RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD
|
|
- Esther Ríos Serrano
- hace 8 años
- Vistas:
Transcripción
1 RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD
2 ÍNDICE 1. INTRODUCCIÓN PRIORIDADES DE UNA ENTIDAD DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO PROTECCIÓN INTERNA: SERVIDORES COPIAS DE SEGURIDAD (BACKUP) PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS) PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD MONITORIZACIÓN Y REACCIÓN CONCIENCIACIÓN APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES PROTOCOLOS DE COORDINACIÓN USO DE UNA ESTRUCTURA VIRTUALIZADA RELACIÓN CON NORMATIVA PERFILES DE SEGURIDAD COSTE EFICACIA TIPO DE PROTECCIÓN REFERENCIAS Centro Criptológico Nacional 2
3 1. INTRODUCCIÓN 1. El Esquema Nacional de Seguridad, en su Disposición Transitoria sobre Adecuación de los Sistema, dice que: 1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. 2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes. 2. Este documento proporciona orientación para priorizar la implantación de las medidas de seguridad del Esquema Nacional de Seguridad. Esta orientación se materializa en una serie de actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS. 3. Estas actuaciones no sustituyen a lo establecido en el Real Decreto 3/2010 en cuanto al cumplimiento de los principios básicos y requisitos mínimos mediante la aplicación de las medidas indicadas en su anexo II. 4. La orientación aquí proporcionada es aplicable a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares. Se espera que cada organización las particularice para adaptarlas a su entorno singular. 5. El apartado 2 expone una serie de actuaciones a nivel de entidad individual, ordenadas por prioridad, es decir, empezando por aquellas que presentan una mejor relación entre coste (bajo) y mejora de la seguridad (alto). Para cada actuación se indica la correspondencia con la medida o medidas relacionadas del anexo II y en su caso con las guías CCN-STIC en las que se trata la cuestión. 6. El apartado 3 trata las oportunidades que ofrecen las infraestructuras y servicios comunes en relación con las actuaciones expuestas para priorizar las medidas del ENS. 7. El apartado 4 proporciona, en relación con las actuaciones citadas, una tabla de correspondencias entre el ENS y otros instrumentos como NISP-SP e ISO El apartado 5 trata los perfiles de seguridad. 9. Los apartados 6, 7 y 8 contienen las leyendas relativas a las expresiones de coste, eficacia y medidas de protección utilizadas en el documento. 10. El apartado 9 contiene referencias a documentación. Centro Criptológico Nacional 3
4 2. PRIORIDADES DE UNA ENTIDAD 11. Las actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS son las siguientes: Prioridad Acción Medidas Guías Tipo Coste Eficacia CCN-STIC 1 Definir y nombrar al [org.1] Política de seguridad 801 AD BAJO BAJA responsable de la seguridad 2 Inventariar el equipamiento [op.exp.1] Inventario de activos AD BAJO BAJA informático 3 Definir y proteger el [mp.if.1] Áreas separadas y con control de PR MEDIO ALTA perímetro físico acceso 4 Definir y proteger el perímetro lógico [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad , 408, 416 PR MEDIO ALTA 5 Protección interna: servidores [op.acc.7] Control del acceso remoto [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Series 500 y 600 Series 400, 500 y 600 PR MEDIO ALTA 6 Copias de seguridad (backup) [mp.info.9] Copias de seguridad (backups) RC BAJO ALTA 7 Protección interna: puestos [op.exp.2] Configuración de seguridad Series 400, 500 PR MEDIO MEDIA de trabajo (PC) [op.exp.6] Protección frente a código y Protección interna: portátiles, smart phones, byod dañino [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino 9 Monitorización y reacción [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento [op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios 10 Concienciación [mp.per.3] Concienciación [org.2] Normativa de seguridad Series 400, 500 y PR MEDIO MEDIA MN + CR MEDIO ALTA AW MEDIO MEDIA 2.1. DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD 12. Debe haber una (1) persona responsable de velar por todos los aspectos de seguridad del sistema. La misma, o personal bajo su dirección, se encargará de la administración y operación de las medidas de seguridad que se consideren oportunas. El responsable de seguridad será el interlocutor único en materia de seguridad. [org.1] Política de seguridad Guías CCN-STIC: 801 Roles y funciones 2.2. INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO 13. Hay que tener una lista o base de datos actualizada que cubra los equipos (servidores, pc y portátiles) con el software instalado en los mismos. [op.exp.1] Inventario de activos 2.3. DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO 14. Seguridad física: instalación de los equipos en una sala cerrada con control de acceso [mp.if.1] Áreas separadas y con control de acceso Centro Criptológico Nacional 4
5 2.4. DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO 15. Seguridad de las comunicaciones. Poner, configurar y proteger el cortafuegos. [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad [op.acc.7] Control del acceso remoto Guías CCN-STIC: Guía Interconexión en el Esquema Nacional de Seguridad Serie 400 Guías generales o 406 Seguridad en redes inalámbricas o 408 Seguridad perimetral cortafuegos o 416 Seguridad en VPN s Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.5. PROTECCIÓN INTERNA: SERVIDORES 16. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.6. COPIAS DE SEGURIDAD (BACKUP) 17. Debe identificarse la información crítica y establecer un mecanismo automático para tener copias regulares a las que recurrir en caso de pérdida. Las copias deben ubicarse de forma que no se vean afectadas por los mismos incidentes que pueden destruir la información en uso rutinario. [mp.info.9] Copias de seguridad (backups) Guías CCN-STIC Centro Criptológico Nacional 5
6 2.7. PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS) 18. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entorno 2.8. PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD 19. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.9. MONITORIZACIÓN Y REACCIÓN 20. Resolución de problemas detectados, y actitud proactiva en la localización de los mismos. 21. De forma reactiva hay que atender a los anuncios de parches de los fabricantes y a los incidentes de seguridad que ocurran. De forma preventiva hay que recoger registros de actividad de los usuarios y protegerlos para que sirvan de fuente de conocimiento en caso de incidencia. [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento Centro Criptológico Nacional 6
7 [op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios Guías CCN-STIC: 403 Gestión de incidentes de seguridad 817 Criterios comunes para la gestión de incidentes de seguridad en el Esquema Nacional de Seguridad (ENS). Procedimientos de actuación del CCN-CERT CONCIENCIACIÓN 22. Debe existir una normativa escrita que describa lo que es el uso adecuado del sistema de información y lo que es uso indebido. Debe transmitirse esta normativa a todas las personas que tienen algún derecho de acceso al sistema, de forma recurrente. [mp.per.3] Concienciación [org.2] Normativa de seguridad 3. APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 23. El Artículo 28 del ENS Infraestructuras y servicios comunes dice que: La utilización de infraestructuras y servicios comunes reconocidos en las Administraciones Públicas facilitará el cumplimiento de los principios básicos y los requisitos mínimos exigidos en el presente real decreto en condiciones de mejor eficiencia. Los supuestos concretos de utilización de estas infraestructuras y servicios comunes serán determinados por cada Administración. 24. En particular, la Administración General del Estado proporciona una serie de infraestructuras y servicios comunes, con soporte legal, destinadas a proporcionar soluciones a necesidades comunes de las AA.PP. en relación con cuestiones tales como, sin ánimo de exhaustividad, la Red de comunicaciones de las Administraciones Públicas, prestada por la Red SARA; la plataforma de validación de firma relativa a identificación, autenticación, firma electrónica y sellado de tiempo; la interconexión de registros electrónicos y el intercambio de asientos registrales (SIR/ORVE), la Plataforma de intermediación de datos, el documento y el expediente electrónicos (INSIDE, G_INISDE), las notificaciones electrónicas, la sede electrónica (ACCEDA) entre otras, que simplifican la complejidad de las diversas dimensiones de la interoperabilidad y propagan la interoperabilidad entre las AA.PP. y con los ciudadanos. 25. Las demás AA.PP. también disponen de infraestructuras y servicios comunes en su ámbito, a la vez que el Esquema Nacional de Interoperabilidad (Real Decreto 4/2010) dispone en su artículo 12 que: Las Administraciones públicas enlazarán aquellas infraestructuras y servicios que puedan implantar en su ámbito de actuación con las infraestructuras y servicios comunes que proporcione la Administración General del Estado para facilitar la interoperabilidad y la relación multilateral en el intercambio de información y de servicios entre todas las Administraciones públicas. Centro Criptológico Nacional 7
8 26. Lo que sigue se ha redactado pensando en el uso de: a. Infraestructuras y servicios comunes proporcionados por la propia administración pública (private cloud); aunque no se precisa la titularidad de los mismos, ni se requiere que haya un único centro de servicios. b. Uso de estructuras virtualizadas en la nube y requisitos a considerar. 27. Los aspectos de seguridad relativos a al empleo de Cloud Computing se tratan en la guía ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 28. La utilización de infraestructuras y servicios comunes ofrece en materia de seguridad las oportunidades que se citan a continuación, considerando lo que se debe tener presente en cuanto a la delegación de responsabilidades y funciones. acción 1.Definir y nombrar al responsable de la seguridad 2.Inventariar el equipamiento informático 3.Definir y proteger el perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación oportunidades esta actuación es necesariamente local: se pueden delegar funciones; pero no responsabilidades se puede apoyar con herramientas centralizadas de descubrimiento de componentes y mantenimiento del inventario si se utiliza equipamiento virtual (en la nube) las entidades no necesitan inventariar su equipamiento, sólo los servicios que utilizan si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro físico a los equipos de comunicaciones y las áreas de trabajo si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro lógico a su acceso remoto a los servicios centrales; pero estos se encargan de la interfaz con los ciudadanos si se utiliza equipamiento virtual (en la nube), la configuración de los equipos y el mantenimiento de versiones pasan a los servicios comunes; ver sección 3.2 si se utiliza equipamiento virtual (en la nube) la realización y gestión de copias de seguridad pasa a los servicios comunes, parametrizada por la política de cada organismo usuario la configuración puede facilitarse desde un repositorio central la administración de los sistemas puede delegarse a los servicios comunes ver sección 3.2 se pueden proporcionar recursos comunes de concienciación, tanto en la elaboración de material como en la presentación online y control de asistencia y Centro Criptológico Nacional 8
9 aprovechamiento (servicio de tele-formación) 3.2. PROTOCOLOS DE COORDINACIÓN 29. La provisión de equipamiento virtual y de servicios comunes ofrece ventajas de economía de escala en varios aspectos: adquisición de equipos adquisición de aplicaciones software medios de respaldo para garantizar la continuidad de los servicios seguridad física dotación de administradores de sistemas y de seguridad 30. Pero requiere el establecimiento de algunos protocolos de actuación conjunta para atender a las singularidades recogidas en la política y normativa de cada entidad. 31. Actualizaciones y gestión de cambios Hay que establecer un protocolo para combinar una actualización rápida con un mínimo impacto en la prestación del servicio. Es necesario que entidades usuarias dispongan de un periodo de transición individualizado para adecuar sus servicios a la nueva plataforma. 32. Monitorización Registro de la actividad de los usuarios Los registros y su tratamiento (consolidación y retención) pueden automatizarse respetando la política establecida en cada entidad usuaria, garantizando el control de acceso rutinario y en caso de incidente. 33. Gestión de incidencias La respuesta técnica a las incidencias puede ser centralizada, rápida y beneficiar a todos los usuarios; pero debe habilitar el tratamiento individualizado de la respuesta administrativa al incidente. 34. Gestión de identidades y privilegios Aunque se puede centralizar la gestión de identidades y los mecanismos técnicos de altas, bajas, suspensiones y control de acceso, siempre debe quedar en manos de la entidad usuaria el proceso de gestión de autorizaciones USO DE UNA ESTRUCTURA VIRTUALIZADA 35. El uso de una estructura virtualizada en la nube requeriría los siguientes pasos: 1. Determinar los requisitos de seguridad de la información y servicios según el Anexo I del ENS. 2. Verificar que dichos requisitos los puede atender el servicio en la nube (tanto del proveedor de servicios virtuales como del proveedor de comunicaciones); si no fuera así, hay que abandonar la opción del uso de la estructura virtualizada. 3. Revisar la política de seguridad de la entidad y ajustarla si es necesario y posible. 4. Revisar la normativa de seguridad, en particular los requisitos de seguridad, y ajustarla si es necesario y posible. 5. Realizar un análisis de riesgos para cubrir el nuevo escenario, calculando el riesgo residual, y conseguir la aceptación del nuevo riesgo por los órganos de gobierno Centro Criptológico Nacional 9
10 del organismo; si no fuera así, hay que desarrollar un plan de adecuación de forma que en todo momento el riesgo sea aceptable por la entidad. 6. Revisar los procedimientos operativos de seguridad para ajustarlos al nuevo escenario. 7. Formar a los administradores de sistemas y de seguridad para el nuevo escenario. 8. Diseñar y ejecutar un plan de transición ordenada de la información y los servicios al nuevo escenario, buscando el mínimo impacto en los servicios percibidos por el ciudadano. 36. Si no se pueden satisfacer los puntos 2, 3 y 4 entonces no se puede recurrir al uso de la estructura virtualizada en la nube REQUISITOS PARA USAR LA NUBE 37. La guía CCN-STIC 823 establece los siguientes requisitos a la hora de seleccionar un proveedor de servicios en la nube: categoría del sistema BAJA MEDIA ALTA nube pública sí no no nube comunitaria externalizada sí sí no nube comunitaria interna sí sí sí nube privada externalizada sí sí no nube privada interna sí sí sí 38. Adicionalmente se deberá atender especialmente a los siguientes aspectos en el proveedor de servicios en la nube, de cara a asegurar que la información y los servicios están adecuadamente protegidos: 39. Protección de la información. 40. Hay que asegurarse de que el proveedor protege la información adecuadamente: su integridad, su confidencialidad, su disponibilidad y, cuando hay normativa que aplica, el cumplimiento de dicha normativa. Este último punto es especialmente relevante en lo que respecta a datos de carácter personal. 41. Cifrado. 42. Es frecuente que se empleen técnicas criptográficas tanto para la autenticación de las sesiones de acceso, como para proteger la sesión y para proteger la información internamente. Hay que asegurar de que la criptografía cumple la normativa correspondiente (algoritmos y parámetros autorizados) y que los procedimientos de gestión de claves son adecuados. 43. Borrado de datos. 44. Hay que asegurarse de que el proveedor destruye los datos que ya no son necesarios usando mecanismos y procedimientos adecuados. Esto aplica tanto a copias efímeras (en equipamiento virtual) como a su destrucción definitiva. 45. Continuidad del servicio. 46. Hay que asegurar una calidad de servicio, tanto en cantidad (volumen de datos y velocidad de acceso) como el tiempo máximo que pudiera estar temporalmente interrumpido el servicio. Centro Criptológico Nacional 10
11 47. Los mismos aspectos se deben atender en el proveedor de servicios de comunicaciones que se emplee para acceder a los servicios en la nube. Aunque normalmente se emplearán redes privadas virtuales entre el usuario y el proveedor de servicios en la nube y por tanto sólo son de preocupar los aspectos de continuidad del servicio del proveedor de acceso. 48. El organismo usuario de estos servicios deberá prever los mecanismos adicionales que sean necesarios para casar las garantías de los proveedores con las necesidades establecidas siguiendo el Anexo I del ENS. 4. RELACIÓN CON NORMATIVA acción ENS NIST SP SANS 20 ISO Definir y org.1 PM nombrar al responsable de la seguridad 2.Inventariar el equipamiento op.exp.1 PM-5 CM-8 CC-1 CC informático 3. Definir y proteger el mp.if.1 PE-2, -3, -6, -7, perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación mp.com.1 op.pl.2 op.acc.7 op.exp.2 op.exp.6 AC-17 CA-3 SC-7 CM-2, -6, -7 SI-3 CC-10 CC-13 CC-3 CC mp.info.9 CP-9 CC op.exp.2 op.exp.6 op.exp.2 op.exp.6 op.exp.7 op.exp.4 op.exp.5 op.exp.8 mp.per.3 org.2 CM-2, -6, -7 SI-3 CM-2, -6, -7 SI-3 IR MA-2 AU-3 CC-3 CC-5 CC-3 CC-5 CC-18 CC PL-4 CC Centro Criptológico Nacional 11
12 5. PERFILES DE SEGURIDAD 49. Se denominan perfiles de seguridad a configuraciones de los sistemas pensadas para habilitar una serie limitada de funciones en las mejores condiciones posibles de seguridad. 50. Las guías CCN-STIC proporcionan múltiples escenarios con productos de amplia difusión, tanto de software de base como aplicaciones. 51. Los perfiles de seguridad permiten cumplir algunos requisitos importantes recogidos en el Esquema Nacional de Seguridad: Capítulo III Requisitos Mínimos Artículo 19. Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto: a) El sistema proporcionará la mínima funcionalidad requerida para que la organización solo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional. b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados. c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue. d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. 52. Concretamente, un perfil de seguridad se materializa en los siguientes puntos: se eliminan las cuentas por defecto proporcionadas por el fabricante se eliminan o inhiben los servicios innecesarios mínimo privilegio: se limitan los derechos de los usuarios, inhibiendo la capacidad de: o instalar aplicaciones, o usar aplicaciones sin autorización, o conectar equipos periféricos y o cambiar la configuración del software o del hardware los servicios habilitados se configuran de forma segura acorde con la política y normativa del organismo se habilitan los registros de actividad (logs) según política, impidiendo el acceso de los usuarios a los mismos 53. Los sistemas deben revisarse regularmente para verificar que la configuración sigue siendo segura. Centro Criptológico Nacional 12
13 6. COSTE 54. Estimación del consumo de recursos económicos = euros humanos = personas tiempo = horas B BAJO medida económica en consumo de recursos M MEDIO medida que requiere unos ciertos recursos A ALTO medida costosa 7. EFICACIA B BAJA Es una medida interesante, pero de poco efecto en sí misma, completando la protección ofrecida por otras medidas. M MEDIA Es una medida importante, de efecto notable, aunque no es primera línea de protección. A ALTA Es una medida crítica, fundamental, sin la cual no se debiera estar operando. 8. TIPO DE PROTECCIÓN 55. Las salvaguardas pueden enfrentarse a los incidentes ofreciendo diferentes tipos de protección: [PR] prevención Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capacidades, metodología segura de desarrollo de software, pruebas en pre-producción, segregación de tareas,... [DR] disuasión Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o persecución del delincuente,... [EL] eliminación Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya Centro Criptológico Nacional 13
14 producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios innecesarios, en general todo lo que tenga que ver con la fortificación o bastionado,..., cifrado de la información,..., armarios ignífugos,... [IM] minimización del impacto / limitación del impacto Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente [CR] corrección Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños. Véase: recuperación más abajo. Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación redundantes,... [RC] recuperación Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: copias de seguridad (back-up) [MN] monitorización Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de actividad, registro de descargas de web,... [DC] detección Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños. Ejemplos: anti-virus, IDS, detectores de incendio,... [AW] concienciación Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: cursos de concienciación, cursos de formación,... [AD] administración Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una buena administración evita el desconocimiento de lo que hay Centro Criptológico Nacional 14
15 y por tanto impide que haya puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad, REFERENCIAS CCN-CERT CCN-STIC 823 Seguridad en entornos cloud, 2012 Portal de la Administración Electrónica, infraestructuras y servicios comunes DSD - Australian Defence Signals Directorate (DSD) Top 35 Mitigation Strategies ENS Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. BOE de 29 de enero de ENI Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. BOE de 29 de enero de NIST - SP Recommended Security Controls for Federal Information Systems, Rev. 3 (Aug. 2009); Rev. 4 (draft Feb. 2012) NIST - SP Guidelines on Security and Privacy in Public Cloud Computing, Dec NIST - SP The NIST Definition of Cloud Computing, Sept Centro Criptológico Nacional 15
16 NIST - SP Cloud Computing Synopsis and Recommendations, May NSA - Manageable Network Plan SANS 20 Critical Security Controls Centro Criptológico Nacional 16
PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:
PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesAspectos prácticos de implementación del Esquema Nacional de Seguridad
Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesINFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE
INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.
ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE
Más detallesMódulo 7: Los activos de Seguridad de la Información
Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento
Más detallesEstatuto de Auditoría Interna
Febrero de 2008 Introducción Mediante el presente Estatuto, se pone en conocimiento de toda la Organización la decisión del Consejo de Administración de Grupo Prosegur de implantar a nivel corporativo
Más detallesUNIVERSIDAD DE BURGOS
UNIVERSIDAD DE BURGOS SERVICIO DE INFORMÁTICA Y COMUNICACIONES Pliego de prescripciones técnicas para la contratación del servicio de soporte y mantenimiento de los firewalls de la Universidad de Burgos
Más detallesCómo hacer coexistir el ENS con otras normas ya
Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción
Más detallesLey Orgánica de Protección de Datos
Hécate GDocS Gestión del documento de seguridad Ley Orgánica de Protección de Datos 2005 Adhec - 2005 EFENET 1. GDocS - Gestión del Documento de Seguridad GDocS es un programa de gestión que permite mantener
Más detallesRiesgos asociados al CLOUD
Riesgos asociados al CLOUD El Cloud está de moda Según el último barómetro de IDC España, el mercado de software como servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un incremento
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detalleswww.seguridadinformacion.com www.esquemanacionaldeseguridad.com
Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS) www.seguridadinformacion.com www.esquemanacionaldeseguridad.com ÍNDICE 1. INTRODUCCIÓN 3 2. GENERALIDADES 4 3. A QUIÉN APLICA 5 4. A QUIENES
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesESQUEMA NACIONAL DE SEGURIDAD
ESQUEMA NACIONAL DE SEGURIDAD Cómo afecta el E.N.S. a los ISPs que prestan servicios a las Administraciones públicas? Estrategia Española de Ciberseguridad SIN CLASIFICAR Madrid, mayo de 2012 Entornos
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesBechtle Solutions Servicios Profesionales
Soluciones Tecnología Bechtle Solutions Servicios Profesionales Fin del servicio de soporte técnico de Windows Server 2003 No hacer nada puede ser un riesgo BECHTLE Su especialista en informática Ahora
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesMaster en Gestion de la Calidad
Master en Gestion de la Calidad Registros de un Sistema de Gestion de la Calidad Manual, procedimientos y registros 1 / 9 OBJETIVOS Al finalizar esta unidad didáctica será capaz: Conocer que es un registro
Más detallesDIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME
DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,
Más detalles1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características
Más detallesHaga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón
texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesGESTIÓN REMOTA Y CENTRALIZADA DE DISPOSITIVOS MÓVILES PROPUESTA DE COLABORACIÓN. www.mobilgest.es
GESTIÓN REMOTA Y CENTRALIZADA DE DISPOSITIVOS MÓVILES PROPUESTA DE COLABORACIÓN www.mobilgest.es INTRODUCCIÓN 2 MobilGest es un Servicio de Gestión de Dispositivos Móviles y Portátiles. Permite gestionar
Más detallesSISTEMAS Y MANUALES DE LA CALIDAD
SISTEMAS Y MANUALES DE LA CALIDAD NORMATIVAS SOBRE SISTEMAS DE CALIDAD Introducción La experiencia de algunos sectores industriales que por las características particulares de sus productos tenían necesidad
Más detallesmope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.
DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesEn el artículo del mes pasado,
144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA
Más detallesCuándo y qué virtualizar? Cuándo y qué virtualizar? 1
Cuándo y qué virtualizar? Cuándo y qué virtualizar? 1 Por qué surge la virtualización? En proyectos de infraestructuras informáticas muchos responsables de IT se sienten más confortables con diseños basados
Más detallesAviso Legal. Entorno Digital, S.A.
Aviso Legal En relación al cumplimiento de la Ley de Protección de Datos, le informamos que los datos personales facilitados por Ud. en cualquiera de los formularios incluidos en este sitio web son incluidos
Más detallesCapítulo 5. Cliente-Servidor.
Capítulo 5. Cliente-Servidor. 5.1 Introducción En este capítulo hablaremos acerca de la arquitectura Cliente-Servidor, ya que para nuestra aplicación utilizamos ésta arquitectura al convertir en un servidor
Más detallesTraslado de Data Center
Traslado de Data Center Traslado de Data Center Análisis y metodología garantizan el éxito en el traslado de los Data Center Planificar, analizar y documentar son claves a la hora de realizar la migración
Más detallesCURSO DE ESQUEMA NACIONAL DE SEGURIDAD
CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer
Más detallesSoporte Técnico de Software HP
Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de
Más detallesEl Portal de la Transparencia
La base para la Publicidad Activa de información recogida en la Ley de Transparencia 1. Introducción La concepción y diseño técnico del Portal de la Transparencia, son fruto de un Acuerdo de Colaboración
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detallesALOJAMIENTO DE SERVIDORES EN EL C.P.D.
ALOJAMIENTO DE SERVIDORES EN EL C.P.D. Descripción del servicio. Los Servicios Informáticos ofrecen el servicio de housing o alojamiento de servidores en las instalaciones existentes de la planta sótano
Más detallesSEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA
2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesmope SEGURIDAD INFORMÁTICA
DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3
Más detallesPROCESO ADMINISTRACIÓN DE RECURSOS TECNOLÓGICOS SUBPROCESO ADMINISTRACIÓN DE CONTINGENCIAS
Objetivo Este subproceso establece las actividades que se realizan para la planeación y control de respaldos y desastres relacionados con los recursos informáticos existentes en el Senado de La República
Más detallesNORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)
NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone
Más detallesIT/Servicio de Apoyo Técnico
Calle Isabel #44, Ponce, Puerto Rico 00730 Teléfono: 787-848-3073 Fax: 787-812-0301 www.coaliciondecoaliciones.org coaliciondecoaliciones@gmail.com Solicitud de Propuestas IT/Servicio de Apoyo Técnico
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE SOPORTE DE PLATAFORMA GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO El objeto del procedimiento es garantizar una plataforma tecnológica y un sistema de comunicación
Más detallesLA AUDITORÍA DE SEGURIDAD DEL ENS
LA AUDITORÍA DE SEGURIDAD DEL ENS La auditoría de Seguridad en el Esquema Nacional de Seguridad Índice Dónde se regula la auditoría del ENS Qué es una auditoría Cuál es la finalidad de la auditoría Quién
Más detallesServicio de hospedaje de servidores
Servicio de hospedaje de servidores Tomás P. de Miguel Gabinete de Informática y Comunicaciones ETSIT Madrid, 18 de Marzo de 2004 1. Introducción Cada día se hace más necesaria la utilización de nuevas
Más detallesImplantación de un SGSI
Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesMedidas de seguridad ficheros automatizados
RECOMENDACIÓN SOBRE MEDIDAS DE SEGURIDAD A APLICAR A LOS DATOS DE CARÁCTER PERSONAL RECOGIDOS POR LOS PSICÓLOGOS Para poder tratar datos de carácter personal en una base de datos adecuándose a la Ley 15/1999,
Más detallesSeminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets
Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 1 de 12 Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets 3 Bienvenida. 4 Objetivos. 5 Interacciones de Negocios
Más detallesDiputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316. Guía
Diputación de Albacete. Paseo Libertad, 5. 02001. Albacete. Tel. 967595300. Fax. 967520316 Guía 12 Obligaciones del responsable de seguridad exigibles por la LOPD Cesión de datos Es cesión o comunicación
Más detallesENS: Esquema Nacional de Seguridad
ENS: Esquema Nacional de Seguridad Notas sobre la presentación de Nacho Alamillo Introducción La Ley administrativa es diferente de la mercantil: no tiene sanción económica, pero cualquier daño que se
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL
Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información
Más detallesTenemos que tener en cuenta que los principales objetivos del ENS son:
Plan de Adecuación al Esquema Nacional de Seguridad en el Servicio de Modernización Administrativa y Nuevas Tecnologías de la Información de la La Ley 11/2007, de 22 de junio, de acceso electrónico de
Más detallesBOLETÍN OFICIAL DEL ESTADO
Núm. 178 Jueves 26 de julio de 2012 Sec. III. Pág. 53776 III. OTRAS DISPOSICIONES MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS 10048 Resolución de 28 de junio de 2012, de la Secretaría de Estado
Más detallesRECETA ELECTRÓNICA Informe de Seguridad
RECETA ELECTRÓNICA Informe de Seguridad EJIE, S.A. AVDA. MEDITERRÁNEO, 3 01010 - VITORIA-GASTEIZ 27/03/2007 1. INTRODUCCIÓN La información incluida a continuación pretende dar una información aproximada
Más detallesBOLETÍN OFICIAL DEL ESTADO
Núm. 182 Sábado 30 de julio de 2011 Sec. III. Pág. 87138 III. OTRAS DISPOSICIONES MINISTERIO DE POLÍTICA TERRITORIAL Y ADMINISTRACIÓN PÚBLICA 13173 Resolución de 19 de julio de 2011, de la Secretaría de
Más detallesSegundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales
Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales Vitoria Gasteiz a 9 de julio de 2.014 Objetivos específicos de este
Más detallesLeopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas
Cumplimiento de requisitos legales Ministerio de Trabajo e Inmigración Subdirección General de Proceso de Datos Leopoldo Simó Ruescas Sbdi Subdirector General ladjunto de If Infraestructuras y Sistemas
Más detallesUnidad 1. Fundamentos en Gestión de Riesgos
1.1 Gestión de Proyectos Unidad 1. Fundamentos en Gestión de Riesgos La gestión de proyectos es una disciplina con la cual se integran los procesos propios de la gerencia o administración de proyectos.
Más detallesNORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)
NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone
Más detallesNORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.)
NORMAS DE USO ACEPTABLE Y SEGURIDAD DE LA RED DE DATOS DE LA UNIVERSIDAD AUTÓNOMA DE MADRID (U.A.M.) Normas de Uso Aceptable y Seguridad de la Red de datos de la Universidad Autónoma de Madrid (U.A.M.)
Más detalles4.4.1 Servicio de Prevención Propio.
1 Si se trata de una empresa entre 250 y 500 trabajadores que desarrolla actividades incluidas en el Anexo I del Reglamento de los Servicios de Prevención, o de una empresa de más de 500 trabajadores con
Más detallesNormativa de Hosting Virtual de la Universidad de Sevilla
Normativa de Hosting Virtual de la Universidad de Sevilla (SIC - Julio 2010) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesMedidas de Nivel Medio
Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel
Más detallesEstrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad
Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesObservaciones de la Asociación Española de Fundaciones. al borrador de
Observaciones de la Asociación Española de Fundaciones al borrador de MEJORES PRÁCTICAS EN LA LUCHA CONTRA EL BLANQUEO DE CAPITALES Y LA FINANCIACIÓN DEL TERRORISMO: SECTOR ORGANIZACIONES SIN FINES DE
Más detallesDetonates de la virtualización del puesto de usuario
IDC España Plaza Colón, 2 Torre I. Planta 4º. 28046, Madrid España Tel.: (+34) 91 787 21 50 Fax.: (+34) 91 787 21 65 Detonates de la virtualización del puesto de usuario Fernando Maldonado Estudio patrocinado
Más detallesPROCEDIMIENTO ESPECÍFICO. Código G083-01 Edición 0
Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. DEFINICIÓN...
Más detallesUNIVERSIDAD DE LA RIOJA
PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL
Más detallesNORMAS DE SOPORTE ADDVISORY GROUP CARIBE SA SAP BUSINESS ONE
NORMAS DE SOPORTE ADDVISORY GROUP CARIBE SA SAP BUSINESS ONE El presente documento describe y ordena las condiciones y normas de soporte que cubre el servicio de mantenimiento anual que Addvisory Group
Más detallesINFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL
INFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22
Más detallesMARCO DE COOPERACIÓN CON LAS UNIDADES DE INFORMÁTICA DISTRIBUIDAS
MARCO DE COOPERACIÓN CON LAS UNIDADES DE INFORMÁTICA DISTRIBUIDAS Concepción Hortigüela Hortigüela Directora de la Oficina de Planificación Estratégica y Relaciones Oficina de Planificación Estratégica
Más detallesMANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD
MANUAL DE AYUDA TAREA PROGRAMADA COPIAS DE SEGURIDAD Fecha última revisión: Diciembre 2010 Tareas Programadas TAREAS PROGRAMADAS... 3 LAS TAREAS PROGRAMADAS EN GOTELGEST.NET... 4 A) DAR DE ALTA UN USUARIO...
Más detallesAUD 008-2014. Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP
AUD 008-2014 Estudio de Auditoría 008-2014 Verificación del Licenciamiento del Software equipo de MIDEPLAN Decreto Ejecutivo Nº 37549-JP JUNIO 2014 0 I.- INFORMACIÓN GENERAL 1.1 Nombre del Estudio Verificación
Más detallesMANUAL COPIAS DE SEGURIDAD
MANUAL COPIAS DE SEGURIDAD Índice de contenido Ventajas del nuevo sistema de copia de seguridad...2 Actualización de la configuración...2 Pantalla de configuración...3 Configuración de las rutas...4 Carpeta
Más detallesResumen Norma ISO-27001.
Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:
Más detallesREGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL
13967 REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El artículo 18.4 de la Constitución
Más detalles2.11.1 CONTRATAS Y SUBCONTRATAS NOTAS
NOTAS 1 Cuando en un mismo centro de trabajo desarrollen actividades trabajadores de dos o más empresas, éstas deberán cooperar en la aplicación de la normativa sobre prevención de riesgos laborales. A
Más detallesO30/4/2015. Orden de 30 de abril de 2015, de la Consejería de Presidencia, Justicia e Igualdad, por la que
ADMININSTRACIÓN ELECTRÓNICA: POLÍTICA DE IDENTIFICACIÓN Y AUTENTICACIÓN O30/4/2015 Orden de 30 de abril de 2015, de la Consejería de Presidencia, Justicia e Igualdad, por la que se aprueba la política
Más detallesESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos
ESQUEMA NACIONAL DE SEGURIDAD ENS. Estado de situación y retos próximos 6 de marzo de 2012 Miguel A. Amutio Gómez Jefe de Área de Planificación y Explotación Ministerio de Hacienda y Administraciones Públicas
Más detallesIBM Global Services España, S.A C/ Mar Adriático, 2 San Fernando de Henares 28830 MADRID. Servicios IBM de Soporte Técnico Remoto
Domicilio Social: IBM Global Services España, S.A C/ Mar Adriático, 2 San Fernando de Henares 28830 MADRID Servicios IBM de Soporte Técnico Remoto Especificaciones de Trabajo para Línea de Soporte Pág.
Más detallesINFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA
INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA con destino a GORE DE ATACAMA ELIMCO SISTEMAS Alfredo Barros Errázuriz 1954
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesRecomendaciones relativas a la continuidad del negocio 1
Recomendaciones relativas a la continuidad del negocio 1 La continuidad de un negocio podría definirse como la situación en la que la operativa de una entidad tiene lugar de forma continuada y sin interrupción.
Más detalles