MANUAL DE SEGURIDAD DE LA INFORMACIÓN

Tamaño: px
Comenzar la demostración a partir de la página:

Download "MANUAL DE SEGURIDAD DE LA INFORMACIÓN"

Transcripción

1 MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19

2 Contenido 1. INTRODUCCIÓN OBJETIVO ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN NORMATIVIDAD POLÍTICA DEL SGSI TERMINOS Y DEFINICIONES COMITÉ DE SEGURIDAD DE LA INFORMACIÓN Funciones del comité Cargos del comité: METODOLOGÍA DE GESTIÓN DE RIESGOS Objetivo Documentos de referencia Metodología de evaluación y tratamiento de riesgos Identificación y valoración de los activos de información Identificación de activos de información Identificación de Propietario, responsable y ubicación Clasificación de los activos de información Valoración de los activos de Información Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Identificación de las vulnerabilidades Identificación de los Riesgos Selección de la Probabilidad de Ocurrencia Determinar el impacto en los Activos de Información Valoración del Riesgo Inherente Identificación de controles existentes Definición de los niveles de aceptación de Riesgos Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Preparación de planes de tratamiento Página 2 de 19

3 Monitoreo Revisiones periódicas de la evaluación y el tratamiento de riesgos Página 3 de 19

4 1. INTRODUCCIÓN Con el aumento en el número de incidentes de seguridad de la información en las entidades los cuales generan pérdidas financieras y reputacionales, se crea la necesidad de implementar un Sistema de Gestión de Seguridad de la Información donde se diseñen, documenten, implementen y monitoreen controles basados en una gestión de riesgos que minimice el impacto y/o la probabilidad, a fin de mantenerlos en niveles aceptables para la entidad. El Ministerio de Ambiente y Desarrollo Sostenible decide establecer, implementar, mantener y mejorar un SGSI; es por ello necesario construir un manual de seguridad de la información donde se encuentre la normatividad, alcance, política, comité de seguridad y la metodología de gestión de riesgo del SGSI. 1. OBJETIVO Proporcionar un panorama general del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible. 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Protección de los activos de información requeridos para la Formulación, seguimiento y evaluación de políticas públicas ambientales, en la sede de Bogotá, Calle 37 No. 8 40, de acuerdo a la declaración de aplicabilidad. 3. NORMATIVIDAD El diseño e implementación del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible se basa normatividad exigida por el Ministerio de las Tecnologías de la Información y Comunicaciones en el Manual 3.1 para la Implementación de la Estrategia de Gobierno en línea para entidades del Orden Nacional. Ley 1273 de 2009 denominada Protección de la información y los datos, normas ISO 2700 Sistema de Gestión de Seguridad de la Información, ISO Guía de buenas prácticas de seguridad de la información, ISO 27005, Guía para la Gestión de los riesgos de la seguridad de la información. Página 4 de 19

5 4. POLÍTICA DEL SGSI El Ministerio de Ambiente y Desarrollo Sostenible, busca que la información de la entidad preserve su confidencialidad, disponibilidad e integridad, protegiéndola contra amenazas internas y externas, mediante una identificación, valoración, implementación de controles, monitoreo y seguimiento de los niveles de riesgo de acuerdo a la metodología de gestión de riesgos en seguridad de la información a niveles aceptables. El Ministerio de Ambiente y Desarrollo sostenible se compromete a cumplir con las disposiciones constitucionales y legales aplicables a la Entidad relacionadas con la seguridad de la información, además, a que se establezca, implemente, opere y mantenga la seguridad de la información como parte de la mejora continua de la Entidad, apoyando el logro de sus objetivos y el cumplimiento de los compromisos institucionales con: la lucha anticorrupción, lucha antipiratería, con la confidencialidad de la información, la circulación y divulgación adecuada de la información, y con el gobierno en línea. Como objetivo de la Política se tienen: Asegurar los activos de información del Ministerio de Ambiente y Desarrollo Sostenible en su confidencialidad, integridad y disponibilidad contra amenazas internas o externas, deliberadas o accidentales. Capacitar al personal de la entidad en seguridad de la información para la prevención de incidentes que afecten continuidad de las operaciones. Cumplir con legislación que aplica al Ministerio de Ambiente y Desarrollo Sostenible para prevenir sanciones por entes reguladores de acuerdo a la normatividad Colombiana vigente. La Política de Seguridad de la Información del Ministerio de Ambiente y Desarrollo sostenible será revisada al menos 1 vez al año o cuando se presenten cambios significativos en la Entidad como: Objetivos y procesos. La tecnología. Condiciones contractuales, regulatorias y legales. Página 5 de 19

6 5. TERMINOS Y DEFINICIONES Establecer las normas que se deben cumplir en cuanto a la clasificación, manejo y etiquetado de la información, con el fin de asegurar que reciba el nivel de protección adecuado de la información del MADS. Activo: recursos del sistema de información o relacionados con este, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección. Amenazas: eventos que pueden desencadenar un incidentes en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Control: Medida preventiva o correctiva ante la presencia de diferentes riesgos. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. Impacto de un activo: consecuencia sobre éste de la materialización de una amenaza Riesgo: Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el desarrollo normal de las funciones de la empresa e impidan el logro de sus objetivos. Riesgo Residual: Valor de riesgo tras la aplicación de uno o varios controles. 6. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN El comité de seguridad se encarga de definir el alcance, planificar, controlar y verificar los procesos del SGSI. El comité es primordial en la implementación del SGSI ya que es el ente que regula cualquier cambio dentro del sistema de gestión, siempre apuntando a una mejora constante. 6.1 Funciones del comité Las funciones del comité son las siguientes: Revisar periódicamente el estado general de la seguridad de la información, mínimo cada año. Revisar y monitorear los incidentes de seguridad de la información. Revisar y aprobar los proyectos de seguridad de la información. Página 6 de 19

7 Revisión y aprobación de las modificaciones o nuevas políticas de seguridad de la información del SGSI. Realizar otras actividades de alto nivel relacionadas con la seguridad de la información. Establecer proyectos espaciales para la identificación de amenazas potenciales. Evaluar la efectividad de las medidas tomadas. Elaborar un plan de formación y sensibilización. Presupuestar los recursos necesarios. Planificar auditorías internas periódicas del SGSI. Sancionar las medidas de seguridad en el procesamiento de la información. Validación jurídica de las medidas a implantar. Reportar a la alta gerencia sobre eventos e incidentes de seguridad 6.2 Cargos del comité: El comité debe estar conformado por miembros de alto nivel de los despachos, oficinas y áreas del MADS. Los cargos que hacen parte del comité se describen en la siguiente tabla: CARGOS FUNCIONES RESPONSABILIDADES Coordinador de Seguridad de la información Jefe de Control Interno Disciplinario Coordinar las acciones del Comité de Seguridad e impulsar la implementación y cumplimiento de la presente Política. Brindar Seguridad de los sistemas de información del MADS. Clasificar la información de acuerdo con el grado de sensibilidad y criticidad para la correspondiente área. Documentar y mantener actualizada la información, y definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones, perfiles y competencias. Notificar a todo el personal de sus obligaciones respecto a la verificación, desarrollo, planes y programas de auditoría en los tiempos establecidos tomando como insumo principal los diagnósticos y matrices de riesgo. Informar trimestralmente del estado de la seguridad de la información al nivel directivo del MADS. Realizar auditorías periódicas que permitan verificar el cumplimiento del SGSI. Página 7 de 19

8 Coordinador de Infraestructura Jefe Jurídico Coordinador Talento Humano Coordinador Financiero Profesional especializado (TIC) Cumplir con los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología del MADS. Verificar el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación del MADS con sus empleados y con terceros. Notificar a todo el personal de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella surjan. Presupuestar y aprobar los recursos necesarios para implantar y soportar las políticas de seguridad Conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad y procedimientos de la Información vigente del MADS. Implementación de controles técnicos en seguridad informática. Realización de asesorías en materia legal al MADS, en cuanto se refiere a la seguridad de la información. Promover la formación y concientización en materia de seguridad de la información dentro de su ámbito de responsabilidad. Realizar informes trimestrales de los recursos financieros mantener y mejorar las políticas de seguridad. Supervisión del cumplimiento según lo establecido en la política de seguridad de la Información del MADS por parte de su personal a cargo. Nota: El Jefe de Control Interno Disciplinario, Jefe Jurídico, el coordinador de Talento Humano y/o el coordinador financiero solo serán llamados a reunión de comité si es justificado tratar temas de sus correspondientes áreas. 7. METODOLOGÍA DE GESTIÓN DE RIESGOS 7.1 Objetivo El objetivo de la metodología es identificar, evaluar y tratar y monitorear los riesgos de la información en el Ministerio de Ambiente y Desarrollo Sostenible y definir los niveles aceptables de riesgo según la norma ISO/IEC Página 8 de 19

9 Establecer el marco conceptual para la gestión de activos de información y para la gestión de riesgos de seguridad de la información; contemplando la definición de las amenazas a las que están expuestos dichos activos y las vulnerabilidades que pueden ser explotadas por éstas amenazas, al igual que los impactos, probabilidades, evaluación de riesgos y verificación de los controles existentes a ser tenidos en cuenta en el análisis y evaluación de riesgos. Facilitar la implantación de una herramienta metodología para realizar un inventario de los riesgos de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible de una manera sistemática y ordenada. 7.2 Documentos de referencia Norma ISO/IEC Política del Sistema de Gestión de Seguridad de la Información. Plan de tratamiento de Riesgos. Matriz de Riesgos. 7.3 Metodología de evaluación y tratamiento de riesgos La Metodología empleada tiene un enfoque para la gestión de riesgos de cara a los activos de información identificados y valorados en el Ministerio del Ambiente y Desarrollo Sostenible y poder diseñar, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI) de la entidad Identificación y valoración de los activos de información Identificación de activos de información Según la norma ISO/IEC un activo de información es cualquier elemento que tenga valor para la organización y, en consecuencia, deba ser protegido. El primer paso es la identificación de los activos de información y debe realizarse teniendo en cuenta el alcance definido y aprobado por la alta dirección para el Sistema de Gestión de Seguridad de la información, las fuentes de identificación de los activos de información se remite a los procesos y responsables que interactúan con el alcance del SGSI, y son registrados en la Matriz de Riesgos. Actividades claves para la identificación Definir personal y agenda de entrevistas Página 9 de 19

10 Establecer la forma de recopilar y tabular la información capturada Identificación de Propietario, responsable y ubicación Los activos de información previamente identificados en el paso anterior, deben tener su respectivo Propietario, área o proceso donde se crea o custodia dicho activo; Responsable, es un funcionario perteneciente al área o proceso propietario de uno o un grupo de activos de información quien debe velar por que los controles de seguridad sean implementados; Ubicación, es el área física donde se mantiene el activo de información Clasificación de los activos de información Los activos de información serán clasificados de acuerdo a un tipo y clase en el Ministerio de Ambiente y Desarrollo Sostenible: Tipo de activo Activos de Información Puros Activos de Tecnologías de Información Clase de activo Información Digital Información Física Activos de Información intangibles Servicios de información Software Hardware de TI Activos de Información Recurso Humano Controles ambientales Empleados No Empleado Tabla 1. Clasificación de Activos de información Valoración de los activos de Información Posteriormente, cada activo de información debe ser valorado de acuerdo a su impacto en términos de la pérdida de los tres (3) principios básicos de la seguridad de la información como son la: Confidencialidad, Integridad y Disponibilidad. Página 10 de 19

11 Confidencialidad: Es la propiedad de que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Integridad: Es la propiedad de que la información sea accesible y utilizable por solicitud de un individuo o entidad autorizada cuando se requiera. Disponibilidad: Es la propiedad de salvaguardar la exactitud y estado completo de los activos de información. Partiendo de las tres (3) características de la seguridad de la información se establece la escala de calificación que contempla cinco (5) niveles de impacto: Valoración Cuantitativa Valoración Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto 5 Muy Alto Tabla 2. Confidencialidad, Integridad y Disponibilidad Confidencialidad (C): Integridad (I): Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se puede acceder por cualquier usuario Se puede acceder solo por funcionarios o contratistas de la entidad. Se puede acceder por Líderes de Proceso. Solo es posible el acceso por el comité de Gerencia. Solo es posible el acceso por la 5 Muy Alto Alta Dirección. Tabla 3. Confidencialidad Página 11 de 19

12 Escala Cuantitativa Disponibilidad (D): Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Puede ser modificado en cualquier momento y cualquier usuario Es posible la modificación por cualquier funcionario o contratista de la entidad. Es posible la modificación por Líderes de Proceso. Solo se modifica bajo autorización del comité de Gerencia. Solo se modifica con autorización 5 Muy Alto de la Alta Dirección. Tabla 4. Valoración integridad Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción El activo No está disponible por 1 semana y no afecta a la Entidad El activo No está disponible hasta por 3 días y no afecta a la Entidad El activo no puede estar no disponible por más de 1 día. El activo no puede estar no disponible por más de 4 horas. El activo debe estar disponible 5 Muy Alto siempre. Tabla 5. Valoración disponibilidad Cada activo de información será valorado en términos de Confidencialidad, Integridad y Disponibilidad. El valor del activo de información está dado por: Valor Activo = C + I + D (1) La valoración de los activos de información estará clasificada según la siguiente escala: VALOR DEL ACTIVO Clasificación Valor Muy Alto Alto Página 12 de 19

13 Medio 8-10 Bajo 5-7 Muy bajo 3-4 Tabla 7. Clasificación del Valor del Activo Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Las amenazas son de origen natural o humano y pueden ser accidentales o deliberadas, algunas amenazas pueden afectar a más de un activo generando diferentes impactos. La siguiente tabla presenta las amenazas identificadas en el Ministerio de Ambiente y Desarrollo Sostenible: Acceso no autorizado Avería de origen físico Entidades reguladoras Corte de suministro eléctrico Daños por agua Degradación de los soportes principales de almacenamiento de información Derrame de líquidos o sólidos Amenazas Virus informático y software malicioso Errores de monitorización (log s) Errores de usuarios Fallas eléctricas Fallo de comunicaciones Fenómeno natural Fuego Tabla 8. Amenazas Identificación de las vulnerabilidades Las vulnerabilidades de los activos de información son debilidades que son aprovechadas por amenazas y generan un riesgo, una vulnerabilidad que no tiene una amenaza, puede no requerir de la implementación de un control, para lo cual es necesario identificarla y monitorear. Pero es necesario dejar claro que un control mal diseñado e implementado puede constituir una vulnerabilidad. La identificación de las vulnerabilidades se basa en la realización de encuestas a los responsables de los activos de información y serán registradas en el Matriz de Riesgos Identificación de los Riesgos Página 13 de 19

14 Los riesgos identificados en el Ministerio de Ambiente y Desarrollo Sostenible, relacionados a las vulnerabilidades y amenazas de los activos de información están listados en la matriz de riesgos donde se definen y se cruzan según el activo de información que se ve afectado. Los riesgos están clasificados por: Tipo Riesgo Lógico Físico Locativo Legal Tabla 9. Tipos de Riesgo Selección de la Probabilidad de Ocurrencia La probabilidad de ocurrencia de que una amenaza explote una vulnerabilidad en un activo de información, generando un impacto en la empresa está determinada por la ponderación de dos (2) variables: Probabilidad Total = [0.30*(Probabilidad A) *(Probabilidad B)] (3) La probabilidad A esta determinada según los resultados de la encuesta realizada a los directores de área. La encuesta está separada en 3 partes: Seguridad Lógica. Seguridad Física. Seguridad Locativa. Seguridad Legal. Se realiza una encuesta con 122 preguntas en una entrevista realizada a los líderes de procesos principales de la compañía (Directores de Área) y personal de apoyo. Aspectos de seguridad evaluados en la encuesta: Seguridad Lógica: a. Control de acceso b. Manejo de la información c. Manejo del software d. Salida de información Página 14 de 19

15 e. Entrada de datos Seguridad Física f. Utilización de equipos g. Cuidado del equipo Seguridad Locativa h. Ubicación de los equipos con respecto a las instalaciones i. Ubicación de los equipos (control ambiental) Seguridad Legal j. Cumplimiento Legal Los resultados de la encuesta se determinó el nivel de seguridad en porcentaje y aplicando la fórmula: 100%-Nivel de seguridad = Probabilidad (4) Para cada encuestado se identificó las probabilidades para los cuatro (4) tipos de riesgo: Lógico, Físico, Locativo y Legal. La probabilidad B estará determinado por el responsable del proceso en base a su experiencia, de acuerdo a la estimación del riesgo asociado con la amenaza y vulnerabilidad de los activos de información, en casos que donde los riesgos identificados se hayan presentado al menos una vez en la compañía. Para los riesgos que no se han materializado, el valor de probabilidad estará sujeto a datos de referencias externas. Con los valores de probabilidad de riesgo arrojado por la encuesta y por criterio de auditor, se definen las siguientes escalas: Encuesta Criterio de Auditor 0-20% % % % % % % % % 5 >= 11 % 5 Tabla 10. Escalas de Probabilidad Con los valores de probabilidad de riesgo identificado por los responsables se define la siguiente escala: Página 15 de 19

16 Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se ha presentado una vez en la entidad en los últimos 10 años. Se ha presentado alguna vez en la entidad en los últimos 5 años. Se presenta al menos una vez al año. Se presenta con alguna frecuencia (1 vez cada trimestre) Ocurre con cierta periodicidad. (Una vez cada mes) Tabla 1. Escalas de Probabilidad 5 Muy Alto Teniendo los dos (2) valores necesarios para el cálculo de la probabilidad, se procede a aplicar la ecuación N 3, obteniendo finalmente el valor total de la probabilidad Determinar el impacto en los Activos de Información El impacto está determinado por el máximo valor de la calificación registrada en términos de la seguridad de la información (Confidencialidad, Integridad y Disponibilidad) de los activos de información Valoración del Riesgo Inherente El marco de referencia utilizado en la evaluación del riesgo para los activos es la norma ISO Para la valoración y evaluación de los riesgos se tendrán en cuenta las siguientes variables definidas anteriormente: Valor del activo (VA). Probabilidad P(a,v). Valor Impacto (IMP). Valor Riesgo = P(a,v) * Valor Impacto * Valor Activo (5) Página 16 de 19

17 Con la anterior formula se obtiene el valor del riesgo asociado a cada activo de información en términos de su confidencialidad, integridad, disponibilidad, valor económico, la probabilidad de ocurrencia y el impacto asociado al SGSI. Los rangos calculados del valor del riesgo son: Clasificación Riesgo Rango Muy Alto Alto Descripción El valor de riesgo se considera Muy Alto por tener valor de impacto, probabilidad y valor de activo considerables, por lo que es necesario implementar controles. El valor de riesgo se considera Alto, es necesario implementar controles, de acuerdo a los niveles de tratamiento aprobados por la alta dirección Medio Bajo Muy Bajo 3 76 El valor de riesgo está en un nivel aceptable Medio, de acuerdo a los niveles de aceptación de la entidad. Se debe tener monitoreado para identificar cambios en su valoración. El valor de riesgo se encuentra controlado, se recomienda revisiones periódicas. El valor de riesgo no necesita ser tratado, solo realizar revisiones periódicas. Tabla 11. Clasificación del Valor de Riesgo Identificación de controles existentes Se realiza identificación de controles documentados, implementados y monitoreados por la entidad para la gestión del riesgo. Después es necesario verificar el valor del riesgo residual y determinar si es posible aplicar un plan de tratamiento Definición de los niveles de aceptación de Riesgos Se propone como un valor de riesgo aceptable por el Ministerio de Ambiente y Desarrollo Sostenible en los siguientes rangos: Muy Bajo (3-76) Bajo (77-151) Medio ( ) Los rangos seleccionados se consideran como valores de riesgo aceptables debido a que su probabilidad de ocurrencia o su impacto son Medio o Bajo en caso de materializar una o varias amenazas. Página 17 de 19

18 7.3.3 Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Los niveles de riesgo propuestos a tratar, establecidos como rangos críticos en Ministerio de Ambiente y Desarrollo Sostenible son Alto y Muy Alto, que corresponden a las siguientes valoraciones en la matriz: Alto ( ) Muy Alto ( ) Los rangos seleccionados se eligen por que involucran la posible materialización de amenazas sobre vulnerabilidades generando riesgos en los activos de información con graves consecuencias en la entidad. Las acciones definidas para el tratamiento de los riesgos después de su evaluación son: Evitar la acción que da origen al riesgo particular. Se evalúa y determina la viabilidad de si se puede o no evitar el riesgo en la compañía mediante el impacto que esto generaría. Transferir a entidades como aseguradoras o proveedores que puedan gestionar de manera eficaz el riesgo particular, siempre que no resulte un costo superior al del riesgo mismo. Para seleccionar una tercerización de un riesgo se evalúa el costo beneficio es decir sea la opción adecuada y económica en su implementación, adicionalmente se debe verificar que el riesgo residual este en los niveles de aceptación de la compañía tras su implementación. Mitigar mediante la aplicación de controles apropiados de manera que el riesgo residual se pueda revaluar como aceptable. Aceptar con el conocimiento y objetividad, siempre que cumplan con la política de seguridad previamente establecida por la organización. Es la última decisión que se toma en el tratamiento de riesgos y aplica cuando no existe opción alternativa bien sea por costo económicos o por tiempos de implementación. Los riesgos a los cuales se decide realizar tratamiento a través de controles deben garantizar su reducción hasta un nivel aceptable se encuentra en el Plan de tratamiento de riesgos del SGSI de la entidad Preparación de planes de tratamiento Los planes de tratamiento de riesgos de seguridad de la información toman como punto de partida una breve descripción del riesgo, asociado a la vulnerabilidad identificada, se selecciona la opción de tratamiento, descripción del control a ejecutar, estableciendo los recursos (Personal y económico) necesarios para la implementación. Es necesario Página 18 de 19

19 identificar, de manera única que los controles se crucen con los descritos en el anexo A de la norma ISO/IEC 27001, finalmente establecer una fecha límite de implementación Monitoreo Se considera la última fase de la gestión de riesgos de seguridad de la información por ser aquí donde se verifica la eficacia de los controles implementados para calificar nuevamente los riesgos identificados en la matriz y obtener el riesgo residual. En general, el monitoreo de los controles debe ser continuo y periódico de acuerdo a la forma de medición establecida por el Ministerio de Ambiente y Desarrollo Sostenible. 7.4 Revisiones periódicas de la evaluación y el tratamiento de riesgos La valoración de los riesgos será revisada al menos una vez al año y teniendo en cuenta cambios en: La organización La tecnología Procesos de negocio Todo control aplicado con el fin de reducir el valor de riesgo calculado debe ser medible a través de su eficacia. La aplicación de un control no necesariamente implica la reducción total del valor de riesgo esperado sino la reducción a los niveles de riesgo aceptables establecidos por la organización. La funcionalidad de los controles debe ser constantemente evaluada; en caso de no obtener los resultados esperados se les deben aplicar las mejoras a través de una nueva aplicación de la metodología PHVA. Página 19 de 19

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015 1. Introducción Teniendo en cuenta que la administración de riesgos es estratégica para el logro de los objetivos institucionales a continuación se enuncian las principales guías o marcos de acción que

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

Seguridad de la Información

Seguridad de la Información Gestión de Riesgos ISO 27001/27005 & ISO 31000 Seguridad de la Información Germán Castro Arévalo CROSS BORDER TECHNOLOGY Abril 15, 2013 Agenda Introducción Conceptos básicos sobre seguridad de la información

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría

Más detalles

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO CAMARA DE COMERCIO SEVILLA Sistema Integrado de Gestión de la Calidad MANUAL DEL SISTEMA DE GESTION DE RIESGO Fecha Junio del 2015 Página 1 de 24 OBJETIVO Establecer la metodología para la gestión de los

Más detalles

Gestiones de Seguridad de la Información en las Organizaciones

Gestiones de Seguridad de la Información en las Organizaciones 1 Gestiones de Seguridad de la Información en las Organizaciones Cárdenas, Fabián. fabian.cardenas@novasec.co, Resumen En este contenido, se presenta una propuesta para visualizar y organizar de mejor

Más detalles

LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0

LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0 LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0 LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0. Ministerio de Tecnologías de la Información

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

SEGUIMIENTO INSTITUCIONAL Bucaramanga

SEGUIMIENTO INSTITUCIONAL Bucaramanga SEGUIMIENTO INSTITUCIONAL Bucaramanga Enero de 2015 Revisó Director Control Interno y Evaluación de Gestión Aprobó: Rector Página: 2 de 20 Fecha de Aprobación: Marzo 11 de 2009 Resolución Nº 370 CONTENIDO

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

Política para la Gestión Integral de Riesgos

Política para la Gestión Integral de Riesgos Política para la Gestión Integral de Riesgos MOTIVACIÓN Como empresa responsable, ISAGEN incorpora en su gestión las prácticas que permitan asegurar su sostenibilidad, preservando los recursos empresariales

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec

Más detalles

Política S y SO documentada Saber quien o quienes es la alta gerencia, organigrama) Evidencia de autorización por la alta gerencia

Política S y SO documentada Saber quien o quienes es la alta gerencia, organigrama) Evidencia de autorización por la alta gerencia SISTEMAS DE GESTIÓN EN SEGURIDAD Y SALUD OCUPACIONAL Fuentes Probables Evidencia Requisitos OHSAS 18001 Preguntas de Auditoría Objetiva 4.2 Política de Seguridad y Salud Ocupacional Conclusiones Debe existir

Más detalles

Datos P oc o eso I f n or o ma m ció i n

Datos P oc o eso I f n or o ma m ció i n Como ayuda la ISO/IEC 27001 a la seguridad de información Ing. Evelyn Antón CISA, CISM, CGEIT ISACA Capítulo Montevideo URUGUAY Agenda Introducción Datos de actualidad Norma ISO/IEC 27001 Catálogo de Controles

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

PROCEDIMIENTO PARA EFECTUAR LA REVISIÓN POR LA DIRECCIÓN NTC ISO 9001: 2000. VERSIÓN No. 3.0. Fecha:

PROCEDIMIENTO PARA EFECTUAR LA REVISIÓN POR LA DIRECCIÓN NTC ISO 9001: 2000. VERSIÓN No. 3.0. Fecha: NTC ISO 9001: 2000 Fecha: ELABORADO POR: Profesional Universitario ANA ESTHER TOVAR PORRAS Dirección de Planeación CARGO NOMBRE FIRMA REVISADO POR: Contralor Auxiliar ERNESTO TUTA ALARCON CARGO NOMBRE

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

MAPA DE RIESGO INSTITUCIONAL

MAPA DE RIESGO INSTITUCIONAL MAPA DE RIESGO INSTITUCIONAL SANTOS EDUARDO SUAREZ MONTAÑO 2008-2011 INTRODUCCIÒN La Administración pública introdujo el concepto de administración de riesgo en las entidades del Estado, considerando la

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 55 Miércoles 5 de marzo de 2014 Sec. III. Pág. 21241 III. OTRAS DISPOSICIONES MINISTERIO DE SANIDAD, SERVICIOS SOCIALES E IGUALDAD 2378 Orden SSI/321/2014, de 26 de febrero, por la que se aprueba

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 2015 SISTEMA INTEGRADO DE MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 1 SISTEMA INTEGRADO DE CONTENIDO 1. INTRODUCCIÓN...

Más detalles

AUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado.

AUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado. Página 1 de 8 1. OBJETIVO Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado. 2. ALCANCE Este procedimiento es de aplicación al Sistema

Más detalles

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública

Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública Implantación de un sistema de gestión de la seguridad de la información y certificación ISO 27001 en la Administración Pública TECNIMAP 2010 Manuel Cabrera Silva José María Vinagre Bachiller Paul Jabbour

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2

SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2 SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2 ÍNDICE Introducción... 3 Capitulo 1.... 4 Capítulo 2: Políticas de Riesgo Operacional... 5 Capítulo 3: Procedimientos... 9 Capítulo 4: Responsabilidades...

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

Tenemos que tener en cuenta que los principales objetivos del ENS son:

Tenemos que tener en cuenta que los principales objetivos del ENS son: Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de

Más detalles

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015

Entendiendo los SGSI. De la norma a la obtención de beneficios. Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015 Índice 1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación 2 ISO27001

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

ESTÁNDAR ISO/IEC INTERNACIONAL 27001

ESTÁNDAR ISO/IEC INTERNACIONAL 27001 ESTÁNDAR ISO/IEC INTERNACIONAL 27001 Primera Edicion 2005-10 - 15 Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la información Requerimientos Numero de Referencia

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Estamos CERCA de ti, para que llegues LEJOS

Estamos CERCA de ti, para que llegues LEJOS Estamos CERCA de ti, para que llegues LEJOS NMX-SASST-001-IMNC-2008/OHSAS 18001:2007 Introducción La tendencia hacia un mercado global y sus correspondientes desafíos hace que muchas organizaciones, especialmente

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

La ventaja competitiva de certificarse en seguridad

La ventaja competitiva de certificarse en seguridad especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión

Más detalles

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco?

Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS

ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS ESTRUCTURA ORGANIZACIONAL EN LA GESTION DE RIESGOS El área de riesgos sirve como soporte en la gestión de los diferentes riesgos al Comité de Riesgos y a la junta directiva, y tiene como objeto identificar,

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Trabajo final de Máster

Trabajo final de Máster MÁSTER INTERUNIVERSITARIO EN SEGURIDAD DE LAS TIC Trabajo final de Máster Actualización del Sistema de Gestión de Seguridad de la Información de una empresa a la norma ISO/IEC Fase 5 Auditoria de cumplimiento

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

MANUAL DE CALIDAD ISO 9001:2008

MANUAL DE CALIDAD ISO 9001:2008 Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO

Más detalles

DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA UNA ENTIDAD FINANCIERA DE SEGUNDO PISO

DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA UNA ENTIDAD FINANCIERA DE SEGUNDO PISO DISEÑO DE UN SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION PARA UNA ENTIDAD FINANCIERA DE SEGUNDO PISO TRABAJO DE GRADO CARLOS ALBERTO GUZMAN SILVA COD. 1412010642 INSTITUCIÓN UNIVERSITARIA POLITÉCNICO

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles