SegurIDad Gustavo Aldegani Consultor Independiente en Seguridad Informática
|
|
- Beatriz Peralta Quintero
- hace 8 años
- Vistas:
Transcripción
1 SegurIDad 2004 Gustavo Aldegani Consultor Independiente en Seguridad Informática
2 Objetivo Analizar los aspectos de la Seguridad Informática en ambientes de Empresa que preocupan a los tomadores de decisiones y proponer un sistema de contramedidas
3 Temas a desarrollar Parte 1 Parte 2 Escenario actual de la Seguridad Informática De que proteger los sistemas de negocios. Puntos de vulnerabilidad. Legislaciones que afectan a la Seguridad Normativas y Estándares Seguridad Interna y Externa. Políticas de Seguridad. Planes de contingencia Análisis funcional de los ataques actuales y sus contramedidas Tecnologías Intrusion Detection/Prevention Firewalls sobre capa 7 Sistemas Appliance Consideraciones Finales
4 Escenario Actual de la Seguridad Informática
5 Escenario 11/09/2001 demostró la importancia de la Seguridad Informática Preventiva (Planes de Recuperación de Desastres) Los incidentes desde el LoveLetter al Blaster demostraron que el problema de mantener funcionando los negocios de manera segura no está en la tecnología disponible sino de su Organización y Control
6 Escenario Local Presupuestos pesificados y disminuidos Mantenimiento o aumento de los objetivos a cumplir Dificultad de tomar decisiones que impliquen compras de tecnología
7 Escenario Local La reducción de inversión en Seguridad Informática genera riesgos para la Continuidad Segura de los Negocios La reducción de inversión general en IT de la empresa genera riesgos para la Continuidad Segura de los Negocios La reducción de inversión en IT de empresas clientes, proveedoras y aliadas genera riesgos para la Continuidad Segura de los Negocios
8 Informe FBI-CSI 2003 Encuesta a 530 organizaciones de diferentes sectores que cuentan con Areas responsables de la Seguridad Informática Compañías de Alta Tecnología, Sector financiero, Agencias de Gobierno, Manufactureras, Telecomunicaciones, Educativas, Servicios Legales, Servicios Médicos, Transporte, Ventas Minoristas. Todas cuentan con Areas de Seguridad Informática
9
10
11
12
13
14
15 266 M 378 M 456 M 202 M
16 De que proteger los sistemas de negocios.
17 Ataques y Contramedidas Tipos de ataque más registrados Abuso interno de acceso a redes Virus Accesos no autorizados de origen interno Contramedidas Gestión Segura de Identidades Antivirus Gestión Segura de Identidades Tipos de Ataques que generaron mayor cantidad de pérdidas económicas Robo de Información propietaria Denial of Service Gestión Segura de Identidades Criptografía Firewall Detección/Prevención de Intrusiones Virus Antivirus
18 Ataques a la disponibilidad de los servicios. Ataques a la integridad de la información. Ataques a confidencialidad de la información.
19 Ataques a la Disponibilidad de la Información Riesgos Contramedidas Denial of Service Dirigido Configuraciones Adecuadas Denial of Service por Virus Problemas de los entornos Interconectados Spyware (consumo de recursos para transmisión) Monitoreo de Vulnerabilidades Implementación de Intrusion Detection/Prevention Restricciones en uso de los servicios de Internet por parte del personal
20 Ataques a la integridad de la información Riesgo Contramedidas Ataques directos a la Integridad Acción directa Acción potencial de una Troyanización Daño colateral provocado por un virus Monitoreo de Integridad de información que debe permanecer constante en el tiempo Antivirus de Red, Servidores y Estaciones de Trabajo Ataques colaterales a la Integridad Provocación del reseteo del equipo atacado Monitoreo de Vulnerabilidades Implementación de Intrusion Detection/Prevention Virus con módulo de ataque PMD
21 Ataques a confidencialidad de la información Riesgo Ataques directos a la Confidencialidad Spyware Robo de Información por medio de Virus Contramedidas Sistema de Gestión Segura de Identidades Encripción de Información Crítica cuando está almacenada Encripción de Información Crítica cuando se Transmite Uso de Certificados Digitales para Autenticar Emisor y Receptor Implementación de Intrusion Detection/Prevention
22 Puntos de vulnerabilidad. Las conexiones y los servicios de Internet. Abuso de recursos de Internet (chat, e- mails personales, distracciones, spamming). Sabotajes internos y externos. Las debilidades internas provocadas por el personal y por la tecnología Hipótesis de conflictos en entornos interconectados.
23 Riesgos básicos de los servicios de Internet Virus en archivos adosados a mensajes WWW Entrada al sistema de archivos infectados por virus IRC Virus que explotan IRC Ataques que explotan la habilitación de los puertos I Ataques combinados
24 Abuso de recursos de Internet Riesgos generados por abuso de y WWW Aumento de probabilidad de entrada de virus, troyanos y otros programas dañinos Efectos colaterales genrados por programas dañinos Transmisión de mensajes de , transmisiones provenientes de Spyware Consumo no racional de los recursos tecnológicos Riesgos generados por IRC Propagación de Virus Genración de Ataques
25 Contramedidas para el abuso de recursos de Internet Contramedidas Lograr que el personal sólo utilice los recursos de Internet para tareas realcionadas con el trabajo Montar un esquema técnico y administrativo que permita organizar y controlar el punto anterior Implementar un sistema de excepciones Incorporar el cumplimiento de estas contramedidas al esquema reglamentario de la empresa Sustento legal de las contramendidas (consultar con un abogado especialista en Derecho Informático) El recurso es contratado y/o generado por el empresa La adminsitración es de la empresa La responsabilidad de uso es del peronal dentro del marco de la provisión de herramientas de trabajo
26 Sabotajes internos y externos Las acciones bajo modelo vandálico no son consideradas sabotaje Sabotajes Internos Infección con virus convencionales Infección con virus de Daño Dirigido Acciones para la Troyanización de Servidores Sabotajes Externos Ataques de Denial of Service Infección con virus de Daño Dirigido
27 Las debilidades internas provocadas por el personal Vulnerabilidades provocadas por el personal Empleados disconformes Empleados con privilegios informáticos críticos que se retiran de la empresa Empleados indebidamente capacitos (impericia) Empleados informáticamente sobrecapacitados Contramedidas Gestión Segura de Indentidades Capacitación del Personal Implementación de un esquema adecuado de Organización y Control de la Seguridad
28 Las debilidades internas provocadas por la tecnología Vulnerabilidades provocadas por la Tecnología Complejidad de Administración de la Seguridad Generación de Ventanas de Riesgo debidas a Complejidad de Adminsitración y Limitaciones de Recursos Contramedidas Gestión Segura de Identidades Implementación de Intrusión Detction/Prevention Implementación de un esquema adecuado de Organización y Control de la Seguridad
29 Hipótesis de conflictos en entornos interconectados Riesgos generados por Interconexiones con Clientes, Proveedores y Aliados Estratégicos a través de Internet Ataques directos Ataques indirectos Ataques de virus de Servidor Contramedidas Considerar a la red nopropia como insegura Implementación de Antivirus de Red y en Servidores Implementación de VPNs Sistemas de Encriptación Certificados Digitales
30 Ataques y Contramedidas Tipos de ataque más registrados Abuso interno de acceso a redes Virus Accesos no autorizados de origen interno Contramedidas Sistema de Administración y Control Gestión Segura de Identidades Antivirus Gestión Segura de Identidades Tipos de Ataques que generaron mayor cantidad de pérdidas económicas Robo de Información propietaria Denial of Service Gestión Segura de Identidades Criptografía (Cert. Digitales - VPNs) Firewall Detección/Prevención de Intrusiones (Monitoreo de Vulnerabilidades) Virus Antivirus
31 Legislaciones que afectan a la Seguridad Impacto de la Ley de Habeas Data y Firma Digital en la Seguridad Informática de las empresas. El estándar nacional, regional e internacional IRAM-ISO-IEC
32 Impacto de la Ley de Habeas Data en la Seguridad Informática de las Empresas
33 Ley de Habeas Data ARTICULO 1.- (Objeto) La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional. Incluye a bases de datos de organizaciones de áreas como Financieras y Salud, entre otras.
34 Ley de Habeas Data ARTICULO 2.- (Definiciones) A los fines de la presente ley se entiende por: - Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables. - Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. Toda información referente datos como la salud de las personas no sólo es considerada Dato Personal sino es definida específicamente como Dato Sensible.
35 Ley de Habeas Data ARTICULO 5.- (Consentimiento) 2. No será necesario el consentimiento cuando: a) Los datos se obtengan de fuentes de acceso público irrestricto; b) Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal; c) Se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio; d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento; e) Se trate de las operaciones que realicen las entidades financieras y de las informaciones que reciban de sus clientes conforme las disposiciones del artículo 39 de la Ley
36 Ley de Habeas Data - Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso. - Tratamiento de datos: Operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias. - Responsable de archivo, registro, base o banco de datos: Persona física o de existencia ideal pública o privada, que es titular de un archivo, registro, base o banco de datos. Deberá definirse un responsable de la base de datos, esto no tiene que ser personalizado sino que alcanzaría con un cargo existente en el organigrama. La definición se realiza por medio de un procedimiento administrativo incluido en la Política de Seguridad existente (de no existir de manera formal, se deberá documentar una)
37 Ley de Habeas Data - Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrónico o automatizado. - Titular de los datos: Toda persona física o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el país, cuyos datos sean objeto del tratamiento al que se refiere la presente ley. Para el área Salud los Titulares de los datos son los pacientes, para la financiera son los clientes.
38 Ley de Habeas Data - Usuario de datos: Toda persona, pública o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a través de conexión con los mismos. Los usuarios de los datos son los responsables de las bases de datos de las organizaciones
39 Ley de Habeas Data ARTICULO 4.- (Calidad de los datos) 7. Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados. La base de datos deberá prever un procedimiento de destrucción auditada de datos luego de un tiempo determinado de acuerdo a necesidades operativas. Este procedimeinto deberá estar documentado en la Política de Seguridad.
40 Ley de Habeas Data ARTICULO 9.- (Seguridad de los datos) 1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. La responsabilidad sobre la Seguridad Informática de la base de datos pertenece a las Organizaciones y a quienes se conectan a ella (los mecanismos de seguridad no sólo deben estar en la base misma y en la transmisión de los datos sino también en las comutadoras conectadas a la base de manera directa -red de área local- o remota).
41 Ley de Habeas Data 2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad. Las Organizaciones que no implementen Seguridad Informática en sus sistemas, no podrán utilizarlos para almacenar, recibir y enviar datos de sus clientes.
42 Ley de Habeas Data ARTICULO 11.- (Cesión) 1. Los datos personales objeto de tratamiento sólo pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario y con el previo consentimiento del titular de los datos, al que se le debe informar sobre la finalidad de la cesión e identificar al cesionario o los elementos que permitan hacerlo. 2. El consentimiento para la cesión es revocable. Deberán existir mecanismos por medio de los cuales se registre la cesión de los datos por parte de sus dueños
43 Ley de Habeas Data ARTICULO 12.- (Transferencia internacional) 1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados. 2. La prohibición no regirá en los siguientes supuestos: a) Colaboración judicial internacional; b) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica, en tanto se realice en los términos del inciso e) del artículo anterior; Se deberán implementar mecanismos seguros para la transmisión de datos
44 Ley de Habeas Data ARTICULO 21.- (Registro de archivos de datos. Inscripción) 1. Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control. Terminó el Censo
45 Ley de Habeas Data 2. El registro de archivos de datos debe comprender como mínimo la siguiente información: g) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información; h) Tiempo de conservación de los datos; i) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. Estos puntos requieren de una Política de Seguridad Informática
46 Impacto de la Ley de Firma Digital en la Seguridad Informática de las Empresas
47 Ley de Firma Digital ARTICULO 1.- Objeto. Se reconoce el empleo de la firma electrónica y de la firma digital y su eficacia jurídica en las condiciones que establece la presente ley. ARTICULO 2.- Firma Digital. Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante encontrándose esta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.
48 Ley de Firma Digital ARTICULO 3.- Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia. Este artículo define la igualdad de validez entre la firma digital y la hológrafa. Por lo tanto: cualquier organización que maneje documentación que requiera ser firmada de manera hológrafa para que tenga validez legal, podrá utilizar un sistema de Firma Digital para lograr la misma validez legal, pero no así uno de firma electrónica o cualquier otro sistema de elección propia.
49 Ley de Firma Digital ARTICULO 5.- Firma electrónica. Se entiende por firma electrónica al conjunto de datos electrónicos integrados, ligados o asociados de manera lógica a otros datos electrónicos, utilizado por el signatario como su medio de identificación, que carezca de alguno de los requisitos legales para ser considerada firma digital. En caso de ser desconocida la firma electrónica corresponde a quien la invoca acreditar su validez. La firma electrónica puede seguir siendo utilizada, pero carece de validez legal a menos que esté respaldada por un convenio de partes
50 Ley de Firma Digital ARTICULO 25.- Obligaciones del titular del certificado digital. Son obligaciones del titular de un certificado digital: a) mantener el control exclusivo de sus datos de creación de firma digital, no compartirlos, e impedir su divulgación; b) utilizar un dispositivo de creación de firma digital técnicamente confiable; c) solicitar la revocación de su certificado al Certificador Licenciado ante cualquier circunstancia que pueda haber comprometido la privacidad de sus datos de creación de firma; d) informar sin demora al certificador licenciado el cambio de alguno de los datos contenidos en el certificado digital que hubiera sido objeto de verificación. El cumplimiento de las obligaciones requiere de un sistema de seguridad informática específico.
51 Conceptos sobre Firma Digital utilizados en la Ley Argentina Firma Digital Herramienta tecnológica que permite garantizar la autoría e integridad de los documentos digitales similar a los documentos hológrafos. Conjunto de datos asociados a un mensaje digital que permite garantizar la identidad del firmante y la integridad del mensaje.
52 Conceptos sobre Firma Digital utilizados en la Ley Argentina Firma Digital No implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente puede ser visualizado por otras personas, al igual que cuando se firma holográficamente. Instrumento con características técnicas y normativas. Existen procedimientos técnicos que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen.
53 Conceptos sobre Firma Digital utilizados en la Ley Argentina Funcionamiento Utiliza procedimientos matemáticos que relacionan al documento firmado con información propia del firmante y permiten que terceras partes puedan reconocer la identidad del firmante y asegurarse que los contenidos no han sido modificados.
54 Conceptos sobre Firma Digital utilizados en la Ley Argentina Funcionamiento El firmante genera, mediante una función matemática, una huella digital del mensaje. FIRMANTE ALGORITMO HASH MENSAJE FINGERPRINT DEL MENSAJE
55 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL
56 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, luego descifra la firma digital del mensaje utilizando la clave pública del firmante y obtendrá la huella digital del mensaje original; MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE FIRMA DIGITAL
57 Conceptos sobre Firma Digital utilizados en la Ley Argentina Para realizar la verificación del mensaje, el receptor generará la huella digital del mensaje recibido, luego descifra la firma digital del mensaje utilizando la clave pública del firmante y obtendrá la huella digital del mensaje original; si ambas huellas digitales coinciden, significa que el mensaje no fue alterado y que el firmante es quien dice serlo. MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE COMPARACION
58 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales Documentos digitales que dan fe de la vinculación entre una clave pública y un individuo o entidad. Permiten verificar que una clave pública específica pertenece, efectivamente, a un individuo determinado. Ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra persona.
59 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales Contienen una clave pública y un nombre. Habitualmente, un certificado también contiene una fecha de expiración, el nombre de la Autoridad Certificante que emitió ese certificado, un número de serie y otra información. El certificado propiamente dicho está firmado digitalmente por el emisor del certificado.
60 Certificado Digital CERTIFICADO DIGITAL CLAVE PUBLICA DEL SOLICITANTE OTROS DATOS ENCRIPCION CON HASH HASH DEL CERTIFICADO ENCRIPCION CON PRIVADA DE ENTIDAD CERTIFICANTE
61 Conceptos sobre Firma Digital utilizados en la Ley Argentina Certificados digitales El formato de los certificados está definido por el estándar internacional ITU-T X.509. Los certificados pueden ser leídos o escritos por cualquier aplicación que cumpla con el mencionado estándar.
62 La Norma IRAM-ISO 17799
63 Antecedentes 1995 se publica BS se revisa BS se adopta como ISO se homologa como IRAM la ONTI la toma como base para la definición de Políticas de Seguridad Informática para la Función Pública
64 IRAM-ISO-IEC La Norma de Seguridad Informática para Empresas 17799, aceptada como estándar por todo el mundo desde hace años, ha sido homologada por el Instituto Argentino de Racionalización en septiembre de Esto posibilita que todo requerimiento de Auditoría Interna, Externa, o proveniente de Clientes, Proveedores o Socios Estratégicos tenga un marco de referencia único.
65 IRAM-ISO-IEC La es la norma madre de las ISO de Seguridad Informática, por lo que su contenido está focalizado en las pautas para el gerenciamiento de la Seguridad Informática de las Organizaciones, sus Políticas de Seguridad y sus Planes de Continuidad de Negocios.
66 IRAM-ISO-IEC Definición Conjunto de normas de Seguridad de la Información sujeto a Auditoría y reconocido Globalmente
67 IRAM-ISO-IEC Apoya los esfuerzos de los gerentes de tecnología de la información facilitando la toma de decisiones de compra incrementando la cooperación entre múltiples departamentos por ser la seguridad un interés común ayudando a consolidar la seguridad como prioridad empresarial
68 IRAM-ISO-IEC Es una compilación de recomendaciones para las prácticas exitosas de seguridad que toda organización puede aplicar independientemente de su tamaño o sector. Fue redactada intencionalmente para que fuera flexible y no induce a las personas que la cumplían para que prefirieran una solución de seguridad específica.
69 IRAM-ISO-IEC Las recomendaciones son neutrales en cuanto a la tecnología Discute la necesidad de contar con firewalls, pero no profundiza sobre los tipos de firewalls y cómo se utilizan Esto conlleva a que algunos detractores de la norma digan que es muy general y que tiene una estructura muy imprecisa y sin valor real.
70 IRAM-ISO-IEC La flexibilidad es intencional por cuanto es imposible desarrollar una norma que funcione en una variedad de entornos de tecnología de la información y que sea capaz de desarrollarse con el cambiante mundo de la tecnología.
71 IRAM-ISO-IEC Beneficios Mayor seguridad en la empresa. Planeación y manejo de la seguridad más efectivos. Alianzas comerciales y e-commerce más seguras. Mayor confianza en el cliente. Auditorías de seguridad más precisas y confiables. Menor Responsabilidad civil
72 Estrategias Si no se tiene un sistema formal de organización y control de la Seguridad Informática, puede servir de base para realizar uno. Aunque no se necesite certificar, sirve como guía para configurar la Política de Seguridad de la empresa.
73 Las diez áreas de control Existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles No todos los controles podrán aplicarse a cada empresa, sin embargo la norma ayuda a identificar los controles relevantes para cada empresas.
74 Organización de la Seguridad Objetivo: Administrar la seguridad de la información dentro de la organización. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.
75 Clasificación y Control de Activos Objetivo: Mantener una adecuada protección de los activos de la organización.
76 Seguridad Personal Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.
77 Seguridad Física y Ambiental Objetivo: Impedir accesos no autorizados, daños e interferencia a las sedes e información de la empresa.
78 Control de Accesos Objetivo: Controlar el acceso de información. El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los requerimientos la seguridad y de los negocios.
79 Desarrollo y Mantenimiento de Sistemas Objetivo: Asegurar que la seguridad es incorporada a los sistemas de información.
80 Administración de la Continuidad de Negocios Objetivo: Contrarrestar las interrupciones de las actividades comerciales y proteger los procesos críticos de los negocios de los efectos de fallas significativas o desastres.
81 Cumplimiento Objetivo: Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.
82 Implementación El tiempo estimado para el proceso de adecuación de para la certificación es de seis a nueve meses dependiendo de la complejidad de la infraestructura del Area de Sistemas
83 Implementación No es un checklist de parámetros tecnológicos Resulta imposible una adecuación basada sólo en modificaciones de la configuración de la tecnología Es una "estructura" (no una lista) de recomendaciones para el gerenciamiento de la Seguridad Informática.
84 Implementación El tipo de norma hace imposible la aplicación de una metodología estándar, ya que se requiere un reanálisis de riesgo de las unidades de negocio de la empresa
85 Implementación La mejor forma de implementar la norma con éxito es mediante un proceso de reingeniería rápida y proactiva que lleve a la Seguridad Informática de la Empresa a su nivel óptimo, racionalice la inversión en tecnología y deje a la estructura en condiciones de obtener una certificación
86 La y su relación con las 9000 y Una adecuación o certificación a ISO tiene valor en sí misma y potencia una certificación ISO 9000 como lo hace una 14000
87 Auditoría - Evaluación de Estado bajo 17799
88 Auditoría - Evaluación de Estado bajo 17799
89 Políticas de Seguridad. Cadenas de Responsables Normas y procedimientos Documentación Dinámica
90 Cadenas de Responsables Area de Seguridad Informática (cuando no se debe cumplir un modelo establecido) 2 Responsables Máximos Grupo de Adminsitración de la Seguridad Grupo de Asistencia Técnica Grupo de HelpDesk -Reporte de Incidentes Grupo de Respuesta a Incidentes - Control Dos o más individuos capacitados para cada cargo con rotación ascendenteo paralela en la escala de capacitación Un individio puede cumplir más de una función compatible
91 Normas y procedimientos Utilización de la como modelo Un punto de control a cumplir de la norma puede requerir más de un procedimeinto
92 Política de Seguridad basada en Controles contra software malicioso Se deben implementar controles de detección y prevención para la protección contra software malicioso, y procedimientos adecuados de concientización de usuarios. La protección contra software malicioso debe basarse en la concientización en materia de seguridad y en controles adecuados de acceso al sistema y administración de cambios. Se deben tener en cuenta los siguientes controles: a) una política formal que requiera el uso de software con licencia y prohíba el uso de software no autorizado (ver ); b) una política formal con el fin de proteger contra los riesgos relacionados con la obtención de archivos y software desde o a través de redes externas, o por cualquier otro medio, señalando qué medidas de protección deberían tomarse (ver también 10.5, especialmente y ); c) instalación y actualización periódica de software de detección y reparación anti-virus, para examinar computadoras y medios informáticos, ya sea como medida precautoria o rutinaria, d) realización de revisiones periódicas del contenido de software y datos de los sistemas que sustentan procesos críticos de al empresa. La presencia de archivos no aprobados o modificaciones no autorizadas debe ser investigada formalmente;
93 Política de Seguridad basada en a) Política de uso de software con licencia Sólo está permitido el uso de software con licencia en toda la organización. Se prohibe la instalación de cualquier tipo de software por parte de los usuarios El personal de Tecnología es el único autorizado para instalar software en cualquier computadora de la organización En caso de que algún usuario necesite la instalación de un software específico por razones de trabajo, el supervisor del área correspondiente se lo solicitará al supervisor de Tecnología por medio de un procedimiento formal y documentado El personal de tecnología será responsable de llevar adelante un inventario de software e implementar mecanismos automáticos y manuales para detectar la instalación de cualquier tipo de software por parte de personal no autorizado
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento
Más detallesPOLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A.
POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A. Por favor lea cuidadosamente las siguientes Políticas de Privacidad y Tratamiento de Datos Personales de TELEVISORA
Más detallesInfraestructura Extendida de Seguridad IES
Infraestructura Extendida de Seguridad IES BANCO DE MÉXICO Dirección General de Sistemas de Pagos y Riesgos Dirección de Sistemas de Pagos INDICE 1. INTRODUCCION... 3 2. LA IES DISEÑADA POR BANCO DE MÉXICO...
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesAviso Legal. Entorno Digital, S.A.
Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesPOLITICA DE PRIVACIDAD DE LA PAGINA WEB
POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.
ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesModelo de Política de Privacidad
Queda prohibido cualquier tipo de explotación y, en particular, la reproducción, distribución, comunicación pública y/o transformación, total o parcial, por cualquier medio, de este documento sin el previo
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesINSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE
SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6
Más detallesA la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:
XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,
Más detallesRESOLUCION DE DIRECTORIO Nº 086/2004
RESOLUCION DE DIRECTORIO Nº 086/2004 ASUNTO: GERENCIA GENERAL APRUEBA REGLAMENTO DE FIRMA DIGITAL. VISTOS: La Ley N 1670 del 31 de octubre de 1995. La Ley N 1488 de 14 de abril de 1993, de Bancos y Entidades
Más detallesMANUAL INTERNO DE POLITICAS Y PROCEDIMIENTOS PARA LA PROTECCION DE DATOS PERSONALES FUNDACION HISPANOAMERICANA SANTIAGO DE CALI
PARA LA PROTECCION DE DATOS PERSONALES FUNDACION HISPANOAMERICANA SANTIAGO DE CALI PRESENTACION La FUNDACION HISPANOAMERICANA SANTIAGO DE CALI, es responsable del tratamiento de datos personales. Con el
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesPrácticas ITIL para un mejor flujo de trabajo en el helpdesk
Prácticas ITIL para un mejor flujo de trabajo en el helpdesk Se diferencia tres partes de gestión para mejorar la resolución de las incidencias de soporte técnico según el marco ITIL: 1. Gestión de Incidencias
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesTALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008
TALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008 LOPD OPORTUNIDAD PARA LA ORGANIZACIÓN Actuaciones Internas: 2 Medidas de Seguridad Procedimientos
Más detallesProyecto Ley Marco que crea la Historia Clínica Electrónica y su Registro
Proyecto Ley Marco que crea la Historia Clínica Electrónica y su Registro Artículo 1. Objeto de la Ley La presente Ley tiene por objeto crear la Historia Clínica Electrónica y el Registro Nacional de Historias
Más detalles5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5
1 INTRODUCCION... 3 2 PROTECCIÓN DE DATOS... 4 3 NORMATIVA BÁSICA REGULADORA... 4 4 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS... 4 5 OBLIGACIONES DE LAS EMPRESAS.... 5 5.1 REGISTRO DE FICHEROS... 5 5.1.1
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesDiputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía
Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316 Guía 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación
Más detallesNormas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura
Vicerrectorado de Tecnología de la Información y las Comunicaciones Normas de Uso y Seguridad de la Red de Telecomunicaciones de la Universidad de Extremadura Febrero 2008 Tabla de contenido 1 Antecedentes
Más detallesProcedimiento de Gestión de Incidentes de Seguridad de la Información
SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesAntivirus PC (motor BitDefender) Manual de Usuario
Antivirus PC (motor BitDefender) Manual de Usuario Índice 1. Introducción... 3 2. Qué es Antivirus PC?... 3 a. Eficacia... 3 b. Actualizaciones... 4 3. Requisitos técnicos... 4 a. Conocimientos técnicos...
Más detallesPreguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información
Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesPROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF
PROYECTO ESPECIAL CHAVIMOCHIC INFORME TECNICO PREVIO DE EVALUACION DE SOFTWARE N 001-2007-GR-LL/PECH-05-INF 1. NOMBRE DEL AREA: Informática que depende de la Jefatura de Planificación y Presupuesto 2.
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesCódigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2
Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios
Más detallesCircular de Tecnología Pautas para el uso de Certificados Electrónicos
ASIT 20091112 CT Pautas para el uso de Certificados Electrónicos v1 20/11/2009 Documento de Circular de Tecnología Pautas para el uso de Certificados Electrónicos Versión 01 Noviembre 2009 ARCHIVO: ASIT
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesSeguridad en la red. Fuga o robo de información a causa de las siguientes razones:
Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:
Más detallesDOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesGestión de archivos (módulo transversal, MF0978_2)
Gestión de archivos (módulo transversal, MF0978_2) Curso de capacitación para la obtención del módulo formativo Gestión de archivos del Certificado de profesionalidad (código MF0978_2), asociado a la unidad
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesInfraestructura Tecnológica. Sesión 10: Sistemas cortafuego
Infraestructura Tecnológica Sesión 10: Sistemas cortafuego Contextualización Actualmente tendemos a utilizar los sistemas de comunicación en una forma masiva, por lo que no siempre tenemos el cuidado adecuado
Más detallesEn este sentido y en cumplimiento de las disposiciones de la Ley 25/2
Suministro y mantenimiento industrial PROTECCIÓN DE DATOS DE CARACTER PERSONAL 1.- CLISER ODIN S.L. (en adelante Piensa Solutions), en cumplimiento de las disposiciones de la Ley Orgánica 15/1999, de 13
Más detallesNORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)
NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.) Normas de Uso Aceptable y Seguridad de la Red de datos de la Universidad Autónoma de Madrid (U.A.M.)
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesSistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención
Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención Autor: autoindustria.com Índice 0. Introducción 1. Auditorías del Sistema de Prevención de Riesgos Laborales 1.1. Planificación
Más detallesIntroducción a la Firma Electrónica en MIDAS
Introducción a la Firma Electrónica en MIDAS Firma Digital Introducción. El Módulo para la Integración de Documentos y Acceso a los Sistemas(MIDAS) emplea la firma digital como método de aseguramiento
Más detallesAUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP
AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación
Más detallesSeminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets
Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 1 de 12 Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 3 Bienvenida. 4 Objetivos. 5 Interacciones de Negocios
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesNorma de uso Identificación y autentificación Ministerio del Interior N02
Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados
Más detallesGuía Rápida de Inicio
Guía Rápida de Inicio 1. Acerca de esta Guía Esta guía le ayudará a instalar y dar los primeros pasos con BitDefender Security for SharePoint. Para disponer de instrucciones detalladas, por favor, diríjase
Más detallesDECLARACIÓN DE PRIVACIDAD DE FONOWEB
DECLARACIÓN DE PRIVACIDAD DE FONOWEB Fonoweb se compromete a respetar su privacidad y la confidencialidad de su información personal, los datos de las comunicaciones y el contenido de las comunicaciones
Más detallesVICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS
VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesCODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio
Proceso: GESTIÓN DE CALIDAD Página 1 de 7 NOMBRE DEL DOCUMENTO: En cumplimiento de la Ley 1581 de 2.012 y su Decreto Reglamentario 1377 de 2.013 CODIGO DEL DOCUMENTO: OD-GC-001 CONTROL DE CAMBIOS Versión
Más detallesUna Inversión en Protección de Activos
DERECHO A LA INTIMIDAD Le ayudamos a garantizar y proteger las libertades públicas y los derechos fundamentales de las personas físicas SEGURIDAD DE LA INFORMACION Auditoria Bienal LOPD Una Inversión en
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesDirectiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros
Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesProcedimiento para la para la coordinación de actividades empresariales en instalaciones de la universidad
Página: 1/17 Procedimiento para la para la coordinación Índice 1. OBJETO... 2 2. CLIENTES / ALCANCE... 2 3. NORMATIVA... 2 4. RESPONSABLES... 3 5. DESCRIPCIÓN DEL PROCESO... 3 6. DIAGRAMA DE FLUJO... 13
Más detallesCondiciones de servicio de Portal Expreso RSA
Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR
ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR LA LOPD Y SU ÁMBITO DE APLICACIÓN La Ley Orgánica de Protección de Datos (LOPD) se aplica a todos los datos de carácter personal registrados
Más detallesRECETA ELECTRÓNICA Informe de Seguridad
RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada
Más detallesResolución Rectoral Nº 11150005-ULP-2010. ANEXO IV. Fecha Emisión Versión Revisión. ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010
Pág. 1 de 8 ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010 TERMINOS Y CONDICIONES CON TERCEROS USUARIOS DEL INSTITUTO DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS Política de Certificación del Instituto
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesALERTA ANTIVIRUS: RECOMENDACIONES
ALERTA ANTIVIRUS: RECOMENDACIONES REDESNA Informática S.L. ofrece a sus clientes las siguientes recomendaciones para mantener el sistema informático alejado de los virus. Esperamos que te sea útil! 1.-
Más detallesACUERDO 3 DE 2015. (febrero 17) Diario Oficial No. 49.431 de 20 de febrero de 2015 ARCHIVO GENERAL DE LA NACIÓN JORGE PALACIOS PRECIADO
ACUERDO 3 DE 2015 (febrero 17) Diario Oficial No. 49.431 de 20 de febrero de 2015 ARCHIVO GENERAL DE LA NACIÓN JORGE PALACIOS PRECIADO Por el cual se establecen lineamientos generales para las entidades
Más detallesCOORDINACIÓN DE ACTIVIDADES EMPRESARIALES
COORDINACIÓN DE ACTIVIDADES EMPRESARIALES Empresario Contratista o Subcontratista de Construcción INTRODUCCIÓN El art. 24 de la Ley 31/95, de Prevención de Riesgos Laborales, establece que cuando en un
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro
Más detallesOperación 8 Claves para la ISO 9001-2015
Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesCONTROL DE DOCUMENTOS
PR-SGIA-2 1 de 5 1. PROPÓSITO Este documento tiene por objeto establecer los lineamientos para el control administrativo y operativo de los documentos internos del Sistema de Gestión Integral de Panamericana
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesConservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006
Conservación de datos de carácter personal relativos a los números de tarjeta de crédito de clientes. Informe 127/2006 La consulta se refiere al mantenimiento, conservación y cancelación del número de
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesAUTO MERCADO S.A. Términos y condiciones
AUTO MERCADO S.A. Términos y condiciones El acceso a este sitio web y a cualquier página del mismo sitio, implica el conocimiento y cumplimiento de los términos y condiciones que en ella se establecen,
Más detallesASOCIACIÓN INTERNACIONAL DE SUPERVISORES DE SEGUROS
Principios No. 4 ASOCIACIÓN INTERNACIONAL DE SUPERVISORES DE SEGUROS PRINCIPIOS SOBRE LA SUPERVISIÓN DE ACTIVIDADES DE SEGUROS EN INTERNET Octubre 2000 Seguros en Internet Contenido 1. Antecedentes...
Más detallesEstatuto de Auditoría Interna
Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detalles1.- Objetivo y descripción del funcionamiento
INFORME SOBRE LA PROTECCIÓN DE DATOS LIVECAM-PRO S.L. 1.- Objetivo y descripción del funcionamiento El presente informe tiene por objetivo elaborar recomendaciones y establecer pautas encaminadas a informar
Más detalles1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características
Más detallesPOLÍTICAS PARA EL MANEJO DE BASES DE DATOS
INTRODUCCIÓN POLÍTICAS PARA EL MANEJO DE BASES DE DATOS Teniendo como finalidad el cumplimiento de la normatividad sobre protección de datos personales definido en la ley 1581 de 2012 y legislación complementaria,
Más detallesContenido - 2. 2006 Derechos Reservados DIAN - Proyecto MUISCA
Contenido 1. Introducción...3 2. Objetivos...4 3. El MUISCA Modelo Único de Ingresos, Servicio y Control Automatizado...4 4. Ingreso a los Servicios Informáticos Electrónicos...5 4.1. Inicio de Sesión
Más detallesGestión de la Seguridad Informática
Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...
Más detallesIAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO)
IAP 1009 - TÉCNICAS DE AUDITORÍA APOYADAS EN ORDENADOR (TAAO) Introducción 1. Como se indica en la Norma Internacional de Auditoría 401, "Auditoría en un contexto informatizado", los objetivos globales
Más detallesPolíticas para Asistencia Remota a Usuarios
Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta
Más detallesFirma: Fecha: Marzo de 2008
Procedimiento General Tratamiento de No Conformidades, Producto no conforme, Acciones Correctivas y Acciones Preventivas (PG 03) Elaborado por: Jaime Larraín Responsable de calidad Revisado por: Felipe
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detalles2. QUE ENTENDEMOS POR COMERCIO ELECTRONICO
1. INTRODUCCION. LA TECNOLOGIA AVANZA MAS RAPIDO QUE LA LEGISLACION. ES NECESARIO QUE EXISTA SEGURIDAD Y PRIVACIDAD PARA LOGRAR CONFIANZA: DE CONSUMIDORES Y EMPRESAS EN EL MEDIO. 1 2. QUE ENTENDEMOS POR
Más detalles