RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD

Tamaño: px
Comenzar la demostración a partir de la página:

Download "RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD"

Transcripción

1 RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD

2 ÍNDICE 1. INTRODUCCIÓN PRIORIDADES DE UNA ENTIDAD DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO PROTECCIÓN INTERNA: SERVIDORES COPIAS DE SEGURIDAD (BACKUP) PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS) PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD MONITORIZACIÓN Y REACCIÓN CONCIENCIACIÓN APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES PROTOCOLOS DE COORDINACIÓN USO DE UNA ESTRUCTURA VIRTUALIZADA RELACIÓN CON NORMATIVA PERFILES DE SEGURIDAD COSTE EFICACIA TIPO DE PROTECCIÓN REFERENCIAS Centro Criptológico Nacional 2

3 1. INTRODUCCIÓN 1. El Esquema Nacional de Seguridad, en su Disposición Transitoria sobre Adecuación de los Sistema, dice que: 1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. 2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes. 2. Este documento proporciona orientación para priorizar la implantación de las medidas de seguridad del Esquema Nacional de Seguridad. Esta orientación se materializa en una serie de actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS. 3. Estas actuaciones no sustituyen a lo establecido en el Real Decreto 3/2010 en cuanto al cumplimiento de los principios básicos y requisitos mínimos mediante la aplicación de las medidas indicadas en su anexo II. 4. La orientación aquí proporcionada es aplicable a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares. Se espera que cada organización las particularice para adaptarlas a su entorno singular. 5. El apartado 2 expone una serie de actuaciones a nivel de entidad individual, ordenadas por prioridad, es decir, empezando por aquellas que presentan una mejor relación entre coste (bajo) y mejora de la seguridad (alto). Para cada actuación se indica la correspondencia con la medida o medidas relacionadas del anexo II y en su caso con las guías CCN-STIC en las que se trata la cuestión. 6. El apartado 3 trata las oportunidades que ofrecen las infraestructuras y servicios comunes en relación con las actuaciones expuestas para priorizar las medidas del ENS. 7. El apartado 4 proporciona, en relación con las actuaciones citadas, una tabla de correspondencias entre el ENS y otros instrumentos como NISP-SP e ISO El apartado 5 trata los perfiles de seguridad. 9. Los apartados 6, 7 y 8 contienen las leyendas relativas a las expresiones de coste, eficacia y medidas de protección utilizadas en el documento. 10. El apartado 9 contiene referencias a documentación. Centro Criptológico Nacional 3

4 2. PRIORIDADES DE UNA ENTIDAD 11. Las actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS son las siguientes: Prioridad Acción Medidas Guías Tipo Coste Eficacia CCN-STIC 1 Definir y nombrar al [org.1] Política de seguridad 801 AD BAJO BAJA responsable de la seguridad 2 Inventariar el equipamiento [op.exp.1] Inventario de activos AD BAJO BAJA informático 3 Definir y proteger el [mp.if.1] Áreas separadas y con control de PR MEDIO ALTA perímetro físico acceso 4 Definir y proteger el perímetro lógico [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad , 408, 416 PR MEDIO ALTA 5 Protección interna: servidores [op.acc.7] Control del acceso remoto [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Series 500 y 600 Series 400, 500 y 600 PR MEDIO ALTA 6 Copias de seguridad (backup) [mp.info.9] Copias de seguridad (backups) RC BAJO ALTA 7 Protección interna: puestos [op.exp.2] Configuración de seguridad Series 400, 500 PR MEDIO MEDIA de trabajo (PC) [op.exp.6] Protección frente a código y Protección interna: portátiles, smart phones, byod dañino [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino 9 Monitorización y reacción [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento [op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios 10 Concienciación [mp.per.3] Concienciación [org.2] Normativa de seguridad Series 400, 500 y PR MEDIO MEDIA MN + CR MEDIO ALTA AW MEDIO MEDIA 2.1. DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD 12. Debe haber una (1) persona responsable de velar por todos los aspectos de seguridad del sistema. La misma, o personal bajo su dirección, se encargará de la administración y operación de las medidas de seguridad que se consideren oportunas. El responsable de seguridad será el interlocutor único en materia de seguridad. [org.1] Política de seguridad Guías CCN-STIC: 801 Roles y funciones 2.2. INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO 13. Hay que tener una lista o base de datos actualizada que cubra los equipos (servidores, pc y portátiles) con el software instalado en los mismos. [op.exp.1] Inventario de activos 2.3. DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO 14. Seguridad física: instalación de los equipos en una sala cerrada con control de acceso [mp.if.1] Áreas separadas y con control de acceso Centro Criptológico Nacional 4

5 2.4. DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO 15. Seguridad de las comunicaciones. Poner, configurar y proteger el cortafuegos. [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad [op.acc.7] Control del acceso remoto Guías CCN-STIC: Guía Interconexión en el Esquema Nacional de Seguridad Serie 400 Guías generales o 406 Seguridad en redes inalámbricas o 408 Seguridad perimetral cortafuegos o 416 Seguridad en VPN s Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.5. PROTECCIÓN INTERNA: SERVIDORES 16. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.6. COPIAS DE SEGURIDAD (BACKUP) 17. Debe identificarse la información crítica y establecer un mecanismo automático para tener copias regulares a las que recurrir en caso de pérdida. Las copias deben ubicarse de forma que no se vean afectadas por los mismos incidentes que pueden destruir la información en uso rutinario. [mp.info.9] Copias de seguridad (backups) Guías CCN-STIC Centro Criptológico Nacional 5

6 2.7. PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS) 18. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entorno 2.8. PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD 19. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.9. MONITORIZACIÓN Y REACCIÓN 20. Resolución de problemas detectados, y actitud proactiva en la localización de los mismos. 21. De forma reactiva hay que atender a los anuncios de parches de los fabricantes y a los incidentes de seguridad que ocurran. De forma preventiva hay que recoger registros de actividad de los usuarios y protegerlos para que sirvan de fuente de conocimiento en caso de incidencia. [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento Centro Criptológico Nacional 6

7 [op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios Guías CCN-STIC: 403 Gestión de incidentes de seguridad 817 Criterios comunes para la gestión de incidentes de seguridad en el Esquema Nacional de Seguridad (ENS). Procedimientos de actuación del CCN-CERT CONCIENCIACIÓN 22. Debe existir una normativa escrita que describa lo que es el uso adecuado del sistema de información y lo que es uso indebido. Debe transmitirse esta normativa a todas las personas que tienen algún derecho de acceso al sistema, de forma recurrente. [mp.per.3] Concienciación [org.2] Normativa de seguridad 3. APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 23. El Artículo 28 del ENS Infraestructuras y servicios comunes dice que: La utilización de infraestructuras y servicios comunes reconocidos en las Administraciones Públicas facilitará el cumplimiento de los principios básicos y los requisitos mínimos exigidos en el presente real decreto en condiciones de mejor eficiencia. Los supuestos concretos de utilización de estas infraestructuras y servicios comunes serán determinados por cada Administración. 24. En particular, la Administración General del Estado proporciona una serie de infraestructuras y servicios comunes, con soporte legal, destinadas a proporcionar soluciones a necesidades comunes de las AA.PP. en relación con cuestiones tales como, sin ánimo de exhaustividad, la Red de comunicaciones de las Administraciones Públicas, prestada por la Red SARA; la plataforma de validación de firma relativa a identificación, autenticación, firma electrónica y sellado de tiempo; la interconexión de registros electrónicos y el intercambio de asientos registrales (SIR/ORVE), la Plataforma de intermediación de datos, el documento y el expediente electrónicos (INSIDE, G_INISDE), las notificaciones electrónicas, la sede electrónica (ACCEDA) entre otras, que simplifican la complejidad de las diversas dimensiones de la interoperabilidad y propagan la interoperabilidad entre las AA.PP. y con los ciudadanos. 25. Las demás AA.PP. también disponen de infraestructuras y servicios comunes en su ámbito, a la vez que el Esquema Nacional de Interoperabilidad (Real Decreto 4/2010) dispone en su artículo 12 que: Las Administraciones públicas enlazarán aquellas infraestructuras y servicios que puedan implantar en su ámbito de actuación con las infraestructuras y servicios comunes que proporcione la Administración General del Estado para facilitar la interoperabilidad y la relación multilateral en el intercambio de información y de servicios entre todas las Administraciones públicas. Centro Criptológico Nacional 7

8 26. Lo que sigue se ha redactado pensando en el uso de: a. Infraestructuras y servicios comunes proporcionados por la propia administración pública (private cloud); aunque no se precisa la titularidad de los mismos, ni se requiere que haya un único centro de servicios. b. Uso de estructuras virtualizadas en la nube y requisitos a considerar. 27. Los aspectos de seguridad relativos a al empleo de Cloud Computing se tratan en la guía ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 28. La utilización de infraestructuras y servicios comunes ofrece en materia de seguridad las oportunidades que se citan a continuación, considerando lo que se debe tener presente en cuanto a la delegación de responsabilidades y funciones. acción 1.Definir y nombrar al responsable de la seguridad 2.Inventariar el equipamiento informático 3.Definir y proteger el perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación oportunidades esta actuación es necesariamente local: se pueden delegar funciones; pero no responsabilidades se puede apoyar con herramientas centralizadas de descubrimiento de componentes y mantenimiento del inventario si se utiliza equipamiento virtual (en la nube) las entidades no necesitan inventariar su equipamiento, sólo los servicios que utilizan si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro físico a los equipos de comunicaciones y las áreas de trabajo si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro lógico a su acceso remoto a los servicios centrales; pero estos se encargan de la interfaz con los ciudadanos si se utiliza equipamiento virtual (en la nube), la configuración de los equipos y el mantenimiento de versiones pasan a los servicios comunes; ver sección 3.2 si se utiliza equipamiento virtual (en la nube) la realización y gestión de copias de seguridad pasa a los servicios comunes, parametrizada por la política de cada organismo usuario la configuración puede facilitarse desde un repositorio central la administración de los sistemas puede delegarse a los servicios comunes ver sección 3.2 se pueden proporcionar recursos comunes de concienciación, tanto en la elaboración de material como en la presentación online y control de asistencia y Centro Criptológico Nacional 8

9 aprovechamiento (servicio de tele-formación) 3.2. PROTOCOLOS DE COORDINACIÓN 29. La provisión de equipamiento virtual y de servicios comunes ofrece ventajas de economía de escala en varios aspectos: adquisición de equipos adquisición de aplicaciones software medios de respaldo para garantizar la continuidad de los servicios seguridad física dotación de administradores de sistemas y de seguridad 30. Pero requiere el establecimiento de algunos protocolos de actuación conjunta para atender a las singularidades recogidas en la política y normativa de cada entidad. 31. Actualizaciones y gestión de cambios Hay que establecer un protocolo para combinar una actualización rápida con un mínimo impacto en la prestación del servicio. Es necesario que entidades usuarias dispongan de un periodo de transición individualizado para adecuar sus servicios a la nueva plataforma. 32. Monitorización Registro de la actividad de los usuarios Los registros y su tratamiento (consolidación y retención) pueden automatizarse respetando la política establecida en cada entidad usuaria, garantizando el control de acceso rutinario y en caso de incidente. 33. Gestión de incidencias La respuesta técnica a las incidencias puede ser centralizada, rápida y beneficiar a todos los usuarios; pero debe habilitar el tratamiento individualizado de la respuesta administrativa al incidente. 34. Gestión de identidades y privilegios Aunque se puede centralizar la gestión de identidades y los mecanismos técnicos de altas, bajas, suspensiones y control de acceso, siempre debe quedar en manos de la entidad usuaria el proceso de gestión de autorizaciones USO DE UNA ESTRUCTURA VIRTUALIZADA 35. El uso de una estructura virtualizada en la nube requeriría los siguientes pasos: 1. Determinar los requisitos de seguridad de la información y servicios según el Anexo I del ENS. 2. Verificar que dichos requisitos los puede atender el servicio en la nube (tanto del proveedor de servicios virtuales como del proveedor de comunicaciones); si no fuera así, hay que abandonar la opción del uso de la estructura virtualizada. 3. Revisar la política de seguridad de la entidad y ajustarla si es necesario y posible. 4. Revisar la normativa de seguridad, en particular los requisitos de seguridad, y ajustarla si es necesario y posible. 5. Realizar un análisis de riesgos para cubrir el nuevo escenario, calculando el riesgo residual, y conseguir la aceptación del nuevo riesgo por los órganos de gobierno Centro Criptológico Nacional 9

10 del organismo; si no fuera así, hay que desarrollar un plan de adecuación de forma que en todo momento el riesgo sea aceptable por la entidad. 6. Revisar los procedimientos operativos de seguridad para ajustarlos al nuevo escenario. 7. Formar a los administradores de sistemas y de seguridad para el nuevo escenario. 8. Diseñar y ejecutar un plan de transición ordenada de la información y los servicios al nuevo escenario, buscando el mínimo impacto en los servicios percibidos por el ciudadano. 36. Si no se pueden satisfacer los puntos 2, 3 y 4 entonces no se puede recurrir al uso de la estructura virtualizada en la nube REQUISITOS PARA USAR LA NUBE 37. La guía CCN-STIC 823 establece los siguientes requisitos a la hora de seleccionar un proveedor de servicios en la nube: categoría del sistema BAJA MEDIA ALTA nube pública sí no no nube comunitaria externalizada sí sí no nube comunitaria interna sí sí sí nube privada externalizada sí sí no nube privada interna sí sí sí 38. Adicionalmente se deberá atender especialmente a los siguientes aspectos en el proveedor de servicios en la nube, de cara a asegurar que la información y los servicios están adecuadamente protegidos: 39. Protección de la información. 40. Hay que asegurarse de que el proveedor protege la información adecuadamente: su integridad, su confidencialidad, su disponibilidad y, cuando hay normativa que aplica, el cumplimiento de dicha normativa. Este último punto es especialmente relevante en lo que respecta a datos de carácter personal. 41. Cifrado. 42. Es frecuente que se empleen técnicas criptográficas tanto para la autenticación de las sesiones de acceso, como para proteger la sesión y para proteger la información internamente. Hay que asegurar de que la criptografía cumple la normativa correspondiente (algoritmos y parámetros autorizados) y que los procedimientos de gestión de claves son adecuados. 43. Borrado de datos. 44. Hay que asegurarse de que el proveedor destruye los datos que ya no son necesarios usando mecanismos y procedimientos adecuados. Esto aplica tanto a copias efímeras (en equipamiento virtual) como a su destrucción definitiva. 45. Continuidad del servicio. 46. Hay que asegurar una calidad de servicio, tanto en cantidad (volumen de datos y velocidad de acceso) como el tiempo máximo que pudiera estar temporalmente interrumpido el servicio. Centro Criptológico Nacional 10

11 47. Los mismos aspectos se deben atender en el proveedor de servicios de comunicaciones que se emplee para acceder a los servicios en la nube. Aunque normalmente se emplearán redes privadas virtuales entre el usuario y el proveedor de servicios en la nube y por tanto sólo son de preocupar los aspectos de continuidad del servicio del proveedor de acceso. 48. El organismo usuario de estos servicios deberá prever los mecanismos adicionales que sean necesarios para casar las garantías de los proveedores con las necesidades establecidas siguiendo el Anexo I del ENS. 4. RELACIÓN CON NORMATIVA acción ENS NIST SP SANS 20 ISO Definir y org.1 PM nombrar al responsable de la seguridad 2.Inventariar el equipamiento op.exp.1 PM-5 CM-8 CC-1 CC informático 3. Definir y proteger el mp.if.1 PE-2, -3, -6, -7, perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación mp.com.1 op.pl.2 op.acc.7 op.exp.2 op.exp.6 AC-17 CA-3 SC-7 CM-2, -6, -7 SI-3 CC-10 CC-13 CC-3 CC mp.info.9 CP-9 CC op.exp.2 op.exp.6 op.exp.2 op.exp.6 op.exp.7 op.exp.4 op.exp.5 op.exp.8 mp.per.3 org.2 CM-2, -6, -7 SI-3 CM-2, -6, -7 SI-3 IR MA-2 AU-3 CC-3 CC-5 CC-3 CC-5 CC-18 CC PL-4 CC Centro Criptológico Nacional 11

12 5. PERFILES DE SEGURIDAD 49. Se denominan perfiles de seguridad a configuraciones de los sistemas pensadas para habilitar una serie limitada de funciones en las mejores condiciones posibles de seguridad. 50. Las guías CCN-STIC proporcionan múltiples escenarios con productos de amplia difusión, tanto de software de base como aplicaciones. 51. Los perfiles de seguridad permiten cumplir algunos requisitos importantes recogidos en el Esquema Nacional de Seguridad: Capítulo III Requisitos Mínimos Artículo 19. Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto: a) El sistema proporcionará la mínima funcionalidad requerida para que la organización solo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional. b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados. c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue. d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. 52. Concretamente, un perfil de seguridad se materializa en los siguientes puntos: se eliminan las cuentas por defecto proporcionadas por el fabricante se eliminan o inhiben los servicios innecesarios mínimo privilegio: se limitan los derechos de los usuarios, inhibiendo la capacidad de: o instalar aplicaciones, o usar aplicaciones sin autorización, o conectar equipos periféricos y o cambiar la configuración del software o del hardware los servicios habilitados se configuran de forma segura acorde con la política y normativa del organismo se habilitan los registros de actividad (logs) según política, impidiendo el acceso de los usuarios a los mismos 53. Los sistemas deben revisarse regularmente para verificar que la configuración sigue siendo segura. Centro Criptológico Nacional 12

13 6. COSTE 54. Estimación del consumo de recursos económicos = euros humanos = personas tiempo = horas B BAJO medida económica en consumo de recursos M MEDIO medida que requiere unos ciertos recursos A ALTO medida costosa 7. EFICACIA B BAJA Es una medida interesante, pero de poco efecto en sí misma, completando la protección ofrecida por otras medidas. M MEDIA Es una medida importante, de efecto notable, aunque no es primera línea de protección. A ALTA Es una medida crítica, fundamental, sin la cual no se debiera estar operando. 8. TIPO DE PROTECCIÓN 55. Las salvaguardas pueden enfrentarse a los incidentes ofreciendo diferentes tipos de protección: [PR] prevención Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capacidades, metodología segura de desarrollo de software, pruebas en pre-producción, segregación de tareas,... [DR] disuasión Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o persecución del delincuente,... [EL] eliminación Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya Centro Criptológico Nacional 13

14 producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios innecesarios, en general todo lo que tenga que ver con la fortificación o bastionado,..., cifrado de la información,..., armarios ignífugos,... [IM] minimización del impacto / limitación del impacto Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente [CR] corrección Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños. Véase: recuperación más abajo. Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación redundantes,... [RC] recuperación Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: copias de seguridad (back-up) [MN] monitorización Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de actividad, registro de descargas de web,... [DC] detección Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños. Ejemplos: anti-virus, IDS, detectores de incendio,... [AW] concienciación Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: cursos de concienciación, cursos de formación,... [AD] administración Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una buena administración evita el desconocimiento de lo que hay Centro Criptológico Nacional 14

15 y por tanto impide que haya puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad, REFERENCIAS CCN-CERT https://www.ccn-cert.cni.es/ CCN-STIC 823 Seguridad en entornos cloud, 2012 Portal de la Administración Electrónica, infraestructuras y servicios comunes DSD - Australian Defence Signals Directorate (DSD) Top 35 Mitigation Strategies ENS Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. BOE de 29 de enero de https://www.ccn-cert.cni.es/publico/ens/ens/index.html ENI Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. BOE de 29 de enero de NIST - SP Recommended Security Controls for Federal Information Systems, Rev. 3 (Aug. 2009); Rev. 4 (draft Feb. 2012) NIST - SP Guidelines on Security and Privacy in Public Cloud Computing, Dec NIST - SP The NIST Definition of Cloud Computing, Sept Centro Criptológico Nacional 15

16 NIST - SP Cloud Computing Synopsis and Recommendations, May NSA - Manageable Network Plan SANS 20 Critical Security Controls Centro Criptológico Nacional 16

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Esquema Nacional de Seguridad (ENS). Anexo II

Esquema Nacional de Seguridad (ENS). Anexo II Ed. Francis Lefebvre ANEXOS 1 AN EXOS Esquema Nacional de Seguridad (ENS). Anexo II 3900 ANEXO II. MEDIDAS DE SEGURIDAD 1. Disposiciones generales 1. Para lograr el cumplimiento de los principios básicos

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

(17-11-2014) MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS

(17-11-2014) MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS (17-11-2014) REF.: REF.C.M.: PROYECTO DE REAL DECRETO /, de, MODIFICACIÓN DEL REAL DECRETO 3/2010 DE 8 DE ENERO POR EL QUE SE REGULA EL ESQUEMA NACIONAL

Más detalles

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado?

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? 1 Introducción ENS 2 Introducción El objetivo de la presentación es explicar en qué consiste

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC Exposición de motivos La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos establece el marco de relación entre

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 25 Viernes 29 de enero de 2010 Sec. I. Pág. 8089 I. DISPOSICIONES GENERALES MINISTERIO DE LA PRESIDENCIA 1330 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 264 Miércoles 4 de noviembre de 2015 Sec. I. Pág. 104246 I. DISPOSICIONES GENERALES MINISTERIO DE LA PRESIDENCIA 11881 Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010,

Más detalles

Antes de imprimir este documento piense en el medio ambiente!

Antes de imprimir este documento piense en el medio ambiente! Versión 2.0 Página 1 de 8 1. OBJETIVO Establecer el procedimiento y parametrización de la toma de copias de respaldo, a través de la definición de las actividades que se deben surtir, para garantizar la

Más detalles

PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN PR30

PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN PR30 ANEXO III. PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN PR30 Centro Criptológico Nacional 1 INDICE ANEXO III. PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 138 Viernes 10 de junio de 2011 Sec. I. Pág. 59197 ANEXO III I. IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD Denominación: Seguridad informática Código: IFCT0109 Familia Profesional: Informática

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 182 Sábado 30 de julio de 2011 Sec. III. Pág. 87138 III. OTRAS DISPOSICIONES MINISTERIO DE POLÍTICA TERRITORIAL Y ADMINISTRACIÓN PÚBLICA 13173 Resolución de 19 de julio de 2011, de la Secretaría de

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3]

Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3] INFORMÁTICA Y COMUNICACIONES Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3] Seguridad informática Contenidos I IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD DENOMINACIÓN...06 CÓDIGO...06

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 19 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 6 Situación Contraste externo Actualización

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática

Premios TIC Administración General del Estado 2015 Categoría Seguridad Informática Categoría Seguridad Informática Securización de Base de Datos distribuidas de Gestión Procesal adscritas al Ministerio de Justicia (Memoria) Securización de Base de Datos distribuidas de Gestión Procesal

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

departamento de informática corporativa La pieza integradora CMDB: La pieza integradora

departamento de informática corporativa La pieza integradora CMDB: La pieza integradora La pieza integradora 1 OBJETIVO Presentar la CMDB como elemento integrador para: Análisis de riesgos de los sistemas de información. Gestión de incidencias. Gestión de inventario. Monitorización de los

Más detalles

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 25 CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC153_3 Versión 5 Situación RD 1087/2005 Actualización Competencia general

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

PCI-DSS Requisitos para su empleo en la nube

PCI-DSS Requisitos para su empleo en la nube 01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Contenido OBJETO Y ALCANCE... 2 RED CORPORATIVA MUNICIPAL... 3 REQUERIMIENTOS DE LA SOLUCIÓN... 3

Contenido OBJETO Y ALCANCE... 2 RED CORPORATIVA MUNICIPAL... 3 REQUERIMIENTOS DE LA SOLUCIÓN... 3 Servicio de Sistemas y Tecnologías de la Información y las Comunicaciones. PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL SUMINISTRO E IMPLANTACIÓN DE UNA RED WiFi DE ACCESO A INTERNET EN LAS INSTALACIONES

Más detalles

Técnico en Seguridad Informática + Especialización en Cloud Computing (Doble Titulación + 8 Créditos ECTS)

Técnico en Seguridad Informática + Especialización en Cloud Computing (Doble Titulación + 8 Créditos ECTS) Técnico en Seguridad Informática + Especialización en Cloud Computing (Doble Titulación + 8 Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico en Seguridad Informática + Especialización en Cloud

Más detalles

Las ventajas de cloud computing se hacen cada día más evidentes.

Las ventajas de cloud computing se hacen cada día más evidentes. Resumen ejecutivo Las ventajas de cloud computing se hacen cada día más evidentes. La informática en la nube, o cloud computing, es un tema de gran actualidad y por buenos motivos. Con este tipo de solución,

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 22 CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC152_3 Versión 6 Situación Contraste externo Actualización Competencia

Más detalles

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS

Más detalles

SEGURIDAD EN EQUIPOS INFORMÁTICOS 90h

SEGURIDAD EN EQUIPOS INFORMÁTICOS 90h SEGURIDAD EN EQUIPOS INFORMÁTICOS SEGURIDAD EN EQUIPOS INFORMÁTICOS Horas: 90 Teoría: 0 Práctica: 0 Presenciales: 90 A Distancia: 0 Acción: Nº Grupo: Código: MF0486 Plan: CURSOS PRÓXIMOS DE RECICLAJE Materia:

Más detalles

GUÍA DE SEGURIDAD (CCN-STIC 825) ESQUEMA NACIONAL DE SEGURIDAD CERTIFICACIONES 27001

GUÍA DE SEGURIDAD (CCN-STIC 825) ESQUEMA NACIONAL DE SEGURIDAD CERTIFICACIONES 27001 GUÍA DE SEGURIDAD (CCN-STIC 825) ESQUEMA NACIONAL DE SEGURIDAD CERTIFICACIONES 27001 NOVIEMBRE 2013 Edita: Centro Criptológico Nacional, 2013 NIPO: 002-13-052-X Fecha de Edición: noviembre de 2013 José

Más detalles

HERRAMIENTA PILAR ESQUEMA NACIONAL DE SEGURIDAD

HERRAMIENTA PILAR ESQUEMA NACIONAL DE SEGURIDAD HERRAMIENTA PILAR ESQUEMA NACIONAL DE SEGURIDAD Madrid, Abril de 2010 Presentación FORO: VIII Foro de seguridad de Red IRIS SESIÓN: CCN MAGERIT- Herramienta PILAR. Ejemplo aplicación ENS OBJETIVO: Presentación

Más detalles

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 24 CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC152_3 Versión 5 Situación RD 1087/2005 Actualización Competencia

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 55 Miércoles 5 de marzo de 2014 Sec. III. Pág. 21241 III. OTRAS DISPOSICIONES MINISTERIO DE SANIDAD, SERVICIOS SOCIALES E IGUALDAD 2378 Orden SSI/321/2014, de 26 de febrero, por la que se aprueba

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope. DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3

Más detalles

ESQUEMA NACIONAL DE SEGURIDAD

ESQUEMA NACIONAL DE SEGURIDAD ESQUEMA NACIONAL DE SEGURIDAD Cómo afecta el E.N.S. a los ISPs que prestan servicios a las Administraciones públicas? Estrategia Española de Ciberseguridad SIN CLASIFICAR Madrid, mayo de 2012 Entornos

Más detalles

CUALIFICACIÓN ADMINISTRACIÓN DE SERVICIOS DE INTERNET PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN ADMINISTRACIÓN DE SERVICIOS DE INTERNET PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 23 CUALIFICACIÓN ADMINISTRACIÓN DE SERVICIOS DE INTERNET PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC156_3 Versión 5 Situación RD 1087/2005 Actualización

Más detalles

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica MINISTERIO DE LA PRESIDENCIA Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (Incluye corrección de errores publicada

Más detalles

SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL

SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL DENOMINACIÓN DEL TÍTULO (ES) Técnico Superior en Administración de Sistemas Informáticos en Red TRADUCCIÓN DE LA DENOMINACION

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012) Características generales. La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 17 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

CA ARCserve Backup Patch Manager para Windows

CA ARCserve Backup Patch Manager para Windows CA ARCserve Backup Patch Manager para Windows Guía del usuario r16 Esta documentación, que incluye sistemas incrustados de ayuda y materiales distribuidos por medios electrónicos (en adelante, referidos

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

APLICATECA. Guía para la contratación y gestión de Servidor Cloud

APLICATECA. Guía para la contratación y gestión de Servidor Cloud APLICATECA Guía para la contratación y gestión de Servidor Cloud INDICE 1 QUÉ ES SERVIDOR CLOUD?... 1 1.1 PARA QUÉ SIRVE?... 1 1.2 CARACTERÍSTICAS DE SERVIDOR CLOUD... 3 2 CONTRATACIÓN DE SERVIDOR CLOUD...

Más detalles

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS) www.seguridadinformacion.com www.esquemanacionaldeseguridad.com ÍNDICE 1. INTRODUCCIÓN 3 2. GENERALIDADES 4 3. A QUIÉN APLICA 5 4. A QUIENES

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 300 Miércoles 14 de diciembre de 2011 Sec. I. Pág. 135688 V. REQUISITOS MÍNIMOS DE ESPACIOS, INSTALACIONES Y EQUIPAMIENTO Espacio Formativo Superficie m 2 15 alumnos Superficie m 2 25 alumnos Aula

Más detalles

1. OBJETO 2. ESPECIFICACIONES GENERALES 3. REQUERIMIENTOS TÉCNICOS 3.1. UBICACIÓN Y HORARIO DE PRESTACIÓN DEL SERVICIO

1. OBJETO 2. ESPECIFICACIONES GENERALES 3. REQUERIMIENTOS TÉCNICOS 3.1. UBICACIÓN Y HORARIO DE PRESTACIÓN DEL SERVICIO PLIEGO DE PRESCRIPCIONES TÉCNICAS QUE REGIRÁ LA ADJUDICACIÓN MEDIANTE PROCEDIMIENTO ABIERTO DE LA PRESTACIÓN DE LOS SERVICIOS DE CARÁCTER INFORMÁTICO NECESARIOS PARA EL SERVICIO DE ATENCIÓN AL USUARIO

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Seguridad de la Información. La experiencia del Principado de Asturias

Seguridad de la Información. La experiencia del Principado de Asturias Seguridad de la Información La experiencia del Principado de Asturias I. Presentación II. El Area de Seguridad III. Primer Paso IV. Políticas de Seguridad V. Gestión de Identidades VI. Indicadores de Seguridad

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

PRESENTACION. Cobalto, 16-20 08038 Barcelona Tlf: 934 480 257 Fax: 933 341 482 www.alvin.es

PRESENTACION. Cobalto, 16-20 08038 Barcelona Tlf: 934 480 257 Fax: 933 341 482 www.alvin.es PRESENTACION Cobalto, 16-20 08038 Barcelona Tlf: 934 480 257 Fax: 933 341 482 www.alvin.es INDICE Servicios Informáticos Suministro de Hardware Mantenimiento In Situ Mantenimiento Per Call Cobertura de

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

PLIEGO DE CLAUSULAS TECNICAS PARA EL PROYECTO DENOMINADO CONSOLIDACION DE SISTEMAS INFORMATICOS DEL AYUNTAMIENTO DE GALDAKAO

PLIEGO DE CLAUSULAS TECNICAS PARA EL PROYECTO DENOMINADO CONSOLIDACION DE SISTEMAS INFORMATICOS DEL AYUNTAMIENTO DE GALDAKAO PLIEGO DE CLAUSULAS TECNICAS PARA EL PROYECTO DENOMINADO CONSOLIDACION DE SISTEMAS INFORMATICOS DEL AYUNTAMIENTO DE GALDAKAO 1. OBJETO DEL CONTRATO El Ayuntamiento de Galdakao en el proyecto de Fondo de

Más detalles

MSP Dashboard. Guía de soluciones

MSP Dashboard. Guía de soluciones Guía de soluciones MSP Dashboard Este documento presenta MSP Dashboard (panel de servicios gestionados) de Cisco Meraki, que contiene características a medida para que los proveedores de servicios gestionados

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

Riesgos asociados al CLOUD

Riesgos asociados al CLOUD Riesgos asociados al CLOUD El Cloud está de moda Según el último barómetro de IDC España, el mercado de software como servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un incremento

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Curso de postgrado en Seguridad Informática

Curso de postgrado en Seguridad Informática Curso de postgrado en Seguridad Informática Mayo 2014 Índice 1. Presentación... 1 2. Objetivos... 2 3. Dirigido para... 2 4. Contenidos... 3 5. Programa... 5 6. Desarrollo del curso... 6 7. Prerrequisitos,

Más detalles

DOCUMENTO DE POLITICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS (Aprobado en Consejo de Gobierno de 13 de febrero de 2014)

DOCUMENTO DE POLITICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS (Aprobado en Consejo de Gobierno de 13 de febrero de 2014) DOCUMENTO DE POLITICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS (Aprobado en Consejo de Gobierno de 13 de febrero de 2014) Índice 1. INTRODUCCIÓN 2. OBJETO Y ÁMBITO DE APLICACIÓN 3. DATOS IDENTIFICATIVOS DE

Más detalles

ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA

ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA La Universidad Pública de Navarra precisa una política de gestión de documentos

Más detalles

Universidad Digital. Conocimiento y compromiso. Experiencia para el futuro. Diálogo y consenso

Universidad Digital. Conocimiento y compromiso. Experiencia para el futuro. Diálogo y consenso Universidad Digital Pilar Aranda Ramírez Catedrática de Universidad Aspiro a ser la próxima Rectora de la Universidad de Granada La universalización de las TIC ha propiciado nuevas fórmulas de generar,

Más detalles

Eficiencia, Simplicidad y Seguridad Cloud Computing: nuevas necesidades y nuevos retos

Eficiencia, Simplicidad y Seguridad Cloud Computing: nuevas necesidades y nuevos retos Cloud Computing: nuevas necesidades y nuevos retos Juan Miguel Velasco Director Asociado de Servicios y Proyectos de Seguridad de la Unidad de Grandes Clientes de Telefónica España Telefónica La Guerra

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Presentación corporativa

Presentación corporativa Presentación corporativa 1 Quiénes Somos 2 Pioneros en Soluciones SaaS Datadec Online, s.a. se constituye en el año 2000 con la misión de ofrecer aplicaciones y servicios empresariales alojadas sobre plataformas

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 SIN CLASIFICAR

ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 SIN CLASIFICAR ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 Centro Criptológico Nacional 1 INDICE 1. OBJETO... 3 2. ÁMBITO DE APLICACIÓN...

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS CONTRATACIÓN DE LOS SERVICIOS DE MONITORIZACIÓN Y OPERACIÓN LAS 24 HORAS DEL DÍA LOS 7 DIAS DE LA SEMANA

PLIEGO DE PRESCRIPCIONES TÉCNICAS CONTRATACIÓN DE LOS SERVICIOS DE MONITORIZACIÓN Y OPERACIÓN LAS 24 HORAS DEL DÍA LOS 7 DIAS DE LA SEMANA PLIEGO DE PRESCRIPCIONES TÉCNICAS CONTRATACIÓN DE LOS SERVICIOS DE MONITORIZACIÓN Y OPERACIÓN LAS 24 HORAS DEL DÍA LOS 7 DIAS DE LA SEMANA El objeto del presente pliego es fijar las prescripciones técnicas

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES CORRESPONDIENTE AL CONTRATO 300/2009/00908

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES CORRESPONDIENTE AL CONTRATO 300/2009/00908 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES CORRESPONDIENTE AL CONTRATO 300/2009/00908 1CARACTERÍSTICAS TÉCNICAS QUE HA DE REUNIR EL OBJETO DEL CONTRATO. Este contrato tiene por objeto el servicio consistente

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

UNIVERSIDAD DE LA RIOJA

UNIVERSIDAD DE LA RIOJA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

La Administración electrónica en el Gobierno de Canarias Mayo 2013 11

La Administración electrónica en el Gobierno de Canarias Mayo 2013 11 La Administración electrónica en el Gobierno de Canarias Mayo 2013 1 1 Índice 1. Antecedentes 2. Visión Global de la e-administración en el Gobierno de Canarias 3. Servicios al Ciudadano Sede electrónica

Más detalles

Servicios de infraestructura. Aplicaciones web

Servicios de infraestructura. Aplicaciones web 10 Julio 2013 Servicios de infraestructura Compílela o tráigala y nosotros la ejecutamos Windows Azure proporciona infraestructura a petición que se escala y se adapta a las necesidades cambiantes de cada

Más detalles