Metodología para el Aseguramiento de Entornos Informatizados MAEI.
|
|
- Tomás Blázquez Río
- hace 8 años
- Vistas:
Transcripción
1 UNIVERSIDAD DE BUENOS AIRES FACULTAD DE INGENIERÍA Ingeniería en informática Tesis de grado: Metodología para el Aseguramiento de Entornos Informatizados MAEI. Alumna: María Victoria Bisogno Padrón: Tutor: Prof. Lic. Sergio Villagra Co-tutores: Andrea Morales, Saverio Locane, y Héctor Dinamarca 12 de octubre de 2004
2 I. ÍNDICE: I. Índice:... 1 II. Prefacio Propósito de la tesis Estado del Arte de la Seguridad Informática Motivación para la realización de este trabajo Alcance de la tesis Organización del documento III. Introducción La metodología El estudio del entorno La implantación de la solución Descripción de las fases IV. Desarrollo de la metodología AEI Definición del Alcance Contenido: Análisis de Requerimientos de Usuario Documento de Requerimientos de Usuario Ejemplo - Requerimientos de Usuario Elaboración del Alcance Alcance Ejemplo - Alcance Aprobación del Alcance Estimación de tiempos y costos Costos capitales Costos recurrentes Costos No recurrentes Elaboración del Plan de Trabajo Relevamiento Contenido: Elaboración del Relevamiento General Relevamiento General Elaboración del Relevamiento de Usuario Relevamiento de Usuario Asignación de puntaje Aclaración sobre las preguntas
3 2.2.4 Resultados de la evaluación Evaluación del entorno Referencias al puntaje obtenido en el test por nivel: Configuraciones de resultados: Análisis de vulnerabilidades Conocer al enemigo Ejemplo Atacantes Las amenazas Análisis de Vulnerabilidades Aspectos funcionales Análisis de la documentación Análisis de las aplicaciones y equipos Intento de Penetración Herramientas de análisis de vulnerabilidades Mapa de Vulnerabilidades Vulnerabilidades a nivel físico Vulnerabilidades a nivel lógico Vulnerabilidades a nivel de la organización Análisis de Riesgos Informe de Riesgos Ejemplo Informe de Riesgos Planificación Contenido: Elaboración del Plan de Aseguramiento Protección física Protección de las Instalaciones Protección de los equipos Protección lógica Protección de la información Protección del Sistema Operativo Protección de los datos Protección a nivel de la organización Aprobación del Plan de Aseguramiento Implantación Contenido: Elaboración del Relevamiento de Activos Inventario de Activos
4 4.1.2 Ejemplo Inventario de Activos Rotulación de activos Análisis de Criticidades Clasificación de la Información Identificación de la información Tipos de información Beneficios de la clasificación de la información Riesgos de la información Elaboración/ adaptación de la Normativa de Seguridad Interiorización del experto con la política y negocio de la organización Elaboración/adaptación de la Normativa de Seguridad Política de Seguridad Definición Ámbitos de aplicación y personal afectado Normas y Procedimientos Definición Espectro de las Normas y los Procedimientos Ejemplo Normas y Procedimientos Estándares, Esquemas y Manuales de usuarios Definición Implantación y uso de la Normativa de Seguridad Convenio de Confidencialidad Aprobación de la Política de Seguridad Publicación de la Normativa de Seguridad Implantación de una campaña de concientización Capacitación de los usuarios Implantación del Plan de Aseguramiento Implantación a nivel físico Implantación a nivel lógico Implantación a nivel de la organización Elaboración del Plan de Recuperación del Entorno ante Desastres (PRED) Determinación del escenario considerado Determinación de los tipos de operación en una contingencia Establecimiento de criticidades Tabla de Criticidades por Equipo Ejemplo - Tabla de Criticidades por Equipo Tabla de Criticidades por Servicios
5 Ejemplo - Tabla de Criticidades por Servicios Tabla de Criticidades por Aplicaciones Ejemplo - Tabla de Criticidades por Aplicaciones Determinación de las prestaciones mínimas Análisis de riesgos Probabilidad de ocurrencia de desastres Determinación de los niveles de desastre Presentación de las distintas estrategias posibles de recuperación Selección de la estrategia de recuperación Elaboración de la estrategia de recuperación Mitigación de riesgos Medidas preventivas Descripción de la estrategia Requerimientos para llevar a cabo el Plan Esquemas técnicos Formación del Equipo de Recuperación del Entorno ante Desastres (ERED) Roles y responsabilidades Asignación de roles Establecimiento de los procedimientos Declaración de la emergencia Recuperación de las prestaciones Reestablecimiento de las condiciones normales Estabilización Contenido: Análisis de resultados Ajuste Cierre de la implantación Capacitación de usuarios Técnicas para la capacitación de usuarios: Mantenimiento Contenido: Control de incidencias Incidencias de seguridad Notificación de incidencias Documentación Reporte de Incidencias Manual de Procedimientos sobre Reporte de Incidencias
6 6.1.5 Respuesta a incidencias Recolección de incidencias Registro de incidencias Investigación Seguimiento de incidencias Prevención de incidencias Control de cambios Procedimiento de Control de Cambios Diagrama de flujo Formulario de Control de cambios ABM Activos Ejemplo - AMB Activos Actualizaciones de Software Documento de Actualizaciones de Software V. Conclusión VI. Bibliografía VII. Anexo I. MAEI Resumen de Fases y Tareas VIII. Anexo II. Estándares Internacionales. Reseña introductoria ISO/IEC estándar Cobit MAGERIT IX. Anexo III. Glosario de términos
7 II. PREFACIO 1. Propósito de la tesis La Seguridad Informática es una disciplina cuya importancia crece día a día. Aunque la seguridad es un concepto difícil de medir, su influencia afecta directamente a todas las actividades de cualquier entorno informatizado en los que interviene el Ingeniero en Informática, por lo que es considerada de vital importancia. [Huerta2000] define la seguridad como una característica de cualquier sistema (informático o no) que nos indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible... para el caso de sistemas informáticos, es muy difícil de conseguir (según la mayoría de los expertos, imposible) por lo que se pasa a hablar de confiabilidad. [IRAM/ISO/IEC17799] sostiene que la seguridad de la información protege a ésta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el daño al negocio y maximizar el retorno sobre las inversiones y las oportunidades. En cualquier entorno informatizado es necesario estar protegido de las múltiples (y hasta desconocidas) amenazas, garantizando, fundamentalmente, la preservación de tres características: Integridad: que se proteja la exactitud y totalidad de los datos y los métodos de procesamiento; Confidencialidad: que la información sea accesible sólo a las personas autorizadas; Disponibilidad: que los usuarios autorizados tengan acceso a la información y a los recursos cuando los necesiten; [IRAM/ISO/IEC17799] también agrega La seguridad de la información se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software. Para la realización de este trabajo se han estudiado diversas metodologías de seguridad citadas en el Anexo I, que cubren distintos aspectos, pero ninguna tiene un enfoque estructural similar al que un Ingeniero en Informática le da a los problemas, según la visión que se adquiere con la formación en la Universidad. 6
8 Además, la bibliografía relacionada ofrece soluciones puntuales para problemas específicos de seguridad, pero no da una solución integral al problema. La motivación de este trabajo es la falta de una herramienta que les permita a los profesionales de Informática analizar e implementar técnicas de seguridad en entornos informatizados bajo la visión del Ingeniero. El propósito del presente proyecto es formalizar una metodología práctica, y factible para convertir entornos informatizados inseguros en entornos protegidos, y lograr una clara evaluación de los mismos, teniendo en cuenta el objetivo y los procesos del negocio. El principal objetivo, entonces, es proveer a los Ingenieros en Informática y Licenciados en Análisis de Sistemas de una herramienta con modelos estructurados para que, de forma ordenada y efectiva, les facilite y les guíe en la tarea de dar informe de las vulnerabilidades presentes en el entorno en que trabajan y las posibles soluciones, para luego implementarlas con éxito y así lograr una efectiva protección y documentación del entorno objetivo. Esta metodología estará compuesta por una serie de fases en las que se aplicarán procedimientos y se buscará el conocimiento de los procesos, y a su vez, una completa documentación que avale y acompañe al proyecto y que sirva de referente a lo largo de la vida operativa del entorno. Se pretende que esta metodología cree un cambio cultural en el ambiente donde se implementa (una empresa informatizada, un sector informatizado de un negocio, etc.), al aplicar políticas que afecten al personal, al uso de los recursos y a la forma de trabajo, además de una conciencia integral de la importancia de la seguridad en entornos informatizados y las implicancias de las falencias en este tema. Este proyecto está destinado a aplicarse en entornos en los que nunca se han realizado controles de seguridad, como en los que están bajo un régimen de seguridad controlado, sobre el que se desea evaluar su efectividad, o comprobar su completitud. Al hablar de sistema inseguro se hace referencia a un sistema no confiable, no auditado, no controlado o mal administrado con respecto a la seguridad. NOTA: De ahora en más se hará referencia al experto en seguridad, actor protagonista del proceso de aseguramiento aquí presentado, como ES. 7
9 2. Estado del Arte de la Seguridad Informática. Básicamente, los problemas de Seguridad Informática son sucesos que no deseamos que ocurran. La mayoría son inesperados, aunque en muchos casos se pueden prevenir. Cuando hablamos de incidentes de Seguridad, o problemas de Seguridad Informática nos referimos a: Acceso no autorizado a la información; Descubrimiento de información; Modificación no autorizada de datos; Invasión a la privacidad; Denegación de servicios; Etc. Cada entorno informatizado es diferente, y maneja distintos tipos de información, y por ende, es distinta la forma en que se tratan los datos. Los componentes de los entornos informatizados son distintos, por lo que las especificaciones de seguridad asociadas a cada uno varía notablemente dependiendo de la tecnología utilizada a nivel de plataforma, software base y dispositivos físicos. La funcionalidad y características técnicas de los componentes de los entornos varían notablemente según la marca, en particular en los aspectos concernientes a la seguridad. Hoy en día la amenaza más común en los ambientes informatizados se centra en la eliminación o disminución de la disponibilidad de los recursos y servicios que utiliza el usuario. El crecimiento de las telecomunicaciones y la estricta dependencia que existe entre el negocio de las empresas y la tecnología informática hace crítica la inversión en seguridad. Cada vez más los procesos comerciales se ven estrechamente ligados a procesos informáticos. Prácticamente toda la información vital para el negocio de una compañía comercial se encuentra informatizada, no sólo almacenada en dispositivos electrónicos, sino que, en la mayor parte de los casos, se encuentra distribuida físicamente y viaja constantemente a través de medios públicos como redes de telefonía e Internet. Es por eso que se pone énfasis en el crecimiento de soluciones para el problema de la Seguridad Informática, por lo que el conocimiento en esta área ha crecido 8
10 enormemente en los últimos años, al punto en que somos capaces de afirmar que es posible lograr una completa enumeración de las fallas de seguridad de los sistemas y los entornos en los que viven. Estas fallas de seguridad son las que se convierten en amenazas susceptibles de ser aprovechadas por usuarios malintencionados para causar daño o algún tipo de invasión a la confidencialidad. Protegerse contra accesos no autorizados es el problema más sencillo a resolver, ya que durante años se han desarrollado y perfeccionado algoritmos matemáticos para la encripción de datos, para el intercambio seguro de información, para garantizar el correcto funcionamiento del software, que se ha traducido en herramientas capaces de proporcionar soluciones rápidas y sencillas a problemas técnicos de seguridad. Desafortunadamente, no es suficiente simplemente arreglar los errores o eliminar las fallas técnicas de seguridad. El problema va mucho más allá. La Seguridad Informática es un problema cultural, en el que el usuario juega un rol protagónico. La responsabilidad sobre la seguridad de los datos y equipos ya no recae solamente en el personal técnico especializado encargado de resguardar los bienes y servicios brindados por el entorno, sino que es el usuario el que debe velar por la seguridad de los bienes físicos y lógicos que maneja. Para ello debe existir una conciencia de trabajo seguro, de resguardo de la confidencialidad y de protección de los activos utilizados a diario en el trabajo de cada individuo. Por esta razón la seguridad Informática debe estar incorporada desde el principio de todo proceso, desde el diseño para garantizar la evaluación de todos los factores funcionales (y no solamente los técnicos) a tener en cuenta para el uso seguro del entorno. Si esto sucede, el objetivo inicial de la seguridad habrá sido logrado. La seguridad, entonces, debe nacer en el diseño seguro de los sistemas, de la correcta formación de la estructura de la organización, de la adecuada distribución de tareas y contraposición de intereses en los roles de control y ejecución de tareas. Luego de lograr eso se deben implantar medidas de índole técnica que garanticen el adecuado uso de los recursos y servicios solamente a los usuarios autorizados, y la disponibilidad de los mismos. Pero lo importante es ver que la Seguridad Informática ya no es un problema de la gente especializada en sistemas, sino que ha salido de los laboratorios y los centros de cómputo para instalarse en el escritorio del usuario, en donde nacen los problemas de Seguridad. 9
11 3. Motivación para la realización de este trabajo Este trabajo es la culminación de muchos años de estudio, en los que incursioné en técnicas, modelos, formas de trabajo, teorías, estudios y descubrimientos y a través de ellos me empapé de conocimientos en las distintas formas en que los presenta la ciencia. Durante los años transcurridos en la facultad, mi forma de pensar se fue modelando, puliendo, transformando, de modo de lograr una visión distinta de la vida, no solo de los problemas de la ingeniería. Luego, al ingresar en el mundo laboral, descubrí que los aspectos del negocio tienen una influencia crucial en la toma de decisiones en todos los aspectos, incluido el de las soluciones informáticas. En el tiempo que llevo tratando clientes, observando distintas realidades, y conociendo su negocio, como el de la industria petrolera, el de la industria del maíz, el de los laboratorios químicos, el de entidades estatales, el de los bancos, el de las líneas aéreas, entre otros, aprendí que es fundamental tener en cuenta los procesos del negocio al evaluar los procesos informáticos. Es por eso que en este trabajo pretendo traducir el conocimiento en seguridad informática disperso por el mundo en sus distintas formas, ya sea de conocimiento público o el privado al que pueda acceder, para crear una herramienta de trabajo que siga la línea de pensamiento del Ingeniero de la UBA, agregando a esta línea de pensamiento la incursión en los procesos de negocio del cliente con que se trabaje, para ofrecerle la mejor solución. Particularmente como alumna, el tema me fue atrapando luego de cursar la materia Introducción a los sistemas distribuidos en la que se vieron técnicas de seguridad en el contexto del modelo TCP/IP. En esa oportunidad la seguridad informática fue presentada con seriedad, aunque de forma escueta, pero especialmente logró despertar mi interés personal, por lo que comencé a investigar sobre el tema. Un tiempo después descubrí de la existencia de la asignatura Criptografía y Seguridad Informática dictada como materia optativa en la carrera Ingeniería Electrónica. Inmediatamente me interesé en la misma y realicé los trámites correspondientes para lograr la autorización para cursarla y la aceptación de los créditos como materia optativa. 10
12 Pude cursarla efectivamente y aprobarla en el segundo cuatrimestre del año 2002, lo cual dejó una marca importante en mi formación profesional ya desde mi condición de alumna. Luego continué investigando sobre el tema, pero noté que la información se encontraba dispersa y desordenada; sin embargo también noté que la bibliografía era en general muy específica. Considero muy importante para la formación de los Ingenieros en Informática la educación en Seguridad Informática. Cualquier profesional de esta carrera debería poseer un mínimo conocimiento sobre el tema que le permita profundizar en el aspecto que considere necesario. Es por esto que decidí realizar este trabajo con la idea de que sirva de guía para los colegas en el trabajo de detectar fallas de seguridad y recomendar soluciones en el aspecto del entorno en que se esté trabajando, que a fin de cuentas este es el trabajo del ingeniero: dar soluciones. 4. Alcance de la tesis En esta tesis se desarrollará una metodología de trabajo. Se describirán las tareas y subtareas a realizar para obtener resultados específicos, se indicará un orden para realizarlas, se servirá de documentación a desarrollar para completar informes y relevamientos, se dará un marco general para el desarrollo del proyecto de aseguramiento del entorno en estudio, pero no se entrará en detalle en los siguientes temas: Administración del proyecto: No se entrará en detalles en la formalización del Alcance, ni en la estimación de tiempos y costos del proyecto, ya que son tareas puramente administrativas que no hacen al problema de aseguramiento del entorno informatizado. Vulnerabilidades conocidas en sistemas operativos y aplicaciones: No se enumerarán las vulnerabilidades conocidas en software base ni en aplicativos, ya que éstas cambian y se incrementan día a día, lo que restaría escalabilidad y vigencia en el tiempo a la tesis. Implantación de las soluciones en plataformas tecnológicas específicas: 11
13 No se entrará en detalle en configuraciones ni ejecución de procesos específicos para solucionar problemas de seguridad en sistemas operativos ni software aplicativo pues se pretende hacer una metodología portable, independiente de la plataforma tecnológica. 5. Organización del documento El trabajo ha sido desarrollado en seis partes: I. Índice II. Prefacio III. Introducción IV. Desarrollo de la Metodología AEI V. Conclusión VI. Bibliografía VII. Anexo I. MAEI Resumen de Fases y Tareas VIII. Anexo II. Estándares Internacionales. Reseña introductoria. IX. Anexo III. Glosario de términos. A su vez, la parte IV, Desarrollo de la Metodología AEI, está organizada en seis capítulos correspondientes a cada una de las fases de la metodología que aquí se presenta. Los capítulos son los siguientes: 1. Definición del Alcance. 2. Relevamiento. 3. Planificación. 4. Implantación. 5. Estabilización. 6. Mantenimiento. 12
14 III. INTRODUCCIÓN. 1. La metodología. La metodología propuesta se compone de seis fases que agrupan etapas. Estas fases, a su vez, desde un aspecto macroscópico se pueden generalizar en dos grandes grupos: el estudio del entorno y la implantación de la solución. 1.1 El estudio del entorno. En este primer grupo de fases se encuentran: La definición del Alcance; El Relevamiento; La Planificación. Aquí se fija como objetivo conocer al entorno informatizado donde se implementará la metodología, a fin de asegurarlo. Este conocimiento implica la intervención del usuario, que aportará el conocimiento personal desde su perspectiva, también aportará inquietudes y necesidades que ayudarán al ES a dar la solución más satisfactoria para el cliente. Cliente es toda entidad, empresa, organismo o persona que presente su entorno informatizado con el fin de que el ES lo analice y lo asegure. En este estudio, el ES investiga, observa, documenta. Investiga cómo se trabaja, cómo está formada la empresa, qué tecnología posee, cómo ésta es utilizada. Observa cómo se manejan los empleados, cuáles son las políticas implícitas en el entorno con respecto al trabajo, al manejo de la información y de los bienes. Documenta en un formato comprensible el conocimiento que él adquiere, para el intercambio con el usuario, y como fuente para el desarrollo de la solución de la próxima etapa de la metodología. 1.2 La implantación de la solución. Este segundo grupo de fases comprende: 13
15 La Implantación de la solución; La Estabilización del entorno; El Mantenimiento de la solución, para guardar el entorno en condiciones confiables de seguridad. En esta parte el ES ya conoce el entorno objetivo, por lo que se dedica a hallar la solución que mejor se adapte al mismo. Vuelca la planificación a la práctica, a través de la implantación de las técnicas que se eligieron en la etapa anterior, genera y desarrolla los modelos de análisis que forman parte del Plan de Aseguramiento y que le servirán de ahí en adelante, durante toda la vida del ambiente. Luego de la ejecución del Plan de Aseguramiento, el entorno objetivo se estabiliza determinando una adecuada capacitación de los usuarios, y verificando los beneficios logrados como resultado. La implantación se cierra, aunque siempre queda latente una extensión de la misma que se ocupará del registro de incidencias, de cambios en los bienes físicos y lógicos, entre los que se considerarán las periódicas actualizaciones de software antivirus y otras técnicas a aplicarse con regularidad para mantener el nivel de seguridad a medida que el entorno cambia. A continuación se exhibe un diagrama que muestra las fases: 14
16 Plan de aseguramiento aprobado? Sí No Planificación Implantación de la solución Implantación Relevamiento Estabilización Definición del Alcance Estudio del Entorno Entorno protegido Entorno inseguro Mantenimiento 2. Descripción de las fases. Las siguientes son las fases de la metodología AEI, con las principales etapas que las constituyen. Las mismas se desarrollarán en detalle en la parte IV de este trabajo, Desarrollo de la metodología AEI. 1. Definición del Alcance En esta fase se determinan qué aspectos, sectores, áreas y recursos se van a proteger. Se desarrolla en cinco subfases: 1.1 Análisis de requerimientos de usuario En esta etapa se realiza la negociación con el cliente sobre los niveles, sectores, servicios y activos a proteger en función de los requerimientos que hace el usuario. 1.2 Elaboración del Alcance Se confecciona un documento detallando objetivos claros y puntuales que se deberán cumplir en el proceso de aseguramiento. 1.3 Aprobación del Alcance 15
17 En esta etapa el cliente determina la aprobación o el rechazo del Alcance, de manera de continuar o no con el proyecto, o ver las modificaciones que él propone. 1.4 Estimación de tiempos y costos Parte destinada a la determinación aproximada de la duración del proyecto y de los costos asociados: recursos financieros, recursos humanos, recursos recurrentes y no recurrentes, etc. 1.5 Elaboración del Plan de Trabajo Luego del análisis anterior, y con el objetivo bien claro, el ES confecciona el plan a seguir estimando períodos de trabajo, asignación de recursos y fechas de presentación de los entregables. 2. Relevamiento En esta etapa el ES comienza a familiarizarse con el entorno a proteger, mediante la identificación de los elementos que lo componen. Comprende las siguientes etapas: 2.1 Elaboración del Relevamiento General El ES realiza una inspección general sobre los aspectos de la organización, de su negocio y de los bienes. 2.2 Elaboración del Relevamiento de Usuario Consiste en obtener información del usuario respecto de las costumbres y usos del sistema, el manejo de la información, y el nivel de conciencia del usuario respecto a las potenciales amenazas existentes en su entorno. Se elabora el Relevamiento de Usuario. 2.3 Análisis de vulnerabilidades Determinación de las amenazas presentes en la organización respecto de la seguridad. 2.4 Análisis de riesgos Se analiza el impacto y la probabilidad de ocurrencia de las vulnerabilidades detectadas en la etapa anterior, el riesgo que implican y los potenciales nuevos riesgos a los que esté expuesto el entorno. 3. Planificación Esta fase comprende el análisis detallado de los puntos a proteger estudiando el entorno en distintos aspectos: el físico, el lógico y el de la organización. 3.1 Elaboración del Plan de Aseguramiento 16
18 El Plan de Aseguramiento es el documento que describe las medidas que se tomarán para asegurar el sistema, según los objetivos planteados en el Alcance. 3.2 Aprobación del Plan de Aseguramiento El Plan de Aseguramiento debe ser consensuado por el cliente para comenzar su implantación. Por motivos de presupuesto, de política, u otras causas el responsable del proyecto por parte del cliente puede solicitar recortes o ampliaciones del Plan, que serán analizadas por el ES quien deberá exigir una justificación por todos los cambios solicitados, y presentar los riesgos que estos generen en el entorno. 4. Implantación En esta fase se llevará a cabo el Plan de Aseguramiento antes propuesto (y aprobado) y las etapas de ajuste político y organizativo que el ES considere necesarias. Vemos a continuación las etapas de esta fase: 4.1 Elaboración del Relevamiento de Activos Es una enumeración detallada de los bienes físicos y lógicos de la empresa, junto con una asignación de responsabilidades sobre cada activo, y la valoración de su criticidad a nivel de la seguridad, y la clasificación de la información en cuanto a su criticidad. En esta etapa se elabora el Inventario de Activos 4.2 Clasificación de la Información A partir del análisis de criticidad de los activos, se procede a clasificar la información según su grado de criticidad en cuanto a la disponibilidad, confidencialidad e integridad. Esto permitirá determinar las medidas necesarias de seguridad a fijar en el marco normativo de la empresa. 4.3 Elaboración/adaptación de la Normativa de Seguridad Esta etapa de la implantación consiste en el punto de partida del proceso de aseguramiento de un entorno. Pretende establecer las pautas, los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir todos los miembros de la organización, sus socios comerciales, los contratistas y los prestadores de servicios. 4.4 Publicación de la Normativa de Seguridad Una vez elaborada, se debe dar a conocer el Manual de Seguridad de la organización, haciendo firmar los convenios de confidencialidad existentes y la confirmación de lectura y conocimiento de las Normas por parte de los usuarios. 17
19 4.5 Implantación del Plan de Aseguramiento En esta etapa se implantarán todas las medidas planificadas especialmente para el entorno objetivo, en cada nivel analizado: físico, lógico y de la organización. 4.6 Elaboración del Plan de Recuperación del Entorno ante Desastres El Plan de Recuperación del Entorno ante Desastres consiste en un plan para garantizar la continuidad del negocio cuando ocurran eventuales catástrofes de distinta índole. Para la elaboración de este plan se deberá tener en cuenta la criticidad de las aplicaciones y de los equipos, y el riesgo al que están expuestos, según lo estudiado en la etapa 2.2 de la fase de Alcance. Los desastres pueden ser naturales (inundaciones, caídas de rayos, tormentas eléctricas), provocados intencionalmente (sabotaje, hurto, negación de servicio), por error humano (incendios, destrucción accidental de información) o, fallas mecánicas o eléctricas inherentes a los equipos (rotura de discos, placas de red quemadas). En todos los casos habrá que prever cierto número de accidentes, su probabilidad de ocurrencia, identificar los equipos y aplicaciones críticas para el funcionamiento del negocio, y crear un plan de contingencia que garantice la continuidad del negocio y la recuperación del entorno informatizado en un tiempo adecuado. 5. Estabilización En este período se pretende estabilizar el entorno ya que a esta altura del proyecto, seguramente ha sufrido numerosos cambios. Se hace una observación y evaluación de la implantación en las siguientes etapas: 5.1 Análisis de resultados En esta etapa se cotejan los resultados obtenidos con el Alcance planteado en la fase 1 de esta metodología y se evalúan los resultados obtenidos: los objetivos logrados y los puntos postergados o descartados con su respectiva justificación. 5.2 Ajuste Esta subfase de estabilización está dedicada a realizar ajustes sobre el Plan de Aseguramiento según los resultados obtenidos y analizados en la etapa anterior de esta misma fase y los inconvenientes o nuevos requerimientos que pudieran surgir en la etapa de implantación. 18
20 Los puntos de control que necesiten cambios, mejoras o los que surjan durante el proyecto se tomarán en cuenta para completar y adaptar el Plan de aseguramiento para una segunda implementación, delimitando nuevamente su Alcance, que podrá reducirse a aplicar solamente los cambios surgidos en esta etapa para lograr un completo aseguramiento del entorno. 5.3 Cierre de la implantación El cierre de la implantación se realiza cuando se concluyeron los últimos controles que constituyen el Plan de Aseguramiento y concluidas las etapas de concientización y capacitación de usuarios de la fase 4 de esta metodología. 5.4 Capacitación de usuarios Se les explica a los usuarios los cambios efectuados, los nuevos procesos y formas de proceder ante incidencias, y la manera en que deben administrar la seguridad para mantener el entorno protegido. 6. Mantenimiento Esta fase comienza posteriormente a la implantación del Plan de Aseguramiento, luego de la estabilización del entorno y se mantiene durante toda su vida. Durante la vida del entorno ocurrirán incidencias y cambios que deberán ser analizados y documentados, así como también se deberán llevar a cabo controles periódicos y aplicar las correspondientes actualizaciones para mantener un nivel confiable de seguridad en el entorno, en las siguientes subfases: 6.1 Control de incidencias Esta fase se ocupa de analizar y documentar las incidencias ocurridas del uso diario de los recursos, tales como: Mal funcionamiento de elementos de hardware; Ruptura de elementos de hardware; Anomalías en productos de software; Fallas en procesos; Detección de virus malignos; Averío de documentación; Pérdida de bienes; Etc. Todo incidente, incluso los no especificados en este trabajo, deberá ser reportado a quien corresponda, según lo especificado en la Normativa de seguridad, mediante un Reporte de Incidencias, y asentado en el Registro de Incidencias por el responsable a cargo. El Registro de Incidencias es un documento destinado para tal fin. 19
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detallesDE VIDA PARA EL DESARROLLO DE SISTEMAS
MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesModificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere.
UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIA Y TECNOLOGÍA DIRECCION DE EXTENSION COORDINACION DE PASANTIAS Modificación y parametrización del modulo de Solicitudes (Request) en el ERP/CRM Compiere. Pasante:
Más detallesSOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES
G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla
Más detallesXXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998
XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción
Más detallesACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos
Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesPlan de Estudios. Diploma de Especialización en Seguridad Informática
Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesMarco Normativo de IT
Marco Normativo de IT PC0901 - Proceso de control de cambios en software de aplicación provisto por Organismos Gobierno de la Ciudad Autónoma de Buenos Aires PC0901 - Proceso de control de cambios en software
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE
ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE MARZO 2007 Este documento contesta las preguntas más frecuentes que se plantean las organizaciones que quieren
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesA la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:
XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesActividades para mejoras. Actividades donde se evalúa constantemente todo el proceso del proyecto para evitar errores y eficientar los procesos.
Apéndice C. Glosario A Actividades de coordinación entre grupos. Son dinámicas y canales de comunicación cuyo objetivo es facilitar el trabajo entre los distintos equipos del proyecto. Actividades integradas
Más detallese-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.
Comercio electrónico. (e-commerce) Las empresas que ya están utilizando la red para hacer comercio ven como están cambiando las relaciones de la empresa con sus clientes, sus empleados, sus colaboradores
Más detallesMANUAL DE CALIDAD ISO 9001:2008
Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesGestión de Configuración del Software
Gestión de Configuración del Software Facultad de Informática, ciencias de la Comunicación y Técnicas Especiales Herramientas y Procesos de Software Gestión de Configuración de SW Cuando se construye software
Más detallesSUBDIRECCIÓN DE ADMINISTRACIÓN
SUBDIRECCIÓN DE ADMINISTRACIÓN DEPARTAMENTO DE INFORMÁTICA Plan de Contingencia El objetivo del Plan de Contingencia es proporcionar la continuidad y recuperación de los servicios de Tecnologías de la
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesServicio de administración de pautas publicitarias en Internet
Servicio de administración de pautas publicitarias en Internet Resumen Ejecutivo Es habitual que la publicidad en Internet sea un apéndice de la publicidad en otros medios. Como no se conocen los resultados,
Más detallesGestión de Oportunidades
Gestión de Oportunidades Bizagi Suite Gestión de Oportunidades 1 Tabla de Contenido CRM Gestión de Oportunidades de Negocio... 4 Elementos del Proceso... 5 Registrar Oportunidad... 5 Habilitar Alarma y
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesCURSO COORDINADOR INNOVADOR
CURSO COORDINADOR INNOVADOR PRESENTACIÓN La tarea que el Ministerio de Educación se propone a través de Enlaces, en relación al aseguramiento del adecuado uso de los recursos, con el fin de lograr un impacto
Más detalles3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire.
3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire. 3.1 Descripción general de los pasos de la auditoría. Las auditorías comprenderán tres etapas
Más detallesAdministración de Centros Informáticos. Prof. Jhoan M. Chourio UNESR
Administración de Centros Informáticos Prof. Jhoan M. Chourio UNESR 12 de Marzo de 2014 SISTEMAS DE INFORMACIÓN ESTRATÉGICOS Son aquellos que de manera permanente proporcionan a la alta dirección una serie
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesdeterminar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;
Soporte 6Claves para la ISO 14001-2015 BLOQUE 7: Soporte La planificación, como elemento fundamental del Ciclo PDCA (plan-do-check-act) de mejora continua en el que se basa el estándar ISO 14001, resulta
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detalles0. Introducción. 0.1. Antecedentes
ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente
Más detallesPlan de Administración del Proyecto
L México 2002 Atención Ciudadana y Gestión de Programas Sociales Plan de Administración del Proyecto Introducción: El Plan de Administración del Proyecto provee información de cómo el proyecto debe ser
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesGestión de Permisos. Bizagi Suite. Copyright 2014 Bizagi
Gestión de Permisos Bizagi Suite Gestión de Permisos 1 Tabla de Contenido Gestión de Permisos... 3 Definiciones... 3 Rol... 3 Perfil... 3 Permiso... 3 Módulo... 3 Privilegio... 3 Elementos del Proceso...
Más detallesProcedimiento de Sistemas de Información
Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4
Más detallesGuía de los cursos. Equipo docente:
Guía de los cursos Equipo docente: Dra. Bertha Patricia Legorreta Cortés Dr. Eduardo Habacúc López Acevedo Introducción Las organizaciones internacionales, las administraciones públicas y privadas así
Más detallesPrincipios de Privacidad y Confidencialidad de la Información
Principios de Privacidad y Confidencialidad de la Información Con el objetivo de mantener nuestro permanente liderazgo en la protección de la privacidad del cliente, Manufacturera 3M S.A de C.V está activamente
Más detallesAntes de imprimir este documento piense en el medio ambiente!
Versión 1.0 Página 1 de 6 1. ajustado ambiental OBJETIVO Proporcionar herramientas metodológicas para el desarrollo, organización, ejecución y evaluación de simulacros, de una forma segura y confiable,
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesAuditoría de Data Center
Auditoría de Data Center Este documento no podrá ser reproducido, total o parcialmente, sin el permiso expreso de TRC Informática, S.L. Este documento no podrá ser reproducido, total o parcialmente, sin
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesAUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP
AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación
Más detallesMás Clientes Más Rápido: Marketing Online bien enfocado
Más Clientes Más Rápido: Marketing Online bien enfocado A continuación describo una propuesta comercial que estimo le interesará ya que tiene el potencial de incrementar su negocio en un período relativamente
Más detallesAUDITORIA INFORMATICA
AUDITORIA INFORMATICA INTRODUCCION. Empresa M&L. Durante el desarrollo de este trabajo sólo se abarcaron tres áreas: 1-sistemas de información. 2- Hardware y software. 3- Administración. Norma de riesgo
Más detallesADMINISTRACION DE CENTROS DE COMPUTO
ADMINISTRACION DE CENTROS DE COMPUTO 1.1 Datos Informativos 1.2 Tutor: Ing. Jorge Miranda 1.3 Nombre: Iván Guadalupe 1.4 Facultad: Ciencias de la Computación y Electrónica 1.5 Nivel: Decimo Informática
Más detallesProcedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral
Página: 1 de 1 Hoja de Control de Emisión y Revisiones. N de Revisión Páginas Afectadas Motivo del Cambio Aplica a partir de: 0 Todas Generación de documento 01-Agosto-2009 1 Todas Mejora del documento
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesHospital Nacional de Maternidad UNIDAD DE INFORMATICA
Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,
Más detallesMantenimiento de Sistemas de Información
de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesIniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones
Iniciativa de Red Global Protegiendo y promoviendo la libertad de expresión y la privacidad en las tecnologías de información y comunicaciones Marco de Gobernabilidad, Rendición de cuentas y Aprendizaje
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesEXPERIENCIAS EN LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD PARA EL PROCESO DE PRODUCCIÓN DE SOFTWARE
EXPERIENCIAS EN LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE LA CALIDAD PARA EL PROCESO DE PRODUCCIÓN DE SOFTWARE MSc. Gloria María Guerrero Llerena J Gestión de la Calidad y Auditoría. CITMATEL E-mail:
Más detallesMODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA
MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN
Más detallesCAPITULO VI PLAN DE IMPLEMENTACIÓN DEL SISTEMA DE PRESUPUESTOS DE COSTOS DE TIEMPOS ESTÁNDARES DE CONFECCIÓN DE PRENDAS DE VESTIR DE TEJIDO DE PUNTO.
204 CAPITULO VI PLAN DE IMPLEMENTACIÓN DEL SISTEMA DE PRESUPUESTOS DE COSTOS DE TIEMPOS ESTÁNDARES DE CONFECCIÓN DE PRENDAS DE VESTIR DE TEJIDO DE PUNTO. 6.1 INTRODUCCIÓN El éxito de la aplicación del
Más detalles"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios
"Diseño, construcción e implementación de modelos matemáticos para el control automatizado de inventarios Miguel Alfonso Flores Sánchez 1, Fernando Sandoya Sanchez 2 Resumen En el presente artículo se
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesMETODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.
METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,
Más detallesGUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES
GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES Tema: Cartas de Servicios Primera versión: 2008 Datos de contacto: Evaluación y Calidad. Gobierno de Navarra. evaluacionycalidad@navarra.es
Más detallesLA METODOLOGÍA DEL BANCO PROVINCIA
20 LA METODOLOGÍA DEL BANCO PROVINCIA Cómo gestionar activos de información? En 2007, el Banco Central de la República Argentina (BCRA) planteó algunas exigencias financieras para el sistema financiero
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesManual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.
CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A. NUMERO REVISION: 01 Manual de Procedimiento CONTENIDO 1. Algunas Definiciones.
Más detallesCONCLUSIONES 155 A través de cada uno de los capítulos del presente documento se han enumerado una serie herramientas de seguridad que forman parte del sistema de defensa de una red y que, controlan su
Más detallesUnidad 6: Protección Sistemas de Información
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad
Más detallesQué pasa si el entorno de seguridad falla?
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad
Más detallesPlan de Estudios. Maestría en Seguridad Informática
Plan de Estudios Maestría en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías de la Información
Más detallesManual del Usuario. Sistema de Help Desk
Manual del Usuario Sistema de Help Desk Objetivo del Manual El siguiente manual tiene como objetivo proveer la información necesaria para la correcta utilización del sistema Help Desk. Describe los procedimientos
Más detallesCOMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD
COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE SOPORTE DE PLATAFORMA GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO El objeto del procedimiento es garantizar una plataforma tecnológica y un sistema de comunicación
Más detallesSistema de Gestión de Proyectos Estratégicos.
[Documento versión 2.0 del 24/06/2015] Sistema de Gestión de Proyectos Estratégicos. El sistema de Gestión de Proyectos Estratégicos (GPE), es una poderosa herramienta para administrar y gestionar los
Más detallesIntegración de la prevención de riesgos laborales
Carlos Muñoz Ruiz Técnico de Prevención. INSL Junio 2012 39 Integración de la prevención de riesgos laborales Base legal y conceptos básicos Ley 31/1995, de Prevención de Riesgos Laborales: Artículo 14.
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesSistema Gestión Licitación para la compra del desarrollo y migración del Sistema de Gestión de Activos y Configuraciones para Plan Ceibal
Sistema Gestión Licitación para la compra del desarrollo y migración del Sistema de Gestión de Activos y Configuraciones para Plan Ceibal Objeto del Llamado y Generalidades El Centro para la Inclusión
Más detallesMANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE)
MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE) Manual de Políticas y Estándares de Seguridad Informática para recuperación de
Más detalles