Este artículo fue elaborado por los integrantes del Área de Seguridad de la Información de ANCAP. 2
|
|
- Sebastián Prado Vázquez
- hace 8 años
- Vistas:
Transcripción
1 SEGURIDAD DE LA INFORMACIÓN ANCAP apunta a la mejora en la gestión de la seguridad de la información 1 Introducción La información es un activo que, como otros activos comerciales importantes, es esencial para el negocio de una organización y en consecuencia necesita ser protegido adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez más interconectado. Como resultado de esta creciente interconectividad, la información ahora está expuesta a un número cada vez mayor y una variedad más amplia de amenazas y vulnerabilidades. 2 La información puede existir en muchas formas. Puede estar impresa o escrita en un papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, mostrada en películas o hablada en una conversación. Cualquiera que sea la forma que tome la información, o medio por el cual sea almacenada o compartida, siempre debiera estar apropiadamente protegida. La seguridad de la información se propone la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y las oportunidades comerciales. La seguridad de la información se logra implementando un adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Se necesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad y comerciales específicos. Esto se debiera realizar en conjunción con otros procesos de gestión del negocio. 1 Este artículo fue elaborado por los integrantes del Área de Seguridad de la Información de ANCAP. 2 Las líneas anteriores son una versión adaptada, no textual extraída de la Norma UNIT-ISO/IEC27000 para Gestión de la Seguridad de la Información. 34 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN
2 En nuestro país, la gestión de la seguridad de la información se ha convertido en una política de Estado, consignándose en el Decreto 450/09 que: 3 Se debe disponer medidas para garantizar la confianza y seguridad de los sistemas y de la información en poder de los organismos públicos. Que con el fin de proteger los activos de información y minimizar el impacto en los servicios causados por vulnerabilidades o incidentes de seguridad se debe proveer una efectiva gestión de la seguridad. Dicho Decreto obliga a las Unidades Ejecutoras de los Incisos 02 al 15 del Presupuesto Nacional a adoptar en forma obligatoria lo establecido en el mismo y exhorta a los Gobiernos Departamentales, los Entes Autónomos, los Servicios Descentralizados y, en general, a todos los órganos del Estado a adoptar las mismas disposiciones. ANCAP comenzó un proceso de definición y mejora de la Seguridad de la Información que desembocará en la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI). Respondiendo a la exhortación contenida en el Decreto 450/09, la Dirección de ANCAP, consciente de los beneficios que se obtienen mediante la implantación de un SGSI, decidió en diciembre del año 2010 iniciar un proceso para incorporar la gestión de la seguridad de la información en la Empresa. 3 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN
3 La información que ANCAP posee -la cual puede encontrarse contenida en diferentes medios y formas- constituye un activo imprescindible para que esta logre alcanzar los objetivos estratégicos definidos. Es por ello, que dichos activos deben ser protegidos de cualquier amenaza que comprometa su confidencialidad, integridad y disponibilidad, para lo cual es necesario contar con un SGSI. Los comienzos A partir del Decreto 450/09, El directorio de ANCAP aprobó en 2010 la Política de Seguridad de la Información que supuso una declaración formal de la importancia de proteger los activos de información y de la voluntad y propósito de ingresar en un proceso de implantación de un Sistema de Gestión de la Seguridad de la Información. Así, creó un Comité multidisciplinario y representativo de todas las áreas de negocios y servicios de ANCAP y designó un Coordinador de Seguridad de la Información. Luego de su constitución formal, todos los integrantes del Comité, participaron de cursos dictados por el Instituto Uruguayo de Normas Técnicas, que le permitieron profundizar en el alcance de las normativas referidas a la implementación de la Seguridad de la Información, contenidas en las ISO/IEC e ISO/IEC 27002, así como alinear y nivelar conocimiento y conceptos. Emergente de ese Comité, se conformó un equipo más reducido, con la finalidad de formular un Proyecto de Implantación de un Sistema de Gestión de Seguridad de la Información. Para su concepción, se definieron dos fases, una estructura de proyecto, la conformación de los equipos de trabajo, un cronograma y la necesidad de contratar asistencia externa. A tales efectos, se llevó a cabo el correspondiente proceso licitatorio, habiendo sido adjudicatario del mismo el consorcio integrado por CPA/Ferrere-Datasec. El proyecto -cuyos inicios tuvieron lugar en marzo de tiene un plazo previsto de ejecución de unos 15 meses y estaría finalizando en julio de este año. 36 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN
4 Estructura para la gestión de la de Seguridad de la Información dentro de ANCAP Analizando las características, contexto y otros aspectos de ANCAP, se definieron los componentes que serían necesarios para llevar a cabo una apropiada Gestión de la Seguridad de la Información. En octubre del pasado año, viendo ya la necesidad de recursos así como la conveniencia de contar con una estructura mínima adecuada, se creó la Jefatura de Seguridad de la Información dependiente de la Secretaría General. La ubicación del área y del tema de la seguridad de la información en un área como la Secretaría General y no en TI como es común ver en otras organizaciones- es producto de una concepción de la seguridad de la información abarcativa y con grado de amplitud que excede los aspectos específicamente tecnológicos, como se verá. A la hora de analizar la ubicación de la estructura de Seguridad de la información dentro de una organización, normalmente se manejan dos alternativas: Que la misma dependa de la Dirección lo cual es, por diferentes motivos, la práctica recomendada por las normas internacionales en la materia, ya que las políticas, controles, etc. generadas en el área, son transversales a toda la organización. Esta opción, no es, sin embargo, por curioso que parezca la alternativa generalmente adoptada. En el caso particular de nuestro país, estructuras de este tipo son la excepción, no la regla. Que la misma dependa de Tecnología de la Información, la cual es la estructura más implementada en las organizaciones, aunque no la recomendable. En este punto es bueno destacar que el problema con este enfoque es que conceptualmente Tecnología de la información (y seguridad informática) es uno de varios elementos que componen un SGSI y la adopción de una estructura de esta características, generalmente es causa de que proyectos de esta naturaleza no tengan todo el éxito esperado, por diferentes motivos que no vienen al caso detallar. Como adelantamos, la estructura elegida en ANCAP para gestionar la Seguridad de la Información resultó ser la primera de las mencionadas, es decir, se decidió adoptar lo recomendado por las buenas prácticas: El cuadro precedente muestra la estructura de la Secretaría General -dependiente del Directorio- dentro de la cual una de las Jefaturas es la de Seguridad de la Información. TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN
5 Los trabajos previos A grandes rasgos para la implantación de este sistema de gestión, inicialmente los activos de información deben ser inventariados y clasificados de acuerdo con la importancia que ellos tienen para la empresa y conforme a la normativa vigente a nivel nacional. A partir de allí entonces, se debe evaluar el impacto negativo que ocasionaría sobre los objetivos fijados, sus intereses estratégicos e incluso sobre la continuidad del negocio, la circunstancia de que estos activos se vieran afectados en cuanto a su confidencialidad, disponibilidad e integridad. Es necesario determinar entonces a qué nivel de riesgos se ven expuestos estos activos para gestionarlos, aplicando controles que permitan llevarlos a un nivel de riesgo aceptable para la dirección. Las etapas La ejecución del Proyecto comenzó -como se dijera líneas arriba- los primeros días de marzo de 2013, previéndose dos fases. La primera fase tiene un alcance global. Se definieron políticas de Seguridad de la Información muy genéricas de alcance a toda la organización y en estos momentos se está haciendo la difusión, concientización y capacitación de funcionarios de la empresa en aspectos generales relativos a la Seguridad con el propósito de lograr un efectivo involucramiento; procurando llevar el concepto de que la seguridad de la información es un aspecto necesario de la gestión en el día a día, particularmente en organizaciones de la complejidad y tamaño como los de ANCAP. La segunda fase tiene un alcance específico. Se está realizando el diseño y la implantación de un SGSI completo en un área piloto. Por el hecho de manejar información muy sensible y relevante para ANCAP, fue seleccionada el área de Exploración y Producción. Ambas fases -que implican una etapa de transferencia de conocimientos- se están llevando a cabo en forma conjunta. Una vez culminada la segunda fase, se habrá acumulado una importante experiencia, la cual será de suma utilidad para ir ampliando el alcance del sistema de gestión en otras áreas de ANCAP. 38 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN
6 El proceso de cambio cultural en ANCAP La seguridad como tal se gestiona, no es algo estático, la gestión de la seguridad de la información es un proceso de mejora continua. La seguridad no es un estado, es un proceso. Para que las medidas de control perduren en el tiempo deben ser eficaces y eficientes. Para ello es necesario internalizar que es un proceso permanente. Hasta hace algunos años las organizaciones implementaban medidas de seguridad de forma reactiva y no proactiva, es decir, reaccionaban ante un evento de seguridad puntual en lugar de prepararse para prevenirlos. No existía un enfoque para un tratamiento sistemático de este tipo de incidentes. Tomando como ejemplo las campañas de seguridad vial, se debe comenzar por reconocer que en muchos aspectos es necesario iniciar un proceso de cambio cultural que puede llevar años. Este proceso de cambio estará inicialmente compuesto por: 1. La formalización de roles y responsabilidades, así como por la implementación de políticas, procedimientos y controles específicos, que buscan especialmente prevenir la ocurrencia de amenazas concretas y reducir las principales vulnerabilidades que pueden existir en la empresa. Estas políticas son de alcance general y engloban a toda la empresa, asignando roles y responsabilidades. 2. La difusión y comunicación de las principales razones que justifican estos cambios. Cuáles son los riesgos a los cuales estamos expuestos? Cuál ha sido el impacto de los incidentes de seguridad que han ocurrido? Estos son algunos elementos que deben ser conocidos. Para ello el área de Seguridad de la Información está por poner a disposición de todos los funcionarios un siste- TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN
7 ma para reportar incidentes, en el cual pueden reportar cualquier incidente relacionado a la seguridad de la información o vulnerabilidades en el proceso de negocio. Formulario para Reporte de Incidentes online El reporte es un insumo básico para determinar el contexto de seguridad que posee la empresa hoy en día y actuar en consecuencia para lograr la mejora continua. 3. La difusión y la comunicación de las mejores prácticas que todos debemos seguir para lograr impulsar este proceso de mejora de la seguridad de la información. La concientización en materia de Seguridad de la Información es comparable a lo que ocurrió -como se dijo- en el área de la seguridad vial, donde muchas personas hasta hace un tiempo no conocían el impacto que en la sociedad tenían los accidentes de tránsito y desconocían el valor del uso del cinturón de seguridad, el casco o la silla de seguridad para los niños. Este proceso de cambio cultural ha llevado décadas y aún hoy sigue en marcha. En el caso de la Seguridad de la Información este proceso recién comienza en ANCAP. Se debe identificar y hacer conocer el impacto que tienen para la organización los incidentes que ocurren en materia de seguridad. Se debe entender el valor de los diferentes controles para la reducción de los riesgos a los cuales estamos expuestos. Mediante charlas presenciales se pretende llegar a todos los funcionarios que usen un pc como medio de trabajo; actualmente se han capacitado alrededor de 500 personas y se continúa con el proceso de capacitación aspirando llegar a todos los órdenes: dirección, gerencial, jefaturas, profesionales, supervisores y buena parte de las áreas administrativas. El contenido de las charlas, hace referencia a temas, conceptos y buenas prácticas en lo que refiere a Seguridad de la Información que aplican tanto para el ámbito laboral como para el ámbito personal del funcionario, lo cual genera interés y curiosidad, y sobre todo, mucho Awareness. Sumado a ello, este año se incluyó la temática de la seguridad de la información en las charlas de inducción a los nuevos funcionarios que ingresan, habiendo llegado ya en una primera instancia a más de 100 de ellos. 40 TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN
8 Asimismo, se está trabajando para implementar otros canales para la educación en materia de Seguridad de la Información como por ejemplo la incorporación de capacitaciones en la plataforma corporativa de e-learning. La Gestión de la Seguridad de la Información genera valor La seguridad de la información tiene como objetivos centrales el contribuir a: asegurar la continuidad del negocio. minimizar posibles daños al negocio. maximizar oportunidades de negocios. Apuntando con ello a: Cumplir con las leyes y regulaciones gubernamentales, por ejemplo: o Ley de protección de datos personales. o Ley de acceso a la información pública. Reducir la incertidumbre en las operaciones de negocio. Dar confianza en que las decisiones cruciales se basan en información fidedigna. Dar confianza en las interacciones con socios comerciales y en la relación con los clientes. Proteger la reputación, imagen de ANCAP. Como Seguimos Como ya fue mencionado, la seguridad no es un estado, es un proceso. La seguridad bien entendida implica saber que la seguridad de hoy, no es la seguridad del mañana. Existirán nuevas amenazas que afecten a la información en el futuro, la seguridad deberá acompañar este cambio, es por eso que decimos que la seguridad se debe entender como un ciclo de mejora continua. Hoy surgen nuevas tecnologías, distintos tipos de servicios y soluciones empresariales basados en la nube, la tendencia al BYOD en la empresas (bring your own device, o traiga su propio dispositivo), etc. Como vemos estas tendencias hace un par de años atrás no existían y por lo tanto una solución de seguridad anclada al pasado quedaría totalmente obsoleta e ineficiente en el cumplimiento de sus objetivos. En este mundo cada vez más interconectado y vertiginoso no solo la seguridad debe acompañar este proceso, también se debe actualizar la normativa vigente para contemplar futuros escenarios. En este sentido AGESIC (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento.) desde sus comienzos en el año 2007 viene haciendo una importante colaboración en este sentido. El 7/04/2014 se aprobó un decreto de Cyber-seguridad impulsado por esta agencia y que tiene como alcance a todos los organismos de la Administración Central. ANCAP en su estrategia de alineación a las leyes nacionales actualmente ya está trabajando para alinearse a los nuevos requerimientos legales por más que actualmente no sea mandatorio para los entes autónomos. TRANSFORMACIÓN, ESTADO Y DEMOCRACIA AÑO 9 - N.º 55-1/2014 ISSN
Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo
Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesLICENCIA PLATAFORMA ERM
LICENCIA PLATAFORMA ERM 1. Introducción A una década de haber arrancado un nuevo milenio las organizaciones experimentan una serie de retos debido a la manera de hacer negocios, la sociedad, el mercado
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesPRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI
PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesIniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones
Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones Marco de Gobernabilidad, Rendición de cuentas y Aprendizaje
Más detallesTratamiento del Riesgo
Tratamiento del Riesgo 1 En que consiste el tratamiento de los riesgos? 2. Cuando debemos enfrentarnos a los riesgos? 3. Estrategias de tratamiento de riesgos 4. Modelo de Análisis de Riesgos 5. Qué pasos
Más detallesPlan de Estudios. Maestría en Seguridad Informática
Plan de Estudios Maestría en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías de la Información
Más detallesCÓMO MEJORAR LA GESTIÓN DE SERVICIOS TI USANDO MEJORES PRÁCTICAS?
CÓMO MEJORAR LA GESTIÓN DE SERVICIOS TI USANDO MEJORES PRÁCTICAS? Soluciones a partir de la experiencia colectiva Quinto Desayuno Club CIO 30 julio 2015 Contenido Prólogo...2 Personas...2 Procesos...2
Más detallesPlan de Estudios. Diploma de Especialización en Seguridad Informática
Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías
Más detallesdeterminar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;
Soporte 6Claves para la ISO 14001-2015 BLOQUE 7: Soporte La planificación, como elemento fundamental del Ciclo PDCA (plan-do-check-act) de mejora continua en el que se basa el estándar ISO 14001, resulta
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detallesE-learning: E-learning:
E-learning: E-learning: capacitar capacitar a a su su equipo equipo con con menos menos tiempo tiempo y y 1 E-learning: capacitar a su equipo con menos tiempo y Si bien, no todas las empresas cuentan con
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesFigure 7-1: Phase A: Architecture Vision
Fase A Figure 7-1: Phase A: Architecture Vision Objetivos: Los objetivos de la fase A son: Enfoque: Desarrollar una visión de alto nivel de las capacidades y el valor del negocio para ser entregado como
Más detallesVISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN
Jornada CTL: Sistemas de Gestión Integrados de Calidad, Medioambiente y Prevención VISIÓN GENERAL DEL SISTEMA INTEGRADO DE CALIDAD, MEDIOAMBIENTE Y PREVENCIÓN José Luis HORTELANO SAIZ Auditor Jefe de Sistemas
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesIntroducción. Definición de los presupuestos
P o r q u é e l p r e s u p u e s t o d e b e s e r e l c a m i n o a s e g u i r p a r a g a r a n t i z a r e l é x i t o d e s u e m p r e s a? Luis Muñiz Economista Introducción El aumento de la incertidumbre
Más detallesBoletín Asesoría Gerencial*
Boletín Asesoría Gerencial* 2008 - Número 5 Gestión Integral de Riesgo (GIR): de organización *connectedthinking de organización Toda institución es afectada en su gestión por la incertidumbre, y el principal
Más detallesPolítica de Gestión de Incidentes de Seguridad de la Información
SGSI Sistema de Gestión de Seguridad de la Información Política de Gestión de Incidentes de Seguridad de la Información Versión 1.1 2010 Setiembre 2010 Versión 1.1 2010 Este documento ha sido elaborado
Más detallesImplementando un ERP La Gestión del Cambio
Artículos> Implementando un ERP - La Gestión del Cambio Artículo Implementando un ERP La Gestión del Cambio 1 Contenido Sumario Ejecutivo 3 Los sistemas ERP flexibilizan la gestión de la empresa y su cadena
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesPlan provincial de Producción más limpia de Salta
Plan provincial de Producción más limpia de Salta Guía IRAM 009 V.1 Requisitos para la obtención de los distintos niveles de la distinción GESTION SALTEÑA ECOECFICIENTE INTRODUCCIÓN: IRAM, junto con la
Más detallesMarco Normativo de IT
Marco Normativo de IT PC0901 - Proceso de control de cambios en software de aplicación provisto por Organismos Gobierno de la Ciudad Autónoma de Buenos Aires PC0901 - Proceso de control de cambios en software
Más detalles4.2 Mecanismos de consulta. Recomendación
Complemento respuesta institucional Chile sobre Mecanismos para estimular la participación de la sociedad civil y de las organizaciones no gubernamentales en los esfuerzos destinados a prevenir la corrupción
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesLas Relaciones Públicas en el Marketing social
Las Relaciones Públicas en el Marketing social El marketing social es el marketing que busca cambiar una idea, actitud o práctica en la sociedad en la que se encuentra, y que intenta satisfacer una necesidad
Más detallesSEGURIDAD DE LA INFORMACIÓN
SEGURIDAD DE LA INFORMACIÓN La información es el principal activo de muchas organizaciones por lo que es necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro la continuidad
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesANEXO III OBLIGACIONES DEL INDUSTRIAL
ANEXO III OBLIGACIONES DEL INDUSTRIAL NOTIFICACIÓN ANEXO III OBLIGACIONES DEL INDUSTRIAL Todos los industriales cuyos establecimientos estén afectados por el RD 1254/1999 están obligados a enviar una notificación
Más detallesGUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4. Dirección Técnica:
LA FORMACIÓN EMPRESARIAL CON E-LEARNING GUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4 Dirección Técnica: 4.- EL PLAN DE FORMACIÓN 33 Capítulo
Más detallesPolítica de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.
de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre
Más detallesNORMAS DE FUNCIONAMIENTO
FORO DE GRANDES EMPRESAS NORMAS DE FUNCIONAMIENTO MODIFICADAS EN LA 3ª SESIÓN del 20 de julio de 2010 I. Naturaleza y composición del Foro I.1. Naturaleza El (en adelante, Foro) tiene como objeto promover
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un
ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un efecto positivo o negativo sobre al menos un objetivo del proyecto, como tiempo,
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detallesBYOD - Retos de seguridad
BYOD - Retos de seguridad ÍNDICE Introducción 3 Manejo de la información 11 Qué es BYOD? Dispositivos más utilizados Usos de los dispositivos móviles 4 5 6 Gestión de aplicaciones y dispositivos Elegir
Más detallesColaboración entre Ericsson y EOI Escuela de Negocios
Colaboración entre Ericsson y EOI Escuela de Negocios Tutores del Proyecto: Ignacio Retuerta y Alberto Ruíz Presentado por: Christy M. Galán Jesika Reyes Luis A. Finol Luis J. Puentes Contenido Descripción
Más detallesCUESTIONARIO DE AUTOEVALUACIÓN
CUESTIONARIO DE AUTOEVALUACIÓN El presente Cuestionario permite conocer en qué estado de madurez se encuentra el Sistema de Gestión Ambiental (en adelante, SGA) de su organización, de acuerdo a los requisitos
Más detalles2. MÉTODOS, INSTRUMENTOS Y ESTRATEGIAS
2. MÉTODOS, INSTRUMENTOS Y ESTRATEGIAS Objetivo específico: El alumno conocerá la importancia de la investigación en psicología industrial/organizacional, su proceso y limitaciones. Asimismo entenderá
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesPROCEDIMIENTO AUDITORÍA INTERNA
PROCEDIMIENTO AUDITORÍA INTERNA CONTENIDO 1. OBJETO... 2 2. ALCANCE... 2 3. DEFINICIONES... 2 5. PROCEDIMIENTO... 4 5.1 Planificación de la Auditoría... 4 5.2 Calificación de Auditores... 4 5.3 Preparación
Más detallesLA METODOLOGÍA DEL BANCO PROVINCIA
20 LA METODOLOGÍA DEL BANCO PROVINCIA Cómo gestionar activos de información? En 2007, el Banco Central de la República Argentina (BCRA) planteó algunas exigencias financieras para el sistema financiero
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesSesión No. 12. Contextualización: Nombre de la sesión: SAP segunda parte PAQUETERÍA CONTABLE
Paquetería contable PAQUETERÍA CONTABLE Sesión No. 12 Nombre de la sesión: SAP segunda parte Contextualización: Los sistemas ERP son actualmente las herramientas que se han impuesto y son la base operativa
Más detallesHoja Informativa ISO 9001 Comprendiendo los cambios
Revisiones ISO Hoja Informativa ISO 9001 Comprendiendo los cambios Cambios que se aproximan ISO 9001 de un vistazo Cómo funciona ISO 9001? ISO 9001 puede ser aplicado a todo tipo de organizaciones de cualquier
Más detallesLINEAMIENTOS DE RENDICIÓN DE CUENTAS DE LA CREG
LINEAMIENTOS DE RENDICIÓN DE CUENTAS DE LA CREG La política de rendición de cuentas establecida por el Gobierno Nacional a través del documento CONPES 3654 de 2010 busca consolidar una cultura de apertura
Más detallesplataforma GloBAl de defensa Y promoción
plataforma GloBAl de defensa Y promoción Acerca del Instituto de Auditores Internos El Instituto de Auditores Internos (IIA, en inglés) es la voz global de la profesión de auditoría interna, reconocida
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesISO 9001:2015 Comprender los cambios clave. Lorri Hunt
ISO 9001:2015 Comprender los cambios clave Lorri Hunt Exención de responsabilidad Si bien la información suministrada en esta presentación pretende explicar con precisión la actualización de la ISO 9001,
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detalles67% tendrán un smartphone en el 2016 NOSOTROS NECESITA SOLUCIONES A PROBLEMAS COMPLEJOS?
BROCHURE NOSOTROS Actualmente el software desarrollado para el sector de oil and gas (o energético) es complejo, sobre cargado de opciones y requiere capacitación; además de ser sistemas que no pueden
Más detalles[Guía de auditoría AudiLacteos]
[Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software
Más detallesPLANIFICACIÓN ESTRATÉGICA: CONCEPTO Y ASPECTOS BÁSICOS.
PLANIFICACIÓN ESTRATÉGICA: CONCEPTO Y ASPECTOS BÁSICOS. QUÉ ES LA PLANIFICACIÓN? Planificar no es adivinar el futuro, sino más bien, es tomar un conjunto de decisiones que llevadas a la práctica a través
Más detallesLLAMADO A REGISTRO DE CONSULTORES/AS DOCENTES / FACILITADORES CICLO DE APOYO A LA TRANSICIÓN DE GOBIERNOS MUNICIPALES 2015.
LLAMADO A REGISTRO DE CONSULTORES/AS DOCENTES / FACILITADORES CICLO DE APOYO A LA TRANSICIÓN DE GOBIERNOS MUNICIPALES 2015. Período de presentación: 12/06/2015 al 25/06/2015. 1. ANTECEDENTES El Programa
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesCurso: Arquitectura Empresarial basado en TOGAF
Metodología para desarrollo de Arquitecturas (ADM) El ADM TOGAF es el resultado de las contribuciones continuas de un gran número de practicantes de arquitectura. Este describe un método para el desarrollo
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesEstatuto de Auditoría Interna
Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo
Más detallesCURSO COORDINADOR INNOVADOR
CURSO COORDINADOR INNOVADOR PRESENTACIÓN La tarea que el Ministerio de Educación se propone a través de Enlaces, en relación al aseguramiento del adecuado uso de los recursos, con el fin de lograr un impacto
Más detallesCurso Fundamentos de ITIL
Curso Fundamentos de ITIL 1 Curso El curso de Fundamentos de ITIL introduce el concepto de Gestión de Servicio TI (IT Service Management o ITSM), el Ciclo de Vida del Servicio y un marco para identificar
Más detallesSu éxito se mide por la pertinencia y la oportunidad de la solución, su eficacia y eficiencia.
APUNTES PARA EL CURSO PROCESOS COGNITIVOS: RESOLUCIÓN DE PROBLEMAS Y TOMA DE DECISIONES Elaborado por Vicente Sisto Campos. Se trata de la confluencia de la capacidad analítica del equipo de identificar
Más detallesSistemas de Información Geográficos (SIG o GIS)
Sistemas de Información Geográficos (SIG o GIS) 1) Qué es un SIG GIS? 2) Para qué sirven? 3) Tipos de datos 4) Cómo trabaja? 5) Modelos de datos, Diseño Conceptual 6) GeoDataase (GD) 7) Cómo evaluamos
Más detallesLa ONSC como responsable del proyecto resuelve encarar las siguientes actividades respecto de las tres dimensiones mencionadas:
Uruguay Concursa EL PROYEC ECTO INFORMÁ FORMÁTIC ICO Ing.. Luis Cibils,, PMP MP. Asesor Informático de la Dirección Oficina Nacional del Servicio Civil En ediciones anteriores de la revista se han escrito
Más detallesSistemas de Gestión de Calidad. Control documental
4 Sistemas de Gestión de Calidad. Control documental ÍNDICE: 4.1 Requisitos Generales 4.2 Requisitos de la documentación 4.2.1 Generalidades 4.2.2 Manual de la Calidad 4.2.3 Control de los documentos 4.2.4
Más detallesPlan de Continuidad de Operaciones
Plan de Continuidad de Operaciones Acerca de la Normativa aplicable 2 Indice de Contenidos 1. Certificación Estándar Internacional DRII (Disaster Recovery Institute International) 3 2. Certificación Norma
Más detallesSEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO
SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información
Más detallesLista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1
Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos
Más detallesLA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS
LA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS Los clientes compran un servicio basandose en el valor que reciben en comparacion con el coste en el que incurren. Por, lo tanto, el objetivo a largo plazo
Más detallesProcedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral
Página: 1 de 1 Hoja de Control de Emisión y Revisiones. N de Revisión Páginas Afectadas Motivo del Cambio Aplica a partir de: 0 Todas Generación de documento 01-Agosto-2009 1 Todas Mejora del documento
Más detallesPolíticas de Seguridad de la información
2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesCAPITULO VI ESTRATEGIAS DE OUTSOURCING
CAPITULO VI ESTRATEGIAS DE OUTSOURCING Cuando una compañía decide llevar a cabo un proceso de outsourcing debe definir una estrategia que guíe todo el proceso. Hay dos tipos genéricos de estrategia de
Más detallesPOLÍTICA DE TECNOLOGÍA DE INFORMACIÓN
TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades
Más detallesprogramación y guías docentes, el trabajo fin de grado y las prácticas externas.
Informe de Seguimiento Graduado o Graduada en Administración y Dirección de Empresas de la Universidad de Málaga 1. ÁMBITO NORMATIVO El artículo 27 del Real Decreto 1393/2007, de 29 de octubre, modificado
Más detallesTRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS
TRABAJADORES AUTÓNOMOS. COORDINACIÓN DE ACTIVIDADES PREVENTIVAS La coordinación de actividades empresariales regulada en el artículo 24 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales
Más detallesCOMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD
COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesDOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS 31.000 «Risk management- Principles and guidelines «
ASOCIACIÓN DE AUDITORES EXTERNOS ( Chile ) FRAUDE DOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS 31.000 «Risk management- Principles and guidelines «DOCUMENTOS DE APOYO PARA EL ANALISIS Y REVISIÓN
Más detallesPara llegar a conseguir este objetivo hay una serie de líneas a seguir:
INTRODUCCIÓN La Gestión de la Calidad Total se puede definir como la gestión integral de la empresa centrada en la calidad. Por lo tanto, el adjetivo total debería aplicarse a la gestión antes que a la
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesIntroducción En los años 60 s y 70 s cuando se comenzaron a utilizar recursos de tecnología de información, no existía la computación personal, sino que en grandes centros de cómputo se realizaban todas
Más detalles