Servicio Fitosanitario del Estado Auditoría Interna

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Servicio Fitosanitario del Estado Auditoría Interna"

Transcripción

1 Martes 10 de junio de 2014 AI SFE Ingeniera Magda González Arroyo, Directora Servicio Fitosanitario del Estado (SFE) Estimada señora: El día 22/05/2014 el que suscribe participó en el evento organizado por la Contraloría General de la República, en el Auditorio del Poder Judicial Miguel Blanco Quirós, que tenía como eje temático la Computación en la nube y Ley de Protección de Datos: Retos para la. Considerando los temas que fueron presentados por los conferencistas, esta Auditoría Interna consideró conveniente remitir para su valoración el presente informe de asesoría N AI-SFE-SP-INF , conforme con lo establecido en el inciso d) del artículo Nº 22 de la Ley General de Control Interno Nº No obstante lo anterior, procedemos a adoptar las previsiones del caso, con el propósito de que no se comprometa nuestra independencia y objetividad en la ejecución de servicios posteriores vinculados con los asuntos tratados. A fin de dar seguimiento al presente informe, se deberá remitir copia a esta Auditoría Interna de los acuerdos respectivos que adopte la administración activa. Atentamente, Lic. Henry Valerín Sandino Auditor Interno HVS/CQN/RCJ/IRJ C./ Ing. Carlos Padilla Bonilla, Subdirector del SFE Lic. Adrián Gómez Díaz, Jefe Unidad de Planificación, Gestión de la Calidad y Control Interno Lic. Didier Suárez Chaves, Jefe Unidad de Tecnología de la Información Archivo / Legajo i

2 INFORME Nº AI-SFE-SP-INF de junio de 2014 INFORME DE ASESORÍA SOBRE ASPECTOS GENERALES RELACIONADOS CON LA TENDENCIA INFORMÁTICA DE COMPUTACIÓN EN LA NUBE (CLOUD COMPUTING) Y LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES, Nº 8968 (Y SU REGLAMENTO, DECRETO EJECUTIVO N JP). Apoyo redacción de informe: MBA. Christian Quirós Núñez Lic. Ronald Canales Jiménez Auditores Asistentes Revisado y Aprobado: Lic. Henry Valerín Sandino Auditor Interno ii

3 ÍNDICE 1. PRESENTACIÓN INTRODUCCIÓN ORIGEN OBJETIVO ALCANCE LIMITANTES NORMAS TÉCNICAS DE AUDITORÍA ANTECEDENTES Tendencia informática de computación en la nube (Cloud Computing) Datos de la Ley de Protección de la persona frente al tratamiento de sus datos personales, Nº 8968 y su Reglamento (Decreto Ejecutivo N JP) RESULTADOS CRITERIO CONDICIÓN Tendencia informática de computación en la nube (Cloud Computing) Protección de Datos Situación actual del SFE con respecto a los temas descritos en los numerales y anteriores ASESORÍA iii

4 1. PRESENTACIÓN La fiscaliza que la actuación de la administración activa se ejecute conforme al marco legal y técnico y las sanas prácticas administrativas, gestión que se realiza a través de la ejecución de auditorías y estudios especiales, así como mediante las funciones de asesoría y advertencia. El quehacer de la por lo general consiste en una labor que se desarrolla con posterioridad a los actos de la administración; sin embargo, en asuntos que sean de su conocimiento o a solicitud del jerarca y/o titulares subordinados, también emite en forma previa, concomitante o posterior a dichos actos, criterios en aspectos de su competencia y en cumplimiento de su labor de asesoría y advertencia, adoptando las previsiones del caso a efecto de que no se perjudique o comprometa la independencia y objetividad en la ejecución de servicios de auditoría posteriores. Con respecto al servicio de asesoría, el mismo corresponde a una función preventiva orientada a fortalecer el sistema de control interno institucional y consiste en asesorar oportunamente (en materia de competencia) al jerarca; sin perjuicio de las asesorías que en esa materia, a criterio del Auditor Interno, correspondan dirigir a otros niveles de la organización. En el presente informe de asesoría, se irán vinculando en forma directa e indirecta los aspectos contenidos en el numeral 3 denominado Antecedentes ; así como en el numeral 4.1 correspondiente al Criterio y los hechos descritos en el numeral 4.2 denominado Condición, situación que permitirá a esta emitir comentarios orientados a asesorar a la administración activa sobre el tema tratado, contenidos en el numeral 5. Página 1 de 19

5 2. INTRODUCCIÓN 2.1. ORIGEN El día 22/05/2014 el Auditor Interno del SFE participó en un evento de capacitación organizado por la Contraloría General de la República, en el Auditorio del Poder Judicial Miguel Blanco Quirós, que tenía como eje temático la Computación en la nube y Ley de Protección de Datos: Retos para la. Considerando los temas que fueron presentados por los conferencistas, este órgano de fiscalización consideró conveniente planificar el presente servicio preventivo de asesoría; con cargo a los recursos destinados en el punto 1.1 del Plan Anual de Labores de la del SFE para el año OBJETIVO Asesorar a la administración del SFE sobre aspectos generales relacionados con la tendencia informática de computación en la nube (Cloud Computing) y la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N JP) ALCANCE Considerando los términos del citado objetivo, se procedió a realizar lo siguiente: a) Análisis de los fundamentos de la tendencia informática de computación en la nube (Cloud Computing). b) Análisis de los alcances de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N JP). c) Análisis de los aspectos relevantes contenidos en las presentaciones de los conferencistas: (evento gestionado por la Contraloría General de la República) Dra. Alejandra Castro Bonilla, Bufete para América Central Arias & Muñoz. Lic. Alejandro Herrera, funcionario de la Contraloría General de la República. Eric Mora, Senior Manager KPMG. Lic. Nathalie Artavia, Agencia de Protección de Datos de los Habitantes del Ministerio de Justicia y Paz. Lic. Ricardo Arce, del Instituto Nacional de Seguros. Página 2 de 19

6 d) Identificación de los aspectos relevantes que deben ser comunicados a la administración del SFE para su valoración y atención, según los términos del presente informe LIMITANTES No se presentaron limitaciones que impidieran la emisión y comunicación del informe relativo al presente servicio preventivo de asesoría NORMAS TÉCNICAS DE AUDITORÍA En la ejecución del presente servicio preventivo (de asesoría) se observaron las regulaciones establecidas para las Auditorías Internas en la Ley General de Control Interno Nº 8292, normas técnicas, directrices y resoluciones emitidas por la Contraloría General de la República; así como lo dispuesto en el artículo 40 (inciso b) y artículo 42 (último párrafo) del Reglamento de Organización y Funcionamiento de la del Servicio Fitosanitario del Estado (Decreto Ejecutivo Nº MAG). Página 3 de 19

7 3. ANTECEDENTES 3.1 Regulación sobre la tendencia informática de computación en la nube (Cloud Computing) Mediante el oficio AI SFE del 17/05/2013, la comunicó a la Dirección del SFE que en la Gaceta N 93 del 16/05/2013, se publicó la Directriz N 46-H-MICITT, mediante la cual se regula el tema denominado Cómputo en la Nube, apoyándose en lo que disponen las Normas Técnicas para la Gestión y el Control de las Tecnologías de Información (N CO-DFOR), emitidas por la Contraloría General de la República. Al respecto, es criterio de la que el SFE debe integrar conforme a sus políticas y necesidades tecnológicas lo dispuesto en la mencionada directriz, como parte del proceso que viene realizando para fortalecer su sistema de control interno relativo a la materia de tecnologías de la información; para lo cual debería apoyarse en su Unidad de Tecnologías de la Información. Con la implementación de la Directriz No. 046-H-MICIT, se pretende instar a las empresas e instituciones del Estado para que consideren la viabilidad de orientar su adquisición de infraestructura tecnológica hacia la computación en la Nube. Lo anterior, considerando que dicha modalidad permite el acceso a una gran cantidad de recursos informáticos, incluyendo lo necesario para la sostenibilidad de los sistemas de cómputo de forma segura, rápida y con alta disponibilidad para los usuarios finales. 3.2 Datos de la Ley de Protección de la persona frente al tratamiento de sus datos personales, Nº 8968 y su Reglamento (Decreto Ejecutivo N JP) Ley 8968 Decreto JP Ente emisor Asamblea Legislativa Poder Ejecutivo Fecha de vigencia desde 05/09/ /03/2013 Versión de la norma 1 de 1 del 07/07/ de 1 del 30/10/2012 Nº Gaceta 170 del 05/09/ del 05/03/2013 (Alcance: 42) Página 4 de 19

8 4. RESULTADOS 4.1 CRITERIO Constitución Política, artículo Ley General de la Administración Pública, artículo Ley General de Control Interno N 8292, artículos 7, 8 y Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Decreto Ejecutivo N JP) Directriz N 46-H-MICITT (Gaceta N 93 del 16/05/2013), mediante la cual se regula el tema denominado Cómputo en la Nube. 4.2 CONDICIÓN Tendencia informática de computación en la nube (Cloud Computing) a) Generalidades computación en la nube (Cloud Computing) 1 La computación en la nube, concepto conocido también bajo los términos servicios en la nube, informática en la nube, nube de cómputo o nube de conceptos, del inglés cloud computing, es un paradigma que permite ofrecer servicios de computación a través de Internet. En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder a los servicios disponibles en la nube de Internet sin conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan. 1 Fuente de información: Página 5 de 19

9 La computación en la nube son servidores desde Internet encargados de atender las peticiones en cualquier momento. Se puede tener acceso a su información o servicio, mediante una conexión a internet desde cualquier dispositivo móvil o fijo ubicado en cualquier lugar. Sirven a sus usuarios desde varios proveedores de alojamiento repartidos frecuentemente por todo el mundo. Esta medida reduce los costes, garantiza un mejor tiempo de actividad y que los sitios web sean invulnerables a los hackers, a los gobiernos locales y a sus redadas policiales. Cloud computing es un nuevo modelo de prestación de servicios de negocio y tecnología, que permite incluso al usuario acceder a un catálogo de servicios estandarizados y responder con ellos a las necesidades de su negocio, de forma flexible y adaptativa, en caso de demandas no previsibles o de picos de trabajo, pagando únicamente por el consumo efectuado, o incluso gratuitamente en caso de proveedores que se financian mediante publicidad o de organizaciones sin ánimo de lucro. El cambio que ofrece la computación desde la nube es que permite aumentar el número de servicios basados en la red. Esto genera beneficios tanto para los proveedores, que pueden ofrecer, de forma más rápida y eficiente, un mayor número de servicios, como para los usuarios que tienen la posibilidad de acceder a ellos, disfrutando de la transparencia e inmediatez del sistema y de un modelo de pago por consumo. Así mismo, el consumidor ahorra los costes salariales o los costes en inversión económica (locales, material especializado, etc.). Computación en nube consigue aportar estas ventajas, apoyándose sobre una infraestructura tecnológica dinámica que se caracteriza, entre otros factores, por un alto grado de automatización, una rápida movilización de los recursos, una elevada capacidad de adaptación para atender a una demanda variable, así como virtualización avanzada y un precio flexible en función del consumo realizado, evitando además el uso fraudulento del software y la piratería. La computación en nube es un concepto que incorpora el software como servicio, como en la Web 2.0 y otros conceptos recientes, también conocidos como tendencias tecnológicas, que tienen en común el que confían en Internet para satisfacer las necesidades de cómputo de los usuarios. b) Aspectos específicos sobre la Cómputo en la Nube 2 Se puede decir que el Ambiente de la Nube tiene como propósito tener Acceso e intercambio de datos a través de Internet y Acceso a aplicaciones e informática a bajo costo a través del internet. 2 Fuente de información: Presentación conferencia de Eric Mora, Senior Manager KPMG. Página 6 de 19

10 La computación en la nube está regulada por cinco características esenciales: Los modelos de servicio y desarrollo en la nube, se muestran en el cuadro siguiente: Modelos de Servicios en la Nube Software como Servicio Operaciones del negocio sobre la red. (SaaS) Plataforma como Servicio Aplicaciones creadas por clientes en la nube (PaaS) Infraestructura como Servicio Procesamiento, almacenamiento, alquiler de red y otros recursos (IaaS) Modelos de Desarrollo en la Nube Privado Opera para una única organización Público Disponible para el público en general o grupos industriales, tomado por una organización que vende servicios en la nube. Comunitario Compartido por varias organizaciones, soportando una comunidad específica Con relación a la adopción de la computación en la nube, algunos de los riesgos claves y retos que se deben tener presente, se describen seguidamente: b.1) Sobre la Administración de Proveedores: La falta de claridad sobre la propiedad de las responsabilidades entre el proveedor de la nube y la empresa usuaria. No hay normas prevalentes de interoperabilidad 3 de proveedores. Amplia confianza en el proveedor de servicios. b.2) Sobre la Seguridad y Privacidad: No hay control sobre áreas críticas de seguridad, como la administración de la vulnerabilidad, infraestructura y seguridad física. Controles débiles de acceso lógico debido a los proveedores de la nube. 3 Entendiendo la interoperabilidad como...la habilidad de organizaciones y sistemas dispares y diversos para interaccionar con objetivos consensuados y comunes y con la finalidad de obtener beneficios mutuos. La interacción implica que las organizaciones involucradas compartan información y conocimiento a través de sus procesos de negocio, mediante el intercambio de datos entre sus respectivos sistemas de tecnología de la información y las comunicaciones. (fuente de información: Página 7 de 19

11 Los datos pueden residir físicamente en una jurisdicción legal donde los derechos de las informaciones amparadas no están protegidos. b.3) Sobre las Operaciones: La nube hace que algunos roles y habilidades sean redundantes. La adopción de la nube introduce cambios rápidos en las organizaciones. Necesidades y planes de recuperación de desastres se ven afectados. b.4) Sobre las Tecnologías de Información: La adopción de esta tendencia permite pasar de tener información resguardada en un centro de datos con ubicación física determinada (servidor), a información resguardada en la nube; situación que la administración debe analizar desde el punto de vista de los riesgos que conlleva la adopción de esta tendencia, así como las medidas necesarias para la mitigación de los mismos. Las empresas pueden pasar por alto la función de TI para implementar soluciones de tecnología, lo que hace desafiante el gobierno de TI. Modelos de entrega de la nube cambian radicalmente el paradigma de cómo la TI ofrece servicios de tecnología para apoyar los requerimientos del negocio. Riesgo de crear islas de información. b.5) Sobre los riesgos de la nube: De acuerdo con la consultora Gartner 4, los siete riesgos de la nube a considerar son: Riesgo Descripción Mitigación/Respuesta 1. Acceso a usuarios con Los datos procesados fuera de la organización Entender la responsabilidad de los privilegios traen consigo un nivel de riesgo inherente, ya que proveedores y de los clientes los servicios subcontratados no están sujetos a los Controles configurables controles físicos, lógicos y de personal vigentes en Encriptación la organización Autenticación segura Capacidades de Auditoría Informes de Auditoría 2. Cumplimiento de Normativas Los clientes son los responsables de la seguridad e integridad de sus propios datos, incluso cuando están en manos de un proveedor de servicios Servicios de Auditoría deben aplicarse a los proveedores de la nube de la misma manera que a proveedores de hosting tradicionales Mejorar las habilidades de los auditores: conocimiento de la virtualización, entre otros 4 Gartner Inc. es una empresa consultora y de investigación de las tecnologías de la información con sede en Stamford, Connecticut, Estados Unidos. Página 8 de 19

12 Riesgo Descripción Mitigación/Respuesta 3. Ubicación de Datos Una característica de la computación en nube es su elasticidad y la replicación. Los datos pueden Determinar las necesidades de ubicación de datos cambiar las ubicaciones físicas, es decir, diferentes Contratos servidores o centros de datos durante el procesamiento normal 4. Segregación de Datos Los datos en la nube se encuentran típicamente en un entorno compartido junto con los datos de Comprender el modelo de almacenamiento de datos, lógica o separación física otros clientes Considerar la implementación de modelos en la nube - IaaS, PaaS SaaS Determinar el enfoque a utilizar para la limpieza de datos 5.Recuperación Una característica asociada a menudo con la Entender el enfoque para la replicación de computación en nube es su capacidad de datos recuperación Determinar la necesidad de participación de los usuarios en la prueba de continuidad Desarrollar un plan para la falta de disponibilidad de servicio en la nube debido a un fallo de comunicación 6. Apoyo a la investigación Los servicios en la nube son especialmente difíciles de investigar, porque el registro y los datos para Entender el enfoque para la investigación de incidentes y análisis forense múltiples clientes pueden ser colocados juntos, y también pueden estar dispersos en un conjunto Las disposiciones contractuales sobre el acceso a los registros y otros datos siempre cambiante de host y centros de datos 7.Viabilidad a largo plazo La portabilidad nube es esencial para asegurar que la organización no sea dependiente a una única solución Comprender la compatibilidad de datos c) Aspectos generales sobre la situación actual Cómputo en la Nube 5 La tecnología de Nube ha modificado los estándares de administración y manejo de recursos informáticos, logrando con esto una importante economía a escala, mayor confiabilidad por el uso de plataformas tecnológicas de altísima calidad, seguridad y recursos disponibles para los usuarios. En una nube pública (Facebook, Youtube, y Flick para compartir archivos, videos y fotografías) todos estos recursos están en servidores en el mundo, con alta disponibilidad (siempre están accesibles). En nuestras instituciones públicas, debe reducirse el gasto en cambios de tecnología en sus datacenters (centros de cómputo), para implementar el cómputo en la nube, aceptando que esta nueva tendencia tecnológica le da mayor cobertura a la demanda de requerimientos de sus usuarios. El volumen y la sensibilidad de los datos que gestionan las empresas y en particular la Administración Pública, conllevan unos riesgos específicos que deben ser objeto de análisis riguroso en cada escenario en el que se plantee su utilización. Estos riesgos específicos 5 Fuente de información: Presentación conferencia de Lic. Nathalie Artavia, Agencia de Protección de Datos de los Habitantes del Ministerio de Justicia y Paz. Página 9 de 19

13 aconsejan la adopción de cautelas adicionales en su implantación, de forma que no se vean comprometidos los derechos y la seguridad de los ciudadanos. La posibilidad de tratamiento de los datos fuera del territorio nacional, característica del cloud computing, debe tenerse en cuenta que nuestra normativa por principio de extraterritorialidad no regula los movimientos internacionales de datos, por lo que se recomienda contratar los servicios de nube privada Protección de Datos Considerando los términos de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Nº 8968), se describen aspectos generales y relevantes contenidos en esta ley: a) Propósito de la Ley N 8968 La Ley Nº 8968 es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.. (Artículo 1) b) Ámbito de aplicación La Ley Nº 8968, será de aplicación a los datos personales que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos. El régimen de protección de los datos de carácter personal que se establece en esta ley no será de aplicación a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas.. (Artículo 2) c) Categorías particulares de los datos contenidas en la Ley En la Ley N 8968 se establecen las categorías particulares de los datos, las cuales se clasifican en Datos sensibles, Datos personales de acceso restringido, Datos personales de acceso irrestricto y Datos referentes al comportamiento crediticio ; lo anterior tal y como se resume en el cuadro que se muestra en la página siguiente. (Artículo 9) 6 Fuente de Información: Presentación de la Dra. Alejandra Castro Bonilla, Bufete para América Central Arias & Muñoz Página 10 de 19

14 d) Transferencia de datos personales, regla general De acuerdo con la Ley Nº 8968, Los responsables de las bases de datos, públicas o privadas, solo podrán transferir datos contenidos en ellas cuando el titular del derecho haya autorizado expresa y válidamente tal transferencia y se haga sin vulnerar los principios y derechos reconocidos en esta ley.. (Artículo 14) e) Agencia de Protección de Datos de los habitantes (Prodhab) La Prodhab es un órgano de desconcentración máxima adscrito al Ministerio de Justicia y Paz; que cuenta con personalidad jurídica instrumental. Este órgano goza de independencia de criterio. (Artículo 15) Registro de archivos y bases de datos Toda base de datos, pública o privada, administrada con fines de distribución, difusión o comercialización, debe inscribirse en el registro que al efecto habilite la Prodhab. (Artículo 21) Divulgación La Prodhab elaborará y ejecutará una estrategia de comunicación dirigida a permitir que los administrados conozcan los derechos derivados del manejo de sus datos personales, así como los mecanismos que el ordenamiento prevé para la defensa de tales prerrogativas. (Artículo 22). Asimismo, promoverá entre las personas y empresas que recolecten, almacenen o manipulen datos personales, la adopción de prácticas y protocolos de actuación acordes con la protección de dicha información. (Artículo 22) Página 11 de 19

15 Recepción y trámite de denuncias Cualquier persona que ostente un derecho subjetivo o un interés legítimo puede denunciar, ante la Prodhab, que una base de datos pública o privada actúa en contravención de las reglas o los principios básicos para la protección de los datos y la autodeterminación informativa establecidas en esta ley. (Artículo 24) La Prodhab deberá tramitar las denuncias, emitir la resolución estimatoria, aplicar el procedimiento sancionatorio y definir el tipo de sanciones, según corresponda. (Artículo 26) Tipos de sanciones 7 (Artículos 28, 29, 30 y 31) Faltas Leves Faltas Graves Faltas Gravísimas Recolectar, almacenar, transmitir o de cualquier otra forma emplear datos personales sin el consentimiento informado y expreso del titular de los datos, con arreglo a las disposiciones de esta ley. esta ley. Recolectar datos personales para su uso en base de datos sin que se le otorgue suficiente y amplia información a la persona interesada, de conformidad con las especificaciones del artículo 5, apartado I. Recolectar, almacenar y transmitir datos personales de terceros por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos. Sanción de hasta 5 salarios base Transferir datos personales a otras personas o empresas en contravención de las reglas establecidas en el capítulo III de esta ley. Recolectar, almacenar, transmitir o de cualquier otro modo emplear datos personales para una finalidad distinta de la autorizada por el titular de la información. Negarse injustificadamente a dar acceso a un interesado sobre los datos que consten en archivos y bases de datos, a fin de verificar su calidad, recolección, almacenamiento y uso conforme a esta ley. Negarse injustificadamente a eliminar o rectificar los datos de una persona que así lo haya solicitado por medio claro e inequívoco. Sanción de 5 a 20 salarios base. Recolectar, almacenar, transmitir o de cualquier otra forma emplear, por parte de personas físicas o jurídicas privadas, datos sensibles, según la definición prevista en el artículo 3 de Obtener, de los titulares o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza. Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la ley. Proporcionar a un tercero información falsa o distinta contenida en un archivo de datos, con conocimiento de ello. Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante la Prodhab, en el caso de los responsables de bases de datos cubiertos por el artículo 21 de esta ley. Transferir, a las bases de datos de terceros países, información de carácter personal de los costarricenses o de los extranjeros radicados en el país, sin el consentimiento de sus titulares. Sanción de 15 a 30 salarios base con suspensión del responsable en su cargo de 1 a 6 meses. 7 Fuente de Información: Presentación de la Dra. Alejandra Castro Bonilla, Bufete para América Central Arías & Muñoz Página 12 de 19

16 4.2.3 Información suministrada por la Jefatura de la UTI del SFE Ante consultas planteadas a la Jefatura de la Unidad de Tecnologías de la Información (UTI) sobre aspectos generales relacionados con el desarrollo de los temas computación en la nube y la protección de datos a lo interno del SFE, se nos informó de lo siguiente: 1. Cuáles acciones ha emprendido el SFE con relación a la Directriz N 46-H-MICITT (publicada en la Gaceta N 93 del 16/05/2013), mediante la cual se regula el tema denominado Cómputo en la Nube? (aspecto informado por esta a la Dirección del SFE con oficio AI SFE del 17/05/2013, del cual se remitió copia a la Unidad de Tecnología de la Información). Actualmente tenemos los servicios de antivirus en la nube, la Unidad de TI realizó la migración de 401 cuentas de antivirus durante el periodo Es importante además mencionar que en acato a la directriz N 46-H-MICITT, La unidad de TI, tiene en sus planes para el próximo año, la migración del correo electrónico institucional a un servicio de correo en la nube, para ello se están evaluando soluciones como Google Apps, y Exchange Online que nos ofrecen alta disponibilidad para nuestros colaboradores en cualquier parte del planeta con solo acceso a internet, a un costo razonable y nos asegura contar siempre con la última versión de la tecnología desarrollada por el fabricante. También se está analizando a lo interno de TI, qué otros servicios podríamos migrar a la Nube. 2. Se utiliza como una opción tecnológica a lo interno del SFE el recurso denominado computación en la nube (Cloud Computing)? De ser así, describir cómo se está utilizando dicho recurso o si por el contrario se tiene programado interactuar con el mismo. Como se mencionó en el punto anterior, los servicios de antivirus se administran desde la nube, la Unidad de TI gestiona toda la administración de la aplicación a través de una consola. Desde esta aplicación se pueden realizar instalaciones, desinstalaciones, actualizaciones, ver el estado de las aplicaciones, realizar análisis, ver reportes y aplicar reglas de filtrado en donde quiera que se encuentre el equipo. 3. Cuenta el SFE con regulaciones internas (protocolos, procedimientos, políticas, lineamientos, etc) orientados a regular el tema denominado computación en la nube (Cloud Computing)? (incluye lo relativo a servicios contratados e inclusive los que establecen ciertos proveedores en su condición de uso libre y gratuito) Página 13 de 19

17 A la fecha no existen regulaciones a lo interno del SFE sobre este tema debido a que apenas estamos incursionando en el tema de Cloud Computing, además, en los últimos años se ha realizado una importante inversión en infraestructura tecnológica. La Unidad de TI del SFE está valorando la posibilidad de utilizar este tipo de tecnología, sin embargo, no podemos dejar de lado la legislación existente que restringe en alguna medida la colocación de datos personales en bases de datos fuera de nuestras fronteras, para ello es importante también contar con la colaboración de la Unidad de Asuntos Jurídicos para que nos aclaren algunos aspectos sobre el tema y poder generar en conjunto las políticas y procedimientos a lo interno de nuestra Institución. 4. El personal de la Unidad de Tecnologías de la Información ha recibido capacitación sobre el tema denominado computación en la nube (Cloud Computing)? De ser así, indique el nombre de la capacitación y los funcionarios que participaron. Durante el primer semestre del 2014, los funcionarios Jeymer Mora y Gilbert Alfaro asistieron al evento denominado Microsoft Destino: La Nube. Hace algunas semanas los funcionarios Jesús Castro, Jeymer Mora y este servidor, asistimos al Technology Day, donde se trataron temas sobre algunos servicios en la nube. Además, hemos recibido algunas charlas sobre este tema por parte de los proveedores que analizan a su conveniencia la aplicación de la ley, sin embargo no hemos recibido capacitación de los entes gubernamentales como MICIT, lo cual sería de mucha ayuda para entender mejor las implicaciones legales y la correcta aplicación de la legislación Costarricense desde un punto de vista objetivo. Reitero la importancia de que la Unidad de Asuntos Jurídicos del SFE se involucre en el tema. 5. Conoce los términos de las regulaciones contenidas en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N JP)? Se está en proceso de estudio e interpretación de la ley mencionada y su reglamento. Este mismo estudio nos ha revelado que existen muchos términos legales y aspectos que deben ser entendidos desde un punto de vista jurídico/legal. 6. Se han girado instrucciones superiores a efecto de determinar si al SFE considerando la naturaleza de sus bases de datos, le es aplicable lo dispuesto en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N JP)? Página 14 de 19

18 No se han girado instrucciones superiores a efecto de determinar si esta Ley es aplicable a nuestra Institución. No obstante lo anterior, existe una iniciativa del sector agropecuario para realizar el Modelado de Arquitectura de Datos Institucionales. 7. De haberse realizado a la fecha un análisis de lo dispuesto en la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, Nº 8968 (y su Reglamento, Decreto Ejecutivo N JP), suministrar la siguiente información: Resultados de ese análisis. De haberse identificado, Cuáles serían las bases de datos (contenidas en los sistemas de información respectivos) que deben cumplir con lo dispuesto en el citado ordenamiento? A la fecha no se ha realizado un análisis de lo dispuesto esta Ley, sin embargo consideramos que esta labor debe solicitarse a la Dirección con el fin de que se haga este análisis en conjunto con la Unidad de Asuntos Jurídicos, TI y Archivo. Página 15 de 19

19 5. ASESORÍA Considerando lo descrito en los apartados denominados Antecedentes y Resultados del presente informe (numerales 3 y 4 respectivamente), se asesora sometiendo a valoración de la administración activa del SFE lo que se comenta en el presente apartado; lo anterior con el propósito de suministrar elementos (insumo) que faciliten la toma de decisiones con respecto a los temas desarrollados en el citado informe. No obstante, tal como lo hemos reiterado en otras ocasiones, la administración activa del SFE puede apoyarse en criterios y el asesoramiento adicional que provenga de instancias externas competentes (considerando los criterios legales y técnicos que se hayan emitido o emitan a lo interno de la organización), para tratar de la mejor manera los temas que originaron esta asesoría. Al respecto, se procede a comentar lo siguiente: 5.1 Sobre la computación en la nube (cloud computing) Además de lo descrito en el numeral del presente informe, la administración deberá valorar con relación al desarrollo del tema denominado computación en la nube, lo siguiente: a) La contratación de servicios cloud computing por parte de las Administraciones Públicas, que impliquen el tratamiento de datos de carácter personal, requiere la formalización de un contrato escrito, garantizando que: 8 Dicho tratamiento se haya especificado en el contrato firmado por la administración contratante y el prestador de servicios. El tratamiento de datos personales se ajuste a las instrucciones de la administración que actúa como responsable del tratamiento. Debe especificar las medidas técnicas y organizativas que el prestador tiene previstas para garantizar la seguridad de los datos. Asimismo, los especiales requisitos de disponibilidad, confidencialidad e integridad que puedan requerir ciertos servicios electrónicos prestados por la Administración Pública. La complejidad de los servicios contratados puede aconsejar la designación de un responsable del contrato, con el fin de asegurar la correcta realización de la prestación pactada (la designación de dicha figura no modifica el régimen de obligaciones y responsabilidades al que está sujeto el responsable del tratamiento en materia de protección de datos de carácter personal; o sea, teniendo presente lo dispuesto en la Ley N 8968 y el Decreto Ejecutivo N JP). 8 Fuente de información: Presentación conferencia de Lic. Nathalie Artavia, Agencia de Protección de Datos de los Habitantes del Ministerio de Justicia y Paz. Página 16 de 19

20 b) Considerar como un insumo más lo descrito en el numeral inciso b.5) Sobre los riesgos en la nube del presente informe, a efectos de que la administración tenga la posibilidad de establecer una adecuada administración del riesgo relacionada con la computación en la nube La contratación de servicios cloud computing en los que incursione el SFE, deberán estar soportados en términos de referencia y contratos que le permitan a la organización satisfacer sus necesidades, pero estableciendo el marco de referencia que le garantice en forma razonable ejercer un adecuado control sobre la naturaleza de ese tipo de servicios; para lo cual se deberá apoyar la administración en insumos como la valoración del riesgo y las políticas (incluye las de seguridad de TI) y lineamientos que sobre este tema establezca el SFE. 5.2 Sobre la protección de datos Considerando lo dispuesto en el Ley 8968, en el Decreto Ejecutivo N JP (artículo 3) se establece que las regulaciones serán de aplicación a los datos personales que figuren en las bases de datos automatizadas o manuales, de organismos públicos o privados, y a toda modalidad de uso posterior de estos datos, en tanto surtan efectos dentro del territorio nacional, o les resulte aplicable la legislación costarricense derivada de la celebración de un contrato o en los términos del derecho internacional. Asimismo, se exceptúa del citado régimen de protección, a los datos de carácter personal que se mantienen en bases de datos por parte de personas físicas o jurídicas, públicas o privadas, con fines exclusivamente internos, personales o domésticos, siempre y cuando éstas no sean de cualquier manera comercializadas. En ese sentido, será conforme al diagnóstico que lleve a cabo la organización y que de acuerdo con la naturaleza de sus bases de datos, proceda a determinar si dicha normativa debe ser aplicada. Eventualmente de corresponderle al SFE la aplicación del citado ordenamiento, tendría la obligación de adoptar las medidas necesarias que le permitan definir las líneas de acción que le garanticen en forma razonable dar cumplimiento a cabalidad a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Nº 8968) y su Reglamento (Decreto Ejecutivo N JP). Lo anterior debe permitir la identificación de los sistemas de información automatizados que deban estar inscritos ante la Agencia de Protección de Datos de los habitantes (Prodhab); o caso contrario, declarar que las condiciones actuales no obligan a cumplir con dicho ordenamiento. Para tales efectos, el SFE se podrá apoyar en su Unidad de Tecnologías de la Información y en su Unidad de Asuntos Jurídicos, según corresponda; así como externamente y de considerarse necesario, en la Prodhab. Al respecto, de corresponder al SFE la aplicación del citado ordenamiento, se debe considerar, entre otros aspectos, lo siguiente: Página 17 de 19

Servicio Fitosanitario del Estado Auditoría Interna

Servicio Fitosanitario del Estado Auditoría Interna Viernes 29 de junio del 2012 AI SFE 115-2012 Ingeniera Magda González Arroyo, Directora Servicio Fitosanitario del Estado (SFE) Estimada señora: El Reglamento de Organización y Funcionamiento de la del

Más detalles

CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE. Versión: 1.3

CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE. Versión: 1.3 CONSIDERACIONES PARA LA CONTRATACIÓN DE SERVICIOS DE CÓMPUTO EN LA NUBE Versión: 1.3 Marzo 2014 INTRODUCCIÓN En la actualidad varias entidades del sector privado y público están evaluando el usar el Cómputo

Más detalles

x.m z e m o lg e o J

x.m z e m o lg e o J Aspectos Legales de la Computación en la Nube Mtro. Joel A. Gómez Treviño Abogado especialista en Derecho Informático Gerente General Jurídico de NCR de México Qué es la Computación en Nube? Computo Tradicional

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING

ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING ASPECTOS LEGALES DE LA COMPUTACION EN LA NUBE O CLOUD COMPUTING Porqué es importante la Computación en la nube? Gartner predice que para 2015, el 50% de las 1000 empresas Globales dependerán de servicios

Más detalles

Cloud Computing. Rodrigo Moreno Rosales DN-11

Cloud Computing. Rodrigo Moreno Rosales DN-11 Cloud Computing Rodrigo Moreno Rosales DN-11 Cloud Computing La computación en la nube,conocido también como servicios en la nube, informática en la nube, nube de cómputo o nube de conceptos, es un paradigma

Más detalles

La Gaceta N. 48 de 10 de marzo de 2015 AL CONTESTAR REFIÉRASE AL Nº 01923 DC-0026. Despacho Contralor

La Gaceta N. 48 de 10 de marzo de 2015 AL CONTESTAR REFIÉRASE AL Nº 01923 DC-0026. Despacho Contralor La Gaceta N. 48 de 10 de marzo de 2015 AL CONTESTAR REFIÉRASE AL Nº 01923 DC-0026 R-DC-010-2015. CONTRALORÍA GENERAL DE LA REPÚBLICA. DESPACHO CONTRALOR. San José, a las diez horas del seis de febrero

Más detalles

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements.

4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. 4.7 ISO/IEC 20000-1:2011 Information technology - Service management -Part 1: Service management system requirements. Introducción. ISO 20000 es un estándar orientado al establecimiento de procesos y procedimientos

Más detalles

4.22 ITIL, Information Technology Infrastructure Library v3.

4.22 ITIL, Information Technology Infrastructure Library v3. 4.22 ITIL, Information Technology Infrastructure Library v3. Introducción. Es un conjunto de conceptos y prácticas en la gestión de servicios de tecnologías de la información, para lograr calidad y eficiencia

Más detalles

Cloud Computing: Definición, generalidades, beneficios y controversias. Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica

Cloud Computing: Definición, generalidades, beneficios y controversias. Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica Cloud Computing: Definición, generalidades, beneficios y controversias Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica Definición Cloud computing se define como una arquitectura mediante

Más detalles

ÁREA DE AUDITORÍA DE LA GESTIÓN DE RECURSOS HUMANOS INFORME-AU-I-054-2014

ÁREA DE AUDITORÍA DE LA GESTIÓN DE RECURSOS HUMANOS INFORME-AU-I-054-2014 INFORME-AU-I-054-2014 PARA: MSc. Hernán Alberto Rojas Angulo DIRECTOR GENERAL DE SERVICIO CIVIL DE: ASUNTO: MBA. Olman Luis Jiménez Corrales DIRECTOR Informe fin de gestión. FECHA: 31 de octubre del 2014.

Más detalles

4.21 SOx, Sarbanes-Oxley Act of 2002.

4.21 SOx, Sarbanes-Oxley Act of 2002. 4.21 SOx, Sarbanes-Oxley Act of 2002. Introducción. La Ley SOx nace en Estados Unidos con para supervisar a las empresas que cotizan en bolsa de valores, evitando que las acciones de las mismas sean alteradas

Más detalles

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES CAPÍTULO I

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES CAPÍTULO I ARTÍCULO 1. Objetivo y fin Publicado en Gaceta n 170 de 5 setiembre 2011 Nº 8968 LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES Para la Corporación Transparencia por Colombia (TPC) es muy importante proteger la información de nuestros asociados, afiliados, expertos, colaboradores

Más detalles

Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO27001- ISO20000 - BS25999 LOPD

Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO27001- ISO20000 - BS25999 LOPD Generar confianza en la nube. Implantación de estándares de Seguridad y Gestión. ISO27001- ISO20000 - BS25999 LOPD Cloud y SaaS: Siguen creciendo Los ingresos por servicios en modo SaaS (Software como

Más detalles

Temas de Seguridad y Privacidad en Cloud Computing

Temas de Seguridad y Privacidad en Cloud Computing Fuente: Marko Hölbl LSI SIN (10)02 Temas de Seguridad y Privacidad en Cloud Computing CEPIS El Consejo Europeo de Sociedades Profesionales de Informática (CEPIS) es una organización sin ánimo de lucro

Más detalles

LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES Ley n.º 8968. Publicada en La Gaceta n.º 170 de 05 de setiembre de 2011

LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES Ley n.º 8968. Publicada en La Gaceta n.º 170 de 05 de setiembre de 2011 LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO Ley n.º 8968 Publicada en La Gaceta n.º 170 de 05 de setiembre de 2011 LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: PROTECCIÓN DE

Más detalles

Universidad Digital. Conocimiento y compromiso. Experiencia para el futuro. Diálogo y consenso

Universidad Digital. Conocimiento y compromiso. Experiencia para el futuro. Diálogo y consenso Universidad Digital Pilar Aranda Ramírez Catedrática de Universidad Aspiro a ser la próxima Rectora de la Universidad de Granada La universalización de las TIC ha propiciado nuevas fórmulas de generar,

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

4.11 ISO GUIDE 73, Risk management Vocabulary.

4.11 ISO GUIDE 73, Risk management Vocabulary. 4.11 ISO GUIDE 73, Risk management Vocabulary. Introducción. El estándar proporciona las definiciones de los términos genéricos relacionados con la gestión del El ISO Guide 73 promueve una base común de

Más detalles

Tribunal Registral Administrativo

Tribunal Registral Administrativo Tribunal Registral Administrativo MANUAL DE USO E INSTALACIÓN DE PROGRAMAS DE CÓMPUTO 18 JUNIO 2015 (APROBADO EN SESIÓN N. 26-2015 DEL 1 DE JULIO DE 2015) Contenido 1. INTRODUCCIÓN... 3 2. ALCANCE... 3

Más detalles

LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES Ley n.º 8968. Publicada en La Gaceta n.º 170 de 05 de setiembre de 2011

LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES Ley n.º 8968. Publicada en La Gaceta n.º 170 de 05 de setiembre de 2011 LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO Ley n.º 8968 Publicada en La Gaceta n.º 170 de 05 de setiembre de 2011 LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: DE SUS DATOS

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07

EQUIPO CONSULTOR Y EQUIPO DE MEJORA CONTINUA PREPARADO POR: REVISADO POR: APROBADO POR: VERSIÓN Nº: FECHA DE EMISIÓN: 15/09/07 SERVICIOS DE AUDITORÍA MINISTERIO DE SALUD DE COSTA RICA - NIVEL INTRAINSTITUCIONAL ÁREA DE GESTIÓN: SOPORTE LOGÍSTICO Y ADMINISTRATIVO PREPARADO POR: VALIDADO POR : EQUIPO CONSULTOR Y EQUIPO DE MEJORA

Más detalles

POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES

POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES POLÍTICA DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES Para la Asociación de Empresas Seguras - AES es muy importante proteger la información de nuestros asociados, afiliados, expertos, colaboradores

Más detalles

Plan Estratégico de Tecnología de Información 2010-2021. Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado

Plan Estratégico de Tecnología de Información 2010-2021. Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Ministerio de Agricultura y Ganadería ervicio Fitosanitario del Estado UNIDAD DE TECNOLOGÍA DE INFORMACIÓN Plan Estratégico de Tecnología de Información 2010-2021 Versión 1.3 8 de febrero del 2011 Historial

Más detalles

Servicio Fitosanitario del Estado Auditoría Interna

Servicio Fitosanitario del Estado Auditoría Interna Viernes 17 de junio de 2011 AI SFE 099-2011 Ingeniera Magda González Arroyo, Directora Servicio Fitosanitario del Estado (SFE) Estimada señora: Considerando la reciente conformación de la Comisión de Gestión

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

www.cloudseguro.co CLL 57 No. 7-11 Of. 1303. Tel. 3103442 contacto@cloudseguro.co

www.cloudseguro.co CLL 57 No. 7-11 Of. 1303. Tel. 3103442 contacto@cloudseguro.co POLÍTICAS DE PROTECCIÓN DE DATOS PERSONALES 1. OBJETIVO La presente política muestra el manejo de datos personales en Cloud Seguro, nuestra filosofía es proteger su información personal, y ofrecerle todos

Más detalles

ASUNTO: ASESORÍA SOBRE DIRECTRIZ Nº 46-H MICITT, COMPUTACIÓN EN LA NUBE.

ASUNTO: ASESORÍA SOBRE DIRECTRIZ Nº 46-H MICITT, COMPUTACIÓN EN LA NUBE. MINISTERIO DE SALUD DIRECCIÓN GENERAL DE AUDITORIA Teléfonos: 2233-9516 / 2257-7692 Fax: 2221-5394 Correo electrónico: audit_ms@ministeriodesalud.go.cr DGA-273-2013 05 Julio de 2013 Doctora Daisy Corrales

Más detalles

INNOVANDO CLOUD COMPUTING: POR QUÉ LLEVAR TÚ NEGOCIO A LA NUBE

INNOVANDO CLOUD COMPUTING: POR QUÉ LLEVAR TÚ NEGOCIO A LA NUBE INNOVANDO ME INTERESA EL FUTURO, PORQUE ES EL LUGAR EN EL QUE PASARÉ EL RESTO DE MI VIDA. PRODUCTIVIDAD Y COLABORACIÓN DE UN NUEVO MODELO DE PRESTACIÓN DE SERVICIOS TECNOLÓGICOS CLOUD COMPUTING: POR QUÉ

Más detalles

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements.

4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. 4.1 ISO/IEC 27001:2013, Information Technology - Security techniques Information security management systems Requirements. Introducción. El estándar proporciona los requerimientos para establecer, controlar,

Más detalles

CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS

CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS CLOUD COMPUTING: ASPECTOS LEGALES Y/O NORMATIVOS Luis Vinatea Recoba Socio de Miranda & Amado Abogados Profesor de la Pontificia Universidad Católica del Perú Definición Sistema que permite el acceso por

Más detalles

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary.

4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. 4.12 ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary. Introducción. Es un documento de referencia para entender los términos y vocabulario relacionado con gestión de El ISO 9000:2005

Más detalles

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO OFICINA ASESORA DE PLANEACIÓN, Junio 2013 Elaborado por : Carlos Fernando Campos Sosa CONTENIDO QUÉ ES EL SISTEMA INTEGRADO DE GESTIÓN?... 1 POR QUÉ ES ÚTIL EL SIG?... 3 CÓMO CONTRIBUIMOS A IMPLEMENTAR

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles

Fecha de vigencia desde: 22/05/2012 Versión de la norma: 1 de 1 del 27/04/2012 Datos de la Publicación: Nº Gaceta: 97 del: 21/05/2012

Fecha de vigencia desde: 22/05/2012 Versión de la norma: 1 de 1 del 27/04/2012 Datos de la Publicación: Nº Gaceta: 97 del: 21/05/2012 Fecha de vigencia desde: 22/05/2012 Versión de la norma: 1 de 1 del 27/04/2012 Datos de la Publicación: Nº Gaceta: 97 del: 21/05/2012 Directriz 01-2012 Regula la recepción y atención de consultas dirigidas

Más detalles

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements.

4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. 4.8 ISO 22301:2012 Societal security - Business continuity management systems Requirements. Introducción. Este estándar especifica los requerimientos para planear, establecer, implementar, operar, supervisar,

Más detalles

TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS. 1. Aplicación de las presentes normas.

TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS. 1. Aplicación de las presentes normas. Hoja 1 CAPÍTULO 1-7 TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS 1. Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

REGLAMENTO A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES. Decreto Ejecutivo n.º 37554-JP

REGLAMENTO A LA LEY DE PROTECCIÓN DE LA PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES. Decreto Ejecutivo n.º 37554-JP PERSONA FRENTE AL TRATAMIENTO DE SUS DATOS PERSONALES Decreto Ejecutivo n.º 37554-JP Publicado en el Alcance Digital n. 42 a La Gaceta n. 45 de 05 de marzo de 2013. LA PRESIDENTA DE LA REPÚBLICA Y EL MINISTRO

Más detalles

EL TRACTAMENT DE LES DADES PERSONALS EN L ÁMBIT DE L ADVOCACIA I LES DADES AL NÚVOL (CLOUD COMPUTING)

EL TRACTAMENT DE LES DADES PERSONALS EN L ÁMBIT DE L ADVOCACIA I LES DADES AL NÚVOL (CLOUD COMPUTING) EL TRACTAMENT DE LES DADES PERSONALS EN L ÁMBIT DE L ADVOCACIA I LES DADES AL NÚVOL (CLOUD COMPUTING) JESÚS RUBÍ NAVARRETE ADJUNTO AL DIRECTOR AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ANDORRA 27/03/2015

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

En la ejecución del estudio de auditoría se observó (en lo aplicable) la siguiente normativa relacionada:

En la ejecución del estudio de auditoría se observó (en lo aplicable) la siguiente normativa relacionada: Deloitte & Touche, S.A. Centro Corporativo El Cafetal Edificio B, piso 2 Ap. Postal 3667-1000 La Ribera, Belén, Heredia Costa Rica 13 de octubre de 2014 Tel: (506) 2246 5000 Fax: (506) 2246 5100 www.deloitte.com/cr

Más detalles

Ahorrar costes de TI. Actualizar la infraestructura del hardware y software de la compañía. Disponer de una solución escalable, que aporte mayor

Ahorrar costes de TI. Actualizar la infraestructura del hardware y software de la compañía. Disponer de una solución escalable, que aporte mayor Ahorrar costes de TI. Actualizar la infraestructura del hardware y software de la compañía. Disponer de una solución escalable, que aporte mayor flexibilidad y adaptabilidad a cada escenario, en cada momento

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES CORRESPONDIENTE AL CONTRATO 2011/2011/01061

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES CORRESPONDIENTE AL CONTRATO 2011/2011/01061 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES CORRESPONDIENTE AL CONTRATO 2011/2011/01061 1ª.- CARACTERÍSTICAS TÉCNICAS QUE HA DE REUNIR EL OBJETO DEL CONTRATO. Este contrato tiene por objeto la prestación

Más detalles

Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI)

Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI) Directrices Generales para el Establecimiento y Funcionamiento del Sistema Específico de Valoración del Riesgo Institucional (SEVRI) CONTRALORÍA GENERAL DE LA REPÚBLICA R-CO-64-2005. Despacho de la Contraloría

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

MEMO Para. Clientes y amigos Fecha 9 de abril del 2013 Ref. Régimen de Protección de Datos Personales

MEMO Para. Clientes y amigos Fecha 9 de abril del 2013 Ref. Régimen de Protección de Datos Personales MEMO Para Clientes y amigos Fecha 9 de abril del 2013 Ref. Régimen de Protección de Datos Personales El 22 de marzo del 2013 se publicó en el Diario Oficial El Peruano el Reglamento de la Ley Nº 29733,

Más detalles

POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN SIGMA DENTAL DE COLOMBIA SAS. Domicilio: Bogotá D.C. Dirección: Cra. 11ª No. 93 a -62 oficina 301

POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN SIGMA DENTAL DE COLOMBIA SAS. Domicilio: Bogotá D.C. Dirección: Cra. 11ª No. 93 a -62 oficina 301 POLÍTICAS DE TRATAMIENTO DE LA INFORMACIÓN SIGMA DENTAL DE COLOMBIA SAS. Domicilio: Bogotá D.C. Dirección: Cra. 11ª No. 93 a -62 oficina 301 Teléfonos 3798180 Correo electrónico: servicioalcliente@sigmadental.com.co

Más detalles

REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL ELECTORAL.

REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL ELECTORAL. 1 REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL CAPÍTULO I DISPOSICIONES GENERALES Artículo. 1. El presente Reglamento tiene por objeto regular: a) La emisión,

Más detalles

POLÍTICAS DE TRATAMIENTO DE DATOS PERSONALES DE ZONA FRANCA PERMANENTE PALMASECA S.A. USUARIO OPERADOR DE ZONA FRANCA

POLÍTICAS DE TRATAMIENTO DE DATOS PERSONALES DE ZONA FRANCA PERMANENTE PALMASECA S.A. USUARIO OPERADOR DE ZONA FRANCA POLÍTICAS DE TRATAMIENTO DE DATOS PERSONALES DE ZONA FRANCA PERMANENTE PALMASECA S.A. USUARIO OPERADOR DE ZONA FRANCA ZONA FRANCA PERMANENTE RESPONSABLE DE LAS BASES DE DATOS: PALMASECA S.A. USUARIO OPERADOR

Más detalles

12 de diciembre de 2012

12 de diciembre de 2012 Aspectos Jurídicos del Cloud Computing Jorge Campanillas Ciaurriz Iurismatica Abogados, S.L.P. @jcampanillas @iurismatica #cloudlegal 12 de diciembre de 2012 Introducción Normativa aplicable. Condiciones

Más detalles

Corte Suprema de Justicia Secretaría General

Corte Suprema de Justicia Secretaría General CIRCULAR Nº 120-10 Asunto: Reglamento para la administración y Uso de los Recursos Tecnológicos del Poder Judicial.- A LOS SERVIDORES Y SERVIDORAS JUDICIALES DEL PAÍS SE LES HACE SABER QUE: La Corte Plena

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento 1. OBJETO 2. ALCANCE Cumplimiento del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y el artículo 21 del Real Decreto 1720/2007 (LOPD). Todos

Más detalles

GUÍA. Computing. Cloud. clientes que. contraten servicios. para

GUÍA. Computing. Cloud. clientes que. contraten servicios. para GUÍA para clientes que contraten servicios de Cloud Computing GUÍA para clientes que contraten servicios de Cloud Computing AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS-2013 índice 5 QUÉ ES CLOUD COMPUTING?

Más detalles

GUÍA. Computing. Cloud. clientes que. contraten servicios. para

GUÍA. Computing. Cloud. clientes que. contraten servicios. para GUÍA para clientes que contraten servicios de Cloud Computing GUÍA para clientes que contraten servicios de Cloud Computing AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS-2013 índice 5 QUÉ ES CLOUD COMPUTING?

Más detalles

Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Unidad de Planificación, Gestión de la Calidad y Control Interno

Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Unidad de Planificación, Gestión de la Calidad y Control Interno PCCI-PL-P- Elaborado por: Jefe PCCI Lic. Adrián Gómez Díaz Fecha: 11/06/22 /08/22 1. INTRODUCCIÓN Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado Unidad de Planificación, Gestión

Más detalles

INFORME AU-IF-MTSS-CI-00013-2014 DIRECCION GENERAL DE AUDITORIA DEPARTAMENTO MTSS

INFORME AU-IF-MTSS-CI-00013-2014 DIRECCION GENERAL DE AUDITORIA DEPARTAMENTO MTSS INFORME AU-IF-MTSS-CI-00013-2014 DIRECCION GENERAL DE AUDITORIA DEPARTAMENTO MTSS Estudio sobre el Decreto Nº 37549-JP, Reglamento para la Protección de los Programas de Cómputo en los Ministerios e Instituciones

Más detalles

Armonización Contable en la nube

Armonización Contable en la nube Armonización Contable en la nube Armonización Contable Ley General de Contabilidad Gubernamental El pasado 31 de diciembre de 2008 fue publicado en el Diario Oficial de la Federación DECRETO por el que

Más detalles

Política de Privacidad de Datos

Política de Privacidad de Datos Política de Privacidad de Datos La presente Política de Privacidad de Datos, tiene por objeto poner en conocimiento de los Usuarios los alcances de la protección integral de sus datos personales asentados

Más detalles

Gabinete Jurídico. Informe 0411/2009

Gabinete Jurídico. Informe 0411/2009 Informe 0411/2009 La consulta plantea la posibilidad de incorporar y alojar los datos resultantes de las acciones de vigilancia periódica de la salud de los trabajadores de sus empresas clientes, obtenidos

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado

Ministerio de Agricultura y Ganadería Servicio Fitosanitario del Estado 1 Girar instrucciones a la 20 días mié 01/02/12 mar 28/02/12 Unidad PCCI, para que realice un diagnóstico del estado en que se encuentra la implementación del modelo SCI; gestión que incluye emitir informe

Más detalles

POLITICAS Y PROTOCOLO DE PROTECCIÓN DE DATOS PERSONALES

POLITICAS Y PROTOCOLO DE PROTECCIÓN DE DATOS PERSONALES Versión: 1.0 Página 1 de 7 POLITICAS Y PROTOCOLO DE PROTECCIÓN DE DATOS PERSONALES La Caja de compensación familiar de Casanare COMFACASANARE, de acuerdo a la ley 1581 de 2012 y el decreto reglamentario

Más detalles

IN CLOUD. La propuesta de Indra en la nube. indracompany.com

IN CLOUD. La propuesta de Indra en la nube. indracompany.com La propuesta de Indra en la nube indracompany.com NUESTRA PROPUESTA Innovadora Motor de impulso en la adopción de nuevas tecnologías, social, móvil, analítica Funcional Foco en las aplicaciones con herramientas

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Instituto Costarricense de Turismo Auditoría General Informe final de gestión de la Auditora General, período de junio 1997 a enero 2014.

Instituto Costarricense de Turismo Auditoría General Informe final de gestión de la Auditora General, período de junio 1997 a enero 2014. INSTITUTO COSTARRICENSE DE TURISMO AUDITORÍA GENERAL INFORME FINAL DE GESTION AUDITORA GENERAL, PERIODO JUNIO DE 1997 A ENERO DE 2014 Realizado por: Joyce Mary Hernández Arburola, Licda. Diciembre, 2013

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL

PROGRAMA DE GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL CÁMARA DE COMERCIO Bogotá, D.C.; Octubre de 2015 Versión 1.0 Tabla de contenido 1 INTRODUCCIÓN... 5 2 ALCANCE... 6 3 OBJETIVO GENERAL... 6 3.1 OBJETIVOS ESPECÍFICOS... 6

Más detalles

UNIVERSIDAD PONTIFICIA DE SALAMANCA. Faculta de Informática

UNIVERSIDAD PONTIFICIA DE SALAMANCA. Faculta de Informática UNIVERSIDAD PONTIFICIA DE SALAMANCA Faculta de Informática Sistemas de Información y Auditoría de Sistemas de Información Modelos de servicio en Cloud Computing (SaaS, PaaS, IaaS) Alumno:!!! Alberto Balado

Más detalles

Señor Contralor y Auditor General de la India, Presidente del Comité de Auditoría de Tecnologías de la Información de INTOSAI,

Señor Contralor y Auditor General de la India, Presidente del Comité de Auditoría de Tecnologías de la Información de INTOSAI, Señor Contralor y Auditor General de la India, Presidente del Comité de Auditoría de Tecnologías de la Información de INTOSAI, Señor Contralor de la República de Japón, distinguido anfitrión de la décimo

Más detalles

AF-I-M-001-V00-26/07/2013 POLÍTICAS PARA EL TRATAMIENTO DE DATOS PERSONALES

AF-I-M-001-V00-26/07/2013 POLÍTICAS PARA EL TRATAMIENTO DE DATOS PERSONALES AF-I-M-001-V00-26/07/2013 POLÍTICAS PARA EL TRATAMIENTO DE DATOS PERSONALES 1 Contenido 1 Introducción.... 4 2 Definiciones.... 4 3 Principios establecidos por la ley para el Tratamiento de los Datos Personales....

Más detalles

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011

INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 CONTENIDO RESUMEN EJECUTIVO... 01 OBJETIVOS Y ALCANCE... 03 1. Objetivos de la auto-evaluación. 03 2. Alcance 03 RESULTADOS...

Más detalles

MINISTERIO DE JUSTICIA

MINISTERIO DE JUSTICIA BOE núm. 151 Viernes 25 junio 1999 24241 Artículo 19. Entrada en vigor y duración. 1. El presente Acuerdo se aplicará provisionalmente a partir de la fecha de su firma y entrará en vigor en la fecha de

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

CONDICIONES PARTICULARES CUENTA INDIVIDUAL DE MENSAJERÍA DE COLABORACIÓN

CONDICIONES PARTICULARES CUENTA INDIVIDUAL DE MENSAJERÍA DE COLABORACIÓN CONDICIONES PARTICULARES CUENTA INDIVIDUAL DE MENSAJERÍA DE COLABORACIÓN Definiciones: Ultima versión de fecha de 13/06/ 2011 Activación del Servicio: La activación del Servicio se produce a partir de

Más detalles

GESTION DOCUMENTAL PROGRAMA DE GESTION DOCUMENTAL

GESTION DOCUMENTAL PROGRAMA DE GESTION DOCUMENTAL GESTION DOCUMENTAL PROGRAMA DE GESTION DOCUMENTAL Personería Municipal de Berbeo Boyacá Comité Interno de Archivo Personero Municipal Jorge Enrique Chaparro Mora 06 de Febrero de 2015 1 CONTENIDO 1. INTRODUCCIÓN

Más detalles

MUNICIPALIDAD DE SAN JOSÉ REGLAMENTO INTERNO PARA LA OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DE LA MUNICIPALIDAD DE SAN JOSÉ

MUNICIPALIDAD DE SAN JOSÉ REGLAMENTO INTERNO PARA LA OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DE LA MUNICIPALIDAD DE SAN JOSÉ MUNICIPALIDAD DE SAN JOSÉ REGLAMENTO INTERNO PARA LA OPERACIÓN Y MANTENIMIENTO DEL SISTEMA DE CONTROL INTERNO DE LA MUNICIPALIDAD DE SAN JOSÉ APROBADO POR: CONCEJO MUNICIPAL DEL MUNICIPALIDAD DE SAN JOSÉ.

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

Gestión del sistema de Control Interno

Gestión del sistema de Control Interno Gestión del sistema de Control Interno MS.NI.LI.06 MINISTERIO DE SALUD DE COSTA RICA - ÁREA DE GESTIÓN: LIDERAZGO INTRAINSTITUCIONAL PREPARADO POR: VALIDADO POR : REVISADO POR: APROBADO POR: EQUIPO CONSULTOR

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

NORMAS GENERALES DEL SISTEMA DE INTERCONEXION DE PAGOS (SIP)

NORMAS GENERALES DEL SISTEMA DE INTERCONEXION DE PAGOS (SIP) NORMAS GENERALES DEL SISTEMA DE INTERCONEXION DE PAGOS (SIP) COMITÉ TÉCNICO DE SISTEMA DE PAGOS CONSEJO MONETARIO CENTROAMERICANO NORMAS GENERALES DEL SISTEMA DE INTERCONEXIÓN DE PAGOS (SIP) CAPÍTULO I

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: LEY DEL INSTITUTO NACIONAL DE INNOVACIÓN Y TRANSFERENCIA EN TECNOLOGÍA AGROPECUARIA

LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: LEY DEL INSTITUTO NACIONAL DE INNOVACIÓN Y TRANSFERENCIA EN TECNOLOGÍA AGROPECUARIA 8149 LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA DECRETA: LEY DEL INSTITUTO NACIONAL DE INNOVACIÓN Y TRANSFERENCIA EN TECNOLOGÍA AGROPECUARIA CAPÍTULO I CREACIÓN DEL INSTITUTO ARTÍCULO 1.- Créase

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

POLÍTICAS PARA EL MANEJO DE BASES DE DATOS

POLÍTICAS PARA EL MANEJO DE BASES DE DATOS INTRODUCCIÓN POLÍTICAS PARA EL MANEJO DE BASES DE DATOS Teniendo como finalidad el cumplimiento de la normatividad sobre protección de datos personales definido en la ley 1581 de 2012 y legislación complementaria,

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I

REGLAMENTO PARA EL USO Y CONTROL DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIÓN EN LAS ENTIDADES DEL SECTOR PÚBLICO CAPÍTULO I DECRETO No. 24 EL PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPÚBLICA, CONSIDERANDO: I. El acelerado incremento y desarrollo de las Tecnologías de Información y Comunicación (TIC), en las entidades gubernamentales

Más detalles

INFORME Nº DFOE-SM-131/2005 12 de diciembre, 2005

INFORME Nº DFOE-SM-131/2005 12 de diciembre, 2005 DIVISIÓN DE FISCALIZACIÓN OPERATIVA Y EVALUATIVA ÁREA DE SERVICIOS MUNICIPALES INFORME SOBRE EL SEGUIMIENTO DE DISPOSICIONES, GIRADAS POR ESTA CONTRALORÍA GENERAL EN EL INFORME Nº DFOE-SM-11/2004, DENOMINADO

Más detalles