realizó con éxito, mis padres siempre se esmeraron en darme la mejor educación y valores para tener un excelente progreso en la vida como persona con educación. A mi hermana Juli Angélica Quintero Santacruz, en ella siempre he recibido consejos como hermana mayor y ocupa un grandísimo lugar en mi corazón, a ella también le agradezco por la confianza y el apoyo. Agradezco a la Universidad Autónoma de Occidente, a los docentes que con su dedicación y empeño se recibieron sus conocimientos con paciencia para formarme como una gran profesional, a el Director de Programa de Ingeniería Informática Cesar Pardo Calvache, quien me brindo apoyo y herramientas para mi formación profesional y a mi director de proyecto de grado Miguel José Navas Jaime, quien con me colaboró como guía académico sobre mi proyecto. De igual manera agradezco a la División de Tecnologías de la Universidad Autónoma de Occidente, especialmente al Ingeniero Jorge Armando Rojas por aportarme excelentes conocimientos para mi vida profesional y brindarme la confianza absoluta sobre el desarrollo de este proyecto. De igual manera agradezco a mis demás familiares, amigos, y compañeros que me brindaran su apoyo, confianza y ánimo, para que mis metas y demás propósitos se cumplieran y que hoy en día se convirtieran en realidad siendo una gran profesional. 4

5 CONTENIDO pág. GLOSARIO 12 RESUMEN 13 INTRODUCCIÓN ANTECEDENTES PROBLEMA DE INVESTIGACIÓN PLANTEAMIENTO DEL PROBLEMA JUSTIFICACIÓN OBJETIVOS OBJETIVO GENERAL OBJETIVOS ESPECÍFICOS MARCO DE REFERENCIA MARCO TEORICO NORMA ISO/IEC 31000: METODOLOGÍA OCTAVE ESTANDAR DE SEGURIDAD DE LA INFORMACIÓN NORMA ISO/IEC 27001: NORMA ISO/IEC 27002: ANEXO A SEGURIDAD FÍSICA ESTANDARES DE SEGURIDAD FÍSICA NORMA ANSI/EIA/TIA DESARROLLO DEL PROYECTO 49 5

6 7.1. FASE 1 VISTA ORGANIZACIONAL Activos críticos Perfil de amenazas Requerimientos de seguridad Prácticas actuales de seguridad FASE 2 VISTA TECNOLOGICA Vulnerabilidades tecnológicas FASE 3 ANÁLISIS DE RIESGOS Identificación y evaluación de riesgos Estrategia de protección y planes de mitigación de riesgos Valoración de los campos de la matriz análisis de riesgos Valoración del activo Riesgo neto Riesgo residual PLANTILLAS Plantilla 01, información sobre el activo del centro de datos Plantilla 02, análisis de riesgos Plantilla 03, controles de la ISO seleccionados CRITERIOS DE VALORACIÓN Probabilidad de ocurrencia Amenaza Vulnerabilidad Relevancia de activo Confidencialidad Integridad Disponibilidad Controles de la organización Control Controles de la norma ESCALA DE VALORACIÓN Riesgo neto Riesgo residual EJEMPLOS Cuadro de ejemplos de activos físicos Cuadro de ejemplos de amenazas informáticas Cuadro de ejemplos de vulnerabilidades METODOLOGÍA DE LA INVESTIGACIÓN RESULTADOS ANÁLISIS DE RIESGOS DEL CENTRO DE DATOS RECOMENDACIONES PARA LOS CONTROLES EXISTENTES 80 DEL CENTRO DE DATOS 6

7 9.3. POLÍTICA ESPECÍFICA DEL CONTROL DEL ACCESO FÍSICO 80 AL CENTRO DE DATOS 10. CONCLUSIONES RECOMENDACIONES 83 BIBLIOGRAFÍA 87 ANEXOS 90 7

8 LISTA DE FIGURAS pág. Figura 1. Principales fases de la seguridad de la información 26 Figura 2. Relaciones entre los principios, el marco de referencia y los 27 procesos para la gestión del riesgo Figura 3. El proceso de la metodología octave 31 Figura 4. Componentes del catálogo de prácticas octave 33 Figura 5. La serie de la norma ISO/IEC Figura 6. Dominios de la norma ISO/IEC 27002: Figura 7. Controles de la norma ISO/IEC 27002: Figura 8. Guía de desarrollo metodológico 49 Figura 9. Fase 1 metodología octave 50 Figura 10. Fase 2 metodología octave 54 Figura 11. Fase 3 metodología octave 57 8

9 LISTA DE CUADROS pág. Cuadro 1. Comparación de métodos biométricos 20 Cuadro 2. Nueva estructura de la norma ISO/IEC 27001: Cuadro 3. Descripción de los estándares de seguridad física 44 Cuadro 4. Prácticas estratégicas conciencia de seguridad y 53 formación Cuadro 5. Prácticas estratégicas estrategia de seguridad 53 Cuadro 6. Prácticas estratégicas gestión de seguridad 53 Cuadro 7. Prácticas estratégicas planes de contingencia / 53 recuperación de desastres Cuadro 8. Prácticas operacionales seguridad física. Planes de 55 seguridad física y procedimientos Cuadro 9. Prácticas operacionales seguridad física. Control de 56 acceso físico Cuadro 10. Prácticas operacionales seguridad física. Monitoreo 56 y auditoría de seguridad física Cuadro 11. Prácticas operacionales personal de seguridad. 56 Manejo de incidentes Cuadro 12. Prácticas operacionales personal de seguridad. 56 Personal de prácticas generales Cuadro 13. Cuadro descriptivo de activos físicos 59 Cuadro 14. Plantilla 01, Información sobre el Activo del Centro de Datos 61 Cuadro 15. Plantilla 02, Análisis de Riesgos 64 Cuadro 16. Plantilla 03, Controles de la ISO seleccionados 66 9

10 Cuadro 17. Cuadro descriptivo de valoración de una amenaza 67 Cuadro 18. Cuadro descriptivo de valoración de una vulnerabilidad 67 Cuadro 19. Cuadro descriptivo de valoración del impacto del activo 68 Cuadro 20. Cuadro descriptivo de evaluación del control de la 69 organización Cuadro 21. Cuadro descriptivo de los controles de la norma 69 Cuadro 22. Cuadro descriptivo de riesgo residual 72 Cuadro 23. Cuadro de ejemplos de activos físicos 73 Cuadro 24. Cuadro de ejemplos de amenazas informáticas 73 Cuadro 25. Cuadro de ejemplos de vulnerabilidades informáticas 75 10

11 LISTA DE ANEXOS pág. Anexo A. Información sobre el activo de información 90 Anexo B. Catálogo de prácticas metodología octave 91 Anexo C. Análisis de riesgos 97 Anexo D. Controles de la ISO seleccionados 97 11

12 GLOSARIO ESTANDAR: es un modelo para establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información cuyo diseño e implementación están influenciados por necesidades y objetivos, requisitos de seguridad, los procesos empleados, el tamaño y la estructura de la Organización, para asegurar controles de seguridad suficientes y proporcionales que protejan los activos de información y brinden confianza en las partes interesadas. INFORMACIÓN: es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. ISO (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION): es el organismo encargado de promover el desarrollo de normas internacionales de fabricación (tanto de productos como de servicios), comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica. Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas u organizaciones a nivel internacional. POLÍTICA: conjunto de normas y procedimientos establecidos por una organización para regular el uso de la información y de los sistemas que la tratan con el fin de mitigar el riesgo de pérdida, deterioro o acceso no autorizado a la misma. SARI: es un documento que contiene información confidencial de la Universidad. Sistema de Administración de Riesgos de la Información. SEGURIDAD: cotidianamente se puede referir a la seguridad como ausencia de riesgo o también a la confianza en algo o alguien. Sin embargo, el término puede tomar diversos sentidos según el área o campo a la que haga referencia. 12

13 RESUMEN La información es uno de los activos más importantes que tiene una compañía, por esto se hace necesario que los procesos y sistemas de información que la gestionan a diario deban ser protegidos de amenazas que afectan la continuidad del negocio y la no consecución de los objetivos organizacionales. Actualmente la información vital de una organización se encuentra en equipos informáticos y redes de datos, también se puede encontrar información vital en documentos físicos ya sea en carpetas físicas, en libros de contabilidad, etc. Todo esto hace que dichos equipos, redes o documentos físicos estén expuestos a diferentes riesgos e inseguridades por cualquier ente como una persona experta en seguridad informática o una organización externa, esto hace que la información sea afectada directamente en la disponibilidad, integridad y confidencialidad. Por lo tanto, para proteger a las organizaciones de estos riesgos es necesario conocerlas y afrontarlas de una manera adecuada, para ello se deben establecer unos procedimientos apropiados para mitigar los riesgos, tanto en amenazas como en vulnerabilidades. En el presente documento se ilustra el proceso que se debe llevar a cabo en una organización, en este caso en la Universidad Autónoma de Occidente, para conocer los riesgos a los que se encuentra expuesto el activo de información el cual está en el Centro de Datos en la misma Universidad, para luego determinar una serie de políticas, procedimientos y controles físicos de seguridad de la información, que permitirán mantener el riesgo en un nivel aceptable por la dirección de la organización. Palabras claves: Seguridad de la información, Seguridad informática, Análisis de Riesgos, Seguridad Física, Controles físicos, Amenazas, Vulnerabilidades, Activos de Información, Gestión de Riesgos, Norma ISO/IEC y Norma ISO/IEC

14 INTRODUCCION En la actualidad muchas empresas se relacionan con el tema de la Seguridad Informática y Seguridad de la Información para proteger la información de su propia organización. Siendo así que estas organizaciones deben de tener muchos activos de información importantes que contienen información confidencial de la misma empresa. Pero no solo debe ser confidencial la información sino también debe ser privada ya que no todos los empleados deben tener esa disponibilidad de acceder esa información, es decir, solo personal autorizado puede obtener todo tipo de datos posibles. Por lo tanto, la seguridad de la información tiene varias fases que se relacionan con los sistemas de información. Para ello existe un Modelo de Defensa de Profundidad que manifiesta toda clase de seguridad que puede tener un sistema de información, es decir este sistema de información puede ser atacado por un hacker o un ente de otra organización, y éste modelo protege el sistema mismo y su propia información. Para este proyecto se realizará el análisis de seguridad física de los centro de datos de la Universidad Autónoma de Occidente, identificando sus controles físicos según la norma ISO/IEC que es el código de las buenas prácticas; también se utilizará la norma ISO/IEC donde se observan los objetivos de cada fase de la seguridad de la información. Y por último se hará una identificación de riesgos, análisis de riesgos y evaluación de riesgos, con la ayuda de la norma ISO/IEC que trata sobre la gestión de riesgos que puede ser impactada en una organización. 14

15 2. ANTECEDENTES La seguridad de la información es un concepto que hoy en día todas las organizaciones tienen en cuenta, unas más que otras pero se maneja para proteger la información confidencial. Esto se ve nacional o internacionalmente ya sea en empresas públicas o privadas y en universidades. A continuación se mostrarán dos proyectos de grado, el primero es de Buenos Aires que se trata sobre la Metodología para el Aseguramiento de Entornos Informatizados, y el segundo proyecto de grado se relaciona con La Seguridad en el Centro de Computo. En la Universidad de Buenos Aires se encontró una tesis de grado Metodología para el Aseguramiento de Entornos Informatizados 1, el cual su propósito es formalizar una metodología práctica y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluación de los mismos, teniendo en cuenta el objetivo y los procesos del negocio. Su principal objetivo es proveer a los Ingenieros en Informática el Análisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones, para luego implementarlas con éxito y así lograr una efectiva protección y documentación del entorno efectivo. Cuando se habla de incidentes de Seguridad, o problemas de Seguridad Informática se refieren a: Acceso no autorizado a la información. Descubrimiento de información. Modificación no autorizada de datos. 1 BISOGNO, María Victoria. Metodología para Aseguramiento de Entornos Informatizados [en línea]. Trabajo de grado Ingeniero Informático. Buenos Aires: Universidad de Buenos Aires. Facultad de Ingeniería, p. [consultado: 14 de Noviembre 2013]. Disponible en: 15

16 Invasión a la privacidad. Denegación de servicios. Los niveles que cubrirá el proyecto son: Nivel físico. Nivel lógico. Nivel de la organización. En la parte de Seguridad Física, al momento de asegurar en este nivel, se tiene en cuenta lo siguiente: Protección del acceso a los servidores. Protección de los equipos. Controlar el acceso del personal y determinar a qué usuarios se le puede permitir el uso de los distintos recursos y a cuáles se les debe restringir. En cuanto al alcance a nivel físico el proyecto como tal, tiene en cuenta lo siguiente: Protección del edificio contra el acceso físico no autorizado. Protección de las oficinas del sector de Cómputo contra el acceso físico no autorizado. Protección del hardware e instalaciones del sector de cómputo y de ventas contra el acceso físico no autorizado. Protección de la red de comunicaciones de toda la empresa contra el acceso físico no autorizado. Protección de Cables. Protección de Servidores. Protección de la conexión wireless. Un proyecto de grado denominado SEGURIDAD EN EL CENTRO DE COMPUTO 2, elaborado para obtener el grado de Licenciado en Administración de Sistemas de Información, presenta los siguientes elementos que como antecedentes son referente para el presente trabajo: 2 PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. Trabajo de Grado Licenciado en Administración de Sistemas de Información, [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: 16

17 La Seguridad de la Información bajo dos aspectos importantes: Negar el acceso a los datos a aquellas personas que no tengan derecho a ellos, el cual también se le puede llamar protección de la privacidad, si se trata de datos personales, y mantenimiento de la seguridad en el caso de datos institucionales. Garantizar el acceso, a todos los datos importantes, a las personas que ejercen adecuadamente su privilegio de acceso, las cuales tienen la responsabilidad de proteger los datos que se les ha confiado Principales ataques potenciales y destrucción en un Centro de Cómputo Ingeniería Social: Consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían; aunque a nadie le gusta ser manipulado, en algunos casos no es excesivamente perjudicial (por ejemplo un vendedor puede aplicar ingeniería social para conocer las necesidades de un cliente y ofrecer así mejor sus productos), si las intenciones de quien la pone en práctica no son buenas se convierte quizás el método de ataque más sencillo, menos peligroso para el atacante y por desgracia en uno de los más efectivos. Shoulder surfing: Consiste en espiar físicamente a los usuarios, para obtener generalmente claves de acceso al sistema. Por ejemplo, una medida que utilizan muchos usuarios para recordar sus contraseñas es apuntarlas en un papel pegado al monitor de su computador o escribirlas en la parte de abajo del teclado; cualquiera que pase por delante del puesto de trabajo, sin problemas puede leer el usuario y clave de acceso, e incluso el nombre de la máquina a la que pertenecen. Masquerading: Consiste simplemente en suplantar la identidad de cierto usuario autorizado de un sistema informático o su entorno; esta suplantación puede realizarse en persona o electrónicamente, un usuario utiliza para acceder a una máquina un login y password que no le pertenecen. Específicamente en este último caso, la suplantación en persona, es un ataque relativo tanto a la seguridad física del entorno de operaciones como a la seguridad del personal. Basureo o scavenging: La técnica del basureo está relacionada con los usuarios como con la seguridad física de los sistemas y consiste en obtener información dejada o alrededor de un sistema informático tras la ejecución de un trabajo. El basureo puede ser físico, como buscar en cubos de basura (trashing, traducido también por basureo), listados de impresión o copias de documentos, o lógico, como analizar buffers de impresoras, memoria liberada por procesos, o bloques de un disco que el sistema acaba de marcar como libres, en busca de información. 17

18 2.2. Seguridad Física del Centro de Cómputo La importancia de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos Controles de acceso físico Los controles de acceso físico conectan la información recibida en la red interconectada de dispositivos y sistemas especializados, al permitir a los centros de cómputo, la visualización de los distintos eventos y la consecuente toma de decisiones, que en muchos casos está a cargo de procedimientos preestablecidos, a fin de permitir a los mismos, tomar las decisiones en situaciones típicas u ordinarias, es decir, son las mismas máquinas las que proporcionan un nivel de operatividad y automatismo. Los métodos de autenticación se dividen en tres categorías: Sistemas basados en algo conocido. Sistemas lectores. Sistemas de autenticación biométricos Sistemas basados en algo conocido: Contraseñas En todos los esquemas de autenticación basados en contraseñas se cumple el mismo protocolo: las entidades (generalmente dos) que participan en la autenticación acuerdan una clave, clave que han de mantener en secreto si desean que la autenticación sea fiable. Cuando una de las partes desea autenticarse ante otra se limita a mostrarle su conocimiento de esa clave común, y si ésta es correcta se otorga el acceso a un recurso Sistemas lectores Las cuales son: Banda magnética: El más familiar y en algunos casos el más conveniente de los dispositivos de acceso físico es la tarjeta magnética. Tiene el aspecto de tarjeta de crédito o de documento de identidad. Sin embargo, las tarjetas pueden extraviarse, ser robadas o entregadas a terceras personas; en sí mismas no acreditan que el usuario sea la misma persona a quien se le expidió. Código de barras: También pueden usar unidades lectoras de códigos de barras, al utilizar para su conveniencia, por ejemplo, tarjetas con el código de 18

19 barras adherido. Las tarjetas tienen a la par una banda con un código de barras impresas que es reconocido por un lector de barras. Proximidad: Estos se usan para la lectura de códigos enviados por unidades como por ejemplo tarjetas que al aproximarse a la unidad lectora envían un código que es recibido por el dispositivo. Este tipo de dispositivos utiliza tecnología de radio frecuencia para leer la información de la tarjeta. Dependiendo de la potencia del dispositivo será la distancia que la tarjeta debe estar para enviar el código de ésta. Los dispositivos de aproximación pueden ser complementados con un teclado para reconocer un código personal, además del código de la tarjeta de aproximación; éstas pueden ser integradas con banda magnética o código de barras. Tarjetas inteligentes (smartcards): La tarjeta inteligente es una tarjeta convencional de plástico, que incorpora un chip en su interior. Este chip está formado por un microprocesador, una memoria de programa y una memoria de trabajo estructurada de forma lógica en varias zonas. Exteriormente lo que se puede observar es una placa de contactos que permiten comunicarse con el chip. El material empleado en las tarjetas es idóneo dada su durabilidad, resistencia ante factores externos, buen comportamiento en la impresión y posibilidad de grabarse en relieve Sistemas de autenticación biométrica Estos sistemas son basados en características físicas y de comportamiento de funciones personales del usuario a identificar. El reconocimiento de formas, la inteligencia artificial y el aprendizaje son las ramas de la informática que desempeñan el papel más importante en los sistemas de identificación biométricos. La criptología se limita aquí a un uso secundario, como el cifrado de una base de datos de patrones retinales, o la transmisión de una huella dactilar entre un dispositivo analizador y una base de datos. La autenticación basada en características físicas está desde que existe el hombre y, sin darse cuenta, es la más utilizada en la vida cotidiana; a diario se identifica a personas por los rasgos de su cara o por su voz. En la siguiente tabla se muestra una comparación de los rasgos más generales de los principales dispositivos biométricos: 19

20 Cuadro 1. Comparación de métodos biométricos. Ojo - Iris Ojo-Retina Huellas Geometría Escritura firma Voz dactilares de la mano Fiabilidad Muy alta Muy alta Alta Alta Alta Alta Facilidad de Media Baja Alta Alta Alta Alta uso Prevención de Muy alta Muy alta Alta Alta Media Media ataques Aceptación Media Media Media Alta Muy alta Alta Estabilidad Alta Alta Alta Media Media Media Identificación y Ambas Ambas Ambas Autenticación Ambas Autenticación autenticación Interferencias Gafas Irritaciones Suciedad, heridas, asperezas Artritis, reumatismo Firmas fáciles o cambiantes Ruido, resfriados Utilización Instalaciones nucleares, servicios médicos, centros penitenciarios Instalaciones nucleares, servicios médicos, centros penitenciarios Policía, industrial General Industrial Accesos remotos en bancos o bases de datos Fuente: PELÁEZ CÓBAR, Walleska; CHANCHAVAC CON, Silvia Leticia; FLORES VALENZUELA, Jorge Iván. Seguridad en Centro de Cómputo. [en línea], [consultado el 26 de Marzo de 2014]. Disponible en Internet: Los dispositivos biométricos tienen tres aspectos principales: Disponen de un mecanismo automático que lee y captura imagen digital o analógica de la característica a analizar. Disponen de una entidad para manejar aspectos como la comprensión, almacenamiento o comparación de los datos capturados con los guardados en una base de datos (que son considerados válidos). Ofrecen una interfaz para las aplicaciones que los utilizan. 20

21 3. PROBLEMA DE INVESTIGACIÓN 3.1. PLANTEAMIENTO DEL PROBLEMA Las empresas actualmente han sido afectadas por muchos factores que se relacionan con el manejo de la información. Entre esos factores se encuentran los activos de información que como ya sabemos son cualquier cosa que tenga valor en una organización. Esa serie de factores están involucradas actualmente en las organizaciones las cuales son Seguridad Informática y Seguridad de la Información en donde sus definiciones son totalmente diferentes y para eso se mostrarán más adelante. Actualmente la Universidad Autónoma de Occidente cuenta con varios centros de datos (DataCenter) donde almacenan información que contiene la universidad, cuya información se puede decir que es sobre los estudiantes, información sobre los profesores, información sobre los empleados, etc. Pero aquí el problema es que este centro de datos no cuenta con una seguridad física controlada, es decir se debe realizar un registro de los controles que tiene el centro de datos por medio de las normas ISO y normas para la seguridad física de centros de datos, realizar el registro de los controles y desarrollar las recomendaciones necesarias. La Universidad cuenta con dos centros de datos, el primero está ubicado en las oficinas de División de Tecnología, en una de los 4 bloques de aulas que tiene la Universidad y el otro queda en el Sótano en las oficinas de soporte técnico, pero este segundo no es un data center como tal, ahí permanece todo lo relacionado con Redes y Telecomunicaciones. El presente proyecto se enfocará en el Centro de Datos que se encuentra en las oficinas de División de Tecnologías. Por lo tanto se identificarán los controles de seguridad física según la norma ISO/IEC 27001:2005 y la norma ISO/IEC 27002:2005 teniendo control y organización en el centro de datos que contiene la División de Tecnologías de la Universidad. Primero se realiza un estudio sobre el centro de datos de la Universidad, es decir, conocer que contiene el centro de datos, que amenazas y vulnerabilidades están afectando la organización y por último realizar gestión de riesgos la cual siguen la norma ISO/IEC 31000:2009. De igual manera se consideran las normas o estándares que manejan un Data Center, cumpliendo con lo que describen estas normas. Considerando tres fases importantes de la seguridad de la información: la confidencialidad, la integridad y la disponibilidad. 21

22 Se deben considerar los tres pilares de la seguridad de la información, incluyendo la integridad, que también tiene que ver con la seguridad física, ya que se podría llegar a la manipulación y transformación de la información. 22

23 4. JUSTIFICACIÓN La Universidad Autónoma de Occidente cuenta en estos momentos con estudios que tienen control sobre la Seguridad Informática y Seguridad de la información; con este proyecto la Universidad pretende, para el centro de datos ubicado en las oficinas de la División de Tecnologías, desarrollar el análisis de la Seguridad Física. Se hace un estudio en el cual se identifican los controles que tiene el centro de datos por medio de normas estipuladas para estandarizar los controles y el manejo de la seguridad de la información y sobre la gestión de riesgos. No será necesario contener información sobre este centro de datos ya que sólo es un análisis físico más no lógico como tal. Para proteger la información de manera física se aplican los controles que se hallan en el centro de datos. Las consecuencias que podría ocasionar el no trabajar este proyecto, son primero que todo los riesgos que tendría la información si no se protegen físicamente los equipos que la contienen. La segunda consecuencia es que no se desarrollaría una secuencia sobre los controles de la seguridad física del centro de datos de la Universidad y la tercera consecuencia es que no se emplearía a un futuro las vulnerabilidades y amenazas que podría tener el centro de datos en el momento que tenga un riesgo inesperado. 23

24 5. OBJETIVOS 5.1. OBJETIVO GENERAL Identificar controles de seguridad física para el Centro de Datos de la Universidad Autónoma de Occidente bajo las Normas ISO/IEC 27001: 2005 e ISO/IEC 27002: 2005 con el fin de garantizar la continuidad del negocio OBJETIVOS ESPECÍFICOS Analizar los requerimientos de Seguridad Física estipulados en las normas ISO/IEC 27001: 2005 e ISO/IEC 27002: Gestionar los controles de Seguridad Física según las normas. Proteger la información de carácter crítico para la institución por medio de controles de acceso físico. Evaluar el nivel de Seguridad Física del centro de datos de la Universidad Autónoma de Occidente. Formular políticas para el control de Seguridad Física del centro de datos de la Autónoma de Occidente. Culturizar a los usuarios sobre los controles de la Seguridad Física planteada en las normas establecidas. 24

25 6. MARCO DE REFERENCIA 6.1. MARCO TEORICO Definición de seguridad informática. La seguridad informática se relaciona directamente con la seguridad de la información 3. La seguridad informática se define como cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos pueden obtener daños en la información, comprender su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema. La seguridad informática también abarca en asegurar los recursos del sistema de información de una organización, siendo que el acceso a la información sea posible a las personas que estén autorizadas y que se encuentren acreditadas. También se puede decir que es la disciplina de proteger y resguardar la información gestionada, administrada y operada en los dispositivos los cuales son: estaciones de trabajo, portátiles, PDA s y equipos de comunicación Definición de seguridad de la información. Según la norma ISO/IEC es la preservación de la confidencialidad, integridad y disponibilidad de la información; además, también pueden estar involucradas otras propiedades como la autenticidad, responsabilidad, no repudio y confidencialidad (ISO/IEC 17799:2005). La seguridad de la información es la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. 3 Concepto de Seguridad Informática, Empresa Yumbo ESPY, [en línea], consultado el 10 de Junio del 2010, disponible en Internet: 25

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS Contenido 1 SEGURIDAD EN LOS CENTROS DE PROCESOS DE DATOS 2 SEGURIDAD FISICA 3 MECANISMOS DE SEGURIDAD BASICOS QUE DEBE CONTEMPLAR UN DATACENTER 4 COMBINACION DE METODOS PARA AUMENTAR

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) Tabla de Contenidos CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS 1 DE LA ADMINISTRACIÓN PÚBLICA NACIONAL

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

El monitoreo de una variable física requiere supervisión permanente de señales que

El monitoreo de una variable física requiere supervisión permanente de señales que Capítulo 1 Marco Contextual 1.1. Formulación del problema 1.1.1. Definición del problema El monitoreo de una variable física requiere supervisión permanente de señales que varían con el tiempo. Tal información,

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

DISEÑO, DESARROLLO E IMPLANTACIÓN DE UN SISTEMA WEB PARA LA GESTIÓN DE LA PROGRAMACIÓN MICRO CURRICULAR DE LAS UNIDADES ACADÉMICAS DE LA PUCE - SI

DISEÑO, DESARROLLO E IMPLANTACIÓN DE UN SISTEMA WEB PARA LA GESTIÓN DE LA PROGRAMACIÓN MICRO CURRICULAR DE LAS UNIDADES ACADÉMICAS DE LA PUCE - SI DISEÑO, DESARROLLO E IMPLANTACIÓN DE UN SISTEMA WEB PARA LA GESTIÓN DE LA PROGRAMACIÓN MICRO CURRICULAR DE LAS UNIDADES ACADÉMICAS DE LA PUCE - SI María Belén Buendía Arellano e-mail: mabe_7_18@hotmail.com

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

SEGURIDAD Y PROTECCION DE FICHEROS

SEGURIDAD Y PROTECCION DE FICHEROS SEGURIDAD Y PROTECCION DE FICHEROS INTEGRIDAD DEL SISTEMA DE ARCHIVOS ATAQUES AL SISTEMA PRINCIPIOS DE DISEÑO DE SISTEMAS SEGUROS IDENTIFICACIÓN DE USUARIOS MECANISMOS DE PROTECCIÓN Y CONTROL INTEGRIDAD

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Capítulo 1. Estructura y funcionalidad de un sistema de seguridad

Capítulo 1. Estructura y funcionalidad de un sistema de seguridad 1 Capítulo 1. Estructura y funcionalidad de un sistema de seguridad El ser humano siempre se ha movido por el impulso innato de satisfacer sus necesidades básicas, esto lo ha llevado a evolucionar para

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

CAPÍTULO I. INTRODUCCIÓN

CAPÍTULO I. INTRODUCCIÓN CAPÍTULO I. INTRODUCCIÓN 1.1 Estado del arte del monitoreo de redes de computadoras. La palabra monitoreo no tiene una definición exacta, pero en el contexto computacional ha adquirido un auge muy grande,

Más detalles

Contenido. 1. Requerimientos tecnológicos para utilizar los servicios informáticos de la... 3. 2. Ingresar al portal de la DIAN...

Contenido. 1. Requerimientos tecnológicos para utilizar los servicios informáticos de la... 3. 2. Ingresar al portal de la DIAN... Contenido 1. Requerimientos tecnológicos para utilizar los servicios informáticos de la... 3 2. Ingresar al portal de la DIAN... 6 3. Habilitar su cuenta de usuario externo... 8 4. Activar un certificado

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) Sistema Unificado de Control en Tiempo Real - SUCTR: El sistema unificado de control en tiempo real, en adelante SUCTR, es un sistema de administración

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME

Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME Seguridad de la Información: un reto para la empresa Seguridad TIC para la PYME INTECO CERT Área de e Confianza de INTECO Índice de la Jornada 1. El Instituto Nacional de las Tecnologías de la Comunicación,

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

ÍNDICE. Índice 1. PLANTEAMIENTO Y OBJETIVOS DEL TRABAJO... 2 1.1. OBJETO... 3 1.2. INTRODUCCIÓN AL ESTANDAR OHSAS... 4

ÍNDICE. Índice 1. PLANTEAMIENTO Y OBJETIVOS DEL TRABAJO... 2 1.1. OBJETO... 3 1.2. INTRODUCCIÓN AL ESTANDAR OHSAS... 4 Índice ÍNDICE 1. PLANTEAMIENTO Y OBJETIVOS DEL TRABAJO... 2 1.1. OBJETO... 3 1.2. INTRODUCCIÓN AL ESTANDAR OHSAS.... 4 1.3. BENEFICIOS DE OHSAS 18001... 5 2. PROCEDIMIENTOS, MATERIALES Y MÉTODOS.... 6

Más detalles

INTERNET DATA CENTER COLOCATION

INTERNET DATA CENTER COLOCATION COLOCATION Entrega en el Internet Data Center UNE el entorno físico, ambiental y de seguridad ideal para el correcto funcionamiento de las plataformas tecnológicas que soportan los procesos de negocio

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

MODELOS Y SISTEMAS DE CALIDAD EN LA EDUCACIÓN

MODELOS Y SISTEMAS DE CALIDAD EN LA EDUCACIÓN MODELOS Y SISTEMAS DE CALIDAD EN LA EDUCACIÓN OBJETIVO GENERAL El alumno analizará, la importancia de brindar productos y servicios con calidad; así como estudiar los fundamentos, autores y corrientes

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID 1 - Cuestiones generales: la firma electrónica en el Ayuntamiento de Madrid. 1.1 - Certificados

Más detalles

SERVICIOS EN TECNOLOGÍA

SERVICIOS EN TECNOLOGÍA Sobre NOSOTROS Somos un experto grupo de desarrolladores, ingenieros, especialistas y profesionales en el área de la informática, lo que nos permite ofrecer una diversa gama de servicios de calidad para

Más detalles

CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS.

CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS. CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS. CAPITULO IV 4.0 ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS. 4.1 Presentación En este capitulo se muestran los resultados de la investigación, el cual

Más detalles

Recordamos sobre la acreditación de la calidad

Recordamos sobre la acreditación de la calidad Recordamos sobre la acreditación de la calidad El proceso de acreditación de la calidad educativa en el ámbito universitario es voluntario. Los criterios y estándares que se determinan tienen como objetivo

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

SISTEMA DE GESTIÓN AMBIENTAL

SISTEMA DE GESTIÓN AMBIENTAL SISTEMA DE GESTIÓN AMBIENTAL ISO 14001:2004 Fundamentos e interpretación del Sistema de Gestión Ambiental ISO 14001:2004 Docente: Dip. Juan Bruno Calvay GESTIÓN AMBIENTAL EN LA EMPRESA Sistema de Gestión

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM

Autorizan ejecución de la Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del

Más detalles

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS P-06-05 Marzo 2009 03 1 de 7 1. OBJETIVO Asegurar el funcionamiento eficiente y seguro de la Local Area Network (LAN) y de las telecomunicaciones en la Comisión Nacional de los Salarios Mínimos (CONASAMI),

Más detalles

Contenido. Cambiar su contraseña o actualizar preguntas de recuperación de la contraseña de su cuenta de usuario.

Contenido. Cambiar su contraseña o actualizar preguntas de recuperación de la contraseña de su cuenta de usuario. Contenido Requerimientos tecnológicos se requieren para utilizar los servicios informáticos de la DIAN. Ingresar al Portal de la DIAN Habilitar cuenta de usuario externo Activar un certificado digital

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

SEMANA 12 SEGURIDAD EN UNA RED

SEMANA 12 SEGURIDAD EN UNA RED SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de

Más detalles

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS Presentado por: ANDRÉS RINCÓN MORENO 1700412318 JORGE ARMANDO MEDINA MORALES 1700321660 Profesor: Carlos Hernán Gómez. Asignatura:

Más detalles

Condiciones de servicio de Portal Expreso RSA

Condiciones de servicio de Portal Expreso RSA Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 9 SEGURIDAD FÍSICA Y AMBIENTAL 9.1 ÁREAS SEGURAS

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

Inteligencia de negocios desde la perspectiva cubana: factores críticos de éxito.

Inteligencia de negocios desde la perspectiva cubana: factores críticos de éxito. Tomado de: La inteligencia de negocios desde la perspectiva cubana: retos y tendencias. Informe publicado en TodoBI. Autora: MSc. Ivette Marrero Antunez Consultora de inteligencia empresarial. E-mail:

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

a. Derechos de Autor.

a. Derechos de Autor. Controles aplicables a la administración, a la organización y al procesamiento de los datos. Por Omar Javier Solano Rodríguez Profesor Univalle. Apartes del artículo: la auditoría como punto de apoyo al

Más detalles

Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en:

Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en: Rabobank Chile Qué es Rabopass? Rabopass surge de la necesidad de entregar a nuestros clientes un sistema de doble autenticación, basado en: Algo que usted sabe + Algo que usted tiene Usted sabe su clave

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Entregando soluciones innovadoras en infraestructura que permitan un éxito a largo plazo

Entregando soluciones innovadoras en infraestructura que permitan un éxito a largo plazo Liberty Infrastructure Outsourcing Services permite a las empresas crear una infraestructura de tecnologías de información más rentable y responsiva Una que no sólo promueve servicio y confiabilidad, sino

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles