SegurIDad Gustavo Aldegani Consultor Independiente en Seguridad Informática

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SegurIDad 2004. Gustavo Aldegani Consultor Independiente en Seguridad Informática"

Transcripción

1 SegurIDad 2004 Gustavo Aldegani Consultor Independiente en Seguridad Informática

2 Objetivo Analizar los aspectos de la Seguridad Informática en ambientes de Empresa que preocupan a los tomadores de decisiones y proponer un sistema de contramedidas

3 Temas a desarrollar Parte 1 Parte 2 Escenario actual de la Seguridad Informática De que proteger los sistemas de negocios. Puntos de vulnerabilidad. Legislaciones que afectan a la Seguridad Normativas y Estándares Seguridad Interna y Externa. Políticas de Seguridad. Planes de contingencia Análisis funcional de los ataques actuales y sus contramedidas Tecnologías Intrusion Detection/Prevention Firewalls sobre capa 7 Sistemas Appliance Consideraciones Finales

4 Escenario Actual de la Seguridad Informática

5 Escenario 11/09/2001 demostró la importancia de la Seguridad Informática Preventiva (Planes de Recuperación de Desastres) Los incidentes desde el LoveLetter al Blaster demostraron que el problema de mantener funcionando los negocios de manera segura no está en la tecnología disponible sino de su Organización y Control

6 Escenario Local Presupuestos pesificados y disminuidos Mantenimiento o aumento de los objetivos a cumplir Dificultad de tomar decisiones que impliquen compras de tecnología

7 Escenario Local La reducción de inversión en Seguridad Informática genera riesgos para la Continuidad Segura de los Negocios La reducción de inversión general en IT de la empresa genera riesgos para la Continuidad Segura de los Negocios La reducción de inversión en IT de empresas clientes, proveedoras y aliadas genera riesgos para la Continuidad Segura de los Negocios

8 Informe FBI-CSI 2003 Encuesta a 530 organizaciones de diferentes sectores que cuentan con Areas responsables de la Seguridad Informática Compañías de Alta Tecnología, Sector financiero, Agencias de Gobierno, Manufactureras, Telecomunicaciones, Educativas, Servicios Legales, Servicios Médicos, Transporte, Ventas Minoristas. Todas cuentan con Areas de Seguridad Informática

9

10

11

12

13

14

15 266 M 378 M 456 M 202 M

16 De que proteger los sistemas de negocios.

17 Ataques y Contramedidas Tipos de ataque más registrados Abuso interno de acceso a redes Virus Accesos no autorizados de origen interno Contramedidas Gestión Segura de Identidades Antivirus Gestión Segura de Identidades Tipos de Ataques que generaron mayor cantidad de pérdidas económicas Robo de Información propietaria Denial of Service Gestión Segura de Identidades Criptografía Firewall Detección/Prevención de Intrusiones Virus Antivirus

18 Ataques a la disponibilidad de los servicios. Ataques a la integridad de la información. Ataques a confidencialidad de la información.

19 Ataques a la Disponibilidad de la Información Riesgos Contramedidas Denial of Service Dirigido Configuraciones Adecuadas Denial of Service por Virus Problemas de los entornos Interconectados Spyware (consumo de recursos para transmisión) Monitoreo de Vulnerabilidades Implementación de Intrusion Detection/Prevention Restricciones en uso de los servicios de Internet por parte del personal

20 Ataques a la integridad de la información Riesgo Contramedidas Ataques directos a la Integridad Acción directa Acción potencial de una Troyanización Daño colateral provocado por un virus Monitoreo de Integridad de información que debe permanecer constante en el tiempo Antivirus de Red, Servidores y Estaciones de Trabajo Ataques colaterales a la Integridad Provocación del reseteo del equipo atacado Monitoreo de Vulnerabilidades Implementación de Intrusion Detection/Prevention Virus con módulo de ataque PMD

21 Ataques a confidencialidad de la información Riesgo Ataques directos a la Confidencialidad Spyware Robo de Información por medio de Virus Contramedidas Sistema de Gestión Segura de Identidades Encripción de Información Crítica cuando está almacenada Encripción de Información Crítica cuando se Transmite Uso de Certificados Digitales para Autenticar Emisor y Receptor Implementación de Intrusion Detection/Prevention

22 Puntos de vulnerabilidad. Las conexiones y los servicios de Internet. Abuso de recursos de Internet (chat, e- mails personales, distracciones, spamming). Sabotajes internos y externos. Las debilidades internas provocadas por el personal y por la tecnología Hipótesis de conflictos en entornos interconectados.

23 Riesgos básicos de los servicios de Internet Virus en archivos adosados a mensajes WWW Entrada al sistema de archivos infectados por virus IRC Virus que explotan IRC Ataques que explotan la habilitación de los puertos I Ataques combinados

24 Abuso de recursos de Internet Riesgos generados por abuso de y WWW Aumento de probabilidad de entrada de virus, troyanos y otros programas dañinos Efectos colaterales genrados por programas dañinos Transmisión de mensajes de , transmisiones provenientes de Spyware Consumo no racional de los recursos tecnológicos Riesgos generados por IRC Propagación de Virus Genración de Ataques

25 Contramedidas para el abuso de recursos de Internet Contramedidas Lograr que el personal sólo utilice los recursos de Internet para tareas realcionadas con el trabajo Montar un esquema técnico y administrativo que permita organizar y controlar el punto anterior Implementar un sistema de excepciones Incorporar el cumplimiento de estas contramedidas al esquema reglamentario de la empresa Sustento legal de las contramendidas (consultar con un abogado especialista en Derecho Informático) El recurso es contratado y/o generado por el empresa La adminsitración es de la empresa La responsabilidad de uso es del peronal dentro del marco de la provisión de herramientas de trabajo

26 Sabotajes internos y externos Las acciones bajo modelo vandálico no son consideradas sabotaje Sabotajes Internos Infección con virus convencionales Infección con virus de Daño Dirigido Acciones para la Troyanización de Servidores Sabotajes Externos Ataques de Denial of Service Infección con virus de Daño Dirigido

27 Las debilidades internas provocadas por el personal Vulnerabilidades provocadas por el personal Empleados disconformes Empleados con privilegios informáticos críticos que se retiran de la empresa Empleados indebidamente capacitos (impericia) Empleados informáticamente sobrecapacitados Contramedidas Gestión Segura de Indentidades Capacitación del Personal Implementación de un esquema adecuado de Organización y Control de la Seguridad

28 Las debilidades internas provocadas por la tecnología Vulnerabilidades provocadas por la Tecnología Complejidad de Administración de la Seguridad Generación de Ventanas de Riesgo debidas a Complejidad de Adminsitración y Limitaciones de Recursos Contramedidas Gestión Segura de Identidades Implementación de Intrusión Detction/Prevention Implementación de un esquema adecuado de Organización y Control de la Seguridad

29 Hipótesis de conflictos en entornos interconectados Riesgos generados por Interconexiones con Clientes, Proveedores y Aliados Estratégicos a través de Internet Ataques directos Ataques indirectos Ataques de virus de Servidor Contramedidas Considerar a la red nopropia como insegura Implementación de Antivirus de Red y en Servidores Implementación de VPNs Sistemas de Encriptación Certificados Digitales

30 Ataques y Contramedidas Tipos de ataque más registrados Abuso interno de acceso a redes Virus Accesos no autorizados de origen interno Contramedidas Sistema de Administración y Control Gestión Segura de Identidades Antivirus Gestión Segura de Identidades Tipos de Ataques que generaron mayor cantidad de pérdidas económicas Robo de Información propietaria Denial of Service Gestión Segura de Identidades Criptografía (Cert. Digitales - VPNs) Firewall Detección/Prevención de Intrusiones (Monitoreo de Vulnerabilidades) Virus Antivirus

31 Legislaciones que afectan a la Seguridad Impacto de la Ley de Habeas Data y Firma Digital en la Seguridad Informática de las empresas. El estándar nacional, regional e internacional IRAM-ISO-IEC

32 Impacto de la Ley de Habeas Data en la Seguridad Informática de las Empresas

33 Ley de Habeas Data ARTICULO 1.- (Objeto) La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional. Incluye a bases de datos de organizaciones de áreas como Financieras y Salud, entre otras.

34 Ley de Habeas Data ARTICULO 2.- (Definiciones) A los fines de la presente ley se entiende por: - Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables. - Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. Toda información referente datos como la salud de las personas no sólo es considerada Dato Personal sino es definida específicamente como Dato Sensible.

35 Ley de Habeas Data ARTICULO 5.- (Consentimiento) 2. No será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley

36 Ley de Habeas Data - Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. - Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias. - Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos. Deberá definirse un responsable de la base de datos, esto no tiene que ser personalizado sino que alcanzaría con un cargo existente en el organigrama. La definición se realiza por medio de un procedimiento administrativo incluido en la Política de Seguridad existente (de no existir de manera formal, se deberá documentar una)

37 Ley de Habeas Data - Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado. - Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley. Para el área Salud los Titulares de los datos son los pacientes, para la financiera son los clientes.

38 Ley de Habeas Data - Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos. Los usuarios de los datos son los responsables de las bases de datos de las organizaciones

39 Ley de Habeas Data ARTICULO 4.- (Calidad de los datos) 7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados. La base de datos deberá prever un procedimiento de destrucción auditada de datos luego de un tiempo determinado de acuerdo a necesidades operativas. Este procedimeinto deberá estar documentado en la Política de Seguridad.

40 Ley de Habeas Data ARTICULO 9.- (Seguridad de los datos) 1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. La responsabilidad sobre la Seguridad Informática de la base de datos pertenece a las Organizaciones y a quienes se conectan a ella (los mecanismos de seguridad no sólo deben estar en la base misma y en la transmisión de los datos sino también en las comutadoras conectadas a la base de manera directa -red de área local- o remota).

41 Ley de Habeas Data 2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. Las Organizaciones que no implementen Seguridad Informática en sus sistemas, no podrán utilizarlos para almacenar, recibir y enviar datos de sus clientes.

42 Ley de Habeas Data ARTICULO 11.- (Cesión) 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo. 2. El consentimiento para la cesión es revocable. Deberán existir mecanismos por medio de los cuales se registre la cesión de los datos por parte de sus dueños

43 Ley de Habeas Data ARTICULO 12.- (Transferencia internacional) 1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados. 2. La prohibición no regirá en los siguientes supuestos: a) Colaboración judicial internacional; b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso e) del artículo anterior; Se deberán implementar mecanismos seguros para la transmisión de datos

44 Ley de Habeas Data ARTICULO 21.- (Registro de archivos de datos. Inscripción) 1. Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control. Terminó el Censo

45 Ley de Habeas Data 2. El registro de archivos de datos debe comprender como mínimo la siguiente información: g) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información; h) Tiempo de conservación de los datos; i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. Estos puntos requieren de una Política de Seguridad Informática

46 Impacto de la Ley de Firma Digital en la Seguridad Informática de las Empresas

47 Ley de Firma Digital ARTICULO 1.- Objeto. Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley. ARTICULO 2.- Firma Digital. Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante encontrándose esta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.

48 Ley de Firma Digital ARTICULO 3.- Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia. Este artículo define la igualdad de validez entre la firma digital y la hológrafa. Por lo tanto: cualquier organización que maneje documentación que requiera ser firmada de manera hológrafa para que tenga validez legal, podrá utilizar un sistema de Firma Digital para lograr la misma validez legal, pero no así uno de firma electrónica o cualquier otro sistema de elección propia.

49 Ley de Firma Digital ARTICULO 5.- Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez. La firma electrónica puede seguir siendo utilizada, pero carece de validez legal a menos que esté respaldada por un convenio de partes

50 Ley de Firma Digital ARTICULO 25.- Obligaciones del titular del certificado digital. Son obligaciones del titular de un certificado digital: a) mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación; b) utilizar un dispositivo de creación de firma digital técnicamente confiable; c) solicitar la revocación de su certificado al Certificador Licenciado ante cualquier circunstancia que pueda haber comprometido la privacidad de sus datos de creación de firma; d) informar sin demora al certificador licenciado el cambio de alguno de los datos contenidos en el certificado digital que hubiera sido objeto de verificación. El cumplimiento de las obligaciones requiere de un sistema de seguridad informática específico.

51 Conceptos sobre Firma Digital utilizados en la Ley Argentina Firma Digital Herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales similar a los documentos hológrafos. Conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje.

52 Conceptos sobre Firma Digital utilizados en la Ley Argentina Firma Digital No implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente. Instrumento con características técnicas y normativas. Existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.

53 Conceptos sobre Firma Digital utilizados en la Ley Argentina Funcionamiento Utiliza procedimientos matemáticos que relacionan al documento firmado con información propia del firmante y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse que los contenidos no han sido modificados.

54 Conceptos sobre Firma Digital utilizados en la Ley Argentina Funcionamiento El firmante genera, mediante una función matemática, una huella digital del mensaje. FIRMANTE ALGORITMO HASH MENSAJE FINGERPRINT DEL MENSAJE

55 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL

56 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, luego descifra la firma digital del mensaje utilizando la clave pública del firmante y obtendrá la huella digital del mensaje original; MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE FIRMA DIGITAL

57 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, luego descifra la firma digital del mensaje utilizando la clave pública del firmante y obtendrá la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo. MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE COMPARACION

58 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales Documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. Permiten verificar que una clave pública específica pertenece, efectivamente, a un individuo determinado. Ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra persona.

59 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales Contienen una clave pública y un nombre. Habitualmente, un certificado también contiene una fecha de expiración, el nombre de la Autoridad Certificante que emitió ese certificado, un número de serie y otra información. El certificado propiamente dicho está firmado digitalmente por el emisor del certificado.

60 Certificado Digital CERTIFICADO DIGITAL CLAVE PUBLICA DEL SOLICITANTE OTROS DATOS ENCRIPCION CON HASH HASH DEL CERTIFICADO ENCRIPCION CON PRIVADA DE ENTIDAD CERTIFICANTE

61 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales El formato de los certificados está definido por el estándar internacional ITU-T X.509. Los certificados pueden ser leídos o escritos por cualquier aplicación que cumpla con el mencionado estándar.

62 La Norma IRAM-ISO 17799

63 Antecedentes 1995 se publica BS se revisa BS se adopta como ISO se homologa como IRAM la ONTI la toma como base para la definición de Políticas de Seguridad Informática para la Función Pública

64 IRAM-ISO-IEC La Norma de Seguridad Informática para Empresas 17799, aceptada como estándar por todo el mundo desde hace años, ha sido homologada por el Instituto Argentino de Racionalización en septiembre de Esto posibilita que todo requerimiento de Auditoría Interna, Externa, o proveniente de Clientes, Proveedores o Socios Estratégicos tenga un marco de referencia único.

65 IRAM-ISO-IEC La es la norma madre de las ISO de Seguridad Informática, por lo que su contenido está focalizado en las pautas para el gerenciamiento de la Seguridad Informática de las Organizaciones, sus Políticas de Seguridad y sus Planes de Continuidad de Negocios.

66 IRAM-ISO-IEC Definición Conjunto de normas de Seguridad de la Información sujeto a Auditoría y reconocido Globalmente

67 IRAM-ISO-IEC Apoya los esfuerzos de los gerentes de tecnología de la información facilitando la toma de decisiones de compra incrementando la cooperación entre múltiples departamentos por ser la seguridad un interés común ayudando a consolidar la seguridad como prioridad empresarial

68 IRAM-ISO-IEC Es una compilación de recomendaciones para las prácticas exitosas de seguridad que toda organización puede aplicar independientemente de su tamaño o sector. Fue redactada intencionalmente para que fuera flexible y no induce a las personas que la cumplían para que prefirieran una solución de seguridad específica.

69 IRAM-ISO-IEC Las recomendaciones son neutrales en cuanto a la tecnología Discute la necesidad de contar con firewalls, pero no profundiza sobre los tipos de firewalls y cómo se utilizan Esto conlleva a que algunos detractores de la norma digan que es muy general y que tiene una estructura muy imprecisa y sin valor real.

70 IRAM-ISO-IEC La flexibilidad es intencional por cuanto es imposible desarrollar una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo de la tecnología.

71 IRAM-ISO-IEC Beneficios Mayor seguridad en la empresa. Planeación y manejo de la seguridad más efectivos. Alianzas comerciales y e-commerce más seguras. Mayor confianza en el cliente. Auditorías de seguridad más precisas y confiables. Menor Responsabilidad civil

72 Estrategias Si no se tiene un sistema formal de organización y control de la Seguridad Informática, puede servir de base para realizar uno. Aunque no se necesite certificar, sirve como guía para configurar la Política de Seguridad de la empresa.

73 Las diez áreas de control Existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles No todos los controles podrán aplicarse a cada empresa, sin embargo la norma ayuda a identificar los controles relevantes para cada empresas.

74 Organización de la Seguridad Objetivo: Administrar la seguridad de la información dentro de la organización. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.

75 Clasificación y Control de Activos Objetivo: Mantener una adecuada protección de los activos de la organización.

76 Seguridad Personal Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.

77 Seguridad Física y Ambiental Objetivo: Impedir accesos no autorizados, daños e interferencia a las sedes e información de la empresa.

78 Control de Accesos Objetivo: Controlar el acceso de información. El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos la seguridad y de los negocios.

79 Desarrollo y Mantenimiento de Sistemas Objetivo: Asegurar que la seguridad es incorporada a los sistemas de información.

80 Administración de la Continuidad de Negocios Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.

81 Cumplimiento Objetivo: Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.

82 Implementación El tiempo estimado para el proceso de adecuación de para la certificación es de seis a nueve meses dependiendo de la complejidad de la infraestructura del Area de Sistemas

83 Implementación No es un checklist de parámetros tecnológicos Resulta imposible una adecuación basada sólo en modificaciones de la configuración de la tecnología Es una "estructura" (no una lista) de recomendaciones para el gerenciamiento de la Seguridad Informática.

84 Implementación El tipo de norma hace imposible la aplicación de una metodología estándar, ya que se requiere un reanálisis de riesgo de las unidades de negocio de la empresa

85 Implementación La mejor forma de implementar la norma con éxito es mediante un proceso de reingeniería rápida y proactiva que lleve a la Seguridad Informática de la Empresa a su nivel óptimo, racionalice la inversión en tecnología y deje a la estructura en condiciones de obtener una certificación

86 La y su relación con las 9000 y Una adecuación o certificación a ISO tiene valor en sí misma y potencia una certificación ISO 9000 como lo hace una 14000

87 Auditoría - Evaluación de Estado bajo 17799

88 Auditoría - Evaluación de Estado bajo 17799

89 Políticas de Seguridad. Cadenas de Responsables Normas y procedimientos Documentación Dinámica

90 Cadenas de Responsables Area de Seguridad Informática (cuando no se debe cumplir un modelo establecido) 2 Responsables Máximos Grupo de Adminsitración de la Seguridad Grupo de Asistencia Técnica Grupo de HelpDesk -Reporte de Incidentes Grupo de Respuesta a Incidentes - Control Dos o más individuos capacitados para cada cargo con rotación ascendenteo paralela en la escala de capacitación Un individio puede cumplir más de una función compatible

91 Normas y procedimientos Utilización de la como modelo Un punto de control a cumplir de la norma puede requerir más de un procedimeinto

92 Política de Seguridad basada en Controles contra software malicioso Se deben implementar controles de detección y prevención para la protección contra software malicioso, y procedimientos adecuados de concientización de usuarios. La protección contra software malicioso debe basarse en la concientización en materia de seguridad y en controles adecuados de acceso al sistema y administración de cambios. Se deben tener en cuenta los siguientes controles: a) una política formal que requiera el uso de software con licencia y prohíba el uso de software no autorizado (ver ); b) una política formal con el fin de proteger contra los riesgos relacionados con la obtención de archivos y software desde o a través de redes externas, o por cualquier otro medio, señalando qué medidas de protección deberían tomarse (ver también 10.5, especialmente y ); c) instalación y actualización periódica de software de detección y reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida precautoria o rutinaria, d) realización de revisiones periódicas del contenido de software y datos de los sistemas que sustentan procesos críticos de al empresa. La presencia de archivos no aprobados o modificaciones no autorizadas debe ser investigada formalmente;

93 Política de Seguridad basada en a) Política de uso de software con licencia Sólo está permitido el uso de software con licencia en toda la organización. Se prohibe la instalación de cualquier tipo de software por parte de los usuarios El personal de Tecnología es el único autorizado para instalar software en cualquier computadora de la organización En caso de que algún usuario necesite la instalación de un software específico por razones de trabajo, el supervisor del área correspondiente se lo solicitará al supervisor de Tecnología por medio de un procedimiento formal y documentado El personal de tecnología será responsable de llevar adelante un inventario de software e implementar mecanismos automáticos y manuales para detectar la instalación de cualquier tipo de software por parte de personal no autorizado

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Software y Aplicaciones

Software y Aplicaciones Software y Aplicaciones 1. Consejo de Seguridad Informática ST04-006 Saber qué son los Parches Cuando los proveedores advierten vulnerabilidades en sus productos, a menudo largan parches para solucionar

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales.

SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales. SERIT forma parte del área de infraestructura de DIGIP Soluciones Integrales. Acerca de SERIT Nuestra compañía se dedica a proveer servicios integrales de infraestructura a empresas, con el objetivo de

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA

5 POLÍTICAS DE SEGURIDAD INFORMÁTICA Capítulo 5 POLÍTICAS DE SEGURIDADD INFORMÁTICA En este capítulo se describen las políticas de seguridad para optimizar el control del ISP Cap.5 Pág. 99 POLÍTICAS DE SEGURIDAD INFORMÁTICA La Seguridad informática

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

POLÍTICA MANEJO DE INFORMACIÓN Y DATOS PERSONALES DE ASESORÍAS ACADÉMICAS MILTON OCHOA

POLÍTICA MANEJO DE INFORMACIÓN Y DATOS PERSONALES DE ASESORÍAS ACADÉMICAS MILTON OCHOA POLÍTICA MANEJO DE INFORMACIÓN Y DATOS PERSONALES DE ASESORÍAS ACADÉMICAS MILTON OCHOA Fecha entrada en Vigencia: abril de 2013. Actualización: febrero de 2014. GENERALIDADES La presente política se define

Más detalles

Guía del empleado seguro

Guía del empleado seguro Guía del empleado seguro INTRODUCCIÓN La seguridad de la información en una empresa es responsabilidad del departamento de IT (tecnologías de la información) o del propio área de Seguridad de la Información

Más detalles

Política y Procedimiento del uso de Firewalls

Política y Procedimiento del uso de Firewalls Fecha de aprobación: 27/mayo/2008 Página: 2 de 11 Control de Cambios Fecha Versión Descripción Autor 14/Enero/2008 1.0 Comenzando el desarrollo de las secciones Roberto García 21/Febrero/2008 1.0 Revisión

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Webcast Aranda 360 ENDPOINT SECURITY ANDREZ LAMOUROUX S. Network & Security Solutions Manager - LATAM El Problema: La Protección de sus Puntos Finales Control de Laptops / Netbooks Uso no controlado del

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES.

POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES. 1. POLITICA DE PRIVACIDAD Y PROTECCION DE DATOS PERSONALES. La protección de la privacidad de los donantes, proveedores, colaboradores y/o voluntarios es importante para todas las acciones de Argentina

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY 1. Generalidades FAQs Qué tipo de amenazas ponen en peligro la infraestructura de mi PC? Cómo Aranda 360 protege la infraestructura de mi PC? Puedo usar Aranda 360 sin un antivirus? Puedo usar Aranda 360

Más detalles

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

Intrusion Detection/Prevention Systems SNORT.

Intrusion Detection/Prevention Systems SNORT. Intrusion Detection/Prevention Systems SNORT. Miguel Angel Rodriguez Yamid Armando Pantoja Juan Carlos Pantoja Universidad de Nariño Facultad de Ingeniería Programa Ingeniería de Sistemas 11 de diciembre

Más detalles

Proporciona información sobre vulnerabilidades en los equipos: Carpetas compartidas, Riesgos Explotables por Worms, Trojanos, Backdoors entre otros.

Proporciona información sobre vulnerabilidades en los equipos: Carpetas compartidas, Riesgos Explotables por Worms, Trojanos, Backdoors entre otros. www.hauri-la.com ViRobot Intranet Security Management System Debido al crecimiento de Internet como medio de comunicación, la propagación de Malware y el desarrollo de tipos de ataques cada vez más sofisticados

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

DOCUMENTO DE SEGURIDAD INFORMÁTICA. AÑO 2015

DOCUMENTO DE SEGURIDAD INFORMÁTICA. AÑO 2015 DOCUMENTO DE SEGURIDAD INFORMÁTICA 2015. Esta Política de Seguridad para sistemas informáticos está diseñada para proteger el CA UNED-Les Illes Balears, nuestros empleados, colaboradores y clientes de

Más detalles

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB

INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB INFORME TECNICO PREVIO DE EVALUACIÓN DE SOFTWARE N 001-2011/UIE-PATPAL - FBB Contenido 1. NOMBRE DEL AREA... 2 2. RESPONSABLES DE LA EVALUACIÓN... 2 3. CARGOS... 2 4. FECHA... 2 5. JUSTIFICACIÓN... 2 6.

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Ley 25326 Hábeas Data: Ley de Protección de Datos Personales.

Ley 25326 Hábeas Data: Ley de Protección de Datos Personales. 1 Ley 25326 Hábeas Data: Ley de Protección de Datos Personales. Disposiciones Generales: Objeto: La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros,

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO

POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO POLÍTICA DE SEGURIDAD DE CORREO ELECTRÓNICO PSHCM_01 2 0 1 3 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva del Hospital Clínico de Magallanes y su uso debe

Más detalles

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC.

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC. Business Alliance for Secure Commerce (BASC) Estándares BASC Versión 3-2008 Adopción de Requisitos Mínimos de Seguridad C-TPAT Vigilancia y Seguridad Privada Las Empresas de Vigilancia y Seguridad Privada

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

no exponga a su empresa, tome las precauciones necesarias

no exponga a su empresa, tome las precauciones necesarias TECnOLOGÍA Fausto Escobar Sánchez seguridad de las TI Panorama actual en las Pymes no exponga a su empresa, tome las precauciones necesarias para evitar un ataque informático que dejaría inutilizadas las

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server

Guía de inicio rápido. Microsoft Windows 8 / 7 / Vista / XP / Home Server Guía de inicio rápido Microsoft Windows 8 / 7 / Vista / XP / Home Server ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor de

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD

ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/205/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD ENMIENDA No. 1 LICITACIÓN PÚBLICA INTERNACIONAL OSP/PER/01/05/1315 ADQUISICIÓN DE SOFWARE PARA LA SEDE DEL GOBIERNO REGIONAL DE LA LIBERTAD 1. Instrucciones Generales de Presentación de Propuestas, Sección

Más detalles

POLÍTICA MANEJO DE INFORMACIÓN Y DATOS PERSONALES DE ALMACENES ÉXITO INVERSIONES S.A.S. Versión: 1 Fecha entrada en Vigencia: Abril de 2013.

POLÍTICA MANEJO DE INFORMACIÓN Y DATOS PERSONALES DE ALMACENES ÉXITO INVERSIONES S.A.S. Versión: 1 Fecha entrada en Vigencia: Abril de 2013. POLÍTICA MANEJO DE INFORMACIÓN Y DATOS PERSONALES DE ALMACENES ÉXITO INVERSIONES S.A.S. Versión: 1 Fecha entrada en Vigencia: Abril de 2013. GENERALIDADES La presente política se define de conformidad

Más detalles

Alcance y descripción del servicio ANTIVIRUS IPLAN

Alcance y descripción del servicio ANTIVIRUS IPLAN Alcance y descripción del servicio ANTIVIRUS IPLAN 1. Introducción. El servicio de Antivirus IPLAN ofrece una amplia cobertura contra distintos tipos de detecciones, permitiendo de forma cotidiana, efectiva

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints

Hoja de datos: Seguridad de endpoints Symantec Protection Suite Enterprise Edition Protección de confianza para entornos de mensajería y endpoints Protección de confianza para entornos de mensajería y endpoints Descripción general Symantec Protection Suite Enterprise Edition crea un entorno seguro de mensajería y endpoints, que está protegido contra

Más detalles

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes?

Recordando 28/05/2014. Es el conjunto que resulta de la integración de cuatro. Cuál es el objetivo de integrar estos componentes? Introducción a la Seguridad Informática Dra. Maricela Bravo La información como activo estratégico Recordando Qué es un sistema de información? Es el conjunto que resulta de la integración de cuatro elementos:

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM 1. Objetivo del documento Establecer las normas de uso correcto de los Recursos Informáticos y de la Red de Datos en la UPM.

Más detalles

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012

Seguridad Perimetral. Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Seguridad Perimetral Juan Manuel Espinoza Marquez juanmanuel.espinoza@gmail.com CFT San Agustín Linares -2012 Introducción La mayoría de las empresas sufren la problemática de seguridad debido a sus necesidades

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita

Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Symantec Protection Suite Enterprise Edition para Servidores Protección completa y de alto rendimiento allí donde la necesita Presentación ofrece protección de alto rendimiento contra el tiempo fuera de

Más detalles

Offering de Servicios Xpress Security. BT Assure. Security that matters

Offering de Servicios Xpress Security. BT Assure. Security that matters Offering de Servicios Xpress Security BT Assure. Security that matters Servicios de Gestión de Seguridad Internet Xpress ha contribuido en el establecimiento de los estándares de responsabilidad, fiabilidad

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

NEXT GENERATION FIREWALL

NEXT GENERATION FIREWALL NEXT GENERATION FIREWALL Los modelos NG1000-A y NG5000-A han sido diseñados para proteger servidores de comercio electrónico de alto tráfico, redes universitarias dinámicas o cualquier otro entorno en

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

Tendencias generales

Tendencias generales Tendencias generales Globalización La cadena de valor se amplia e integra Creciente competencia Mercados más complejos y comunicados Hay un incremento acelerado del trabajo en colaboración El negocio depende

Más detalles

Políticas de Allus para la Protección de Datos Personales

Políticas de Allus para la Protección de Datos Personales Políticas de Allus para la Protección de Datos Personales Allus ha diseñado una Política para la Protección de Datos Personales (en adelante La Política ) para asegurar un tratamiento ético y adecuado

Más detalles

ÍNDICE DE CONTENIDO. 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa.

ÍNDICE DE CONTENIDO. 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa. Autor: Raisa Gruezo Vélez ÍNDICE DE CONTENIDO 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa. 5. Determinación del Problema. 6. Planteamiento

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guía de inicio rápido

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Guía de inicio rápido Microsoft Windows 7 / Vista / XP / 2000 / Home Server Guía de inicio rápido ESET Smart Security le proporciona a su equipo protección de última generación contra códigos maliciosos. Basado en el motor

Más detalles

Herramientas para evitar ataques informáticos

Herramientas para evitar ataques informáticos Herramientas para evitar ataques informáticos Jorge Mieres, Analista de Seguridad de ESET para Latinoamérica Jueves 30 de abril del 2009 ESET, LLC 610 West Ash Street, Suite 1900 phone: (619) 876 5400,

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

MALWARE versus SEGURIDAD DE LA INFORMACIÓN

MALWARE versus SEGURIDAD DE LA INFORMACIÓN MALWARE versus SEGURIDAD DE LA INFORMACIÓN La información al alcance de cualquiera? F. Javier Bruna Sánchez Ingeniero en Informática Auditor de normas internacionales sistemasgestion@secartys.org 1 aunque

Más detalles

! "! #$%$& ! " #! $ % & +,- ' ( ) *+, - $ %

! ! #$%$& !  #! $ % & +,- ' ( ) *+, - $ % " #$%$& " # $ % & "#"$$ $%&'"()*#"$ +,-./ ' " #$%$& ' ( ) *+, - $ % "#"$$ $%&'"()*#"$ +,-./ % ( )*+, $%-./ 0 #"$%$& Estimados señores, De la manera más atenta nos dirigimos a ustedes con el fin de realizar

Más detalles

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales

Symantec Protection Suite Enterprise Edition Protección de confianza para entornos web, mensajería y puntos finales Protección de confianza para entornos web, mensajería y puntos finales Presentación crea un entorno protegido para la web, mensajería y puntos finales contra las amenazas actuales más complejas de malware,

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico

EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana. 1.- Globalización y avance tecnológico EVIDENCIA DIGITAL E INFORMÁTICA FORENSE Autor: Lic. Salvador Clemente Beltrán Santana 1.- Globalización y avance tecnológico La infraestructura tecnológica disponible y el entorno de globalización han

Más detalles

Qué es Nube Argentina de Telecom?

Qué es Nube Argentina de Telecom? * Flexibilidad * Movilidad * Colaboración * Seguridad Qué es Nube Argentina de Telecom? Un servicio de excelencia proporcionado por Telecom Argentina, desde sus datacenters, dentro de los cuales se destaca

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE 003-2008

INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE 003-2008 INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE 003-2008 Adquisición de una solución antivirus corporativa o renovación anual de licencias de la solución que posee actualmente el Servicio Nacional de

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

CA ARCserve Backup Patch Manager para Windows

CA ARCserve Backup Patch Manager para Windows CA ARCserve Backup Patch Manager para Windows Guía del usuario r16 Esta documentación, que incluye sistemas incrustados de ayuda y materiales distribuidos por medios electrónicos (en adelante, referidos

Más detalles

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011

Sistemas de Detección y Prevención de Intrusos Estado del Arte. Charles Ware cware@uy.ibm.com Agosto 2011 Sistemas de Detección y Prevención de Intrusos Estado del Arte Charles Ware cware@uy.ibm.com Agosto 2011 Agenda Concientización y estate del arte Historia Detección de Intrusos Prevención de Intrusos IDPS

Más detalles

Kalio.Server... Servicio de Productividad

Kalio.Server... Servicio de Productividad Kalio.Server... Servicio de Productividad Kalio.Server Servicio de Productividad 2 Tabla de contenido... Kalio.Server... Servicio de Productividad... Tabla de contenido...2 Descripción... 3 Ejemplo de

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015)

AVG File Server. Manual del usuario. Revisión del documento 2015.08 (22.09.2015) AVG File Server Manual del usuario Revisión del documento 2015.08 (22.09.2015) C opyright AVG Technologies C Z, s.r.o. Reservados todos los derechos. El resto de marcas comerciales son propiedad de sus

Más detalles

Circular de Tecnología Pautas para el uso de Certificados Electrónicos

Circular de Tecnología Pautas para el uso de Certificados Electrónicos ASIT 20091112 CT Pautas para el uso de Certificados Electrónicos v1 20/11/2009 Documento de Circular de Tecnología Pautas para el uso de Certificados Electrónicos Versión 01 Noviembre 2009 ARCHIVO: ASIT

Más detalles

Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información.

Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información. Modelo de Zonas y Servicios: Un enfoque Integral de la Seguridad en la información. Ing. Carlos Boris Pastrana Polo Desarrollo de Negocios - Sector Gobierno cpastrana@scitum.com.mx Scitum, S.A. de C.V.

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. LOPD 15/99 y Nuevo Reglamento Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Legislación aplicable

Más detalles

La seguridad informática en las empresas. El reto y su solución

La seguridad informática en las empresas. El reto y su solución Sage Security Center Seguridad SaaS para todos tus PCs, portátiles y servidores: La solución ligera, segura y fácil. La seguridad informática en las empresas. El reto y su solución Los delitos informáticos,

Más detalles