MANUAL DE SEGURIDAD DE LA INFORMACIÓN

Tamaño: px
Comenzar la demostración a partir de la página:

Download "MANUAL DE SEGURIDAD DE LA INFORMACIÓN"

Transcripción

1 MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19

2 Contenido 1. INTRODUCCIÓN OBJETIVO ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN NORMATIVIDAD POLÍTICA DEL SGSI TERMINOS Y DEFINICIONES COMITÉ DE SEGURIDAD DE LA INFORMACIÓN Funciones del comité Cargos del comité: METODOLOGÍA DE GESTIÓN DE RIESGOS Objetivo Documentos de referencia Metodología de evaluación y tratamiento de riesgos Identificación y valoración de los activos de información Identificación de activos de información Identificación de Propietario, responsable y ubicación Clasificación de los activos de información Valoración de los activos de Información Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Identificación de las vulnerabilidades Identificación de los Riesgos Selección de la Probabilidad de Ocurrencia Determinar el impacto en los Activos de Información Valoración del Riesgo Inherente Identificación de controles existentes Definición de los niveles de aceptación de Riesgos Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Preparación de planes de tratamiento Página 2 de 19

3 Monitoreo Revisiones periódicas de la evaluación y el tratamiento de riesgos Página 3 de 19

4 1. INTRODUCCIÓN Con el aumento en el número de incidentes de seguridad de la información en las entidades los cuales generan pérdidas financieras y reputacionales, se crea la necesidad de implementar un Sistema de Gestión de Seguridad de la Información donde se diseñen, documenten, implementen y monitoreen controles basados en una gestión de riesgos que minimice el impacto y/o la probabilidad, a fin de mantenerlos en niveles aceptables para la entidad. El Ministerio de Ambiente y Desarrollo Sostenible decide establecer, implementar, mantener y mejorar un SGSI; es por ello necesario construir un manual de seguridad de la información donde se encuentre la normatividad, alcance, política, comité de seguridad y la metodología de gestión de riesgo del SGSI. 1. OBJETIVO Proporcionar un panorama general del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible. 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Protección de los activos de información requeridos para la Formulación, seguimiento y evaluación de políticas públicas ambientales, en la sede de Bogotá, Calle 37 No. 8 40, de acuerdo a la declaración de aplicabilidad. 3. NORMATIVIDAD El diseño e implementación del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible se basa normatividad exigida por el Ministerio de las Tecnologías de la Información y Comunicaciones en el Manual 3.1 para la Implementación de la Estrategia de Gobierno en línea para entidades del Orden Nacional. Ley 1273 de 2009 denominada Protección de la información y los datos, normas ISO 2700 Sistema de Gestión de Seguridad de la Información, ISO Guía de buenas prácticas de seguridad de la información, ISO 27005, Guía para la Gestión de los riesgos de la seguridad de la información. Página 4 de 19

5 4. POLÍTICA DEL SGSI El Ministerio de Ambiente y Desarrollo Sostenible, busca que la información de la entidad preserve su confidencialidad, disponibilidad e integridad, protegiéndola contra amenazas internas y externas, mediante una identificación, valoración, implementación de controles, monitoreo y seguimiento de los niveles de riesgo de acuerdo a la metodología de gestión de riesgos en seguridad de la información a niveles aceptables. El Ministerio de Ambiente y Desarrollo sostenible se compromete a cumplir con las disposiciones constitucionales y legales aplicables a la Entidad relacionadas con la seguridad de la información, además, a que se establezca, implemente, opere y mantenga la seguridad de la información como parte de la mejora continua de la Entidad, apoyando el logro de sus objetivos y el cumplimiento de los compromisos institucionales con: la lucha anticorrupción, lucha antipiratería, con la confidencialidad de la información, la circulación y divulgación adecuada de la información, y con el gobierno en línea. Como objetivo de la Política se tienen: Asegurar los activos de información del Ministerio de Ambiente y Desarrollo Sostenible en su confidencialidad, integridad y disponibilidad contra amenazas internas o externas, deliberadas o accidentales. Capacitar al personal de la entidad en seguridad de la información para la prevención de incidentes que afecten continuidad de las operaciones. Cumplir con legislación que aplica al Ministerio de Ambiente y Desarrollo Sostenible para prevenir sanciones por entes reguladores de acuerdo a la normatividad Colombiana vigente. La Política de Seguridad de la Información del Ministerio de Ambiente y Desarrollo sostenible será revisada al menos 1 vez al año o cuando se presenten cambios significativos en la Entidad como: Objetivos y procesos. La tecnología. Condiciones contractuales, regulatorias y legales. Página 5 de 19

6 5. TERMINOS Y DEFINICIONES Establecer las normas que se deben cumplir en cuanto a la clasificación, manejo y etiquetado de la información, con el fin de asegurar que reciba el nivel de protección adecuado de la información del MADS. Activo: recursos del sistema de información o relacionados con este, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección. Amenazas: eventos que pueden desencadenar un incidentes en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Control: Medida preventiva o correctiva ante la presencia de diferentes riesgos. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. Impacto de un activo: consecuencia sobre éste de la materialización de una amenaza Riesgo: Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el desarrollo normal de las funciones de la empresa e impidan el logro de sus objetivos. Riesgo Residual: Valor de riesgo tras la aplicación de uno o varios controles. 6. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN El comité de seguridad se encarga de definir el alcance, planificar, controlar y verificar los procesos del SGSI. El comité es primordial en la implementación del SGSI ya que es el ente que regula cualquier cambio dentro del sistema de gestión, siempre apuntando a una mejora constante. 6.1 Funciones del comité Las funciones del comité son las siguientes: Revisar periódicamente el estado general de la seguridad de la información, mínimo cada año. Revisar y monitorear los incidentes de seguridad de la información. Revisar y aprobar los proyectos de seguridad de la información. Página 6 de 19

7 Revisión y aprobación de las modificaciones o nuevas políticas de seguridad de la información del SGSI. Realizar otras actividades de alto nivel relacionadas con la seguridad de la información. Establecer proyectos espaciales para la identificación de amenazas potenciales. Evaluar la efectividad de las medidas tomadas. Elaborar un plan de formación y sensibilización. Presupuestar los recursos necesarios. Planificar auditorías internas periódicas del SGSI. Sancionar las medidas de seguridad en el procesamiento de la información. Validación jurídica de las medidas a implantar. Reportar a la alta gerencia sobre eventos e incidentes de seguridad 6.2 Cargos del comité: El comité debe estar conformado por miembros de alto nivel de los despachos, oficinas y áreas del MADS. Los cargos que hacen parte del comité se describen en la siguiente tabla: CARGOS FUNCIONES RESPONSABILIDADES Coordinador de Seguridad de la información Jefe de Control Interno Disciplinario Coordinar las acciones del Comité de Seguridad e impulsar la implementación y cumplimiento de la presente Política. Brindar Seguridad de los sistemas de información del MADS. Clasificar la información de acuerdo con el grado de sensibilidad y criticidad para la correspondiente área. Documentar y mantener actualizada la información, y definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones, perfiles y competencias. Notificar a todo el personal de sus obligaciones respecto a la verificación, desarrollo, planes y programas de auditoría en los tiempos establecidos tomando como insumo principal los diagnósticos y matrices de riesgo. Informar trimestralmente del estado de la seguridad de la información al nivel directivo del MADS. Realizar auditorías periódicas que permitan verificar el cumplimiento del SGSI. Página 7 de 19

8 Coordinador de Infraestructura Jefe Jurídico Coordinador Talento Humano Coordinador Financiero Profesional especializado (TIC) Cumplir con los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología del MADS. Verificar el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación del MADS con sus empleados y con terceros. Notificar a todo el personal de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella surjan. Presupuestar y aprobar los recursos necesarios para implantar y soportar las políticas de seguridad Conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad y procedimientos de la Información vigente del MADS. Implementación de controles técnicos en seguridad informática. Realización de asesorías en materia legal al MADS, en cuanto se refiere a la seguridad de la información. Promover la formación y concientización en materia de seguridad de la información dentro de su ámbito de responsabilidad. Realizar informes trimestrales de los recursos financieros mantener y mejorar las políticas de seguridad. Supervisión del cumplimiento según lo establecido en la política de seguridad de la Información del MADS por parte de su personal a cargo. Nota: El Jefe de Control Interno Disciplinario, Jefe Jurídico, el coordinador de Talento Humano y/o el coordinador financiero solo serán llamados a reunión de comité si es justificado tratar temas de sus correspondientes áreas. 7. METODOLOGÍA DE GESTIÓN DE RIESGOS 7.1 Objetivo El objetivo de la metodología es identificar, evaluar y tratar y monitorear los riesgos de la información en el Ministerio de Ambiente y Desarrollo Sostenible y definir los niveles aceptables de riesgo según la norma ISO/IEC Página 8 de 19

9 Establecer el marco conceptual para la gestión de activos de información y para la gestión de riesgos de seguridad de la información; contemplando la definición de las amenazas a las que están expuestos dichos activos y las vulnerabilidades que pueden ser explotadas por éstas amenazas, al igual que los impactos, probabilidades, evaluación de riesgos y verificación de los controles existentes a ser tenidos en cuenta en el análisis y evaluación de riesgos. Facilitar la implantación de una herramienta metodología para realizar un inventario de los riesgos de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible de una manera sistemática y ordenada. 7.2 Documentos de referencia Norma ISO/IEC Política del Sistema de Gestión de Seguridad de la Información. Plan de tratamiento de Riesgos. Matriz de Riesgos. 7.3 Metodología de evaluación y tratamiento de riesgos La Metodología empleada tiene un enfoque para la gestión de riesgos de cara a los activos de información identificados y valorados en el Ministerio del Ambiente y Desarrollo Sostenible y poder diseñar, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI) de la entidad Identificación y valoración de los activos de información Identificación de activos de información Según la norma ISO/IEC un activo de información es cualquier elemento que tenga valor para la organización y, en consecuencia, deba ser protegido. El primer paso es la identificación de los activos de información y debe realizarse teniendo en cuenta el alcance definido y aprobado por la alta dirección para el Sistema de Gestión de Seguridad de la información, las fuentes de identificación de los activos de información se remite a los procesos y responsables que interactúan con el alcance del SGSI, y son registrados en la Matriz de Riesgos. Actividades claves para la identificación Definir personal y agenda de entrevistas Página 9 de 19

10 Establecer la forma de recopilar y tabular la información capturada Identificación de Propietario, responsable y ubicación Los activos de información previamente identificados en el paso anterior, deben tener su respectivo Propietario, área o proceso donde se crea o custodia dicho activo; Responsable, es un funcionario perteneciente al área o proceso propietario de uno o un grupo de activos de información quien debe velar por que los controles de seguridad sean implementados; Ubicación, es el área física donde se mantiene el activo de información Clasificación de los activos de información Los activos de información serán clasificados de acuerdo a un tipo y clase en el Ministerio de Ambiente y Desarrollo Sostenible: Tipo de activo Activos de Información Puros Activos de Tecnologías de Información Clase de activo Información Digital Información Física Activos de Información intangibles Servicios de información Software Hardware de TI Activos de Información Recurso Humano Controles ambientales Empleados No Empleado Tabla 1. Clasificación de Activos de información Valoración de los activos de Información Posteriormente, cada activo de información debe ser valorado de acuerdo a su impacto en términos de la pérdida de los tres (3) principios básicos de la seguridad de la información como son la: Confidencialidad, Integridad y Disponibilidad. Página 10 de 19

11 Confidencialidad: Es la propiedad de que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Integridad: Es la propiedad de que la información sea accesible y utilizable por solicitud de un individuo o entidad autorizada cuando se requiera. Disponibilidad: Es la propiedad de salvaguardar la exactitud y estado completo de los activos de información. Partiendo de las tres (3) características de la seguridad de la información se establece la escala de calificación que contempla cinco (5) niveles de impacto: Valoración Cuantitativa Valoración Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto 5 Muy Alto Tabla 2. Confidencialidad, Integridad y Disponibilidad Confidencialidad (C): Integridad (I): Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se puede acceder por cualquier usuario Se puede acceder solo por funcionarios o contratistas de la entidad. Se puede acceder por Líderes de Proceso. Solo es posible el acceso por el comité de Gerencia. Solo es posible el acceso por la 5 Muy Alto Alta Dirección. Tabla 3. Confidencialidad Página 11 de 19

12 Escala Cuantitativa Disponibilidad (D): Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Puede ser modificado en cualquier momento y cualquier usuario Es posible la modificación por cualquier funcionario o contratista de la entidad. Es posible la modificación por Líderes de Proceso. Solo se modifica bajo autorización del comité de Gerencia. Solo se modifica con autorización 5 Muy Alto de la Alta Dirección. Tabla 4. Valoración integridad Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción El activo No está disponible por 1 semana y no afecta a la Entidad El activo No está disponible hasta por 3 días y no afecta a la Entidad El activo no puede estar no disponible por más de 1 día. El activo no puede estar no disponible por más de 4 horas. El activo debe estar disponible 5 Muy Alto siempre. Tabla 5. Valoración disponibilidad Cada activo de información será valorado en términos de Confidencialidad, Integridad y Disponibilidad. El valor del activo de información está dado por: Valor Activo = C + I + D (1) La valoración de los activos de información estará clasificada según la siguiente escala: VALOR DEL ACTIVO Clasificación Valor Muy Alto Alto Página 12 de 19

13 Medio 8-10 Bajo 5-7 Muy bajo 3-4 Tabla 7. Clasificación del Valor del Activo Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Las amenazas son de origen natural o humano y pueden ser accidentales o deliberadas, algunas amenazas pueden afectar a más de un activo generando diferentes impactos. La siguiente tabla presenta las amenazas identificadas en el Ministerio de Ambiente y Desarrollo Sostenible: Acceso no autorizado Avería de origen físico Entidades reguladoras Corte de suministro eléctrico Daños por agua Degradación de los soportes principales de almacenamiento de información Derrame de líquidos o sólidos Amenazas Virus informático y software malicioso Errores de monitorización (log s) Errores de usuarios Fallas eléctricas Fallo de comunicaciones Fenómeno natural Fuego Tabla 8. Amenazas Identificación de las vulnerabilidades Las vulnerabilidades de los activos de información son debilidades que son aprovechadas por amenazas y generan un riesgo, una vulnerabilidad que no tiene una amenaza, puede no requerir de la implementación de un control, para lo cual es necesario identificarla y monitorear. Pero es necesario dejar claro que un control mal diseñado e implementado puede constituir una vulnerabilidad. La identificación de las vulnerabilidades se basa en la realización de encuestas a los responsables de los activos de información y serán registradas en el Matriz de Riesgos Identificación de los Riesgos Página 13 de 19

14 Los riesgos identificados en el Ministerio de Ambiente y Desarrollo Sostenible, relacionados a las vulnerabilidades y amenazas de los activos de información están listados en la matriz de riesgos donde se definen y se cruzan según el activo de información que se ve afectado. Los riesgos están clasificados por: Tipo Riesgo Lógico Físico Locativo Legal Tabla 9. Tipos de Riesgo Selección de la Probabilidad de Ocurrencia La probabilidad de ocurrencia de que una amenaza explote una vulnerabilidad en un activo de información, generando un impacto en la empresa está determinada por la ponderación de dos (2) variables: Probabilidad Total = [0.30*(Probabilidad A) *(Probabilidad B)] (3) La probabilidad A esta determinada según los resultados de la encuesta realizada a los directores de área. La encuesta está separada en 3 partes: Seguridad Lógica. Seguridad Física. Seguridad Locativa. Seguridad Legal. Se realiza una encuesta con 122 preguntas en una entrevista realizada a los líderes de procesos principales de la compañía (Directores de Área) y personal de apoyo. Aspectos de seguridad evaluados en la encuesta: Seguridad Lógica: a. Control de acceso b. Manejo de la información c. Manejo del software d. Salida de información Página 14 de 19

15 e. Entrada de datos Seguridad Física f. Utilización de equipos g. Cuidado del equipo Seguridad Locativa h. Ubicación de los equipos con respecto a las instalaciones i. Ubicación de los equipos (control ambiental) Seguridad Legal j. Cumplimiento Legal Los resultados de la encuesta se determinó el nivel de seguridad en porcentaje y aplicando la fórmula: 100%-Nivel de seguridad = Probabilidad (4) Para cada encuestado se identificó las probabilidades para los cuatro (4) tipos de riesgo: Lógico, Físico, Locativo y Legal. La probabilidad B estará determinado por el responsable del proceso en base a su experiencia, de acuerdo a la estimación del riesgo asociado con la amenaza y vulnerabilidad de los activos de información, en casos que donde los riesgos identificados se hayan presentado al menos una vez en la compañía. Para los riesgos que no se han materializado, el valor de probabilidad estará sujeto a datos de referencias externas. Con los valores de probabilidad de riesgo arrojado por la encuesta y por criterio de auditor, se definen las siguientes escalas: Encuesta Criterio de Auditor 0-20% % % % % % % % % 5 >= 11 % 5 Tabla 10. Escalas de Probabilidad Con los valores de probabilidad de riesgo identificado por los responsables se define la siguiente escala: Página 15 de 19

16 Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se ha presentado una vez en la entidad en los últimos 10 años. Se ha presentado alguna vez en la entidad en los últimos 5 años. Se presenta al menos una vez al año. Se presenta con alguna frecuencia (1 vez cada trimestre) Ocurre con cierta periodicidad. (Una vez cada mes) Tabla 1. Escalas de Probabilidad 5 Muy Alto Teniendo los dos (2) valores necesarios para el cálculo de la probabilidad, se procede a aplicar la ecuación N 3, obteniendo finalmente el valor total de la probabilidad Determinar el impacto en los Activos de Información El impacto está determinado por el máximo valor de la calificación registrada en términos de la seguridad de la información (Confidencialidad, Integridad y Disponibilidad) de los activos de información Valoración del Riesgo Inherente El marco de referencia utilizado en la evaluación del riesgo para los activos es la norma ISO Para la valoración y evaluación de los riesgos se tendrán en cuenta las siguientes variables definidas anteriormente: Valor del activo (VA). Probabilidad P(a,v). Valor Impacto (IMP). Valor Riesgo = P(a,v) * Valor Impacto * Valor Activo (5) Página 16 de 19

17 Con la anterior formula se obtiene el valor del riesgo asociado a cada activo de información en términos de su confidencialidad, integridad, disponibilidad, valor económico, la probabilidad de ocurrencia y el impacto asociado al SGSI. Los rangos calculados del valor del riesgo son: Clasificación Riesgo Rango Muy Alto Alto Descripción El valor de riesgo se considera Muy Alto por tener valor de impacto, probabilidad y valor de activo considerables, por lo que es necesario implementar controles. El valor de riesgo se considera Alto, es necesario implementar controles, de acuerdo a los niveles de tratamiento aprobados por la alta dirección Medio Bajo Muy Bajo 3 76 El valor de riesgo está en un nivel aceptable Medio, de acuerdo a los niveles de aceptación de la entidad. Se debe tener monitoreado para identificar cambios en su valoración. El valor de riesgo se encuentra controlado, se recomienda revisiones periódicas. El valor de riesgo no necesita ser tratado, solo realizar revisiones periódicas. Tabla 11. Clasificación del Valor de Riesgo Identificación de controles existentes Se realiza identificación de controles documentados, implementados y monitoreados por la entidad para la gestión del riesgo. Después es necesario verificar el valor del riesgo residual y determinar si es posible aplicar un plan de tratamiento Definición de los niveles de aceptación de Riesgos Se propone como un valor de riesgo aceptable por el Ministerio de Ambiente y Desarrollo Sostenible en los siguientes rangos: Muy Bajo (3-76) Bajo (77-151) Medio ( ) Los rangos seleccionados se consideran como valores de riesgo aceptables debido a que su probabilidad de ocurrencia o su impacto son Medio o Bajo en caso de materializar una o varias amenazas. Página 17 de 19

18 7.3.3 Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Los niveles de riesgo propuestos a tratar, establecidos como rangos críticos en Ministerio de Ambiente y Desarrollo Sostenible son Alto y Muy Alto, que corresponden a las siguientes valoraciones en la matriz: Alto ( ) Muy Alto ( ) Los rangos seleccionados se eligen por que involucran la posible materialización de amenazas sobre vulnerabilidades generando riesgos en los activos de información con graves consecuencias en la entidad. Las acciones definidas para el tratamiento de los riesgos después de su evaluación son: Evitar la acción que da origen al riesgo particular. Se evalúa y determina la viabilidad de si se puede o no evitar el riesgo en la compañía mediante el impacto que esto generaría. Transferir a entidades como aseguradoras o proveedores que puedan gestionar de manera eficaz el riesgo particular, siempre que no resulte un costo superior al del riesgo mismo. Para seleccionar una tercerización de un riesgo se evalúa el costo beneficio es decir sea la opción adecuada y económica en su implementación, adicionalmente se debe verificar que el riesgo residual este en los niveles de aceptación de la compañía tras su implementación. Mitigar mediante la aplicación de controles apropiados de manera que el riesgo residual se pueda revaluar como aceptable. Aceptar con el conocimiento y objetividad, siempre que cumplan con la política de seguridad previamente establecida por la organización. Es la última decisión que se toma en el tratamiento de riesgos y aplica cuando no existe opción alternativa bien sea por costo económicos o por tiempos de implementación. Los riesgos a los cuales se decide realizar tratamiento a través de controles deben garantizar su reducción hasta un nivel aceptable se encuentra en el Plan de tratamiento de riesgos del SGSI de la entidad Preparación de planes de tratamiento Los planes de tratamiento de riesgos de seguridad de la información toman como punto de partida una breve descripción del riesgo, asociado a la vulnerabilidad identificada, se selecciona la opción de tratamiento, descripción del control a ejecutar, estableciendo los recursos (Personal y económico) necesarios para la implementación. Es necesario Página 18 de 19

19 identificar, de manera única que los controles se crucen con los descritos en el anexo A de la norma ISO/IEC 27001, finalmente establecer una fecha límite de implementación Monitoreo Se considera la última fase de la gestión de riesgos de seguridad de la información por ser aquí donde se verifica la eficacia de los controles implementados para calificar nuevamente los riesgos identificados en la matriz y obtener el riesgo residual. En general, el monitoreo de los controles debe ser continuo y periódico de acuerdo a la forma de medición establecida por el Ministerio de Ambiente y Desarrollo Sostenible. 7.4 Revisiones periódicas de la evaluación y el tratamiento de riesgos La valoración de los riesgos será revisada al menos una vez al año y teniendo en cuenta cambios en: La organización La tecnología Procesos de negocio Todo control aplicado con el fin de reducir el valor de riesgo calculado debe ser medible a través de su eficacia. La aplicación de un control no necesariamente implica la reducción total del valor de riesgo esperado sino la reducción a los niveles de riesgo aceptables establecidos por la organización. La funcionalidad de los controles debe ser constantemente evaluada; en caso de no obtener los resultados esperados se les deben aplicar las mejoras a través de una nueva aplicación de la metodología PHVA. Página 19 de 19

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015 1. Introducción Teniendo en cuenta que la administración de riesgos es estratégica para el logro de los objetivos institucionales a continuación se enuncian las principales guías o marcos de acción que

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE EVALUACIÓN DE DESEMPEÑO Versión 05 Diciembre 2008 INDICE 1 Definición

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

MANUAL DE CALIDAD ISO 9001:2008

MANUAL DE CALIDAD ISO 9001:2008 Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO

Más detalles

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría

Más detalles

Resolución N 00759 del 26 de febrero de 2008

Resolución N 00759 del 26 de febrero de 2008 UNIDAD ADMINISTRATIVA ESPECIAL DE AERONÁUTICA CIVIL MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Denominación del empleo Profesional Aeronáutico IV Nivel 33 Grado 29 No.

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Seguridad de la Información

Seguridad de la Información Gestión de Riesgos ISO 27001/27005 & ISO 31000 Seguridad de la Información Germán Castro Arévalo CROSS BORDER TECHNOLOGY Abril 15, 2013 Agenda Introducción Conceptos básicos sobre seguridad de la información

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:

Para los efectos de esta normativa se deberán considerar las siguientes definiciones: RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-7 Documento para Comentarios CAPÍTULO 20-7 PROCESAMIENTO EXTERNO DE ACTIVIDADES I. ÁMBITO DE APLICACIÓN El presente Capítulo trata de las contrataciones de

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

Mtro. Carlos Eugenio Ruíz Hernández Rector. Dr. José Radamed Vidal Alegría Secretario Académico

Mtro. Carlos Eugenio Ruíz Hernández Rector. Dr. José Radamed Vidal Alegría Secretario Académico Con fundamento en la Ley Orgánica de la Universidad Autónoma de Chiapas (Artículo 4 Fracción I, Artículo 18, Fracción III y V, Artículo 25, Fracción XIV), se expide el presente documento, el cual tiene

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos críticos del FNA.

Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos críticos del FNA. RESOLUCIÓN 237 DE 2010 (septiembre 13) Diario Oficial No. 47.840 de 22 de septiembre de 2010 FONDO NACIONAL DE AHORRO Por medio de la cual se crean Equipos Interdisciplinarios para la recuperación de procesos

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO

MANUAL DE POLITICAS DE RIESGO ESTRATEGICO MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata

Más detalles

4.11 ISO GUIDE 73, Risk management Vocabulary.

4.11 ISO GUIDE 73, Risk management Vocabulary. 4.11 ISO GUIDE 73, Risk management Vocabulary. Introducción. El estándar proporciona las definiciones de los términos genéricos relacionados con la gestión del El ISO Guide 73 promueve una base común de

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Política para la Gestión Integral de Riesgos

Política para la Gestión Integral de Riesgos Política para la Gestión Integral de Riesgos MOTIVACIÓN Como empresa responsable, ISAGEN incorpora en su gestión las prácticas que permitan asegurar su sostenibilidad, preservando los recursos empresariales

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

Las Normas ISO 9000 del 2000

Las Normas ISO 9000 del 2000 Las Normas ISO 9000 del 2000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA INTEGRAL DE ATENCIÓN A CLIENTE(A)S, USUARIO(A)S Y BENEFICIARIO(A)S

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

AUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado.

AUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado. Página 1 de 8 1. OBJETIVO Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado. 2. ALCANCE Este procedimiento es de aplicación al Sistema

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

DESCRIPCIÓN DEL CARGO

DESCRIPCIÓN DEL CARGO DESCRIPCIÓN DEL CARGO Nombre del Cargo: ESPECIALISTA EHS Y LÍDER DE DISEÑO Estructura matricial: Corporativa Área: EHS & Recursos Humanos Reporte directo: Directora de EHS y Recursos Humanos Supervisión

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Sistemas de Gestión de la Seguridad de la Información.

Sistemas de Gestión de la Seguridad de la Información. Sistemas de Gestión de la Seguridad de la Información. Implantación, y Mantenimiento de un Sistema de Gestión de la Seguridad de la Información (UNIT-ISO/IEC 27001) 1 Agenda Introducción Conceptos Fundamentales

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles