Propuesta inicial: Modificado por: Revisado por: Aprobado por: Gabriel Bohórquez Wilmer Rosiasco Grupo de Organización, Fernando Zapata López

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Propuesta inicial: Modificado por: Revisado por: Aprobado por: Gabriel Bohórquez Wilmer Rosiasco Grupo de Organización, Fernando Zapata López"

Transcripción

1 1. INTRODUCCION La Seguridad Informática se basa en la existencia de un conjunto de directrices que brinden instrucciones claras y oportunas, soportando la gestión de la Alta Dirección frente al gran dinamismo de nuevos ataques y violaciones a la seguridad e integridad de la información. Este documento se debe entender como el compendio de reglas que permiten definir la gestión, protección y asignación de los recursos corporativos, acorde a los lineamientos de la Alta Dirección, concientizando a cada uno de los miembros acerca de la importancia y sensibilidad de la información propia de la Organización. Todas las directrices contempladas en este documento deben ser revisadas periódicamente, determinando oportunamente la creación, actualización y obsolescencia de cada directriz, con el fin de mitigar las vulnerabilidades identificadas y mantener altos estándares de seguridad en la Organización. 2. PROPOSITO Este compendio tiene como finalidad dar a conocer las PSI - Políticas de Seguridad de la Información y ESI - Estándares de Seguridad Informática, que deben aplicar y acatar todos y cada uno de los empleados, contratistas y terceros de la Organización, entendiendo como premisa que la responsabilidad por la seguridad de la información no depende únicamente de la Dirección o el Área de, sino que es una responsabilidad de cada empleado, contratista y tercero activo de la Organización. 3. ALCANCE El alcance de las políticas y estándares contempladas en este documento aplica a: 1. Todas las Áreas de la Organización por su condición de gestoras, procesadoras y protectoras de todo tipo de información soportada en cualquier medio físico impreso o electrónico de la Organización. 2. Todos los empleados y contratistas de la Organización, y todo el personal tercero, que hagan uso de los sistemas, plataformas y servicios tecnológicos de la Organización. 4. OBJETIVO: Establecer los criterios y comportamientos que deben seguir todos los empleados, contratistas y terceros de la Organización, con el fin de velar por la adecuada protección, preservación y salvaguarda de la información y de los sistemas corporativos, respondiendo a los intereses y necesidades organizacionales y dando cumplimiento a los 3 principios de la gestión de la información: Confidencialidad, Integridad y Disponibilidad, acogidos de la mejores prácticas de gestión de la información, implícitas en el estándar internacional ISO/IEC-27001: DEFINICIONES Política Compendio de directrices que representan una posición de las directivas, para áreas de control especificas que permiten establecer un canal de actuación en relación con los recursos y servicios de la Organización, normalmente soportadas por estándares, mejores prácticas, procedimientos y guías. Página 1 de 53

2 Seguridad Información Riesgo Seguridad Informática Seguridad de la Información Confidencialidad Integridad Disponibilidad La Seguridad determina los riesgos y pretende mitigar los impactos mediante el establecimiento de programas en seguridad de la información y el uso efectivo de recursos; es un proceso continuo de mejora y debe garantizar que las políticas y controles establecidos para la protección de la información deberán revisarse y adecuarse permanentemente ante los nuevos riesgos que se presenten. La información es un activo que tiene valor, -que puede estar representada en forma impresa o escrita en papel, que puede estar almacenada física o electrónicamente, y que puede ser trasmitida por correo o medios electrónicos-, por ende requiere de una adecuada protección ante posibles vulnerabilidades que puedan afectar a la Organización de forma negativa. El Riesgo se considera como todo tipo de vulnerabilidades, amenazas que pueden suceder. La seguridad informática es el área de la Informática está concebida y enfocada a la protección de la información, los activos informáticos, la infraestructura tecnológica y los usuarios. La Seguridad de la Información tiene como finalidad la protección de la Confidencialidad, Integridad y Disponibilidad de la información, -en cualquier presentación: electrónicos, impresos, audio, video u otras formas-, ante accesos, usos, divulgación, interrupción o destrucción inadecuada y/o no autorizada de la información, las plataformas tecnológicas y los sistemas de información. Se debe entender como la característica de prevenir la circulación de información a personas, entes o sistemas no autorizados. Se debe entender como la propiedad que busca mantener y proteger la exactitud y estado completo de la información; y garantizar métodos de procesamiento libres de modificaciones no autorizadas. Se debe entender como la condición de acceso a la información y a los activos asociados cuando las personas, entes, procesos o aplicaciones lo requieren. 6. GRUPO DE ORGANIZACIÓN, METODOS Y DESARROLLO: El Grupo de Organización, Métodos y Desarrollo G.O.M.D., creado mediante Resolución No. 008 de 2010, tiene la facultad de revisar, analizar y recomendar al la aprobación de las Políticas, estándares y los controles de seguridad, garantizando la protección y salvaguarda de los activos de información de la organización. 7. ACCIONES EN CONTRAVENCIONES Estas políticas son mandatarías a todo nivel, por lo tanto deben ser cumplidas por la Organización (empleados y contratistas) y todo ente tercero que interactúe con la Información, los Sistemas de Información y demás Activos Informáticos de la Organización. En el evento en que se evidencia la transgresión o incumplimiento de cualquier política o estándar Página 2 de 53

3 contemplado en este documento, se debe considerar como una falta disciplinaria y dará inicio a adelantar las investigaciones internas correspondientes y se aplicarán las sanciones contempladas en el Reglamento Interno del Trabajo y el Código Sustantivo del Trabajo. De esta manera se ajusta a lo contemplado en el artículo 60 del Código Sustantivo del Trabajo y al Reglamento Interno del Trabajo vigente, que lo consagra como una prohibición a los trabajadores. El artículo 62 del CST contempla como causal de terminación del contrato por justa causa 6. Cualquier violación grave de las obligaciones o prohibiciones especiales que incumben al trabajador de acuerdo con los artículos 58 y 60 del Código Sustantivo del Trabajo, o cualquier falta grave calificada como tal en pactos o convenciones colectivas, fallos arbitrales, contratos individuales o reglamentos. 8. NOTIFICACIONES DE INCIDENTES Toda violación de estas políticas se debe notificar al a la Secretaría General, por medio escrito o electrónico acorde al proceso correspondiente, quien adelantará la investigación y estipulará las sanciones por incumpliendo en caso de que haya lugar. Las Políticas de Seguridad de la Información del han sido diseñadas para ajustarse o exceder, sin contravenir, las medidas de protección establecidas en las leyes, regulaciones y estándares vigentes, por lo tanto si algún empleado, contratista o tercero de la Organización considera que alguna política o estándar está en conflicto con las leyes y/o regulaciones existentes, tiene la responsabilidad de reportar en forma inmediata dicha situación a la Secretaría General. 9. RESPONSABLES EN LAS ETAPAS DE DESARROLLO DE PSI Creación: Revisión: Grupo de Organización, Métodos y Desarrollo. Excepciones y Actualizaciones: Grupo de Organización, Métodos y Desarrollo. Aprobación: Dirección General. Comunicación: Secretaría General. Socialización: Cumplimiento: Toda la Organización Supervisión: Planeación Control Interno Fecha de Modificación CONTROL DE CAMBIOS Comentario Elaborado por: Fecha: Revisado por: Fecha: Aprobado por: Fecha: Página 3 de 53

4 TABLA DE REFERENCIA POLITICAS 1. CAPITULO INFORMACION 1.1. ACCESO A LA INFORMACION PSI Gestión y seguridad de accesos PSI Gestión de usuarios 1.2. SEGURIDAD DE LA INFORMACION PSI Gestión de la información PSI Gestión de Seguridad de la información 2. CAPITULO RECURSOS 2.1. ACTIVOS PSI Gestión de los activos 2.2. HARDWARE PSI Gestión de servidores PSI Gestión de equipos de computo PSI Gestión de equipos móviles 2.3. SOFTWARE PSI Gestión de licenciamiento en software corporativo PSI Gestión de vulnerabilidades técnicas PSI Gestión de trazabilidad y auditabilidad 2.4. SISTEMAS DE INFORMACION PSI Gestión de sistemas operativos PSI Gestión de sistemas de información PSI Gestión de sistemas propios 2.5. TERCEROS PSI Gestión de terceros 3. CAPITULO REDES Y COMUNICACIONES 3.1. REDES PSI Gestión de redes 3.2. COMUNICACIONES PSI Gestión de internet PSI Gestión de intranet PSI Gestión de correo electrónico 4. CAPITULO INSTALACIONES 4.1. SEGURIDAD FISICA PSI Gestión de áreas seguras 5. CAPITULO CONTINUIDAD DE NEGOCIO 5.1. COPIAS DE SEGURIDAD PSI Gestión de copias de seguridad 5.2. CONTINGENCIA Y RECUPERACION DE DESASTRES PSI Gestión de contingencias Página 4 de 53

5 CAPITULO INFORMACION ACCESO A LA INFORMACION PSI GESTION Y SEGURIDAD DE ACCESOS 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizó elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Garantizar un adecuado ambiente de control en la definición y mantenimiento de accesos de usuarios a los diferentes componentes de la plataforma tecnológica del. ALCANCE Esta norma aplica a todos los usuarios de componentes de la plataforma tecnológica. RESPONSABLES Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / 1. Gestión de contraseñas a. Para garantizar la seguridad tanto de la información como de los equipos, el Área de asignará a cada usuario las claves de acceso que dé a lugar: acceso al computador, acceso a la red interna, acceso al correo electrónico, acceso a las aplicaciones correspondientes. b. La autorización para la creación, eliminación o modificación de perfiles de acceso es responsabilidad directa del Administrador de cada aplicación. c. Los usuarios no deben tener acceso a opciones del Sistema de Información que no utilicen. d. El Área de, los administradores de las aplicaciones, responsables de activos tecnológicos y los dueños de la Información serán los responsables de velar por que los perfiles de acceso existentes sean acordes con las funciones realizadas por cada uno de los usuarios. e. En todas las aplicaciones se debe contar con un administrador del Sistema de Información, el cual diseña y aprueba e implementa los perfiles de acceso, para esta actividad se debe utilizar el formato establecido por el Área de f. En el evento que algún usuario deje de tener vínculo laboral con la Organización, el Área Administrativa debe notificarlo por escrito al Área de, con la finalidad de inactivas todas las cuentas y accesos, equipos y recursos informáticos asignados. 2. Uso de Contraseñas a. Las contraseñas establecidas, deben cumplir con los parámetros mínimos contemplados para contraseñas fuertes o de alto nivel: i. Debe ser de mínimo nueve caracteres alfanuméricos de longitud. ii. Debe contener como mínimo cuatro letras, de las cuales una debe ser Mayúscula Página 5 de 53

6 iii. Debe contener mínimo cuatro números. iv. Debe contener como mínimo un carácter especial debe contener vocales tildadas, ni eñes, ni espacios. v. No permitir repetir los últimos 6 claves utilizados. b. Las contraseñas deben ser cambiados en forma obligatoria cada 4 meses, forzados desde la administración de las aplicaciones, o cuando lo considere necesario debido a alguna vulnerabilidad en los criterios de seguridad. 3. Recomendaciones a. Se relaciona una lista de actividades que NO se deben realizar respecto de las claves: i. Las claves deben ser de fácil recordación. ii. No deben ser basados en información personal, ni fechas especiales. iii. NO escriba y guarde las claves en ningún lugar de su oficina, en papeles, agendas u otro medio físico. iv. NO de su clave o haga alusión al formato de su clave, con compañeros de trabajo cuando este en vacaciones. v. NO hable o revele sus claves enfrente de otros, en el teléfono, a su jefe, miembros de su familia, ni permita que nadie vea cuando digita el clave en un computador. vi. NO revele su clave en un mensaje de correo electrónico, ni utilice la característica recordar contraseña de ninguna aplicación (ejm: Outlook, Internet Explorer). vii. Las claves nunca se deben almacenar en un servidor o maquina en red sin utilizar algún tipo de encriptación. viii. NO utilice su clave en un computador que considera no confiable. 4. Incidentes a. Los usuarios deben informar inmediatamente al Área de, toda vulnerabilidad encontrada en los sistemas asignados. b. Toda novedad presentada en la planta de personal de los empleados y contratistas del (ingresos, licencias, sanciones, suspensiones, ascensos y/o retiros) debe ser reportada mensualmente por el Jefe del Área Administrativa. Página 6 de 53

7 CAPITULO INFORMACION PSI ACCESO A LA INFORMACION GESTIÓN DE USUARIOS 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Garantizar un adecuado uso de la información por los usuarios con máximos privilegios en componentes de la plataforma tecnológica del. ALCANCE Esta política aplica a todos los usuarios con máximos privilegios en los componentes de la plataforma tecnológica del. RESPONSABLES Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Outsourcing Informático 1.Usuarios Súper-usuario a. Aplica a los usuarios que realizan actividades de dirección en los activos tecnológicos con los máximos privilegios que requiere su función. b. Los usuarios súper-usuarios son creados por defecto en la instalación de los componentes de la plataforma tecnológica. c. Las contraseñas de las cuentas de usuarios súper-usuarios creados por defecto en la instalación de cada componente de la plataforma tecnológica, no deben ser conocidas por el personal que realiza actividades de administración y soporte. d. La asignación de las claves de usuarios súper-usuario debe ser responsabilidad del Área de y una copia de esta será combinada, con responsabilidad de 2 personas designadas por el Grupo de Organización, Métodos y Desarrollo. e. Las contraseñas de los usuarios súper-usuario creados por defecto en la instalación de cada componente de la plataforma tecnológica deben ser definidas por el Área de Sistemas & T.I., almacenadas en adecuadas condiciones de seguridad y serán utilizadas únicamente en situaciones consideradas de emergencia y/o contingencia. Se debe entregar copia de esta en medio escrito y sobre sellado a la Secretaría General. 2.Usuarios Administradores a. Aplica a todos aquellos usuarios cuyo cargo está relacionado con la administración funcional y/o tecnológica de sistemas de información. b. Debe existir una cuenta de usuario que será utilizada exclusivamente para monitoreo por parte del Ingeniero de Soporte o quien ejerza sus funciones. c. Las actividades realizadas por los usuarios administradores deben reflejarse en un registro, que debe ser monitoreado periódicamente por el Área de Página 7 de 53

8 3.Usuarios avanzados a. Aplica a los usuarios que por sus funciones requieran acceso de usuario privilegiado a los sistemas, servicios y aplicaciones asignados, líderes de área y usuarios de perfil medio. b. Ningún usuario avanzado debe modificar información directamente de las Bases de datos, sin previa autorización del Área de 4.Usuarios finales a. Aplica a los usuarios finales que por sus funciones requieran acceso de usuario para los sistemas, servicios y aplicaciones asignados por la organización 5.Recomendaciones a. Se deben asignar usuarios unificados para todos y cada uno de los sistemas, servicios y aplicaciones, garantizando la estandarización por cada usuario; es decir que cada usuario deben tener el mismo nombre de usuario para todos los sistemas y aplicaciones de la organización. b. La estandarización de los nombres de usuario estará compuesto de la siguiente forma: (Primer letra del primer nombre + primer apellido, En caso de existir duplicidad, Primer letra del primer nombre + Primer letra del segundo nombre + primer apellido) c. Ningún usuario debe ser eliminado de ningún sistema, servicio o aplicación, debe aplicarse la inactivación del usuario. d. Las cuentas de usuario deben ser de uso personal e intransferible. e. Debe existir un procedimiento para el almacenamiento, protección y administración de las contraseñas de los todos los usuarios. Página 8 de 53

9 CAPITULO INFORMACION PSI SEGURIDAD DE LA INFORMACION GESTION DE LA INFORMACION 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Garantizar el adecuado uso, protección, confidencialidad, integridad y disponibilidad de la Información de la organización. ALCANCE Esta norma aplica para todos los usuarios de componentes de la plataforma tecnológica del. RESPONSABLES 1. Ubicación Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / a. Debe existir dentro de la configuración de todos los equipos informáticos, una unidad de disco virtual o partición, destinada para el almacenamiento de la información de usuario. b. Se debe crear una estructura tipo árbol, estandarizada, para al almacenamiento y gestión de la información de usuario, la cual será parametrizada para optimizar la generación automática de Copias de Seguridad. La estructura debe estar acorde a lo definido en los protocolos de configuración de equipos establecidos por el Área de c. El usuario no debe almacenar información directamente en los escritorios del sistema operativo, por ser una ubicación alojada en la partición base del disco duro, esto puede ocasionar que se pierda cuando sea necesario la reinstalación de software en caso de reparación o recuperación del sistema o por el contrario sea susceptible a accesos y modificaciones no autorizados, por lo tanto se recomienda que sean creados accesos rápidos en el escritorio a los archivos de permanente consulta. 2. Clasificación a. La información se debe clasificar de acuerdo con su criticidad y origen, que permitan el uso y acceso de forma fácil y oportuna. La información personal del usuario, no es considerada crítica, su almacenamiento será designado claramente en un directorio especial y estará sujeto a auditabilidad. b. Todos los empleados y contratistas que conforman las diferentes áreas debe clasificar la información que tengan bajo su custodia. c. Todo archivo debe ser almacenado en la estructura y ubicación destinada para tal fin, bajo algún mecanismo de nemotecnia o identificación, que permita su fácil acceso. d. La información pública debe tener una estructura definida por los responsables de la misma, y divulgada oportunamente a los interesados. e. Toda la información utilizada por los usuarios de la organización, es de la organización y por Página 9 de 53

10 lo tanto el uso inadecuado de la misma es responsabilidad el usuario. 3. Administración de archivos a. Todo usuario que utilice los recursos informáticos, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad, y auditabilidad de la información que maneje, especialmente si dicha información ha sido clasificada como crítica. b. Los archivos creados por los usuarios deben ser confidenciales, de manera que no sean compartidos por todos los usuarios de la Organización sin previa autorización. c. Se debe mantener y compartir únicamente la información que el usuario elija, previa confirmación con el Área de La integridad de toda información compartida entre usuarios, es responsabilidad de los mismos. d. Los archivos administrativos que se utilizan en procesos institucionales o equipos de cómputo requieren y que requiere una clave o contraseña especial, esta debe ser notificada y solicitada a Área de e. Toda la información de las debe contar con copias de respaldo para garantizar su disponibilidad, seguridad y recuperación. f. El acceso no autorizado a los sistemas de información y uso indebido de los recursos informáticos de la Organización está prohibido. Se considera que hay uso indebido de la información y de los recursos, cuando la persona incurre en cualquiera de las siguientes conductas: i. Suministrar o hacer pública la información sin la debida autorización, ó usar la información con el fin de obtener beneficio propio o de terceros. ii. Hurtar software del (copia o reproducción entre usuarios). iii. iv. Copiar un producto informático del. Intentar modificar, reubicar o sustraer equipos de cómputo, software, información o periféricos sin la debida autorización. v. Transgredir o burlar los mecanismos de autenticación u otros sistemas de seguridad. vi. vii. viii. ix. Utilizar la infraestructura del (computadores, software, información o redes) para acceder a recursos externos con propósitos ilegales o no autorizados. Descargar o publicar material ilegal, con derechos de propiedad o material nocivo usando un recurso del. Uso personal de cualquier recurso informático del para acceder, descargar, imprimir, almacenar, redirigir, transmitir o distribuir material pornográfico. Violar cualquier Ley o Regulación nacional respecto al uso de sistemas de información. 4. Confidencialidad de archivos a. La información de la Organización no podrá ser extraída de las instalaciones, sin previo conocimiento y autorización por parte de la Secretaría General. b. Antes de entregar información a terceros se debe hacer una evaluación de la información con el fin de determinar si la información solicitada se debe entregar o no. c. En los contratos con terceros se debe incluir una cláusula de confidencialidad, la cual prohíba la divulgación personal o a medios de información del. d. Todo usuario mantendrá total confidencialidad sobre la información a que tenga acceso y no la utilizará con propósitos distintos a los determinados en razón de su cargo. Si se requiere copiar información sensible, se debe contar con una autorización, del personal designado por la Dirección. 5. Confidencialidad de datos de empleados y contratistas a. Toda la información personal de los empleados y contratistas tal como nombres, direcciones, teléfono, datos familiares, y demás existentes, debe ser de uso restringido, Página 10 de 53

11 respetando la privacidad de la persona, si dicha información se requiere por la Organización, debe solicitarse el permiso de divulgación y entrega de dicha información al empleado y contratista de la información. b. Si la Organización cuenta con una aplicación o software de hojas de vida, la información allí almacenada debe ser de uso restringido, únicamente podrá ser divulgada con la autorización del empleado. c. La información de las deudas y estado de pago de las mismas de los empleados y contratistas es confidencial, dicha información, tan solo podrá ser consultada y divulgada con el permiso de los empleados y contratistas. 6. Confidencialidad de datos de terceros a. Todo vínculo con terceros, debe contemplar en su contratación, un Acuerdo de Confidencialidad, que garantice la confidencialidad, integridad y disponibilidad de la información a que tenga lugar por la naturaleza del contrato. b. La información de terceras partes no podrá ser divulgada o entregada a menos que el tercero lo autorice, debe ser tratada bajo los mismos lineamientos establecidos para el tratamiento de la información confidencial de. 7. Disposición final a. El Área Administrativa, a través de la Recepción, debe garantizar que de toda la documentación que salga o ingrese a la organización a través de ella, es controlada, registrada y tramitada adecuadamente. b. Para la disposición final de archivos en medio físico impreso, se debe contar con mecanismos de destrucción de papel de tal forma que la información confidencial no pueda ser leída por personal no autorizado. c. Debe existir un proceso y procedimientos que garanticen la disposición final de los documentos impresos, y su reutilización, dada la importancia y el riesgo de gestionar información sensible. d. Se debe contemplar la adopción de buenas prácticas en gestión documental y archivística, que garanticen la mejor disposición de la información física y digital. Página 11 de 53

12 CAPITULO INFORMACION PSI SEGURIDAD DE LA INFORMACION GESTION DE SEGURIDAD DE LA INFORMACION 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Establecer la función de administración de Seguridad Informática del. ALCANCE Esta norma aplica a la Dirección, SRI,, Outsourcing Informático y Usuarios. RESPONSABLES 1. Planificación Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / a. La organización debe adoptar en lo posible, las buenas prácticas en seguridad de la Información, mediante la generación de políticas y procesos estructurados de planificación y capacidad en Tecnologías de Información y Comunicaciones, desarrollo seguro y pruebas de seguridad, contenidos en los estándares, guías y marcos de trabajo, tales como ISO 27001, 27002, 27005, 25999, 20000, ITIL, CoBIT, entre otros. 2. Grupo de Organización, métodos y Desarrollos. a. El Grupo de Organización, Métodos y Desarrollo tendrá a su cargo, la revisión, validación y aprobación de las Políticas de Seguridad de la Información que sean planteadas por el Área de, y las que considere adicionales. Para el efecto de revisión de Políticas de Seguridad de la información, debe convocar como invitado a un representante del Área de 3. Administración de la Seguridad de la Información a. El Área será responsable de la administración de la seguridad informática, y debe velar por el cumplimiento de las políticas, normas y procedimientos relacionados con Seguridad Informática, así como de planear y coordinar todos los proyectos relacionados con la implantación de controles para optimizar y mejorar continuamente la seguridad de la información de la Organización. b. El Grupo de Organización, Métodos y Desarrollo, debe avalar las tareas de administración de Seguridad Informática de los activos tecnológicos, dentro de las cuales se deben comprender como mínimo: definición de accesos, administración de cuentas, definición de perfiles de usuarios y administradores y atención de incidentes de seguridad informática. Página 12 de 53

13 4. Procedimientos de operación a. El Área de Sistemas & TI, debe mantener documentados todos los roles y responsabilidades, procesos, procedimientos, normas y directrices de seguridad de la información, alineadas con las premisas contempladas en las Políticas de Seguridad de la Información, de la organización. 5. Evaluación y tratamiento de riesgos a. La organización debe garantizar la evaluación periódica de los riesgos inherentes a la gestión y seguridad de la información, para lo cual se apoyará en entes consultores y/o auditores externos, fundamentados en metodologías y métodos documentados, estructurados y generalmente aceptados, que avalen la adecuada gestión de la Información. b. El Grupo de Organización, Métodos y Desarrollo debe evaluar los riesgos identificados y la tolerancia al riesgo, para determinar su tratamiento y documentación en un Plan de Tratamiento de Riesgos - PTR. 6. Responsabilidad de la Dirección a. La dirección debe revisar, evaluar y aprobar las políticas de seguridad de la información propuestas por el Área de, previo aval y revisión por parte del Grupo de Organización, Métodos y Desarrollo. 7. Responsabilidad de Tecnología a. El Área de es responsable por la asignación y administración de activos informáticos requeridos por los usuarios para el cumplimiento de sus labores. b. El Área de es responsable por la custodia de la información en servidores, redes, medios de almacenamiento y medios digitales. 8. Responsabilidad de propietarios, custodios y usuarios de la información: a. El usuario es responsable por la creación, administración y tratamiento de la información a su cargo. b. Es responsabilidad de los usuarios de activos tecnológicos de : i. Administrar la información a su cargo, y mantener en forma organizada la información existente en el computador personal a su cargo. ii. Hacer uso adecuado de la información de propiedad de y garantizar la integridad, veracidad, disponibilidad y confidencialidad de la información asignada para el cumplimiento de sus funciones, y velar por el adecuado almacenamiento de la información. iii. iv. Utilizar correctamente las contraseñas, y mantener la confidencialidad de las mismas. Reportar al Área de Sistemas & TI, cualquier incidente de seguridad que se presente en su equipo, o que sea percibido en la información usada en las labores diarias. v. Hacer uso racional de los recursos informáticos provistos por el. vi. Conocer y cumplir cabalmente las políticas, normas, procedimientos y estándares definidos por el Página 13 de 53

14 CAPITULO INFORMACION PSI SEGURIDAD DE LA INFORMACION GESTION DE LOS ACTIVOS 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Garantizar un adecuado uso de la Infraestructura (Software y Hardware) de cómputo del por sus empleados y contratistas. ALCANCE Esta norma aplica para todos los usuarios de componentes de la plataforma tecnológica del. RESPONSABLES Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / 1. Responsabilidad Administrativa a. La Secretaría General, el Área Administrativa y el Área de deben garantizar la elaboración y actualización de un inventario de activos de información al mayor detalle posible, que garantice un fácil nivel de acceso, recuperación, trazabilidad, auditabilidad y responsabilidad de sus activos de información. b. Se deben destinar las herramientas necesarias que permitan la oportuna gestión de inventarios de los activos de información, empleando como mínimo identificación plaquetas o etiquetas de identificación externa, contemplando tecnologías de captura de códigos de barras que faciliten la gestión de inventarios y el control de entradas y salidas de activos de las instalaciones de la organización. 2. Responsabilidad del usuario a. Cada usuario es responsable del cuidado y uso adecuado de los recursos informáticos que se le asignen para el desarrollo normal de sus funciones. b. Los recursos informáticos asignados a cada usuario, son para uso limitado para el desarrollo de sus funciones, por lo tanto no está permitido el uso de cualquiera de los recursos con propósitos de ocio o lucro. c. Los usuarios de los activos de información no podrán usar los elementos de cómputo asignados para realizar actividades personales distintas a las contratadas. d. Los usuarios de activos de información son responsables ante la Dirección de la protección de la información y los recursos asignados, por lo cual deben ser responsables de notificar al Área de, la definición de controles de acceso y otros controles de seguridad, con el fin de garantizar su responsabilidad por incumplimientos, no conformidades y otros incidentes que se presenten en la organización. e. La instalación de software no autorizado es responsabilidad del usuario, y cualquier daño Página 14 de 53

15 en la configuración del equipo que se produzca por el incumplimiento de esta política debe ser asumido por el responsable del activo. f. El uso de activos de información o recursos corporativos para actividades personales será considerado como un incumplimiento a esta política. 3. Gestión de activos a. Todo cambio a la configuración de los computadores puede efectuarse únicamente por personal de soporte, y supervisión del Área de Sistemas & TI. b. Todos los activos de información (computadores, periféricos) deben estar protegidos por reguladores de voltajes y sus instalaciones eléctricas deben haber sido realizadas técnicamente controlando las fases correspondientes. c. Todos los equipos de cómputo y comunicaciones deben estar protegidos y soportados por equipos ininterrumpidos de poder UPS y sus instalaciones eléctricas deben haber sido realizadas técnicamente controlando las fases correspondientes. Cuando se concentren varios equipos en un área se debe hacer un estudio del consumo por equipo para determinar que el circuito no presente sobrecarga. d. Todo el sistema eléctrico de cableado estructurado, debe estar independiente al sistema de energía de iluminación, y su gestión debe estar centralizada, acogiendo las normas eléctricas correspondientes para tal fin. e. La gestión de las copias de seguridad, será responsabilidad del Área de Sistemas & TI, quien debe implementar los procesos y procedimientos necesarios, que garanticen el adecuado tratamiento de los medios físicos internos y externos, y los medios digitales locales. f. El único ente en la organización con la potestad para tener acceso a la información y activos utilizados por los usuarios sin previa autorización, será el Grupo de Organización, Métodos y Desarrollo, previo acompañamiento y asesoría por parte del Área de g. La responsabilidad de la gestión de la seguridad de la información, la aplicación de reglas de controles de acceso definidas por el Grupo de Organización, Métodos y Desarrollo, o por los propietarios de las los activos de información, estará a cargo del Área de Sistemas & TI. 4. Restricciones a. No está permitida la descarga, instalación, almacenamiento y/o transferencia de juegos, archivos de audio, archivos de video, software y/o programas desde o hacia Internet, que atenten contra las leyes de derechos de autor, salvo los requeridos para el funcionamiento y mantenimiento de la plataforma tecnológica, gestionados por el Área de b. Los activos de información no deben moverse o reubicarse sin la aprobación previa del Jefe de Área involucrado. El traslado debe realizarlo únicamente el personal de soporte, con el aval del Área de c. No está permitido el uso de hardware y/o software personales en las instalaciones de la Organización, sin previa autorización del Área Administrativa y notificación al Área de d. No está permitido a los usuarios y/o visitantes: comer, fumar o beber en los puestos de trabajo, centros de cómputo o instalaciones con equipos tecnológicos, sin excepciones; al hacerlo estarían exponiendo los equipos a daños eléctricos y a riesgos de contaminación sobre los dispositivos de almacenamiento. e. Ningún ente interno o externo del estará autorizado para generar copias de la información de la organización, sin previo aval por parte del Grupo de Organización, Métodos y Desarrollo. Página 15 de 53

16 CAPITULO RECURSOS PSI HARDWARE GESTION DE SERVIDORES 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO ALCANCE Establecer estándares para la configuración y mantenimiento de los Servidores de tal forma que se preserve la seguridad de los mismos, del software y datos en ellos instalado. Las políticas se aplican para el personal responsable de los Servidores. RESPONSABLES 1. Configuración Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Outsourcing Informático Outsourcing Informático / a. El Área de debe implementar los protocolos y/o guías de configuración de todos los servidores de la organización, deben ser establecidas y actualizadas por cada tipo de Servidor. b. Se debe tener toda la información de configuración por cada servidor, que garantice como mínimo: función principal, configuración de Hardware, configuración de Software, inventario de aplicaciones, servicios y servidores, ubicación de las copias de respaldo. c. Debe existir y diagrama de configuración de plataforma y servidores. d. La configuración de los servidores se debe hacer de acuerdo a los protocolos y/ guías establecidas por el Área de 2. Control de Accesos a. Para la parametrización de los accesos privilegiados al servidor, la clave máster de administrador será gestionada únicamente por el responsable del Área de, y debe existir una copia de respaldo compartida de la misma en poder de 2 usuarios designados por la dirección. b. Para la gestión de los servidores por parte del Outsourcing Informático, se debe crear y asignar una clave con privilegios de administración, que será responsabilidad del personal asignado para tal fin. c. La gestión de servidores se debe realizar únicamente bajo la utilización de canales seguros. d. El acceso físico a servidores debe ser gestionado, programado y autorizado por el Área de 3. Gestión a. La gestión, operación, instalación, desinstalación y mantenimiento de servidores es responsabilidad del Outsourcing Informático, y la supervisión y control son responsabilidad Página 16 de 53

17 del Área de. b. El Outsourcing Informático debe asignar personal altamente calificado en la gestión de servidores y notificar todas las novedades inherentes a la gestión del mismo. c. La operación de servidores desde áreas de trabajo diferentes a las designadas para soporte técnico, debe ser autorizada por el Área de. d. Los cambios en la configuración de los servidores debe hacerse siguiendo los procedimientos establecidos para dicha operación. 4. Monitoreo a. Para todos los eventos críticos de seguridad y los sistemas sensibles es necesario mantener Log s y se deben gestionar acorde a lo establecido en los protocolos establecidos por el Área de b. Todos los servidores deben tener activos los servicios de auditoría de eventos que garanticen la auditabilidad de las transacciones realizadas en ellos. c. Todos los eventos relacionados con la seguridad, rendimiento, fallas y vulnerabilidades se deben reportar al Área de, estos eventos se contemplan en los protocolos establecidos. d. Debe existir un protocolo de acceso remoto, que garantice el adecuado uso de las herramientas existentes para tal fin. 5. Accesos Remotos a. Toda herramienta de acceso remoto a servidores y equipos de cómputo, debe ser autorizada por el Área de e instalada por el ingeniero de Soporte designado. b. El acceso remoto a los equipos de cómputo será autorizado por el Área de, previa solicitud por parte del responsable de cada Área, garantizando la confidencialidad de la información de cada usuario. c. Los soportes remotos se realizaran únicamente en caso de no tener acceso directo al equipo que requiera el soporte, por eventos de localización física externa o distante de la organización. d. Los accesos desde Internet/Intranet para utilizar sistemas de información de la Organización en forma remota y en tiempo real deben ser autorizados por el Área de e. Todo acceso remoto debe ser establecido sobre Redes Privadas Virtuales - VPN con encriptación, previa configuración y aprobación por parte del Área de f. Los accesos remotos para soportes en redes por terceros, proveedores de Servicios, deben ser asignados, aprobados y documentados por el Área de g. La asignación de claves a terceros, proveedores de servicio, para la comunicación remota con la red central, debe estar supervisada permanentemente y será de asignación temporal. 6. Mantenimiento a. Se debe hacer el mantenimiento periódico del servidor, utilizando el protocolo y/o procedimiento diseñado por el Área de, y será documentado acorde a los procedimientos establecidos. b. Los procedimientos de Instalación y mantenimiento de los servidores deben ser actualizados con cada cambio de versionamiento de los sistemas y aplicaciones por cada servidor. c. Los parches más recientes de seguridad se deben probar, aprobar e instalar tanto al sistema operativo del servidor como a las aplicaciones activas, a menos que esta actividad interfiera con la producción. d. Los servicios, servidores y aplicaciones que no se utilicen, deben ser deshabilitadas y/ desinstaladas. Página 17 de 53

18 e. Debe mantenerse un inventario actualizado de software y hardware de cada uno de los servidores del. f. El Área de debe generar los procedimientos y protocolos necesarios que garanticen la adecuada generación, custodia y disposición de las copias de seguridad para los servidores de la organización, acordes con la política de Copias de Respaldo. Página 18 de 53

19 CAPITULO RECURSOS PSI HARDWARE GESTION DE EQUIPOS DE COMPUTO 1.0 CONTROL DE CAMBIOS Fecha de Fecha de Fecha de Naturaleza de Realizado por: elaboración autorización revisión cambio 20/09/ /09/ /09/2011 Wilmer Rosiasco Reestructuración 1.0 OBJETIVO Establecer estándares para la configuración y mantenimiento de los Equipos de Cómputo y periféricos de tal forma que se preserve la seguridad de los mismos, del software y datos en ellos instalados. ALCANCE Las políticas se aplican para el personal responsable de los equipos de computo y periféricos y a todos los usuarios de la organización que tengan asignados recursos informáticos. RESPONSABLES 1. Configuración Ejecución / Cumplimiento: Gestión / Administración: Control / Seguimiento: Todos los usuarios Outsourcing Informático / a. El Área de debe implementar los protocolos y/o guías de configuración de todos los equipos de cómputo y periféricos de la organización, deben ser establecidas y actualizadas por cada tipo de dispositivo. b. Se debe tener toda la información de configuración por cada equipo de cómputo y periférico, que garantice como mínimo: función principal, configuración de Hardware, configuración de Software, inventario de aplicaciones, servicios, responsables. c. La configuración de los equipos de cómputo y periféricos se debe hacer de acuerdo a los protocolos y/ guías establecidas por el Área de. d. Los equipos de cómputo y periféricos deben ser configurados de tal forma que los usuarios no puedan alterar la configuración ni instalar software. 2. Control de Accesos a. Para la parametrizacion de los accesos a los equipos y periféricos, la clave máster local de administrador será gestionada únicamente por el responsable del Área de Sistemas & T.I., y debe ser estándar unificado para todos los equipos de la organización. b. Para la gestión de los equipos de cómputo y periféricos por parte del Outsourcing Informático, se debe crear y asignar una clave con privilegios de administración, que será responsabilidad del personal asignado por el proveedor del Outsourcing. c. La correcta utilización de la cuenta de usuario para administración y su contraseña a nivel de computadores personales esta bajo la responsabilidad del Ingeniero de Soporte designado por el Outsourcing Informático. Página 19 de 53

20 3. Gestión a. La gestión, operación, instalación, desinstalación y mantenimiento de los equipos de cómputo y periféricos es responsabilidad del Outsourcing Informático, y la supervisión y control son responsabilidad del Área de b. El Outsourcing Informático debe asignar personal calificado en la gestión de equipos y periféricos y notificar todas las novedades inherentes a la gestión del mismo. c. Toda actividad que implique reasignación y traslado de equipos de cómputo y periféricos entre diferentes áreas de trabajo deben ser realizadas únicamente por el personal de soporte y autorizadas por Área de d. Los cambios en los equipos de cómputo y periféricos debe hacerse siguiendo los procedimientos establecidos para dicha operación. 4. Monitoreo a. Para todos los eventos críticos de seguridad y los sistemas sensibles es necesario mantener Log s y se deben gestionar acorde a lo establecido en los protocolos establecidos por el Área de b. Todos los eventos relacionados con la seguridad, rendimiento, fallas y vulnerabilidades se deben reportar al Área de, estos eventos se contemplan en los protocolos establecidos. c. Se deben garantizar los mecanismos necesarios que mitiguen el riesgo de extracción no autorizada de la organización, de equipos de cómputo y periféricos. 5. Mantenimiento a. Se debe hacer el mantenimiento periódico de los equipos de cómputo y periféricos, utilizando el protocolo y/o procedimiento diseñado por el Área de, y será documentado acorde a los procedimientos establecidos. b. Los procedimientos de Instalación y mantenimiento de los equipos de cómputo y periféricos deben ser actualizados con cada cambio de versionamiento de los sistemas y aplicaciones por cada equipos de cómputo o periférico. c. Los parches más recientes de seguridad se deben probar, aprobar e instalar tanto al sistema operativo de equipos de cómputo y periféricos como a las aplicaciones activas, a menos que esta actividad interfiera con la producción. d. Los servicios y aplicaciones que no se utilicen, deben ser deshabilitadas y/ desinstaladas. e. Debe mantenerse un inventario actualizado de software y hardware de cada uno de los equipos de cómputo y periféricos de la Organización. f. El Ingeniero de Soporte designado por el Outsourcing Informático tiene la potestad para remover y notificar, cualquier software que no esté autorizado por el Área de g. El Área de debe generar los procedimientos y protocolos necesarios que garanticen la adecuada generación, custodia y disposición de las copias de seguridad para los Equipos de Cómputo y dispositivos de almacenamiento portátiles de la organización, acordes con la política de Copias de Seguridad. 6. Restricciones a. Todos los usuarios de los equipos de cómputo y periféricos deben tener en cuenta los siguientes aspectos: i. No ingerir bebidas y/o alimentos cerca de los equipos de cómputo y periféricos ii. No fumar dentro de las instalaciones y/o cerca a los equipos de cómputo y periféricos. iii. No insertar objetos extraños en las ranuras de los equipos de cómputo y periféricos. Página 20 de 53

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDÍA DE SAN LUIS DE PALENQUE 2014 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración general

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Corte Suprema de Justicia Secretaría General

Corte Suprema de Justicia Secretaría General CIRCULAR Nº 120-10 Asunto: Reglamento para la administración y Uso de los Recursos Tecnológicos del Poder Judicial.- A LOS SERVIDORES Y SERVIDORAS JUDICIALES DEL PAÍS SE LES HACE SABER QUE: La Corte Plena

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES

POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES POLITICAS Y LINEAMIENTOS SOBRE EL USO DEL SOFTWARE Y EQUIPOS DE CÓMPUTO EN LA UNIVERSIDAD CATÓLICA DE MANIZALES Objetivo: Propender por el correcto uso de los recursos informáticos de la UCM, mediante

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO ALCANCE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN DE LA CORPORACIÓN AUTÓNOMA REGIONAL DEL GUAVIO Las presentes políticas de seguridad aplican o están destinadas a todos los servidores públicos, contratistas

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Lineamientos en Materia de Tecnologías de Información y Comunicaciones

Lineamientos en Materia de Tecnologías de Información y Comunicaciones Con fundamento en los artículos 3 y 6, fracción VII, del Reglamento del Poder Legislativo del Estado de Guanajuato para el Uso de Medios Electrónicos y Firma Electrónica, la Secretaría General emite los

Más detalles

REGLAMENTO DE USO DE EQUIPOS Y SISTEMAS INFORMÁTICOS.

REGLAMENTO DE USO DE EQUIPOS Y SISTEMAS INFORMÁTICOS. REGLAMENTO DE USO DE EQUIPOS Y SISTEMAS INFORMÁTICOS. Capitulo I. PROPÓSITO Definir políticas sobre el uso apropiado de los recursos informáticos disponibles. Capitulo ALCANCES Este reglamento se aplicará

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION ALCALDÍA MAYOR DE BOGOTÁ D.C. Secretaría Distrital INTEGRACIÓN SOCIAL SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION LINEAMIENTOS DE SEGURIDAD INFORMATICA SDIS Bogotá,

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL

inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL inloruj Instituto de Acceso a la Información Publica del Distrito Fodoral INSTITUTO DE ACCESO A LA INFORMACiÓN PÚBLICA DEL DISTRITO FEDERAL POLíTICAS PARA EL USO DE EQUIPO DE CÓMPUTO Y COMUNICACIONES DEL

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE CAPITULO PRIMERO

REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE CAPITULO PRIMERO REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE DISPOSICIONES GENERALES CAPITULO PRIMERO Artículo 1.1. El presente reglamento se aplicará a los usuarios de la red institucional

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6

HOSPITAL NAZARETH I NIVEL EMPRESA SOCIAL DEL ESTADO NIT: 800.217.641-6 POLÍTICAS DE USO DE HARDWARE Y SOFTWARE OBJETO Establecer las características del Hardware y Software Estándar a utilizar en la red, computadores personales (Desktop), portátiles (Laptops) y servidores.

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1

MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS -MSGUSIEX- Versión 1.1 MANUAL DE BUEN USO DE LOS SISTEMAS DE INFORMACIÓN PARA EMPRESAS PROVEEDORAS ÍNDICE 1. ENTORNO 3 2. OBJETIVO

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

Correo electrónico administrativo

Correo electrónico administrativo Correo electrónico administrativo Descripción: La Universidad Icesi ofrece el servicio de correo electrónico institucional, bajo la plataforma de Microsoft Exchange en conjunto con el sistema antispam

Más detalles

Políticas para Asistencia Remota a Usuarios

Políticas para Asistencia Remota a Usuarios Políticas para Asistencia Remota a I. OBJETIVO La presente política tiene como objetivo establecer las pautas, condiciones, responsabilidades y niveles de seguridad correspondientes en el uso de la herramienta

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN.

POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN. POLÍTICAS DE SEGURIDAD DE ACTIVOS DE INFORMACIÓN. Objetivo de Control: Proveer dirección y soporte a la administración para la seguridad de información. 1.1 Protección y respaldo de la información 1.1.1

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: 19/10/2015 Audedatos Josema Gil Nº edición: 01 Nº revisión: 01 Página 2 de 14 Fecha Edición Revisión Cambios Realizados

Más detalles

REGLAMENTO DE USO DE EQUIPOS DE CÓMPUTO, SISTEMAS INFORMÁTICOS, TELEFONÍA Y RED INFORMÁTICA DEL HRVFCH - 2013

REGLAMENTO DE USO DE EQUIPOS DE CÓMPUTO, SISTEMAS INFORMÁTICOS, TELEFONÍA Y RED INFORMÁTICA DEL HRVFCH - 2013 REGLAMENTO DE USO DE EQUIPOS DE CÓMPUTO, SISTEMAS INFORMÁTICOS, TELEFONÍA Y RED INFORMÁTICA DEL HRVFCH - 2013 Chachapoyas, Octubre 2013 1. PROPOSITO Definir políticas sobre el uso apropiado de los recursos

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

INVITACIÓN A COTIZAR VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS INVITACIÓN A COTIZAR CONTENIDO 1. ALCANCE 3 2. CONDICIONES TÉCNICAS 3

INVITACIÓN A COTIZAR VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS INVITACIÓN A COTIZAR CONTENIDO 1. ALCANCE 3 2. CONDICIONES TÉCNICAS 3 VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS INVITACIÓN A COTIZAR CONTENIDO 1. ALCANCE 3 2. CONDICIONES TÉCNICAS 3 2.1 Modelo de servicio 4 2.2 Talento humano 5 2.3 Horario 5 2.4 Operación diaria

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

Coordinación de Tecnologías de la Información Normatividad de Informática

Coordinación de Tecnologías de la Información Normatividad de Informática Reglamento para el uso de computadoras personales (PC s), periféricos, software institucional y servicios informáticos en red de la Universidad Politecnica de Chiapas. OBJETIVO Normar el uso y cuidado

Más detalles

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS

POLITICAS Y NORMAS PARA EL USO DEL CORREO ELECTRONICO INSTITUCIONAL (LOTUS NOTES) E INTERNET DE LA COMISION NACIONAL DE SEGUROS Y FIANZAS POLITICAS Y NORMAS PARA EL USO DEL 1 INDICE I. Descripción del Servicio 3 II Propósito de las políticas de acceso y uso de Internet 4 III Disposiciones Generales 4 De la Dirección General de Informática

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

DOCUMENTO DE SEGURIDAD INFORMÁTICA. AÑO 2015

DOCUMENTO DE SEGURIDAD INFORMÁTICA. AÑO 2015 DOCUMENTO DE SEGURIDAD INFORMÁTICA 2015. Esta Política de Seguridad para sistemas informáticos está diseñada para proteger el CA UNED-Les Illes Balears, nuestros empleados, colaboradores y clientes de

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Ayuntamiento de San Roque Centro de Proceso de Datos CPD

Ayuntamiento de San Roque Centro de Proceso de Datos CPD MANUAL DE COMPORTAMIENTO PARA EL PERSONAL DEL AYUNTAMIENTO DE SAN ROQUE EN EL USO DE LOS EQUIPOS INFORMÁTICOS Y REDES DE COMUNICACIÓN 1. Introducción. 1.1. El presente documento está basado en el Manual

Más detalles

UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA

UNIVERSIDAD ESTATAL PENINSULA DE SANTA ELENA EL HONORABLE CONSEJO SUPERIOR UNIVERSITARIO CONSIDERANDO: Que, de acuerdo al Art. 160 de la Ley Orgánica de Educación Superior corresponde a las universidades y escuelas politécnicas producir propuestas

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-13 ÁREA: Dirección de Planeación

Más detalles

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA

POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA POLÍTICA DE INFRAESTRUCTURA INFORMÁTICA FACULTAD DE MEDICINA / UNIVERSIDAD DE CHILE INTRODUCCIÓN 2 1. Política de Seguridad. 4 Definición Dominios de la seguridad Roles y Responsabilidades Implementación

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

II) DE LOS USUARIOS 4. DERECHOS El usuario o cliente tendrá derecho a usar el servicio de personalización del Portal Corporativo de Antel, antel en

II) DE LOS USUARIOS 4. DERECHOS El usuario o cliente tendrá derecho a usar el servicio de personalización del Portal Corporativo de Antel, antel en Condiciones del Servicio INTRODUCCIÓN El registro como usuario de antel en línea y los servicios asociados al mismo implica dos pasos: primero, la atenta lectura de la presente Introducción y del Reglamento

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

4.22 ITIL, Information Technology Infrastructure Library v3.

4.22 ITIL, Information Technology Infrastructure Library v3. 4.22 ITIL, Information Technology Infrastructure Library v3. Introducción. Es un conjunto de conceptos y prácticas en la gestión de servicios de tecnologías de la información, para lograr calidad y eficiencia

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA

UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA POLÍTICA DE SEGURIDAD INFORMÁTICA Página: 1 DE 15 Código: DR-SI-01 Rev. 01 F. EMISIÓN: 04 DE JULIO DEL 2014 F. REV.: 04/07/2014 PUESTO ELABORÓ : JEFE DEL DEPARTAMENTO

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA DOCUMENTO DE SEGURIDAD Módulo 2/ Unidad 3 ÍNDICE DE CONTENIDOS 1.- INTRODUCCIÓN... 3 2.- OBJETIVOS... 3 3.- JUSTIFICACIÓN... 5 4.- CONTENIDO... 6 5.- FORMA DEL

Más detalles

CONTENIDO. Propósito... 1. Introducción... 1. Objetivo... 1. Alcance... 2. Justificación... 2. Sanciones por incumplimiento... 2. Beneficios...

CONTENIDO. Propósito... 1. Introducción... 1. Objetivo... 1. Alcance... 2. Justificación... 2. Sanciones por incumplimiento... 2. Beneficios... CONTENIDO Propósito... 1 Introducción... 1 Objetivo... 1 Alcance... 2 Justificación... 2 Sanciones por incumplimiento... 2 Beneficios... 2 1.-POLÍTICAS Y ESTÁNDARES DE SEGURIDAD DEL PERSONAL Política...

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM

Vicerrectorado de Servicios Informáticos y de Comunicación Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM Política de uso de los Recursos Informáticos y de la Red de Datos de la UPM 1. Objetivo del documento Establecer las normas de uso correcto de los Recursos Informáticos y de la Red de Datos en la UPM.

Más detalles

Política de Tecnologías de Información y Comunicación TIC

Política de Tecnologías de Información y Comunicación TIC Fecha de aprobación: 18/07/13 Versión: 1 Aprobado por: Comité Directivo de Asuntos Corporativos Tipo de documento: Políticas con sus respectivos estándares Política de Tecnologías de Información y Comunicación

Más detalles

Política de Seguridad de la Información Sectorial

Política de Seguridad de la Información Sectorial Política de Seguridad de la Información Sectorial Contenido... 1. OBJETIVO... 2. ALCANCE... 3. RESPONSABILIDADES... 4. CONTENIDO... 5. POLÍTICAS Y PRÁCTICAS INSTITUCIONALES DE SEGURIDAD DE INFORMACION

Más detalles

Soho Chile Julio 2013

Soho Chile Julio 2013 Diagnóstico de Seguridad de la Información ISO/IEC 27001:2005 Soho Chile Julio 2013 Tabla de Contenidos Resumen Ejecutivo... 2 Recomendaciones Generales... 4 1. Introducción... 6 2. Objetivos... 6 3. Alcances...

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL INCODER

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL INCODER Libertad y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL INCODER Orden Contenido 1 INTRODUCCIÓN... 4 1.1 Objetivo... 4 1.2 Términos y definiciones... 4 1.3 Alcance... 5 1.4 Estructura de la política... 5

Más detalles

SEGURIDAD TIC Código: GAST0502 MANUAL Versión No: 00 09/04/2015 VISE LTDA Página : 1 de 12

SEGURIDAD TIC Código: GAST0502 MANUAL Versión No: 00 09/04/2015 VISE LTDA Página : 1 de 12 VISE LTDA Página : 1 de 12 1. OBJETIVO Establecer las normativas y políticas para el uso, control y administración de las Tecnología de Información y Comunicaciones que deben conocer y cumplir todos los

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.

ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu. ESTRATEGIAS PARA LA IMPLEMENTACION DE ISO 20000 E ISO 27001 EN UNA UNIVERSIDAD PÚBLICA COLOMBIANA. Diana Rocio Plata Arango Diana.plata@uptc.edu.co Por qué es Importante?? La Gestión de Servicios de Tecnología

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACION

POLITICA DE SEGURIDAD DE LA INFORMACION Página: 1 POLITICA DE SEGURIDAD DE Página: 2 TABLA DE CONTENIDO 1. INTRODUCCION 3 2. DEFINICION DE LA SEGURIDAD DE 4 3. OBJETIVO..5 4. ALCANCE 6 5. TERMINOLOGIA Y DEFINICIONES...7 6. POLITICAS Y CONTROLES..10

Más detalles

ACUERDO No. 05 (Noviembre 17 de 2009) Por el cual se adopta y aprueba el Modelo de Seguridad de la Información para la Universidad Libre

ACUERDO No. 05 (Noviembre 17 de 2009) Por el cual se adopta y aprueba el Modelo de Seguridad de la Información para la Universidad Libre ACUERDO No. 05 (Noviembre 17 de 2009) Por el cual se adopta y aprueba el Modelo de Seguridad de la Información para la Universidad Libre La H. Consiliatura de la Universidad Libre, en uso de sus atribuciones

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles