Seguridad en el Proceso de Desarrollo de Software

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seguridad en el Proceso de Desarrollo de Software"

Transcripción

1 GSEI Seguridad en el Proceso de Desarrollo de Software 24/11/09 Seguridad en el Proceso de Desarrollo de Software Versión 0.9 ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 1 / 28

2 Índice INTRODUCCIÓN... 5 OBJETIVO... 5 ALCANCE... 5 CONSIDERACIONES GENERALES... 5 ASIGNACIÓN DE RESPONSABILIDADES O FUNCIONES Y RESPONSABILIDADES... 6 POLÍTICA... 7 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS... 7 Análisis y Especificaciones de los Requisitos de Seguridad... 7 AMBIENTES EN EL PROCESO DE DESARROLLO Desarrollo:... 8 Testeo:... 8 Producción:... 8 CONTROL DE ACCESO... 9 CONTROLES CRIPTOGRÁFICOS Utilización de Controles Criptográficos Cifrado Firma Digital Servicios de No Repudio Administración de Claves Protección de Claves Criptográficas Procedimientos y Métodos SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 2 / 28

3 Protección de los archivos en el disco duro Control del Software Operativo Protección de los Datos de Producción Control de Cambios a Datos de Producción Control de Acceso a las Bibliotecas de Programas Fuentes SEGURIDAD EN LAS COMUNICACIONES SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE Procedimiento de Control de Cambios Revisión Técnica de los Cambios en el Sistema Operativo Canales Ocultos y Código Malicioso AUDITORÍA Y TRAZABILIDAD VERIFICACIÓN DE LA SEGURIDAD Verificación de la seguridad en el desarrollo intracomponente Verificación de la seguridad de un componente Verificación de la seguridad de la aplicación Verificación de la seguridad de sistemas de aplicaciones Verificación del estado de salud de la aplicación en producción SEGURIDAD EN LA IMPLEMENTACIÓN Validación de Datos de Entrada Utilización de Estándares Fallar Seguro Autenticación y cifrado de Mensajes Validación de Datos de Salida ANEXO ROLES DEFINIDOS Y RELACIONADOS EN SEGURIDAD EN EL PROCESO DE DESARROLLO DE SOFTWARE ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 3 / 28

4 RESPONSABLE DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN RESPONSABLE DEL DESARROLLO RESPONSABLE DE INFRAESTRUCTURA RESPONSABLE DE AUDITORÍA DUEÑO DE LA INFORMACIÓN RESPONSABLE INFORMÁTICO DE LA APLICACIÓN DUEÑO DE LA INFORMACIÓN (DE LA APLICACIÓN) IMPLANTADOR IMPLANTADOR DE CAMBIOS EN DATOS ADMINISTRADOR DE CÓDIGO Y PROGRAMAS FUENTES RESPONSABLE DE VERIFICACIÓN ANEXO B DOCUMENTACIÓN A ENTREGAR DOCUMENTO DE ANÁLISIS DE RIESGOS DOCUMENTO DE REQUISITOS DE SEGURIDAD DOCUMENTO DE DISEÑO DE CONTROLES DE SEGURIDAD DOCUMENTO DE IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD DOCUMENTO DE GESTIÓN DE EXCEPCIONES DE SEGURIDAD REFERENCIAS ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 4 / 28

5 Introducción Objetivo El presente documento tiene por objetivo describir las políticas de seguridad a implementar en el proceso de desarrollo de software en el B.P.S. Definir y documentar las normas y procedimientos de seguridad que se aplicarán durante el ciclo de vida del Proceso de Ingeniería de Software. Alcance Este documento aplica a los sistemas informáticos desarrollados en el B.P.S. o desarrollado por terceros para el BPS, la infraestructura que utilicen, y las personas que participen del proceso de desarrollo, tanto explicita como implícitamente. El grupo de Gestión de Seguridad de la Información será el encargado de las definiciones presentadas en este documento así como proponer los cambios que sean pertinentes. CDES, ATEC, Metodología y ASIT son las responsables de aprobar este documento. Consideraciones generales Desde las primeras etapas del proceso de Ingeniería de Software deben considerarse aspectos de seguridad. Desde el análisis ya deben identificarse los requisitos de seguridad que luego la aplicación deberá cumplir. Deberá tenerse en cuenta que no solamente deben programarse las aplicaciones para que cumplan con los requisitos de seguridad de la aplicación en sí, sino que además el proceso de desarrollo deberá cumplir con los requisitos que se proponen en este documento, así como también con los requisitos incluidos en las Políticas de Seguridad de la Información. Durante el Análisis deben identificarse los requisitos de seguridad así como su respectiva validación. En la etapa de Diseño deberán diseñarse los controles necesarios para satisfacer los requisitos identificados anteriormente. En la etapa de Implementación deben implementarse los controles de seguridad además de aplicarse los controles relativos al proceso de desarrollo de software, aquellos controles que deban estar en la aplicación, como por ejemplo validaciones a realizarse en el software, encriptado, etc. En fase de Verificación se debe verificar adecuadamente que los requisitos de seguridad de la aplicación se cumplen. Notar que ciertos controles serán transversales a todas las fases. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 5 / 28

6 Asignación de Responsabilidades o Funciones y Responsabilidades Se requiere la interacción de las áreas de Gestión de la Seguridad de la Información, Coordinación del Desarrollo, ATEC, Auditoría interna, así como el Dueño de la Información y el usuario dueño de la aplicación. En consecuencia los actores responsables involucrados serán el Responsable de la Gestión de Seguridad de la Información, el Responsable del Desarrollo, el Responsable de Infraestructura, el Responsable de Auditoría, el Dueño de la Información y el Usuario dueño del sistema (o un representante del conjunto de usuarios finales del sistema). El Responsable de la Gestión de Seguridad de la Información, el Responsable del Desarrollo, el Responsable de Infraestructura, el Responsable de Auditoría, el Dueño de la Información y el Usuario del sistema deberán en función de la criticidad de la información, especificar los requisitos de encriptación que sean requeridos, así como definir los métodos que mejor implementen dichos requisitos. El Responsable de Gestión de Seguridad, en conjunto con el Responsable del Desarrollo, y el Responsable de Infraestructura, definirán el proceso administrativo de claves, así como también la administración de las técnicas criptográficas que deban utilizarse. El Responsable de Gestión de Seguridad verificará que los controles se apliquen, así como el cumplimiento de los requisitos de seguridad para las aplicaciones. Verificará además, que el diseño del sistema adhiera a las Políticas de Seguridad de la Información. Deberá verificar que se apliquen correctamente los procedimientos de control de cambios que se hayan definido. Se deberá verificar que los estándares tecnológicos publicados por la ASIT también están siendo considerados. (esto como forma de comprobar que el sistema será compatible con el entorno tecnológico de la organización y los objetivos estratégicos de la misma). El Responsable del Desarrollo y el Responsables de Infraestructura deberán documentar y mantener actualizado quienes obtienen acceso a los datos, y quienes acceden a los datos reales (en caso de necesitarse). Auditoría interna podrá plantear requisitos de seguridad, así como luego deberá verificar que se implementen los controles que satisfagan todos los requisitos de seguridad. El Usuario de la aplicación deberá participar en el Análisis de Requisitos, así como en el entrenamiento de la misma. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 6 / 28

7 Política 1. Requisitos de Seguridad de los Sistemas La metodología definida para el desarrollo de las aplicaciones deberá considerar los aspectos de seguridad y control durante todo el ciclo de vida del desarrollo. Análisis y Especificaciones de los Requisitos de Seguridad Se deberá incluir un proceso de evaluación de riesgos durante la etapa de especificación de requisitos, en la cual debieran participar el Responsable de Gestión de Seguridad de la Información, el Responsable del Desarrollo, el Responsable de Infraestructura, el Responsable de Auditoría, el Dueño de la Información y el Usuario Dueño. Deberá documentarse el resultado de dicha evaluación. En base al análisis de riesgos realizado deberá generarse un documento o un apartado en el documento de requisitos del sistema que identifique los requisitos de seguridad especificados para la mitigación de los riesgos identificados Debieran considerarse el nivel que se debe cumplir de los tres principios básicos de la seguridad de la información: Confidencialidad Integridad Disponibilidad Debiendo agregarse los siguientes: trazabilidad y no repudio. El Responsable de Gestión de Seguridad de la Información, el Responsable del Desarrollo, el Responsable de Infraestructura y el Dueño de la Información, deberán especificar y aprobar los controles que satisfagan a los distintos requisitos, pudiendo incluso solicitar una evaluación previa de los mismos, para verificar la viabilidad del control. Deberá especificarse el mapeo entre el requisito de seguridad y uno o más controles que implementen el requisito. Se deberán considerar controles manuales como apoyo a los automáticos, de manera obligatoria, y no asumir que porque de forma automática ya se cumple con ese requisito entonces se puede omitir la implementación del mismo. Al especificar controles de seguridad se deberán evaluar los controles propuestos considerando el costo, esfuerzo, criticidad de la información y/o los bienes que quieren protegerse y las probabilidades del riesgo que mitiga. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 7 / 28

8 Considerar que la inclusión de este proceso y el diseño de los controles en etapas tempranas del desarrollo siempre es menos costoso que considerarlas en la implementación o luego de ella. Ambientes en el Proceso de Desarrollo. Se deberá contar con tres ambientes completos para el ciclo de ingeniería de software. Estos ambientes serán: Desarrollo: Es el ambiente propio de los desarrolladores. El desarrollador es el responsable del mantenimiento del ambiente, Se recomienda utilizar en lo posible productos semejantes a los empleados en producción de manera de disminuir las diferencias. Testeo: Es el ambiente en el cual se realizan las pruebas de caja negra a las aplicaciones. Deberá replicar exactamente en productos y configuración al ambiente de producción, siendo recomendable además que también utilice una réplica exacta de la infraestructura. La administración del mismo deberá estar en manos de infraestructura, el Responsable de Infraestructura deberá indicar quien de su sector será el o los encargado/s de este ambiente. El personal del desarrollo no deberá acceder a la administración de este ambiente, pero sí podrá participar en las pruebas a realizar en el mismo, siendo lo ideal que el personal vinculado al área de Verificación, sea el único encargado de realizar las pruebas en este ambiente. Este ambiente es exclusivo de Testeo y no deberá en ningún momento, salvo las excepciones acordadas por el Responsable de Seguridad, el responsable de Infraestructura y el responsable de Desarrollo, apuntar a datos de producción. Con respecto a los datos los mismos deberán ser enmascarados tal cual lo explica en Protección de los Datos de Producción. Producción: o Es el ambiente operativo. o La administración del mismo deberá estar en manos de infraestructura, el Responsable de Infraestructura deberá indicar quien de su sector será el o los encargado/s de este ambiente. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 8 / 28

9 o o El personal del desarrollo no deberá acceder a la administración de este ambiente. No se deberán realizar pruebas que modifiquen datos en este ambiente. Control de Acceso Todos los sistemas que no sean de libre acceso deberán contar con control de acceso basado en roles. La autorización deberá realizarse sobre el mismo sujeto que se autentica o también podrá requerirse mayor información que permita obtener la autorización con granularidad más fina. Como ejemplo: se autentica una aplicación, se autoriza a la aplicación junto con el usuario que la utiliza. El tipo de autenticación/autorización varía de acuerdo al sujeto y a los nodos. Es recomendable que entre distintos nodos exista autenticación, y autorización. Por ejemplo en una interacción entre un usuario con una aplicación web, que se aloja en un servidor web, el cual se comunica con un servidor de aplicaciones, el que finalmente accede a la bases de datos. A nivel de comunicación con la base de datos, si la aplicación/componente es de solo lectura, deberá utilizarse un usuario de genérico propio de la aplicación para acceder a la base de datos (no es compartido con ninguna otra aplicación) con derechos de solo lectura. Si la aplicación/componente es de escritura, entonces pueden tomarse, por ejemplo, las siguientes alternativas: 1. Tener un usuario de la base de datos genérico propio de la aplicación con derechos de lectura/escritura. 2. Contar con dos usuarios de la base de datos propios de la aplicación. Uno tendrá derechos de solo lectura y se utilizará para aquellas funciones donde solo se requiera consulta. Y un segundo usuario con derechos de escritura. Según la criticidad de la aplicación/componente y el costo/beneficio ganado por la utilización de estas opciones se elegirá la número 1, 2, o alguna otra alternativa que sea debidamente justificada. Para cualquier caso deberán activarse los controles de auditoría necesarios. En la siguiente figura de ejemplo el servidor web coincide con el servidor de aplicaciones. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 9 / 28

10 User1 Datos User2 Servidor user: application_a (read/write) User3 Se deberá diseñar y desarrollar los componentes responsables de distintos dominios de negocio. El resto de las aplicaciones/componentes que requieran datos de un determinado dominio del negocio, no deberán acceder directamente a los datos en sí, sino que reutilizarán estos componentes. De esta manera se unifica el control de acceso a los datos, basados en la creación de distintos dominios de seguridad determinados por el negocio. Controles Criptográficos Se utilizarán sistemas y técnicas criptográficas para la protección de la información en base a un análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su confidencialidad e integridad. Utilización de Controles Criptográficos. El B.P.S. define el siguiente conjunto de controles criptográficos, a fin de determinar su correcto uso. Para ello se indica que se utilizarán controles criptográficos en los siguientes casos: 1. Para la protección de claves de acceso a sistemas, datos y servicios. 2. Para la transmisión de información clasificada, fuera del ámbito del B.P.S. 3. Para el resguardo de información, cuando así surja de la evaluación de riesgos realizada por el Dueño de la Información y el Responsable de Seguridad Informática. 4. Se desarrollarán procedimientos respecto de la administración de claves, de la recuperación de información cifrada en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de las claves de cifrado. 5. El Responsable del Desarrollo, del Área Informática propondrá la siguiente asignación de funciones: a. Implementación de los Controles Criptográficos ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 10 / 28

11 6. Los Certificados Digitales Personales utilizados en cualquiera de sus aplicaciones deberán cumplir con los requisitos propuestos por la ASIT, en particular deberán ser brindados por una empresa u organización reconocida como CA. 7. Si se utilizara Dispositivos criptográficos USB, se deberán seguir las pautas propuestas la ASIT. Cifrado Mediante la evaluación de riesgos se identificará el nivel requerido de protección, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptográficas a utilizar. Firma Digital Las firmas digitales proporcionan un medio de protección de la autenticidad e integridad de los documentos electrónicos. Pueden aplicarse a cualquier tipo de documento que se procese electrónicamente. Se implementan mediante el uso de una técnica criptográfica sobre la base de dos claves relacionadas de manera única, donde una clave, denominada privada, se utiliza para crear una firma y la otra, denominada pública, para verificarla. Se tomarán recaudos para proteger la confidencialidad de las claves privadas. Asimismo, es importante proteger la integridad de la clave pública. Esta protección se provee mediante el uso de un certificado de clave pública. Los algoritmos de firma utilizados, como así también la longitud de clave a emplear, son las enumeradas en 0 Utilización de Controles Criptográficos. Se recomienda que las claves criptográficas utilizadas para firmar digitalmente no sean empleadas en procedimientos de cifrado de información. Dichas claves deben ser resguardadas bajo el control exclusivo de su titular. Al utilizar firmas y certificados digitales, se considerará la legislación vigente que describa las condiciones bajo las cuales una firma digital es legalmente válida. En algunos casos podría ser necesario establecer acuerdos especiales para respaldar el uso de las firmas digitales. A tal fin se deberá obtener asesoramiento legal con respecto al marco normativo aplicable y la modalidad del acuerdo a implementar. Servicios de No Repudio Estos servicios se utilizarán cuando sea necesario resolver disputas acerca de la ocurrencia de un evento o acción. Su objetivo es proporcionar herramientas para evitar que aquél que haya originado una transacción electrónica niegue haberla efectuado. Cuando se requiera el no repudio de elaboración de un documento, o de pertenencia de un documento, se recurrirá a la firma digital de documentos. Utilizando certificados digitales, acorde al punto Firma Digital. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 11 / 28

12 Si se requiere el No Repudio de una variación a nivel de datos, entonces deberá realizarse un registro de auditoría de cada cambio que el usuario realiza, explícita o implícitamente, permitiendo de esta manera identificar el conjunto de pasos que el usuario realizó, y replicarlo en un nuevo ambiente. Administración de Claves Protección de Claves Criptográficas Se implementará un sistema de administración de claves criptográficas para respaldar la utilización por parte del Organismo de los dos tipos de técnicas criptográficas, a saber: 1. Técnicas de clave secreta (criptografía simétrica), cuando dos o más actores comparten la misma clave y ésta se utiliza tanto para cifrar información como para descifrarla. 2. Técnicas de clave pública (criptografía asimétrica), cuando cada usuario tiene un par de claves: una clave pública (que puede ser revelada a cualquier persona) utilizada para cifrar y una clave privada (que debe mantenerse en secreto) utilizada para descifrar. Las claves asimétricas utilizadas para cifrado no deben ser las mismas que se utilizan para firmar digitalmente. Todas las claves serán protegidas contra modificación y destrucción, y las claves secretas y privadas serán protegidas contra copia o divulgación no autorizada. Se proporcionará una protección adecuada al equipamiento utilizado para generar, almacenar y archivar claves, considerándolo crítico o de alto riesgo. Procedimientos y Métodos Se redactarán procedimientos necesarios para: Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones. Generar y obtener certificados de clave pública de manera segura. Distribuir claves de forma segura a los usuarios que corresponda, incluyendo información sobre cómo deben activarse cuando se reciban. Almacenar claves, incluyendo la forma de acceso a las mismas por parte de los usuarios autorizados. Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse las claves. Revocar claves, incluyendo cómo deben retirarse o desactivarse las mismas, por ejemplo cuando las claves están comprometidas o cuando un usuario se desvincula del Organismo (en cuyo caso las claves también deben archivarse). Recuperar claves perdidas o alteradas como parte de la administración de la continuidad de las actividades del Organismo, por ejemplo para la recuperación de la información cifrada. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 12 / 28

13 Archivar claves, por ejemplo, para la información archivada o resguardada. Destruir claves. Registrar y auditar las actividades relativas a la administración de claves. A fin de reducir la probabilidad de compromiso, las claves tendrán fechas de inicio y caducidad de vigencia, definidas de manera que sólo puedan ser utilizadas por el lapso (no debería ser mayor a 12 meses). Además de la administración segura de las claves secretas y privadas, deberá tenerse en cuenta la protección de las claves públicas. Este problema es abordado mediante el uso de un certificado de clave pública. Este certificado se generará de forma que vincule de manera única la información relativa al propietario del par de claves pública/privada con la clave pública. En consecuencia es importante que el proceso de administración de los certificados de clave pública sea absolutamente confiable. Este proceso es llevado a cabo por una entidad denominada Autoridad de Certificación (AC) o Certificador. Seguridad de los Archivos del Sistema Se garantizará que los desarrollos y actividades de soporte a los sistemas se lleven a cabo de manera segura, controlando el acceso a los archivos del mismo. Protección de los archivos en el disco duro Ningún programa podrá acceder a archivos y/o carpetas en los sistemas que no sean de su propiedad. Esto deberá cumplirse independientemente de si las aplicaciones se encuentran alojadas en Servidores de Aplicaciones o en Computadoras de Escritorio. Los archivos propios de cada aplicación deberán guardarse en lugares predefinidos. En el caso de las aplicaciones de escritorio, deberá acordarse un lugar donde el sistema operativo en el cual se corre la aplicación le provea al usuario la capacidad de guardar archivos de aplicaciones, evitando la necesidad de derechos especiales para la ejecución de estos programas, como puede ser la escritura de archivos en el disco duro en la ruta raíz. En el caso de las aplicaciones alojadas en servidores deberá acordarse un lugar donde la aplicación deberá acceder, Los servidores de aplicaciones solo deberán acceder a los archivos que le pertenecen, y deberá mantenerse el debido aislamiento entre las aplicaciones de un mismo servidor de aplicaciones y entre los recursos que utilizan. Deberán realizarse los controles necesarios para garantizar el control de acceso a los recursos del sistema. Los sistemas deberán acceder únicamente a los archivos que les pertenecen. Es recomendable que además que sean los sistemas propietarios de estos archivos los únicos capaces de acceder a éstos. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 13 / 28

14 Control del Software Operativo Se definen los siguientes controles a realizar durante la implementación del software en producción, a fin de minimizar el riesgo de alteración de los sistemas. Toda aplicación, desarrollada por el Organismo o por un tercero tendrá un único responsable informático designado formalmente por el Responsable del Desarrollo al que se denominará Responsable Informático de la Aplicación y también un único un Dueño de la Información. Ningún programador o analista de desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de producción. El Responsable del Desarrollo, propondrá la asignación de la función de Implantador al personal de su área que considere adecuado, quien tendrá como funciones principales: o Coordinar la implantación de modificaciones o nuevos programas en el ambiente de Producción. o Asegurar que los sistemas aplicativos en uso, en el ambiente de Producción, sean los autorizados y aprobados de acuerdo a las normas y procedimientos vigentes. o Solicitar la Instalación las modificaciones, controlando previamente la recepción de la prueba aprobada por parte del dueño de la información y del grupo encargado de la verificación. Además deberían seguirse los siguientes controles: Guardar sólo los ejecutables en el ambiente de producción y/o archivos de configuración. Llevar un registro de auditoría de las actualizaciones realizadas. Retener las versiones previas del sistema, como medida de contingencia. Definir un procedimiento que establezca los pasos a seguir para implementar las autorizaciones y conformes pertinentes, las pruebas previas a realizarse, etc. Denegar permisos de modificación al implantador sobre los programas fuentes bajo su custodia. Evitar, que la función de implantador sea ejercida por personal que pertenezca al sector de desarrollo de esa aplicación. Protección de los Datos de Producción Se prohíbe el uso de base de datos operativas (de producción) para la realización de pruebas. Las pruebas de los sistemas se efectuarán sobre datos extraídos del ambiente de Producción y se volcarán en el ambiente de testeo. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 14 / 28

15 Para proteger los datos de prueba se establecerán procedimientos que contemplen: Despersonalización de los datos antes de su uso. Aplicar idénticos procedimientos de control de acceso que en la base de producción. De manera de replicar lo más posible el ambiente de producción. Solicitar autorización formal para realizar una copia de la base operativa como base de prueba, llevando registro de tal autorización. Eliminar inmediatamente, una vez completadas las pruebas, la información operativa utilizada. Control de Cambios a Datos de Producción La modificación, actualización o eliminación de los datos operativos serán realizadas a través de los sistemas que procesan dichos datos y de acuerdo al esquema de control de accesos implementado en los mismos. Una modificación por fuera de los sistemas a un dato (No Regular), almacenado ya sea en un archivo o base de datos, podría poner en riesgo la integridad de la información. Los casos en los que no fuera posible la aplicación de la precedente estrategia, se considerarán como excepciones. El Responsable de Gestión de Seguridad de la Información definirá procedimientos para la gestión de dichas excepciones que contemplarán lo siguiente: Se generará una solicitud formal para la realización de la modificación, actualización o eliminación del dato. El Dueño de la Información afectada y el Responsable de Desarrollo aprobarán la ejecución del cambio evaluando las razones por las cuales se solicita. La justificación de las decisiones tomadas, así como la información sobre el cambio realizado deberá estar disponible para una posterior revisión de Auditoría. Se generarán cuentas de usuario de emergencia para ser utilizadas en la ejecución de excepciones. Las mismas serán protegidas mediante contraseñas, sujetas al procedimiento de administración de contraseñas críticas y habilitadas sólo ante un requerimiento de emergencia y por el lapso que ésta dure. Se designará un encargado de implantar los cambios denominados Implantadores de cambios en Datos, se deberá evitar que la función sea ejercida por personal que pertenezca al sector de desarrollo de esa aplicación. Se registrarán todas las actividades realizadas con las cuentas de emergencia. Dicho registro será revisado posteriormente por el Responsable de Seguridad de la Información. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 15 / 28

16 Control de Acceso a las Bibliotecas de Programas Fuentes Para reducir la probabilidad de alteración de programas fuentes, se aplicarán los siguientes controles: El Responsable del Área Informática, propondrá la función de Administrador de código fuente al personal de su área que considere adecuado, quien tendrá en custodia los programas fuentes y deberá: o Proveer al Área de Desarrollo los códigos fuentes solicitados para su modificación, manteniendo en todo momento la correlación código fuente / ejecutable. o Llevar un registro actualizado de todo el código fuente en uso, indicando nombre del programa, programador, Analista Responsable que autorizó, versión, fecha de última modificación y fecha / hora de compilación y estado (en desarrollo, testeo, o producción). o Verificar que el Responsable que autoriza la solicitud de un programa fuente sea el designado para la aplicación, rechazando el pedido en caso contrario. Registrar cada solicitud aprobada. o Administrar las distintas versiones de una aplicación. o Asegurar que un mismo programa fuente no sea modificado simultáneamente por más de un desarrollador. Denegar al Administrador de código fuente permisos de modificación sobre los programas fuentes bajo su custodia. Establecer que todo programa objeto o ejecutable en producción tenga un único programa fuente asociado que garantice su origen. Establecer que el Implantador de producción efectuará la generación del programa objeto o ejecutable que estará en producción (compilación), a fin de garantizar tal correspondencia. Desarrollar un procedimiento que garantice que toda vez que se migre a producción el módulo fuente, se cree el código ejecutable correspondiente en forma automática. Evitar que la función de Administrador de código fuente sea ejercida por personal que pertenezca al sector de desarrollo y/o mantenimiento. Prohibir la guarda de programas o código fuente histórico (que no sea correspondiente a los programas operativos) en el ambiente de producción. Prohibir el acceso a todo operador y/o usuario de aplicaciones a los ambientes y a las herramientas que permitan la generación y/o manipulación de los programas fuentes. Realizar las copias de respaldo de los programas fuentes cumpliendo los requisitos de seguridad establecidos por el Organismo en los procedimientos que surgen del presente documento. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 16 / 28

17 Seguridad en las comunicaciones En aquellas aplicaciones/componentes cuya comunicación implique comunicación entre distintos nodos, ya sean virtuales y/o físicos, deberá protegerse la integridad de los datos, y la confidencialidad de los mismos (si así se requiere). Deberán seguirse los estándares y pautas de la organización. Seguridad de los Procesos de Desarrollo y Soporte Se controlará la seguridad en los entornos y el soporte dado a los mismos. Procedimiento de Control de Cambios A fin de minimizar los riesgos de alteración de los sistemas de información, se implementarán controles estrictos durante la implementación de cambios imponiendo el cumplimiento de procedimientos formales. Éstos garantizarán que se cumplan los procedimientos de seguridad y control, respetando la división de funciones. Para ello se establecerá un procedimiento que incluya las siguientes consideraciones: Verificar que los cambios sean propuestos por usuarios autorizados (deberá indicarse en la documentación de la aplicación/componente/sistema quienes son los usuarios autorizados a solicitar cambios). Mantener un registro de los niveles de autorización acordados. Solicitar la autorización del Dueño de la Información, en caso de tratarse de cambios a sistemas de procesamiento de la misma. Identificar todos los elementos que requieren modificaciones (componentes de software, bases de datos, hardware). Revisar los controles y los procedimientos de integridad para garantizar que no serán comprometidos por los cambios. Obtener aprobación formal por parte del Responsable del Desarrollo para las tareas detalladas, antes que comiencen las tareas. Solicitar la revisión del Responsable de Seguridad Informática para garantizar que no se violen los requisitos de seguridad que debe cumplir el software. Efectuar las actividades relativas al cambio en el ambiente de desarrollo. Obtener la aprobación por parte del usuario autorizado y del Área de Verificación mediante pruebas en el ambiente correspondiente. Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario como de la documentación operativa. Mantener un control de versiones para todas las actualizaciones de software. Garantizar que la implementación se llevará a cabo minimizando la discontinuidad de las actividades y sin alterar los procesos involucrados. Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar su operatoria. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 17 / 28

18 Garantizar que sea el implantador quien efectúe el pasaje de los objetos modificados al ambiente operativo, de acuerdo a lo establecido en Control del Software Operativo. En Ambientes en el Proceso de Desarrollo se presenta un esquema modelo de segregación de ambientes. Revisión Técnica de los Cambios en el Sistema Operativo Cada cambio que se considere significativo en el Sistema Operativo será evaluado y se deberá decidir si las aplicaciones serán revisadas para asegurar que no se produzca un impacto en su funcionamiento o seguridad. Esta revisión será obligatoria si se cambia de Sistema Operativo. Para ello, se definirá un procedimiento que incluya: Revisar los procedimientos de integridad y control de aplicaciones para garantizar que no hayan sido comprometidas por el cambio. Garantizar que los cambios en el sistema operativo sean informados con anterioridad a la implementación. Asegurar la actualización del Plan de Continuidad de las Actividades del B.P.S. Canales Ocultos y Código Malicioso Un canal oculto puede exponer información utilizando algunos medios indirectos y desconocidos. El código malicioso está diseñado para afectar a un sistema en forma no autorizada y no requerida por el usuario. En este sentido, se redactarán normas y procedimientos que incluyan: Adquirir programas a proveedores acreditados o productos ya evaluados. Examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas que se externos que se posea el código. Controlar el acceso y las modificaciones al código instalado. Utilizar herramientas para la protección contra la infección del software con código malicioso. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 18 / 28

19 Auditoría y Trazabilidad. Se utilizará un registro de auditoría, logging y monitoreo centralizado que provea herramientas para su administración. La información de auditoría deberá presentarse mediante un aplicativo de usuario final de forma que sea fácilmente legible y entendible, pudiéndose realizar reportes y estadísticas de uso de forma sencilla y precisa. Deberá quedar registrado en el sistema métricas de uso y quienes utilizan los sistemas. Se deberá guardar la trazabilidad completa de cada aplicación, funcionalidad, timestamp y el usuario de la aplicación para aquellas aplicaciones internas del organismo, cuando el mismo se desencadene una modificación que sea commiteada en los datos. Se registrarán todas las actividades realizadas con las cuentas de emergencia creadas en las bases de datos, tal cual se menciona en puntos anteriores. Se deberá contar con un registro de los datos que se modifican, datos viejos y datos nuevos, y timestamp. Esta actividad podrá ser realizada por la propia base de datos. Como se mencionó anteriormente se deberá registrar y auditar las actividades relativas a la administración de claves. Verificación de la Seguridad. La verificación de la seguridad se debe dar en distintos niveles: En el desarrollo de un componente, clase o conjunto de método. (en el código desarrollado o el que se está desarrollando). En la vista externa de los componentes de una aplicación (caja Negra). La aplicación (como sistema global). Sistema de aplicaciones. Estado de salud de la aplicación en producción. Verificación de la seguridad en el desarrollo intracomponente. Se debe verificar la seguridad del código que se está desarrollado intracomponente, sin esperar a que sea verificado cuando se esté listo. Es tarea del desarrollador realizar esta verificación. Es deseable contar con herramientas que ayuden al desarrollador a lograr este objetivo, para facilitar su trabajo. Ejemplos de este tipo de herramientas pueden ser aquellas que realizan revisiones de código automáticas. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 19 / 28

20 Sin embargo las revisiones automáticas no deben sustituir la labor manual humana, ya que esta siempre detecta mayor cantidad o gravedad de situaciones inseguras, ambas técnicas deben complementarse. Deberá especificarse que tipo de verificaciones se realizarán desarrollar y cuáles no, así como la respuesta esperada considerando tanto casos de éxito como de falla. Se documentarán las decisiones tomadas. Verificación de la seguridad de un componente. Deberán diseñarse pruebas de verificación de la seguridad en para cada componente y sus interacciones. Debido a la variedad en la criticidad de los componentes, es posible que el diseño de estas pruebas pueda recaer en la responsabilidad del desarrollador, o bien del Responsable de Verificación. También podrá ayudarse con el diseño y ejecución de las pruebas, con herramientas de revisión de seguridad en el código de las aplicaciones, es decir test de seguridad de caja blanca. Puede ser útil además utiliza herramientas que testeen la seguridad del componente utilizando métodos de caja negra. Verificación de la seguridad de la aplicación. La verificación de una aplicación deberá ser cuidadosamente diseñada y deberá incluir la verificación de la seguridad de la misma y su entorno. En ambiente de desarrollo cuando la aplicación se encuentre en desarrollo, la verificación de la aplicación es responsabilidad del desarrollador. También es de utilidad complementar el testeo, utilizando herramientas que chequen la seguridad del código desarrollado. Deberá realizarse la verificación de la seguridad de la aplicación en un ambiente de testeo que simule el ambiente de producción. De esta manera posibles errores son detectados previamente a su puesta en producción. Para esto es conveniente utilizar además de las pruebas diseñadas por el Responsable de Verificación, el uso de una herramienta que testeo la seguridad de las aplicaciones utilizando métodos de caja negra. Una vez puesta en producción la aplicación, deberán realizarse verificaciones correspondientes a la seguridad de la aplicación que no interfieran con el negocio. Podrán realizarse test selectivos sobre determinados grupos de aplicaciones. Ninguna herramienta de verificación o pruebas manuales en ambientes de producción deberán modificar datos. Esto deberá ser garantizado. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 20 / 28

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

MANUAL DE REGISTRO Y ACREDITACIÓN

MANUAL DE REGISTRO Y ACREDITACIÓN Recaudación Electrónica Versión 5.2 MANUAL DE REGISTRO Y ACREDITACIÓN Versión 5.2 Recaudación Electrónica Versión 5.2 2 ÍNDICE ÍNDICE... 2 CERTIFICACIÓN... 4 Sitio Web Recaudación Electrónica... 6 Home...

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID 1 - Cuestiones generales: la firma electrónica en el Ayuntamiento de Madrid. 1.1 - Certificados

Más detalles

Circular de Tecnología Pautas para el uso de Certificados Electrónicos

Circular de Tecnología Pautas para el uso de Certificados Electrónicos ASIT 20091112 CT Pautas para el uso de Certificados Electrónicos v1 20/11/2009 Documento de Circular de Tecnología Pautas para el uso de Certificados Electrónicos Versión 01 Noviembre 2009 ARCHIVO: ASIT

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Custodia de Documentos Valorados

Custodia de Documentos Valorados Custodia de Documentos Valorados En el complejo ambiente en que se desarrollan los procesos de negocio actuales, se hace cada vez más necesario garantizar niveles adecuados de seguridad en la manipulación

Más detalles

Resolución Rectoral Nº 11150005-ULP-2010. ANEXO IV. Fecha Emisión Versión Revisión. ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010

Resolución Rectoral Nº 11150005-ULP-2010. ANEXO IV. Fecha Emisión Versión Revisión. ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010 Pág. 1 de 8 ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010 TERMINOS Y CONDICIONES CON TERCEROS USUARIOS DEL INSTITUTO DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS Política de Certificación del Instituto

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica GUÍA PRÁCTICA para la utilización de muestras biológicas en Investigación Biomédica IV. GESTIÓN DE BASES DE DATOS 1. La creación de ficheros y su notificación 2. El responsable y el encargado del tratamiento

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Protección de Datos Personales

Protección de Datos Personales Protección de Datos Personales La presente Política de Privacidad regula tanto el tratamiento de datos de carácter personal que Planetahosting.cl Ltda. (en adelante, Planetahosting.cl) realiza en calidad

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

Glosario de términos

Glosario de términos Glosario de términos Acreditación Proceso por el cual se verifica, ante la Autoridad Administrativa Competente, que la planta de certificación PKI cumple con los estándares internacionales contemplados

Más detalles

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus

Departamento de Informática. DI-PO-12-2014 Política sobre el uso del antivirus Departamento de Informática DI-PO-12-2014 Política sobre el uso del antivirus Fecha de envío: Enero, 2014 Página: 2 de 9 1. Objetivo... 3 2. Alcance... 3 3. Definiciones... 3 4. Responsabilidades de las

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla

Más detalles

INFORME Nº 002-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

INFORME Nº 002-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE INFORME Nº 002-2014-GTI INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición de licencias adicionales y la renovación del servicio

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Infraestructura Extendida de Seguridad IES

Infraestructura Extendida de Seguridad IES Infraestructura Extendida de Seguridad IES BANCO DE MÉXICO Dirección General de Sistemas de Pagos y Riesgos Dirección de Sistemas de Pagos INDICE 1. INTRODUCCION... 3 2. LA IES DISEÑADA POR BANCO DE MÉXICO...

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

PROCEDIMIENTO PARA EL REGISTRO DE TARIFAS A TRAVÉS DE LA PÁGINA WEB DEL ORGANISMO SUPERVISOR DE INVERSIÓN PRIVADA EN TELECOMUNICACIONES (OSIPTEL)

PROCEDIMIENTO PARA EL REGISTRO DE TARIFAS A TRAVÉS DE LA PÁGINA WEB DEL ORGANISMO SUPERVISOR DE INVERSIÓN PRIVADA EN TELECOMUNICACIONES (OSIPTEL) PROCEDIMIENTO PARA EL REGISTRO DE TARIFAS A TRAVÉS DE LA PÁGINA WEB DEL ORGANISMO SUPERVISOR DE INVERSIÓN PRIVADA EN TELECOMUNICACIONES (OSIPTEL) 1. OBJETIVO El presente Procedimiento tiene como finalidad

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

LA DIRECTORA GENERAL DE IMPUESTOS Y ADUANAS NACIONALES,

LA DIRECTORA GENERAL DE IMPUESTOS Y ADUANAS NACIONALES, RESOLUCION 0831/1999 por la cual se adopta y establecen los parámetros operativos del Sistema Declaración y Pago Electrónico de la DIAN, para presentar las declaraciones tributarias y efectuar los pagos

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

C I R C U L A R N 1.878

C I R C U L A R N 1.878 Montevideo, 2 de octubre de 2003 C I R C U L A R N 1.878 Ref: INSTITUCIONES DE INTERMEDIACIÓN FINANCIERA - NORMAS SOBRE CONSERVACIÓN Y REPRODUCCIÓN DE DOCUMENTOS. (Expediente B.C.U. N 2003/3177) - Se pone

Más detalles

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR: DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y ELABORADO POR: REVISADO POR: APROBADO POR: Nº edición: 01 Nº revisión: 01 Página 2 de 19 Fecha Edición Revisión Cambios Realizados 20-01-2014 1 1 Versión

Más detalles

Mantenimiento de Sistemas de Información

Mantenimiento de Sistemas de Información de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD

Más detalles

AVISO DE PRIVACIDAD. Página 1 de 5. El Aviso de Privacidad forma parte del uso del sitio web www.eseecia.com

AVISO DE PRIVACIDAD. Página 1 de 5. El Aviso de Privacidad forma parte del uso del sitio web www.eseecia.com Página 1 de 5 AVISO DE PRIVACIDAD El Aviso de Privacidad forma parte del uso del sitio web www.eseecia.com El presente Aviso de Privacidad rige la prestación de los servicios que brinda ESEECIA CONSULTING,

Más detalles

Condiciones de servicio de Portal Expreso RSA

Condiciones de servicio de Portal Expreso RSA Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

NORMA DE CARÁCTER GENERAL N

NORMA DE CARÁCTER GENERAL N NORMA DE CARÁCTER GENERAL N RFEF.: MODIFICA EL TÍTULO VIII DEL LIBRO II, SOBRE PAGO DE LAS COTIZACIONES DEL COMPENDIO DE NORMAS DEL SISTEMA DE PENSIONES. Santiago, En uso de las facultades legales que

Más detalles

Manual de Quipux para usuarios finales

Manual de Quipux para usuarios finales Quipux, gestiona la documentación digital y/o impresa, dicha documentación puede se interna, es decir aquella que se remite y se recibe en los departamentos de la misma organización. Asimismo, el Quipux

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO:

ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO: ACUERDO 018- CG - 2015 EL CONTRALOR GENERAL DEL ESTADO CONSIDERANDO: Que, el artículo 211 de la Constitución de la República del Ecuador establece que la Contraloría General del Estado es un organismo

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M

LISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL 13967 REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El artículo 18.4 de la Constitución

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA INTEGRAL DE ATENCIÓN A CLIENTE(A)S, USUARIO(A)S Y BENEFICIARIO(A)S

Más detalles

Glosario. Términos en México

Glosario. Términos en México Glosario Términos en México CIEC La Clave de Identificación Electrónica Confidencial (CIEC) es un sistema de identificación basado en el RFC y NIP (número de identificación personal). Agencia certificadora

Más detalles

MANUAL DE FUNCIONAMIENTO DEL SIP. Actualizado con las observaciones del CTSP en la 18ª Reunión.

MANUAL DE FUNCIONAMIENTO DEL SIP. Actualizado con las observaciones del CTSP en la 18ª Reunión. MANUAL DE FUNCIONAMIENTO DEL SIP Actualizado con las observaciones del CTSP en la 18ª Reunión. A. FUNDAMENTO LEGAL B. OBJETO C. AMBITO DE APLICACIÓN D. RESPONSABILIDAD E. CARACTERÍSITICAS DEL SISTEMA I.

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema

Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema Procedimiento y Pautas básicas a tener en cuenta para la puesta en producción de un sistema Objetivo El presente procedimiento tiene como objetivo establecer y describir las tareas a desarrollar para efectuar

Más detalles

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD 1. Prestaciones y propiedad de los datos En el contexto de la prestación de servicios encargada por..y con la finalidad

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Reglamento a la Ley de comercio electrónico, firmas electrónicas y mensajes de datos

Reglamento a la Ley de comercio electrónico, firmas electrónicas y mensajes de datos Reglamento a la Ley de comercio electrónico, firmas electrónicas y mensajes de datos (Decreto No. 3496) Gustavo Noboa Bejarano PRESIDENTE CONSTITUCIONAL DE LA REPÚBLICA Considerando: Que mediante Ley No.

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

POLÍTICAS DE SEGURIDAD INFORMÁTICA

POLÍTICAS DE SEGURIDAD INFORMÁTICA S DE SEGURIDAD INFORMÁTICA DIRECCIÓN GENERAL DE ADMINISTRACIÓN SUBDIRECCIÓN DE SERVICIOS GENERALES J.U.D. DE SOPORTE TÉCNICO JUNIO, 2009 S DE SEGURIDAD INFORMÁTICA 1 I. INTRODUCCIÓN Con el fin de homogeneizar

Más detalles

LINEAMIENTOS PARA LA PUBLICACIÓN Y GESTIÓN DEL PORTAL DE INTERNET E INTRANET DEL INSTITUTO FEDERAL ELECTORAL. Capítulo I Disposiciones generales

LINEAMIENTOS PARA LA PUBLICACIÓN Y GESTIÓN DEL PORTAL DE INTERNET E INTRANET DEL INSTITUTO FEDERAL ELECTORAL. Capítulo I Disposiciones generales LINEAMIENTOS PARA LA PUBLICACIÓN Y GESTIÓN DEL PORTAL DE INTERNET E INTRANET DEL INSTITUTO FEDERAL ELECTORAL Capítulo I Disposiciones generales Artículo 1. Objeto y ámbito de aplicación 1. Los presentes

Más detalles

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE SISTEMAS DE ÍNDICE PÁGINA INTRODUCCIÓN OBJETIVO 3 FUNDAMENTO LEGAL 4 DEFINICIONES 5 POLÍTICAS 6 De la base de datos Del acceso a los sistemas De los sistemas Web Ambientes de Desarrollo, Calidad o Pruebas,

Más detalles

Funciones y obligaciones que afectan a los usuarios del fichero de Gestión Telefónica de la UPV

Funciones y obligaciones que afectan a los usuarios del fichero de Gestión Telefónica de la UPV Funciones y obligaciones que afectan a los usuarios del fichero de Gestión Telefónica de la UPV El personal autorizado a acceder a la información de carácter personal del Fichero, realizará las funciones

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Políticas: Servicio de Computo de Alto Rendimiento

Políticas: Servicio de Computo de Alto Rendimiento Políticas: Servicio de Computo de Alto Rendimiento La Coordinación General de Tecnologías de Información a través de la Unidad de Apoyo a la Academia y la Investigación, ha definido políticas para el servicio

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

Aviso de Privacidad. El Aviso de Privacidad forma parte del uso del sitio web www.nomilinea.mx

Aviso de Privacidad. El Aviso de Privacidad forma parte del uso del sitio web www.nomilinea.mx Aviso de Privacidad El Aviso de Privacidad forma parte del uso del sitio web www.nomilinea.mx La presente Aviso de Privacidad rige la prestación de los servicios que brinda Desarrollos Administrativos

Más detalles

CAPITULO III DESARROLLO DE LA PROPUESTA

CAPITULO III DESARROLLO DE LA PROPUESTA 111 CAPITULO III DESARROLLO DE LA PROPUESTA 1 CONSTRUCCION DEL SISTEMA DE INFORMACION. 1.1 Manual de instalación del sistema. El presente manual de instalación es una guía de instrucción para la correcta

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

Marco Normativo de IT

Marco Normativo de IT Marco Normativo de IT PC0901 - Proceso de control de cambios en software de aplicación provisto por Organismos Gobierno de la Ciudad Autónoma de Buenos Aires PC0901 - Proceso de control de cambios en software

Más detalles

Las Normas ISO 9000 del 2000

Las Normas ISO 9000 del 2000 Las Normas ISO 9000 del 2000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como

Más detalles

Proveer al cliente la disponibilidad de un servicio de emisión de CFDI bajo las condiciones detalladas en el presente documento.

Proveer al cliente la disponibilidad de un servicio de emisión de CFDI bajo las condiciones detalladas en el presente documento. 1. Realización del Documento Realizó el Documento Mario López Gerente Operaciones 2. Historial de Cambios Revisión Cambio 21/10/2011 Lanzamiento del Documento 04/06/2012 Actualización en Horario de Atención

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

Ejemplo Manual de la Calidad

Ejemplo Manual de la Calidad Ejemplo Manual de la Calidad www.casproyectos.com ELABORADO POR: REPRESENTANTE DE LA DIRECCION APROBADO POR: GERENTE GENERAL 1. INTRODUCCIÓN Nuestra organización, nació en el año XXXXXXXXX, dedicada a

Más detalles

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia Encriptación de Datos Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad, integridad, confidencialidad y

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD Versión 1.0 Abril 2005 INTRODUCCIÓN El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter

Más detalles