Análisis de la Norma BCRA A 4609

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Análisis de la Norma BCRA A 4609"

Transcripción

1 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo II: Fase Práctica Lic. Matías Pagouapé 5 de Junio de 2007 Buenos Aires - ARGENTINA

2 Estrategia de implementación Estrategia de implementación Recomendaciones Liderazgo: nombrar un líder idóneo para dirigir la implementación de la norma A Alternativa: tercerizar el liderazgo en consultores externos. Responzabilidades del líder: coordinar los esfuerzos de la entidad para cumplir en tiempo y forma con la normativa. 2

3 Estrategia de implementación Metodología: a) Gap Analysis -Identificación de Requerimientos para el estado deseado. -Relevamiento del estado actual. Determinación del Gap. -Identificación de acciones necesarias para alcanzar el estado deseado. b) Ejecución de Implementación -Acciones: determinación de tiempos, presupuestos, recursos humanos y prioridades. -Delegación de tareas a los distintos responsables. -Seguimiento. -Reporte a la alta gerencia. 3

4 Estrategia de implementación Herramientas: a) Matriz -Eje Y: Items del Comunicado A Eje X: Número de Item, Descripción, Estado de cumplimiento, Acción Requerida, Áreas involucradas, Presupuesto requerido, RRHH necesarios, Tiempo de implementación, Prioridad, Tareas Previas Requeridas, % de Avance. b) Diagrama de Gantt -MS Project u otros. -Útiles para determinar la duración total del proyecto y seguimiento. 4

5 Recomendaciones puntuales para el cumplimiento de la norma Recomendaciones puntuales sobre puntos clave para el cumplimiento de la norma A

6 Organigramas y Responsabilidades Seguridad de la Información en el organigrama corporativo (2.4, 2.5.3, 3.1.1) Considerando que la norma establece: Áreas de Sistemas y Área de Seguridad de la Información independientes de otras áreas usuarias. Área de Seguridad de la Información independiente del Área de Sistemas o del Área de Auditoría. Segregación de funciones por contraposición de intereses. Se podría ilustrar el siguiente organigrama modelo: 6

7 Organigramas y Responsabilidades Seguridad de la Información en el organigrama corporativo (2.4, 2.5.3, 3.1.1) Directorio / CEO Dirección General Sistemas / Informática Seguridad de la Información Auditoría Análisis Funcional/Programación Control de Calidad Operaciones Administración de Resguardos Implementaciones Data Entry Administración de bases de datos Administración de redes Administración de comunicaciones Asignación de Perfiles Definición e implementación de políticas, perfiles y accesos Control y Monitoreo de seguridad informática Administración de sistemas operativos Mesa de Ayuda 7

8 Organigramas y Responsabilidades Seguridad de la Información Organización del área (3.1.1, 3.1.5) Crear un documento orgánico con las funciones, roles, misiones y responsabilidades del área y de cada uno de sus sectores (como mínimo se deberá contemplar los items de la A 4609). Contratar personal formado en implementación de controles y políticas de seguridad. Capacitar y actualizar al personal. 8

9 Organigramas y Responsabilidades Nuevas Responsabilidades Concientización Sistemas - Seguridad de la Información - Auditoría Estudio Completo de la Norma Directorio - CEO Presentación y Resumen que incluya los siguientes puntos (incluidos todos los temas, no sólo seguridad) 1, 2.1, 2.2, 2.3, 3.1.4, 3.2, 4.1, 4.2, 5.4, 6.1, 7.2, 7.6, 7.7 9

10 Reportes Reportes formales de Seguridad y Continuidad (2.3, 3.1.5, ) Reporte Frecuencia-Motivo Origen Destino Análisis de Riesgos de Sistemas de Información N/A Sugerido: anual N/A Sugerido: Seguridad- Gestión de Riesgos Directorio-CEO Incidente de Seguridad - Vulnerabilidad En caso de incidente de seguridad o vulnerabilidad Seguridad Propietario de datos - Administrador Reporte Operativo (almacenado en CD/DVD, por 2 años, con hash). Sugerido: trimestral Seguridad Gerencia General / Directorio-CEO Reporte de pruebas de Continuidad de procesamiento Anual Auditoría - Áreas usuarias Directorio-CEO 10

11 Análisis de Riesgos de Sistemas Análisis de Riesgos de Sistemas (2.3) Es la base para la toma de decisiones relacionadas con la seguridad. De él depende: Estrategia. Políticas de Seguridad. Plan de Continuidad de Procesamiento. El Directorio o CEO es responsable directo de la gestión de riesgos de sistemas. El Análisis de Riesgos de Sistemas debe ser actualizado periódicamente (sugerido anualmente). 11

12 Análisis de Riesgos de Sistemas Análisis de Riesgos de Sistemas (2.3) El análisis de riesgos tiene metodología estándar. Ej: COBIT, NIST, Octave (CERT). Debe ser realizado por personal experimentado en la metodología análisis, sistemas y seguridad. 2 opciones de implementación: 1) Ejecución in house: designando personal capacitado en la materia. 2) Tercerización: mediante consultoras independientes 12

13 Análisis de Riesgos de Sistemas Etapas generales de un Análisis de Riesgos de Sistemas 1. Identificación de activos informáticos 2. Clasificación de activos informáticos críticos 3. Determinación de la Matriz de Impacto 4. Determinación de la Matriz de Probabilidad de Ocurrencia 5. Determinación de la Matriz de Riesgos 6. Identificación de Amenazas 7. Determinación de Riesgos Brutos y Riesgos Residuales 13

14 Seguridad Informática Normativas de seguridad internas Normativas de seguridad internas Estrategia (3.1.2) Es el documento de más alto rango en la documentación de seguridad. Debe ser validada y aprobada por el Directorio o CEO. Se puede implementar a través de la redacción de un documento de aproximadamente 2 hojas. Es análoga al Preámbulo de la Constitución. Requiere conocimientos avanzados en management de seguridad. Debe mencionar el compromiso, alineación y equilibrio de la seguridad de la información con los objetivos de negocio. 14

15 Seguridad Informática Normativas de seguridad internas Estructura de la documentación (3.1.2, 3.1.4) Comparable con: Estrategia Preámbulo Políticas Constitución Normas Leyes Procedimientos Lineamientos Reglamentaciones Standards/Checklists/Baselines 15

16 Seguridad Informática Normativas de seguridad internas Políticas (3.1.4) El Directorio o CEO debe ser el principal interesado en las Políticas. Deben ser aprobadas directamente por él. Las Políticas de Seguridad de la Información pueden conformarse en un único documento. Típicamente poseen entre 15 y 25 páginas. Deben ser comunicadas a toda la compañía. Se recomienda ejecutar presentaciones para que cada gerencia entienda cual es su rol en el mantenimiento de la seguridad. Su redacción requiere conocimientos avanzados en management de seguridad. Buenas fuentes para usar como punto de partida para el desarrollo de políticas son: A 4609, ISO : 2005, ISO 27001:2005, Manual de Preparación al Exámen CISM. Deben ser revisadas periódicamente. 16

17 Seguridad Informática Normativas de seguridad internas Normas y resto de documentación (3.1.4) Son documentos consecuentes y derivados de la Política. Son emitidas por el área de Seguridad de la Información. Los puntos mínimos a reglar están listados en el punto del comunicado. Deben ser revisados periódicamente ante cambios tecnológicos o de procedimientos. Son documentos que requieren alta adaptación a la entidad. Se recomienda el esfuerzo en una redacción clara, sin ambigüedades y con optimización de recursos y tiempos. 17

18 Seguridad Informática Planeamiento de recursos Planeamiento de Recursos (3.1.3) Para cumplir las metas de seguridad es necesario preveer los recursos necesarios. Por lo que se recomienda: Establecer en las Políticas de Seguridad la ejecución de un presupuesto anual para el Área de Seguridad que contemple dinero y personal necesario para alcanzar las metas de seguridad. Establecer en las Políticas de Seguridad que todo nuevo proyecto informático debe contemplar los requerimientos de seguridad desde el inicio del ciclo de vida. 18

19 Seguridad Informática Clasificación de Datos y Niveles de Seguridad Clasificación de Datos y Niveles de Seguridad ( ) Se recomiendan los siguientes pasos: Redactar la Norma de Clasificación de Datos. En esencia, la misma contendría la definición de niveles y el tratamiento de cada nivel. Niveles típicos: Público, Interno, Confidencial, Estrictamente Confidencial. Clasificar toda la información que maneja la entidad en un anexo de la norma. Se aconseja validar con el Directorio o CEO. La administración de accesos debe ser coherente con la clasificación. 19

20 Seguridad Informática Control de accesos y Actualización Control de Accesos y Actualización ( ) El contenido de la primera parte del punto debería ser parte de una Norma de Control de Accesos (salvo actualización y parches). La mayoría de esos puntos están pensados para aplicaciones y sistemas operativos de red, por lo que es razonable la no implementación de algunos puntos en ciertos dispositivos (ej, registro histórico de contraseñas en un print server, bloqueo de cuentas en un access point por intentos fallidos, etc). Se aconseja emitir una norma de Administración de Actualizaciones para tratar el tema parches. El resto del punto son buenas prácticas recomendadas aunque no obligatorias. 20

21 Seguridad Informática Control de accesos y Actualización Acceso de bajo nivel a bases de datos ( , 5.6) El acceso de bajo nivel a los datos es altamente riesgoso. Dado que las aplicaciones encargadas de resguardar la integridad, confidencialidad y disponibilidad de los mismos sufren un bypass. El punto y 5.6 debería ser tratado especialmente en la Norma de Control de Accesos. Se debe impedir el acceso a datos por fuera de las aplicaciones a personas o software utilitario. La cantidad de personal que posee este tipo de privilegios deber ser mínimo, sus acciones registradas y vigiladas. 21

22 Seguridad Informática Logs y alertas Punto Registros de auditoría (logs) y Descripción Actividad de bajo nivel con datos Registros Operativos de usuarios en aplicaciones Actividad de Control de Accesos y usuarios privilegiados. Excepciones y actividades críticas en plataforma alertas Medio de almacenamiento No reutilizable (ej CD/DVD) No reutilizable No reutilizable No reutilizable Tiempo de conservación 10 años 10 años 10 años 10 años Monitoreo y Alertas? Si Si Si Si 6.2 Actividad de Cajeros Automáticos No reutilizable (no papel term.) 10 años N/A 6.2 Sistema de Administración de Cajeros Automáticos No reutilizable 10 años Si 6.3 Sistema de Administración de POS No reutilizable 10 años Si 6.4, 6.5,6.6 Transacciones y gestión de claves en e-banking, m-banking y phone banking No reutilizable 10 años Si 22

23 Seguridad Informática Logs y alertas Alertas de Seguridad ( ) La A 4609 exige implementar funciones de detección y alerta de accesos sospechosos a los sistemas así como monitoreo constante de los accesos. Aunque no exige que sean automatizados. Sin embargo, recomienda la automatización para reducir costos operativos de la seguridad (IDSs/IPSs y herramientas de análisis de logs). 23

24 Seguridad Informática Software malicioso Software malicioso ( ) Antivirus / Antispyware en las plataformas propensas a infección o tráfico (desktops, gateways de correo, etc). Programa de Concientización de usuarios. (charlas, carteleras, mails de alerta). 24

25 Seguridad Informática Seguridad física Seguridad física Seguridad física (3.2) El objetivo planteado es proteger físicamente los activos de información, que incluyen a: Personas (en primera instancia) Hardware Software Datos productivos Archivo (Papeles, backups, registros de seguridad, etc) 25

26 Seguridad Informática Seguridad física Construcción y localización de instalaciones (3.2.1) Destacable: el comunicado sugiere bajo perfil para la ubicación del centro de cómputos (recordar crisis de 2001). Esta medida puede reducir en gran medida el riesgo de conmoción popular en nuestro país. 26

27 Seguridad Informática Seguridad física Acceso físico al centro de cómputos (3.2.2) El control de acceso físico puede implementarse a través de un sistema automatizado, o bien manualmente (ej. través de un guardia). Es obligatorio el registro de las entradas al centro de cómputos (automatizadamente o manualmente). 27

28 Seguridad Informática Continuidad del procesamiento Continuidad del procesamiento (y del negocio) (4) La A 4609 exige la implementación de un Business Continuity Plan (BCP). El BCP es un proyecto que requiere: Compromiso por parte de la Dirección de la empresa para que sea efectivo y pueda ser desarrollado con éxito. Conciencia del tamaño del Proyecto. Inversiones (Hardware, Software, Lugar físico, Consultoría, Recursos humanos, Contratos, etc). ES UN PROYECTO DE NEGOCIOS, NO SÓLO TECNOLÓGICO. 28

29 Seguridad Informática Continuidad del procesamiento Componentes Metodológicos del BCP 29

30 Seguridad Informática Continuidad del procesamiento Continuidad del procesamiento Pasos Necesarios (4.1) Obtener recursos Presentar al Directorio o CEO la necesidad de elaborar el plan de recuperación con el fin de: - mitigar los riesgos identificados en el Análisis de Riesgos, - mitigar el riesgo de no cumplir con la normativa del BCRA, -cumplir con las Políticas de Seguridad internas de la entidad. Asignar un área o sector encargado de crear, mantener y probar el BCP. Sugerencia: crear un Comité de coordinación con miembros del Directorio, Sistemas, Seguridad, Auditoría y Dueños de procesos. 30

31 Seguridad Informática Continuidad del procesamiento Pasos necesarios: Llevar a cabo un: (4.2) Análisis de Impacto al negocio (BIA) - Se utiliza metodología standard. Ej: COBIT, NIST, Octave (CERT). - Alcance Todos los procesos de negocio, no sólo los informáticos. - Trabajo en equipo con los dueños de procesos. - Objetivo final del análisis es determinar qué procesos son críticos, y para cada proceso crítico: Punto de Recuperación (RPO) Tiempo de Recuperación (RTO) - Los resultados constituyen la base para la implementación de los mecanismos de continuidad. 31

32 Seguridad Informática Continuidad del procesamiento Pasos necesarios: Elaborar y documentar un (4.4) Plan de Continuidad - El plan debe basarse en el Análisis de Riesgos y en el de Impactos. - Debe preveerse y enunciarse los posibles escenarios de desastre que activarían el plan (inundación, incendio, conmoción popular, etc). - El BCP cubre las contingencias que se definan durante el desarrollo del mismo. Mientras más abarcativo sea el BCP, más costosa es su implementación y mantenimiento. Se debe llegar al Punto de Equilibrio y la empresa debe definir qué riesgos desea aceptar. - El Plan deber prever las estrategias técnicas a implementar: - ubicación del site alternativo. -tipo de disponibilidad: cold site, warm site, hot site, mirrored site. 32

33 Seguridad Informática Continuidad del procesamiento Contenidos mínimos del Plan de Continuidad (4.4) Procedimientos de emergencia que describan las acciones a emprender una vez ocurrido un incidente. Estos deben incluir disposiciones con respecto a la gestión de vínculos eficaces a establecer con las autoridades públicas pertinentes, por ej.: entes reguladores, policía, bomberos y otras autoridades. Los nombres, direcciones, números de teléfono y "localizadores" actuales del personal clave. Las aplicaciones críticas y su prioridad con respecto a los tiempos de recuperación y regreso a la operación normal. El detalle de los proveedores de servicios involucrados en las acciones de contingencia / emergencia. 33

34 Seguridad Informática Continuidad del procesamiento Contenidos mínimos del Plan de Continuidad (4.4) La información logística de la localización de recursos claves, incluyendo: ubicación de las instalaciones alternativas, de los resguardos de datos, de los sistemas operativos, de las aplicaciones, los archivos de datos, los manuales de operación y documentación de programas / sistemas / usuarios. Los procedimientos de emergencia que describan las acciones a emprender para el traslado de actividades esenciales a las ubicaciones transitorias alternativas, y para el restablecimiento de los procesos de negocio en los plazos requeridos. La inclusión de los planes de reconstrucción para la recuperación en la ubicación original de todos los sistemas y recursos. 34

35 Seguridad Informática Continuidad del procesamiento Instalaciones alternativas de procesamiento de datos (4.3) Es posible utilizar instalaciones propias o de terceros. Objetivos primarios que establece la norma: -No estar alcanzado por los mismos riesgos que la instalación central (según el Análisis de Riesgos). - Alojar y proveer disponibilidad a los sistemas críticos. -Proveer servicios a sucursales Telecomunicaciones. - Tiempo de Recuperación que no afecte la atención de los clientes ni deje a la entidad fuera de compensación. - No estar alcanzado por eventos que pueden darse simultáneamente (ej inundación y corte de suministro eléctrico). 35

36 Seguridad Informática Continuidad del procesamiento Mantenimiento y actualización del BCP (4.5) Eficacia permanente del BCP Actualizacíón del Plan. Establecer y documentar procedimientos para actualizar el BCP con cada cambio en los sistemas y procesos de negocio. Asignar un responsable de actualización y revisión periódica. Si existen cambios en el BCP, la información le debe llegar a cada uno de los responsables involucrados en el mismo. 36

37 Seguridad Informática Continuidad del procesamiento Prueba del BCP (4.6) La A 4609 establece la prueba anual del BCP para verificar la efectividad del plan y de su mantenimiento. Las pruebas deben garantizar que todos los miembros del equipo de recuperación conocen sus funciones. Confeccionar un cronograma de pruebas definiendo el cómo y el cuándo para cada elemento del plan. Áreas usuarias y Auditoría deben ser los certificadores de los resultados de la prueba. Deben elevar un informe al Directorio o CEO con los resultados de la prueba. Este informe debe ser guardado en archivo ya que sería controlado por BCRA. 37

38 Seguridad Informática Inventario Inventario tecnológico (5.2) Si bien es responsabilidad del Área Sistemas/Informática la creación y mantenimiento del Inventario Tecnológico, es muy importante que el área de Seguridad lo controle y utilice. No es posible aplicar efectivamente controles de seguridad sobre recursos que no se encuentran registrados en ninguna parte. Elementos a ser inventariados: hardware, software, recursos de información, activos físicos y servicios descentralizados de terceros. 38

39 Seguridad Informática Banca electrónica Banca Electrónica por diversos medios (6, 6.1) Debe realizarse un Análisis de Riesgos para cada uno de los canales y los servicios por ellos ofrecidos. Se debe garantizar confidencialidad, integridad y disponibilidad en el medio en que se transmiten los datos Uso de Encriptación standard. Debe aplicarse a estos medios todos los requerimientos de seguridad de la norma + la sección 6. 39

40 Seguridad Informática Banca electrónica Control en cajeros automáticos Requerimientos de Seguridad: (ATMs) (6.2) (estas prácticas ya son aplicadas por los grandes administradores de cajeros): Identificación con tarjeta y clave. Encriptación y Control de Acceso en lugares de alojamiento. Control de Accesos en algoritmos de generación de claves. Separación de funciones en generación de tarjetas y claves. No visibilidad de claves o datos de tarjetas. No entrega simultánea de tarjeta y clave. 40

41 Seguridad Informática Banca electrónica Tarjetas de Débito y POS Requerimientos de Seguridad: (6.3) Se debe requerir Documento de Identidad al usuario. Se debe requerir la clave al usuario y una firma en el ticket. Debe permitir una clave distinta para realizar compras. Restricción de operación luego de 3 intentos fallidos. 41

42 Seguridad Informática Banca electrónica e-banking (6.4) Canal con alto nivel de riesgo Proteger a la red interna con Firewalls, IDS (del tipo de red y de host en servidores) y antivirus. Se valorizará que todo dispositivo de control de tráfico de red y de detección cuente con capacidad de registro de actividad. Dicho registro deberá evidenciar la realización de controles por los responsables designados para tal fin. El e-banking debe poseer las mismas medidas de seguridad física y lógica que el resto de la instalación expresada en la A Se valorará la incorporación de medidas adicionales según el riesgo. 42

43 Seguridad Informática Banca electrónica e-banking (6.4) La página debe enunciar claramente: La política de seguridad con la que la entidad opera. Ej, Terminos y Condiciones, Ley de Habeas Data, Comunicación A 4609, otras normas de seguridad del banco de conocimiento público. Ventana de tiempo de utilización e inactividad. Informar al usuario sobre no responsabilidad sobre links que guían a páginas externas. Se valorizará el uso de entidades certificadoras. El e-banking debe utilizar usuario/clave distintas a otros medios. Cómo mínimo debe respetar las exigencias de

44 Seguridad Informática Banca electrónica e-banking (6.4) Se valorizará que los usuarios deban utilizar: certificados digitales, tarjetas inteligentes, dispositivos biométricos, teclados virtuales. El e-banking debe estar incluido en el BCP. Se valorizará la implementación de duplicación de componentes (Non stop service). En casos de Hosting o Housing el banco es responsable de exigir implementación y prueba por parte del ISP de planes de continuidad con especificaciones del punto 4 Incluir en SLAs. 44

45 Seguridad Informática Banca electrónica m-banking (celulares como terminales) (6.5) Canal con alto nivel de riesgo Debe contemplar los mismos requerimientos de seguridad del e- Banking del punto 6.4. Debe implementarse encriptación extremo a extremo. No deben existir gateways que realicen desencriptación-encriptación WAP 1 NO WAP 2 OK 45

46 Seguridad Informática Banca electrónica Phone Banking (6.6) Los operadores no deben conocer las claves de los usuarios utilización de IVRs. El usuario debe conocer su número de transacción. En caso de atención personalizada el usuario debe conocer con quien habló. Se valorizará la grabación de la comunicación. 46

47 Seguridad Informática Banca electrónica Otros medios / Futuros medios (6.7) Se deberá informar al Directorio o CEO sobre los riesgos de la nueva tecnología para que el mismo tome las medidas de seguridad necesarias. Se deberá remitir un informe con la descripción del proyecto a la Gerencia de Auditoría Externa de Sistemas de la Superintendencia de Entidades Financieras y Cambiarias con 90 días de antelación a su implementación. 47

48 Seguridad Informática Terceros Delegación de Actividades Propias de la Entidad en Terceros (7.2) Directorio-CEO Responsable máximo. Se requiere Análisis de Riesgos para la actividad a delegar. Se deben redactar políticas de seguridad acordes al riesgo, tamaño y complejidad de las tareas delegadas. El Directorio o CEO debe estar al tanto del riesgo y las políticas, y aprobar formalmente la delegación. Firmar contratos (o SLA) que incluyan servicios, responsabilidades y acuerdos sobre confidencialidad y no divulgación. La administración de las utilidades de seguridad se debe realizar con RRHH propios (remotamente o en las instalaciones del tercero). 48

49 Seguridad Informática Terceros Delegación de Actividades Propias de la Entidad en Terceros (7.6) Se debe normar sobre el plan de controles a ejecutar en las actividades delegadas. Se debe documentar todas las solicitudes de mejoras enviadas al proveedor en caso de incumplimientos. Debe existir un BCP para las actividades delegadas en terceros debe figurar en las Políticas y Normas. El proveedor debe contar con un BCP propio coherente con el nivel de riesgo de la entidad contratos / SLA. El BCP del proveedor debe ser probado anualmente, con resultados documentados y vigilados por la gerencia. 49

50 Gracias por su atención!!! 50

TEXTO RESALTADO CON CARACTERES ESPECIALES PARA DESTACAR LOS CAMBIOS INTRODUCIDOS EN LA NORMA VIGENTE POR LA COMUNICACIÓN A 4690

TEXTO RESALTADO CON CARACTERES ESPECIALES PARA DESTACAR LOS CAMBIOS INTRODUCIDOS EN LA NORMA VIGENTE POR LA COMUNICACIÓN A 4690 TEXTO RESALTADO CON CARACTERES ESPECIALES PARA DESTACAR LOS CAMBIOS INTRODUCIDOS EN LA NORMA VIGENTE POR LA COMUNICACIÓN A 4690 3.1.4.4. Registros de seguridad y pistas de auditoría. Con el objeto de reducir

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

ELEMENTOS GENERALES DE GESTIÓN.

ELEMENTOS GENERALES DE GESTIÓN. RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-9 Hoja 1 CAPÍTULO 20-9 GESTION DE LA CONTINUIDAD DEL NEGOCIO. El presente Capítulo contiene disposiciones sobre los lineamientos mínimos para la gestión de

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

POLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS

POLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS POLÍTICA DE CONTINUIDAD OPERACIONAL MINISTERIO DE OBRAS PÚBLICAS Fecha de Aprobación: 26 de septiembre 2013, en sesión de Comité de Seguridad de la Información Política de Continuidad de Operacional Página

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

SUPERINTENDENCIA FINANCIERA DE COLOMBIA

SUPERINTENDENCIA FINANCIERA DE COLOMBIA Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la

Más detalles

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP

METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP METODOLOGÍA PARA EL DISEÑO DE UN PLAN DE RECUPERACIÓN ANTE DESASTRES O DRP La metodología recomendada en este documento para el desarrollo de un plan de recuperación ante desastres o DRP para los sistemas

Más detalles

GUÍA PARA LA ELABORACIÓN DE PLANES DE CONTINGENCIA. Abril de 2006 Bogotá, D.C., Colombia

GUÍA PARA LA ELABORACIÓN DE PLANES DE CONTINGENCIA. Abril de 2006 Bogotá, D.C., Colombia GUÍA PARA LA ELABORACIÓN DE PLANES DE CONTINGENCIA Abril de 2006 Bogotá, D.C., Colombia Presidente PATRICIA CÁRDENAS SANTA MARÍA Vicepresidente Económico CARLOS ALBERTO SANDOVAL Director de Operación Bancaria

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

POLITICA DE SISTEMA DE CONTROL INTERNO

POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro

Más detalles

POLÍTICAS PARA EL DESARROLLO DE SISTEMAS INFORMÁTICOS.

POLÍTICAS PARA EL DESARROLLO DE SISTEMAS INFORMÁTICOS. POLÍTICAS PARA EL DESARROLLO DE SISTEMAS INFORMÁTICOS., DIRECCIÓN GENERAL ADJUNTA DE INFORMÁTICA. Mayo. 2 Índice Página I. INTRODUCCIÓN.-. 3 II. GLOSARIO.-... 4 III. OBJETO.-.... 6 IV. MARCO JURÍDICO.-

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD

GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD 1 INDICE INTRODUCCIÓN...6 I. Norma ISO 17799...6 1. Qué es la seguridad de la información?...6 2. Por qué es necesaria la seguridad de la información...6

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

copia no controlada ACUERDO DE SERVICIO Sistemas-Gestión de los Servicios Informáticos AS-T-01 Rev. 46 1. OBJETIVO

copia no controlada ACUERDO DE SERVICIO Sistemas-Gestión de los Servicios Informáticos AS-T-01 Rev. 46 1. OBJETIVO Páginas 1 de 10 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A. de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Política de Seguridad de la Información de la Universidad de Sevilla

Política de Seguridad de la Información de la Universidad de Sevilla Política de Seguridad de la Información de la Universidad de Sevilla 0. Aprobación y entrada en vigor Texto aprobado por Acuerdo del Consejo de Gobierno de fecha 26 de febrero de 2014. Esta Política de

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Resolución N 00759del 26 de febrero de 2008

Resolución N 00759del 26 de febrero de 2008 UNIDAD ADMINISTRATIVA ESPECIAL DE AERONÁUTICA CIVIL MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Denominación del empleo Profesional Aeronáutico III Nivel 32 Grado 27 No.

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Importancia de la administración de riesgos

Importancia de la administración de riesgos Importancia de la administración de riesgos Una de las definiciones más interesantes acerca de esta teoría es la presentada por McConnell (1997), quien se refiere a la administración de riesgos de la siguiente

Más detalles

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015 MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II VERSION: 5 CODIGO: GH-MN- FUN.REQ.COMP GESTION HUMANA FECHA: 11/May/2015 APROBADO MEDIANTE RESOLUCION

Más detalles

Requisitos Sistemas de gestión de seguridad y salud ocupacional.

Requisitos Sistemas de gestión de seguridad y salud ocupacional. SERIE DE COMPROMISOS DE SEGURIDAD Y SALUD OCUPACIONAL (OHSAS) Requisitos Sistemas de gestión de seguridad y salud ocupacional. Pág. 1 de 19 INTRODUCCIÓN Existe un creciente interés de todo tipo de organizaciones

Más detalles

Capítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL PROYECTO

Capítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL PROYECTO Capítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL PROYECTO Dante Guerrero Piura, 2013 FACULTAD DE INGENIERÍA Área Departamental de Ingeniería Industrial y de Sistemas Capítulo 4. GESTIÓN DE LA INTEGRACIÓN DEL

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Expte.Nº C-2/2016 - Pliego de Prescripciones Técnicas.

Expte.Nº C-2/2016 - Pliego de Prescripciones Técnicas. PLIEGO DE PRESCRIPCIONES TÉCNICAS IMPLANTACIÓN DE UN SISTEMA DE SOPORTE, RESOLUCIÓN DE INCIDENCIAS Y CONSULTASPARA LOS SISTEMAS CORPORATIVOS EN LA AUTORIDAD PORTUARIA DE GIJÓN Autoridad Portuaria de Gijón

Más detalles

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Establecer los controles para

Más detalles

Procedimiento de Paso a Producción de un Sistema Existente

Procedimiento de Paso a Producción de un Sistema Existente SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Paso a Producción de un Sistema Sistema de Gestión de la Seguridad de la Información Código: SSI-10-07.2

Más detalles

Infraestructura de Firma Digital - República Argentina Ley 25.506. Autoridad Certificante para Personas Físicas de la ANSES. Política de Privacidad

Infraestructura de Firma Digital - República Argentina Ley 25.506. Autoridad Certificante para Personas Físicas de la ANSES. Política de Privacidad Infraestructura de Firma Digital - República Argentina Ley 25.506 Política de Privacidad a) Información que se solicita a los suscriptores de certificados... 3 b) Destino o finalidad de la información

Más detalles

La Seguridad de la Información en la Gestión del Negocio Financiero

La Seguridad de la Información en la Gestión del Negocio Financiero La Seguridad de la Información en la Gestión del Negocio Financiero Lic. Julio C. Ardita jardita@cybsec.com CYBSEC S.A. Security Systems Agenda - Análisis de la situación actual - Continuidad de servicios

Más detalles

Ofrece en su Programación para la Formación Gerencial

Ofrece en su Programación para la Formación Gerencial INSTITUTO BANCARIO INTERNACIONAL Centro de Estudios Superiores Asociación Bancaria de Panamá Ofrece en su Programación para la Formación Gerencial SEMINARIO TALLER INTERNACIONAL ANALISIS DE RIESGO DE TECNOLOGIA

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

El diagnóstico se realizó en el mes de octubre del año 2002 y se elaboró evaluando la

El diagnóstico se realizó en el mes de octubre del año 2002 y se elaboró evaluando la IV. IMPLANTACIÓN EN LAVANDERÍA AKI 4.1 EVALUACIÓN Y DIAGNÓSTICO El diagnóstico se realizó en el mes de octubre del año 2002 y se elaboró evaluando la aplicación de cada cláusula de la Norma ISO 9001:2000

Más detalles

Implementación y Operación

Implementación y Operación 14 Implementación y Operación ÍNDICE: 14.1 Recursos, funciones, responsabilidad y autoridad 14.2 Competencia, formación y toma de conciencia 14.3 Comunicación 14.4 Documentación 14.5 Control de documentos

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

DEPARTAMENTO NACIONAL DE PLANEACIÓN DECRETO NÚMERO DE 2015

DEPARTAMENTO NACIONAL DE PLANEACIÓN DECRETO NÚMERO DE 2015 REPÚBLICA DE COLOMBIA DEPARTAMENTO NACIONAL DE PLANEACIÓN DECRETO NÚMERO DE 2015 Por el cual se subroga el Título 7, del libro 2 de la parte 2 del Decreto 1082 del 26 de mayo de 2015, sobre el seguimiento

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO

CAMARA DE COMERCIO SEVILLA MANUAL DEL SISTEMA DE GESTION DE RIESGO CAMARA DE COMERCIO SEVILLA Sistema Integrado de Gestión de la Calidad MANUAL DEL SISTEMA DE GESTION DE RIESGO Fecha Junio del 2015 Página 1 de 24 OBJETIVO Establecer la metodología para la gestión de los

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Asunto: Certificación Integral Gestión de Riesgos y Control Interno

Asunto: Certificación Integral Gestión de Riesgos y Control Interno Señores DEPOSITANTES DIRECTOS EMISORES ADMINISTRADORES Ciudad Asunto: Certificación Integral Gestión de Riesgos y Control Interno Respetados Señores: Deceval, comprometido con el mercado de capitales colombiano,

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

SEGUIMIENTO Administración del Riesgos - INM

SEGUIMIENTO Administración del Riesgos - INM SEGUIMIENTO Administración del Riesgos - INM Asesor con funciones de Jefe de Bogotá Fecha 2015-12-30 1. Introducción El propósito de la Oficina de respecto de la administración del riesgo es el de proveer

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

LA METODOLOGÍA DEL BANCO PROVINCIA

LA METODOLOGÍA DEL BANCO PROVINCIA 20 LA METODOLOGÍA DEL BANCO PROVINCIA Cómo gestionar activos de información? En 2007, el Banco Central de la República Argentina (BCRA) planteó algunas exigencias financieras para el sistema financiero

Más detalles

GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA INFRAESTRUCTURA TECNOLÓGICA

GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA INFRAESTRUCTURA TECNOLÓGICA Número de página 1 de 5 GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA Número de página 2 de 5 1. INFORMACION GENERAL 1.1 OBJETIVO Mantener en operación la infraestructura de acuerdo a los requerimientos de la Entidad.

Más detalles

POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC

POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC POLÍTICA DE CONTROL Y GESTIÓN DE RIESGOS CDECSIC 04 de febrero de 2015 La, tiene como finalidad identificar, evaluar y mitigar los riesgos relevantes del CDECSIC, organizando los sistemas de control interno

Más detalles

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO

ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO ESPECIFICACIONES TÉCNICAS DEL PROCESO DE ATENCIÓN AL CIUDADANO OBJETO. El presente Documento de Especificaciones Técnicas tiene por objeto establecer los requisitos que debe cumplir el proceso de Atención

Más detalles

DE RIESGOS DE TI. GESTIÓN 1. INTRODUCCIÓN

DE RIESGOS DE TI. GESTIÓN 1. INTRODUCCIÓN GESTIÓN DE RIESGOS DE TI. 1. INTRODUCCIÓN Dentro de los modelos de gestión de TI soportados bajo el enfoque de procesos, gestión de riesgos y PHVA, se encuentran las normas ISO 27001, ISO 20000, ITIL y

Más detalles

BANCO CENTRAL DE LA REPUBLICA ARGENTINA COMUNICACION " A " 3149 I 14/08/00

BANCO CENTRAL DE LA REPUBLICA ARGENTINA COMUNICACION  A  3149 I 14/08/00 BANCO CENTRAL DE LA REPUBLICA ARGENTINA COMUNICACION " A " 3149 I 14/08/00 A LAS ENTIDADES FINANCIERAS: Ref.: Circular CREFI 2-29 RUNOR 1-398 CONAU 1-350 Modificaciones a la A 2241 - Creación, Funcionamiento

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

AUTORIDAD NACIONAL DEL SERVICIO CIVIL. TA.GPY-PE-FR-04 Términos de Referencia 052015

AUTORIDAD NACIONAL DEL SERVICIO CIVIL. TA.GPY-PE-FR-04 Términos de Referencia 052015 AUTORIDAD NACIONAL DEL SERVICIO CIVIL. TA.GPY-PE-FR-04 Términos de Referencia 052015 Servicio de Call Center para el Censo de Responsables y Operadores del Diagnóstico de Conocimientos de los Sistemas

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

MANUAL ANTIFRAUDES DE LA HIDROELECTRICA ITUANGO S.A. E.S.P

MANUAL ANTIFRAUDES DE LA HIDROELECTRICA ITUANGO S.A. E.S.P Código: PSI16 Versión: 1 MANUAL ANTIFRAUDES Fecha Aprobación: septiembre 26 Nro. de páginas:15 MANUAL ANTIFRAUDES DE LA HIDROELECTRICA ITUANGO S.A. E.S.P 2013 TABLA DE CONTENIDO PRESENTACION 1. OBJETIVO

Más detalles

GRUPO TASVALOR, S.A.

GRUPO TASVALOR, S.A. GRUPO TASVALOR, S.A. INFORME DE PROGRESO 2013 Informe de Progreso 1 GRUPO TASVALOR, S.A. C/ Manuel Tovar, 16 28019 - Madrid E-mail: grupotasvalor@tasvalor.com Teléf.: 91.728.33.20 Fax.: 91.133.31.39 Informe

Más detalles

NORMATIVIDAD Y LINEAMIENTOS EN MATERIA DE INFORMÁTICA

NORMATIVIDAD Y LINEAMIENTOS EN MATERIA DE INFORMÁTICA NORMATIVIDAD Y LINEAMIENTOS EN MATERIA DE INFORMÁTICA El Comité de Informática de la Procuraduría Agraria ha aprobado la normatividad y lineamientos en materia de Informática, con la finalidad de disponer

Más detalles

1. OBJETIVO Establecer los mecanismos para realizar copias de seguridad y restauración de los servicios o servidores del Senado de la Republica.

1. OBJETIVO Establecer los mecanismos para realizar copias de seguridad y restauración de los servicios o servidores del Senado de la Republica. 1. OBJETIVO Establecer los mecanismos para realizar copias de seguridad y restauración de los servicios o servidores del Senado de la Republica. 2. ALCANCE Este procedimiento aplica a todos los servicios

Más detalles

F02 - ANEXO CONDICIONES TÉCNICAS ESENCIALES PARA LA PRESTACIÓN DEL SERVICIO Y/O ENTREGA DE BIEN

F02 - ANEXO CONDICIONES TÉCNICAS ESENCIALES PARA LA PRESTACIÓN DEL SERVICIO Y/O ENTREGA DE BIEN F02 - ANEXO CONDICIONES TÉCNICAS ESENCIALES PARA LA PRESTACIÓN DEL SERVICIO Y/O ENTREGA DE BIEN Fecha 16/09/13 1. DENOMINACIÓN DEL BIEN O SERVICIO Contratar el servicio especializado de consultoría que

Más detalles

SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2

SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2 SISTEMA DE GESTIÓN DEL RIESGO OPERACIONAL 1.2 ÍNDICE Introducción... 3 Capitulo 1.... 4 Capítulo 2: Políticas de Riesgo Operacional... 5 Capítulo 3: Procedimientos... 9 Capítulo 4: Responsabilidades...

Más detalles

ISO y la serie de Normas ISO 9000

ISO y la serie de Normas ISO 9000 ISO y la serie de Normas ISO 9000 La serie 9000 son cinco estándares internacionales relacionados entre sí para el manejo y garantía de calidad. Son genéricos, no específicos a algún producto determinado.

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

Soho Chile Julio 2013

Soho Chile Julio 2013 Diagnóstico de Seguridad de la Información ISO/IEC 27001:2005 Soho Chile Julio 2013 Tabla de Contenidos Resumen Ejecutivo... 2 Recomendaciones Generales... 4 1. Introducción... 6 2. Objetivos... 6 3. Alcances...

Más detalles

Para los efectos de esta normativa se deberán considerar las siguientes definiciones:

Para los efectos de esta normativa se deberán considerar las siguientes definiciones: RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-7 Documento para Comentarios CAPÍTULO 20-7 PROCESAMIENTO EXTERNO DE ACTIVIDADES I. ÁMBITO DE APLICACIÓN El presente Capítulo trata de las contrataciones de

Más detalles

TERMINOS DE REFERENCIA

TERMINOS DE REFERENCIA TÉRMINOS DE REFERENCIA Consultor Individual Línea Base y Sistema de Monitoreo y Evaluación Proyecto : I. INTRODUCCIÓN XXXXXXXXXXXXXXXXXXX II. DEFINICIONES Pequeña y Mediana Empresa (PYME): se trata de

Más detalles

Auditoría Interna... Bajo un nuevo Enfoque: Creación de Valor

Auditoría Interna... Bajo un nuevo Enfoque: Creación de Valor . Auditoría Interna.......... Bajo un nuevo Enfoque: Creación de Valor ------------Art. 13 de las NTCIG dictadas por la Corte de Cuentas de la República----------- Actividad independiente, objetiva, asesora

Más detalles

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización?

4. Cuál de las siguientes opciones ayuda a cambiar la cultura de seguridad de una organización? () questions 3, 38, 59, 62, 68, 69, 73, 96 1. El consejo de dirección de una organización se enteró de la existencia de una nueva ley que requiere que las organizaciones dentro del sector implementen salvaguardias

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: +57 1 242 2141 Fax: +57 1 342 3513

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: +57 1 242 2141 Fax: +57 1 342 3513 Resolución 3067 Seguridad en Red Modelos de Seguridad ETB desarrolla el modelo de seguridad basado en los requerimientos de los clientes y bajo el marco de las normas ISO 27001 y 27002. El modelo extiende

Más detalles

Taller de Capacitación: Metodología para el Monitoreo del Sistema de Control Interno Empresas de la Corporación FONAFE

Taller de Capacitación: Metodología para el Monitoreo del Sistema de Control Interno Empresas de la Corporación FONAFE Taller de Capacitación: Metodología para el Monitoreo del Sistema de Control Interno Empresas de la Corporación FONAFE Módulo II: Metodología 29 de abril de 2013 Agenda Modulo II Objetivos de la Metodología

Más detalles

Boletín Asesoría Gerencial*

Boletín Asesoría Gerencial* Boletín Asesoría Gerencial* 2008 - Número 5 Gestión Integral de Riesgo (GIR): de organización *connectedthinking de organización Toda institución es afectada en su gestión por la incertidumbre, y el principal

Más detalles

Procedimiento de Gestión sobre los Logs de Auditoría de los Sistemas y Análisis de Fallas

Procedimiento de Gestión sobre los Logs de Auditoría de los Sistemas y Análisis de Fallas SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión sobre los Logs de Auditoría de los Sistema de Gestión de la Seguridad de la Información Código:

Más detalles

Servicios de Consultoría helppeople

Servicios de Consultoría helppeople Servicios de Consultoría helppeople Qué es MOS? Modelo de Optimización de Servicios basado en: Mejores prácticas de la industria Experiencia de helppeople con sus clientes El Modelo de Optimización de

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

SOLICITUD DE MEJORA Y CONTROL DE CAMBIOS

SOLICITUD DE MEJORA Y CONTROL DE CAMBIOS MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 SOLICITUD DE MEJORA Y CONTROL DE CAMBIOS Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Controlar la implementación de los

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Nombre del Documento: RECURSOS, FUNCIONES, RESPONSABILIDADES Y AUTORIDAD. Referencia a la Norma ISO 9001:2008 5.5.1 e ISO 14001 4.4.

Nombre del Documento: RECURSOS, FUNCIONES, RESPONSABILIDADES Y AUTORIDAD. Referencia a la Norma ISO 9001:2008 5.5.1 e ISO 14001 4.4. Página 1 de 20 CARGO RESPONSABILIDADES AUTORIDAD Ejercer el liderazgo efectivo Autorizar los recursos y participativo en su ámbito necesarios para la de influencia y asegurar la operación del SIG. implementación

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA La Paz Bolivia Versión: 001 Revisión: 000 Elaborado: Revisado: Aprobado: Unidad de Planificación, Normas y Gestión por Resultados Representante de la Dirección Aprobado RAI 172/2014 del 7-nov-14 una copia

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Título de la página: Encuesta sobre riesgo en los RDS - Invitación

Título de la página: Encuesta sobre riesgo en los RDS - Invitación Título de la página: Encuesta sobre riesgo en los RDS - Invitación Quienes están invitados a participar: están invitados a participar de esta encuesta quienes provean o utilicen datos de registración de

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD Diciembre de 2005 INDICE DEL CONTENIDO 1. OBJETO... 1 2. AMBITO DE APLICACIÓN... 2 2.1 Ambito jurídico... 2 2.2 Ambito personal... 2 2.3 Ambito material... 2 3. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD. MEDIDAS

Más detalles

PRC-DTI-007 Administración de Cuentas de Usuario Procedimiento Dirección de TI - COSEVI

PRC-DTI-007 Administración de Cuentas de Usuario Procedimiento Dirección de TI - COSEVI PRC-DTI-007 Administración de Cuentas de Usuario Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado por: Vinicio Ureña Irola Firma:

Más detalles

1 El plan de contingencia. Seguimiento

1 El plan de contingencia. Seguimiento 1 El plan de contingencia. Seguimiento 1.1 Objetivos generales Los objetivos de este módulo son los siguientes: Conocer los motivos de tener actualizado un plan de contingencia. Comprender que objetivos

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

SEGUIMIENTO A LAS ESTRATEGIAS PARA LA CONSTRUCCIÓN DEL PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL CIUDADANO

SEGUIMIENTO A LAS ESTRATEGIAS PARA LA CONSTRUCCIÓN DEL PLAN ANTICORRUPCIÓN Y DE ATENCIÓN AL CIUDADANO , MECANISMO, MEDIDA, ETC. ACTIVIDADES (Estas actividades se tomaron del cronograma de actividades 2014 adjunto al Plan Anticorrupción y Atención al Ciudadano) PUBLICACIÓN ENERO 31 ABRIL 30 AGOSTO 22 ACTIVIDADES

Más detalles

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...

Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red... Guía de Instalación Índice de contenido 1.Introducción...3 1.1Propósito...3 1.2Vista preliminar...3 2.Requisitos técnicos de instalación...4 2.1Software...4 2.2Red...5 3.Proceso de instalación...7 Paso

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

RESOLUCIÓN NÚMERO 036 (18 FEBRERO 2009)

RESOLUCIÓN NÚMERO 036 (18 FEBRERO 2009) RESOLUCIÓN NÚMERO 036 (18 FEBRERO 2009) Por medio de la cual se adopta el Sistema de Gestión de la Seguridad de la Información -SGSI - de la Procuraduría General de la Nación EL PROCURADOR GENERAL DE LA

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles