2. OBJETIVO DE LA PROPUESTA.

Tamaño: px
Comenzar la demostración a partir de la página:

Download "2. OBJETIVO DE LA PROPUESTA."

Transcripción

1 78 CAPITULO IV MODELO DE SEGURIDAD INFORMATICA QUE GARANTICE LA CONTINUIDAD DEL SISTEMA DE DATOS DE LAS INSTITUCIONES FINANCIERAS NO BANCARIAS DE SAN SALVADOR. 1. GENERALIDADES. La información es uno de los principales tipos de recursos con que cuentan las instituciones. La información puede manejarse igual que cualquier otro recurso y el interés a este tema se deben a dos influencias. Primera, los negocios se han vuelto más complejos. Segunda, las capacidades de las computadoras han aumentado. La información que las computadoras producen es de utilidad para gerentes y no gerentes, y demás personas y organizaciones dentro del entorno de la compañía. La primera aplicación importante de las computadoras fue el procesamiento de datos contables. Esa aplicación fue seguida de otras cuatros: los sistemas de información gerencial, los sistemas de apoyo o decisiones, la oficina virtual y los sistemas basados en conocimientos. Estas cinco aplicaciones constituyen el sistema de información basados en computadoras. Las compañías establecen una organización de servicios de información formada por Especialistas en Información que saben como crear sistemas basados en computadoras. En estos especialistas se incluyen analistas de sistemas, administradores de bases de datos, especialistas en redes, programadores y operadores. Es muy difícil demostrar el valor económico de una aplicación de computadora, por que se realizan análisis extensos para justificar cada proyecto potencial. Los recursos de información de la empresa incluyen más que la información; también incluyen hardware, instalaciones, software, datos, especialistas en información y usuarios de la información. Hoy en día la importancia de la información dentro y fuera de la institución esta confirmado, es por ello que las instituciones buscan la manera de mantener su información resguardada ante cualquier acontecimiento que podría hacer que se

2 79 perdiera o se dañara. Pero las instituciones van más allá y buscan que la información este disponible en cualquier momento, y que sus sistemas brinden una alta disponibilidad de ella. Anteriormente se hablaba de un Plan de Recuperación de Desastres (DPR), hoy en día la tecnología ha cambiado, la forma de hacer negocios, y el pensamiento del cliente ha evolucionado; es así como los Gerentes de Informática ven más importancia en el hecho de Continuidad del Negocio, que en la recuperación de desastres. Nuestra propuesta va encaminada principalmente a la búsqueda de la continuidad del negocio, lo que se espera es brindar a las instituciones financieras no bancarias un modelo que permita estar preparados para cualquier percance que se presente, una manera de evitar problemas o de hacerles frente si estos se presentan, de manera que las operaciones de la empresa no se vean afectadas y se mantenga la continuidad del negocio. 2. OBJETIVO DE LA PROPUESTA. 2.1General. Diseñar un Modelo de Seguridad Informática que garantice la Continuidad del Sistema de Datos de las Instituciones Financieras no Bancarias ubicadas en el municipio de San Salvador. 2.2 Específicos. Garantizar a los usuarios del Sistema de Datos la continuidad del negocio en todo momento, mejorando los tiempos de respuesta ante las fallas que pueda presentar este. Implementar métodos de seguridad que garanticen la integridad de los datos y de la información de los Sistemas en caso de falla. Establecer las políticas y directrices necesarias para la administración y la continuidad de las operaciones del Sistema de Datos.

3 80 3. IMPORTANCIA Y BENEFICIOS DE LA PROPUESTA. Cuánto cuesta no contar con el sistema de datos?, Cuáles son los riesgos?, Qué consecuencias conlleva para la empresa el no contar con el sistema de datos?, Esta la empresa lo suficientemente protegida ante un intruso en sus sistemas?, Cuenta con los parámetros necesarios para establecer una robusta seguridad en los sistemas? La contestación a cada una de estas preguntas es necesaria para poder determinar la importancia y los beneficios que presenta nuestra propuesta. Entre los beneficios que obtendrán las instituciones al implementar el modelo de Seguridad Informática propuesto es el de minimizar los tiempos de respuesta ante una falla del sistema, resguardar el sistema de datos de cualquier daño, falla, pérdida, tratando de esta manera de asegurar la continuidad del negocio y la integridad de los datos en todo momento. La flexibilidad que ofrecerá nuestro modelo permitirá que pueda ser implementado por un amplio número de instituciones. Así las instituciones decidirán la práctica que mejor se adapte a sus Sistemas y recursos, cumpliendo con sus requerimientos y posibilidades técnicas y financieras. Otro de los beneficios con el que contará las instituciones es el de un cambio cultural y de pensamiento, en donde se pasará de un estado de esperar que suceda algo para actuar, a un estado de preparación ante cualquier problema, falla o contingencia que se dé, lo que permitirá reducir los tiempos de respuesta. Los nuevos retos de la globalización van dirigidos hacia la eficiencia de las empresas, y los datos son una clave para ello, la toma de decisiones de las empresas se centran en los datos que puedan tener en el momento preciso. Lo importante en esto no es tanto si las empresas se pueden permitir una tecnología de solución que les permita mantener el sistema de datos funcionando bajo cualquier circunstancia, como si pueden permitir no tenerla. El coste de una hora de inactividad puede justificar el coste de una solución. Supongamos que un servidor tiene 10 usuarios, siete de ellos conectados al sistema cuando, la unidad de disco falla; cinco de ellos no tienen asignada otra tarea (su trabajo depende del sistema de datos). El administrador del sistema sustituye la unidad por una de repuesto, recupera los datos de la copia de seguridad de la noche anterior y vuelve el servidor a su estado normal

4 81 de funcionamiento después de unos cuantos minutos u horas, dependiendo de muchos factores (si se tiene disco duro disponible en el momento, tamaño de las bases de datos, velocidad del sistema para restaurar los backup, etc.), siete empleados deben de recrear las dos horas de datos que se habían creado desde la copia de seguridad más reciente. Debemos de considerar costes de sueldos, de transacciones no efectuadas, de información no disponible a tiempo, usuarios disgustados, clientes insatisfechos, todo eso puede justificar claramente la necesidad de implementar el Modelo de Seguridad Informática del Sistema de Datos. 4. ESQUEMA DEL MODELO. Esquema del Modelo de Seguridad Informática, que garantice la Continuidad del Sistema de Datos de las Instituciones Financieras No Bancarias ubicadas en el municipio de San Salvador. La esquematización tiene como objetivo representar de una manera más simple y comprensible cada una de las etapas a desarrollar en la implementación de un modelo. El esquema esta estructurado en cuatro fases: Diagnóstico, Desarrollo, Implementación y Mantenimiento, se presenta de una manera sencilla las etapas a desarrollar para la implementación del Modelo de Seguridad Informática del Sistema de Datos. Seguidamente se da una breve explicación de cada una de las etapas a desarrollar en la creación del Modelo, en el desarrollo del presente capítulo se irá ahondando en cada uno de las fases por separada y de una manera más amplia.

5 82 MODELO DE SEGURIDAD INFORMATICA DE SISTEMA DE DATOS. Fase de Diagnóstico Diagnostico de la Empresa Fase de Desarrollo. Determinación de Necesidades. Delimitación de Espacio. Determinación de Recursos. Procedimiento de Adquisición de Recursos. Desarrollo del Modelo. Fase de Implementación. Revisión del Modelo. Aprobación del Modelo. Comunicación y Capacitación. Fase de Mantenimiento. Monitoreo del Modelo. Mantenimiento del Modelo. Figura 4-1. Esquema del Modelo.

6 83 FASE DE DIAGNOSTICO. Esta fase esta diseñada para que la empresa tenga conocimiento sobre las vulnerabilidades de los sistemas de datos, sobre todo los aspectos informáticos del entorno de la empresa de esta manera se pueden desarrollar herramientas que vayan encaminadas a disminuir y/o eliminar dichas vulnerabilidades. FASE DE DESARROLLO En la fase de desarrollo se llevarán acabo cada uno de los pasos que permitirán el desarrollo del Modelo de Seguridad Informática del Sistema de Datos, el cual esta integrado por: Políticas de Seguridad, Solución Tecnológica y Planes de Contingencia. FASE DE IMPLEMENTACION. La revisión y Aprobación del Modelo son parte de la fase de implementación, así como también la comunicación y capacitación del personal de la institución, estos dos últimos puntos son de suma importancia para el éxito del Modelo. FASE DE MANTENIMIENTO. La fase de mantenimiento busca la manera de mantener vigente el Modelo dentro de la institución, esto se logrará con un monitoreo constante del modelo y de los cambios que puede tener la organización, la tecnología. 5. PLANTEAMIENTO DEL MODELO. 5.1 Definición. Es un conjunto de estándares, normas, políticas y procedimientos que ayudan al administrador del Sistema de Datos a asegurar la Seguridad Informática y a mantener la continuidad del negocio. Características del Modelo: El Modelo propuesto es un conjunto de varios componentes, en la búsqueda de minimizar el riesgo que rodea a los sistemas de datos, se ha pensado en tres momentos importantes, presentados de la siguiente manera: antes de la falla, en el momento de la falla y después de la falla.

7 84 Permitirá ser implementado bajo cualquier plataforma de software, lo que asegura que la empresa no tendrá que incurrir en gastos fuera del Modelo propuesto. Con la implementación del modelo se busca la continuidad de las operaciones, lo que permitirá la optimización de la productividad administrativa del personal. Establecimiento de normas y políticas que ayudan al administrador del sistema de datos a minimizar los riesgos de fallas en los sistemas de datos, a través de un Plan de Seguridad y Contingencia. Este modelo permitirá brindar un eficiente servicio al cliente, mediante el uso del modelo que garantiza la continuidad de las operaciones. 5.2 Resultados esperados. Mediante la puesta en marcha de este modelo se espera que las instituciones cuenten con un conjunto de herramientas que le permita resguardar el sistema de datos frente a cualquier amenaza, falla y daño, de esta manera se busca mantener la continuidad de las operaciones del sistema de datos y por lo tanto la continuidad del negocio. 6. PRESENTACION DEL MODELO. La continuidad de las operaciones, tolerancia a fallos, tal y como se conoce hoy en día, se basa fundamentalmente en un concepto: redundancia y seguridad. La mejor forma de asegurar la disponibilidad del sistema de datos y de mantener la continuidad del negocio, es la duplicación de todos los elementos críticos y la disposición de los elementos del software y hardware necesarios para que los elementos redundantes actúen cooperativamente, bien sea de forma activa - activa o activa - pasiva, pero siempre en forma transparente para el usuario final. La propuesta en si es un conjunto de componentes que forma un solo modelo que esta diseñado para diferentes momentos del sistema de datos, el primero la prevención de la falla por medio de políticas de seguridad informática, en el momento de la falla la cual representa una solución tecnológica, y después de la falla si las dos

8 85 anteriores fallan se debe de estar preparados con un plan de contingencia, de esta manera la propuesta busca presentar los principales elementos de riesgo de un sistema informático, la forma de evitar la pérdida de datos y la forma de cómo enfrentar los daños si estos se dan. Se desarrollan dos propuestas tecnológicas ha presentar a las instituciones; la elección de la propuesta estará en responsabilidad de la institución que la desarrollará, esta elección deberá de hacerse a partir del cumplimiento de una serie de parámetros. A la par de esta propuesta tecnológica se ha planteado una serie de herramientas que se vuelve un solo conjunto con la parte tecnológica, y que buscan dar respuesta al problema de cada una de las instituciones en su búsqueda de mantener la continuidad de las operaciones del sistema de datos. 6.1 Fase de Diagnostico. Cada vez que nos encontremos en una actividad que requiere la presentación de una propuesta de solución para un determinado problema, es necesario siempre la revisión exhaustiva de cada uno de los componentes, que conforman nuestro sistema por esto se hace necesario una etapa de diagnostico para poder asegurar que las acciones de solución propuesta tengan un fundamento realista. El problema más frecuente es que las amenazas a las que están expuestos los sistemas de datos, no se conocen hasta que se materializa el riesgo y causa daños a la institución, en la oportunidad o capacidad de respuesta del negocio y en la veracidad de la información que posee, entre otros Diagnósticos de Vulnerabilidades. Lo primero que una institución debe de saber es cuales son los puntos vulnerables, donde la amenaza es mas latente, y el alcance de dicha amenaza si esta se materializa. Esto se logra por medio de un diagnóstico que se puede realizar por medio de la contestación de un test, al cual hemos llamado test de vulnerabilidad, este permite presentar los puntos vulnerables en materia de seguridad informática en un momento dado y sirve como punto de partida a la institución para realizar una permanente gestión de la seguridad informática. El propósito de realizar un diagnostico de vulnerabilidad es el identificar los huecos de seguridad en la infraestructura tecnológica de la institución.

9 86 Entre los beneficios que obtendrán las instituciones será de contar con información sobre la situación actual en términos de seguridad informática, que le permitirá tomar decisiones preventivas y correctivas para disminuir riesgos. A continuación se presenta un test de Vulnerabilidades el cual busca como objetivo el brindar una herramienta para determinar las debilidades en cuanto a seguridad de los sistemas de datos de la institución. Test de Diagnostico de Vulnerabilidades. El siguiente es un test de diagnostico de Vulnerabilidades que debe aplicar el departamento de informática, para medir los niveles de riesgo en materia de seguridad de la información, del equipo, instalaciones, etc. A. Seguridad Física. 1. Existe una persona responsable de la seguridad? 2. Existe vigilancia en el departamento de cómputo las 24 horas? 3. Sé permite el acceso a los archivos y programas a los programadores, analistas y operadores, bajo supervisión y monitoreo? 4. El edificio donde se encuentra el centro de cómputo esta situado a saldo de, de cualquier incidente natural o no natural (inundación, fuego, terremoto, sabotaje, etc.) 5. Existen alarma(s) dentro del edificio donde se encuentra situado el centro de cómputo: 6. La alarma es perfectamente audible?

10 87 7. Las alarmas están conectadas a puestos de policías, estación de bomberos, u otro ente que sea capaz de colaborar en caso de un siniestro. 8. Existen extintores de fuego?. 9. Se ha adiestrado el personal en el manejo de extintores?. 10. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? 11. Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcanzarlos? 12. Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una emergencia ocasionado por fuego? 13. Existe salida de emergencia? 14. Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de puestas y ventanas del centro de cómputo, si es que existen? 15. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? 16. Se ha tomado medidas para minimizar la posibilidad de fuego, tales como evitando artículos inflamables, prohibiendo fumar, vigilando el mantenimiento al sistema eléctrico, etc.?. 17. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo?

11 Se limpia con frecuencia el polvo acumulado en el equipo de cómputo? 19. Se cuenta con copias de los archivos en lugar distinto al del departamento de cómputo. 20. Se tienen establecidos procedimientos de actualización a estas copias? Puntuación: Si responde Si a las 20 preguntas su Seguridad Física es Excelente. Si responde Si a 15 preguntas su Seguridad Física es Buena. Si responde Si a 10 preguntas su Seguridad Física es Regular. Si responde Si a 5 preguntas su Seguridad Física es Deficiente. B. Seguridad de Software. 1. Cuándo se efectúan modificaciones a los programas, se realiza con autorización de la persona responsable del departamento de informática? 2. La solicitud de modificaciones a los programas se hace de forma escrita, en un formulario especial para dicha tarea? 3. Una vez efectuadas las modificaciones. Se presentan las pruebas a los interesados? 4. Existe control estricto en las modificaciones? 5. Se revisa que tengan fecha de las modificaciones cuando se hayan efectuado?

12 89 6. Se verifica identificación de la terminal y del usuario que efectúa la modificación? 7. Se han establecidos roles para cada uno de los usuarios. 8. Se ha establecido un número máximo de violaciones en sucesión para que la computadora cierre esa terminal y se de aviso al responsable de ella? 9. Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? 10. Existen controles y medidas de seguridad sobre las siguientes operaciones, Información confidencial, Programas, Respaldos de información, Acceso de personal, Passwords y Seguros del Activo Informático? Puntuación. Si responde Si a las 10 preguntas su Seguridad de Software es Excelente. Si responde Si a 7 preguntas su Seguridad de Software es Buena. Si responde Si a 4 preguntas su Seguridad de Software es Deficiente. C. Correo Electrónico. 1. Utiliza la empresa el correo electrónico para el envío de documentos a destinatarios internos de la empresa? 2. Utiliza la empresa el correo electrónico para el envío de documentos a destinatarios externos de la empresa? 3. Dispone la empresa de normas de uso del correo electrónico?

13 90 4. Se establece en ellas la prohibición del uso de correo electrónico para fines particulares? 5. Existen recomendaciones para prevenir el engaño por correo electrónico a los trabajadores de la empresa para que divulguen datos confidenciales? 6. Existen medidas técnicas para impedir la entrada de virus informáticos en la red local y los ordenadores de la empresa? 7. Existen medidas técnicas para impedir la entrada de caballos de Troya a través del correo electrónico. Puntuación: Si responde Si a las 7 preguntas su manejo y seguridad sobre el Correo Electrónico es Excelente. Si responde Si a 4 preguntas su manejo y seguridad sobre el Correo Electrónico es Regular. D. Navegación por Internet 1. Disponen los empleados de su empresa de accesos a Internet. Si su respuesta es NO, pase al apartado F. 2. Dispone la empresa de normas de Internet 3. Existen medidas técnicas para impedir la instalación no consentida de spyware? 4. Existen medidas técnicas para impedir la entrada de caballo de Troya a través de la visita de páginas Web.

14 91 Puntuación: Si responde Si a las 4 preguntas su manejo y seguridad sobre el Internet es Excelente. Si responde Si a 2 preguntas su manejo y seguridad sobre el Internet es Regular. Si no responde a ninguna pregunta SI su manejo y seguridad sobre Internet es Deficiente. E. Programas P2P y mensajería Instantánea 1. Existen medidas técnicas para impedir el uso de programas de intercambio de ficheros a través de programas P2P 2. Existen medidas técnicas para detectar el uso de programas de intercambio de ficheros a través de programas P2P. 3. Existen medidas técnicas para impedir el uso de programas de mensajería instantánea tipo Messenger. 4. Existen medidas técnicas para detectar el uso de programas de mensajería instantánea. Puntuación: Si responde Si a las 4 preguntas su manejo y seguridad sobre Programas P2P y mensajería instantánea es Excelente. Si responde Si a 2 preguntas su manejo y seguridad sobre Programas P2P y mensajería instantánea es Regular. Si no responde a ninguna pregunta SI su manejo y seguridad sobre Programas P2P y mensajería instantánea es Deficiente.

15 92 F. Error Humano 1. Existen medidas preventivas para limitar los errores derivados de la impericia en el uso de las nueva tecnologías? 2. Existen medidas preventivas para limitar los errores derivados de métodos de trabajo incorrectos. 3. Existen medidas preventivas para limitar los errores derivados de actos repetitivos? 4. Existen medidas preventivas para limitar los errores derivados de comunicaciones defectuosas o incompletas. Puntuación: Si responde Si a las 4 preguntas su manejo y seguridad sobre Error Humano es Excelente. Si responde Si a 2 preguntas su manejo y seguridad sobre el Error Humano es Regular. Si no responde a ninguna pregunta SI su manejo y seguridad sobre el Error Humano es Deficiente. G. Acceso Remoto 1. Es accesible desde el exterior la red de la empresa 2. Existen normas de seguridad especificas para los trabajadores que realizan accesos remotos a la red corporativa?

16 93 H. Activos Inmateriales 1. El contrato laboral contiene una cláusula de confidencialidad? 2. El contrato laboral contiene una cláusula de propiedad intelectual. 3. Se pactan plazos de permanencia en la empresa cuando el trabajador recibe formación especializada. I. Seguridad Informática 1. Dispone la empresa de un documento con que se describen las medidas de seguridad de la empresa? 2. Existen evidencias documentales de la aplicación de las medidas de seguridad por la empresa? 3. Existe un plan de continuado y certificado por terceros de formación y sensibilización del personal en materia de seguridad? 4. Existen planes de contingencia en caso de desastres en la empresa. 5. Cuentan los operadores con alguna documentación en donde se guarden las instrucciones actualizadas para el maneja de restauraciones? Puntuación: Si responde Si a las 5 preguntas su Seguridad Informática es Excelente. Si responde Si a 3 preguntas su Seguridad Informática es Regular. Si responde Si a 1 su Seguridad Informática es Deficiente.

17 94 Después de haber analizado cada uno de las áreas antes mencionadas, usted estará en condiciones de tomar acciones en cuanto a los aspectos de seguridad que deberá reforzar en su empresa, o el tipo de seguridad a implementar y aspectos a considerar a la hora de implementar políticas de seguridad. Además es importante tener la siguiente información siempre a la mano: 1. Descripción de puestos y funciones con relación al sistema de datos. 2. Listado de bienes que produce la empresa según el orden de importancia por la generación de beneficios. Si la empresa produce más de un servicio la prioridad será determinada según el criterio de los directivos. 3. Listado de empresas o instituciones que abastecen de energía, comunicación, agua y otros servicios resaltando la importancia de ellos en el sistema de datos y verificando la seguridad de los servicios. 4. Inventario de recursos informáticos se realizará por dependencias y en forma clasificada: Hardware, Programas, Aplicativos informáticos, Otros equipos (centrales telefónicas, cajas registradoras, lectores de código de barras, etc.) 5. Esto inventarios deberán hacerse a través de formularios sistemáticamente elaborados. 6. Análisis de las operaciones. En todas las instituciones existen, centenares de procesos que se realizan diariamente. Más del 80% de éstos son repetitivos, cosas que hacemos una y otra vez. Estos procesos repetitivos (áreas administrativas, manufactureras e intermedias) pueden y deben controlarse Identificación de Riesgos El objetivo principal de la Identificación de Riesgo, es el de realizar un análisis de impacto económico y legal, determinar el efecto de fallas de los principales sistemas de datos de la institución o empresa.

18 95 Para nuestro modelo hemos dividido diez áreas específicas vulnerables a la ocurrencia de los riesgos y que deben de ser analizadas para tomar las acciones pertinentes: a) Edificio. Materiales de Construcción. Localización Geográfica. Localización del Centro de Cómputo en el edificio. Localización de cañerías de aguas, drenajes, si el edificio se encuentra cerca de zonas de inundación. Areas Urbanas potencialmente conflictivas. b) Ambiente del Centro de Procesamiento. Aire Acondicionado. Energía Eléctrica. Falta de UPS o planta propia. Inadecuado mantenimiento del equipo. Inadecuado señalamiento de los dispositivos. Protección contra fuego. Detectores de humo inadecuados. Sistema no probado regularmente. Insuficiente extintores manuales. Falta de monitoreo de las alarmas. Falta de entrenamiento contra incendios. Procedimientos inadecuados de evacuación. Existencia de interruptores de energía para casos de emergencia. Iluminación inadecuada. Existencias de reglas de seguridad o señales de peligro. Red de distribución no revisada con regularidad. c) Control de Ingreso. Ineficiencia o falta de vigilancia. No se hace uso de registro de vigilantes.

19 96 Falta de tarjetas de identificación. Identificación requerida de visitantes. Puertas y Ventanas inseguras. Falta de control de vehículos que ingresan o salen. Inadecuado control de acceso al Centro de Cómputo. Areas del Centro de Cómputo inseguras (sin llave). d) Personal. Existe comprobación adecuada de experiencia del nuevo personal. Existencia de Contrato de Trabajo, debidamente firmado por ambas partes (Contratante y contratado). Inadecuada revisión de procedimientos de entrenamiento del grupo o rotación del trabajo. Carencia de personal competente o está mal pagado. Existencia de personal mal intencionado. Existencia de baja moral de trabajo. e) Administración. No se hace un análisis regular de los riesgos. Existen adecuadas políticas de seguridad. Los fraudes y otros problemas no son comunicados a las autoridades respectivas. No hay personal dedicado al manejo de desastres. f) Plan de Contingencias. Existe un Plan de Contingencias. Se cuenta con un sitio alterno de operaciones. El plan esta desactualizado o no ha sido probado. Existe un adecuado control de los activos y de los suministros. Existe identificación de los sistemas críticos.

20 97 g) Datos y Programas. Se establece un calendario para el respaldo de las aplicaciones o programas críticos. Los lugares de almacenamiento dentro del Centro de cómputo son seguros. Se tienen establecidas políticas adecuadas para el manejo de los datos importantes. Se le permite al personal hacer sus trabajos personales (utilizar el equipo). Existe documentación de cada uno de los programas y/o aplicaciones. Se tiene programas obsoletos en uso. Se destruye la información importante que no se usa. Se tiene control sobre los medios de almacenamiento. Se tiene controles de calidad para los nuevos sistemas. Existen controles de acceso a los programas o sistemas. Están definidos los privilegios de los usuarios. h) Hardware (equipo) Existe inventario completo del hardware. Se brinda un adecuado mantenimiento al hardware. Hay equipo obsoleto en uso. Existe comunicación de datos (teleproceso). Para la comunicación de datos se utilizan líneas dedicadas. Las líneas de comunicación son inseguras o con fallas. Las terminales se restringen para usuarios específicos o tareas específicas. Inadecuado o carencia total de control de claves de acceso. i) Organización Interna. Se almacena documentación importante en medios inseguros. Existen control sobre documentación o material importante. Existen respaldos de documentación importante.

21 98 Reportes incompletos o con error de las fallas del equipo. Inadecuada documentación de los sistemas, programas y sistema operativo. Procedimiento de encendido y apagado del equipo definidos. Existen restricciones sobre ciertos hábitos en el centro de Cómputo (comer, fumar, almacenar material inflamable, etc.) Falta de higiene en el lugar. j) Auditoría. No existen procedimientos o programas de auditoría. Se revisan los reportes de auditoría. Existen controles internos adecuados en los sistemas. Una vez realizada la identificación de los riesgos usted tiene pleno conocimiento de cuales son las debilidades y donde se encuentran, con ello tenemos lo necesario para saber donde centrar parte del Modelo y que áreas son a las que se les debe poner mayor atención. 6.2 Fase de Desarrollo. El objetivo de esta fase es de dar por resultado un Manual de Políticas de Seguridad Informática, una Solución Informática y un Plan de Contingencias. Es importante estar conscientes de algunos aspectos: De la importancia de la Seguridad Informática. Considere el Sistema de Datos como un activo de la institución. Considere el Sistema de Datos como un recurso para alcanzar objetivos estratégicos. El Modelo de Seguridad Informática debe de tener como propósito por lo menos alguno de los siguientes objetivos Mantener el Sistema de datos actualizados y accesibles desde cualquier punto.

22 99 Mantener el servicio del Sistema de Datos a todos los usuarios interno y externo de la institución. Estar preparados ante cualquier contingencia que se presente y que represente un peligro al Sistema de Datos. Resguardar el Sistema de Datos de cualquier amenaza, intruso o falla que pueda ser provocada por entes internos o externos a la institución y que puedan dañar el sistema de datos Determinación de necesidades. Cada empresa es diferente, es por ello que sus necesidades en cuanto a sistemas de datos son variadas, cada una de ellas tiene objetivos variados y va desear que su sistema se adapte a sus necesidades y cumpla con los objetivos establecidos por la institución, no es lo mismo una empresa comercial que una empresa que brinde servicios financieros. Otro punto a considerar es el tamaño de su estructura organizativa, número de empleados y los roles dentro del Sistema de Datos. Pero además del número de empleados, se debe de considerar el número de sucursales o agencias con que cuenta la Institución. Debemos de establecer cuales son las necesidades de cada uno de los miembros de la institución, las prioridades y cual es el objetivo que perseguimos con la implementación del modelo. Para el caso del Modelo Tecnológico, ya no es necesario solo el establecimiento de la disponibilidad que necesitaremos y del coste que tendrá la solución; es importante saber si se hará un uso intensivo de los discos de escritura, si se realizarán lecturas de grandes bloques de datos en una forma secuencial, o si la lectura se hará de una forma aleatoria y de tamaños variables. Además debemos determinar si el sistema de Replicación contendrá el sistema de datos o solo los datos por si mismos.

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) Tabla de Contenidos CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS 1 DE LA ADMINISTRACIÓN PÚBLICA NACIONAL

Más detalles

CAPÍTULO V SEGURIDAD EN CENTROS DE CÓMPUTO

CAPÍTULO V SEGURIDAD EN CENTROS DE CÓMPUTO CAPÍTULO V SEGURIDAD EN CENTROS DE CÓMPUTO ORDEN EN EL CENTRO DE CÓMPUTO Una dirección de Sistemas de Información bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento

Más detalles

ANEXO LECCIÓN 9. Dra. Elizabeth Alves

ANEXO LECCIÓN 9. Dra. Elizabeth Alves ANEXO LECCIÓN 9 Dra. Elizabeth Alves Caracas, 1998 ANEXO LECCIÓN 9 CUESTIONARIO 1 1. Existe una lista de proyectos de sistema de procedimiento de información y fechas programadas de implantación que puedan

Más detalles

AUDITORÍA INFORMÁTICA

AUDITORÍA INFORMÁTICA AUDITORÍA INFORMÁTICA ORGANIZACIÓN (para aplicar al jefe del área Informática o el responsable de ella) 1. Los niveles jerárquicos establecidos actualmente son necesarios y suficientes para el desarrollo

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN

DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN DOCUMENTO DE LA POLÍTICA DE RESGUARDO DE LA INFORMACIÓN Lineamientos y normativas para el respaldo de la información de los usuarios de Opus Software Publicado por Sector PMO & Gestión Documental de Opus

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN POLÍTICA DE SEGURIDAD FÍSICA N-10 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Lista de verificación para una auditoría a la seguridad informática

Lista de verificación para una auditoría a la seguridad informática Lista de verificación para una auditoría a la seguridad informática Seguridad en la protección y conservación de locales, instalaciones, mobiliario y equipos. Seguridad para el personal informático y los

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá Dirección de Informática Documento Plan de contingencias y sugerencias Diseño, Desarrollo e Implementación Versión I 1.- SOLUCIÓN PROPUESTA Y PLAN

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

[TECNOLOGÍA RAID] Documentos de formación de SM Data: http://www.smdata.com/formacion.php

[TECNOLOGÍA RAID] Documentos de formación de SM Data: http://www.smdata.com/formacion.php 2011 Documentos de formación de SM Data: http://www.smdata.com/formacion.php [] Introducción a la tecnología RAID; Qué es RAID?; ventajas de RAID; definición de los más populares niveles de RAID y diferentes

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ FACULTAD DE CIENCIAS E INGENIERÍA Procedimientos para la auditoría física y medio ambiental de un Data Center basado en la clasificación y estándar internacional

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Operación Microsoft Windows XP

Operación Microsoft Windows XP Entornos de red Concepto de red En el nivel más elemental, una red consiste en dos equipos conectados entre sí mediante un cable de forma tal que puedan compartir datos. Todas las redes, no importa lo

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

4.4. IMPLEMENTACION DE SISTEMAS

4.4. IMPLEMENTACION DE SISTEMAS 4.4. IMPLEMENTACION DE SISTEMAS DEFINICION: - Todas las actividades necesarias para convertir el sistema anterior al nuevo sistema - Proceso que asegura la operatividad del sistema de información y que

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Ministerio de Economía y Producción Secretaría de Hacienda. Normas de Seguridad Física y Ambiental.

Ministerio de Economía y Producción Secretaría de Hacienda. Normas de Seguridad Física y Ambiental. Normas de Seguridad Física y Ambiental. Las normas para Seguridad física y ambiental brindan el marco para evitar accesos no autorizados, daños e interferencias en la información de la organización Estas

Más detalles

Lineamientos en Materia de Tecnologías de Información y Comunicaciones

Lineamientos en Materia de Tecnologías de Información y Comunicaciones Con fundamento en los artículos 3 y 6, fracción VII, del Reglamento del Poder Legislativo del Estado de Guanajuato para el Uso de Medios Electrónicos y Firma Electrónica, la Secretaría General emite los

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Seguridad en Sistemas

Seguridad en Sistemas Seguridad en Sistemas Introducción En nuestra presentación el objetivo principal es entender que es seguridad y si existe la seguridad en los sistemas, y comprobamos que la seguridad en los sistemas no

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

ARQUITECTURA DE INVULNERABILIDAD DE DATOS DE EMC DATA DOMAIN: MEJORA DE LA CAPACIDAD DE RECUPERACIÓN Y LA INTEGRIDAD DE LOS DATOS

ARQUITECTURA DE INVULNERABILIDAD DE DATOS DE EMC DATA DOMAIN: MEJORA DE LA CAPACIDAD DE RECUPERACIÓN Y LA INTEGRIDAD DE LOS DATOS Informe técnico ARQUITECTURA DE INVULNERABILIDAD DE DATOS DE EMC DATA DOMAIN: MEJORA DE LA CAPACIDAD DE RECUPERACIÓN Y LA INTEGRIDAD DE LOS DATOS Análisis detallado Resumen Ningún mecanismo por sí mismo

Más detalles

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Manual de Seguridad Informática Centro de Cómputo (Políticas, Controles) Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Contenido Introducción 3 Objetivos 4 Alcances 4 Equipo

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

13º Unidad Didáctica. RAID (Redundant Array of Independent Disks) Eduard Lara

13º Unidad Didáctica. RAID (Redundant Array of Independent Disks) Eduard Lara 13º Unidad Didáctica RAID (Redundant Array of Independent Disks) Eduard Lara 1 RAID: INTRODUCCIÓN Sistema de almacenamiento que usa múltiples discos duros entre los que distribuye o replica los datos.

Más detalles

TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS. 1. Aplicación de las presentes normas.

TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS. 1. Aplicación de las presentes normas. Hoja 1 CAPÍTULO 1-7 TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS 1. Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

plataforma gest.org Multi Gestión de Organizaciones Fundaciones y Asociaciones

plataforma gest.org Multi Gestión de Organizaciones Fundaciones y Asociaciones plataforma gest.org Multi Gestión de Organizaciones Fundaciones y Asociaciones ÍNDICE 1. INTRODUCCIÓN. PRESENTACIÓN DEL PRODUCTO Software como Servicio Características técnicas 2. ALCANCE FUNCIONAL DE

Más detalles

ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS

ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS CUALIFICACIÓN PROFESIONAL ADMINISTRACIÓN DE SISTEMAS INFORMÁTICOS NIVEL DE CUALIFICACIÓN: 3 ÁREA COMPETENCIAL: INFORMATICA ÍNDICE 1. ESPECIFICACIÓN DE COMPETENCIA...3 1.1. COMPETENCIA GENERAL...3 1.2.

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

RIESGOS INFORMATICOS

RIESGOS INFORMATICOS 1 INTRODUCCION RIESGOS INFORMATICOS LA GESTION DE LOS RIESGOS El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización,

Más detalles

Kalio.Server... Servicio de Productividad

Kalio.Server... Servicio de Productividad Kalio.Server... Servicio de Productividad Kalio.Server Servicio de Productividad 2 Tabla de contenido... Kalio.Server... Servicio de Productividad... Tabla de contenido...2 Descripción... 3 Ejemplo de

Más detalles

Circular Normativa para el Uso y Administración de los Computadores

Circular Normativa para el Uso y Administración de los Computadores Marzo de 2008 Circular Normativa para el Uso y Administración de los Computadores Normas generales La presente circular tiene como objetivo, estandarizar el uso y administración de los computadores y asegurar

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

Version 3. Capítulo 9. Fundamentos de hardware avanzado para servidores

Version 3. Capítulo 9. Fundamentos de hardware avanzado para servidores Capítulo 9 Fundamentos de hardware avanzado para servidores Servidores para redes Un servidor es un computador en una red que es compartido por múltiples usuarios. El término servidor se refiere al hardware

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

CAPÍTULO I. FORMULACIÓN DEL PROBLEMA

CAPÍTULO I. FORMULACIÓN DEL PROBLEMA CAPÍTULO I. FORMULACIÓN DEL PROBLEMA FORMULACIÓN DEL PROBLEMA. 1.1 TITULO DESCRIPTIVO DEL PROYECTO. Propuesta de Estrategias de Seguridad para Disminuir la Vulnerabilidad en las Redes de Área Local en

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE)

MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE) MANUAL DE RESPALDOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS (RECUPERACIÓN DE INFORMACIÓN EN CASO DE DESASTRE) Manual de Políticas y Estándares de Seguridad Informática para recuperación de

Más detalles

SEGURIDAD FISICA Y AMBIENTACION DE LOS LABORATORIOS Y CENTROS DE CÓMPUTO COMITÉ INFORMÁTICO ESPOCH 2002

SEGURIDAD FISICA Y AMBIENTACION DE LOS LABORATORIOS Y CENTROS DE CÓMPUTO COMITÉ INFORMÁTICO ESPOCH 2002 Revisión : 1 Página 1 de 8 SEGURIDAD FISICA Y AMBIENTACION DE LOS LABORATORIOS Y CENTROS DE CÓMPUTO COMITÉ INFORMÁTICO ESPOCH 2002 Revisión : 1 Página 2 de 8 CONTENIDOS CONTENIDOS... 2 1. INTRODUCCION...

Más detalles

Ficha Técnica. effidetect

Ficha Técnica. effidetect Ficha Técnica effidetect Página 1 de 9 Introducción El Sistema Pointer es un producto de Predisoft (www.predisoft.com) cuyo propósito es la detección (en línea) del fraude que sufren las instituciones

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO ALCANCE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO Las presentes políticas de seguridad aplican o están destinadas a todos los servidores públicos, contratistas

Más detalles

POLITICAS, NORMAS Y PROCEDIMIENTOS DEPARTAMENTO DE INFORMATICA MINISTERIO DE ENERGIA Y MINAS

POLITICAS, NORMAS Y PROCEDIMIENTOS DEPARTAMENTO DE INFORMATICA MINISTERIO DE ENERGIA Y MINAS 1 POLITICAS, NORMAS Y PROCEDIMIENTOS DEPARTAMENTO DE INFORMATICA MINISTERIO DE ENERGIA Y MINAS GUATEMALA, JUNIO 2006 2 INDICE DE CONTENIDO 1. Presentación Políticas de Seguridad Informática. 2. Generación

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

ORGANIZACIÓN DE LOS SERVICIOS INFORMÁTICOS

ORGANIZACIÓN DE LOS SERVICIOS INFORMÁTICOS 1 ORGANIZACIÓN DE LOS SERVICIOS INFORMÁTICOS INTRODUCCIÓN La realización de trabajos utilizando los medios informáticos de una empresa requiere una cierta organización y destreza relativa tanto a los equipos,

Más detalles

SISTEMA DE COPIAS DE SEGURIDAD

SISTEMA DE COPIAS DE SEGURIDAD SISTEMA DE COPIAS DE SEGURIDAD Ya tiene a su disposición el servicio de copias de seguridad adbackup en acuerdo con la ASOCIACIÓN DE ASESORÍAS DE EMPRESA haciendo más asequible el servicio, y con el respaldo

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

ARQUITECTURA DE INVULNERABILIDAD DE DATOS DE EMC DATA DOMAIN: MEJORA DE LA CAPACIDAD DE RECUPERACIÓN Y LA INTEGRIDAD DE LOS DATOS

ARQUITECTURA DE INVULNERABILIDAD DE DATOS DE EMC DATA DOMAIN: MEJORA DE LA CAPACIDAD DE RECUPERACIÓN Y LA INTEGRIDAD DE LOS DATOS Informe ARQUITECTURA DE INVULNERABILIDAD DE DATOS DE EMC DATA DOMAIN: MEJORA DE LA CAPACIDAD DE RECUPERACIÓN Y LA INTEGRIDAD DE LOS DATOS Análisis detallado Resumen Ningún mecanismo por sí mismo es suficiente

Más detalles

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es

Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec., kary_3040@yahoo.es Plan de Contingencia Para la Unidad de Sistemas y Tecnología de Información del Gobierno Autónomo Descentralizado Antonio Ante en Base a la Norma Iso/Iec 27002. Luis D. Narváez, Karina A. Méndez ldnarvaez@utn.edu.ec.,

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Infraestructura Tecnológica

Infraestructura Tecnológica Infraestructura Tecnológica 1 Sesión No. 1 Nombre: Infraestructura de servidores Contextualización La infraestructura de cualquier servicio o mecanismo es importante, define el funcionamiento de los elementos

Más detalles

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos.

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos. Pagina 1 de 5 INTRODUCCIÓN Dentro del FONAES, se tienen instalados un conjunto de recursos informáticos (computadoras personales, servidores, impresoras, programas, etc.) que son de gran importancia para

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

FORMULARIO DE SOLICITUD PARA POLIZAS DE CRIMEN ELECTRONICO Y POR COMPUTADOR

FORMULARIO DE SOLICITUD PARA POLIZAS DE CRIMEN ELECTRONICO Y POR COMPUTADOR FORMULARIO DE SOLICITUD PARA POLIZAS DE CRIMEN ELECTRONICO Y POR COMPUTADOR 1. Si no tiene espacio suficiente para responder las preguntas, favor responderlas por anexo en papel membreteado. 2. Este formulario

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

PRÁCTICA 12. Niveles RAID. 12.1. Meta. 12.2. Objetivos. 12.3. Desarrollo

PRÁCTICA 12. Niveles RAID. 12.1. Meta. 12.2. Objetivos. 12.3. Desarrollo PRÁCTICA 12 Niveles RAID 12.1. Meta Que el alumno comprenda la importancia que tiene la implementación de los niveles RAID en un SMBD así como todos los beneficios que aporta esto. 12.2. Objetivos Al finalizar

Más detalles

Redes de Almacenamiento

Redes de Almacenamiento Redes de Almacenamiento Las redes de respaldo o backend se utilizan para interconectar grandes sistemas tales como computadores centrales y dispositivos de almacenamiento masivo, el requisito principal

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

SOLUCIONES DE RESPALDO Y CONTINUIDAD DE NEGOCIO. NUEVA ERA DEL BACKUP. Diciembre 2013. (13-DOC-Cliente-Num) Página 1

SOLUCIONES DE RESPALDO Y CONTINUIDAD DE NEGOCIO. NUEVA ERA DEL BACKUP. Diciembre 2013. (13-DOC-Cliente-Num) Página 1 SOLUCIONES DE RESPALDO Y CONTINUIDAD DE NEGOCIO. NUEVA ERA DEL BACKUP (13-DOC-Cliente-Num) Página 1 Diciembre 2013 Índice 1. Objetivos... 3 2. Antecedentes... 3 3. Sistemas Operativos dependientes de Servidores

Más detalles

Sistemas de gestión de video. Indice

Sistemas de gestión de video. Indice 168 Sistemas de gestión de video Un aspecto importante del sistema de videovigilancia es la gestión de video para la visualización, grabación, reproducción y almacenamiento en directo. Si el sistema está

Más detalles

RAID. Características, ventajas y aplicaciones. Porqué utilizar RAID? Beneficios y ventajas. white paper

RAID. Características, ventajas y aplicaciones. Porqué utilizar RAID? Beneficios y ventajas. white paper white paper RAID Características, ventajas y aplicaciones. El término RAID (Redundant Array of Independent -or Inexpensive- Disks), cuyos orígenes datan de 1989, hace referencia a una arquitectura para

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Requisitos mínimos de seguridad del Operador Económico Autorizado en la República Dominicana

Requisitos mínimos de seguridad del Operador Económico Autorizado en la República Dominicana AGENTES DE ADUANAS 1. Gestión Administrativa 2. Solvencia Económica 3. Conocer sus asociados de negocios 4. Seguridad del contenedor y demás unidades de carga 5. Seguridad física 6. Control de Acceso 7.

Más detalles

POLÍTICAS DE SEGURIDAD INFORMÁTICA

POLÍTICAS DE SEGURIDAD INFORMÁTICA S DE SEGURIDAD INFORMÁTICA DIRECCIÓN GENERAL DE ADMINISTRACIÓN SUBDIRECCIÓN DE SERVICIOS GENERALES J.U.D. DE SOPORTE TÉCNICO JUNIO, 2009 S DE SEGURIDAD INFORMÁTICA 1 I. INTRODUCCIÓN Con el fin de homogeneizar

Más detalles

CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS.

CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS. CAPÍTULO IV. ANÁLISIS E INTERPRETACIÓN DE RESULTADOS. CAPITULO IV 4.0 ANÁLISIS E INTERPRETACIÓN DE LOS RESULTADOS. 4.1 Presentación En este capitulo se muestran los resultados de la investigación, el cual

Más detalles

Ficha Informativa de Proyecto 2015

Ficha Informativa de Proyecto 2015 MCPE - Ministerio de Coordinación de la Política Económica Coordinación General Administrativa Financiera PROYECTO: I007 "Implementación del Esquema Gubernamental de Seguridad de la información (EGSI)

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC.

Privada ha de ser también el de educar y motivar a que los miembros de la cadena de suministro participen en BASC. Business Alliance for Secure Commerce (BASC) Estándares BASC Versión 3-2008 Adopción de Requisitos Mínimos de Seguridad C-TPAT Vigilancia y Seguridad Privada Las Empresas de Vigilancia y Seguridad Privada

Más detalles

PROTOCOLO DE EMERGENCIAS E INCENDIOS

PROTOCOLO DE EMERGENCIAS E INCENDIOS 1.- Generalidades PROTOCOLO DE EMERGENCIAS E INCENDIOS La prevención es una de las bases fundamentales del sistema de seguridad del Sistema DIF Jalisco, mediante la cual se busca garantizar la integridad

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Controles en la. Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Controles en la. Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Controles en la Administración de Seguridad Dra. Elsa Estévez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Plan de Recuperación

Más detalles