Capítulo 13 Declaración de derechos de autor
|
|
- Joaquín Páez Villalobos
- hace 8 años
- Vistas:
Transcripción
1 Capítulo 13: Mejores prácticas en la administración de seguridad de la información Alineación de la seguridad de la información con estrategias de negocio Eficiencia operacional Mejores prácticas: defensa en profundidad Mejores prácticas: medidas operacionales específicas Cumplimiento Regulaciones orientadas a la integridad Regulaciones orientadas a la privacidad Mejores prácticas en cumplimiento Flexibilidad y adaptabilidad Políticas y procedimientos de seguridad de la información Evaluación de riesgos Análisis de riesgos Evaluación de vulnerabilidades Política de seguridad Declaración de objetivos Declaración del alcance Componentes de la política Mecanismos de cumplimiento Definiciones, referencias y recursos Organización de seguridad de la información Administración de activos Seguridad de recursos humanos Seguridad física y ambiental Administración de operaciones y comunicaciones Planificación de operaciones Protección contra malware Protección de activos de red Respaldo y recuperación Monitoreo de operaciones Control de acceso Adquisición, implementación y mantenimiento de sistemas de información Administración de incidentes Administración de continuidad Política de cumplimiento Evaluación del estado de la seguridad integrada Monitoreo del estado de la seguridad integrada Establecimiento de puntos de partida Auditoría Integración de información de múltiples sistemas Administración de vulnerabilidades Dispositivos administrados y semiadministrados que van más allá de los servidores de seguridad Administración de soluciones de múltiples puntos Ventajas de las soluciones de múltiples puntos Informe de desafíos con soluciones de múltiples puntos Resumen: Creación de un entorno de seguridad de información adaptable i
2 Declaración de derechos de autor 2007 Realtimepublishers.com, Inc. Todos los derechos reservados. Este sitio contiene material que ha sido creado, desarrollado, o autorizado por, y publicado con el permiso de Realtimepublishers.com, Inc. (los Materiales ). Además, este sitio y todos los Materiales están protegidos por leyes internacionales de derechos de autor y de marcas comerciales. LOS MATERIALES SE PRESENTAN EN EL ESTADO EN QUE SE ENCUENTRAN Y ESTÁN DISPONIBLES SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA O TÁCITA, INCLUYENDO, PERO SIN LIMITARSE A, CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN ESPECÍFICO, TÍTULO O DE NO VIOLACIÓN. Los Materiales se encuentran sujetos a cambios sin previo aviso y no representan un compromiso por parte de Realtimepublishers.com, Inc. o los patrocinadores de su sitio Web. En ningún caso, Realtimepublishers.com, Inc. o los patrocinadores de su sitio Web serán responsables por errores u omisiones técnicas o editoriales de los Materiales, incluyendo sin limitación, cualquier daño directo, indirecto, accidental, especial, ejemplar o consiguiente que resulte del uso de cualquier información incluida en los Materiales. Los Materiales (incluyendo sin limitación, textos, imágenes, audio y/o videos) no pueden copiarse, reproducirse, reeditarse, cargarse, publicarse, transmitirse o distribuirse de ningún modo, de manera total o parcial; excepto que una copia se descargue para uso personal y no comercial en la computadora de un solo usuario. En relación con tal uso, no puede modificar ni ocultar ningún derecho de autor u otra notificación de propiedad. Los Materiales pueden incluir marcas comerciales, marcas de servicios y logotipos que son propiedad de terceros. Usted no está autorizado para utilizar estas marcas comerciales, marcas de servicios o logotipos sin el previo consentimiento por escrito de dichos terceros. Realtimepublishers.com y el logotipo de Realtimepublishers están registrados en la Oficina de Patentes y Marcas Comerciales de los EE. UU (US Patent & Trademark Office). Todos los nombres de servicios o productos son propiedad de sus respectivos propietarios. Si tiene alguna pregunta sobre estos términos o si desea más información sobre materiales de licencias de Realtimepublishers.com, comuníquese con nosotros por correo electrónico a info@realtimepublishers.com. ii
3
4 Capítulo 13: Mejores prácticas en la administración de seguridad de la información A lo largo de esta guía sobre administración de seguridad, hemos examinado la amplitud de temas que los profesionales de seguridad de la información enfrentan cuando se trata de la seguridad de la información empresarial. Estos temas varían desde detalles técnicos de virus polimórficos hasta desafíos de negocio al momento de evaluar riesgos. En este capítulo final, nos concentramos en resumir las mejores prácticas en la administración de seguridad de la información. No es importante tratar de formular un esquema unificador general que comprenda todos los aspectos de la administración de seguridad de la información; si fuera posible encontrar un grupo de principios de definición, probablemente sería tan abstracto que tendría poco valor. En cambio, adaptamos un enfoque pragmático y nos enfocamos en áreas clave de administración de seguridad de la información que son esenciales para programas de seguridad bien fundados. Este capítulo examinará cinco tipos de mejores prácticas: Alineación de seguridad de la información y estrategias de negocio Definición e implementación de políticas y procedimientos Evaluación del estado de la seguridad de la información Administración de medidas de seguridad de múltiples puntos Creación de un entorno de seguridad adaptable Algunos lectores se preguntarán sobre temas de seguridad que aparecen muy a menudo en las noticias: troyanos, botnet, keylogger, robo de identidades, violación de bases de datos y otros. Todos estos temas se cubren en este capítulo, al menos de manera implícita; pero como este capítulo debe demostrar, la administración de seguridad de la información requiere más que una reacción ad hoc ante las diez peores amenazas de seguridad enumeradas en las últimas ediciones anuales de revistas comerciales. Sin intención de menospreciar las amenazas, especialmente la creciente sofisticación de los botnet, rootkit y engaños phishing, que son amenazas serias; debemos decir que probablemente no constituyan los problemas más apremiantes que enfrentaremos en el futuro. En pocos años, podríamos enfrentar malware que se moverá fácilmente de los servidores a los smartphone, robo de información desde dispositivos de identificación por radiofrecuencia y delitos cibernéticos organizados que comenzarán a nublar la diferencia entre seguridad de la información y guerra cibernética. Las mejores prácticas en seguridad de la información están diseñadas para proteger información, sistemas y activos relacionados ante una variedad de amenazas, incluyendo aquellas que no se comprenden en su totalidad o que todavía no pueden anticiparse. Esto se realiza minimizando los puntos de ataque potenciales mientras todavía se administra la eficiencia y la utilidad de sus sistemas y procesos. Esto requiere que las prácticas de seguridad respalden las estrategias organizacionales generales. 290
5 Alineación de la seguridad de la información con estrategias de negocio Las decisiones sobre la implementación de medidas de seguridad de la información no pueden realizarse en el vacío y ciertamente no pueden realizarse mediante la simple implementación de una lista ajena de políticas y prácticas. Las prácticas de seguridad deben ser coherentes con los objetivos y las operaciones de negocio y, en particular, deben considerar al menos tres factores: Eficiencia operacional Cumplimiento Flexibilidad y adaptabilidad Al igual que la misma práctica de administración de seguridad, estos factores se extienden a la mayoría de, o a todas, las partes de una organización. Eficiencia operacional La presión competitiva surge a partir de una gran cantidad de factores, desde la globalización y la disminución de barreras comerciales, hasta mejoras en la administración de cadenas de suministros e información. Las organizaciones exitosas responden y se adaptan a estas fuerzas de mercado, y las prácticas de seguridad de la información desempeñan una función importante. Las mejores prácticas en eficiencias operacionales incluyen estrategias de defensa en profundidad y prácticas de seguridad orientadas. Mejores prácticas: defensa en profundidad Las soluciones para la seguridad, que en un primer momento parecen ser un obstáculo para la eficiencia, realmente pueden preservarla. Tome como ejemplo las mejores prácticas de la defensa en profundidad. Las estrategias de defensa en profundidad utilizan muchos de tipos de medidas de seguridad en distintos puntos, dentro de la infraestructura de la información. La suposición subyacente es que cualquier solución simple podría fallar; pero la protección colectiva de medidas múltiples con el uso de técnicas múltiples puede mitigar las vulnerabilidades y limitaciones inherentes. La combinación de soluciones de seguridad puede incluir: Antivirus basados en la red y en el host Servidores de seguridad (firewall) personales y de red Filtrado de contenidos Prevención de intrusos Auditoría Controles de acceso Administración de identidades Administración de informes y administración de seguridad consolidados. 291
6 A simple vista, una lista como ésta puede ser intimidante. Cualquier persona que haya trabajado con aplicaciones de negocio y las haya respaldado entiende la complejidad de estos sistemas y el tiempo y los recursos necesarios para mantenerlas. Cómo se puede mejorar la eficiencia operacional al agregar una gran cantidad de soluciones de seguridad a una lista de aplicaciones? La respuesta se encuentra en la estabilidad brindada por estas medidas. La previsibilidad permite flujos de trabajo eficientes y precisos. Dada la combinación de una creciente dependencia de TI basada en comunicaciones de red confiables y confidenciales con ataques cada vez más sofisticados a estos servicios de comunicación; resulta esencial un marco de seguridad integral para mantener operaciones consistentes y fiables. Mejores prácticas: medidas operacionales específicas Las eficiencias operacionales de las funciones de seguridad pueden mejorarse aún más al considerar: El soporte del servicio de atención al cliente La administración de usuarios El cumplimiento y las auditorías Los flujos de procesos La prevención de amenazas Por ejemplo, un gran porcentaje de llamadas al soporte del servicio de atención al cliente se relaciona con problemas de seguridad, tales como el restablecimiento de contraseñas. Las mejores prácticas en eficiencias operacionales incluyen: Autoservicio para el restablecimiento de contraseñas. Esto puede reducir el costo de los restablecimientos solicitados al servicio de atención al cliente, el cual se estima entre $30 y $60 cada uno. Mantenimiento de programas anti-malware y anti-software espía actualizados y activos. Los software espía, troyanos y keylogger son amenazas tanto para la seguridad como para la productividad. Consolidación de administración de identidades para reducir el tiempo necesario para abastecer y desabastecer usuarios. De todos estos, el cumplimiento y la auditoría son los más importantes con respecto a los objetivos de negocio. Para obtener más información sobre administración de seguridad y eficiencias operacionales, consulte el capítulo 7. Cumplimiento El cumplimiento normativo es una responsabilidad global en la organización, pero varios problemas de implementación se encuentran dentro del área de tecnología de la información. Es esencial que las estrategias de negocio originen esfuerzos de cumplimiento, pero al mismo tiempo, las operaciones de TI con respecto al cumplimiento deben ser integrales y adaptables. La mejor práctica más importante con respecto al cumplimiento es mantener un marco integral de seguridad de la información que cumpla con los requisitos de todas las regulaciones relevantes. Las soluciones basadas en silos que apuntan a una única regulación conducirán 292
7 en última instancia a la réplica de dificultades de administración y esfuerzos, a medida que aumenta la cantidad de silos de cumplimiento. Regulaciones orientadas a la integridad Muchas de las regulaciones más importantes se concentran en preservar la integridad de la información empresarial o en proteger la confidencialidad de la información de individuos. Por ejemplo, algunas de las regulaciones orientadas a la integridad son: Ley Sarbanes-Oxley Ley Gramm-Leach-Bliley Basel II Título 21 del Código de Regulaciones Federales (CFR), Parte 11 Ley sobre el Abuso y Fraude de Computadoras Ley de Firmas Electrónicas en el Comercio Global y Nacional Planificación de continuidad empresarial del Consejo Federal de Examen de Instituciones Financieras (FFIEC) Ley Federal de Administración de la Seguridad de la Información Algunas de estas regulaciones rigen para una amplia gama de agencias gubernamentales y de negocio, tales como la Ley Sarbanes-Oxley que regula empresas que cotizan en bolsa, y la Ley Federal de Administración de la Seguridad de la Información que rige en varios departamentos federales. Otras se encuentran más orientadas a industrias específicas, tales como el Título 21 del CFR Parte 11 que rige para la industria farmacéutica, y las pautas del FFIEC sobre continuidad laboral que rigen para la industria financiera. De manera similar, las regulaciones surgen de una variedad de fuentes. Algunas son leyes nacionales, como la Ley Sarbanes-Oxley que se aplica a empresas de los Estados Unidos, mientras otras, como la Basel II, se establecen mediante organismos internacionales y rigen transacciones en varios países. Las regulaciones de privacidad también son diversas. Regulaciones orientadas a la privacidad Las regulaciones de privacidad han surgido durante la última década en muchos países y a partir de una variedad de instituciones gobernantes. Estas regulaciones son: Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA), de Canadá Ley Federal de Privacidad de Australia Directiva de la Unión Europea (UE) 95/46/EC (directiva de protección de datos de privacidad y comunicaciones electrónicas) Directiva de la UE 2002/58/EC Ley 1386 del Senado de California (SB) De la misma manera que las regulaciones de integridad de la información, estas regulaciones varían desde regulaciones específicas de la industria, como la HIPAA que apunta a la industria de atención médica de los Estados Unidos, hasta aquellas de aplicación 293
8 global, como las directivas de privacidad de Australia, Canadá y la Unión Europea. Esta lista de ejemplos también demuestra que los gobiernos de niveles provinciales o estatales, de niveles nacionales y de niveles transnacionales están estableciendo protecciones de privacidad. Mejores prácticas en cumplimiento Mantener al día la variedad de regulaciones es un desafío. Para minimizar las demandas de personal y sistemas de TI, las agencias gubernamentales y las empresas deben establecer marcos de seguridad que cumplan con los requisitos fundamentales de todas las regulaciones y que se adapten a los requisitos específicos de las regulaciones individuales, según sea necesario. Los componentes mínimos de un marco de cumplimiento integral incluyen: Medidas de seguridad para controlar el acceso a la información, ya sea sobre individuos u operaciones organizacionales Medidas de seguridad de dispositivo de cliente, servidor y red para proteger los dispositivos y las aplicaciones y para prevenir violaciones Prácticas de administración de versiones, administración de cambios y administración de parches Auditorías y monitoreo del estado de la seguridad del sistema Cifrado de información, especialmente cuando la información se transmite o se almacena en dispositivos como computadoras portátiles, PDA y smartphone Capacitación en seguridad Esta lista debe considerarse un punto de inicio para un programa de cumplimiento integral, pero debido a la cantidad de gobiernos y organismos de control industrial que establecen regulaciones, es esencial que cualquier marco de cumplimiento y seguridad mantenga la flexibilidad para adaptarse a nuevos requisitos. Flexibilidad y adaptabilidad Debido a la velocidad constante a la cual cambian las amenazas de seguridad, es muy importante que los marcos de seguridad sean flexibles y adaptables, pero qué significa esto en la práctica? La seguridad flexible no está diseñada para enfrentar un grupo fijo de amenazas. Por ejemplo, el software de antivirus flexible no sólo detecta malware conocido sino que también es lo suficientemente flexible como para detectar variaciones que todavía podrían no tener firmas predefinidas. De manera similar, los sistemas de prevención de intrusos (IPS), que detectan y bloquean formas novedosas de ataque, presentan flexibilidad. La adaptabilidad es un rasgo similar y permite que los profesionales de la seguridad utilicen combinaciones existentes de herramientas para tratar los problemas emergentes. Por ejemplo, los sistemas de control de acceso podrían estar desarrollados para limitar la habilidad del usuario para ejecutar programas y utilizar recursos, pero también podrían utilizarse para registrar intentos de acceso que a su vez son utilizados como parte de un régimen de monitoreo requerido por una nueva regulación gubernamental. Como conclusión, la flexibilidad emerge del diseño de una herramienta; la adaptabilidad es una función de su forma de uso. Las dos son atributos valiosos desde la perspectiva de eficiencia operacional. La eficiencia operacional se basa en la relación entre estrategias de negocio y prácticas de seguridad. Otro grupo de mejores prácticas que sirve para alcanzar las metas de seguridad y los objetivos operacionales son las políticas y los procedimientos bien definidos. 294
9 Políticas y procedimientos de seguridad de la información Los procedimientos y las políticas de seguridad deben apuntar a una amplia variedad de temas, por lo tanto una lista de políticas básicas tiende a ser ad hoc e incoherente. Nuestro enfoque es utilizar el estándar internacionalmente conocido, ISO 17799, como guía para formular políticas. Las áreas más importantes de ISO son: Evaluación de riesgos Política de seguridad Organización de seguridad de la información Administración de activos Seguridad de recursos humanos Seguridad física y ambiental Administración de operaciones y comunicaciones Control de acceso Adquisición, implementación y mantenimiento de sistemas de información Administración de incidentes Administración de continuidad Cumplimiento Es necesario destacar que estas categorías no son mutuamente excluyentes y que podría existir una superposición entre éstas. Algunos de los procedimientos y políticas descritos a continuación podrían pertenecer discutiblemente a otra categoría. El punto no es encontrar algún tipo de verdad existencial en este esquema, sino crear un sistema para organizar lo que puede convertirse rápidamente en una lista interminable y poco eficiente de temas. Utilizar la ISO como punto de partida ayuda a asegurar que se cubran todas las áreas importantes de seguridad de la información. Evaluación de riesgos Dos disciplinas dentro de la evaluación de riesgos son el análisis de riesgos y la evaluación de vulnerabilidades. Análisis de riesgos Las políticas de evaluación de riesgos deben guiar los procedimientos de mitigación y análisis de riesgos de una organización. Específicamente, dichas políticas deben asegurar que: Se identifiquen todos los activos de información Se asignen valores a activos de información Se documenten amenazas contra los activos Se identifiquen las vulnerabilidades en aplicaciones, dispositivos y redes Se aborden evaluaciones cuantitativas y cualitativas de amenazas contra activos Se prioricen los riesgos en relación con su impacto y probabilidad 295
10 Las evaluaciones cuantitativas de riesgos dependen de los valores de activos, las probabilidades de amenazas, la proporción de una pérdida de activo si se materializa una amenaza y otras medidas. No siempre se encuentran disponibles cálculos precisos y exactos de estos parámetros. En tales casos, las técnicas cualitativas, como el acuerdo entre expertos, pueden utilizarse para categorizar impactos y probabilidades en categorías altas, medias y bajas. Evaluación de vulnerabilidades Las evaluaciones de vulnerabilidades exploran aplicaciones, sistemas operativos (SO) y redes para detectar debilidades potenciales que puedan ser explotadas por amenazas. Debe ponerse en vigencia una política que defina: Tipos de evaluaciones de vulnerabilidades para llevar a cabo Frecuencia de las evaluaciones Requisitos de informes Expectativas de mitigar vulnerabilidades Como con otras políticas de seguridad, en general, el objetivo de una política de evaluación de vulnerabilidades no es detallar cómo debe llevarse a cabo la evaluación sino qué se debe evaluar y cómo se deben tratar las conclusiones. Para obtener información actualizada sobre vulnerabilidades, consulte CA Vulnerability Advisor (Asesor de vulnerabilidades de CA), en Para obtener más información sobre evaluación de riesgos y administración de vulnerabilidades, consulte el capítulo 4. Política de seguridad Las estrategias de seguridad se definen dentro de políticas. Ya que esta sección del capítulo está dedicada a los tipos de políticas que deben encontrarse vigentes, es apropiado que uno de los estándares ISO trate sobre las políticas en sí mismas. Aunque los detalles específicos de políticas de seguridad variarán de acuerdo con los requisitos particulares del área de la política, cada política debe incluir varios elementos esenciales: Declaración de objetivos Declaración del alcance Componentes de la política Mecanismos de cumplimiento Definiciones Referencias y recursos 296
11 Declaración de objetivos La declaración de objetivos debe definir claramente los objetivos de la política. Por ejemplo, una política de cifrado inalámbrico incluiría una declaración sobre la necesidad de mantener la confidencialidad de los datos del cliente y de proteger los activos intelectuales de la empresa, así como también otras motivaciones estratégicas para dicha política. Declaración del alcance La sección de alcance identifica lo que establece la política y su influencia. Una política de uso aceptable, por ejemplo, podría aplicarse a empleados, contratistas, consultores, socios de negocio y otras personas a las que se otorga acceso a la infraestructura de información. Componentes de la política Los componentes de la política constituyen el centro de la política. En este punto, los autores definen la estrategia de negocio para tratar un problema de seguridad. En algunos casos, la política podría ser medianamente genérica. Una política de correo electrónico podría establecer que sólo los empleados y otras personas con compromisos contractuales a largo plazo con una empresa contarán con cuentas de correo electrónico, que el correo electrónico se utiliza para propósitos de negocio pero que es aceptable el uso personal ocasional, y que todos los mensajes de correo electrónico son propiedad de la empresa, la cual podrá monitorear el uso del correo electrónico de la forma que considere necesario. Otras políticas, como las políticas de cifrado, podrían profundizar en un mayor nivel de detalles técnicos; por ejemplo, identificar algoritmos de cifrado particulares y la longitud de claves. Mecanismos de cumplimiento La sección de mecanismos de cumplimiento define las opciones disponibles para la empresa o agencia, en caso de que se viole la política. Estas secciones tienden a ser más bien genéricas y enuncian cosas tales como que: Los empleados pueden recibir sanciones disciplinarias, inclusive la finalización del empleo. Pueden revocarse los privilegios para utilizar un servicio, tales como correo electrónico. Los socios de negocio pueden encontrarse sujetos a sanciones financieras. La sección de cumplimiento es el último de los elementos principales de una política; las últimas dos secciones brindan material de respaldo. Definiciones, referencias y recursos La sección de definiciones describe términos técnicos y empresariales. La sección de referencias y recursos es opcional y se utiliza para brindar información previa. Por ejemplo, si una política hace referencia a una regulación particular, la sección de referencias y recursos puede brindar enlaces a información sobre tal regulación. 297
12 Organización de seguridad de la información Se requiere que las estructuras organizacionales formales implementen seguridad de la información. Esto incluye definir roles y responsabilidades dentro de una organización para tratar: El establecimiento de políticas de seguridad La supervisión y coordinación de actividades de seguridad La asignación de responsabilidades específicas a roles dentro de la organización La coordinación de medidas de seguridad con partes externas, tales como socios de negocio El establecimiento de políticas de seguridad es generalmente una responsabilidad ejecutiva de administración, que se lleva a cabo con el asesoramiento técnico de un ejecutivo principal de seguridad u otro profesional de TI de alto nivel. El ejecutivo principal de seguridad o su equivalente debe ser responsable de la supervisión; mientras que las responsabilidades específicas se distribuyen entre gerentes de sistemas, administradores de base de datos, administradores de red y otros profesionales de primera línea. Administración de activos Las políticas de administración de activos tratan la necesidad de compilar y mantener un inventario de activos de información. Esto respalda otras actividades, tales como la administración de riesgos. Los activos se asignan a propietarios que responsables de estos activos pero no necesariamente del mantenimiento diario. Por ejemplo, un director de comercialización podría ser el propietario de una base de datos de comercialización pero un administrador de base de datos podría realizar la administración diaria. Los activos de información deben dividirse en categorías de acuerdo con el nivel de protección que requieren. Los esquemas de clasificación más comunes son: Activos públicos: la información pública podrá divulgarse sin dañar a la organización, sus clientes o a otros integrantes. Activos importantes: la información importante no debe publicarse, pero si esto sucediera, podría provocar un daño menor a una organización. Por ejemplo, si se divulgan cronogramas de proyectos, los competidores podrían contar con ideas adicionales sobre los planes de una organización pero no con información suficiente como para poner en peligro la efectividad de los planes. Activos confidenciales: la información confidencial no puede ser divulgada sin consecuencias adversas significativas para una agencia o empresa; los secretos comerciales son ejemplos de información confidencial. Activos privados: la información privada es información sobre empleados, clientes, pacientes, constituyentes y otras personas, que si se divulgara, afectaría de manera adversa a esos individuos. Otra tarea perteneciente a la administración de activos es establecer políticas de uso aceptable para los activos. 298
13 Seguridad de recursos humanos Las políticas de seguridad de recursos humanos rigen la forma en la que la seguridad se administra durante el ciclo de vida de los empleados, desde la contratación y el empleo hasta la finalización de éste. La seguridad de recursos humanos comienza con el proceso de contratación e incluye el control de antecedentes, el control de referencias y la presentación de información sobre políticas y expectativas a los empleados potenciales. Los empleadores deben solicitar a los empleados que firmen acuerdos de no divulgación y no competencia, antes de otorgar el empleo. Durante el empleo, las organizaciones deben brindar capacitación sobre mejores prácticas de seguridad, informar a los empleados sobre los procedimientos y políticas de seguridad y contar con procesos disciplinarios y de revisiones en vigencia para responder ante violaciones de las políticas. La finalización del empleo puede ser un período difícil y es importante que medidas de seguridad adecuadas se encuentren en vigencia para proteger los activos. Se debe solicitar a los empleados que han finalizado su trabajo en la empresa, que restituyan los activos físicos, tales como computadoras, token de seguridad y otros dispositivos. Se deben revocar los derechos de acceso y se debe bloquear el acceso a las cuentas de usuario. El material confidencial debe devolverse a la organización. Seguridad física y ambiental Históricamente, la seguridad física y la seguridad electrónica han sido responsabilidades diferentes dentro de la mayoría de las organizaciones. Dos factores están cambiando esta relación. Primero, los cambios en tecnologías, tales como redes inalámbricas, actualmente agregan una dimensión física a la seguridad electrónica. Con un equipamiento adecuado y una gran proximidad, un atacante podría acceder a una red inalámbrica y robar información transmitida a través de la red. Segundo, la información de seguridad física, tal como registros de personas que acceden y salen de áreas seguras, está creciendo en volumen. Además, la información de seguridad física puede incrementar la información de la seguridad electrónica para mejorar la seguridad general. Si un director financiero (CFO) ingresa a un área segura de la oficina central y sólo unos minutos después aparece iniciando sesión en el sistema financiero desde una oficina satelital, la información de acceso podría haber sido robada o podría estar ocurriendo una infracción. Tener acceso a información de seguridad electrónica y física puede mejorar la habilidad de detectar y prevenir violaciones como ésta. En general, las políticas físicas y ambientales deben estar definidas para: Proteger activos utilizando información de seguridad física y electrónica Establecer los tipos de controles de acceso físico necesarios para instalaciones particulares Establecer protecciones adecuadas contra desastres naturales Controlar la distribución de equipos móviles Controlar la reutilización y eliminación de equipos Las políticas ambientales y físicas también respaldan la administración de operaciones, la cual es un área diversa y amplia. 299
14 Administración de operaciones y comunicaciones La administración de operaciones y comunicaciones abarca diferentes áreas: Planificación de operaciones Protección contra malware Protección de activos de red Establecimiento de procedimientos de recuperación y respaldo Monitoreo de operaciones Cada una de estas áreas dentro de la administración de operaciones y comunicaciones debe contar con políticas establecidas. Planificación de operaciones La planificación de operaciones es una de las áreas más amplias dentro de la formulación de políticas debido a que incluye muchas tareas clave: Planificación de capacidad Administración de parches Control de cambios Planificación de capacidad La responsabilidad de la planificación de capacidad es poco clara; ningún individuo o grupo puede prever las necesidades a través de medianas operaciones de TI. La planificación de capacidad requiere un conocimiento detallado de estrategias de negocio, rendimiento de aplicaciones, uso actual, además de planes y cronogramas de proyectos. La administración ejecutiva debe establecer políticas que pongan en vigencia un proceso formal de planificación de capacidad para que la información pueda recabarse de todas las partes relevantes de una organización y utilizarse de manera coordinada para establecer una planificación a largo plazo para la infraestructura de la información. Administración de parches Las políticas de administración de parches deben definir las condiciones para aplicar parches. La aplicación de parches es una parte esencial de la administración de seguridad y presenta su propio grupo de desafíos: La interrupción de operaciones para instalar parches Las dependencias entre componentes de aplicaciones que podrían verse afectados por un parche La introducción de fallas imprevistas a través de parches Las políticas de administración de parches deben brindar pautas sobre cuándo (y cuándo no) aplicar parches. Por ejemplo, los parches descritos por los proveedores como cruciales para la seguridad podrían instalarse sin demasiado análisis si la amenaza es importante. Los parches de mantenimiento no relacionados con problemas de seguridad podrían instalarse durante operaciones normales de ciclos de mantenimiento. Las pautas establecidas en las políticas pueden utilizarse para perfeccionar los procedimientos de decisiones para instalar parches. 300
15 Control de cambios El control de cambios es otra área de planificación de operaciones y, de la misma manera que la administración de parches, trata la naturaleza dinámica de la infraestructura de TI. La administración de cambios es un proceso formal para examinar las consecuencias de un cambio y para preparar de manera adecuada todas las partes afectadas. Las políticas de control de cambios establecen consejos de control de cambios y les otorgan la autoridad de aprobar o denegar cambios en la infraestructura. Los detalles y procedimientos de decisión considerados se dejan en manos de los miembros del consejo de control de cambios; el objetivo de esta política es establecer un proceso. Protección contra malware El malware es una amenaza muy conocida. Los tipos de malware y su sofisticación continúan creciendo. Actualmente, los profesionales de TI deben combatir diferentes tipos de malware: Virus Gusanos Troyanos Botnet Rootkit Keylogger Software espía Las políticas de esta área deben especificar los requisitos para el uso de aplicaciones antiespía y antivirus, en la red y a nivel del dispositivo. Las políticas también deben dirigir el desarrollo de procedimientos de corrección. Protección de activos de red Los activos de red están protegidos por una variedad de políticas: Política de red privada virtual (VPN) Política de seguridad inalámbrica Política sobre el router Política sobre el servidor de seguridad Política de prevención de intrusos Política de filtrado de contenidos Política de cifrado La red requiere una variedad de medidas de seguridad. Algunas de ellas, tales como el filtrado de contenidos y los servidores de seguridad, son principalmente defensas de perímetros; bloquean el tráfico no deseado antes de que llegue demasiado lejos dentro de la red. Otras protecciones son dominantes, tales como las políticas de seguridad inalámbrica y cifrado que se aplican al tráfico de la red. La políticas de esta área definen los objetivos de defensa de la red (por ejemplo, preservan la integridad y confidencialidad de la información transmitida a través de la red); así como también 301
16 los principios de alto nivel, tales como todos los puertos de servidores de seguridad que se encuentran bloqueados, a menos que explícitamente necesiten abrirse. Respaldo y recuperación Las políticas de respaldo y recuperación definen los niveles de respaldo requeridos según el tipo de información. Por ejemplo, los datos indispensables pueden requerir replicaciones en tiempo real para asegurar la continuidad de las operaciones, mientras otros datos menos urgentes pueden ser respaldados durante la noche o incluso semanalmente. Las operaciones de recuperación se describen de manera similar en términos de categorías de información. Una política podría describir una recuperación estratificada con recuperaciones indispensables necesarias en un corto período de tiempo (minutos u horas), mientras otras ventanas de recuperación podrían extenderse desde horas a días. No es éste el lugar para definir cómo se cumplen estos objetivos, pero sí para simplemente definirlos y permitir que los profesionales de TI formulen la implementación técnica. Monitoreo de operaciones Las políticas de monitoreo deben definir los parámetros para monitorear sucesos de red, de aplicación y de operación. Específicamente, las políticas deben incluir: La discusión de mantener registros de auditorías para aplicaciones y sistemas operativos El monitoreo de instalaciones físicas La protección de registros contra la manipulación Ésta es otra área de desarrollo de políticas que respalda y, a veces, se superpone con otras. En este caso, el monitoreo de operaciones se superpone con la seguridad ambiental y física. La administración de operaciones y comunicaciones incluye una parte significativa de actividades de TI y respalda una cantidad de otras áreas de la política. Sin operaciones y comunicaciones confiables y establecidas, otras áreas, como los mecanismos de control de acceso, no serían posibles. Control de acceso Las políticas de control de acceso deben tratar los problemas relacionados con el usuario, así como también aquellos relacionados con la tecnología. Como mínimo, las políticas de control de acceso deben tratar: La categorización y etiquetado de información Los procedimientos de control de acceso de usuarios, tales como métodos de autenticación Las políticas de segmentación de red Los controles de acceso del sistema operativo Llos controles de acceso de aplicaciones Los controles de acceso de instalaciones físicas Nuevamente, existe una superposición obvia con otras áreas de la política. Es esencial que los controles de acceso se encuentren alineados con los esquemas de clasificación de información. Por ejemplo, se necesita un mayor control de acceso para proteger información privada y confidencial en relación con la información pública. 302
17 Adquisición, implementación y mantenimiento de sistemas de información Los arquitectos de sistemas y los ingenieros de software han creado ciclos de vida de una aplicación y modelos de sistemas integrales. Las políticas deben definirse para brindar una guía con respecto a la adquisición, implementación y mantenimiento de activos de información, incluyendo la necesidad de una adquisición por etapas basada en: La planificación y recopilación de requisitos El análisis y diseño La implementación Las comprobaciones La activación (administración de versiones) El mantenimiento Los detalles específicos del ciclo de vida y la metodología particular utilizada para el desarrollo de sistemas son menos importantes que contar con una política establecida que respalde y requiera un modelo de implementación controlado y por etapas. Administración de incidentes Las políticas de administración de incidentes deben centrarse en detectar incidentes, informarlos y controlar los daños causados, tanto los daños inmediatos como los de largo plazo. El objetivo principal de las políticas de respuesta ante incidentes es establecer un procedimiento de respuestas y una jerarquía de informes. Los procedimientos establecidos según la administración de incidentes deben incluir: El control de daños mediante el aislamiento de los sistemas afectados La restauración de sistemas funcionales El aprendizaje a partir del incidente La preservación de información forense en caso de procedimientos legales La administración de incidentes puede superponerse en algunos aspectos con la administración de continuidad. Administración de continuidad Las políticas para asegurar continuidad empresarial deben incluir: Requisitos de planificación de continuidad, incluyendo la identificación de eventos que pueden interrumpir las operaciones Establecimiento de planes de continuidad Comprobación y revisión de planes de continuidad El último elemento es uno que se omite fácilmente, pero las comprobaciones y actualizaciones son una parte esencial de las operaciones de continuidad empresarial. 303
18 Política de cumplimiento Las organizaciones pueden contar con amplio criterio con respecto a algunas políticas, tales como el filtrado de contenidos y el bloqueo de URL; si una empresa desea permitir que sus empleados desperdicien su tiempo en sitios de apuestas, así será. Sin embargo, otras políticas se encuentran sujetas a más limitaciones y la auditoría es una de ellas. Las regulaciones, como la Ley Sarbanes-Oxley, exigen controles internos adecuados, lo que a veces se traduce en implementaciones costosas. En términos de mejores prácticas en relación con auditorías, se deben formular políticas de auditoría teniendo en cuenta regulaciones tales como la Ley Sarbanes-Oxley, y como punto de partida, se deben utilizar marcos de administración tales como los Objetivos de control para la información y tecnología relacionada (COBIT). Para obtener más información sobre COBIT, consulte el material de la Asociación para la Auditoría y el Control de Sistemas de Información en Las políticas son partes esenciales de cualquier marco de seguridad de la información. Éstas brindan las bases sobre las cuales se construyen la implementación y administración de las medidas de seguridad de una organización. En esta sección se ha utilizado el estándar ISO como punto de partida para la organización de las políticas. Existen muchos tipos de políticas de seguridad y tratar de desarrollarlas a todas de una sola vez puede ser una posibilidad intimidante. El estándar ISO brinda una visión integral de las principales áreas de seguridad y, por lo tanto, es una buena guía de referencia para establecer políticas de seguridad. Para obtener más información sobre ISO y estándares relacionados, consulte el sitio Web de la Organización Internacional para la Estandarización, específicamente Por supuesto, una vez que estas políticas se encuentren en funcionamiento, existe la práctica de seguridad de la información y una gran cantidad de mejores prácticas relacionadas con la seguridad. Evaluación del estado de la seguridad integrada A lo largo de esta guía, el tema de la defensa en profundidad ha surgido repetidas veces. Aunque la forma más básica de defensa en profundidad utiliza múltiples medidas de seguridad para tratar riesgos, la forma más valiosa también implica una defensa en profundidad integrada. No sólo se implementan varios medios para proteger activos, sino que se configuran y administran de manera tal que funcionen en conjunto. Esta sección examinará algunos aspectos de la administración de seguridad integrada: El monitoreo del estado de la seguridad integrada La administración de vulnerabilidades Los dispositivos administrados y semiadministrados que van más allá de los servidores de seguridad Estos temas no cubren todo el alcance de la seguridad integrada pero juntos brindan una imagen de los problemas involucrados en la evaluación del estado de la seguridad integrada. 304
19 Monitoreo del estado de la seguridad integrada El sello de un sistema de seguridad integrado es la habilidad de recopilar y coordinar datos de múltiples sistemas y utilizarlos para tomar decisiones, cosa que no sería posible sin la integración. Este ideal no siempre se materializa como quisiéramos, pero el proceso de alcanzar el objetivo correcto incluye: El establecimiento de puntos de partida La auditoría La integración de información a partir de múltiples sistemas de seguridad Establecimiento de puntos de partida La toma de decisiones, ya sea sobre estrategias de negocio, administración de operaciones o administración de seguridad, a menudo se basa en cambios marginales. Tome el ejemplo del simple caso de tráfico de red: Si un router experimenta una carga de 10 Gbps, es eso algo que requiere atención? Una aplicación de base de datos responde a 10,000 consultas por minuto, es eso una carga inusual? Un servidor ftp ha recibido 15 Gb en la última hora, es eso inusual? 1200 usuarios han accedido al servidor de correo electrónico en un plazo de 30 minutos, es eso una carga pesada inusual? En cada caso, la pregunta no puede responderse sin contar con algunas medidas iniciales del rendimiento de la red. En el caso del router, la carga podría ser perfectamente normal en una oficina central o podría indicar un ataque DoS en una pequeña oficina satelital. 10,000 consultas por minuto a una base de datos es un número alto, pero puede esperarse esto? Están los desarrolladores llevando a cabo una prueba de esfuerzo? Es la base de datos un servicio de datos internos para un sitio Web de mucho tráfico? De manera similar, parece inusual que un servidor ftp reciba 15 Gb en una hora, pero podría tratarse de una parte de una gran carga de datos a un almacenamiento de datos que ocurre de forma regular. Finalmente, en el caso de los 1200 usuarios del correo electrónico, todo depende. Cuántos usuarios cuentan con acceso al sistema? Ocurre esto a primera hora de la mañana de un día lunes o a mitad de la noche durante un fin de semana? Se requiere que los puntos de partida de cargas esperadas de aplicaciones y redes entiendan las actividades inusuales y planifiquen las tendencias evidentes en el uso de aplicaciones y redes. 305
20 Auditoría Auditoría, es este contexto, hace referencia a la recolección de información sobre eventos de aplicación y sistemas significativos (en oposición a los estudios formales llevados a cabo por auditores para evaluar el estado general de la seguridad de una organización). Los sistemas operativos, los sistemas de bases de datos, las aplicaciones y los dispositivos de red pueden llevar a cabo auditorías. Determinar cuánto detalle recolectar es un acto de equilibrio. En general, se comienza con una cantidad mínima de detalles y se agregan más, según sea necesario. Considere un sistema de auditoría de base de datos. Se podría registrar cada operación de lectura, actualización, eliminación e inserción, así como también operaciones de inicio/cierre de sesión y los cambios en las estructuras de base de datos. Esto puede generar grandes volúmenes de datos que son difíciles de analizar; por ejemplo, los eventos más importantes tales como cambios en las estructuras de bases de datos, fallas de inicio y cambios en las tablas cruciales. Además, se verifican puntos en los cuales se pierde información potencialmente útil. Por ejemplo, si una aplicación combina las conexiones de bases de datos, múltiples usuarios podrían utilizar una única conexión; por lo tanto la actividad en la base de datos no se registra para un usuario específico sino para un recurso compartido. En este caso, podría existir una necesidad de utilizar la auditoría de aplicaciones junto con la auditoría de base de datos. Éste es un ejemplo del problema más general con respecto a integrar información de varios sistemas. Integración de información de múltiples sistemas Con los puntos de partida establecidos, el próximo paso es integrar los datos de seguridad a partir de múltiples sistemas. A menudo, los datos provenientes de un único sistema brindan sólo una imagen parcial de la situación. Por ejemplo, saber que la usuaria Jane Doe ha fallado en su intento de autenticación en el sistema de cuentas por pagar podría ser de poco interés si Jane trabaja en el departamento de cuentas por pagar y ha tipeado incorrectamente su contraseña; sin embargo, si Jane trabaja en comercialización, que se registra en el directorio de protocolo ligero de acceso a directorios (LDAP), el evento podría ser significativo. La integración de la información es difícil y los problemas varían en complejidad. En un extremo del espectro se encuentran los problemas relativamente simples, tales como la sincronización de relojes en servidores y otros dispositivos de red. En el otro extremo se encuentran los desafíos tales como determinar si aumentos aleatorios evidentes en el tráfico de salida de una gran cantidad de PC dentro de la red son verdaderamente aleatorios o son indicativos de un botnet que distribuye spam de maneras que no llamen la atención. En ese caso, es necesario conocer adonde se dirige el tráfico de salida, qué eventos han sido registrados por el software de antivirus en dichas PC y si son vulnerabilidades conocidas, comunes a esos dispositivos. Los sistemas de administración de información sobre seguridad (SIM) pueden tratar estos problemas al recolectar y analizar datos a partir de múltiples fuentes: Sensores de red Servicios de autorización y autenticación Sistemas anti-malware IPS Servidores de aplicación Servicios de administración de vulnerabilidades y activos 306
21 Dispositivos de seguridad y servidores de seguridad Los sistemas SIM son tecnologías emergentes y sin ninguna duda se convertirán en un componente integral para los marcos de seguridad. Estos dispositivos pueden brindar una alerta y un informe coordinados, lo que no es posible con soluciones a un punto único. Para obtener más información sobre SIM, consulte el capítulo 4. Otro aspecto de la evaluación del estado de la seguridad integrada es entender las vulnerabilidades de la infraestructura. Administración de vulnerabilidades Las mejores prácticas en administración de vulnerabilidades se basan en el ciclo de vida de la administración de vulnerabilidades. El proceso comienza con el monitoreo de vulnerabilidades conocidas y la referencia a aquellas con una infraestructura de organización. El monitoreo debe apuntar a la arquitectura de sistemas, configuraciones, aplicaciones, sistemas operativos y configuraciones de hardware. Este tipo de monitoreo puede realizarse mediante investigación ad hoc, monitoreo de redes y monitoreo basado en agentes. Una vez que se identifican las vulnerabilidades, se asocian con activos y se priorizan. Las consideraciones de negocio y técnicas entran en juego al momento de priorizar las vulnerabilidades. Deben considerarse varias preguntas: Qué servicios clave están amenazados? Se encuentran comprometidos los dispositivos y las aplicaciones cruciales? De qué manera se alteran los servicios debido a la aplicación de parches? Según las respuestas a estas preguntas, se establece y se prueba un plan de corrección. Luego de la implementación, deben continuar el monitoreo y los informes. Si desea obtener información detallada sobre administración de vulnerabilidades, consulte el capítulo 3. Las vulnerabilidades del día cero no se adaptan a este modelo porque, por definición, la vulnerabilidad es desconocida para los proveedores y desarrolladores hasta que es explotada. Este tipo de vulnerabilidades es una de las justificaciones más claras para la implementación de estrategias de defensa en profundidad: existen debilidades inherentes en dispositivos y aplicaciones individuales que deben ser compensadas con otros dispositivos y aplicaciones. Actualmente, el estado de la seguridad integrada se extiende más allá de problemas tales como integración de la información y administración de vulnerabilidades para incluir desafíos con dispositivos administrados y semiadministrados utilizados más allá de los servidores de seguridad. 307
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesCurso: Arquitectura Empresarial basado en TOGAF
Metodología para desarrollo de Arquitecturas (ADM) El ADM TOGAF es el resultado de las contribuciones continuas de un gran número de practicantes de arquitectura. Este describe un método para el desarrollo
Más detallesCOBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
Más detallesOperación 8 Claves para la ISO 9001-2015
Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,
Más detallesCaso práctico de Cuadro de Mando con Tablas Dinámicas
1 Caso práctico de Cuadro de Mando con Tablas Dinámicas Luis Muñiz Socio Director de SisConGes & Estrategia Introducción Hay una frase célebre que nos permite decir que: Lo que no se mide no se puede controlar
Más detallesPlan de Estudios. Maestría en Seguridad Informática
Plan de Estudios Maestría en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías de la Información
Más detallesLista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1
Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos
Más detallesPolítica de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.
de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre
Más detallesPolíticas de seguridad de la información. Empresa
Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido
Más detallesAdopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.
1.- Del funcionamiento del Directorio. A. De la adecuada y oportuna información del Directorio, acerca de los negocios y riesgos de la sociedad, así como de sus principales políticas, controles y procedimientos.
Más detallesISO 17799: La gestión de la seguridad de la información
1 ISO 17799: La gestión de la seguridad de la información En la actualidad las empresas son conscientes de la gran importancia que tiene para el desarrollo de sus actividades proteger de forma adecuada
Más detallesActividades para mejoras. Actividades donde se evalúa constantemente todo el proceso del proyecto para evitar errores y eficientar los procesos.
Apéndice C. Glosario A Actividades de coordinación entre grupos. Son dinámicas y canales de comunicación cuyo objetivo es facilitar el trabajo entre los distintos equipos del proyecto. Actividades integradas
Más detallesNORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)
NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone
Más detalles153. a SESIÓN DEL COMITÉ EJECUTIVO
ORGANIZACIÓN PANAMERICANA DE LA SALUD ORGANIZACIÓN MUNDIAL DE LA SALUD 153. a SESIÓN DEL COMITÉ EJECUTIVO Washington, D.C., EUA, 4 de octubre del 2013 Punto 5.2 del orden del día provisional CE153/5 (Esp.)
Más detallesA. Compromiso de Ecolab con la Protección de la Privacidad de Datos
DECLARACIÓN DE POLÍTICA DE PRIVACIDAD DE ECOLAB INC. A. Compromiso de Ecolab con la Protección de la Privacidad de Datos La Declaración siguiente precisa los Datos Personales que Ecolab puede recolectar,
Más detallesGERENCIA DE INTEGRACIÓN
GERENCIA DE INTEGRACIÓN CONTENIDO Desarrollo del plan Ejecución del plan Control de cambios INTRODUCCIÓN La gerencia de integración del proyecto incluye los procesos requeridos para asegurar que los diversos
Más detallesLA METODOLOGÍA DEL BANCO PROVINCIA
20 LA METODOLOGÍA DEL BANCO PROVINCIA Cómo gestionar activos de información? En 2007, el Banco Central de la República Argentina (BCRA) planteó algunas exigencias financieras para el sistema financiero
Más detalles4. METODOLOGÍA. 4.1 Materiales. 4.1.1 Equipo
4. METODOLOGÍA 4.1 Materiales 4.1.1 Equipo Equipo de cómputo. Para el empleo del la metodología HAZOP se requiere de un equipo de cómputo con interfase Windows 98 o más reciente con procesador Pentium
Más detallesMINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA
MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA La Paz, Agosto de 2010 REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO INTERNET
Más detallesIntroducción. Ciclo de vida de los Sistemas de Información. Diseño Conceptual
Introducción Algunas de las personas que trabajan con SGBD relacionales parecen preguntarse porqué deberían preocuparse del diseño de las bases de datos que utilizan. Después de todo, la mayoría de los
Más detallesCAPÍTULO III MARCO TEÓRICO. Cada día cambian las condiciones de los mercados debido a diferentes factores como: el
CAPÍTULO III MARCO TEÓRICO 3.1 Introducción Cada día cambian las condiciones de los mercados debido a diferentes factores como: el incremento de la competencia, la globalización, la dinámica de la economía,
Más detallesACUERDO DE ACREDITACIÓN Nº 328 CARRERA DE PEDAGOGÍA EN ARTES VISUALES UNIVERSIDAD DE VIÑA DEL MAR VIÑA DEL MAR
ACUERDO DE ACREDITACIÓN Nº 328 CARRERA DE PEDAGOGÍA EN ARTES VISUALES UNIVERSIDAD DE VIÑA DEL MAR VIÑA DEL MAR ABRIL 2015 ACUERDO DE ACREDITACIÓN Nº 328 Carrera de Pedagogía en Artes Visuales Universidad
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesLicenciatura en Computación
Res. CFI 21/06/2012 Res. CDC 25/09/2012 Pub. DO 31/10/2012 Plan de Estudios Licenciatura en Computación Facultad de Ingeniería 1 Antecedentes y fundamentos 1.1 Antecedentes En la Facultad de Ingeniería,
Más detallesNorma ISO 9001:2015. Cuáles son los cambios presentados en la actualización de la Norma?
Norma ISO 9001:2015 Cuáles son los cambios presentados en la actualización de la Norma? Norma ISO 9001:2015 Contenido Introducción Perspectiva de la norma ISO 9001 Cambios de la norma ISO 9001 Cambios
Más detallesIDENTIDAD DEL TITULAR DEL SITIO WEB
IDENTIDAD DEL TITULAR DEL SITIO WEB El sitio web y red social periodistasdeportivostv.es son de titularidad de TRACOR, S.A., con domicilio en la calle López de Hoyos, 370, 29043 Madrid, con código de identificación
Más detallesSeguridad en la red. Fuga o robo de información a causa de las siguientes razones:
Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:
Más detallesConstrucción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización
Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización En esta nota Aprovechar la tecnología de la nube puede contribuir a disminuir los
Más detallesNORMA TÉCNICA DE AUDITORÍA SOBRE CONSIDERACIONES RELATIVAS A LA AUDITORÍA DE ENTIDADES QUE EXTERIORIZAN PROCESOS DE ADMINISTRACIÓN
Resolución de 26 de marzo de 2004, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre consideraciones relativas a la auditoría de entidades
Más detallesMANTENIMIENTO Y SOPORTE
MANTENIMIENTO Y SOPORTE Copyright 2014 Magalink SA Todos los derechos reservados. Este documento no puede ser reproducido de ninguna manera sin el consentimiento explícito de Magalink S.A. La información
Más detallesActualización de las Normas Internacionales para el ejercicio profesional de la Auditoría Interna NIA *
Actualización de las Normas Internacionales para el ejercicio profesional de la Auditoría Interna NIA * * Presentación basada en información publicada por el Instituto de Auditores Internos IIA. NIA: Actualización
Más detallesSubgerencia General Auditoría General
Subgerencia General Auditoría General Actualización de la Normas Internacionales para el ejercicio profesional de la Auditoría Interna MARCO REGULATORIO DEL INSTITUTO DE AUDITORES INTERNOS Temario 1. Vigencia
Más detallesPRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI
PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado
Más detallesCentrados en sus objetivos SERVICIOS Y SOPORTE DE AGILENT RESUMEN DE POSIBILIDADES
Centrados en sus objetivos SERVICIOS Y SOPORTE DE AGILENT RESUMEN DE POSIBILIDADES Los laboratorios se enfrentan en la actualidad a complejos desafíos científicos y empresariales que exigen disponer del
Más detallesPARA COMERCIANTES Y AUTÓNOMOS. INFORMACIÓN SOBRE TARJETAS DE CRÉDITO.
PARA COMERCIANTES Y AUTÓNOMOS. INFORMACIÓN SOBRE TARJETAS DE CRÉDITO. QUÉ DEBES SABER CUANDO ACEPTAS UNA TARJETA COMO FORMA DE PAGO EN TU ESTABLECIMIENTO? Hace ya muchos años que la mayoría de las microempresas
Más detallesÍNDICE. Introducción. Alcance de esta NIA Fecha de vigencia
NORMA INTERNACIONAL DE AUDITORÍA 706 PARRAFOS DE ÉNFASIS EN EL ASUNTO Y PARRAFOS DE OTROS ASUNTOS EN EL INFORME DEL AUDITOR INDEPENDIENTE (En vigencia para las auditorías de estados financieros por los
Más detallesPolítica de Uso Aceptable para Medios Sociales
Política de Uso Aceptable para Medios Sociales Introducción Visión Mundial Colombia establece la política relacionada con el uso aceptable de medios sociales para ayudar a todos los miembros de la Red
Más detallesAcuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández.
Acuerdo de aprobación de la Normativa Básica de Correo Electrónico de la Universidad Miguel Hernández. Con el fin de regular el uso de los recursos informáticos y telemáticos del servicio de correo en
Más detallesASEGURAMIENTO DE LA CALIDAD EN LABORATORIO
FUNDACION NEXUS ASEGURAMIENTO DE LA CALIDAD EN LABORATORIO Marzo de 2012 CALIDAD, CONTROL DE LA CALIDAD Y ASEGURAMIENTO DE LA CALIDAD El laboratorio de análisis ofrece a sus clientes un servicio que se
Más detallesADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS
5 ADMINISTRACIÓN DE BASES DE DATOS DISTRIBUIDAS Contenido: 5.1 Conceptos Generales Administración de Bases de Datos Distribuidas 5.1.1 Administración la Estructura de la Base de Datos 5.1.2 Administración
Más detallesGerència de Recursos Direcció del Sistema Municipal d Arxius POLÍTICA DE GESTIÓN DOCUMENTAL DEL AYUNTAMIENTO DE BARCELONA
POLÍTICA DE GESTIÓN DOCUMENTAL DEL AYUNTAMIENTO DE BARCELONA 19 de Noviembre de 2015 INSTRUCCIÓN DE POLÍTICA DE GESTIÓN DOCUMENTAL DEL AYUNTAMIENTO DE BARCELONA Preámbulo En los últimos años, la gestión
Más detallesEL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO
EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO CONTENIDO 1. Prefacio... 3 2. Misión... 3 3. Visión... 3 4. Planeación... 3 5. Inventario y adquisiciones...
Más detallesCONSENTIMIENTO INFORMADO PARA PARTICIPAR EN UN REGISTRO DE INVESTIGACIÓN DE LA DIABETES
CONSENTIMIENTO INFORMADO PARA PARTICIPAR EN UN REGISTRO DE INVESTIGACIÓN DE LA DIABETES INVESTIGADOR PRINCIPAL: Andrew S. Pumerantz, DO 795 E. Second Street, Suite 4 Pomona, CA 91766-2007 (909) 706-3779
Más detallescopia no controlada ACUERDO DE SERVICIO Sistemas-Gestión de los Servicios Informáticos AS-T-01 Rev. 46 1. OBJETIVO
Páginas 1 de 10 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios
Más detallesCAPÍTULO I. Sistemas de Control Distribuido (SCD).
1.1 Sistemas de Control. Un sistema es un ente cuya función es la de recibir acciones externas llamadas variables de entrada que a su vez provocan una o varias reacciones como respuesta llamadas variables
Más detallesServicios Administrados al Cliente
Dell Administrados al Cliente Los servicios administrados le pueden ayudar. Al aplicar un proceso de administración consistente a través de los imprevistos en la vida de su computadora, usted puede minimizar
Más detallesTener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos:
Protege tu WiFi Qué riesgos hay en que alguien utilice nuestra WiFi? Tener la WiFi abierta implica tener nuestra conexión a Internet compartida, además de otros riesgos: Reducción del ancho de banda. Dependiendo
Más detallesDATOS IDENTIFICATIVOS DEL MÓDULO FORMATIVO INSTALACIÓN Y CONFIGURACIÓN DE APLICACIONES INFORMÁTICAS
MÓDULO FORMATIVO DATOS IDENTIFICATIVOS DEL MÓDULO FORMATIVO INSTALACIÓN Y CONFIGURACIÓN DE APLICACIONES INFORMÁTICAS Duración 60 Código MF0221_2 Familia profesional INFORMÁTICA Y COMUNICACIONES Área profesional
Más detallesORIENTACIONES SIMCE TIC
ORIENTACIONES SIMCE TIC Sistema Nacional de Medición de Competencias TIC en Estudiantes ORIENTACIONES SIMCE TIC Sistema Nacional de Medición de Competencias TIC en Estudiantes INDICE Introducción 7 Prueba
Más detallesCAPITULO VI ESTRATEGIAS DE OUTSOURCING
CAPITULO VI ESTRATEGIAS DE OUTSOURCING Cuando una compañía decide llevar a cabo un proceso de outsourcing debe definir una estrategia que guíe todo el proceso. Hay dos tipos genéricos de estrategia de
Más detallesde riesgos ambientales
MF1974_3: Prevención de riesgos TEMA 1. Análisis y evaluación de riesgos TEMA 2. Diseño de planes de emergencia TEMA 3. Elaboración de simulacros de emergencias TEMA 4. Simulación del plan de emergencia
Más detallesCómo los cambios dentro de una empresa exigen una reevaluación de las inversiones de TI
Cómo los cambios dentro de una empresa exigen una reevaluación de las inversiones de TI Introducción Uno de los desafíos más difíciles que enfrenta el equipo de administración de una empresa es cómo abordar
Más detallesPOLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC
POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC 04 de febrero de 2015 La, tiene como finalidad identificar, evaluar y mitigar los riesgos relevantes del CDECSIC, organizando los sistemas de control interno
Más detallesPolítica de Privacidad del Grupo Grünenthal
Política de Privacidad del Grupo Grünenthal Gracias por su interés en la información ofrecida por Grünenthal GmbH y/o sus filiales (en adelante Grünenthal ). Queremos hacerle saber que valoramos su privacidad.
Más detallesPolítica de Privacidad por Internet
Política de Privacidad por Internet Última actualización: 17 de noviembre de 2013 Su privacidad es importante para nosotros. Esta Política de Privacidad por Internet explica cómo recopilamos, compartimos,
Más detallesEl alumno conocerá el diseño y la planificación de estrategias corporativa y competitiva, para proyectar a la empresa en una posición de ventaja
SESIÓN 9 PLANEACIÓN ESTRATÉGICA OBJETIVO El alumno conocerá el diseño y la planificación de estrategias corporativa y competitiva, para proyectar a la empresa en una posición de ventaja DISEÑO Y PLANIFICACIÓN
Más detallesIII ED PREMIOS EMPRENDEDOR UCM
El guión que se presenta a continuación pretende ser una guía de los contenidos que debería reunir el Proyecto que se presente al certamen. No obstante, si se ha elaborado previamente el documento a partir
Más detallesLa norma ISO 19011:2011
La norma ISO 19011:2011 ISO 19011:2002 ISO 17021:2006 ISO 17021: 2011 e ISO 19011:2011 Términos nuevos: Riesgo Auditoría a distancia Definición Auditoría Proceso sistemático, independiente y documentado
Más detallesSistema de Mensajería Empresarial para generación Masiva de DTE
Sistema de Mensajería Empresarial para generación Masiva de DTE TIPO DE DOCUMENTO: OFERTA TÉCNICA Y COMERCIAL VERSIÓN 1.0, 7 de Mayo de 2008 CONTENIDO 1 INTRODUCCIÓN 4 2 DESCRIPCIÓN DE ARQUITECTURA DE
Más detallesCapítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL PROYECTO
Capítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL PROYECTO Dante Guerrero Piura, 2013 FACULTAD DE INGENIERÍA Área Departamental de Ingeniería Industrial y de Sistemas Capítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL
Más detallesplataforma GloBAl de defensa Y promoción
plataforma GloBAl de defensa Y promoción Acerca del Instituto de Auditores Internos El Instituto de Auditores Internos (IIA, en inglés) es la voz global de la profesión de auditoría interna, reconocida
Más detallesAdopción SÍ NO PRÁCTICA. 1.- Del funcionamiento del Directorio.
1.- Del funcionamiento del Directorio. A. De la adecuada y oportuna información del Directorio, acerca de los negocios y riesgos de la sociedad, así como de sus principales políticas, controles y procedimientos.
Más detallesReporte Especial: Qué Es El Coaching Y Cómo Se Diferencia De Otras Actividades?
Reporte Especial: Qué Es El Coaching Y Cómo Se Diferencia De Otras Actividades? (+58) 424 233 90 13 info@liderazgosinlimites.com Este reporte es un pequeño extracto de nuestro Curso De Coaching Acelerado.
Más detallesUN CAMINO SIMPLE HACIA LA NUBE PRIVADA
UN CAMINO SIMPLE HACIA LA NUBE PRIVADA Julio, 2015 Con la llegada de las nubes privadas fáciles de usar y diseñadas para ejecutar aplicaciones empresariales críticas para el negocio, las organizaciones
Más detallesGRUPO DE ACCIÓN SOBRE LA CAPACIDAD LEGAL SEGÚN LA CONVENCION
GRUPO DE ACCIÓN SOBRE LA CAPACIDAD LEGAL SEGÚN LA CONVENCION DISEÑO DE SISTEMAS DE TOMA DE DECISIONES CON APOYO: UNA GUÍA PARA EL DIÁLOGO Febrero de 2009 INTRODUCCIÓN El artículo 12 de la Convención de
Más detallesCUESTIONARIO DE AUTOEVALUACIÓN
CUESTIONARIO DE AUTOEVALUACIÓN El presente Cuestionario permite conocer en qué estado de madurez se encuentra el Sistema de Gestión Ambiental (en adelante, SGA) de su organización, de acuerdo a los requisitos
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesGrupo de Trabajo del Tratado de Cooperación en materia de Patentes (PCT)
S PCT/WG/8/7 ORIGINAL: INGLÉS FECHA: 12 DE MARZ0 DE 2015 Grupo de Trabajo del Tratado de Cooperación en materia de Patentes (PCT) Octava reunión Ginebra, 26 a 29 de mayo de 2015 FORMACIÓN DE EXAMINADORES
Más detallesUnidad VI: Supervisión y Revisión del proyecto
Unidad VI: Supervisión y Revisión del proyecto 61. Administración de recursos La administración de recursos es el intento por determinar cuánto, dinero, esfuerzo, recursos y tiempo que tomará construir
Más detalles2.1 Planificación del Alcance
2. Gestión del Alcance del Proyecto La Gestión del Alcance del Proyecto incluye los procesos necesarios para asegurarse que el incluya todo el trabajo requerido, y sólo el trabajo requerido, para completar
Más detallesFigure 16-1: Phase H: Architecture Change Management
Fase H Administración del cambio en la Arquitectura Figure 16-1: Phase H: Architecture Change Management Objetivos Los objetivos de la Fase H son: Asegurarse de que el ciclo de vida de arquitectura se
Más detallesINTRODUCCIÓN AL MONITOREO ATMOSFÉRICO 214
CONCLUSIONES En este documento se define como monitoreo atmosférico a la obtención continua y sistemática de muestras ambientales y su análisis para determinar los tipos y concentración de los contaminantes
Más detallesEl papel del sistema portuario en el funcionamiento de la economía es. fundamental. Una simple observación de los movimientos que diariamente se
1. Introducción. El papel del sistema portuario en el funcionamiento de la economía es fundamental. Una simple observación de los movimientos que diariamente se producen en los puertos permite comprender
Más detallesIntroducción. La diferenciación positiva de las empresas de APROSER
Introducción La diferenciación positiva de las empresas de APROSER La Asociación Profesional de Compañías Privadas de Seguridad (APROSER) se creó en 1977. Es la patronal en la que se integran empresas
Más detallesANEXO INFORMACION RESPECTO DE LA ADOPCION DE PRACTICAS DE GOBIERNO CORPORATIVO
ANEO INFORMACION RESPECTO DE LA ADOPCION DE PRACTICAS DE GOBIERNO CORPORATIVO Práctica ADOPCION SI NO 1. Del funcionamiento del Directorio A. De la adecuada y oportuna información del directorio, acerca
Más detallesEMPRESAS AQUACHILE S.A. ANEXO NCG No. 341
ANEO NCG No. 341 Práctica Adopción SI NO 1. Del Funcionamiento del Directorio A. De la adecuada y oportuna información del directorio, acerca de los negocios y riesgos de la Sociedad, así como de sus principales
Más detallesPor qué es importante la planificación?
Por qué es importante la planificación? La planificación ayuda a los empresarios a mejorar las probabilidades de que la empresa logre sus objetivos. Así como también a identificar problemas claves, oportunidades
Más detalles0226. SEGURIDAD INFORMÁTICA
0226. SEGURIDAD INFORMÁTICA Atendiendo a lo establecido en la Orden de 7 de julio de 2009 (BOJA núm. 165 de 25 de agosto), que desarrolla el currículo correspondiente al título de Técnico en Sistema Microinformáticos
Más detallesDe acuerdo con la diferente naturaleza de las operaciones, esta política diferenciará fundamentalmente entre dos tipos de operaciones:
Política de ejecución de Órdenes de Altura COMENTARIOS PREVIOS Y ALCANCE DE ESTA POLÍTICA Esta política será de aplicación a las órdenes recibidas de clientes que no tengan la categoría de contraparte
Más detallesEl Rol Estratégico de los Sistemas de Información. Aplicaciones de sistemas clave en la organización (1)
El Rol Estratégico de los Sistemas de Información Aplicaciones de sistemas clave en la organización (1) Puesto que en una organización hay diferentes intereses, especialidades y niveles, hay diferentes
Más detallesSin cambios significativos.
0. Introducción 0. Introducción 0.1 Generalidades 0.1 Generalidades 0.2 Principios de la gestión de la calidad Estas cláusulas se mantienen casi iguales; en la nueva versión se explica el contexto de la
Más detallesPRÁCTICAS DE CONFIDENCIALIDAD RELACIONADAS CON ESTE SITIO WEB
PRÁCTICAS DE CONFIDENCIALIDAD RELACIONADAS CON ESTE SITIO WEB Su confidencialidad es importante para MAPEI S.p.A. y sus subsidiarias y afiliados a nivel mundial (en conjunto, "MAPEI"). Esta declaración
Más detallesNORMA ISO 31000 DE RIESGOS CORPORATIVOS
NORMA ISO 31000 DE RIESGOS CORPORATIVOS La norma ISO 31000 establece principios y guías para el diseño, implementación y mantenimiento de la gestión de riesgos en forma sistemática y transparente de toda
Más detallesNota de Información al cliente Auditoría Multisede
Nota de Información al cliente Auditoría Multisede La presente Nota de Información al Cliente explica las principales características de una Auditoría Multisede. Por lo general, las auditorías de certificación
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detalles8. RESULTADOS PREVISTOS
8. RESULTADOS PREVISTOS Para determinar las tasas de graduación, eficiencia y abandono es recomendable partir de los resultados obtenidos en los últimos años: E.U. de Magisterio de Guadalajara. Tasa de
Más detallesMETODOLOGÍA PARA LA PRESENTACIÓN Y EVALUACIÓN DE PROYECTOS DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES. Versión Preliminar 3.0
METODOLOGÍA PARA LA PRESENTACIÓN Y EVALUACIÓN DE PROYECTOS DE TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES Propuestas en recuadros Notas Importantes: Versión Preliminar 3.0 Por favor diligencie todas las
Más detallesCAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM
CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM 59 En este tercer capítulo se presenta el diseño de un mecanismo de detección de tráfico malicioso para RedUNAM. Abarca
Más detallesCondiciones generales
Condiciones generales Objeto. Descripción de los servicios IURISCAR S.L. domiciliada en C/ Fuencarral nº 135, 3º exterior izda. 28010 Madrid, CIF: B-83610352, es el creador y propietario de la Base de
Más detallesCONSIDERACIONES ACERCA DE LOS PRINCIPIOS ÉTICOS Y LA MALA PRAXIS
CONSIDERACIONES ACERCA DE LOS PRINCIPIOS ÉTICOS Y LA MALA PRAXIS Sobre la ética de la publicación y la declaración de negligencia Como parte de nuestros esfuerzos para mejorar la calidad de la revista,
Más detallesInfraestructura Tecnología y servicios de vanguardia sin ataduras. www.prosystem.es01
Tecnología y servicios de vanguardia sin ataduras www.prosystem.es01 Tecnología y servicios de vanguardia sin ataduras Servicios Gestionados de Monitorización Sistemas SIHS Gestión Documental Open Source
Más detallesCuáles son las funciones y desempeño asociadas del equipo en su contexto operativo?, o un poco mas coloquialmente;
Desarrollando un Plan de Mantenimiento apoyados en RCM Vamos ahora a ver un poco hacia adentro las 7 preguntas fundamentales para el desarrollo del RCM y veamos como podemos hacerlo en una forma práctica
Más detallesLINEAMIENTOS PARA LA ELABORACIÓN DEL PROGRAMA ANUAL DE TRABAJO
LINEAMIENTOS PARA LA ELABORACIÓN DEL PROGRAMA ANUAL DE TRABAJO Junio 2012 INDICE 1. INTRODUCCIÓN 2. ANTECEDENTES 3. SITUACIÓN ACTUAL A) Daños a la Salud Principales características sociodemográficas Principales
Más detallesLINEAMIENTOS BASICOS PARA EL DISEÑO Y ESTABLECIMIENTO DE SISTEMAS DE ALERTA TEMPRANA Juan Carlos Villagrán De León CIMDEN-VILLATEK, Guatemala
LINEAMIENTOS BASICOS PARA EL DISEÑO Y ESTABLECIMIENTO DE SISTEMAS DE ALERTA TEMPRANA Juan Carlos Villagrán De León CIMDEN-VILLATEK, Guatemala En el contexto de los desastres naturales, los Sistemas de
Más detallesDECLARACIÓN INTERNACIONAL DE PRÁCTICAS DE AUDITORÍA 1013. COMERCIO ELECTRÓNICO EFECTO EN LA AUDITORÍA DE ESTADOS FINANCIEROS (Vigente)
DECLARACIÓN INTERNACIONAL DE PRÁCTICAS DE AUDITORÍA 1013 COMERCIO ELECTRÓNICO EFECTO EN LA AUDITORÍA DE ESTADOS FINANCIEROS (Vigente) Report to the Audit Committee February 26, 2010 Objetivo El propósito
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesBoletín de Asesoría Gerencial* Cómo alcanzar la madurez en la administración del Riesgo Operacional?
Espiñeira, Sheldon y Asociados Cómo alcanzar la madurez en la administración del Riesgo Operacional? No. 13-2008 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento
Más detallesORACLE ES LA COMPAÑÍA DE INFORMACIÓN
ORACLE ES LA COMPAÑÍA DE INFORMACIÓN Acelerar la velocidad del mercado en la industria automovilística. Resumen Ejecutivo Discutiremos el valor de una solución de Gestión de Proyectos en la aceleración
Más detallesPara obtener una cuenta de padre
Orientación de Calificaciones Portal Padres Temas Principales Características Para obtener una Cuenta de Padres Lineamientos sobre el uso Manejo de la Cuenta Información de apoyo Calificaciones en Portal
Más detalles