Seguridad en el Proceso de Desarrollo de Software

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Seguridad en el Proceso de Desarrollo de Software"

Transcripción

1 GSEI Seguridad en el Proceso de Desarrollo de Software 24/11/09 Seguridad en el Proceso de Desarrollo de Software Versión 0.9 ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 1 / 28

2 Índice INTRODUCCIÓN... 5 OBJETIVO... 5 ALCANCE... 5 CONSIDERACIONES GENERALES... 5 ASIGNACIÓN DE RESPONSABILIDADES O FUNCIONES Y RESPONSABILIDADES... 6 POLÍTICA... 7 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS... 7 Análisis y Especificaciones de los Requisitos de Seguridad... 7 AMBIENTES EN EL PROCESO DE DESARROLLO Desarrollo:... 8 Testeo:... 8 Producción:... 8 CONTROL DE ACCESO... 9 CONTROLES CRIPTOGRÁFICOS Utilización de Controles Criptográficos Cifrado Firma Digital Servicios de No Repudio Administración de Claves Protección de Claves Criptográficas Procedimientos y Métodos SEGURIDAD DE LOS ARCHIVOS DEL SISTEMA ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 2 / 28

3 Protección de los archivos en el disco duro Control del Software Operativo Protección de los Datos de Producción Control de Cambios a Datos de Producción Control de Acceso a las Bibliotecas de Programas Fuentes SEGURIDAD EN LAS COMUNICACIONES SEGURIDAD DE LOS PROCESOS DE DESARROLLO Y SOPORTE Procedimiento de Control de Cambios Revisión Técnica de los Cambios en el Sistema Operativo Canales Ocultos y Código Malicioso AUDITORÍA Y TRAZABILIDAD VERIFICACIÓN DE LA SEGURIDAD Verificación de la seguridad en el desarrollo intracomponente Verificación de la seguridad de un componente Verificación de la seguridad de la aplicación Verificación de la seguridad de sistemas de aplicaciones Verificación del estado de salud de la aplicación en producción SEGURIDAD EN LA IMPLEMENTACIÓN Validación de Datos de Entrada Utilización de Estándares Fallar Seguro Autenticación y cifrado de Mensajes Validación de Datos de Salida ANEXO ROLES DEFINIDOS Y RELACIONADOS EN SEGURIDAD EN EL PROCESO DE DESARROLLO DE SOFTWARE ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 3 / 28

4 RESPONSABLE DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN RESPONSABLE DEL DESARROLLO RESPONSABLE DE INFRAESTRUCTURA RESPONSABLE DE AUDITORÍA DUEÑO DE LA INFORMACIÓN RESPONSABLE INFORMÁTICO DE LA APLICACIÓN DUEÑO DE LA INFORMACIÓN (DE LA APLICACIÓN) IMPLANTADOR IMPLANTADOR DE CAMBIOS EN DATOS ADMINISTRADOR DE CÓDIGO Y PROGRAMAS FUENTES RESPONSABLE DE VERIFICACIÓN ANEXO B DOCUMENTACIÓN A ENTREGAR DOCUMENTO DE ANÁLISIS DE RIESGOS DOCUMENTO DE REQUISITOS DE SEGURIDAD DOCUMENTO DE DISEÑO DE CONTROLES DE SEGURIDAD DOCUMENTO DE IMPLEMENTACIÓN DE CONTROLES DE SEGURIDAD DOCUMENTO DE GESTIÓN DE EXCEPCIONES DE SEGURIDAD REFERENCIAS ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 4 / 28

5 Introducción Objetivo El presente documento tiene por objetivo describir las políticas de seguridad a implementar en el proceso de desarrollo de software en el B.P.S. Definir y documentar las normas y procedimientos de seguridad que se aplicarán durante el ciclo de vida del Proceso de Ingeniería de Software. Alcance Este documento aplica a los sistemas informáticos desarrollados en el B.P.S. o desarrollado por terceros para el BPS, la infraestructura que utilicen, y las personas que participen del proceso de desarrollo, tanto explicita como implícitamente. El grupo de Gestión de Seguridad de la Información será el encargado de las definiciones presentadas en este documento así como proponer los cambios que sean pertinentes. CDES, ATEC, Metodología y ASIT son las responsables de aprobar este documento. Consideraciones generales Desde las primeras etapas del proceso de Ingeniería de Software deben considerarse aspectos de seguridad. Desde el análisis ya deben identificarse los requisitos de seguridad que luego la aplicación deberá cumplir. Deberá tenerse en cuenta que no solamente deben programarse las aplicaciones para que cumplan con los requisitos de seguridad de la aplicación en sí, sino que además el proceso de desarrollo deberá cumplir con los requisitos que se proponen en este documento, así como también con los requisitos incluidos en las Políticas de Seguridad de la Información. Durante el Análisis deben identificarse los requisitos de seguridad así como su respectiva validación. En la etapa de Diseño deberán diseñarse los controles necesarios para satisfacer los requisitos identificados anteriormente. En la etapa de Implementación deben implementarse los controles de seguridad además de aplicarse los controles relativos al proceso de desarrollo de software, aquellos controles que deban estar en la aplicación, como por ejemplo validaciones a realizarse en el software, encriptado, etc. En fase de Verificación se debe verificar adecuadamente que los requisitos de seguridad de la aplicación se cumplen. Notar que ciertos controles serán transversales a todas las fases. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 5 / 28

6 Asignación de Responsabilidades o Funciones y Responsabilidades Se requiere la interacción de las áreas de Gestión de la Seguridad de la Información, Coordinación del Desarrollo, ATEC, Auditoría interna, así como el Dueño de la Información y el usuario dueño de la aplicación. En consecuencia los actores responsables involucrados serán el Responsable de la Gestión de Seguridad de la Información, el Responsable del Desarrollo, el Responsable de Infraestructura, el Responsable de Auditoría, el Dueño de la Información y el Usuario dueño del sistema (o un representante del conjunto de usuarios finales del sistema). El Responsable de la Gestión de Seguridad de la Información, el Responsable del Desarrollo, el Responsable de Infraestructura, el Responsable de Auditoría, el Dueño de la Información y el Usuario del sistema deberán en función de la criticidad de la información, especificar los requisitos de encriptación que sean requeridos, así como definir los métodos que mejor implementen dichos requisitos. El Responsable de Gestión de Seguridad, en conjunto con el Responsable del Desarrollo, y el Responsable de Infraestructura, definirán el proceso administrativo de claves, así como también la administración de las técnicas criptográficas que deban utilizarse. El Responsable de Gestión de Seguridad verificará que los controles se apliquen, así como el cumplimiento de los requisitos de seguridad para las aplicaciones. Verificará además, que el diseño del sistema adhiera a las Políticas de Seguridad de la Información. Deberá verificar que se apliquen correctamente los procedimientos de control de cambios que se hayan definido. Se deberá verificar que los estándares tecnológicos publicados por la ASIT también están siendo considerados. (esto como forma de comprobar que el sistema será compatible con el entorno tecnológico de la organización y los objetivos estratégicos de la misma). El Responsable del Desarrollo y el Responsables de Infraestructura deberán documentar y mantener actualizado quienes obtienen acceso a los datos, y quienes acceden a los datos reales (en caso de necesitarse). Auditoría interna podrá plantear requisitos de seguridad, así como luego deberá verificar que se implementen los controles que satisfagan todos los requisitos de seguridad. El Usuario de la aplicación deberá participar en el Análisis de Requisitos, así como en el entrenamiento de la misma. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 6 / 28

7 Política 1. Requisitos de Seguridad de los Sistemas La metodología definida para el desarrollo de las aplicaciones deberá considerar los aspectos de seguridad y control durante todo el ciclo de vida del desarrollo. Análisis y Especificaciones de los Requisitos de Seguridad Se deberá incluir un proceso de evaluación de riesgos durante la etapa de especificación de requisitos, en la cual debieran participar el Responsable de Gestión de Seguridad de la Información, el Responsable del Desarrollo, el Responsable de Infraestructura, el Responsable de Auditoría, el Dueño de la Información y el Usuario Dueño. Deberá documentarse el resultado de dicha evaluación. En base al análisis de riesgos realizado deberá generarse un documento o un apartado en el documento de requisitos del sistema que identifique los requisitos de seguridad especificados para la mitigación de los riesgos identificados Debieran considerarse el nivel que se debe cumplir de los tres principios básicos de la seguridad de la información: Confidencialidad Integridad Disponibilidad Debiendo agregarse los siguientes: trazabilidad y no repudio. El Responsable de Gestión de Seguridad de la Información, el Responsable del Desarrollo, el Responsable de Infraestructura y el Dueño de la Información, deberán especificar y aprobar los controles que satisfagan a los distintos requisitos, pudiendo incluso solicitar una evaluación previa de los mismos, para verificar la viabilidad del control. Deberá especificarse el mapeo entre el requisito de seguridad y uno o más controles que implementen el requisito. Se deberán considerar controles manuales como apoyo a los automáticos, de manera obligatoria, y no asumir que porque de forma automática ya se cumple con ese requisito entonces se puede omitir la implementación del mismo. Al especificar controles de seguridad se deberán evaluar los controles propuestos considerando el costo, esfuerzo, criticidad de la información y/o los bienes que quieren protegerse y las probabilidades del riesgo que mitiga. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 7 / 28

8 Considerar que la inclusión de este proceso y el diseño de los controles en etapas tempranas del desarrollo siempre es menos costoso que considerarlas en la implementación o luego de ella. Ambientes en el Proceso de Desarrollo. Se deberá contar con tres ambientes completos para el ciclo de ingeniería de software. Estos ambientes serán: Desarrollo: Es el ambiente propio de los desarrolladores. El desarrollador es el responsable del mantenimiento del ambiente, Se recomienda utilizar en lo posible productos semejantes a los empleados en producción de manera de disminuir las diferencias. Testeo: Es el ambiente en el cual se realizan las pruebas de caja negra a las aplicaciones. Deberá replicar exactamente en productos y configuración al ambiente de producción, siendo recomendable además que también utilice una réplica exacta de la infraestructura. La administración del mismo deberá estar en manos de infraestructura, el Responsable de Infraestructura deberá indicar quien de su sector será el o los encargado/s de este ambiente. El personal del desarrollo no deberá acceder a la administración de este ambiente, pero sí podrá participar en las pruebas a realizar en el mismo, siendo lo ideal que el personal vinculado al área de Verificación, sea el único encargado de realizar las pruebas en este ambiente. Este ambiente es exclusivo de Testeo y no deberá en ningún momento, salvo las excepciones acordadas por el Responsable de Seguridad, el responsable de Infraestructura y el responsable de Desarrollo, apuntar a datos de producción. Con respecto a los datos los mismos deberán ser enmascarados tal cual lo explica en Protección de los Datos de Producción. Producción: o Es el ambiente operativo. o La administración del mismo deberá estar en manos de infraestructura, el Responsable de Infraestructura deberá indicar quien de su sector será el o los encargado/s de este ambiente. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 8 / 28

9 o o El personal del desarrollo no deberá acceder a la administración de este ambiente. No se deberán realizar pruebas que modifiquen datos en este ambiente. Control de Acceso Todos los sistemas que no sean de libre acceso deberán contar con control de acceso basado en roles. La autorización deberá realizarse sobre el mismo sujeto que se autentica o también podrá requerirse mayor información que permita obtener la autorización con granularidad más fina. Como ejemplo: se autentica una aplicación, se autoriza a la aplicación junto con el usuario que la utiliza. El tipo de autenticación/autorización varía de acuerdo al sujeto y a los nodos. Es recomendable que entre distintos nodos exista autenticación, y autorización. Por ejemplo en una interacción entre un usuario con una aplicación web, que se aloja en un servidor web, el cual se comunica con un servidor de aplicaciones, el que finalmente accede a la bases de datos. A nivel de comunicación con la base de datos, si la aplicación/componente es de solo lectura, deberá utilizarse un usuario de genérico propio de la aplicación para acceder a la base de datos (no es compartido con ninguna otra aplicación) con derechos de solo lectura. Si la aplicación/componente es de escritura, entonces pueden tomarse, por ejemplo, las siguientes alternativas: 1. Tener un usuario de la base de datos genérico propio de la aplicación con derechos de lectura/escritura. 2. Contar con dos usuarios de la base de datos propios de la aplicación. Uno tendrá derechos de solo lectura y se utilizará para aquellas funciones donde solo se requiera consulta. Y un segundo usuario con derechos de escritura. Según la criticidad de la aplicación/componente y el costo/beneficio ganado por la utilización de estas opciones se elegirá la número 1, 2, o alguna otra alternativa que sea debidamente justificada. Para cualquier caso deberán activarse los controles de auditoría necesarios. En la siguiente figura de ejemplo el servidor web coincide con el servidor de aplicaciones. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 9 / 28

10 User1 Datos User2 Servidor user: application_a (read/write) User3 Se deberá diseñar y desarrollar los componentes responsables de distintos dominios de negocio. El resto de las aplicaciones/componentes que requieran datos de un determinado dominio del negocio, no deberán acceder directamente a los datos en sí, sino que reutilizarán estos componentes. De esta manera se unifica el control de acceso a los datos, basados en la creación de distintos dominios de seguridad determinados por el negocio. Controles Criptográficos Se utilizarán sistemas y técnicas criptográficas para la protección de la información en base a un análisis de riesgo efectuado, con el fin de asegurar una adecuada protección de su confidencialidad e integridad. Utilización de Controles Criptográficos. El B.P.S. define el siguiente conjunto de controles criptográficos, a fin de determinar su correcto uso. Para ello se indica que se utilizarán controles criptográficos en los siguientes casos: 1. Para la protección de claves de acceso a sistemas, datos y servicios. 2. Para la transmisión de información clasificada, fuera del ámbito del B.P.S. 3. Para el resguardo de información, cuando así surja de la evaluación de riesgos realizada por el Dueño de la Información y el Responsable de Seguridad Informática. 4. Se desarrollarán procedimientos respecto de la administración de claves, de la recuperación de información cifrada en caso de pérdida, compromiso o daño de las claves y en cuanto al reemplazo de las claves de cifrado. 5. El Responsable del Desarrollo, del Área Informática propondrá la siguiente asignación de funciones: a. Implementación de los Controles Criptográficos ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 10 / 28

11 6. Los Certificados Digitales Personales utilizados en cualquiera de sus aplicaciones deberán cumplir con los requisitos propuestos por la ASIT, en particular deberán ser brindados por una empresa u organización reconocida como CA. 7. Si se utilizara Dispositivos criptográficos USB, se deberán seguir las pautas propuestas la ASIT. Cifrado Mediante la evaluación de riesgos se identificará el nivel requerido de protección, tomando en cuenta el tipo y la calidad del algoritmo de cifrado utilizado y la longitud de las claves criptográficas a utilizar. Firma Digital Las firmas digitales proporcionan un medio de protección de la autenticidad e integridad de los documentos electrónicos. Pueden aplicarse a cualquier tipo de documento que se procese electrónicamente. Se implementan mediante el uso de una técnica criptográfica sobre la base de dos claves relacionadas de manera única, donde una clave, denominada privada, se utiliza para crear una firma y la otra, denominada pública, para verificarla. Se tomarán recaudos para proteger la confidencialidad de las claves privadas. Asimismo, es importante proteger la integridad de la clave pública. Esta protección se provee mediante el uso de un certificado de clave pública. Los algoritmos de firma utilizados, como así también la longitud de clave a emplear, son las enumeradas en 0 Utilización de Controles Criptográficos. Se recomienda que las claves criptográficas utilizadas para firmar digitalmente no sean empleadas en procedimientos de cifrado de información. Dichas claves deben ser resguardadas bajo el control exclusivo de su titular. Al utilizar firmas y certificados digitales, se considerará la legislación vigente que describa las condiciones bajo las cuales una firma digital es legalmente válida. En algunos casos podría ser necesario establecer acuerdos especiales para respaldar el uso de las firmas digitales. A tal fin se deberá obtener asesoramiento legal con respecto al marco normativo aplicable y la modalidad del acuerdo a implementar. Servicios de No Repudio Estos servicios se utilizarán cuando sea necesario resolver disputas acerca de la ocurrencia de un evento o acción. Su objetivo es proporcionar herramientas para evitar que aquél que haya originado una transacción electrónica niegue haberla efectuado. Cuando se requiera el no repudio de elaboración de un documento, o de pertenencia de un documento, se recurrirá a la firma digital de documentos. Utilizando certificados digitales, acorde al punto Firma Digital. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 11 / 28

12 Si se requiere el No Repudio de una variación a nivel de datos, entonces deberá realizarse un registro de auditoría de cada cambio que el usuario realiza, explícita o implícitamente, permitiendo de esta manera identificar el conjunto de pasos que el usuario realizó, y replicarlo en un nuevo ambiente. Administración de Claves Protección de Claves Criptográficas Se implementará un sistema de administración de claves criptográficas para respaldar la utilización por parte del Organismo de los dos tipos de técnicas criptográficas, a saber: 1. Técnicas de clave secreta (criptografía simétrica), cuando dos o más actores comparten la misma clave y ésta se utiliza tanto para cifrar información como para descifrarla. 2. Técnicas de clave pública (criptografía asimétrica), cuando cada usuario tiene un par de claves: una clave pública (que puede ser revelada a cualquier persona) utilizada para cifrar y una clave privada (que debe mantenerse en secreto) utilizada para descifrar. Las claves asimétricas utilizadas para cifrado no deben ser las mismas que se utilizan para firmar digitalmente. Todas las claves serán protegidas contra modificación y destrucción, y las claves secretas y privadas serán protegidas contra copia o divulgación no autorizada. Se proporcionará una protección adecuada al equipamiento utilizado para generar, almacenar y archivar claves, considerándolo crítico o de alto riesgo. Procedimientos y Métodos Se redactarán procedimientos necesarios para: Generar claves para diferentes sistemas criptográficos y diferentes aplicaciones. Generar y obtener certificados de clave pública de manera segura. Distribuir claves de forma segura a los usuarios que corresponda, incluyendo información sobre cómo deben activarse cuando se reciban. Almacenar claves, incluyendo la forma de acceso a las mismas por parte de los usuarios autorizados. Cambiar o actualizar claves, incluyendo reglas sobre cuándo y cómo deben cambiarse las claves. Revocar claves, incluyendo cómo deben retirarse o desactivarse las mismas, por ejemplo cuando las claves están comprometidas o cuando un usuario se desvincula del Organismo (en cuyo caso las claves también deben archivarse). Recuperar claves perdidas o alteradas como parte de la administración de la continuidad de las actividades del Organismo, por ejemplo para la recuperación de la información cifrada. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 12 / 28

13 Archivar claves, por ejemplo, para la información archivada o resguardada. Destruir claves. Registrar y auditar las actividades relativas a la administración de claves. A fin de reducir la probabilidad de compromiso, las claves tendrán fechas de inicio y caducidad de vigencia, definidas de manera que sólo puedan ser utilizadas por el lapso (no debería ser mayor a 12 meses). Además de la administración segura de las claves secretas y privadas, deberá tenerse en cuenta la protección de las claves públicas. Este problema es abordado mediante el uso de un certificado de clave pública. Este certificado se generará de forma que vincule de manera única la información relativa al propietario del par de claves pública/privada con la clave pública. En consecuencia es importante que el proceso de administración de los certificados de clave pública sea absolutamente confiable. Este proceso es llevado a cabo por una entidad denominada Autoridad de Certificación (AC) o Certificador. Seguridad de los Archivos del Sistema Se garantizará que los desarrollos y actividades de soporte a los sistemas se lleven a cabo de manera segura, controlando el acceso a los archivos del mismo. Protección de los archivos en el disco duro Ningún programa podrá acceder a archivos y/o carpetas en los sistemas que no sean de su propiedad. Esto deberá cumplirse independientemente de si las aplicaciones se encuentran alojadas en Servidores de Aplicaciones o en Computadoras de Escritorio. Los archivos propios de cada aplicación deberán guardarse en lugares predefinidos. En el caso de las aplicaciones de escritorio, deberá acordarse un lugar donde el sistema operativo en el cual se corre la aplicación le provea al usuario la capacidad de guardar archivos de aplicaciones, evitando la necesidad de derechos especiales para la ejecución de estos programas, como puede ser la escritura de archivos en el disco duro en la ruta raíz. En el caso de las aplicaciones alojadas en servidores deberá acordarse un lugar donde la aplicación deberá acceder, Los servidores de aplicaciones solo deberán acceder a los archivos que le pertenecen, y deberá mantenerse el debido aislamiento entre las aplicaciones de un mismo servidor de aplicaciones y entre los recursos que utilizan. Deberán realizarse los controles necesarios para garantizar el control de acceso a los recursos del sistema. Los sistemas deberán acceder únicamente a los archivos que les pertenecen. Es recomendable que además que sean los sistemas propietarios de estos archivos los únicos capaces de acceder a éstos. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 13 / 28

14 Control del Software Operativo Se definen los siguientes controles a realizar durante la implementación del software en producción, a fin de minimizar el riesgo de alteración de los sistemas. Toda aplicación, desarrollada por el Organismo o por un tercero tendrá un único responsable informático designado formalmente por el Responsable del Desarrollo al que se denominará Responsable Informático de la Aplicación y también un único un Dueño de la Información. Ningún programador o analista de desarrollo y mantenimiento de aplicaciones podrá acceder a los ambientes de producción. El Responsable del Desarrollo, propondrá la asignación de la función de Implantador al personal de su área que considere adecuado, quien tendrá como funciones principales: o Coordinar la implantación de modificaciones o nuevos programas en el ambiente de Producción. o Asegurar que los sistemas aplicativos en uso, en el ambiente de Producción, sean los autorizados y aprobados de acuerdo a las normas y procedimientos vigentes. o Solicitar la Instalación las modificaciones, controlando previamente la recepción de la prueba aprobada por parte del dueño de la información y del grupo encargado de la verificación. Además deberían seguirse los siguientes controles: Guardar sólo los ejecutables en el ambiente de producción y/o archivos de configuración. Llevar un registro de auditoría de las actualizaciones realizadas. Retener las versiones previas del sistema, como medida de contingencia. Definir un procedimiento que establezca los pasos a seguir para implementar las autorizaciones y conformes pertinentes, las pruebas previas a realizarse, etc. Denegar permisos de modificación al implantador sobre los programas fuentes bajo su custodia. Evitar, que la función de implantador sea ejercida por personal que pertenezca al sector de desarrollo de esa aplicación. Protección de los Datos de Producción Se prohíbe el uso de base de datos operativas (de producción) para la realización de pruebas. Las pruebas de los sistemas se efectuarán sobre datos extraídos del ambiente de Producción y se volcarán en el ambiente de testeo. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 14 / 28

15 Para proteger los datos de prueba se establecerán procedimientos que contemplen: Despersonalización de los datos antes de su uso. Aplicar idénticos procedimientos de control de acceso que en la base de producción. De manera de replicar lo más posible el ambiente de producción. Solicitar autorización formal para realizar una copia de la base operativa como base de prueba, llevando registro de tal autorización. Eliminar inmediatamente, una vez completadas las pruebas, la información operativa utilizada. Control de Cambios a Datos de Producción La modificación, actualización o eliminación de los datos operativos serán realizadas a través de los sistemas que procesan dichos datos y de acuerdo al esquema de control de accesos implementado en los mismos. Una modificación por fuera de los sistemas a un dato (No Regular), almacenado ya sea en un archivo o base de datos, podría poner en riesgo la integridad de la información. Los casos en los que no fuera posible la aplicación de la precedente estrategia, se considerarán como excepciones. El Responsable de Gestión de Seguridad de la Información definirá procedimientos para la gestión de dichas excepciones que contemplarán lo siguiente: Se generará una solicitud formal para la realización de la modificación, actualización o eliminación del dato. El Dueño de la Información afectada y el Responsable de Desarrollo aprobarán la ejecución del cambio evaluando las razones por las cuales se solicita. La justificación de las decisiones tomadas, así como la información sobre el cambio realizado deberá estar disponible para una posterior revisión de Auditoría. Se generarán cuentas de usuario de emergencia para ser utilizadas en la ejecución de excepciones. Las mismas serán protegidas mediante contraseñas, sujetas al procedimiento de administración de contraseñas críticas y habilitadas sólo ante un requerimiento de emergencia y por el lapso que ésta dure. Se designará un encargado de implantar los cambios denominados Implantadores de cambios en Datos, se deberá evitar que la función sea ejercida por personal que pertenezca al sector de desarrollo de esa aplicación. Se registrarán todas las actividades realizadas con las cuentas de emergencia. Dicho registro será revisado posteriormente por el Responsable de Seguridad de la Información. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 15 / 28

16 Control de Acceso a las Bibliotecas de Programas Fuentes Para reducir la probabilidad de alteración de programas fuentes, se aplicarán los siguientes controles: El Responsable del Área Informática, propondrá la función de Administrador de código fuente al personal de su área que considere adecuado, quien tendrá en custodia los programas fuentes y deberá: o Proveer al Área de Desarrollo los códigos fuentes solicitados para su modificación, manteniendo en todo momento la correlación código fuente / ejecutable. o Llevar un registro actualizado de todo el código fuente en uso, indicando nombre del programa, programador, Analista Responsable que autorizó, versión, fecha de última modificación y fecha / hora de compilación y estado (en desarrollo, testeo, o producción). o Verificar que el Responsable que autoriza la solicitud de un programa fuente sea el designado para la aplicación, rechazando el pedido en caso contrario. Registrar cada solicitud aprobada. o Administrar las distintas versiones de una aplicación. o Asegurar que un mismo programa fuente no sea modificado simultáneamente por más de un desarrollador. Denegar al Administrador de código fuente permisos de modificación sobre los programas fuentes bajo su custodia. Establecer que todo programa objeto o ejecutable en producción tenga un único programa fuente asociado que garantice su origen. Establecer que el Implantador de producción efectuará la generación del programa objeto o ejecutable que estará en producción (compilación), a fin de garantizar tal correspondencia. Desarrollar un procedimiento que garantice que toda vez que se migre a producción el módulo fuente, se cree el código ejecutable correspondiente en forma automática. Evitar que la función de Administrador de código fuente sea ejercida por personal que pertenezca al sector de desarrollo y/o mantenimiento. Prohibir la guarda de programas o código fuente histórico (que no sea correspondiente a los programas operativos) en el ambiente de producción. Prohibir el acceso a todo operador y/o usuario de aplicaciones a los ambientes y a las herramientas que permitan la generación y/o manipulación de los programas fuentes. Realizar las copias de respaldo de los programas fuentes cumpliendo los requisitos de seguridad establecidos por el Organismo en los procedimientos que surgen del presente documento. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 16 / 28

17 Seguridad en las comunicaciones En aquellas aplicaciones/componentes cuya comunicación implique comunicación entre distintos nodos, ya sean virtuales y/o físicos, deberá protegerse la integridad de los datos, y la confidencialidad de los mismos (si así se requiere). Deberán seguirse los estándares y pautas de la organización. Seguridad de los Procesos de Desarrollo y Soporte Se controlará la seguridad en los entornos y el soporte dado a los mismos. Procedimiento de Control de Cambios A fin de minimizar los riesgos de alteración de los sistemas de información, se implementarán controles estrictos durante la implementación de cambios imponiendo el cumplimiento de procedimientos formales. Éstos garantizarán que se cumplan los procedimientos de seguridad y control, respetando la división de funciones. Para ello se establecerá un procedimiento que incluya las siguientes consideraciones: Verificar que los cambios sean propuestos por usuarios autorizados (deberá indicarse en la documentación de la aplicación/componente/sistema quienes son los usuarios autorizados a solicitar cambios). Mantener un registro de los niveles de autorización acordados. Solicitar la autorización del Dueño de la Información, en caso de tratarse de cambios a sistemas de procesamiento de la misma. Identificar todos los elementos que requieren modificaciones (componentes de software, bases de datos, hardware). Revisar los controles y los procedimientos de integridad para garantizar que no serán comprometidos por los cambios. Obtener aprobación formal por parte del Responsable del Desarrollo para las tareas detalladas, antes que comiencen las tareas. Solicitar la revisión del Responsable de Seguridad Informática para garantizar que no se violen los requisitos de seguridad que debe cumplir el software. Efectuar las actividades relativas al cambio en el ambiente de desarrollo. Obtener la aprobación por parte del usuario autorizado y del Área de Verificación mediante pruebas en el ambiente correspondiente. Actualizar la documentación para cada cambio implementado, tanto de los manuales de usuario como de la documentación operativa. Mantener un control de versiones para todas las actualizaciones de software. Garantizar que la implementación se llevará a cabo minimizando la discontinuidad de las actividades y sin alterar los procesos involucrados. Informar a las áreas usuarias antes de la implementación de un cambio que pueda afectar su operatoria. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 17 / 28

18 Garantizar que sea el implantador quien efectúe el pasaje de los objetos modificados al ambiente operativo, de acuerdo a lo establecido en Control del Software Operativo. En Ambientes en el Proceso de Desarrollo se presenta un esquema modelo de segregación de ambientes. Revisión Técnica de los Cambios en el Sistema Operativo Cada cambio que se considere significativo en el Sistema Operativo será evaluado y se deberá decidir si las aplicaciones serán revisadas para asegurar que no se produzca un impacto en su funcionamiento o seguridad. Esta revisión será obligatoria si se cambia de Sistema Operativo. Para ello, se definirá un procedimiento que incluya: Revisar los procedimientos de integridad y control de aplicaciones para garantizar que no hayan sido comprometidas por el cambio. Garantizar que los cambios en el sistema operativo sean informados con anterioridad a la implementación. Asegurar la actualización del Plan de Continuidad de las Actividades del B.P.S. Canales Ocultos y Código Malicioso Un canal oculto puede exponer información utilizando algunos medios indirectos y desconocidos. El código malicioso está diseñado para afectar a un sistema en forma no autorizada y no requerida por el usuario. En este sentido, se redactarán normas y procedimientos que incluyan: Adquirir programas a proveedores acreditados o productos ya evaluados. Examinar los códigos fuentes (cuando sea posible) antes de utilizar los programas que se externos que se posea el código. Controlar el acceso y las modificaciones al código instalado. Utilizar herramientas para la protección contra la infección del software con código malicioso. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 18 / 28

19 Auditoría y Trazabilidad. Se utilizará un registro de auditoría, logging y monitoreo centralizado que provea herramientas para su administración. La información de auditoría deberá presentarse mediante un aplicativo de usuario final de forma que sea fácilmente legible y entendible, pudiéndose realizar reportes y estadísticas de uso de forma sencilla y precisa. Deberá quedar registrado en el sistema métricas de uso y quienes utilizan los sistemas. Se deberá guardar la trazabilidad completa de cada aplicación, funcionalidad, timestamp y el usuario de la aplicación para aquellas aplicaciones internas del organismo, cuando el mismo se desencadene una modificación que sea commiteada en los datos. Se registrarán todas las actividades realizadas con las cuentas de emergencia creadas en las bases de datos, tal cual se menciona en puntos anteriores. Se deberá contar con un registro de los datos que se modifican, datos viejos y datos nuevos, y timestamp. Esta actividad podrá ser realizada por la propia base de datos. Como se mencionó anteriormente se deberá registrar y auditar las actividades relativas a la administración de claves. Verificación de la Seguridad. La verificación de la seguridad se debe dar en distintos niveles: En el desarrollo de un componente, clase o conjunto de método. (en el código desarrollado o el que se está desarrollando). En la vista externa de los componentes de una aplicación (caja Negra). La aplicación (como sistema global). Sistema de aplicaciones. Estado de salud de la aplicación en producción. Verificación de la seguridad en el desarrollo intracomponente. Se debe verificar la seguridad del código que se está desarrollado intracomponente, sin esperar a que sea verificado cuando se esté listo. Es tarea del desarrollador realizar esta verificación. Es deseable contar con herramientas que ayuden al desarrollador a lograr este objetivo, para facilitar su trabajo. Ejemplos de este tipo de herramientas pueden ser aquellas que realizan revisiones de código automáticas. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 19 / 28

20 Sin embargo las revisiones automáticas no deben sustituir la labor manual humana, ya que esta siempre detecta mayor cantidad o gravedad de situaciones inseguras, ambas técnicas deben complementarse. Deberá especificarse que tipo de verificaciones se realizarán desarrollar y cuáles no, así como la respuesta esperada considerando tanto casos de éxito como de falla. Se documentarán las decisiones tomadas. Verificación de la seguridad de un componente. Deberán diseñarse pruebas de verificación de la seguridad en para cada componente y sus interacciones. Debido a la variedad en la criticidad de los componentes, es posible que el diseño de estas pruebas pueda recaer en la responsabilidad del desarrollador, o bien del Responsable de Verificación. También podrá ayudarse con el diseño y ejecución de las pruebas, con herramientas de revisión de seguridad en el código de las aplicaciones, es decir test de seguridad de caja blanca. Puede ser útil además utiliza herramientas que testeen la seguridad del componente utilizando métodos de caja negra. Verificación de la seguridad de la aplicación. La verificación de una aplicación deberá ser cuidadosamente diseñada y deberá incluir la verificación de la seguridad de la misma y su entorno. En ambiente de desarrollo cuando la aplicación se encuentre en desarrollo, la verificación de la aplicación es responsabilidad del desarrollador. También es de utilidad complementar el testeo, utilizando herramientas que chequen la seguridad del código desarrollado. Deberá realizarse la verificación de la seguridad de la aplicación en un ambiente de testeo que simule el ambiente de producción. De esta manera posibles errores son detectados previamente a su puesta en producción. Para esto es conveniente utilizar además de las pruebas diseñadas por el Responsable de Verificación, el uso de una herramienta que testeo la seguridad de las aplicaciones utilizando métodos de caja negra. Una vez puesta en producción la aplicación, deberán realizarse verificaciones correspondientes a la seguridad de la aplicación que no interfieran con el negocio. Podrán realizarse test selectivos sobre determinados grupos de aplicaciones. Ninguna herramienta de verificación o pruebas manuales en ambientes de producción deberán modificar datos. Esto deberá ser garantizado. ARCHIVO: ANEXO6_GSEI_-_Seguridad_en_el_Proceso_de_Desarrollo_de_Software_v0.9 Nº. PÁG: 20 / 28

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA...7 Tarea DSI 1.1: Definición de Niveles de Arquitectura...9 Tarea DSI 1.2:

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Diseño del Sistema de Información

Diseño del Sistema de Información Diseño del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD DSI 1: DEFINICIÓN DE LA ARQUITECTURA DEL SISTEMA... 7 Tarea DSI 1.1: Definición de Niveles de Arquitectura... 9 Tarea DSI

Más detalles

Circular de Tecnología Pautas para el uso de Certificados Electrónicos

Circular de Tecnología Pautas para el uso de Certificados Electrónicos ASIT 20091112 CT Pautas para el uso de Certificados Electrónicos v1 20/11/2009 Documento de Circular de Tecnología Pautas para el uso de Certificados Electrónicos Versión 01 Noviembre 2009 ARCHIVO: ASIT

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración

Estándar para la Elaboración del Proceso Administración de Elementos de Configuración Seguridad del documento La clasificación de seguridad de la información de este documento, se ha establecido como bajo. Se ha creado y organizado con la expectativa de que esté a disposición de las unidades

Más detalles

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR: 19/10/2015 Audedatos Josema Gil Nº edición: 01 Nº revisión: 01 Página 2 de 14 Fecha Edición Revisión Cambios Realizados

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Infraestructura Extendida de Seguridad IES

Infraestructura Extendida de Seguridad IES Infraestructura Extendida de Seguridad IES BANCO DE MÉXICO Dirección General de Sistemas de Pagos y Riesgos Dirección de Sistemas de Pagos INDICE 1. INTRODUCCION... 3 2. LA IES DISEÑADA POR BANCO DE MÉXICO...

Más detalles

Estándares para Sistemas de Tickets Entrantes/Salientes (TITO)

Estándares para Sistemas de Tickets Entrantes/Salientes (TITO) Estándares para Sistemas de Tickets Entrantes/Salientes (TITO) Superintendencia de Casinos de Juego (SCJ) CHILE Santiago de Chile, marzo de 2015 Modificaciones a los Estándares para Sistemas de Tickets

Más detalles

TEXTO RESALTADO CON CARACTERES ESPECIALES PARA DESTACAR LOS CAMBIOS INTRODUCIDOS EN LA NORMA VIGENTE POR LA COMUNICACIÓN A 4690

TEXTO RESALTADO CON CARACTERES ESPECIALES PARA DESTACAR LOS CAMBIOS INTRODUCIDOS EN LA NORMA VIGENTE POR LA COMUNICACIÓN A 4690 TEXTO RESALTADO CON CARACTERES ESPECIALES PARA DESTACAR LOS CAMBIOS INTRODUCIDOS EN LA NORMA VIGENTE POR LA COMUNICACIÓN A 4690 3.1.4.4. Registros de seguridad y pistas de auditoría. Con el objeto de reducir

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS

MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA PARA USUARIOS MANUAL DE POLÍTICAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA... 3 INTRODUCCIÓN... 3 1.- DISPOSICIONES GENERALES... 3 1.1 ÁMBITO DE APLICACIÓN

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Resolución Rectoral Nº 11150005-ULP-2010. ANEXO IV. Fecha Emisión Versión Revisión. ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010

Resolución Rectoral Nº 11150005-ULP-2010. ANEXO IV. Fecha Emisión Versión Revisión. ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010 Pág. 1 de 8 ANEXO IV Resolución Rectoral Nº 11150005-ULP-2010 TERMINOS Y CONDICIONES CON TERCEROS USUARIOS DEL INSTITUTO DE FIRMA DIGITAL DE LA PROVINCIA DE SAN LUIS Política de Certificación del Instituto

Más detalles

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA matedi 2014. TITULO 1 ÍNDICE 1. ANTECEDENTES. 2.CONSULTORÍA. 3. VALORACIÓN. 4. RESUMEN. matedi 2015. 2 1. ANTECEDENTES. Las empresas llevan a cabo una serie

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1 GUÍA de Seguridad de Datos 1 Indice GUÍA MODELO DEL DOCUMENTO DE SEGURIDAD INTRODUCCIÓN MODELO DE DOCUMENTO DE SEGURIDAD 1. ÁMBITO DE APLICACIÓN DEL DOCUMENTO 2. MEDIDAS, NORMAS, PROCEDIMIENTOS, REGLAS

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

MANUAL DE REGISTRO Y ACREDITACIÓN

MANUAL DE REGISTRO Y ACREDITACIÓN Recaudación Electrónica Versión 5.2 MANUAL DE REGISTRO Y ACREDITACIÓN Versión 5.2 Recaudación Electrónica Versión 5.2 2 ÍNDICE ÍNDICE... 2 CERTIFICACIÓN... 4 Sitio Web Recaudación Electrónica... 6 Home...

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006 INTERNATIONAL STANDARD SAFETY AND SECURITY CAB Spanish Version SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA NO COPYING WITHOUT PERMISSION OF AMERICAN CERTIFICATION

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Portal para la Gestión de Certificados Digitales

Portal para la Gestión de Certificados Digitales Guía de Usuario Versión 1.0 Portal para la Gestión de Certificados Digitales Segunda Generación de Sistemas Ingresadores Septiembre 2005 TABLA DE CONTENIDOS 1 INTRODUCCIÓN...3 2 OBJETIVO...3 3 MARCO JURÍDICO...3

Más detalles

Custodia de Documentos Valorados

Custodia de Documentos Valorados Custodia de Documentos Valorados En el complejo ambiente en que se desarrollan los procesos de negocio actuales, se hace cada vez más necesario garantizar niveles adecuados de seguridad en la manipulación

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 19 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 6 Situación Contraste externo Actualización

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA

UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA UNIVERSIDAD TECNOLÓGICA DE CHIHUAHUA POLÍTICA DE SEGURIDAD INFORMÁTICA Página: 1 DE 15 Código: DR-SI-01 Rev. 01 F. EMISIÓN: 04 DE JULIO DEL 2014 F. REV.: 04/07/2014 PUESTO ELABORÓ : JEFE DEL DEPARTAMENTO

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Banco de la República Bogotá D. C., Colombia

Banco de la República Bogotá D. C., Colombia Banco de la República Bogotá D. C., Colombia Departamento de Seguridad Informática SUBGERENCIA DE INFORMÁTICA MECANISMOS DE SEGURIDAD DE LOS SERVICIOS INFORMÁTICOS USI-ASI-1 Junio de 2007 Versión 3 CONTENIDO

Más detalles

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web

Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web ASIT 20070501 CT Pautas de seguridad para aplicaciones web v1 2007-05-16 Documento de Circular de Tecnología Pautas de seguridad para el desarrollo de aplicaciones Web Versión 01 ARCHIVO: ASIT 20070501

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

4.4. IMPLEMENTACION DE SISTEMAS

4.4. IMPLEMENTACION DE SISTEMAS 4.4. IMPLEMENTACION DE SISTEMAS DEFINICION: - Todas las actividades necesarias para convertir el sistema anterior al nuevo sistema - Proceso que asegura la operatividad del sistema de información y que

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 17 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

Mejores Prácticas de Autenticación:

Mejores Prácticas de Autenticación: Mejores Prácticas de Autenticación: Coloque el control donde pertenece WHITEPAPER Los beneficios de un Ambiente de Autenticación Totalmente Confiable: Permite que los clientes generen su propia información

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

TÉRMINOS Y CONDICIONES DE USO

TÉRMINOS Y CONDICIONES DE USO TÉRMINOS Y CONDICIONES DE USO Importante: Lea atentamente este documento antes de utilizar el sitio Web. No utilice este sitio Web si no está de acuerdo con los Términos y Condiciones de este documento.

Más detalles

cumple y hay evidencias objetivas

cumple y hay evidencias objetivas Lista de Verificación ISO :2008 LISTA DE VERIFICACIÓN ISO :2008 Sistemas de Gestión de la Calidad Pliego Objeto y campo de aplicación Esta lista de verificación tiene como objetivo conocer con mayor detalle

Más detalles

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011

Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Privacy by design (PbD). Necesidades de desarrollo seguro. Daniel de los Reyes dadecal@s2grupo.es Director de desarrollo. S2 Grupo 12 de Mayo, 2011 Antecedentes Nueva Directiva comunitaria sobre Protección

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Gestión de la Seguridad Informática

Gestión de la Seguridad Informática Documento de Gestión de la Seguridad Informática Versión 01 ARCHIVO: ANEXO6_GESTION DE LA SEGURIDAD INFORMATICA Nº. PÁG: 1 / 6 CREADO: 11/11/a TABLA DE CONTENIDO 1. GESTIÓN DE SEGURIDAD INFORMÁTICA...

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Ficha Técnica. effidetect

Ficha Técnica. effidetect Ficha Técnica effidetect Página 1 de 9 Introducción El Sistema Pointer es un producto de Predisoft (www.predisoft.com) cuyo propósito es la detección (en línea) del fraude que sufren las instituciones

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Etapas del desarrollo

Etapas del desarrollo Capítulo 4 Etapas del desarrollo Este capítulo documenta la aplicación del modelo presentado anteriormente, para el caso de la detección y clasificación de eventos sísmicos sobre señales digitales. El

Más detalles

REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL ELECTORAL.

REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL ELECTORAL. 1 REGLAMENTO PARA EL USO Y OPERACIÓN DE LA FIRMA ELECTRÓNICA AVANZADA EN EL INSTITUTO FEDERAL CAPÍTULO I DISPOSICIONES GENERALES Artículo. 1. El presente Reglamento tiene por objeto regular: a) La emisión,

Más detalles

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías

U.D. 8 Juan Carlos Pérez González. UD 8. Auditorías UD 8. Auditorías Requisitos de seguridade do sistema e dos datos. Obxectivos da auditoría. Ámbito da auditoría. Aspectos auditables. Mecanismos de auditoría. Alarmas e accións correctivas. Información

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 SIN CLASIFICAR

ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 SIN CLASIFICAR ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 Centro Criptológico Nacional 1 INDICE 1. OBJETO... 3 2. ÁMBITO DE APLICACIÓN...

Más detalles

FECHA DE ENTREGA AL ESTUDIANTE: Adjunto a la primera Prueba Parcial. FECHA DE DEVOLUCIÓN POR PARTE DEL ESTUDIANTE: Adjunto a la Prueba Integral

FECHA DE ENTREGA AL ESTUDIANTE: Adjunto a la primera Prueba Parcial. FECHA DE DEVOLUCIÓN POR PARTE DEL ESTUDIANTE: Adjunto a la Prueba Integral TP338 Lapso 2015-1 1/6 UNIVERSIDAD NACIONAL ABIERTA VICERRECTORADO ACADÉMICO AREA: INGENIERÍA TRABAJO PRÁCTICO ASIGNATURA: Sistema de Información III CÓDIGO: 338 FECHA DE ENTREGA AL ESTUDIANTE: Adjunto

Más detalles

Análisis del Sistema de Información

Análisis del Sistema de Información Análisis del Sistema de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD ASI 1: DEFINICIÓN DEL SISTEMA... 6 Tarea ASI 1.1: Determinación del Alcance del Sistema... 6 Tarea ASI 1.2: Identificación

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

REGLAMENTO PARA OPERAR SISTEMAS ELECTRÓNICOS DE PAGO TIPO ACH

REGLAMENTO PARA OPERAR SISTEMAS ELECTRÓNICOS DE PAGO TIPO ACH REGLAMENTO PARA OPERAR SISTEMAS ELECTRÓNICOS DE PAGO TIPO ACH 1. GENERALIDADES 1.1 ANTECEDENTES La estrategia para la modernización del sistema de pagos de El Salvador contempla dentro de sus componentes

Más detalles

Mantenimiento de Sistemas de Información

Mantenimiento de Sistemas de Información de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD MSI 1: REGISTRO DE LA PETICIÓN...4 Tarea MSI 1.1: Registro de la Petición... 4 Tarea MSI 1.2: Asignación de la Petición... 5 ACTIVIDAD

Más detalles

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas. Hoja 1 CAPITULO 1-7 TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS 1.- Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

Kit Izenpe. Instalación y manual de Usuario para Windows

Kit Izenpe. Instalación y manual de Usuario para Windows Sumario Introducción... 3 A quién va dirigido este documento... 3 Antes de comenzar... 3 Instalación... 4 Instalación desatendida (para usuarios avanzados)... 7 Problemas durante la instalación... 8 Fin

Más detalles

C I R C U L A R N 1.878

C I R C U L A R N 1.878 Montevideo, 2 de octubre de 2003 C I R C U L A R N 1.878 Ref: INSTITUCIONES DE INTERMEDIACIÓN FINANCIERA - NORMAS SOBRE CONSERVACIÓN Y REPRODUCCIÓN DE DOCUMENTOS. (Expediente B.C.U. N 2003/3177) - Se pone

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

Glosario de términos

Glosario de términos Glosario de términos Acreditación Proceso por el cual se verifica, ante la Autoridad Administrativa Competente, que la planta de certificación PKI cumple con los estándares internacionales contemplados

Más detalles

Política de Firma Digital de CONICET

Política de Firma Digital de CONICET Política de Firma Digital de CONICET Versión 1.0 1. Introducción 1.1. Alcance Este documento establece las normas utilizadas para determinar bajo qué condiciones los métodos de creación y verificación

Más detalles

FIRMA DIGITAL. Claudia Dacak Dirección de Firma Digital Dirección General de Firma Digital y Comercio Electrónico

FIRMA DIGITAL. Claudia Dacak Dirección de Firma Digital Dirección General de Firma Digital y Comercio Electrónico FIRMA DIGITAL Claudia Dacak Dirección de Firma Digital Dirección General de Firma Digital y Comercio Electrónico Agenda Conceptos básicos Funcionamiento tecnológico de firma digital Autoridades de Certificación

Más detalles

Condiciones de servicio de Portal Expreso RSA

Condiciones de servicio de Portal Expreso RSA Condiciones de servicio de Portal Expreso RSA Le damos la bienvenida a Portal Expreso RSA 1. Su relación con Portal Expreso RSA 1.1 El uso que el usuario haga de la información, software, servicios prestados

Más detalles

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS Ministerio de Tecnologías de la Información y las Comunicaciones Programa de Gobierno

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

Capítulo 5 Administración de Archivos Electrónicos

Capítulo 5 Administración de Archivos Electrónicos De vuelta al índice 5 Capítulo 5 Administración de Archivos Electrónicos 5.1 General. Este capítulo establece los requisitos básicos para la creación, mantenimiento, acceso, retención, almacenamiento y

Más detalles

TÍTULO : NORMAS TÉCNICAS PARA LA SEGURIDAD E INTEGRIDAD DE LA INFORMACIÓN QUE SE PROCESA EN EL SENCICO

TÍTULO : NORMAS TÉCNICAS PARA LA SEGURIDAD E INTEGRIDAD DE LA INFORMACIÓN QUE SE PROCESA EN EL SENCICO DIRECTIVA CODIGO: GG-OAF-DI-020-2004 SENCICO TÍTULO : NORMAS TÉCNICAS PARA LA SEGURIDAD E INTEGRIDAD DE LA INFORMACIÓN QUE SE PROCESA EN EL SENCICO Aprobado por : Reemplaza a: Gerencia General Ninguna

Más detalles

ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO ESCUELA POLITECNICA DEL EJERCITO Carrera de Ingeniería a de Sistemas e Informática Desarrollo de una aplicación Sign On en Smart Cards Vinicio Ramirez M. SEGURIDAD INFORMÁTICA La Seguridad Informática

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Bitácora del sistema - Introducción

Bitácora del sistema - Introducción Bitácora del sistema M A T E R I A : A R Q U I T E C T U R A A V A N Z A D A P R O F E S O R : J U A N J O S E M U Ñ O Z A L U M N O : F E D E R I C O D I B E N E D E T T O M A T R I C U L A : 7 6 5 6

Más detalles