MANUAL DE SEGURIDAD DE LA INFORMACIÓN

Save this PDF as:

Tamaño: px
Comenzar la demostración a partir de la página:

Download "MANUAL DE SEGURIDAD DE LA INFORMACIÓN"

Transcripción

1 MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19

2 Contenido 1. INTRODUCCIÓN OBJETIVO ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN NORMATIVIDAD POLÍTICA DEL SGSI TERMINOS Y DEFINICIONES COMITÉ DE SEGURIDAD DE LA INFORMACIÓN Funciones del comité Cargos del comité: METODOLOGÍA DE GESTIÓN DE RIESGOS Objetivo Documentos de referencia Metodología de evaluación y tratamiento de riesgos Identificación y valoración de los activos de información Identificación de activos de información Identificación de Propietario, responsable y ubicación Clasificación de los activos de información Valoración de los activos de Información Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Identificación de las vulnerabilidades Identificación de los Riesgos Selección de la Probabilidad de Ocurrencia Determinar el impacto en los Activos de Información Valoración del Riesgo Inherente Identificación de controles existentes Definición de los niveles de aceptación de Riesgos Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Preparación de planes de tratamiento Página 2 de 19

3 Monitoreo Revisiones periódicas de la evaluación y el tratamiento de riesgos Página 3 de 19

4 1. INTRODUCCIÓN Con el aumento en el número de incidentes de seguridad de la información en las entidades los cuales generan pérdidas financieras y reputacionales, se crea la necesidad de implementar un Sistema de Gestión de Seguridad de la Información donde se diseñen, documenten, implementen y monitoreen controles basados en una gestión de riesgos que minimice el impacto y/o la probabilidad, a fin de mantenerlos en niveles aceptables para la entidad. El Ministerio de Ambiente y Desarrollo Sostenible decide establecer, implementar, mantener y mejorar un SGSI; es por ello necesario construir un manual de seguridad de la información donde se encuentre la normatividad, alcance, política, comité de seguridad y la metodología de gestión de riesgo del SGSI. 1. OBJETIVO Proporcionar un panorama general del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible. 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Protección de los activos de información requeridos para la Formulación, seguimiento y evaluación de políticas públicas ambientales, en la sede de Bogotá, Calle 37 No. 8 40, de acuerdo a la declaración de aplicabilidad. 3. NORMATIVIDAD El diseño e implementación del Sistema de Gestión de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible se basa normatividad exigida por el Ministerio de las Tecnologías de la Información y Comunicaciones en el Manual 3.1 para la Implementación de la Estrategia de Gobierno en línea para entidades del Orden Nacional. Ley 1273 de 2009 denominada Protección de la información y los datos, normas ISO 2700 Sistema de Gestión de Seguridad de la Información, ISO Guía de buenas prácticas de seguridad de la información, ISO 27005, Guía para la Gestión de los riesgos de la seguridad de la información. Página 4 de 19

5 4. POLÍTICA DEL SGSI El Ministerio de Ambiente y Desarrollo Sostenible, busca que la información de la entidad preserve su confidencialidad, disponibilidad e integridad, protegiéndola contra amenazas internas y externas, mediante una identificación, valoración, implementación de controles, monitoreo y seguimiento de los niveles de riesgo de acuerdo a la metodología de gestión de riesgos en seguridad de la información a niveles aceptables. El Ministerio de Ambiente y Desarrollo sostenible se compromete a cumplir con las disposiciones constitucionales y legales aplicables a la Entidad relacionadas con la seguridad de la información, además, a que se establezca, implemente, opere y mantenga la seguridad de la información como parte de la mejora continua de la Entidad, apoyando el logro de sus objetivos y el cumplimiento de los compromisos institucionales con: la lucha anticorrupción, lucha antipiratería, con la confidencialidad de la información, la circulación y divulgación adecuada de la información, y con el gobierno en línea. Como objetivo de la Política se tienen: Asegurar los activos de información del Ministerio de Ambiente y Desarrollo Sostenible en su confidencialidad, integridad y disponibilidad contra amenazas internas o externas, deliberadas o accidentales. Capacitar al personal de la entidad en seguridad de la información para la prevención de incidentes que afecten continuidad de las operaciones. Cumplir con legislación que aplica al Ministerio de Ambiente y Desarrollo Sostenible para prevenir sanciones por entes reguladores de acuerdo a la normatividad Colombiana vigente. La Política de Seguridad de la Información del Ministerio de Ambiente y Desarrollo sostenible será revisada al menos 1 vez al año o cuando se presenten cambios significativos en la Entidad como: Objetivos y procesos. La tecnología. Condiciones contractuales, regulatorias y legales. Página 5 de 19

6 5. TERMINOS Y DEFINICIONES Establecer las normas que se deben cumplir en cuanto a la clasificación, manejo y etiquetado de la información, con el fin de asegurar que reciba el nivel de protección adecuado de la información del MADS. Activo: recursos del sistema de información o relacionados con este, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por la dirección. Amenazas: eventos que pueden desencadenar un incidentes en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Control: Medida preventiva o correctiva ante la presencia de diferentes riesgos. Vulnerabilidad de un activo: potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo. Impacto de un activo: consecuencia sobre éste de la materialización de una amenaza Riesgo: Toda posibilidad de ocurrencia de aquella situación que pueda entorpecer el desarrollo normal de las funciones de la empresa e impidan el logro de sus objetivos. Riesgo Residual: Valor de riesgo tras la aplicación de uno o varios controles. 6. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN El comité de seguridad se encarga de definir el alcance, planificar, controlar y verificar los procesos del SGSI. El comité es primordial en la implementación del SGSI ya que es el ente que regula cualquier cambio dentro del sistema de gestión, siempre apuntando a una mejora constante. 6.1 Funciones del comité Las funciones del comité son las siguientes: Revisar periódicamente el estado general de la seguridad de la información, mínimo cada año. Revisar y monitorear los incidentes de seguridad de la información. Revisar y aprobar los proyectos de seguridad de la información. Página 6 de 19

7 Revisión y aprobación de las modificaciones o nuevas políticas de seguridad de la información del SGSI. Realizar otras actividades de alto nivel relacionadas con la seguridad de la información. Establecer proyectos espaciales para la identificación de amenazas potenciales. Evaluar la efectividad de las medidas tomadas. Elaborar un plan de formación y sensibilización. Presupuestar los recursos necesarios. Planificar auditorías internas periódicas del SGSI. Sancionar las medidas de seguridad en el procesamiento de la información. Validación jurídica de las medidas a implantar. Reportar a la alta gerencia sobre eventos e incidentes de seguridad 6.2 Cargos del comité: El comité debe estar conformado por miembros de alto nivel de los despachos, oficinas y áreas del MADS. Los cargos que hacen parte del comité se describen en la siguiente tabla: CARGOS FUNCIONES RESPONSABILIDADES Coordinador de Seguridad de la información Jefe de Control Interno Disciplinario Coordinar las acciones del Comité de Seguridad e impulsar la implementación y cumplimiento de la presente Política. Brindar Seguridad de los sistemas de información del MADS. Clasificar la información de acuerdo con el grado de sensibilidad y criticidad para la correspondiente área. Documentar y mantener actualizada la información, y definir qué usuarios deberán tener permisos de acceso a la información de acuerdo a sus funciones, perfiles y competencias. Notificar a todo el personal de sus obligaciones respecto a la verificación, desarrollo, planes y programas de auditoría en los tiempos establecidos tomando como insumo principal los diagnósticos y matrices de riesgo. Informar trimestralmente del estado de la seguridad de la información al nivel directivo del MADS. Realizar auditorías periódicas que permitan verificar el cumplimiento del SGSI. Página 7 de 19

8 Coordinador de Infraestructura Jefe Jurídico Coordinador Talento Humano Coordinador Financiero Profesional especializado (TIC) Cumplir con los requerimientos de seguridad informática establecidos para la operación, administración y comunicación de los sistemas y recursos de tecnología del MADS. Verificar el cumplimiento de la presente Política en la gestión de todos los contratos, acuerdos u otra documentación del MADS con sus empleados y con terceros. Notificar a todo el personal de sus obligaciones respecto del cumplimiento de la Política de Seguridad de la Información y de todas las normas, procedimientos y prácticas que de ella surjan. Presupuestar y aprobar los recursos necesarios para implantar y soportar las políticas de seguridad Conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad y procedimientos de la Información vigente del MADS. Implementación de controles técnicos en seguridad informática. Realización de asesorías en materia legal al MADS, en cuanto se refiere a la seguridad de la información. Promover la formación y concientización en materia de seguridad de la información dentro de su ámbito de responsabilidad. Realizar informes trimestrales de los recursos financieros mantener y mejorar las políticas de seguridad. Supervisión del cumplimiento según lo establecido en la política de seguridad de la Información del MADS por parte de su personal a cargo. Nota: El Jefe de Control Interno Disciplinario, Jefe Jurídico, el coordinador de Talento Humano y/o el coordinador financiero solo serán llamados a reunión de comité si es justificado tratar temas de sus correspondientes áreas. 7. METODOLOGÍA DE GESTIÓN DE RIESGOS 7.1 Objetivo El objetivo de la metodología es identificar, evaluar y tratar y monitorear los riesgos de la información en el Ministerio de Ambiente y Desarrollo Sostenible y definir los niveles aceptables de riesgo según la norma ISO/IEC Página 8 de 19

9 Establecer el marco conceptual para la gestión de activos de información y para la gestión de riesgos de seguridad de la información; contemplando la definición de las amenazas a las que están expuestos dichos activos y las vulnerabilidades que pueden ser explotadas por éstas amenazas, al igual que los impactos, probabilidades, evaluación de riesgos y verificación de los controles existentes a ser tenidos en cuenta en el análisis y evaluación de riesgos. Facilitar la implantación de una herramienta metodología para realizar un inventario de los riesgos de Seguridad de la Información del Ministerio de Ambiente y Desarrollo Sostenible de una manera sistemática y ordenada. 7.2 Documentos de referencia Norma ISO/IEC Política del Sistema de Gestión de Seguridad de la Información. Plan de tratamiento de Riesgos. Matriz de Riesgos. 7.3 Metodología de evaluación y tratamiento de riesgos La Metodología empleada tiene un enfoque para la gestión de riesgos de cara a los activos de información identificados y valorados en el Ministerio del Ambiente y Desarrollo Sostenible y poder diseñar, implementar, mantener y mejorar el Sistema de Gestión de Seguridad de la Información (SGSI) de la entidad Identificación y valoración de los activos de información Identificación de activos de información Según la norma ISO/IEC un activo de información es cualquier elemento que tenga valor para la organización y, en consecuencia, deba ser protegido. El primer paso es la identificación de los activos de información y debe realizarse teniendo en cuenta el alcance definido y aprobado por la alta dirección para el Sistema de Gestión de Seguridad de la información, las fuentes de identificación de los activos de información se remite a los procesos y responsables que interactúan con el alcance del SGSI, y son registrados en la Matriz de Riesgos. Actividades claves para la identificación Definir personal y agenda de entrevistas Página 9 de 19

10 Establecer la forma de recopilar y tabular la información capturada Identificación de Propietario, responsable y ubicación Los activos de información previamente identificados en el paso anterior, deben tener su respectivo Propietario, área o proceso donde se crea o custodia dicho activo; Responsable, es un funcionario perteneciente al área o proceso propietario de uno o un grupo de activos de información quien debe velar por que los controles de seguridad sean implementados; Ubicación, es el área física donde se mantiene el activo de información Clasificación de los activos de información Los activos de información serán clasificados de acuerdo a un tipo y clase en el Ministerio de Ambiente y Desarrollo Sostenible: Tipo de activo Activos de Información Puros Activos de Tecnologías de Información Clase de activo Información Digital Información Física Activos de Información intangibles Servicios de información Software Hardware de TI Activos de Información Recurso Humano Controles ambientales Empleados No Empleado Tabla 1. Clasificación de Activos de información Valoración de los activos de Información Posteriormente, cada activo de información debe ser valorado de acuerdo a su impacto en términos de la pérdida de los tres (3) principios básicos de la seguridad de la información como son la: Confidencialidad, Integridad y Disponibilidad. Página 10 de 19

11 Confidencialidad: Es la propiedad de que la información no esté disponible ni sea revelada a individuos, entidades o procesos no autorizados. Integridad: Es la propiedad de que la información sea accesible y utilizable por solicitud de un individuo o entidad autorizada cuando se requiera. Disponibilidad: Es la propiedad de salvaguardar la exactitud y estado completo de los activos de información. Partiendo de las tres (3) características de la seguridad de la información se establece la escala de calificación que contempla cinco (5) niveles de impacto: Valoración Cuantitativa Valoración Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto 5 Muy Alto Tabla 2. Confidencialidad, Integridad y Disponibilidad Confidencialidad (C): Integridad (I): Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se puede acceder por cualquier usuario Se puede acceder solo por funcionarios o contratistas de la entidad. Se puede acceder por Líderes de Proceso. Solo es posible el acceso por el comité de Gerencia. Solo es posible el acceso por la 5 Muy Alto Alta Dirección. Tabla 3. Confidencialidad Página 11 de 19

12 Escala Cuantitativa Disponibilidad (D): Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Puede ser modificado en cualquier momento y cualquier usuario Es posible la modificación por cualquier funcionario o contratista de la entidad. Es posible la modificación por Líderes de Proceso. Solo se modifica bajo autorización del comité de Gerencia. Solo se modifica con autorización 5 Muy Alto de la Alta Dirección. Tabla 4. Valoración integridad Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción El activo No está disponible por 1 semana y no afecta a la Entidad El activo No está disponible hasta por 3 días y no afecta a la Entidad El activo no puede estar no disponible por más de 1 día. El activo no puede estar no disponible por más de 4 horas. El activo debe estar disponible 5 Muy Alto siempre. Tabla 5. Valoración disponibilidad Cada activo de información será valorado en términos de Confidencialidad, Integridad y Disponibilidad. El valor del activo de información está dado por: Valor Activo = C + I + D (1) La valoración de los activos de información estará clasificada según la siguiente escala: VALOR DEL ACTIVO Clasificación Valor Muy Alto Alto Página 12 de 19

13 Medio 8-10 Bajo 5-7 Muy bajo 3-4 Tabla 7. Clasificación del Valor del Activo Análisis y Evaluación de Riesgos de Seguridad de la Información Identificación de las amenazas Las amenazas son de origen natural o humano y pueden ser accidentales o deliberadas, algunas amenazas pueden afectar a más de un activo generando diferentes impactos. La siguiente tabla presenta las amenazas identificadas en el Ministerio de Ambiente y Desarrollo Sostenible: Acceso no autorizado Avería de origen físico Entidades reguladoras Corte de suministro eléctrico Daños por agua Degradación de los soportes principales de almacenamiento de información Derrame de líquidos o sólidos Amenazas Virus informático y software malicioso Errores de monitorización (log s) Errores de usuarios Fallas eléctricas Fallo de comunicaciones Fenómeno natural Fuego Tabla 8. Amenazas Identificación de las vulnerabilidades Las vulnerabilidades de los activos de información son debilidades que son aprovechadas por amenazas y generan un riesgo, una vulnerabilidad que no tiene una amenaza, puede no requerir de la implementación de un control, para lo cual es necesario identificarla y monitorear. Pero es necesario dejar claro que un control mal diseñado e implementado puede constituir una vulnerabilidad. La identificación de las vulnerabilidades se basa en la realización de encuestas a los responsables de los activos de información y serán registradas en el Matriz de Riesgos Identificación de los Riesgos Página 13 de 19

14 Los riesgos identificados en el Ministerio de Ambiente y Desarrollo Sostenible, relacionados a las vulnerabilidades y amenazas de los activos de información están listados en la matriz de riesgos donde se definen y se cruzan según el activo de información que se ve afectado. Los riesgos están clasificados por: Tipo Riesgo Lógico Físico Locativo Legal Tabla 9. Tipos de Riesgo Selección de la Probabilidad de Ocurrencia La probabilidad de ocurrencia de que una amenaza explote una vulnerabilidad en un activo de información, generando un impacto en la empresa está determinada por la ponderación de dos (2) variables: Probabilidad Total = [0.30*(Probabilidad A) *(Probabilidad B)] (3) La probabilidad A esta determinada según los resultados de la encuesta realizada a los directores de área. La encuesta está separada en 3 partes: Seguridad Lógica. Seguridad Física. Seguridad Locativa. Seguridad Legal. Se realiza una encuesta con 122 preguntas en una entrevista realizada a los líderes de procesos principales de la compañía (Directores de Área) y personal de apoyo. Aspectos de seguridad evaluados en la encuesta: Seguridad Lógica: a. Control de acceso b. Manejo de la información c. Manejo del software d. Salida de información Página 14 de 19

15 e. Entrada de datos Seguridad Física f. Utilización de equipos g. Cuidado del equipo Seguridad Locativa h. Ubicación de los equipos con respecto a las instalaciones i. Ubicación de los equipos (control ambiental) Seguridad Legal j. Cumplimiento Legal Los resultados de la encuesta se determinó el nivel de seguridad en porcentaje y aplicando la fórmula: 100%-Nivel de seguridad = Probabilidad (4) Para cada encuestado se identificó las probabilidades para los cuatro (4) tipos de riesgo: Lógico, Físico, Locativo y Legal. La probabilidad B estará determinado por el responsable del proceso en base a su experiencia, de acuerdo a la estimación del riesgo asociado con la amenaza y vulnerabilidad de los activos de información, en casos que donde los riesgos identificados se hayan presentado al menos una vez en la compañía. Para los riesgos que no se han materializado, el valor de probabilidad estará sujeto a datos de referencias externas. Con los valores de probabilidad de riesgo arrojado por la encuesta y por criterio de auditor, se definen las siguientes escalas: Encuesta Criterio de Auditor 0-20% % % % % % % % % 5 >= 11 % 5 Tabla 10. Escalas de Probabilidad Con los valores de probabilidad de riesgo identificado por los responsables se define la siguiente escala: Página 15 de 19

16 Escala Cuantitativa Escala Cualitativa 1 Muy Bajo 2 Bajo 3 Medio 4 Alto Descripción Se ha presentado una vez en la entidad en los últimos 10 años. Se ha presentado alguna vez en la entidad en los últimos 5 años. Se presenta al menos una vez al año. Se presenta con alguna frecuencia (1 vez cada trimestre) Ocurre con cierta periodicidad. (Una vez cada mes) Tabla 1. Escalas de Probabilidad 5 Muy Alto Teniendo los dos (2) valores necesarios para el cálculo de la probabilidad, se procede a aplicar la ecuación N 3, obteniendo finalmente el valor total de la probabilidad Determinar el impacto en los Activos de Información El impacto está determinado por el máximo valor de la calificación registrada en términos de la seguridad de la información (Confidencialidad, Integridad y Disponibilidad) de los activos de información Valoración del Riesgo Inherente El marco de referencia utilizado en la evaluación del riesgo para los activos es la norma ISO Para la valoración y evaluación de los riesgos se tendrán en cuenta las siguientes variables definidas anteriormente: Valor del activo (VA). Probabilidad P(a,v). Valor Impacto (IMP). Valor Riesgo = P(a,v) * Valor Impacto * Valor Activo (5) Página 16 de 19

17 Con la anterior formula se obtiene el valor del riesgo asociado a cada activo de información en términos de su confidencialidad, integridad, disponibilidad, valor económico, la probabilidad de ocurrencia y el impacto asociado al SGSI. Los rangos calculados del valor del riesgo son: Clasificación Riesgo Rango Muy Alto Alto Descripción El valor de riesgo se considera Muy Alto por tener valor de impacto, probabilidad y valor de activo considerables, por lo que es necesario implementar controles. El valor de riesgo se considera Alto, es necesario implementar controles, de acuerdo a los niveles de tratamiento aprobados por la alta dirección Medio Bajo Muy Bajo 3 76 El valor de riesgo está en un nivel aceptable Medio, de acuerdo a los niveles de aceptación de la entidad. Se debe tener monitoreado para identificar cambios en su valoración. El valor de riesgo se encuentra controlado, se recomienda revisiones periódicas. El valor de riesgo no necesita ser tratado, solo realizar revisiones periódicas. Tabla 11. Clasificación del Valor de Riesgo Identificación de controles existentes Se realiza identificación de controles documentados, implementados y monitoreados por la entidad para la gestión del riesgo. Después es necesario verificar el valor del riesgo residual y determinar si es posible aplicar un plan de tratamiento Definición de los niveles de aceptación de Riesgos Se propone como un valor de riesgo aceptable por el Ministerio de Ambiente y Desarrollo Sostenible en los siguientes rangos: Muy Bajo (3-76) Bajo (77-151) Medio ( ) Los rangos seleccionados se consideran como valores de riesgo aceptables debido a que su probabilidad de ocurrencia o su impacto son Medio o Bajo en caso de materializar una o varias amenazas. Página 17 de 19

18 7.3.3 Tratamiento de Riesgo Identificación de opciones de tratamiento del Riesgo Los niveles de riesgo propuestos a tratar, establecidos como rangos críticos en Ministerio de Ambiente y Desarrollo Sostenible son Alto y Muy Alto, que corresponden a las siguientes valoraciones en la matriz: Alto ( ) Muy Alto ( ) Los rangos seleccionados se eligen por que involucran la posible materialización de amenazas sobre vulnerabilidades generando riesgos en los activos de información con graves consecuencias en la entidad. Las acciones definidas para el tratamiento de los riesgos después de su evaluación son: Evitar la acción que da origen al riesgo particular. Se evalúa y determina la viabilidad de si se puede o no evitar el riesgo en la compañía mediante el impacto que esto generaría. Transferir a entidades como aseguradoras o proveedores que puedan gestionar de manera eficaz el riesgo particular, siempre que no resulte un costo superior al del riesgo mismo. Para seleccionar una tercerización de un riesgo se evalúa el costo beneficio es decir sea la opción adecuada y económica en su implementación, adicionalmente se debe verificar que el riesgo residual este en los niveles de aceptación de la compañía tras su implementación. Mitigar mediante la aplicación de controles apropiados de manera que el riesgo residual se pueda revaluar como aceptable. Aceptar con el conocimiento y objetividad, siempre que cumplan con la política de seguridad previamente establecida por la organización. Es la última decisión que se toma en el tratamiento de riesgos y aplica cuando no existe opción alternativa bien sea por costo económicos o por tiempos de implementación. Los riesgos a los cuales se decide realizar tratamiento a través de controles deben garantizar su reducción hasta un nivel aceptable se encuentra en el Plan de tratamiento de riesgos del SGSI de la entidad Preparación de planes de tratamiento Los planes de tratamiento de riesgos de seguridad de la información toman como punto de partida una breve descripción del riesgo, asociado a la vulnerabilidad identificada, se selecciona la opción de tratamiento, descripción del control a ejecutar, estableciendo los recursos (Personal y económico) necesarios para la implementación. Es necesario Página 18 de 19

19 identificar, de manera única que los controles se crucen con los descritos en el anexo A de la norma ISO/IEC 27001, finalmente establecer una fecha límite de implementación Monitoreo Se considera la última fase de la gestión de riesgos de seguridad de la información por ser aquí donde se verifica la eficacia de los controles implementados para calificar nuevamente los riesgos identificados en la matriz y obtener el riesgo residual. En general, el monitoreo de los controles debe ser continuo y periódico de acuerdo a la forma de medición establecida por el Ministerio de Ambiente y Desarrollo Sostenible. 7.4 Revisiones periódicas de la evaluación y el tratamiento de riesgos La valoración de los riesgos será revisada al menos una vez al año y teniendo en cuenta cambios en: La organización La tecnología Procesos de negocio Todo control aplicado con el fin de reducir el valor de riesgo calculado debe ser medible a través de su eficacia. La aplicación de un control no necesariamente implica la reducción total del valor de riesgo esperado sino la reducción a los niveles de riesgo aceptables establecidos por la organización. La funcionalidad de los controles debe ser constantemente evaluada; en caso de no obtener los resultados esperados se les deben aplicar las mejoras a través de una nueva aplicación de la metodología PHVA. Página 19 de 19

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015 1. Introducción Teniendo en cuenta que la administración de riesgos es estratégica para el logro de los objetivos institucionales a continuación se enuncian las principales guías o marcos de acción que

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

MANUAL DE CALIDAD ISO 9001:2008

MANUAL DE CALIDAD ISO 9001:2008 Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO

Más detalles

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría

Más detalles

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A. de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

I. INTRODUCCIÓN DEFINICIONES

I. INTRODUCCIÓN DEFINICIONES REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Norma ISO 14001: 2004

Norma ISO 14001: 2004 Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

0. Introducción. 0.1. Antecedentes

0. Introducción. 0.1. Antecedentes ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

Información del Proyecto en http://colombia.casals.com

Información del Proyecto en http://colombia.casals.com ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Operación 8 Claves para la ISO 9001-2015

Operación 8 Claves para la ISO 9001-2015 Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Sistemas de Gestión de Calidad. Control documental

Sistemas de Gestión de Calidad. Control documental 4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO Mtra. Mariela Osorio Domínguez El Modelo Nacional de Gestión de Tecnología considera la Protección del Patrimonio Tecnológico como la salvaguarda y cuidado del patrimonio

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

I. Información General del Procedimiento

I. Información General del Procedimiento PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica

Más detalles

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.

POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y

Más detalles

Mejora de la Seguridad de la Información para las Pymes Españolas

Mejora de la Seguridad de la Información para las Pymes Españolas Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 CONTENIDO RESUMEN EJECUTIVO... 01 OBJETIVOS Y ALCANCE... 03 1. Objetivos de la auto-evaluación. 03 2. Alcance 03 RESULTADOS...

Más detalles

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD

LINEAMIENTOS PARA AUDITORÍAS INTERNAS Y LAS AUDITORÍAS INTERNAS DE CALIDAD Departamento Nacional de Planeación Bogotá, 2015 PAGINA: 2 de 15 TABLA DE CONTENIDO 1 INTRODUCCIÓN... 3 2 OBJETIVO... 3 3 ALCANCE... 3 4 REFERENCIAS NORMATIVAS... 3 5 DEFINICIONES... 4 6 DOCUMENTOS ASOCIADOS...

Más detalles

Norma ISO 14001: 2015

Norma ISO 14001: 2015 Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7

TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7 PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas

Más detalles

Norma ISO 9001: 2008. Sistema de Gestión de la Calidad

Norma ISO 9001: 2008. Sistema de Gestión de la Calidad Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con

Más detalles

MANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004. Control de versiones

MANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004. Control de versiones Página 1 de 7 MANUAL DEL SISTEMA DE GESTION AMBIENTAL ISO 14001:2004 Control de versiones Número de Versión Fecha Descripción de cambio 1 24 / feb / 2014 Creación del documento Contenido 1. Objeto y campo

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas Coordinación del C O N T E N I D O 1. Propósito 2. Alcance 3. Responsabilidad y autoridad 4. Normatividad aplicable 5. Políticas 6. Diagrama de bloque del procedimiento 7. Glosario 8. Anexos 9. Revisión

Más detalles

Elementos requeridos para crearlos (ejemplo: el compilador)

Elementos requeridos para crearlos (ejemplo: el compilador) Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción

Más detalles

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM

Autorizan ejecución de la Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del

Más detalles

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES

PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES PROCESO: GESTION INFORMÁTICA PROCEDIMIENTO: GESTION DE CONFIGURACIONES Objetivo del Procedimiento: Identificar y definir los componentes de configuración de los sistemas del SENA, registrando e informando

Más detalles

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN

GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN GUÍA METODOLÓGICA PARA LA REALIZACIÓN DE PROCEDIMIENTOS DOCUMENTADOS DE SISTEMAS DE GESTIÓN 1. Objetivo 2. Introducción 3. Procedimiento de control de documentos 4. Procedimiento de control de registros

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Rama Judicial del Poder Publico Consejo Superior de la Judicatura Sala Administrativa Sistema Integrado de Gestión y Control de Calidad

Rama Judicial del Poder Publico Consejo Superior de la Judicatura Sala Administrativa Sistema Integrado de Gestión y Control de Calidad 1. OBJETIVO Código: P-ESG-07 Rama Judicial l Por Publico Consejo Superior la Judicatura Sala Administrativa Sistema Integrado Gestión y Control PROCEDIMIENTO PARA AUDITORIAS INTERNAS DE CALIDAD SIGC Determinar

Más detalles

TALLER: ISO 14001. Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco

TALLER: ISO 14001. Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco TALLER: ISO 14001 Ocean. Alejandro Tonatiuh López Vergara Geog. Miriam Ruiz Velasco Es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. Sistemas

Más detalles

Gestión de la Prevención de Riesgos Laborales. 1

Gestión de la Prevención de Riesgos Laborales. 1 UNIDAD Gestión de la Prevención de Riesgos Laborales. 1 FICHA 1. LA GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 2. EL SISTEMA DE GESTIÓN DE LA PREVENCIÓN DE RIESGOS LABORALES. FICHA 3. MODALIDAD

Más detalles

Gestión de la Configuración

Gestión de la Configuración Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de

Más detalles

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS

PROCESO ADMINISTRACIÓN DEL SIG PROCEDIMIENTO GESTIÓN DE RIESGOS Página: 1 de 14 1. Objetivo Definir el marco de referencia y la metodología para la Administración de Riesgos de la entidad, facilitando el cumplimiento de sus objetivos y las funciones propias del Ministerio

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Aprobado mediante: Resolución Ministerial 014 de 23 de enero de 2013 SISTEMA DE PROGRAMACIÓN DE OPERACIONES

Aprobado mediante: Resolución Ministerial 014 de 23 de enero de 2013 SISTEMA DE PROGRAMACIÓN DE OPERACIONES Aprobado mediante: Resolución Ministerial 014 de 23 de enero de 2013 SISTEMA DE REGLAMENTO ESPECÍFICO TITULO I GENERALIDADES CAPITULO I DISPOSICIONES GENERALES Artículo 1. Objetivo y ámbito de aplicación

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

PROCEDIMIENTO GESTIÓN DE CAMBIO

PROCEDIMIENTO GESTIÓN DE CAMBIO Pagina 1 1. OBJETO Asegurar la integridad del sistema de gestión en la cuando se hace necesario efectuar cambios debido al desarrollo o modificación de uno o varios procesos, productos y/o servicios, analizando

Más detalles

OHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo

OHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras

Más detalles

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

AUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado.

AUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado. Página 1 de 8 1. OBJETIVO Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado. 2. ALCANCE Este procedimiento es de aplicación al Sistema

Más detalles

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Gestión de Riesgos en Proyectos

Gestión de Riesgos en Proyectos GRUPO VISIÓN PROSPECTIVA MÉXICO 2030 Gestión de Riesgos en Proyectos Mauricio Jessurun Solomou mjess@unisolmexico.com Luis Miguel Arroyo lmarroyoi@emsi.com.mx Julio, 2015 Gestión de Riesgos en Proyectos

Más detalles

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008

Más detalles

Guía para la implementación del principio de responsabilidad demostrada en el tratamiento de datos personales

Guía para la implementación del principio de responsabilidad demostrada en el tratamiento de datos personales Boletín Sector Público 002- junio 2015 Guía para la implementación del principio de responsabilidad demostrada en el tratamiento de datos personales La nueva reglamentación de la SIC Con ocasión a las

Más detalles

REPORTE DE CUMPLIMIENTO ISO 17799

REPORTE DE CUMPLIMIENTO ISO 17799 Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

PROCEDIMIENTO DE IDENTIFICACIÓN Y ACCESO A REQUISITOS LEGALES DE LAS NORMAS SGA Y SYSO CONTENIDO

PROCEDIMIENTO DE IDENTIFICACIÓN Y ACCESO A REQUISITOS LEGALES DE LAS NORMAS SGA Y SYSO CONTENIDO Página 1 de 7 CONTENIDO 1. OBJETIVO... 2 2. DESTINATARIOS... 2 3. REFERENCIAS... 2 4. GLOSARIO... 2 5. GENERALIDADES... 4 6. DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 4 6.1. Identificación y Acceso

Más detalles