Proyecto AMPARO Capítulo III:

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Proyecto AMPARO Capítulo III:"

Transcripción

1 Proyecto AMPARO Capítulo III: Propuesta de Políticas y Procedimientos Principales para la Operación de un Centro de Respuesta a Incidentes de Seguridad Informática Ing. Leonardo Vidal - CISSP

2 Objetivos Realizar propuestas de Código de Ética Política de Seguridad Lógica Política de Seguridad Física y Ambiental Política de Gestión de Incidentes

3 Código de Ética CoE, Code of Ethics Definiciones La ética es el conjunto de normas morales que rigen la conducta de la persona en cualquier ámbito de la vida. Una norma es una regla que se debe seguir o a que se deben ajustar las conductas, tareas, actividades, etc. La moral es una doctrina del obrar humano que pretende regular de manera normativa el valor de las reglas de conducta y los deberes que estas implican. Un valor es el grado de utilidad o aptitud de las cosas, para satisfacer las necesidades o proporcionar bienestar o deleite.

4 Código de Ética Ética, personas y ley Ética: caracter personal. Posiciones disímiles. Intentar unificar criterios en el Centro de Respuesta Ley: podemos respetarla y no ser éticos

5 Código de Ética Objetivos Fomentar la ética en sus integrantes Incentivar el comportamiento ético uniforme Alentar a un comportamiento similar de parte de sus pares y de los integrantes de la Comunidad Objetivo Fortalecer la imagen del Centro de Respuesta y de cada uno de sus integrantes

6 Código de Ética Lineamientos generales para elaborarlo Lenguaje Moral Aceptación

7 Código de Ética Valores morales Valor moral es todo aquello que lleve al hombre (y a la mujer) a defender y crecer en su dignidad de persona. El valor moral conduce al bien moral. Se le considera como un bien pues nos mejora, perfecciona, completa. Encuesta para seleccionar cuáles incluir.

8 Código de Ética Valores morales Respeto Honestidad Solidaridad Responsabilidad Crítica constructiva Gratitud Optimismo Superación Voluntad Innovación Paciencia Amabilidad Empatía Sencillez Profesionalismo Alegría

9 Código de Ética Texto de la propuesta Objetivo Formalizar el Código de Ética al que se deben ceñir todos los integrantes, sin excepciones, del Centro de Respuesta. Alcance El Código de Ética está dirigido a todos los integrantes del Centro de Respuesta.

10 Código de Ética Texto de la propuesta Objetivo Formalizar el Código de Ética al que se deben ceñir todos los integrantes, sin excepciones, del Centro de Respuesta. Alcance El Código de Ética está dirigido a todos los integrantes del Centro de Respuesta.

11 Código de Ética Texto de la propuesta Definiciones Ética: Conjunto de normas morales que rigen la conducta de la persona en cualquier ámbito de la vida. Código de Ética: Mecanismos utilizado por las organizaciones para explicitar el comportamiento que esperan de sus integrantes

12 Código de Ética Texto de la propuesta Contenido Aceptación explícita Condición para desempeñar tareas en el Centro Difusión Los integrantes del Centro de Respuesta deberán siempre:

13 Código de Ética Texto de la propuesta Dirigirse con respeto a todas las personas Actuar con honestidad Ser solidario Mantener una actitud responsable Realizar críticas constructivas Expresar siempre que corresponda nuestra gratitud con la acción del otro Comportarse cada día con entusiarmo y siendo emprendedor Buscar cada día la superación en la actividad que se desempeñe

14 Código de Ética Texto de la propuesta Expresar siempre voluntad para colaborar Procurar ser innovador Tener paciencia Tratar a los demás con el respeto y la comprensión que demandamos de ellos Realizar críticas constructivas Ser sencillos Desempeñar las tareas encomendadas con profesionalismo Intentar cada día trabajar con alegría Ser prudentes en los comentarios, conceptos y decisiones a tomar Cumplimiento

15 Política de Seguridad Lógica La Seguridad Lógica en un Centro de Respuesta es la seguridad en el uso del software y los sistemas, la protección de los datos, procesos y programas así como la del acceso ordenado y autorizado de los usuarios a la información. Involucra todas aquellas medidas establecidas para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando las tecnologías de la información y la comunicaciones. La correcta implementación de las mismas colaborará para la adecuada operación del Centro.

16 Política de Seguridad Lógica La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados.

17 Política de Seguridad Lógica La información, como recurso valioso de una organización, esta expuesta a actos tantos intencionales como accidentales de violación de su confidencialidad, alteración, borrado y copia, por lo que se hace necesario que el usuario, propietario de esa información, adopte medidas de protección contra accesos no autorizados. Todo lo que no está permitido está prohibido

18 Política de Seguridad Lógica Objetivo Establecer las pautas a seguir a los efectos de resguardar el acceso a los datos y que sólo se permita acceder a ellos a las personas autorizadas para hacerlo. Alcance Todos los datos en el Centro de Respuesta y los integrantes del mismo.

19 Política de Seguridad Lógica Contenido Sistemas y aplicaciones del Centro Administradores Red donde se encuentran instalados No un solo administrador Control de régimen de licencias y ausencias programadas Cantidad de usuarios definidos; revisión periódica Vulnerabilidades; revisión periódica

20 Política de Seguridad Lógica Contenido Seguridad perimetral Deberá contar con IDS (Intrusion Detection System) IPS (Intrusion Prevention System) Firewall de capa 3 y 4 Firewall de aplicaciones Sistema Antimalware Logs de los sistemas anteriores Sincronismo de los sistemas anteriores Analizar los logs

21 Política de Seguridad Lógica Contenido Investigación Se deberá realizar en infraestructura propia no compartida Laboratorio Se deberá realizar en infraestructura propia no compartida Contraseñas administrador Sólo conocidas por quienes realmente las requieren para trabajar No deben ser las mismas para todos los sistemas Se deben modificar periódicamente Respetar un formato básico de fortaleza

22 Política de Seguridad Lógica Contenido Contraseñas usuarios Sólo conocidas por su dueño No deben ser las mismas para todos los sistemas Se deben modificar periódicamente Respetar un formato básico de fortaleza Contraseñas No disponibles para terceros Implementar en los sistemas críticos mecanismos de chequeo de fortaleza de las contraseñas

23 Política de Seguridad Lógica Contenido Mínimo privilegio Actualización de firmas Verificación periódica de la actualización automática del Sistema Antimalware Bloqueos de cuentas ante sucesivos intentos fallidos Sistemas operativos a utilizar Niveles de seguridad adecuados Capacidad de administración por parte de los integrantes del Centro Correcta prestación de los servicios que brindan

24 Política de Seguridad Física y Ambiental Análisis de Riesgos Probabilidad de ocurrencia Severidad Controles para mitigarlos Objetivo: Área Segura

25 Política de Seguridad Física y Ambiental Riesgos Seguridad Física Derrumbe total o parcial Atentados Vandalismo Huelgas

26 Política de Seguridad Física y Ambiental Riesgos Seguridad Ambiental Fuego Humo Inundación Humedad Temperatura Falla del sistema de ventilación o del sistema de aire acondicionado Desastres naturales: sismos, huracanes, ciclones, tornados, tormentas, rayos

27 Política de Seguridad Física y Ambiental Controles Físicos Técnicos Administrativos Ambientales

28 Política de Seguridad Física y Ambiental Controles Físicos Guardias Muros Cercas eléctricas Rejas Iluminación Cerraduras

29 Política de Seguridad Física y Ambiental Controles Técnicos Cámaras Lectores de tarjetas de acceso Identificadores biométricos Detectores de movimiento Alarmas sonoras y visuales Detectores de apertura de puertas o ventanas

30 Política de Seguridad Física y Ambiental Controles Administrativos Elección adecuada del sitio Inventarios y su control periódico Registros o logs de los accesos al sitio y su análisis Control de las personas que acceden Escritorios de recepción y de validación de credenciales y asistencia

31 Política de Seguridad Física y Ambiental Controles Ambientales Detectores de humo Detectores de agua Detectores de cambios importantes de la temperatura del aire Detectores de cambio importante en la humedad Sensores de contaminación del aire Inspecciones por parte de personal del Cuerpo de Bomberos Materiales de construcción no inflamables Cableado eléctrico no inflamable y en ductos adecuados Adecuados extintores portátiles

32 Política de Seguridad Física y Ambiental Texto de la propuesta Objetivo Formalizar los lineamientos a seguir para que el Centro de Respuesta disponga de un área con seguridad física y ambiental. Alcance Todas las salas que cuenten con equipamiento del Centro de Respuesta.

33 Política de Seguridad Física y Ambiental Texto de la propuesta Contenido Realizar un Análisis de Riesgos y repetirlo con una periodicidad no mayor a 2 años Conjunto mínimo de riesgos a considerar Se deberá implementar, como mínimo: Clara delimitación de la frontera del medio Impedir el fácil acceso Almacenamiento de lo registrado por las cámaras de seguridad Iluminación que permita en todo momento y circunstancia la correcta visualización de lo que ocurre

34 Política de Seguridad Física y Ambiental Texto de la propuesta Zona intermedia con doble puerta pero sin apertura simultánea Escritorio de recepción Comprobante de identificación Validación con la persona que la recibirá Acceso al Centro de Respuesta Integrantes del Centro: control biométrico con administración supervisada por el Centro Visitantes del Centro: previa verificación visual Retiro del Centro de Repuesta Informar al Escritorio de recepción Registrar todas las comunicaciones entre el Centro de Respuesta y el Escritorio de recepción Revisión periódica del sistema de control biométrico

35 Política de Seguridad Física y Ambiental Texto de la propuesta Controles mínimos en el área segura del Centro de Respuesta Cámaras de vigilancia que registren las posibles vías de entrada al mismo (puertas, ventanas) Detectores de humo Extintores de incendio adecuados al material disponible en el área Mecanismos automáticos de deshabilitación de tranca automática de puertas ante la ocurrencia de emergencias Instalaciones eléctricas cumpliendo las normas de seguridad establecidas por la autoridad reguladora correpondiente Inspección periódica por parte de personal del Cuerpo de Bomberos

36 Política de Gestión de Incidentes La Politica de Gestión de Incidentes documenta los lineamientos fundamentales a respetar para cumplir adecuadamente con el principal servicio de un Centro de Respuesta. Por tratarse del servicio que le da la razón de existir al Centro, requiere especial atención documentar su política y todos los procedimientos asociados.

37 Política de Gestión de Incidentes Consideraciones previas Expectativas Proactivo: Prevenir incidentes de seguridad Reactivo: Responder incidentes de seguridad Aprender de lo ocurrido

38 Política de Gestión de Incidentes La Gestión de Incidentes de Seguridad es el conjunto de todas las acciones, medidas, mecanismos, recomendaciones, tanto proactivos como reactivos, tendientes a evitar y eventualmente responder de manera eficaz y eficiente a incidentes de seguridad que afecten activos de una organización minimizando su impacto en el negocio y la probabilidad de que se repita.

39 Política de Gestión de Incidentes Ciclo de Vida de un Incidente de Seguridad

40 Política de Gestión de Incidentes Proactividad Sustentada en Sensibilización Capacitación y entrenamiento Tests de Penetración Auditorías Fase Pre-Incidente (no hay incidente reportado) Centro de Respuesta preparado ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü Información de contacto Mecanismo de reporte de eventos o incidentes Celulares Software para servicios de seguridad e intercambio de información Sitio del Centro Estaciones de trabajo Laptops Servidores Equipamiento de red Estaciones y servidores de laboratorio Dispositivos de almacenamiento Impresora Cámara de fotos, filmadora Herramientas: sniffers, analizadores de protocolo, análisis forense Herramientas de taller Insumos para preservar evidencia Capacitación, formación y entrenamiento Estado del arte de la seguridad y fuentes de información a las cuales recurrir Mecanismos para alertar a la Comunidad Objetivo Software parches para mitigar Políticas, Procedimientos y Manuales Integrantes Y funciones

41 Política de Gestión de Incidentes Reactividad Sustentada en Comprender el incidente Identificar las vulnerabilidades involucradas Aislarlas Analizar los artefactos involucrados Recuperar los sistemas afectados Verificar que ya no son vulnerables por lo menos a lo que ocasionó el incidente Asesorar a la organización afectada sobre cómo gestionar la información vinculada al incidente La eventual recolección y preservación de evidencia para una posible instancia judicial.

42 Política de Gestión de Incidentes Reactividad

43 Política de Gestión de Incidentes Luego de la tormenta... Fase Post-Incidente (el incidente ha sido cerrado) Informes Reuniones Documentación interna Información para toda o parte de la Comunidad Objetivo Información para otros Centros de Respuesta Decisiones: Políticas Procedimientos Capacitación Manuales Tutoriales

44 Política de Gestión de Incidentes Definiciones Evento toda ocurrencia observable en un sistema Incidente de seguridad una violación o una amenaza de violación inminente (intencional o no) a las políticas de seguridad y/o a las políticas de uso aceptable de una organización

45 Política de Gestión de Incidentes Ejemplos de Eventos enviar un correo electrónico enviar SPAM recibir un GET en un servidor Web enviar un SMS no dejar pasar un segmento TCP SYN en un firewall recibir un SMS con propaganda no solicitada dejar pasar un segmento TCP SYN en un firewall

46 Política de Gestión de Incidentes Ejemplos de Incidentes de Seguridad acceso no autorizado a un sistema Por elevación de privilegios Por acceso al archivo de passwords DoS (Denial of Service) Envío de paquetes malformados Flooding de ICMP sabotaje uso inapropiado de algún sistema Amenazas vía correo electrónico o vía SMS Servidor de una organización como repositorio de videos no vinculados al trabajo

47 Política de Gestión de Incidentes Ejemplos de Incidentes de Seguridad actividades de Ingeniería Social fraude distribución de algún malware Gusano Virus combinación de algunos de los anterioresenviar un correo electrónico

48 Política de Gestión de Incidentes Texto de la propuesta Objetivo Documentar los lineamientos a seguir en el Centro de Respuesta para una adecuada gestión de incidentes de seguridad, a la cual se deberán ceñir todos los procedimientos que se elaboren para ello. Alcance Todos los eventos e incidentes que sean reportados por cualquier vía al Centro de Respuesta.

49 Política de Gestión de Incidentes Texto de la propuesta Definiciones Evento de seguridad Una ocurrencia en un sistema que es relevante para la seguridad del mismo. Incidente de seguridad Un evento de seguridad que involucra una violación a la seguridad.

50 Política de Gestión de Incidentes Texto de la propuesta Contenido Registrar todo lo Reportado Explicitar claramente las vías de reporte Validar el origen del Reporte Mantener confidencialidad Solicitudes judiciales Misión, Visión y Código de Ética Ante la duda de si lo reportado es un incidente, considerarlo como tal Calificar a los incidentes en cuanto a la severidad (priorizarlos). Información de uso interno.

51 Política de Gestión de Incidentes Texto de la propuesta Contenido Aspectos a tener en cuenta para calificarlos Riesgos de vidas Nivel de afectación del sistema comprometido Afectación en el servicio que presta Pérdidas y costos involucrados Afectación de imagen y reputación Niveles de severidad Bajo Medio Alto Extremo

52 Política de Gestión de Incidentes Texto de la propuesta Contenido Toda la información relacionada con el incidente debe ser registrada Solicitud de información adicional Al terminar la gestión, elaborar un Informe de Cierre Deberá ser puramente técnico y nunca podrá incluir consideraciones subjetivas, opiniones o suposiciones. Posteriormente, Informe Devolución al Cliente Ambos informes también se almacenarán

53 Política de Gestión de Incidentes Texto de la propuesta Contenido Todos los incidentes en gestión deben tener un nivel de actividad mínima Cada incidente con niveles de severidad alto o extremo reunión de lecciones aprendidas Incidentes con niveles de severidad medio o bajo y falsos positivos reunión de lecciones aprendidas Actividades internas (talleres o seminarios) para compartir conocimientos y experiencias Información a compartir

54 Referencias G. Killcrece, K. Kossakowski, R. Ruefle y M. Zajicek, State of the Practice of Com-puter Security Incident Response Teams (CSIRTs), octubre En línea: Internet Security Systems, Computer Security Incident Response Planning - Pre-paring for the Inevitable. En línea: documents.iss.net/whitepapers/csirplanning.pdf. N. Brownlee y E. Guttman, Expectations for Computer Security Incident Re-sponse, junio En línea:

55 Referencias R. Shirey, Internet Security Glossary, Version 2, agosto de En línea: K. Scarfone, T. Grance y K. Masone, Computer Security Incident Handling Guide Revision 1, marzo de En línea: rev1/sp800-61rev1.pdf. T. Wright, How to Design a Useful Incident Response Policy, octubre En línea:

56 Proyecto AMPARO Capítulo III: Propuesta de Políticas de Manejo de la Información en un Centro de Respuesta a Incidentes de Seguridad Informática Ing. Leonardo Vidal - CISSP

57 Objetivos específicos Realizar propuestas de Políticas de Acceso a la Información Protección de la Información Difusión de la Información Guarda de la Información

58 Agenda Política de Acceso a la Información Política de Protección de la Información Política de Difusión de la Información Política de Guarda de la Información

59 Política de Acceso a la Información Propuesta Objetivo Establecer qué tipo de información y cómo pueden acceder los integrantes del Centro de Respuesta, los integrantes de otros Centros de Respuesta, los integrantes de la Comunidad Objetivo y los actores legales que puedan estar involucrados en la gestión de un incidente de seguridad u otra actividad vinculada a algún servicio del Centro de Respuesta. Alcance Toda la información que disponga el Centro de Respuesta.

60 Política de Acceso a la Información Propuesta Contenido Todo integrante del Centro de Respuesta tendrá acceso a toda la información vinculada a todos los eventos e incidentes de seguridad ya gestionados y en gestión Utilización de información vinculada a incidentes cerrados Información suministrada por integrantes de la Comunidad Objetivo: confidencial Firma y difusión de NDA (Non-Disclosure Agreement) o Compromiso de Confidencialidad Vinculación con la Política de Difusión de la Información No obligar a la Comunidad Objetivo a brindar información

61 Política de Acceso a la Información Propuesta Contenido El acceso a información en formato impreso o entregada en mano, así como aquella que esté contenida en algún medio de almacenamiento magnético o digital deberá ser siempre posterior a la firma por ambas partes (quien la entrega y quien la recibe) de un documento (y su copia) que describa claramente, y sin dejar lugar a ambigüedades o dudas: qué es lo que se está entregando/recibiendo y la fecha y hora de ocurrencia

62 Política de Acceso a la Información Propuesta Contenido Se deberá realizar en presencia del Responsable Legal del Centro a los efectos de validar el acto y mediante el registro en imágenes y/o video de todo el proceso. No podrán existir solicitud de acceso a información en poder del Centro de Respuesta que no sean respondidas afirmativa o negativamente y el motivo de ésto último.

63 Política de Protección de la Información Propuesta Objetivo Establecer los lineamientos generales para la protección de toda la información utilizada por el Centro de Respuesta para su actividad cotidiana. Alcance Toda la información de que dispone el Centro de Respuesta.

64 Política de Protección de la Información Propuesta Contenido Toda información, en cualquier medio, deberá explicitar de manera clara y sin lugar a dudas cómo está clasificada. Secreta Confidencial Uso interno Pública

65 Política de Protección de la Información Propuesta Secreta En formato lógico, deberá almacenarse asegurando la confidencialidad con largo mínimo de clave de 1024 bits e integridad con función de hash SHA-1. En formato físico, deberá almacenarse en sobre cerrado y en una caja fuerte ubicada dentro del sitio del Centro. No debe existir ninguna fuente de información de la existencia de la misma, que tenga un nivel protección menor a la de la información que referencia. Deberá existir control de acceso a la misma.

66 Política de Protección de la Información Propuesta Secreta El acceso a la misma en forma remota deberá ser asegurando la confidencialidad y la integridad, utilizando algunos de los siguientes protocolos: https, sftp o ssh. De requerirse, la transmisión de información secreta será cifrada con clave pública de largo mínimo de 1024 bits. No podrá almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de almacenamiento portátiles que no estén almacenados en una caja fuerte ubicada dentro del sitio del Centro. No debe ser comentada con ninguna persona ajena al Centro de Respuesta.

67 Política de Protección de la Información Propuesta Confidencial Formato lógico, deberá almacenarse asegurando la confidencialidad con largo mínimo de clave de 1024 bits e integridad con función de hash SHA-1. Formato físico, deberá almacenarse en sobre cerrado y en una caja fuerte ubicada dentro del sitio del Centro. No debe existir ninguna fuente de información de la existencia de la misma, que tenga un nivel protección menor a la de la información que referencia. Deberá existir control de acceso a la misma.

68 Política de Protección de la Información Propuesta Confidencial El acceso a la misma en forma remota deberá ser asegurando la confidencialidad y la integridad utilizando algunos de los siguientes protocolos: https, sftp o ssh. De requerirse, la transmisión de información secreta será cifrada con clave pública de largo mínimo de 1024 bits. Podrá almacenarse en estaciones de trabajo, servidores, notebooks o dispositivos de almacenamiento portátiles, asegurando confidencialidad con clave de largo mínimo de 1024 bits. No podrá almacenarse en sistemas remotos propietarios de los integrantes del Centro. No debe ser comentada con ninguna persona ajena al Centro de Respuesta.

69 Política de Protección de la Información Propuesta Uso interno Cuando se trata de información en formato lógico, el nombre del mismo, el valor de la última versión, la fecha de creación, la fecha de hecho público y el valor del hash se deberá almacenar en un dispositivo de almacenamiento en una caja fuerte instalada dentro del sitio del Centro. Cuando se trata de información en formato físico, la misma no podrá salir del sitio del Centro de Respuesta. La información de uso interno no debe ser difundida fuera del ámbito del Centro de Respuesta. Deberá existir control de acceso a la misma. El acceso a la misma en forma remota deberá ser asegurando la confidencialidad y la integridad. En sistemas remotos propietarios de los integrantes del Centro sólo podrá ser almacenada cifrada con clave de largo mínimo de 1024 bits. No debe ser comentada con ninguna persona ajena al Centro de Respuesta.

70 Política de Protección de la Información Propuesta Pública Cuando se trata de información en formato lógico, el nombre del mismo, el valor de la última versión, la fecha de creación, la fecha de hecho público y el valor del hash se deberá almacenar en un dispositivo de almacenamiento en una caja fuerte instalada dentro del sitio del Centro. Cuando se trata de información en formato físico, para que sea considerada válida y auténtica, siempre debe existir la misma información en formato lógico según lo expresado en el párrafo anterior.

71 Política de Difusión de la Información Propuesta Objetivo Determinar, para toda la información que gestiona el Centro de Respuesta, a quienes se puede difundir, utilizando qué métodos y con qué mecanismos de protección. Alcance Aplica a toda la información que gestione el Centro de Respuesta. En este contexto gestionar información implica alguna de las siguientes acciones con la información: recibir, procesar, almacenar, destruir, generar y enviar.

72 Política de Difusión de la Información Propuesta Contenido Información recibida Toda la Información recibida en el Centro de Respuesta deberá preservar la clasificación otorgada por quién la generó. Una disminución del nivel de clasificación deberá requerir que previamente quien la haya generado otorgue por escrito el consentimiento correspondiente. Toda la información asociada a la gestión de un incidente de seguridad o a un evento será clasificada como confidencial.

73 Política de Difusión de la Información Propuesta Contenido Información procesada Toda información procesada en el Centro de Respuesta deberá ser clasificada de acuerdo a lo expresado en la Política de Clasificación de la Información. Toda la información procesada en el Centro de Respuesta deberá preservar la clasificación otorgada por quién la generó y respetar las condiciones de difusión por él expresadas. El cambio de algunas de estas condiciones deberá requerir que a priori se obtenga un consentimiento por escrito que lo autorice.

74 Política de Difusión de la Información Propuesta Contenido Información almacenada Ver Política de Almacenamiento de la Información. Información destruida Ver Política de Destrucción de la Información. Información generada Toda la información generada en el Centro deberá tener explicitada su clasificación en base a la Política de Clasificación de la Información.

75 Política de Difusión de la Información Propuesta Contenido Información enviada Si se trata de información generada en el Centro, se deberá difundir explicitando la clasificación de la misma. Quien envía la información, siempre debe verificar que el destinatario es quien se desea y que es correcto que sea recibida por él. Si se trata de difusión de información generada por personas o sistemas externos al Centro de Respuesta y se requiere por parte del destinatario de la misma conocer su origen, previo a informarlo se debe contar con el visto bueno por escrito de tal autorización.

76 Política de Difusión de la Información Propuesta Contenido Información clasificada como confidencial o secreta Vía red Vía dispositivo de almacenamiento Vía papel Información con destino Judicial confidencial o secreta Responsable Legal, Director Ejecutivo Registro

77 Política de Difusión de la Información Propuesta Contenido Información ni confidencial ni secreta Asegurar que haya llegado al destino Información para la prensa Con solicitud previa por escrito Análisis de la respuesta a cargo de: Director Ejecutivo, Gerente Operacional, Responsable de Difusión y Responsable Legal. Control de integridad de la respuesta. Registro

78 Política de Difusión de la Información Propuesta Contenido Información ni confidencial ni secreta Asegurar que haya llegado al destino Información para la prensa Con solicitud previa por escrito Análisis de la respuesta a cargo de: Director Ejecutivo, Gerente Operacional, Responsable de Difusión y Responsable Legal. Control de integridad de la respuesta. Registro

79 Política de Guarda de la Información Propuesta Objetivo Establecer, para toda la información que se almacena el Centro de Respuesta, qué tipos de protección y control se deben implementar. Alcance Comprende a toda la información almacenada en el Centro de Respuesta.

80 Política de Guarda de la Información Propuesta Contenido Respaldo de la información Procedimiento de Respaldo de la Información Sitio de respaldo

81 Política de Guarda de la Información Propuesta Contenido Información crítica Aquella que en caso de verse comprometida en cuanto a alguna de sus propiedades de seguridad, afectaría seriamente al dueño de la misma Según sección Información Crítica del Procedimiento de Respaldo de Información Sistemas críticos Aquel que en caso de verse comprometido en cuanto a alguna de sus propiedades de seguridad, afectaría seriamente la operación del Centro de Respuesta Según sección Sistemas Críticos del Procedimiento de Respaldo de Información

82 Política de Guarda de la Información Propuesta Contenido Información secreta o confidencial es estaciones de trabajo y servidores Cifrado Información secreta o confidencial En papel o unidad de almacenamiento (CD, DVD, pendrive) en caja fuerte propiedad del Centro instalada en su sitio físico Aquel que en caso de verse comprometido en cuanto a alguna de sus propiedades de seguridad, afectaría seriamente la operación del Centro de Respuesta Según sección Sistemas Críticos del Procedimiento de Respaldo de Información

83 Política de Guarda de la Información Propuesta Contenido Cada documento de gestión del Centro Generar dos hashes con funciones de hash distintas y los valores guardados en una unidad de almacenamiento exclusiva, dentro de caja fuerte propiedad del Centro instalada en su sitio físico Notebooks Dispositivos de almacenamiento con contenido cifrado Servidores Redundancia e integridad Información de incidentes gestionados retenida, al menos tres años a partir de la apertura del mismo.

84 Referencias ISO/IEC TR 18044:2004. Gestión de incidentes de la seguridad de la información. ISO/IEC 27001:2005. Sistemas de Gestión de la Seguridad de la Información Requisitos. ISO/IEC 27002:2005(17799). Código de buenas prácticas para la gestión de la seguridad de la información.

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) Tabla de Contenidos CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS 1 DE LA ADMINISTRACIÓN PÚBLICA NACIONAL

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

Lista de verificación para una auditoría a la seguridad informática

Lista de verificación para una auditoría a la seguridad informática Lista de verificación para una auditoría a la seguridad informática Seguridad en la protección y conservación de locales, instalaciones, mobiliario y equipos. Seguridad para el personal informático y los

Más detalles

Política de Gestión de Incidentes de Seguridad de la Información

Política de Gestión de Incidentes de Seguridad de la Información SGSI Sistema de Gestión de Seguridad de la Información Política de Gestión de Incidentes de Seguridad de la Información Versión 1.1 2010 Setiembre 2010 Versión 1.1 2010 Este documento ha sido elaborado

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos.

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos. Pagina 1 de 5 INTRODUCCIÓN Dentro del FONAES, se tienen instalados un conjunto de recursos informáticos (computadoras personales, servidores, impresoras, programas, etc.) que son de gran importancia para

Más detalles

Guía de procesos en gestión de incidentes

Guía de procesos en gestión de incidentes SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad

Más detalles

4.11 ISO GUIDE 73, Risk management Vocabulary.

4.11 ISO GUIDE 73, Risk management Vocabulary. 4.11 ISO GUIDE 73, Risk management Vocabulary. Introducción. El estándar proporciona las definiciones de los términos genéricos relacionados con la gestión del El ISO Guide 73 promueve una base común de

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary.

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. 4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. Introducción. Es un documento de referencia para entender los términos y vocabulario relacionado con gestión de El ISO 9000:2005

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN POLÍTICA DE SEGURIDAD FÍSICA N-10 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Manual de Seguridad Informática Centro de Cómputo (Políticas, Controles) Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Contenido Introducción 3 Objetivos 4 Alcances 4 Equipo

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS AUDITORIA DE SISTEMAS Contenido 1 SEGURIDAD EN LOS CENTROS DE PROCESOS DE DATOS 2 SEGURIDAD FISICA 3 MECANISMOS DE SEGURIDAD BASICOS QUE DEBE CONTEMPLAR UN DATACENTER 4 COMBINACION DE METODOS PARA AUMENTAR

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Política de Uso Aceptable del equipamiento informático, y los Servicios de la Red e Internet

Política de Uso Aceptable del equipamiento informático, y los Servicios de la Red e Internet Política de Uso Aceptable del equipamiento informático, y los Servicios de la Red e Internet 1- Introducción Este documento establece las normas de conducta que deben observar los agentes y funcionarios

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

AUDITORÍA INFORMÁTICA

AUDITORÍA INFORMÁTICA AUDITORÍA INFORMÁTICA ORGANIZACIÓN (para aplicar al jefe del área Informática o el responsable de ella) 1. Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ 1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

RECOMENDACIONES PARA LAS ÁREAS DE INFORMÁTICA PARA UTILIZAR LA FIRMA ELECTRÓNICA DE CORREOS EN LOS SERVICIOS UNIVERSITARIOS:

RECOMENDACIONES PARA LAS ÁREAS DE INFORMÁTICA PARA UTILIZAR LA FIRMA ELECTRÓNICA DE CORREOS EN LOS SERVICIOS UNIVERSITARIOS: RECOMENDACIONES PARA LAS ÁREAS DE INFORMÁTICA PARA UTILIZAR LA FIRMA ELECTRÓNICA DE CORREOS EN LOS SERVICIOS UNIVERSITARIOS: Introducción: En el marco de una nueva propuesta para la Gestión Presupuestal

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Marco normativo para el establecimiento de las medidas de seguridad

Marco normativo para el establecimiento de las medidas de seguridad Marco normativo para el establecimiento de las medidas de seguridad Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups.

Seguridad informática. Vulnerabilidad de los sistemas. Hackers. Back ups. 1 Colegio Bosque Del Plata Tecnología de la Información y las Comunicaciones UNIDAD 3 Uso y control de los sistemas de información E-mail: garcia.fernando.j@gmail.com Profesor: Fernando J. Garcia Ingeniero

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

POLÍTICAS DE SEGURIDAD INFORMÁTICA

POLÍTICAS DE SEGURIDAD INFORMÁTICA S DE SEGURIDAD INFORMÁTICA DIRECCIÓN GENERAL DE ADMINISTRACIÓN SUBDIRECCIÓN DE SERVICIOS GENERALES J.U.D. DE SOPORTE TÉCNICO JUNIO, 2009 S DE SEGURIDAD INFORMÁTICA 1 I. INTRODUCCIÓN Con el fin de homogeneizar

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Guía de Medidas de Seguridad

Guía de Medidas de Seguridad Guía de Artículo 29. Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integridad de cada sistema de datos personales que posean Las

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION RESUMEN DEL DOCUMETO TITULO DEL DOCUMENTO SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION Autor del Documento: Ing. Tomas Trejo/Carlos Diosdado Aprobación del Documento: Ing. Gustavo Licona Jiménez

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

4.21 SOx, Sarbanes-Oxley Act of 2002.

4.21 SOx, Sarbanes-Oxley Act of 2002. 4.21 SOx, Sarbanes-Oxley Act of 2002. Introducción. La Ley SOx nace en Estados Unidos con para supervisar a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Soho Chile Julio 2013

Soho Chile Julio 2013 Diagnóstico de Seguridad de la Información ISO/IEC 27001:2005 Soho Chile Julio 2013 Tabla de Contenidos Resumen Ejecutivo... 2 Recomendaciones Generales... 4 1. Introducción... 6 2. Objetivos... 6 3. Alcances...

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes José Luis Reyes Noviembre de 2015 AGENDA Quienes somos? Definiciones: Awareness, Previsión, COB, Riesgo y Activos

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana 1.- Globalización y avance tecnológico La infraestructura tecnológica disponible y el entorno de globalización han

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Reglamento de Seguridad e Higiene Ocupacional del Subsector Electricidad. Dirección General de Electricidad MINISTERIO DE ENERGIAY MINAS

Reglamento de Seguridad e Higiene Ocupacional del Subsector Electricidad. Dirección General de Electricidad MINISTERIO DE ENERGIAY MINAS Reglamento de Seguridad e Higiene Ocupacional del Subsector Electricidad Dirección General de Electricidad MINISTERIO DE ENERGIAY MINAS La normatividad debe tener en cuenta quién es el usuario final: personal

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

AUDITORIA INFORMATICA

AUDITORIA INFORMATICA AUDITORIA INFORMATICA INTRODUCCION. Empresa M&L. Durante el desarrollo de este trabajo sólo se abarcaron tres áreas: 1-sistemas de información. 2- Hardware y software. 3- Administración. Norma de riesgo

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ FACULTAD DE CIENCIAS E INGENIERÍA Procedimientos para la auditoría física y medio ambiental de un Data Center basado en la clasificación y estándar internacional

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

REGLAMENTO PARA USO DEL LABORATORIO DE INFORMATICA (CENTRO DE COMPUTO PARA ALUMNOS)

REGLAMENTO PARA USO DEL LABORATORIO DE INFORMATICA (CENTRO DE COMPUTO PARA ALUMNOS) REGLAMENTO PARA USO DEL LABORATORIO DE INFORMATICA (CENTRO DE COMPUTO PARA ALUMNOS) 1. El horario de atención a usuarios del laboratorio es de 9:00 a 16:00 hrs. de lunes a viernes. 2. Usar el equipo del

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

Capítulo 1. Estructura y funcionalidad de un sistema de seguridad

Capítulo 1. Estructura y funcionalidad de un sistema de seguridad 1 Capítulo 1. Estructura y funcionalidad de un sistema de seguridad El ser humano siempre se ha movido por el impulso innato de satisfacer sus necesidades básicas, esto lo ha llevado a evolucionar para

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO P-01 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO P-01 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO P-01 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en

Más detalles

MACROPROCESO GESTION TECNOLÓGICA GUÍA PARA LA MANIPULACIÓN DE MEDIOS Y BORRADO SEGURO

MACROPROCESO GESTION TECNOLÓGICA GUÍA PARA LA MANIPULACIÓN DE MEDIOS Y BORRADO SEGURO Versión 2.0 página 1 de 7 1. OBJETIVO Esta guía describe la forma en la cual deben manipularse dichos medios (Computadores, CD, DVD, Memoria, Discos Duros, Cintas) toda vez que la información contenida

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION CÓDIGO: APO4-P-004 FECHA DE VIGENCIA 16/Dec/2013 1. OBJETIVO Proteger los de la Agencia Nacional

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

INTERNET DATA CENTER COLOCATION

INTERNET DATA CENTER COLOCATION COLOCATION Entrega en el Internet Data Center UNE el entorno físico, ambiental y de seguridad ideal para el correcto funcionamiento de las plataformas tecnológicas que soportan los procesos de negocio

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Javier Bastarrica Lacalle Auditoria Informática.

Javier Bastarrica Lacalle Auditoria Informática. Javier Bastarrica Lacalle Auditoria Informática. Requerimientos para SGSI. Anexo A: Objetivos de Control y Controles. Código de Buenas Prácticas para SGSI. 9 SEGURIDAD FÍSICA Y AMBIENTAL 9.1 ÁREAS SEGURAS

Más detalles