Metodología para el Aseguramiento de Entornos Informatizados MAEI.

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Metodología para el Aseguramiento de Entornos Informatizados MAEI."

Transcripción

1 UNIVERSIDAD DE BUENOS AIRES FACULTAD DE INGENIERÍA Ingeniería en informática Tesis de grado: Metodología para el Aseguramiento de Entornos Informatizados MAEI. Alumna: María Victoria Bisogno Padrón: Tutor: Prof. Lic. Sergio Villagra Co-tutores: Andrea Morales, Saverio Locane, y Héctor Dinamarca 12 de octubre de 2004

2 I. ÍNDICE: I. Índice:... 1 II. Prefacio Propósito de la tesis Estado del Arte de la Seguridad Informática Motivación para la realización de este trabajo Alcance de la tesis Organización del documento III. Introducción La metodología El estudio del entorno La implantación de la solución Descripción de las fases IV. Desarrollo de la metodología AEI Definición del Alcance Contenido: Análisis de Requerimientos de Usuario Documento de Requerimientos de Usuario Ejemplo - Requerimientos de Usuario Elaboración del Alcance Alcance Ejemplo - Alcance Aprobación del Alcance Estimación de tiempos y costos Costos capitales Costos recurrentes Costos No recurrentes Elaboración del Plan de Trabajo Relevamiento Contenido: Elaboración del Relevamiento General Relevamiento General Elaboración del Relevamiento de Usuario Relevamiento de Usuario Asignación de puntaje Aclaración sobre las preguntas

3 2.2.4 Resultados de la evaluación Evaluación del entorno Referencias al puntaje obtenido en el test por nivel: Configuraciones de resultados: Análisis de vulnerabilidades Conocer al enemigo Ejemplo Atacantes Las amenazas Análisis de Vulnerabilidades Aspectos funcionales Análisis de la documentación Análisis de las aplicaciones y equipos Intento de Penetración Herramientas de análisis de vulnerabilidades Mapa de Vulnerabilidades Vulnerabilidades a nivel físico Vulnerabilidades a nivel lógico Vulnerabilidades a nivel de la organización Análisis de Riesgos Informe de Riesgos Ejemplo Informe de Riesgos Planificación Contenido: Elaboración del Plan de Aseguramiento Protección física Protección de las Instalaciones Protección de los equipos Protección lógica Protección de la información Protección del Sistema Operativo Protección de los datos Protección a nivel de la organización Aprobación del Plan de Aseguramiento Implantación Contenido: Elaboración del Relevamiento de Activos Inventario de Activos

4 4.1.2 Ejemplo Inventario de Activos Rotulación de activos Análisis de Criticidades Clasificación de la Información Identificación de la información Tipos de información Beneficios de la clasificación de la información Riesgos de la información Elaboración/ adaptación de la Normativa de Seguridad Interiorización del experto con la política y negocio de la organización Elaboración/adaptación de la Normativa de Seguridad Política de Seguridad Definición Ámbitos de aplicación y personal afectado Normas y Procedimientos Definición Espectro de las Normas y los Procedimientos Ejemplo Normas y Procedimientos Estándares, Esquemas y Manuales de usuarios Definición Implantación y uso de la Normativa de Seguridad Convenio de Confidencialidad Aprobación de la Política de Seguridad Publicación de la Normativa de Seguridad Implantación de una campaña de concientización Capacitación de los usuarios Implantación del Plan de Aseguramiento Implantación a nivel físico Implantación a nivel lógico Implantación a nivel de la organización Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED) Determinación del escenario considerado Determinación de los tipos de operación en una contingencia Establecimiento de criticidades Tabla de Criticidades por Equipo Ejemplo - Tabla de Criticidades por Equipo Tabla de Criticidades por Servicios

5 Ejemplo - Tabla de Criticidades por Servicios Tabla de Criticidades por Aplicaciones Ejemplo - Tabla de Criticidades por Aplicaciones Determinación de las prestaciones mínimas Análisis de riesgos Probabilidad de ocurrencia de desastres Determinación de los niveles de desastre Presentación de las distintas estrategias posibles de recuperación Selección de la estrategia de recuperación Elaboración de la estrategia de recuperación Mitigación de riesgos Medidas preventivas Descripción de la estrategia Requerimientos para llevar a cabo el Plan Esquemas técnicos Formación del Equipo de Recuperación del Entorno ante Desastres (ERED) Roles y responsabilidades Asignación de roles Establecimiento de los procedimientos Declaración de la emergencia Recuperación de las prestaciones Reestablecimiento de las condiciones normales Estabilización Contenido: Análisis de resultados Ajuste Cierre de la implantación Capacitación de usuarios Técnicas para la capacitación de usuarios: Mantenimiento Contenido: Control de incidencias Incidencias de seguridad Notificación de incidencias Documentación Reporte de Incidencias Manual de Procedimientos sobre Reporte de Incidencias

6 6.1.5 Respuesta a incidencias Recolección de incidencias Registro de incidencias Investigación Seguimiento de incidencias Prevención de incidencias Control de cambios Procedimiento de Control de Cambios Diagrama de flujo Formulario de Control de cambios ABM Activos Ejemplo - AMB Activos Actualizaciones de Software Documento de Actualizaciones de Software V. Conclusión VI. Bibliografía VII. Anexo I. MAEI Resumen de Fases y Tareas VIII. Anexo II. Estándares Internacionales. Reseña introductoria ISO/IEC estándar Cobit MAGERIT IX. Anexo III. Glosario de términos

7 II. PREFACIO 1. Propósito de la tesis La Seguridad Informática es una disciplina cuya importancia crece día a día. Aunque la seguridad es un concepto difícil de medir, su influencia afecta directamente a todas las actividades de cualquier entorno informatizado en los que interviene el Ingeniero en Informática, por lo que es considerada de vital importancia. [Huerta2000] define la seguridad como una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible... para el caso de sistemas informáticos, es muy difícil de conseguir (según la mayoría de los expertos, imposible) por lo que se pasa a hablar de confiabilidad. [IRAM/ISO/IEC17799] sostiene que la seguridad de la información protege a ésta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el daño al negocio y maximizar el retorno sobre las inversiones y las oportunidades. En cualquier entorno informatizado es necesario estar protegido de las múltiples (y hasta desconocidas) amenazas, garantizando, fundamentalmente, la preservación de tres características: Integridad: que se proteja la exactitud y totalidad de los datos y los métodos de procesamiento; Confidencialidad: que la información sea accesible sólo a las personas autorizadas; Disponibilidad: que los usuarios autorizados tengan acceso a la información y a los recursos cuando los necesiten; [IRAM/ISO/IEC17799] también agrega La seguridad de la información se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software. Para la realización de este trabajo se han estudiado diversas metodologías de seguridad citadas en el Anexo I, que cubren distintos aspectos, pero ninguna tiene un enfoque estructural similar al que un Ingeniero en Informática le da a los problemas, según la visión que se adquiere con la formación en la Universidad. 6

8 Además, la bibliografía relacionada ofrece soluciones puntuales para problemas específicos de seguridad, pero no da una solución integral al problema. La motivación de este trabajo es la falta de una herramienta que les permita a los profesionales de Informática analizar e implementar técnicas de seguridad en entornos informatizados bajo la visión del Ingeniero. El propósito del presente proyecto es formalizar una metodología práctica, y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluación de los mismos, teniendo en cuenta el objetivo y los procesos del negocio. El principal objetivo, entonces, es proveer a los Ingenieros en Informática y Licenciados en Análisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones, para luego implementarlas con éxito y así lograr una efectiva protección y documentación del entorno objetivo. Esta metodología estará compuesta por una serie de fases en las que se aplicarán procedimientos y se buscará el conocimiento de los procesos, y a su vez, una completa documentación que avale y acompañe al proyecto y que sirva de referente a lo largo de la vida operativa del entorno. Se pretende que esta metodología cree un cambio cultural en el ambiente donde se implementa (una empresa informatizada, un sector informatizado de un negocio, etc.), al aplicar políticas que afecten al personal, al uso de los recursos y a la forma de trabajo, además de una conciencia integral de la importancia de la seguridad en entornos informatizados y las implicancias de las falencias en este tema. Este proyecto está destinado a aplicarse en entornos en los que nunca se han realizado controles de seguridad, como en los que están bajo un régimen de seguridad controlado, sobre el que se desea evaluar su efectividad, o comprobar su completitud. Al hablar de sistema inseguro se hace referencia a un sistema no confiable, no auditado, no controlado o mal administrado con respecto a la seguridad. NOTA: De ahora en más se hará referencia al experto en seguridad, actor protagonista del proceso de aseguramiento aquí presentado, como ES. 7

9 2. Estado del Arte de la Seguridad Informática. Básicamente, los problemas de Seguridad Informática son sucesos que no deseamos que ocurran. La mayoría son inesperados, aunque en muchos casos se pueden prevenir. Cuando hablamos de incidentes de Seguridad, o problemas de Seguridad Informática nos referimos a: Acceso no autorizado a la información; Descubrimiento de información; Modificación no autorizada de datos; Invasión a la privacidad; Denegación de servicios; Etc. Cada entorno informatizado es diferente, y maneja distintos tipos de información, y por ende, es distinta la forma en que se tratan los datos. Los componentes de los entornos informatizados son distintos, por lo que las especificaciones de seguridad asociadas a cada uno varía notablemente dependiendo de la tecnología utilizada a nivel de plataforma, software base y dispositivos físicos. La funcionalidad y características técnicas de los componentes de los entornos varían notablemente según la marca, en particular en los aspectos concernientes a la seguridad. Hoy en día la amenaza más común en los ambientes informatizados se centra en la eliminación o disminución de la disponibilidad de los recursos y servicios que utiliza el usuario. El crecimiento de las telecomunicaciones y la estricta dependencia que existe entre el negocio de las empresas y la tecnología informática hace crítica la inversión en seguridad. Cada vez más los procesos comerciales se ven estrechamente ligados a procesos informáticos. Prácticamente toda la información vital para el negocio de una compañía comercial se encuentra informatizada, no sólo almacenada en dispositivos electrónicos, sino que, en la mayor parte de los casos, se encuentra distribuida físicamente y viaja constantemente a través de medios públicos como redes de telefonía e Internet. Es por eso que se pone énfasis en el crecimiento de soluciones para el problema de la Seguridad Informática, por lo que el conocimiento en esta área ha crecido 8

10 enormemente en los últimos años, al punto en que somos capaces de afirmar que es posible lograr una completa enumeración de las fallas de seguridad de los sistemas y los entornos en los que viven. Estas fallas de seguridad son las que se convierten en amenazas susceptibles de ser aprovechadas por usuarios malintencionados para causar daño o algún tipo de invasión a la confidencialidad. Protegerse contra accesos no autorizados es el problema más sencillo a resolver, ya que durante años se han desarrollado y perfeccionado algoritmos matemáticos para la encripción de datos, para el intercambio seguro de información, para garantizar el correcto funcionamiento del software, que se ha traducido en herramientas capaces de proporcionar soluciones rápidas y sencillas a problemas técnicos de seguridad. Desafortunadamente, no es suficiente simplemente arreglar los errores o eliminar las fallas técnicas de seguridad. El problema va mucho más allá. La Seguridad Informática es un problema cultural, en el que el usuario juega un rol protagónico. La responsabilidad sobre la seguridad de los datos y equipos ya no recae solamente en el personal técnico especializado encargado de resguardar los bienes y servicios brindados por el entorno, sino que es el usuario el que debe velar por la seguridad de los bienes físicos y lógicos que maneja. Para ello debe existir una conciencia de trabajo seguro, de resguardo de la confidencialidad y de protección de los activos utilizados a diario en el trabajo de cada individuo. Por esta razón la seguridad Informática debe estar incorporada desde el principio de todo proceso, desde el diseño para garantizar la evaluación de todos los factores funcionales (y no solamente los técnicos) a tener en cuenta para el uso seguro del entorno. Si esto sucede, el objetivo inicial de la seguridad habrá sido logrado. La seguridad, entonces, debe nacer en el diseño seguro de los sistemas, de la correcta formación de la estructura de la organización, de la adecuada distribución de tareas y contraposición de intereses en los roles de control y ejecución de tareas. Luego de lograr eso se deben implantar medidas de índole técnica que garanticen el adecuado uso de los recursos y servicios solamente a los usuarios autorizados, y la disponibilidad de los mismos. Pero lo importante es ver que la Seguridad Informática ya no es un problema de la gente especializada en sistemas, sino que ha salido de los laboratorios y los centros de cómputo para instalarse en el escritorio del usuario, en donde nacen los problemas de Seguridad. 9

11 3. Motivación para la realización de este trabajo Este trabajo es la culminación de muchos años de estudio, en los que incursioné en técnicas, modelos, formas de trabajo, teorías, estudios y descubrimientos y a través de ellos me empapé de conocimientos en las distintas formas en que los presenta la ciencia. Durante los años transcurridos en la facultad, mi forma de pensar se fue modelando, puliendo, transformando, de modo de lograr una visión distinta de la vida, no solo de los problemas de la ingeniería. Luego, al ingresar en el mundo laboral, descubrí que los aspectos del negocio tienen una influencia crucial en la toma de decisiones en todos los aspectos, incluido el de las soluciones informáticas. En el tiempo que llevo tratando clientes, observando distintas realidades, y conociendo su negocio, como el de la industria petrolera, el de la industria del maíz, el de los laboratorios químicos, el de entidades estatales, el de los bancos, el de las líneas aéreas, entre otros, aprendí que es fundamental tener en cuenta los procesos del negocio al evaluar los procesos informáticos. Es por eso que en este trabajo pretendo traducir el conocimiento en seguridad informática disperso por el mundo en sus distintas formas, ya sea de conocimiento público o el privado al que pueda acceder, para crear una herramienta de trabajo que siga la línea de pensamiento del Ingeniero de la UBA, agregando a esta línea de pensamiento la incursión en los procesos de negocio del cliente con que se trabaje, para ofrecerle la mejor solución. Particularmente como alumna, el tema me fue atrapando luego de cursar la materia Introducción a los sistemas distribuidos en la que se vieron técnicas de seguridad en el contexto del modelo TCP/IP. En esa oportunidad la seguridad informática fue presentada con seriedad, aunque de forma escueta, pero especialmente logró despertar mi interés personal, por lo que comencé a investigar sobre el tema. Un tiempo después descubrí de la existencia de la asignatura Criptografía y Seguridad Informática dictada como materia optativa en la carrera Ingeniería Electrónica. Inmediatamente me interesé en la misma y realicé los trámites correspondientes para lograr la autorización para cursarla y la aceptación de los créditos como materia optativa. 10

12 Pude cursarla efectivamente y aprobarla en el segundo cuatrimestre del año 2002, lo cual dejó una marca importante en mi formación profesional ya desde mi condición de alumna. Luego continué investigando sobre el tema, pero noté que la información se encontraba dispersa y desordenada; sin embargo también noté que la bibliografía era en general muy específica. Considero muy importante para la formación de los Ingenieros en Informática la educación en Seguridad Informática. Cualquier profesional de esta carrera debería poseer un mínimo conocimiento sobre el tema que le permita profundizar en el aspecto que considere necesario. Es por esto que decidí realizar este trabajo con la idea de que sirva de guía para los colegas en el trabajo de detectar fallas de seguridad y recomendar soluciones en el aspecto del entorno en que se esté trabajando, que a fin de cuentas este es el trabajo del ingeniero: dar soluciones. 4. Alcance de la tesis En esta tesis se desarrollará una metodología de trabajo. Se describirán las tareas y subtareas a realizar para obtener resultados específicos, se indicará un orden para realizarlas, se servirá de documentación a desarrollar para completar informes y relevamientos, se dará un marco general para el desarrollo del proyecto de aseguramiento del entorno en estudio, pero no se entrará en detalle en los siguientes temas: Administración del proyecto: No se entrará en detalles en la formalización del Alcance, ni en la estimación de tiempos y costos del proyecto, ya que son tareas puramente administrativas que no hacen al problema de aseguramiento del entorno informatizado. Vulnerabilidades conocidas en sistemas operativos y aplicaciones: No se enumerarán las vulnerabilidades conocidas en software base ni en aplicativos, ya que éstas cambian y se incrementan día a día, lo que restaría escalabilidad y vigencia en el tiempo a la tesis. Implantación de las soluciones en plataformas tecnológicas específicas: 11

13 No se entrará en detalle en configuraciones ni ejecución de procesos específicos para solucionar problemas de seguridad en sistemas operativos ni software aplicativo pues se pretende hacer una metodología portable, independiente de la plataforma tecnológica. 5. Organización del documento El trabajo ha sido desarrollado en seis partes: I. Índice II. Prefacio III. Introducción IV. Desarrollo de la Metodología AEI V. Conclusión VI. Bibliografía VII. Anexo I. MAEI Resumen de Fases y Tareas VIII. Anexo II. Estándares Internacionales. Reseña introductoria. IX. Anexo III. Glosario de términos. A su vez, la parte IV, Desarrollo de la Metodología AEI, está organizada en seis capítulos correspondientes a cada una de las fases de la metodología que aquí se presenta. Los capítulos son los siguientes: 1. Definición del Alcance. 2. Relevamiento. 3. Planificación. 4. Implantación. 5. Estabilización. 6. Mantenimiento. 12

14 III. INTRODUCCIÓN. 1. La metodología. La metodología propuesta se compone de seis fases que agrupan etapas. Estas fases, a su vez, desde un aspecto macroscópico se pueden generalizar en dos grandes grupos: el estudio del entorno y la implantación de la solución. 1.1 El estudio del entorno. En este primer grupo de fases se encuentran: La definición del Alcance; El Relevamiento; La Planificación. Aquí se fija como objetivo conocer al entorno informatizado donde se implementará la metodología, a fin de asegurarlo. Este conocimiento implica la intervención del usuario, que aportará el conocimiento personal desde su perspectiva, también aportará inquietudes y necesidades que ayudarán al ES a dar la solución más satisfactoria para el cliente. Cliente es toda entidad, empresa, organismo o persona que presente su entorno informatizado con el fin de que el ES lo analice y lo asegure. En este estudio, el ES investiga, observa, documenta. Investiga cómo se trabaja, cómo está formada la empresa, qué tecnología posee, cómo ésta es utilizada. Observa cómo se manejan los empleados, cuáles son las políticas implícitas en el entorno con respecto al trabajo, al manejo de la información y de los bienes. Documenta en un formato comprensible el conocimiento que él adquiere, para el intercambio con el usuario, y como fuente para el desarrollo de la solución de la próxima etapa de la metodología. 1.2 La implantación de la solución. Este segundo grupo de fases comprende: 13

15 La Implantación de la solución; La Estabilización del entorno; El Mantenimiento de la solución, para guardar el entorno en condiciones confiables de seguridad. En esta parte el ES ya conoce el entorno objetivo, por lo que se dedica a hallar la solución que mejor se adapte al mismo. Vuelca la planificación a la práctica, a través de la implantación de las técnicas que se eligieron en la etapa anterior, genera y desarrolla los modelos de análisis que forman parte del Plan de Aseguramiento y que le servirán de ahí en adelante, durante toda la vida del ambiente. Luego de la ejecución del Plan de Aseguramiento, el entorno objetivo se estabiliza determinando una adecuada capacitación de los usuarios, y verificando los beneficios logrados como resultado. La implantación se cierra, aunque siempre queda latente una extensión de la misma que se ocupará del registro de incidencias, de cambios en los bienes físicos y lógicos, entre los que se considerarán las periódicas actualizaciones de software antivirus y otras técnicas a aplicarse con regularidad para mantener el nivel de seguridad a medida que el entorno cambia. A continuación se exhibe un diagrama que muestra las fases: 14

16 Plan de aseguramiento aprobado? Sí No Planificación Implantación de la solución Implantación Relevamiento Estabilización Definición del Alcance Estudio del Entorno Entorno protegido Entorno inseguro Mantenimiento 2. Descripción de las fases. Las siguientes son las fases de la metodología AEI, con las principales etapas que las constituyen. Las mismas se desarrollarán en detalle en la parte IV de este trabajo, Desarrollo de la metodología AEI. 1. Definición del Alcance En esta fase se determinan qué aspectos, sectores, áreas y recursos se van a proteger. Se desarrolla en cinco subfases: 1.1 Análisis de requerimientos de usuario En esta etapa se realiza la negociación con el cliente sobre los niveles, sectores, servicios y activos a proteger en función de los requerimientos que hace el usuario. 1.2 Elaboración del Alcance Se confecciona un documento detallando objetivos claros y puntuales que se deberán cumplir en el proceso de aseguramiento. 1.3 Aprobación del Alcance 15

17 En esta etapa el cliente determina la aprobación o el rechazo del Alcance, de manera de continuar o no con el proyecto, o ver las modificaciones que él propone. 1.4 Estimación de tiempos y costos Parte destinada a la determinación aproximada de la duración del proyecto y de los costos asociados: recursos financieros, recursos humanos, recursos recurrentes y no recurrentes, etc. 1.5 Elaboración del Plan de Trabajo Luego del análisis anterior, y con el objetivo bien claro, el ES confecciona el plan a seguir estimando períodos de trabajo, asignación de recursos y fechas de presentación de los entregables. 2. Relevamiento En esta etapa el ES comienza a familiarizarse con el entorno a proteger, mediante la identificación de los elementos que lo componen. Comprende las siguientes etapas: 2.1 Elaboración del Relevamiento General El ES realiza una inspección general sobre los aspectos de la organización, de su negocio y de los bienes. 2.2 Elaboración del Relevamiento de Usuario Consiste en obtener información del usuario respecto de las costumbres y usos del sistema, el manejo de la información, y el nivel de conciencia del usuario respecto a las potenciales amenazas existentes en su entorno. Se elabora el Relevamiento de Usuario. 2.3 Análisis de vulnerabilidades Determinación de las amenazas presentes en la organización respecto de la seguridad. 2.4 Análisis de riesgos Se analiza el impacto y la probabilidad de ocurrencia de las vulnerabilidades detectadas en la etapa anterior, el riesgo que implican y los potenciales nuevos riesgos a los que esté expuesto el entorno. 3. Planificación Esta fase comprende el análisis detallado de los puntos a proteger estudiando el entorno en distintos aspectos: el físico, el lógico y el de la organización. 3.1 Elaboración del Plan de Aseguramiento 16

18 El Plan de Aseguramiento es el documento que describe las medidas que se tomarán para asegurar el sistema, según los objetivos planteados en el Alcance. 3.2 Aprobación del Plan de Aseguramiento El Plan de Aseguramiento debe ser consensuado por el cliente para comenzar su implantación. Por motivos de presupuesto, de política, u otras causas el responsable del proyecto por parte del cliente puede solicitar recortes o ampliaciones del Plan, que serán analizadas por el ES quien deberá exigir una justificación por todos los cambios solicitados, y presentar los riesgos que estos generen en el entorno. 4. Implantación En esta fase se llevará a cabo el Plan de Aseguramiento antes propuesto (y aprobado) y las etapas de ajuste político y organizativo que el ES considere necesarias. Vemos a continuación las etapas de esta fase: 4.1 Elaboración del Relevamiento de Activos Es una enumeración detallada de los bienes físicos y lógicos de la empresa, junto con una asignación de responsabilidades sobre cada activo, y la valoración de su criticidad a nivel de la seguridad, y la clasificación de la información en cuanto a su criticidad. En esta etapa se elabora el Inventario de Activos 4.2 Clasificación de la Información A partir del análisis de criticidad de los activos, se procede a clasificar la información según su grado de criticidad en cuanto a la disponibilidad, confidencialidad e integridad. Esto permitirá determinar las medidas necesarias de seguridad a fijar en el marco normativo de la empresa. 4.3 Elaboración/adaptación de la Normativa de Seguridad Esta etapa de la implantación consiste en el punto de partida del proceso de aseguramiento de un entorno. Pretende establecer las pautas, los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir todos los miembros de la organización, sus socios comerciales, los contratistas y los prestadores de servicios. 4.4 Publicación de la Normativa de Seguridad Una vez elaborada, se debe dar a conocer el Manual de Seguridad de la organización, haciendo firmar los convenios de confidencialidad existentes y la confirmación de lectura y conocimiento de las Normas por parte de los usuarios. 17

19 4.5 Implantación del Plan de Aseguramiento En esta etapa se implantarán todas las medidas planificadas especialmente para el entorno objetivo, en cada nivel analizado: físico, lógico y de la organización. 4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres El Plan de Recuperación del Entorno ante Desastres consiste en un plan para garantizar la continuidad del negocio cuando ocurran eventuales catástrofes de distinta índole. Para la elaboración de este plan se deberá tener en cuenta la criticidad de las aplicaciones y de los equipos, y el riesgo al que están expuestos, según lo estudiado en la etapa 2.2 de la fase de Alcance. Los desastres pueden ser naturales (inundaciones, caídas de rayos, tormentas eléctricas), provocados intencionalmente (sabotaje, hurto, negación de servicio), por error humano (incendios, destrucción accidental de información) o, fallas mecánicas o eléctricas inherentes a los equipos (rotura de discos, placas de red quemadas). En todos los casos habrá que prever cierto número de accidentes, su probabilidad de ocurrencia, identificar los equipos y aplicaciones críticas para el funcionamiento del negocio, y crear un plan de contingencia que garantice la continuidad del negocio y la recuperación del entorno informatizado en un tiempo adecuado. 5. Estabilización En este período se pretende estabilizar el entorno ya que a esta altura del proyecto, seguramente ha sufrido numerosos cambios. Se hace una observación y evaluación de la implantación en las siguientes etapas: 5.1 Análisis de resultados En esta etapa se cotejan los resultados obtenidos con el Alcance planteado en la fase 1 de esta metodología y se evalúan los resultados obtenidos: los objetivos logrados y los puntos postergados o descartados con su respectiva justificación. 5.2 Ajuste Esta subfase de estabilización está dedicada a realizar ajustes sobre el Plan de Aseguramiento según los resultados obtenidos y analizados en la etapa anterior de esta misma fase y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de implantación. 18

20 Los puntos de control que necesiten cambios, mejoras o los que surjan durante el proyecto se tomarán en cuenta para completar y adaptar el Plan de aseguramiento para una segunda implementación, delimitando nuevamente su Alcance, que podrá reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un completo aseguramiento del entorno. 5.3 Cierre de la implantación El cierre de la implantación se realiza cuando se concluyeron los últimos controles que constituyen el Plan de Aseguramiento y concluidas las etapas de concientización y capacitación de usuarios de la fase 4 de esta metodología. 5.4 Capacitación de usuarios Se les explica a los usuarios los cambios efectuados, los nuevos procesos y formas de proceder ante incidencias, y la manera en que deben administrar la seguridad para mantener el entorno protegido. 6. Mantenimiento Esta fase comienza posteriormente a la implantación del Plan de Aseguramiento, luego de la estabilización del entorno y se mantiene durante toda su vida. Durante la vida del entorno ocurrirán incidencias y cambios que deberán ser analizados y documentados, así como también se deberán llevar a cabo controles periódicos y aplicar las correspondientes actualizaciones para mantener un nivel confiable de seguridad en el entorno, en las siguientes subfases: 6.1 Control de incidencias Esta fase se ocupa de analizar y documentar las incidencias ocurridas del uso diario de los recursos, tales como: Mal funcionamiento de elementos de hardware; Ruptura de elementos de hardware; Anomalías en productos de software; Fallas en procesos; Detección de virus malignos; Averío de documentación; Pérdida de bienes; Etc. Todo incidente, incluso los no especificados en este trabajo, deberá ser reportado a quien corresponda, según lo especificado en la Normativa de seguridad, mediante un Reporte de Incidencias, y asentado en el Registro de Incidencias por el responsable a cargo. El Registro de Incidencias es un documento destinado para tal fin. 19

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 YEIMMY JULIETH GARZON CODIGO 2012250071 CLAUDIA MYLENA SUAREZ CODIGO

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

SUBDIRECCIÓN DE ADMINISTRACIÓN

SUBDIRECCIÓN DE ADMINISTRACIÓN SUBDIRECCIÓN DE ADMINISTRACIÓN DEPARTAMENTO DE INFORMÁTICA Plan de Contingencia El objetivo del Plan de Contingencia es proporcionar la continuidad y recuperación de los servicios de Tecnologías de la

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION

PLAN DE CONTINGENCIAS SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION RESUMEN DEL DOCUMETO TITULO DEL DOCUMENTO SISTEMA DE SEGUIMIENTO Y CONTROL DE TRANSPORTACION Autor del Documento: Ing. Tomas Trejo/Carlos Diosdado Aprobación del Documento: Ing. Gustavo Licona Jiménez

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Id. Componente del Procedimiento Responsable 1 Administración y Mantenimiento de Documentos y Registros Gerente Seguridad Operacional

Id. Componente del Procedimiento Responsable 1 Administración y Mantenimiento de Documentos y Registros Gerente Seguridad Operacional Fecha: 10/02/2010 Clave: SMS- Revisión: 1.0 Página: 1 de 7 I. OBJETIVO: La Organización busca tener información que le sea valiosa y le aporte esencia al sistema, que alimente a la organización con datos

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Capítulo VII. Administración de Cambios

Capítulo VII. Administración de Cambios Administración de Cambios Administración de cambios Tabla de contenido 1.- En qué consiste la administración de cambios?...97 1.1.- Ventajas...98 1.2.- Barreras...98 2.- Elementos...99 3.- Roles...99 4.-

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar:

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar: COMITÉ DE AUDITORÍA ESTATUTO DEL COMITÉ DE AUDITORÍA 1. Marco referencia. La aplicación de cualquier otro tema no incluido en el presente Estatuto, se realizará con sujeción al Marco Internacional para

Más detalles

MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE)

MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE) MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE) Manual de Políticas y Estándares de Seguridad Informática para recuperación de

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-13 ÁREA: Dirección de Planeación

Más detalles

Plan de Estudios. Diploma de Especialización en Seguridad Informática

Plan de Estudios. Diploma de Especialización en Seguridad Informática Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL)

Gestión de Servicios Informáticos. Gestión de Activos informáticos. Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) Gestión de Servicios Informáticos Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI)

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) Referencia Guía para la elaboración del marco normativo- Creative common FINAL.doc Creación

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

PROPUESTA COMERCIAL SERESCO, S.A.

PROPUESTA COMERCIAL SERESCO, S.A. PROPUESTA COMERCIAL SERESCO, S.A. Estimado Federado: Desde SERESCO, S.A. nos han hecho llegar una oferta para todos los federados la cual consideramos importante comunicar: Sus datos en un lugar seguro...con

Más detalles

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

INICIO PLANIFICACIÓN EJECUCIÓN SEGUIMIENTO Y CONTROL CIERRE. Etapas de un proyecto. Conoce las 5 etapas por las que todo proyecto debe pasar.

INICIO PLANIFICACIÓN EJECUCIÓN SEGUIMIENTO Y CONTROL CIERRE. Etapas de un proyecto. Conoce las 5 etapas por las que todo proyecto debe pasar. 1 2 Etapas de un proyecto Conoce las 5 etapas por las que todo proyecto debe pasar. Etapas de un proyecto Todo lo que debes saber INICIO para gestionarlas de manera eficiente PLANIFICACIÓN 3 4 5 EJECUCIÓN

Más detalles

La ventaja competitiva de certificarse en seguridad

La ventaja competitiva de certificarse en seguridad especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo.

Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. Implantación de Gobierno de TI (Tecnologías de la Información) Resumen Ejecutivo. ÍNDICE 1. INTRODUCCIÓN...3 2. LA NECESIDAD DEL CAMBIO DEL ROL DE TI...5 3. NECESIDAD DE GOBIERNO DE TI...6 4. COBIT Y GOBIERNO

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Las Normas ISO 9000 del 2000

Las Normas ISO 9000 del 2000 Las Normas ISO 9000 del 2000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como

Más detalles

Introducción a la Ingeniería de Software - Examen 20/07/2012

Introducción a la Ingeniería de Software - Examen 20/07/2012 Cada pregunta múltiple opción contestada correctamente tiene un valor de 2,5 puntos. Esta parte consta de 20 preguntas, haciendo un total de 50 puntos. Los ejercicios de desarrollo tienen un valor total

Más detalles

Ingeniería de Software

Ingeniería de Software Departamento de Informática Universidad Técnica Federico Santa María Pauta Plan de Proyecto Profesor: Dr. Marcello Visconti Zamora visconti@inf.utfsm.cl 0 Portadas El documento que se está generando corresponde

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD

NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD NORMA MEXICANA DE CALIDAD PARA AGENCIAS DE PUBLICIDAD PROYECTO DE NORMA MEXICANA PROY-NMX-R-051-SCFI-2006 AGENCIAS DE PUBLICIDAD SERVICIOS - REQUISITOS 0 INTRODUCCIÓN El mundo actual de los negocios en

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

SERVICIO NACIONAL DE APRENDIZAJE SENA SENA REGIONAL CALDAS CENTRO DE AUTOMATIZACIÓN INDUSTRIAL MANUAL DE PROCEDIMIENTOS PARA MANTENIMIENTO DE HARDWARE

SERVICIO NACIONAL DE APRENDIZAJE SENA SENA REGIONAL CALDAS CENTRO DE AUTOMATIZACIÓN INDUSTRIAL MANUAL DE PROCEDIMIENTOS PARA MANTENIMIENTO DE HARDWARE SERVICIO NACIONAL DE APRENDIZAJE SENA SENA REGIONAL CALDAS CENTRO DE AUTOMATIZACIÓN INDUSTRIAL MANUAL DE PROCEDIMIENTOS PARA MANTENIMIENTO DE HARDWARE INTRODUCCIÓN El Servicio Nacional de Aprendizaje SENA

Más detalles

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN POLÍTICA DE SEGURIDAD FÍSICA N-10 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

AUDITORIA INFORMATICA

AUDITORIA INFORMATICA AUDITORIA INFORMATICA INTRODUCCION. Empresa M&L. Durante el desarrollo de este trabajo sólo se abarcaron tres áreas: 1-sistemas de información. 2- Hardware y software. 3- Administración. Norma de riesgo

Más detalles

Descripción y alcance del servicio FAX IPLAN

Descripción y alcance del servicio FAX IPLAN Descripción y alcance del servicio FAX IPLAN 1. Introducción FAX IPLAN consiste en un servicio que permite recibir los faxes en forma personalizada por medio del e-mail y sin necesitar de instalar ningún

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

GESTION WEB. FUNDAMENTACIÓN:

GESTION WEB. FUNDAMENTACIÓN: GESTION WEB. FUNDAMENTACIÓN: Las Administraciones Públicas están implicadas en una serie de profundos cambios y transformaciones, con los que, pretenden mejorar la prestación de servicios públicos introduciendo

Más detalles

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes

Agrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Política de Seguridad de la Información de la Universidad de Sevilla

Política de Seguridad de la Información de la Universidad de Sevilla Política de Seguridad de la Información de la Universidad de Sevilla 0. Aprobación y entrada en vigor Texto aprobado por Acuerdo del Consejo de Gobierno de fecha 26 de febrero de 2014. Esta Política de

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

PERFIL DEL INGENIERO DE SISTEMAS FUSM

PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS FUSM PERFIL DEL INGENIERO DE SISTEMAS DE LA FUSM El perfil del Ingeniero de Sistemas presencial de la Fundación Universitaria San Martín, Bogotá, está en capacidad de modelar

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS COLEGIO LEONARDO DA VINCI SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS ACUERDO DE NIVEL DE SERVICIO HOJA DE CONTROL Colegio Leonardo Da Vinci Arica Unidad CTIC Titulo Servicio de Atención y Resolución

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE EVALUACIÓN DE DESEMPEÑO Versión 05 Diciembre 2008 INDICE 1 Definición

Más detalles