SECRETARÍA NACIONAL DE LA ADMINISTRACIÓN PÚBLICA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SECRETARÍA NACIONAL DE LA ADMINISTRACIÓN PÚBLICA"

Transcripción

1 SECRETARÍA NACIONAL DE LA ADMINISTRACIÓN PÚBLICA PROYECTO: IMPLEMENTACIÓN, CONTROL Y SEGUIMIENTO DE LA SEGURIDAD DE LA INFORMACIÓN EN ENTIDADES DE LA ADMINISTRACIÓN PÚBLICA CENTRAL E INSTITUCIONAL CUP: Quito, enero de

2 1. DATOS GENERALES DEL PROYECTO 1.1. Nombre del proyecto Implementación, control y seguimiento de la seguridad de la información en entidades de la Administración Pública Central Dependiente e Institucional Entidad ejecutora Secretaría Nacional de la Administración Pública (SNAP) Cobertura y localización A nivel nacional debido a que las entidades de la Administración Pública Central Dependiente e Institucional (APCDI) se encuentran localizadas en todo el país Monto El presupuesto asciende a SEISCIENTOS CUARENTA Y SEIS MIL CUATRO CIENTOS DOLARES NORTEAMERICANOS (US $ ,00) Plazo de Ejecución El plazo de ejecución es de NUEVE (9) meses a partir de la disponibilidad del presupuesto Sector y Tipo de Proyecto Sector 17: Administrativo, sub-sector 17.2: Regulación y Control Objetivo del Plan Nacional para el Buen Vivir al que contribuye Objetivo 1 Consolidar el Estado democrático y la construcción del poder popular. Política: Garantizar la prestación de servicios públicos de calidad con calidez Lineamiento: f) Mejorar continuamente los procesos, la gestión estratégica y la aplicación de tecnologías de información y comunicación, para optimizar los servicios prestados por el Estado. Política Afianzar una gestión pública inclusiva, oportuna, eficiente, eficaz y de excelencia: Lineamiento: b) Estandarizar procedimientos en la administración pública con criterios de calidad y excelencia, con la aplicación de buenas prácticas y con la adopción de estándares internacionales. 2. DIAGNÓSTICO Y PROBLEMA 2.1 Descripción de la Situación Actual del Área de Intervención Localización Geográfica El área de intervención del proyecto es la República del Ecuador que está situada en el noroeste de Sudamérica y limita al norte con Colombia, al este y sur con Perú, y al oeste con el océano Pacífico. Tiene una superficie de km², incluido el archipiélago de Galápagos, localizado en el Pacífico a unos km 2

3 de la costa. La capital es Quito Distrito Metropolitano. Ecuador está dividido en 7 regiones de la siguiente forma: Región 1: Esmeraldas, Carchi, Imbabura y Sucumbíos (sede: Ibarra) Región 2: Pichincha, Napo y Orellana (sede: Tena) Región 3: Chimborazo, Tungurahua, Pastaza y Cotopaxi (sede: Riobamba) Región 4: Manabí, Galápagos y Santo Domingo (sede: ciudad Alfaro) Región 5: Santa Elena, Guayas, Los Ríos y Bolívar (sede: Milagro) Región 6: Cañar, Azuay y Morona Santiago (sede: Cuenca) Región 7: El Oro, Loja y Zamora Chinchipe (sede: Loja) Población De acuerdo al Instituto Nacional de Estadísticas y Censos (INEC) la población de Ecuador alcanza 15' habitantes a diciembre del , con una densidad demográfica aproximada de 58 hab/km². De esta población el 65% vive en centros urbanos y el 35% en el medio rural. El 49% se concentra en la región de la Costa y el 45% en la región de la Sierra; el resto de la población se reparte entre la región Amazónica y las islas Galápagos. El total de provincias asciende a 24, siendo las de mayor concentración poblacional las de Pichincha y Guayas, con las ciudades de Quito y Guayaquil como capitales de provincia, que además tienen el estatus de Distritos Metropolitanos. Servicios de Telecomunicaciones - Acceso y uso de telefonía Móvil y Fija: De acuerdo a la Secretaría Nacional de Telecomunicaciones (SENATEL) 2, el número de usuarios de las redes celulares alcanza los 17' abonados a nivel nacional (modalidades pre-pago y post-pago) a octubre de Al operador Porta corresponden el 69%, al operador Movistar corresponden el 29% de abonados; mientras que al operador público CNT - Alegro corresponden el 2% de abonados. La densidad celular sobrepasa el 100% de la población. En relación a la telefonía fija, el número de abonados a nivel nacional alcanza los 2' de abonados, a julio de 2013, que representa una densidad del 14.75% en relación la población 3. - Acceso y uso de la red Internet: La SENATEL revela que el número total de usuarios de Internet alcanza la cantidad de 4' usuarios (personales y corporativos) a septiembre de 2013, que representa una densidad del 30,17% respecto de la población 4. Los lugares desde los que más se accede y utiliza la Internet son el hogar (35,5%), negocios particulares (31,2%), centros educativos (21,2%) y el trabajo (10,8%). Del total de 1 Véase consultado en diciembre de Véase: id=4772&force=1, consultado en diciembre de Véase: id=1957&force=1, consultado en diciembre de Véase: id=4776&force=1, consultado en diciembre de

4 usuarios, el 90,3% accede y utiliza la Internet por lo menos 1 vez a la semana pero el uso diario crece y se sitúa en el 51,7%. Las provincias que acceden y utilizan más la Internet son: Pichincha, Guayas, Azuay, Manabí, Tungurahua, El Oro, Chimborazo, Loja y Santo Domingo. En similar orden son las provincias en las que se concentra el mayor número de computadoras y celulares. El 29,30% de la población masculina accede y utiliza la Internet frente a un 28,2% de la población femenina. Gestión de la Seguridad de la Información Gubernamental La Gestión de la Seguridad de la Información Gubernamental ha cobrado auge a partir de la promulgación del Acuerdo Ministerial 166 de la Secretaría Nacional de la Administración Pública (SNAP) del 19 de septiembre de El acuerdo fija las actividades principales que las entidades públicas deben cumplir para implementar el Esquema Gubernamental de Seguridad de la Información promulgado con el acuerdo, entre estas: La aplicación obligatoria de la familia de Normas Técnicas Ecuatorianas INEN ISO/IEC para gestión de la Seguridad de la Información por parte de las entidades de la APCDI. La implementación del Esquema Gubernamental de Seguridad de la Información (EGSI), en dos fases: directrices marcadas como prioritarias en 6 meses y el resto de directrices en un plazo de 18 meses. La implementación del EGSI en base al ámbito de acción, estructura orgánica, recursos y nivel de madurez en gestión de seguridad de la información en las entidades. El control, seguimiento y coordinación de la implantación del EGSI a cargo de la Secretaría Nacional de la Administración Pública. La revisión anual del EGSI conforme el cambio de la norma INEN ISO/IEC o cuando las circunstancias lo ameriten. El registro, documentación y reporte del cumplimiento del EGSI y la revisión por parte de las autoridades de la institución. La conformación al interior de cada institución de un Comité de Gestión de Seguridad de la Información y la designación de un Oficial de Seguridad de la Información y a un Responsable de Seguridad de Tecnologías de la Información (TI). La implementación del EGSI en las entidades de la APCDI está siendo ejecutada y monitoreada por medio del sistema de Gobierno por Resultados (GPR) de la SNAP. En ese sistema, se ha creado un programa institucional que abarca a 180 entidades, las cuales ejecutan proyectos propios de implementación del EGSI alineados al mencionado programa Identificación, descripción y diagnóstico del problema El uso y explotación de las Tecnologías de la Información y Comunicaciones (TIC) y específicamente de aplicaciones de software de diferente tipo por parte de las entidades de la administración pública ha crecido aceleradamente durante los últimos años. La demanda por la provisión de trámites ciudadanos y de procesos 4

5 gubernamentales automatizados está siendo satisfecha progresivamente por una seria de aplicaciones de software gubernamentales actualmente en operación (por ejemplo: SNI, E-Sigef, Quipux, Compras Públicas, VUE, etc.). Otros tipos de herramientas de TIC, también indispensables para el quehacer público, son utilizadas en aplicaciones para correo electrónico, búsqueda de información en la Web, redes sociales, etc. En ese contexto, el uso de TIC expone tanto a las entidades públicas como a los funcionarios a usos fraudulentos o ilegales de la información que procesan. Esto a su vez pone en riesgo la gestión propia de las entidades, de los servicios que prestan a la ciudadanía e inclusive la seguridad nacional. Junto al crecimiento de la oferta de aplicaciones de software, especialmente en la Web, también ha crecido el volumen de amenazas que ponen en peligro la información o la infraestructura en la cual se procesa. En general, las amenazas informáticas a entidades públicas se han concretado en ataques a sus sistemas y redes, en suplantación de identidad de usuarios, en infección de equipos con virus informáticos, en robo de información, en comisión de delitos, en denegación de acceso a trámites en-línea, etc. Las amenazas más frecuentes que las entidades gubernamentales ecuatorianas han experimentado en los últimos años son 5 : Modificaciones no autorizadas de información o contenidos de los Portales Web institucionales. Modificaciones no autorizadas al código de aplicaciones Web y servicios informáticos gubernamentales en la Web. Denegación de acceso a portales y aplicaciones Web gubernamentales Sustracción de información almacenada en sistemas informáticos Comisión de delitos por mal uso de credenciales de acceso Suplantación de identidad para vulnerar sistemas o cometer delitos Esto ha puesto en evidencia que no se trabaja en prevención o mitigación de los riesgos informáticos más por desconocimiento que por falta de gestión. Prueba de ello son los ataques del grupo de hackers denominado Anonymous realizados los 3 últimos años que provocaron la suspensión temporal de algunas aplicaciones y portales Web gubernamentales provistos por entidades públicas. También es fehaciente que los sistemas informáticos o portales Web gubernamentales que se construyen no cumplen con estándares para seguridad informática o no se les otorga la importancia del caso a los mismos. Por otra parte, los sistemas que se encuentran en operación tampoco son sometidos a pruebas regulares para descartar vulnerabilidades en cualquiera de sus componentes. Los delitos por mal uso de contraseñas de parte de ciertos funcionarios han provocado estafas y desfalco de dinero público, evidenciando la falta de controles en algunos sistemas gubernamentales. 5 Véase SNAP, Informe Final de la Comisión para Seguridad de la Información del 28 de octubre de 2011 (Anexo 1) 5

6 La falta de capacitación en gestión de la seguridad de la información en el sector público ha contribuido a ahondar la problemática puesto que en general los servidores públicos no saben cómo proteger correctamente la información que custodian o como ayudar a disminuir la inseguridad de la información en las entidades para las cuales trabajan. La mayor parte de las entidades públicas ecuatorianas ha atacado el problema de la inseguridad informática implementado medidas netamente tecnológicas, lo que ha contribuido a neutralizar o minimizar ciertos impactos negativos. Falta sin embargo trabajar en otros problemas latentes como la falta de aplicación de políticas, procedimientos y normas técnicas para seguridad de la información y sobretodo disminuir la carencia de conocimiento y conciencia de los servidores públicos respecto de los impactos y consecuencias negativas de la falta de cuidado al gestionar y procesar información por medio de las TIC Línea base del proyecto Mediante Acuerdos Ministeriales No. 804 y N0. 837, del 29 de julio y 19 de agosto de 2011, respectivamente, la SNAP creó la Comisión para la Seguridad Informática y las Tecnologías de la Información y Comunicaciones, para que en un plazo de 90 días presente un informe sobre lineamientos y plan de normas para la Seguridad Informática en las entidades de la APCDI, indique el estado actual de las herramientas informáticas en las áreas de Tecnologías de la Información, determine la idoneidad técnica y profesional del personal de las áreas de Tecnologías de la Información; y, emita conclusiones y recomendaciones. Mediante Memorando No. SNAP-STI ME de 28 de octubre de 2011, el Subsecretario de Tecnologías de la Información de la Secretaría Nacional de la Administración Pública, remitió al Secretario Nacional de la Administración Pública el Informe Final de la Comisión para la Seguridad Informática y sus anexos, con los resultados del trabajo de esta Comisión (ver Anexo 1). El informe incluyó el Esquema Gubernamental de Seguridad de la Información (EGSI), documento basado en la Norma Técnica Ecuatoriana INEN ISO/IEC Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, el mismo que, mediante Acuerdo Ministerial 166 del 19 de septiembre de 2013 de la Secretaría Nacional de la Administración Pública y publicado en el Registro Oficial No. 88 del 25 de septiembre de 2013, es de aplicación obligatoria, junto con las otras normas de la familia INEN ISO/IEC 27000, en todas las entidades de la APCDI. La implementación del EGSI ha iniciado un proceso de mejora continua para gestión de la seguridad de la información en las entidades públicas. El EGSI, en general, demanda la adopción de una política de seguridad de la información, la organización y responsables de ejecutarla así como un conjunto de normas y directrices específicas para el cumplimiento de la misma. El EGSI se está implementado mediante un programa institucional creado en el sistema de Gobierno por Resultados (GPR) y liderado por la Secretaría Nacional de la Administración Pública. En ese programa se ha incluido a 180 instituciones 6

7 de las cuales se priorizado a 86 entidades por ser consideradas críticas, entre ellas: Presidencia, Vicepresidencia, Ministerios de línea, Secretarías Nacionales, Instituciones Adscritas y Dependientes, Instituciones financieras y empresa públicas. Este grupo de 86 entidades constituye la línea base del presente proyecto, en las cuales se está implementando las directrices marcadas como prioritarias en el EGSI (ver Anexo 2) La SNAP es la entidad pública que está organizando y coordinando los esfuerzos para posicionar el proceso de gestión de la seguridad de la información tanto a nivel de las entidades públicas como del gobierno en su conjunto Análisis de oferta y demanda a) Demanda Población de referencia: 15' de habitantes en el 2014 con una tasa de crecimiento de 1,95%, que podrían utilizar los sistemas de información gubernamental y estatal. Población demandante potencial: 4' personas que potencialmente utilizan o acceden a sistemas informáticos y aplicaciones Web a septiembre de 2013 según datos de la SENATEL, con una tasa de crecimiento de usuarios de Internet de 9.46%. Población demandante efectiva: son los funcionarios públicos que utilizan sistemas informáticos y aplicaciones Web (a través de la Internet) en las entidades públicas que a septiembre del 2013 alcanzaban la cantidad de de los cuáles el 59% son hombres y el 41% son mujeres 6. Población demandante proyectada: La tasa de crecimiento de funcionarios público se estima en 1.09% de la población demandante efectiva (al 2014) por lo que la población demandante proyectada alcanzaría la cantidad de funcionarios. b) Oferta Dado que la gestión de la seguridad de la información ha seguido un enfoque estrictamente tecnológico no se ha desarrollado la institucionalidad gubernamental que genere una oferta de procesos y servicios para apoyar a las entidades públicas en la gestión integral de la seguridad de la información. La oferta para satisfacer la demanda efectiva para para gestión de la seguridad de la información en base al Esquema Gubernamental de Seguridad de la Información es nula o no existe. c) Estimación del Déficit o Demanda Insatisfecha (oferta demanda) Debido que no existe oferta gubernamental de procesos y servicios para asistencia técnica, apoyo y capacitación en gestión de la seguridad de la información a las entidades de la administración pública (conforme la familia de normas INEN ISO/IEC y específicamente el Esquema Gubernamental de Seguridad de la Información), el déficit corresponde a la totalidad de la demanda 6 Véase consultado en diciembre de

8 existente Identificación y caracterización de la población objetivo La población objetivo para este proyecto constituyen los funcionarios públicos que trabajan en diferentes entidades de la administración pública. De esta población el 59% son hombres y el 41% son mujeres que geográficamente se encuentran distribuidos en todo el territorio nacional con especial concentración en las zonas urbanas de las grandes ciudades como: Quito, Guayaquil, Cuenca, Manta, Portoviejo, Ambato, Riobamba, el Oro, Loja y Santo Domingo. 3. OBJETIVOS DEL PROYECTO 3.1 Objetivo General y Objetivos Específicos Objetivo General Implementar, controlar y realizar seguimiento a la seguridad de la información en entidades de la Administración Pública Central Dependiente e Institucional. Objetivos Específicos Objetivo Específico 1 (OE1): Implementar infraestructura tecnológica de hardware y software para un sistema de gestión de eventos y seguridad de la información en la Secretaría Nacional de la Administración Pública. Objetivo Específico 2 (OE2): Capacitar a funcionarios de entidades de la Administración Pública Central Dependiente e Institucional en gestión de la seguridad de la Información y el Esquema Gubernamental de Seguridad de la Información. 3.2 Indicadores de resultados Objetivo Específico 1 (OE1): 100% de la infraestructura tecnológica de hardware y software de un sistema de gestión de eventos y seguridad de la información implementada en la Secretaría Nacional de la Administración Pública al finalizar el proyecto. Objetivo Específico 2 (OE2): 350 funcionarios de 86 entidades de la Administración Pública Central Dependiente e Institucional capacitados en gestión de la seguridad de la Información y en el Esquema Gubernamental de Seguridad de la Información al finalizar el proyecto. 8

9 3.3. Matriz de Marco Lógico Resumen Narrativo de Objetivos FIN: Reducir los impactos negativos a la seguridad de la información provocadas por amenazas, riesgos y vulnerabilidades de portales Web, sistemas y aplicaciones gubernamentales de entidades de la APCDI. Indicadores Verificables Objetivamente A los 6 meses de finalizado el proyecto: - 1 encuesta para medir la percepción de las entidades sobre la preparación de las mismas para mitigar amenazas y riesgos en la gestión de la seguridad de la información. Medios de Verificación - 1 Informe de resultados de la encuesta aplicada a las entidades participantes. Supuestos EGSI implementándose en las entidades de la APCDI participantes. Provisión a tiempo del presupuesto para la ejecución del proyecto. Colaboración de las entidades en la ejecución de la encuesta. Proyecto ejecutado exitosamente PROPÓSITO (u Objetivo General): Implementar, controlar y realizar seguimiento a la seguridad de la información en entidades de la Administración Pública Central Dependiente e Institucional. Al finalizar el proyecto: - 1 sistema para gestión de eventos y seguridad de la información en operación en la SNAP funcionarios capacitados en gestión de la seguridad de la información - 1 informe técnico sobre las características del sistema para gestión de eventos seguridad de la información implementada y en operación. - 1 informe sobre los resultados de los eventos de capacitación en gestión de la seguridad y el EGSI impartidos. Procesos de contratación de hardware y software y del proveedor de capacitación ejecutados a tiempo. Cursos y/o eventos de capacitación facilitados a los funcionarios delegados por las entidades participantes. Apoyo decidido de entidades y funcionarios delegados para los eventos de capacitación. COMPONENTES (resultados u objetivos específicos): C1) Infraestructura tecnológica de hardware y Indicadores Verificables Objetivamente Al finalizar el proyecto: Medios de Verificación - 1 informe de la implantación del hardware y software para el Supuestos Proceso de contratación de hardware y software para el 9

10 software implementada para un sistema de gestión de eventos y seguridad de la información en la Secretaría Nacional de la Administración Pública % de la infraestructura tecnológica de hardware y software de un sistema de gestión de eventos y seguridad de la información implementada en la Secretaría Nacional de la Administración Pública. sistema de gestión eventos y seguridad de la información instalado en el centro de datos de la SNAP. - 1 informe de la puesta en operación del sistema de gestión de eventos y seguridad de la información en la SNAP. sistema de gestión de eventos realizado satisfactoriamente y a tiempo. C2) Funcionarios de entidades de APCDI capacitados en gestión de la seguridad de la Información y el EGSI Al finalizar el proyecto: funcionarios de 86 entidades de la APCDI capacitados en gestión de la seguridad de la Información y en el Esquema Gubernamental de Seguridad de la Información. - 1 informe de los eventos de capacitación facilitados a 350 funcionarios de 86 entidades de la APCDI. Decisión política, cooperación y colaboración de las autoridades y servidores públicos de las entidades participantes para los eventos de capacitación en gestión de seguridad de la información el Esquema Gubernamental de Seguridad de la Información. Participación comprometida de los responsables de seguridad de la información de cada una de las 86 entidades participantes. ACTIVIDADES PRESUPUESTO MEDIOS DE VERIFICACIÓN SUPUESTOS C1) Implementar infraestructura tecnológica de hardware y software para un sistema de gestión de eventos y seguridad de la información en US$ ,00 - Términos de referencia y pliegos de contratación. - Documentación del contrato. - Cronograma y plan de trabajo. Proceso contratación ejecutado exitosamente y a tiempo. Pagos de facturas a tiempo al proveedor. Provisión de hardware y software a tiempo por parte del 10

11 la SNAP: - Contratación de hardware y software. - Diseño de la arquitectura del sistema de gestión de eventos y seguridad de la información. -Instalación, configuración, pruebas y puesta en operación de equipos y programas. - Entrenamiento y transferencia de conocimientos del sistema a técnicos de la SNAP. - Mantenimiento y soporte de equipos y software. C2) Capacitar a funcionarios de entidades de APCDI en gestión de la seguridad de la Información y el EGSI: - Contratación de la empresa de capacitación. - Diseño de los cursos de capacitación en normas INEN y 27005, EGSI, análisis de - Informes técnicos de los productos y servicios recibidos. - Actas de entrega-recepción de productos y servicios intermedios y finales recibidos. - Garantía técnica de equipos y software. - Documentación técnica del hardware, software y sistema de gestión de eventos. - Facturas de pagos al contratista. - Informes del contratista sobre ejecución del contrato. US$ ,00 - Términos de referencia y pliegos de contratación. - Documentación del contrato. - Cronograma y plan de trabajo. - Informes técnicos de avances de los eventos de capacitación. - Actas de entrega-recepción de productos y servicios interme- proveedor contratado. Participación efectiva y activa de las entidades y funcionarios en los cursos de capacitación. Proceso contratación ejecutado exitosamente y a tiempo. Pagos de facturas a tiempo al proveedor. 11

12 vulnerabilidades y pruebas de penetración a sistemas. -Preparación del material de los cursos y kits para los asistentes. - Elaboración de calendario de cursos y logística de los cursos. dios y finales recibidos. - Documentos de los cursos y material didáctico de apoyo. - Facturas de pagos al contratista. - Informes del contratista sobre ejecución del contrato. - Facilitación de los cursos, control de asistencia y evaluación de los alumnos. - Ejecución de encuestas sobre calidad de los cursos. 12

13 4. VIABILIDAD Y PLAN DE SOSTENIBILIDAD 4.1. Viabilidad Técnica Descripción de la Ingeniería del Proyecto Componente 1: Implementar infraestructura tecnológica de hardware y software para un sistema de gestión de eventos y seguridad de la información en la SNAP La Secretaría Nacional de la Administración Pública mantiene y opera sistemas informáticos gubernamentales considerados críticos que atienden a miles de servidores públicos e inclusive a la ciudadanía en general. Entre esas aplicaciones se destacan: el sistema de gestión documental QUIPUX, el sistema de Gobierno por Resultados, el Bus de Servicios Gubernamentales, el portal Web de Trámites Ciudadanos, el sistema Web de Compromisos Presidencial, los portales Web de la Presidencia, Yo Gobierno y de 40 ministerios y entidades de la función ejecutiva, entre otros. Los sistemas funcionan en equipos instalados en los dos centros de datos que la SNAP administra. Esos centros de datos se encuentran en las ciudades de Quito y Guayaquil. La red de datos que comunica los dos centros de datos es proporcionada por la Corporación Nacional de Telecomunicaciones (véase figura 1). Figura 1: Centros de datos administrados por la SNAP Dadas las amenazas frecuentes de ataques informáticos a esos sistemas, surge la necesidad de realizar una vigilancia preventiva de eventos que puedan poner en riesgo la disponibilidad, continuidad y capacidad de los sistemas y potencialmente afectar a otras entidades públicas cuando las amenazas son a nivel gubernamental. 13

14 Para satisfacer esa necesidad se implementará un sistema compuesto de hardware y software que permita analizar el tráfico de datos que generan equipos de seguridad, servidores de computo, equipos de almacenamiento de datos, sistemas operativos, bases de datos, servidores de aplicaciones, etc., constituyendo un sistema de gestión de eventos y seguridad de la información. En general, el sistema por un lado realizará el inventario de los ítems de hardware y software a monitorear y por otro lado recolectará información que procesan esos ítems por medio de bitácoras también conocidos como logs. Con esa información y en base a una base de reglas pre-definidas, el sistema estará en capacidad de analizar y correlacionar la información en tiempo real para emitir alertas priorizadas sobre amenazas y riesgos a la seguridad de los ítems monitoreados. En caso que se presente un incidente de seguridad, el sistema permitirá su gestión en coordinación con otras áreas de la SNAP u otras entidades públicas que eventualmente puedan resultar afectadas o participen en los incidentes de forma involuntaria. El sistema a instalar está compuesto por: sensores, servidores de análisis, equipo para almacenamiento/custodia de logs más una aplicación para monitoreo, reporte y administración soportada sobre una base de datos. Sensores: Son equipos encargados de recoger los datos provenientes de diferentes nodos de la red, para monitorizar su actividad y contienen: Detectores de bajo nivel y monitores que pasivamente recolectan datos buscando patrones. Escáneres que pueden buscar vulnerabilidades en la red activamente. Agentes que reciben datos (logs) de equipos y software a efectos de normalización y envío tanto en formato original como normalizado para diferente tipo de análisis. Pueden recolectar logs por medio de: HTTP, HTTPS, SCP, FTP, SFTP, CIFS, SMB, TRAPS, SNMP, SYSLOG y SYSLOG-NG Un sensor puede realizar las siguientes funciones. Detección de intrusos Escáner de vulnerabilidades Detección de anomalías Análisis y monitorización de la red Recolección de datos de elementos locales, routers, firewalls,etc. Recolección de logs de dispositivos y aplicaciones. Servidores: Son equipos encargados de realizar el análisis y correlación en tiempo real de la información enviada por los sensores, que se muestra por medio de una aplicación de monitoreo, administración y configuración. Las características principales son: Normalizar, priorizar, recolectar y evaluar riesgos Correlacionar información en base a reglas predefinidas soportadas por el 14

15 mercado o programadas por el usuario a fin de generar alertas confirmadas. Administrar el sistema en tareas específicas como backups, inventario de equipos o ejecución de escaneos. Envío de los logs en formato normalizado a equipo logger para análisis forense. Loggers: Son equipos que permiten almacenar logs que son evidencia de algún incidente a la seguridad de la información. Los logs son almacenados de forma segura e integra a fin de que sirvan como evidencia digital y para análisis digital forense. Aplicación WEB: Es un software que permite administrar, configurar y operar el sistema. Adicionalmente, permite obtener consultas y acceder a la consola de monitoreo que muestra información gráfica y estadística del estado del sistema. Tanto los equipos como la aplicación utilizan una base de datos para almacenamiento de logs en crudo, eventos correlacionados y datos de configuración útiles para la gestión del sistema. El hardware y software del sistema será instalado, configurado y operado en el centro de datos de la SNAP en la ciudad de Quito. La figura 2 muestra el diseño arquitectónico de alto nivel del sistema a implementar: Figura 2: Diseño del Sistema de Gestión de Eventos y Seguridad de la Información Especificaciones Técnicas de los componentes del sistema a) Equipo sensor y recolector de logs Característica Requerimiento Tipo Servidor Appliance montable en rack 15

16 CPU RAM Velocidad mínima 2.40GHz mínimo 4 cores Mínimo 24GB Almacenamiento Mínimo 4 discos de mínimo 600 GB c/u RAID 10 Interfaces de red Mínimo 6-Port Gb Ethernet capacidad mínimo 1 Gbs. Sistema operativo Soporte a interfaces para SAN y/o NAS Basado en Linux Requerido b) Equipo para análisis y correlación de eventos Característica Requerimiento Tipo CPU RAM Servidor Appliance montable en rack Velocidad mínima 2.40GHz mínimo 8 cores Mínimo 24GB Almacenamiento Mínimo 4 discos de mínimo 600 GB c/u RAID 10 Interfaces de red Mínimo 2 puertos Gb Ethernet capacidad mínimo 1 Gbps Sistema operativo Capacidad procesamiento Basado en Linux Mínimo 5000 eventos por segundo Número de sensores soportados Mínimo 5 Soporte a interfaces para SAN y/o NAS Soporte a configuración de alta disponibilidad y tolerancia a fallas Requerido Requerido c) Equipo para custodia de logs y análisis forense Característica Requerimiento Tipo CPU RAM Servidor Appliance montable en rack Velocidad mínima 2.40GHz mínimo 4 cores Mínimo 24GB Almacenamiento Mínimo 4 discos de mínimo 600 GB c/u RAID 10 Interfaces de red Mínimo 6-Port Gb Ethernet capacidad mínimo 1 Gbs 16

17 Sistema operativo Soporte a interfaces para SAN y/o NAS Soporte a configuración de alta disponibilidad y tolerancia a fallas Basado en Linux Requerido Requerido d) Aplicación Web de monitoreo y control El sistema de gestión de eventos y seguridad de la información deberá: Detectar patrones definidos a través de firmas o reglas. Generar alertas cuando un comportamiento difiera lo suficiente de lo que ha aprendido como normal. Evaluar la importancia de una alerta en base al inventario de equipos, redes y aplicaciones. Valorar el posible impacto de una amenaza sobre un activo de información en base a una probabilidad de que esta ocurra. Correlacionar eventos en base a un algoritmo que analice los datos enviados por los sensores. Monitorear el nivel de riesgo de compromiso y de ataque a partir de la recepción de alertas que indican la posibilidad de que un activo de información ha sido comprometida, o está siendo atacada. El sistema debe monitorear activos de información por equipo, tráfico de datos, usuarios, sesiones, rutas de paquetes de datos, otros. Buscar en la base de datos de logs analizar de forma centralizada los eventos de seguridad de todos los elementos críticos de la red. Consultar información de la seguridad de los sistemas por medio de visores gráficos de alto nivel e indicadores específicos que midan el nivel de seguridad de todos los ítems de información inventariados. Unificar en sola consola y formato los eventos de seguridad de todos los sistemas críticos operativos de la SNAP. Recolectar registros de eventos de todos los dispositivos de red automáticamente por medio de agentes de integración y suministrar una herramienta que permita incluir ítems de información dispositivos que no sean soportados de fábrica. Recolectar registros de eventos para operaciones de seguridad y de cumplimiento de las normas de gestión de seguridad de la información ISO/IEC y otras relacionadas. Almacenar los registros de eventos de forma segura, confiable e inalterable y que puedan ser datos objeto de evidencia digital. Contar con un módulo de administración de arquitectura Web. Clasificar los dispositivos inventariados y monitoreados. Permitir el acceso inmediato y en tiempo real a la información. El sistema no deberá usar agentes externos o instalación de software en los dispositivos a monitorear. Incluir reglas de correlación pre-configuradas y parametrizables para ataques/riegos/fallas comunes. 17

18 Gestionar incidentes de seguridad de la información en base la norma ISO Permitir realizar análisis de vulnerabilidades para identificar brechas de seguridad y malas configuraciones de la infraestructura. Proveer una base predefinida de reportes estándar que permitan su aprovechamiento desde el inicio de la puesta en producción Crear roles y perfiles de acceso al sistema para diferentes usuarios Permitir integrarse a otras herramientas informáticas para gestión de infraestructura por medio de SMTP. Requerimientos de software base de la aplicación de monitoreo y control: El sistema de gestión de eventos y seguridad de la información deberá instalarse y operar con herramientas de Software Libre Opensource 7 : Sistema operativo: basado en Linux, de preferencia Centos o Redhat ALS Servidor de aplicaciones JEE: Apache Tomcat o Redhat JBOSS Base de datos: MySql o Postgres Lenguaje de programación: JAVA o PHP Reporteador: Basado en Software Libre Opensource La arquitectura del sistema deberá ser Web Componente 2 (C2): Capacitar a funcionarios de entidades de APCDI en gestión de la seguridad de la Información y el EGSI: El componente de capacitación consiste en facilitar cursos de formación en temas de gestión de la seguridad y del Esquema de Seguridad de la Información a funcionarios designados como responsables de la gestión de la seguridad en 86 entidades de la APCDI. La implementación del EGSI en entidades de la APDCI requiere la designación formal de los siguientes roles: Un Oficial de Seguridad de la Información Un Responsable de Seguridad de Tecnologías de la Información (TI) Esos funcionarios junto a un Comité de Seguridad de la Información tienen la responsabilidad de implementar el EGSI en las entidades públicas con el apoyo de las autoridades y los servidores públicos. Por su parte, el personal de las áreas de TI cumple un rol importante debido que son los encargados de la seguridad de los equipos y sistemas informáticos de las entidades. En este contexto, los cursos de capacitación serán dirigidos a 4 funcionarios delegados por las 86 entidades priorizadas. Estos funcionarios serán: 1 Oficial de Seguridad de la Información 1 Responsable de Seguridad de Tecnologías de la Información (TI) 2 ingenieros del área de TI 7 Conforme el Decreto Ejecutivo 1014 de uso de Software Libre en proyectos tecnológicos nuevos o en punto de no retorno 18

19 La capacitación incluirá a un equipo de 8 funcionarios de la SNAP, específicamente de la Subsecretaría de Gobierno Electrónico, unidad que está a cargo de monitorear y controlar la implementación del EGSI en las entidades de la APCDI y de la seguridad de los sistemas transversales gubernamentales (ej., QUIPUX, GPR, BSG, etc.). Temáticas y audiencia de los cursos de capacitación Se dictarán 5 cursos de capacitación en los siguientes temas relacionados a gestión de la seguridad de la información: No. TEMÁTICA AUDIENCIA ASISTENTES 1 Norma INEN ISO/IEC 27001: Sistemas de Gestión de la Seguridad de la Información.- Requisitos - Oficiales de Seguridad de la Información - Responsables de Seguridad de TI - Ingeniero de seguridad de TI 3 por entidad 2 El Esquema Gubernamental de Seguridad de la Información (Norma INEN ISO/IEC 27002) 3 Norma INEN ISO/IEC 27005: Gestión del riesgo en la seguridad de la Información 4 Pruebas de penetración (*) 5 Análisis de incidentes - informática forense (*) - Oficiales de Seguridad de la Información - Responsables de Seguridad de TI - Ingenieros de seguridad de TI - Oficiales de Seguridad de la Información - Responsables de Seguridad de TI 3 por entidad 2 por entidad - Ingenieros de seguridad de TI 1 por entidad - Ingenieros de seguridad de TI 1 por entidad (*) La temática del curso podrá cambiar de acuerdo a necesidades específicas. Cursos y horarios No. TEMÁTICA DURACIÓN AULA HORARIO 1 Norma INEN ISO/IEC 27001: Sistemas de Gestión de la Seguridad de la Información.- Requisitos 2 El Esquema Gubernamental de Seguridad de la Información (Norma INEN ISO/IEC 27002) 3 Norma INEN ISO/IEC 27005: Gestión del riesgo en la seguridad de la Información 20 horas mínimo 20 horas mínimo 20 horas mínimo 20 estudiantes Lunes a Viernes: 08h30 a 12h30 y 13h30 a 17h30 4 horas 20 estudiantes Lunes a Viernes: 08h30 a 12h30 y 13h30 a 17h30 4 horas 20 estudiantes Lunes a Viernes: 08h30 a 12h30 y 13h30 a 17h30 4 horas 4 Pruebas de penetración 20 horas 20 estudiantes Lunes a Viernes: 19

20 5 Análisis de incidentes (informática forense) mínimo 20 horas mínimo 13h30 a 17h30 4 horas 20 estudiantes Lunes a Viernes: 13h30 a 17h30 4 horas Requerimientos académicos La empresa deberá acreditar experiencia en organización y facilitación de eventos de capacitación en general y específicamente en seguridad de la información para audiencia de profesionales. Los facilitadores de los cursos deberán ser profesionales que acrediten experiencia laboral y/o académica en gestión de seguridad de la información. Certificaciones en la materia serán considerada como valor agregado. Los syllabus de los cursos deberán preparase considerando que están dirigidos a profesionales con niveles de conocimiento bajo a medio en gestión de la seguridad de la información. Los syllabus de los cursos deberán considerar secciones teóricas y secciones de ejemplos, casos de estudios puntuales y ejercicios prácticos cuando proceda. Los contenidos del curso deberán ser preparados con antelación y puesto en consideración de la SNAP para su aprobación. Los cursos deben enfatizar el aprendizaje y estandarización de vocabulario propio de la gestión de la seguridad. Los syllabus deberán presentar el plan curricular de temas y actividades por día y hora a ser cumplidos por el docente. Se deberá entregar un kit o carpeta de materiales a los estudiantes al inicio de cada curso consistente en al menos: syllabus del curso, 1 texto del curso y las presentaciones o recursos didácticos del curso en formato impreso. Los archivos digitales de todos los documentos en formato no editable.pdf y editable.doc/.odt deberán ser entregados a la SNAP. Se llevará un registro de entrega del kit a los estudiantes. Será responsabilidad del proveedor transportar los materiales al sitio de capacitación. Se deberá gestionar la convocatoria a los cursos de capacitación por medio de llamadas telefónicas u otro medio electrónico que incentive la participación de los cursos. Requerimientos organizativos Se deberá implementar 2 aulas con capacidad de hasta 20 estudiantes de forma que se pueda impartir 2 cursos en paralelo en horario matutino (08h30 a 12h30) y vespertino (13h30 a 17h30) en días laborables de lunes a viernes con una duración de al me nos 20 horas. Si existieran feriados o vacancias los cursos se extenderán a los siguientes días laborables hasta completar las 20 horas. Se permitirá un tiempo de hasta 15 minutos para pausa y refrigerio. Las aulas deberán estar ubicadas en el norte de la ciudad de Quito con el 20

21 fin de facilitar la llegada y salida de los estudiantes. Las aulas de capacitación deberán tener: RollUps de identificación de la SNAP al entrar al aula de capacitación. Señalética para facilitar la localización de las aulas, cafetería, baños, hall, otros. Portátiles o computadoras de ser el caso Proyector de alta luminosidad en cada aula Parlantes y micrófonos de ser el caso Acceso a la internet desde la computadora(s) de la clase. Software necesario para desarrollo de los cursos (ej., programa de ofimática, lector de archivos.pdf y navegador Web) Pizarra de tiza liquida o electrónica Zona de exposición para el facilitador Pupitres/mesas con espacios con separación adecuados Aire acondicionado fijo o portátil de ser necesario Puerta con seguridad Baño(s) para hombre y mujeres separados Se deberá controlar la asistencia de los estudiantes a los curso fijando la hora de entrada y salida por medio de firmas de hojas de asistencia o por medios electrónicos. Cualquier novedad en la asistencia de os estudiantes deberá ser reportada como observación. Los estudiantes deberán ser evaluados al término de cada curso por medio de una prueba física o virtual de los conocimientos impartidos. Se entregará certificados de asistencia a los cursos siempre que hayan asistido el 90% de las horas del curso sin excepción. Se facilitará un coffee-break por cada 2 horas de curso consistente de bebida fría y/o caliente y bocadillo de sal o dulce. Durante el coffee-break habrá servicio de café permanente. Los cursos iniciarán y terminaran a las horas indicadas. Se permitirá el acceso de alumnos hasta máximo 10 minutos de iniciada la clase. El proveedor deberá preparar un informe de los 5 cursos a impartir, considerando datos cuantitativos de alumnos, asistencia, evaluaciones, notas, hojas de asistencia, encuestas de satisfacción y resultados y fotos de cada bloque/grupo de participantes. Se deberá notificar el equipo de personal de apoyo docente y logístico del curso. Metodologías, marcos de referencia y/o normas en el que se sustenta el proyecto El proyecto se sustenta en la aplicación de las normas técnicas para gestión de la seguridad de la información de la Organización Internacional de Estándares (ISO, por sus siglas en inglés) que han sido homologadas y aprobadas como normas ecuatorianas por el Institución Ecuatorianos de Normalización (INEN). Estas normas corresponden a la familia ISO/IEC y son: 21

22 CÓDIGO INEN ESTANDAR INEN ISO/IEC Sistema de gestión de seguridad de la información.- Descripción general y vocabulario INEN ISO/IEC Sistemas de Gestión de la Seguridad de la Información.- Requisitos INEN ISO/IEC Código de Práctica para la Gestión de la Seguridad de la Información INEN ISO/IEC Gestión de la Seguridad de la Información Guía de Implementación INEN ISO/IEC Gestión de la Seguridad de la Información - Medición INEN ISO/IEC Gestión del riesgo en la seguridad de la Información INEN ISO/IEC Requisitos para Organizaciones que Proveen Auditoría y Certificación de Sistemas de Gestión de la Seguridad de la Información ISO/IEC Guía para Auditar Sistemas de Gestión de Seguridad de la Información INEN ISO/IEC Guía para implementar ISO/IEC en organizaciones de la salud ISO/IEC Gestión de Incidentes de Seguridad de la Información El Esquema Gubernamental e Seguridad de la Información (EGSI) está basado en la norma INEN ISO/IEC El EGSI distingue un conjunto de directrices consideradas prioritarias que las entidades deben implementar en un plazo de 6 meses. 4.2 Viabilidad Financiera y/o Económica Metodologías utilizadas para el cálculo de la inversión total, costos de operación y mantenimiento, ingresos y beneficios. 8 La ejecución de este proyecto permitirá reducir considerablemente las amenazas de ataques informáticos, sustracción de información sensible o de seguridad nacional, ejecución de fraudes/delitos informáticos y sabotaje/daños a infraestructuras gubernamentales críticas, entre otras. Al reducir las mismas, los sistemas y servicios gubernamentales estarán disponibles de manera segura, confiable, e íntegra, generando ahorros por costos debido a fallos o suspensión de la operación de los sistemas, re-procesos de información, paralización de actividades gubernamentales, etc Identificación y valoración de la inversión total, costos de operación y mantenimiento, ingresos y beneficios. Inversión: Las inversiones necesarias para ejecutar las actividades del proyecto se agrupan en 2 componentes: 8 Se analizará únicamente la viabilidad económica del proyecto debido a que no se generará ingresos o beneficios de tipo financieros. 22

23 1. Implementación de infraestructura tecnológica de hardware y software para un sistema de gestión de eventos; y 2. capacitación en gestión de la seguridad y el Esquema Gubernamental de Seguridad de la Información a 352 funcionarios de 86 entidades de la APCDI. La inversión requerida para este proyecto será estatal y no se consideran aportes de la comunidad o de otra índole. La siguiente tabla presenta los rubros y montos de inversión para ejecutar el proyecto en el año RUBROS DE INVERSION MONTOS 2014 Hardware y software para sistema de gestión de eventos $196, Servicio de capacitación en seguridad de la información $450, Aportes comunidad $0.00 TOTAL $646, Costos de Operación y Mantenimiento: Los costos de operación comprenden el pago de sueldos al personal de la SNAP, específicamente de la Subsecretaría de Gobierno Electrónico, que se encargará del proceso de coordinación y control de la gestión de la seguridad de la información en las entidades de la APCDI y de la administración y operación del sistema de gestión de eventos y seguridad de la información. Se incluye en los costos, los pagos el servicio de acceso a la Internet y de enlaces de datos necesarios para que los programas de software sean accesibles por la Internet a una velocidad y rendimiento adecuados. Otros costos regulares son la compra se suministros de oficina y consumibles para respaldo (ej., cintas de backup). Los costos de mantenimiento son producto del pago del mantenimiento y soporte del hardware y software asociado al sistema de gestión de eventos y seguridad de la información (ej. server, logger y sensor) y los costos por alojamiento de los equipos en el centro de datos de la SNAP en Quito contratado a la CNT. La siguiente tabla indica los costos de operación y mantenimiento del proyecto para el primer año (2015). RUBROS OPERACION/MANTENIMIENTO MONTOS Sueldo personal operaciones STI $64, Servicio enlaces de datos/internet $24, Otros (útiles oficina, cintas respaldo, etc.) $18, Mantenimiento y soporte de hardware SNAP $40, Mantenimiento centro de datos SNAP $10, TOTAL $156, Ingresos: El proyecto no contempla el cobro de tarifas o tasas por la implementación del Esquema Gubernamental de Seguridad de la Información de forma que el proyecto no producirá ingresos económicos. Tampoco por el uso o acceso al sistema de gestión de eventos y seguridad de la información. 23

24 - Beneficios Valorados: Los beneficios se traducen en un ahorro económico considerable para las entidades públicas y en el gobierno en general debido a los costos que puede ocasionar la falta de disponibilidad y continuidad de un sistema gubernamental crítico (ej., Quipux) debido a un incidente de seguridad de la información. El número potencial de usuarios de sistemas gubernamentales críticos es la Población Demandante Efectiva, es decir, servidores públicos. Desde el ámbito de las entidades públicas, el ahorro se traduce en la disminución de horas no trabajadas debido a la falta de disponibilidad, continuidad y capacidad o rendimiento de un sistema informático gubernamental. Para el cálculo del ahorro se asume que de la población demandante efectiva ( ) no podrá trabajar al menos 1 hora debido a 1 incidente de seguridad en cualquier sistema gubernamental de carácter transversal. Se presume también que existirá al menos 1 incidente de seguridad por año que no permita acceder o utilizar un sistema informático gubernamental. El costo promedio de una hora de trabajo de un funcionario senior (servidor público 7) promedia los US$5. La siguiente tabla muestra el cálculo de los beneficios valorados en base a los supuestos explicados: Para el cálculo del ahorro por cada sistema se multiplica el número de funcionarios por el número mínimo de horas de trabajo perdidas por incidentes de seguridad por el costo promedio por hora laboral. El número de horas de indisponibilidad por incidente así como el costo por hora de funcionarios puede cambiar. Flujos Financieros y/o Económicos Indicadores Financieros y/ Económicos (TIR, VAN y otros) 24

25 Evaluación Económica Considerando una tasa de descuento del 12% se observa que el cálculo del beneficio/costo es 3.32, con una tasa interna de retorno 272,04%. La recuperación de la inversión se realiza en el segundo año (2015), por lo tanto se demuestra que la inversión será efectiva. 4.3 Análisis de Sostenibilidad Análisis de impacto ambiental y de riesgos Ninguna de las actividades a ser ejecutadas en el proyecto provocará impacto ambiental. El proyecto se encasilla en la categoría 2 como proyecto que no afecta al medioambiente ni directa o indirectamente por lo que no hace falta un estudio de impacto ambiental. Por la naturaleza del proyecto no hay posibilidad de provocar riesgos naturales por tanto no es necesario anticipar medidas de mitigación Sostenibilidad Social La implementación, control y seguimiento de la gestión de la seguridad de la información no hace distinción de raza, cultura, género, edad o razón social. Los funcionarios públicos se beneficiarán directamente mientras que los ciudadanos se beneficiarán indirectamente de los resultados del proyecto. El proyecto será sostenible en el tiempo por la tecnología a utilizar que privilegiará el uso de estándares y tecnologías abiertas así como la aplicación de estándares internacionales aprobados y homologados como nacionales por le INEN.. 5. PRESUPUESTO La fuente de financiamiento son recursos fiscales del año 2014 para proyectos de inversión (incluye pago de impuestos). 25

SECRETARÍA NACIONAL DE GESTIÓN DE RIESGOS

SECRETARÍA NACIONAL DE GESTIÓN DE RIESGOS SECRETARÍA NACIONAL DE GESTIÓN DE RIESGOS 1. DATOS GENERALES 1.1. Nombre del proyecto: MONTAJE Y OPERATIVIZACIÓN DEL SISTEMA NACIONAL DE SALAS DE SITUACIÓN PARA VIGILANCIA, MONITOREO Y EVALUACIÓN DE EVENTOS

Más detalles

GUÍA DE RETENCIONES JUDICIALES PARA INSTITUCIONES PÚBLICAS QUE OPERAN CON LA HERRAMIENTA INFORMÁTICA E-SIGEF DEL MINISTERIO DE FINANZAS

GUÍA DE RETENCIONES JUDICIALES PARA INSTITUCIONES PÚBLICAS QUE OPERAN CON LA HERRAMIENTA INFORMÁTICA E-SIGEF DEL MINISTERIO DE FINANZAS GUÍA DE RETENCIONES JUDICIALES PARA INSTITUCIONES PÚBLICAS QUE OPERAN CON LA HERRAMIENTA INFORMÁTICA E-SIGEF DEL MINISTERIO DE FINANZAS A. PROCESO DE REGISTRO O ACTUALIZACIÓN DE DATOS DE INSTITUCIONES

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

DIRECCIÓN DEL SEGURO GENERAL INDIVIDUAL Y FAMILIAR SUBDIRECCIÓN DE REGULACIÓN 2.2.1.1 SUBDIRECCIÓN DE REGULACIÓN DEL SEGURO DE SALUD

DIRECCIÓN DEL SEGURO GENERAL INDIVIDUAL Y FAMILIAR SUBDIRECCIÓN DE REGULACIÓN 2.2.1.1 SUBDIRECCIÓN DE REGULACIÓN DEL SEGURO DE SALUD 2.2.1.1 DEL SEGURO DE SALUD La Subdirección de Regulación del Seguro de Salud dependerá de la Dirección del Seguro General de Salud Individual y Familiar, estará a cargo del Subdirector de Regulación del

Más detalles

Secretaría Nacional de Planificación y Desarrollo Subsecretaría de Inversión Pública

Secretaría Nacional de Planificación y Desarrollo Subsecretaría de Inversión Pública Secretaría Nacional de Planificación y Desarrollo Subsecretaría de Inversión Pública FICHA DEL PROYECTO Fecha:09/03/2015 Datos Generales del Proyecto Nombre del Proyecto: CUP: 109350000.0000.375348 Unidad

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Directorio de Empresas y Establecimientos 2012

Directorio de Empresas y Establecimientos 2012 Directorio de Empresas y Establecimientos 2012 Contenido Generalidades Antecedentes Qué es el Directorio de Empresas? Ficha metodológica Definiciones Resultados Cobertura y empresas Indicadores económicos

Más detalles

LINEAMIENTOS PARA LA FORMACIÓN DE AUXILIARES DE ENFERMERÍA DEL NIVEL NO PROFESIONAL

LINEAMIENTOS PARA LA FORMACIÓN DE AUXILIARES DE ENFERMERÍA DEL NIVEL NO PROFESIONAL LINEAMIENTOS PARA LA FORMACIÓN DE AUXILIARES DE ENFERMERÍA DEL NIVEL NO PROFESIONAL APROBADOS EN ASAMBLEA ORDINARIA DEL 27 DE JULIO DE 2007 INTRODUCCIÓN La directiva de ASEDEFE, en atención a la Política

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

PLAN NACIONAL DE BANDA ANCHA MAYO 2013

PLAN NACIONAL DE BANDA ANCHA MAYO 2013 PLAN NACIONAL DE BANDA ANCHA MAYO 2013 QUE QUEREMOS LOGRAR: GARANTIZAR EL ACCESO A BANDA ANCHA A TOD@S L@S ECUATORIAN@S CON ESPECIAL ENFASIS EN LOS SECTORES MENOS ATENDIDOS, LOGRANDO QUE EL USO DE LA BANDA

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Antes de imprimir este documento piense en el medio ambiente!

Antes de imprimir este documento piense en el medio ambiente! Versión 2.0 Página 1 de 8 1. OBJETIVO Establecer el procedimiento y parametrización de la toma de copias de respaldo, a través de la definición de las actividades que se deben surtir, para garantizar la

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC.

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC. 5.9 OPERACIÓN DE SERVICIOS 5.9.1 Operación de la mesa de servicios 5.9.1.1 Objetivos del proceso General: Establecer y operar un punto único de contacto para que los usuarios de los servicios hagan llegar

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO DE ALOJAMIENTO y SOPORTE DE SERVIDORES WEB PARA EL AYUNTAMIENTO DE FUENLABRADA

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO DE ALOJAMIENTO y SOPORTE DE SERVIDORES WEB PARA EL AYUNTAMIENTO DE FUENLABRADA Servicio de Sistemas y Tecnologías de Información y Comunicación Director Técnico PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DE UN SERVICIO DE ALOJAMIENTO y SOPORTE DE SERVIDORES WEB PARA EL

Más detalles

LINEAMIENTOS DE MONITOREO Y CONTROL

LINEAMIENTOS DE MONITOREO Y CONTROL Bogotá D.C., Agosto de 2014 TABLA DE CONTENIDO INTRODUCCIÓN ------------------------------------------------------------------------------------------- --3 1. OBJETIVO --------------------------------------------------------------------------------------------

Más detalles

DOSSIER DEL EVENTO PRIMER ENCUENTRO EMPRESARIAL DE TURISMO INTERNO ECUADOR 2012 MUNDOS ANDES Y AMAZONÍA EN LA COSTA.

DOSSIER DEL EVENTO PRIMER ENCUENTRO EMPRESARIAL DE TURISMO INTERNO ECUADOR 2012 MUNDOS ANDES Y AMAZONÍA EN LA COSTA. 202 Mundos Andes y Amazonía en la Costa Ferias y Eventos Nacionales 202 de Primer Encuentro Empresarial de Turismo Interno Ecuador 202 DOSSIER DEL EVENTO PRIMER ENCUENTRO DE TURISMO INTERNO ECUADOR 202

Más detalles

Directorio de Empresas y Establecimientos 2013

Directorio de Empresas y Establecimientos 2013 Directorio de Empresas y Establecimientos 2013 Contenido Qué es el Directorio de Empresas y Establecimientos (DIEE)? Ficha metodológica Principales definiciones Cobertura de empresas según sección de resultados

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

El centro directivo destinatario de este contrato es la Empresa Municipal de Transportes, S.A.U.

El centro directivo destinatario de este contrato es la Empresa Municipal de Transportes, S.A.U. PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE HAN DE REGIR EN LA CONTRATACIÓN DEL SERVICIO DE ALOJAMIENTO Y MANTENIMIENTO DE LA PLATAFORMA WEB INTEGRADA DE LA EMPRESA EMT VALENCIA, S.A.U. 1. Objeto de la contratación.

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Art. 7 de la Ley Orgánica de Transparencia y Acceso a la Información Pública - LOTAIP

Art. 7 de la Ley Orgánica de Transparencia y Acceso a la Información Pública - LOTAIP Art. 7 de la Ley Orgánica de Transparencia y Acceso a la Información Pública - LOTAIP Literal a4) Las metas y objetivos de las administrativas de conformidad con sus programas operativos No. Descripción

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Anexo 1 CONDICIONES TÉCNICAS EXIGIDAS

Anexo 1 CONDICIONES TÉCNICAS EXIGIDAS Anexo 1 CONDICIONES TÉCNICAS EXIGIDAS El contrato del sistema para la gestión de peticiones, quejas, reclamos sugerencias y felicitaciones PQRSF comprende las siguientes especificaciones técnicas de la

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

República de Panamá Ministerio de Economía y Finanzas Dirección de Crédito Público. Manual de Organización y Funciones

República de Panamá Ministerio de Economía y Finanzas Dirección de Crédito Público. Manual de Organización y Funciones República de Panamá Ministerio de Economía y Finanzas Dirección de Crédito Público Manual de Organización y Funciones Diciembre 2012 Página I Introducción 3 II Base Legal 4 III Objetivo y Funciones de

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL

PROGRAMA DE GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS Aprobó: Olga Sanabria Amín Vicepresidente Financiera y Administrativa Reviso: Carlos Alejandro Vanegas Gerente de Logística

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

3. Horario laboral referencial: Lunes Viernes 8:00 a.m. a 6:00 p.m.

3. Horario laboral referencial: Lunes Viernes 8:00 a.m. a 6:00 p.m. Arquitecto de Datos 1. Línea de Negocios: Soluciones de Negocios 2. Funciones Específicas: Participar en la realización de las actividades técnicas de actualización y migraciones a versiones mejoradas

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

La ventaja competitiva de certificarse en seguridad

La ventaja competitiva de certificarse en seguridad especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión

Más detalles

Diseño e Implementación de un Sistema de Gestión de Calidad Integrado

Diseño e Implementación de un Sistema de Gestión de Calidad Integrado Operación DR-L1053 Apoyo al Programa de Protección Social y el Sector Salud PROYECTO Diseño e Implementación de un Sistema de Gestión de Calidad Integrado Santo Domingo, R. D. Enero, 2015 Índice 1. Información

Más detalles

Diplomado: Administración de Centros de Cómputo (Sites)

Diplomado: Administración de Centros de Cómputo (Sites) Diplomado: Administración de Centros de Cómputo (Sites) Duración: 162 hrs. Horario: viernes de 18:00 a 22:00 y sábados de 9:00 a 13:00 hrs. Sede: Campus Santa Fe (UIA y HP) Fundamentación Las empresas

Más detalles

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS Ministerio de Tecnologías de la Información y las Comunicaciones Programa de Gobierno

Más detalles

Estrategia Comunicacional Rendición de Cuentas 2014

Estrategia Comunicacional Rendición de Cuentas 2014 Estrategia Comunicacional Rendición de Cuentas 2014 ESTRATEGIA COMUNICACIONAL Se plantea que se realice un evento de rendición de cuentas por Dirección Provincial y Coordinaciones Zonales. En las provincias

Más detalles

SECRETARÍA GENERAL. División de Sistemas de Información CORREO ELECTRÓNICO C/ CAMPEZO, 1 EDIFICIO 8 28022 MADRID TEL: 91 822 50 03 FAX: 91 822 50 23

SECRETARÍA GENERAL. División de Sistemas de Información CORREO ELECTRÓNICO C/ CAMPEZO, 1 EDIFICIO 8 28022 MADRID TEL: 91 822 50 03 FAX: 91 822 50 23 SECRETARÍA GENERAL División de Sistemas de Información PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN POR PROCEDIMIENTO ABIERTO DEL SERVICIO DE CONSULTORÍA TECNOLÓGICA PARA LA OFICINA DE PROYECTOS

Más detalles

Congreso de los Diputados

Congreso de los Diputados PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA LA CONTRATACIÓN DEL SERVICIO DE DISTRIBUCIÓN AVANZADA DE CONTENIDOS MULTIMEDIA A TRAVÉS DE INTERNET Y UNA LÍNEA PUNTO A PUNTO PARA EL CONGRESO DE LOS DIPUTADOS ÍNDICE

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Edición Julio 2015. inversiones.quito.com.ec

Edición Julio 2015. inversiones.quito.com.ec Edición Julio 2015 inversiones.quito.com.ec INVERTIR EN QUITO El Municipio de Quito ha declarado al turismo como la vocación productiva de la ciudad, considerando el desarrollo que ha tenido en los últimos

Más detalles

Subsecretaría de Tecnologías de la Información Software Libre en la Administración Pública Ecuatoriana

Subsecretaría de Tecnologías de la Información Software Libre en la Administración Pública Ecuatoriana PRESIDENCIA DE LA REPÚBLICA DE ECUADOR Subsecretaría de Tecnologías de la Información Software Libre en la Administración Pública Ecuatoriana Ing. Santiago Cordovilla Rubio www.informatica.gob.ec Quito

Más detalles

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA Guatemala, 2,007 CAMINOS ES DESARROLLO 1 I. FICHA TÉCNICA DEL DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA: 1.1 TITULO DE LA UNIDAD: Departamento

Más detalles

Formulario para la Presentación de Proyectos de Investigación Bilaterales 2014

Formulario para la Presentación de Proyectos de Investigación Bilaterales 2014 Formulario para la Presentación de Proyectos de Investigación Bilaterales 2014 Instrucciones: El siguiente formulario deberá ser llenado empleando letra tipo Times de 10 puntos, a espacio sencillo, en

Más detalles

ESTRUCTURA GENERAL PARA LA PRESENTACIÓN DE PROYECTOS DE INVERSIÓN Y DE COOPERACIÒN EXTERNA NO REEMBOLSABLE

ESTRUCTURA GENERAL PARA LA PRESENTACIÓN DE PROYECTOS DE INVERSIÓN Y DE COOPERACIÒN EXTERNA NO REEMBOLSABLE ESTRUCTURA GENERAL PARA LA PRESENTACIÓN DE PROYECTOS DE INVERSIÓN Y DE COOPERACIÒN EXTERNA NO REEMBOLSABLE 1. DATOS GENERALES DEL PROYECTO NOMBRE DEL PROYECTO Fortalecimiento y Desarrollo de la Plataforma

Más detalles

Nombre del Puesto Coordinador de Redes y Telecomunicaciones. Coordinador de Redes y Telecomunicaciones. Unidad de Redes y Telecomunicaciones

Nombre del Puesto Coordinador de Redes y Telecomunicaciones. Coordinador de Redes y Telecomunicaciones. Unidad de Redes y Telecomunicaciones Nombre del Puesto Coordinador de Redes y IDENTIFICACIÓN Nombre / Título del Puesto: Puesto Superior Inmediato: Dirección / Gerencia Departamento: Puestos que supervisa: Coordinador de Redes y Director/Subdirector

Más detalles

CONSEJERÍA DE EMPLEO. Secretaría General Técnica

CONSEJERÍA DE EMPLEO. Secretaría General Técnica PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL APOYO A LA ADMINISTRACIÓN DE SERVIDORES DE BASE DE DATOS ORACLE Y MÁQUINAS SERVIDORAS CON SISTEMA OPERATIVO UNIX DE LA CONSEJERÍA DE EMPLEO DE LA JUNTA DE ANDALUCÍA

Más detalles

Técnico en Seguridad en Redes Locales

Técnico en Seguridad en Redes Locales Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad en Redes Locales Duración: 300 horas Precio: 200 * Modalidad: Online * Materiales didácticos, titulación y gastos de envío incluidos.

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

Gobierno de Seguridad de la Información

Gobierno de Seguridad de la Información Gobierno de Seguridad de la Información Paul Ochoa Arévalo, MSIA, MBA, CISA Auditor de Sistemas, Banco del Austro S.A Catedrático, U. de Cuenca - U. del Azuay Conferencista Biografía Paúl Ochoa, Auditor

Más detalles

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Aplicaciones Web. NIVEL: 2º Sistemas Microinformáticos y Redes

I. E. S. Cristóbal de Monroy. DEPARTAMENTO: Informática. MATERIA: Aplicaciones Web. NIVEL: 2º Sistemas Microinformáticos y Redes DEPARTAMENTO: Informática MATERIA: Aplicaciones Web NIVEL: 2º Sistemas Microinformáticos y Redes 1. Objetivos. Competencias Profesionales, Personales y Sociales 1.1 Objetivos del ciclo formativo Según

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

1 INTRODUCCIÓN. Yacelga De la Torre Carlos Paolo. e-mail: charles_ing@hotmail.com

1 INTRODUCCIÓN. Yacelga De la Torre Carlos Paolo. e-mail: charles_ing@hotmail.com PAPER 2012 DISEÑO, DESARROLLO E IMPLEMENTACIÓN DE UNA APLICACIÓN WEB PARA EL INGRESO Y CONSULTAS DE NOTAS ON-LINE PARA LA ACADEMIA MILITAR SAN DIEGO, UTILIZANDO SOFTWARE LIBRE (PHP Y MYSQL) Yacelga De

Más detalles

La Secretaría de Economía, a través del Instituto Nacional del Emprendedor invita:

La Secretaría de Economía, a través del Instituto Nacional del Emprendedor invita: Invitación y lineamientos de participación para proveedores de la Vitrina de soluciones tecnológicas en función de la convocatoria 5.5 del Fondo Nacional Emprendedor, Fortalecimiento Competitivo de Microempresas

Más detalles

FORMULARIO PARA PRESENTACIÓN DE PROYECTOS DE I+D

FORMULARIO PARA PRESENTACIÓN DE PROYECTOS DE I+D Formulario para la Presentación de Proyectos de Investigación Científica y Desarrollo Tecnológico Instrucciones: El siguiente formulario deberá ser llenado empleando letra tipo Times de 10 puntos, a espacio

Más detalles

FORMATO PROCEDIMIENTOS Código

FORMATO PROCEDIMIENTOS Código Procedimiento: ADMINISTRACIÓN DE SERVIDORES Páginas 1 de 5 Acto Administrativo de FT-MIC-03-0 Solicitud de Creación, modificación o anulación de documentos aprobado el 13 de enero de 201 Elaboró Técnico

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

CICLO FORMATIVO DE GRADO SUPERIOR DE ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS Y REDES

CICLO FORMATIVO DE GRADO SUPERIOR DE ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS Y REDES CICLO FORMATIVO DE GRADO SUPERIOR DE ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS Y REDES 1) INFORMACIÓN GENERAL NOMBRE DEL CICLO Nº HORAS TITULACIÓN IDIOMA FAMILIA PROFESIONAL OBJETIVO (COMPETENCIA GENERAL)

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Hoja de Control de Actualizaciones del Documento

Hoja de Control de Actualizaciones del Documento CODIGO: PR-TI-01 Hoja de Control de Actualizaciones del Documento VERSION FECHA DESCRIPCION DE LA MODIFICACION 01 21/06/2011 1. Se adiciona la definición usuarios y el numeral 4.12 ASIGNACION DE EQUIPOS

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

MF1220_3 Implantación y Mantenimiento de Sistemas de Control de Accesos y Presencia y de Videovigilancia (Online)

MF1220_3 Implantación y Mantenimiento de Sistemas de Control de Accesos y Presencia y de Videovigilancia (Online) MF1220_3 Implantación y Mantenimiento de Sistemas de Control de Accesos y Presencia y de TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES MF1220_3

Más detalles

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1

Sinopsis de la gestión de programas de acuerdo con el estándar del Project Management Institute 1 Sinopsis de la gestión de s de acuerdo con el estándar del Project Management Institute Conceptos básicos Qué es un? Es un grupo de proyectos gestionados de modo coordinado para obtener beneficios y el

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

El centro directivo destinatario de este contrato es la Empresa Municipal de Transportes, S.A.U.

El centro directivo destinatario de este contrato es la Empresa Municipal de Transportes, S.A.U. PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE HAN DE REGIR EN LA CONTRATACIÓN DEL SERVICIO DE ALOJAMIENTO Y MANTENIMIENTO DE LA PLATAFORMA WEB INTEGRADA DE LA EMPRESA EMT VALENCIA, S.A.U. 1. Objeto de la contratación.

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

Modelo de seguridad gestionada basada en eventos de Gobierno de Aragón

Modelo de seguridad gestionada basada en eventos de Gobierno de Aragón Modelo de seguridad gestionada basada en eventos de Gobierno de Aragón Andoni Valverde, Responsable Implantación Productos Propios, zona Norte de S21sec. Robero Acero, Responsable de Gestión de Seguridad

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Mantenimiento de la Seguridad en Sistemas Informáticos (Online)

Mantenimiento de la Seguridad en Sistemas Informáticos (Online) Mantenimiento de la Seguridad en Sistemas Informáticos (Online) Titulación certificada por EUROINNOVA BUSINESS SCHOOL Mantenimiento de la Seguridad en Sistemas Informáticos (Online) Mantenimiento de la

Más detalles

Tecnologías de la Información y Comunicaciones (TIC S) 2013

Tecnologías de la Información y Comunicaciones (TIC S) 2013 Tecnologías de la Información y Comunicaciones (TIC S) 2013 Contenido 1. Ficha técnica 2. Equipamiento del hogar 3. Uso de computadora 4. Uso del Internet 5. Tenencia de celular 6. Teléfono celular inteligente

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

Id % 05 oct '14 D. 4 100% Memorando para informes Direcciones 2 días mié 07/01/15 jue 08/01/15

Id % 05 oct '14 D. 4 100% Memorando para informes Direcciones 2 días mié 07/01/15 jue 08/01/15 Id % Nombre de tarea Duración Comienzo Fin Predecesoras Responsable completado 1 23% Rendición de Cuentas 2014 126 días mié 05/11/14 mié 29/04/15 2 100% Revisión de Cronograma con las Autoridades 1 día

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ

PROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ Tabla de contenido 1 INTRODUCCIÓN... 3 2 ALCANCE... 3 3 OBJETIVO GENERAL... 4 3.1 OBJETIVOS ESPECÍFICOS... 4 4 REQUISITOS PARA LA IMPLEMENTACIÓN DEL PROGRAMA DE GESTIÓN DOCUMENTAL... 5 4.1 REQUISITOS NORMATIVOS...

Más detalles

Descripción de Puesto Plan Republica Dominicana

Descripción de Puesto Plan Republica Dominicana Propósito: Proveer soporte a los usuarios y aplicaciones de tecnología de la información. Asistir en la elaboración de pruebas e implementaciones de sistemas computarizados, incluyendo entrenamientos y

Más detalles

INDICE OCUPACIONAL DE PUESTOS

INDICE OCUPACIONAL DE PUESTOS PLANTA CENTRAL PROCESOS GOBERNANTES GERENCIA GENERAL 00.01.00.00.01 Gerente General NIVEL JERÁRQUICO SUPERIOR 8 6122 Libre Remoción Gerencial 00.01.00.00.02 Asesor 1 NIVEL JERÁRQUICO SUPERIOR 5 4174 Libre

Más detalles

Especificaciones de la oferta Monitoreo de infraestructuras remotas

Especificaciones de la oferta Monitoreo de infraestructuras remotas Especificaciones de la oferta Monitoreo de infraestructuras remotas Información general sobre el servicio Este servicio ofrece monitoreo remoto de infraestructura de Dell (RIM, el servicio o servicios

Más detalles

SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB]

SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB] Gobierno Municipal del Cantón Bolívar. SOLUCIÓN DE UNA INTRANET BAJO SOFTWARE OPEN SOURCE PARA EL GOBIERNO MUNICIPAL DEL CANTÓN BOLÍVAR [IOS-GMCB] Visión Universidad Técnica del Norte Histórico de Revisiones

Más detalles

PROYECTO LABORATORIOS TIC Y CONECTIVIDAD EN INSTITUCIONES EDUCATIVAS FISCALES A NIVEL NACIONAL

PROYECTO LABORATORIOS TIC Y CONECTIVIDAD EN INSTITUCIONES EDUCATIVAS FISCALES A NIVEL NACIONAL PROYECTO LABORATORIOS TIC Y CONECTIVIDAD EN INSTITUCIONES EDUCATIVAS FISCALES A NIVEL NACIONAL MINISTERIO DE TELECOMUNICACIONES Y DE LA SOCIEDAD DE LA INFORMACIÓN DIRECCIÓ N DE ACCESÓ UNIVERSAL 2015 Página

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL

PROGRAMA DE GESTIÓN DOCUMENTAL Código: Aprobó: Olga Sanabria Amín Vicepresidente Financiera y Administrativa Reviso: Carlos Alejandro Vanegas Gerente de Logística Elaboró: Grupo de Gestión Documental Gerencia de Logística VFA-OD-PGD-

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO:

ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO: ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO: Que, el artículo 211 de la Constitución de la República del Ecuador establece que la Contraloría General del Estado es un organismo

Más detalles

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS

Más detalles

Técnico Especialista TIC en Gestión y la Monitorización de Incidencias de los Sistemas Físicos y del Software Informático

Técnico Especialista TIC en Gestión y la Monitorización de Incidencias de los Sistemas Físicos y del Software Informático Técnico Especialista TIC en Gestión y la Monitorización de Incidencias de los Sistemas Físicos y Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Especialista TIC en Gestión y la Monitorización

Más detalles

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID 1 - Cuestiones generales: la firma electrónica en el Ayuntamiento de Madrid. 1.1 - Certificados

Más detalles