RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD

Tamaño: px
Comenzar la demostración a partir de la página:

Download "RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD"

Transcripción

1 RECOMENDACIÓN ESQUEMA NACIONAL DE SEGURIDAD PRIORIZACIÓN DE MEDIDAS DE SEGURIDAD

2 ÍNDICE 1. INTRODUCCIÓN PRIORIDADES DE UNA ENTIDAD DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO PROTECCIÓN INTERNA: SERVIDORES COPIAS DE SEGURIDAD (BACKUP) PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS) PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD MONITORIZACIÓN Y REACCIÓN CONCIENCIACIÓN APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES PROTOCOLOS DE COORDINACIÓN USO DE UNA ESTRUCTURA VIRTUALIZADA RELACIÓN CON NORMATIVA PERFILES DE SEGURIDAD COSTE EFICACIA TIPO DE PROTECCIÓN REFERENCIAS Centro Criptológico Nacional 2

3 1. INTRODUCCIÓN 1. El Esquema Nacional de Seguridad, en su Disposición Transitoria sobre Adecuación de los Sistema, dice que: 1. Los sistemas existentes a la entrada en vigor del presente real decreto se adecuarán al Esquema Nacional de Seguridad de forma que permitan el cumplimiento de lo establecido en la disposición final tercera de la Ley 11/2007, de 22 de junio. Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su concepción. 2. Si a los doce meses de la entrada en vigor del Esquema Nacional de Seguridad hubiera circunstancias que impidan la plena aplicación de lo exigido en el mismo, se dispondrá de un plan de adecuación que marque los plazos de ejecución los cuales, en ningún caso, serán superiores a 48 meses desde la entrada en vigor. El plan indicado en el párrafo anterior será elaborado con la antelación suficiente y aprobado por los órganos superiores competentes. 2. Este documento proporciona orientación para priorizar la implantación de las medidas de seguridad del Esquema Nacional de Seguridad. Esta orientación se materializa en una serie de actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS. 3. Estas actuaciones no sustituyen a lo establecido en el Real Decreto 3/2010 en cuanto al cumplimiento de los principios básicos y requisitos mínimos mediante la aplicación de las medidas indicadas en su anexo II. 4. La orientación aquí proporcionada es aplicable a entidades de distinta naturaleza, dimensión y sensibilidad sin entrar en casuísticas particulares. Se espera que cada organización las particularice para adaptarlas a su entorno singular. 5. El apartado 2 expone una serie de actuaciones a nivel de entidad individual, ordenadas por prioridad, es decir, empezando por aquellas que presentan una mejor relación entre coste (bajo) y mejora de la seguridad (alto). Para cada actuación se indica la correspondencia con la medida o medidas relacionadas del anexo II y en su caso con las guías CCN-STIC en las que se trata la cuestión. 6. El apartado 3 trata las oportunidades que ofrecen las infraestructuras y servicios comunes en relación con las actuaciones expuestas para priorizar las medidas del ENS. 7. El apartado 4 proporciona, en relación con las actuaciones citadas, una tabla de correspondencias entre el ENS y otros instrumentos como NISP-SP e ISO El apartado 5 trata los perfiles de seguridad. 9. Los apartados 6, 7 y 8 contienen las leyendas relativas a las expresiones de coste, eficacia y medidas de protección utilizadas en el documento. 10. El apartado 9 contiene referencias a documentación. Centro Criptológico Nacional 3

4 2. PRIORIDADES DE UNA ENTIDAD 11. Las actuaciones que permiten que una entidad pueda alcanzar con mayor rapidez mejoras importantes en su seguridad con ayuda del ENS son las siguientes: Prioridad Acción Medidas Guías Tipo Coste Eficacia CCN-STIC 1 Definir y nombrar al [org.1] Política de seguridad 801 AD BAJO BAJA responsable de la seguridad 2 Inventariar el equipamiento [op.exp.1] Inventario de activos AD BAJO BAJA informático 3 Definir y proteger el [mp.if.1] Áreas separadas y con control de PR MEDIO ALTA perímetro físico acceso 4 Definir y proteger el perímetro lógico [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad , 408, 416 PR MEDIO ALTA 5 Protección interna: servidores [op.acc.7] Control del acceso remoto [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Series 500 y 600 Series 400, 500 y 600 PR MEDIO ALTA 6 Copias de seguridad (backup) [mp.info.9] Copias de seguridad (backups) RC BAJO ALTA 7 Protección interna: puestos [op.exp.2] Configuración de seguridad Series 400, 500 PR MEDIO MEDIA de trabajo (PC) [op.exp.6] Protección frente a código y Protección interna: portátiles, smart phones, byod dañino [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino 9 Monitorización y reacción [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento [op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios 10 Concienciación [mp.per.3] Concienciación [org.2] Normativa de seguridad Series 400, 500 y PR MEDIO MEDIA MN + CR MEDIO ALTA AW MEDIO MEDIA 2.1. DEFINIR Y NOMBRAR AL RESPONSABLE DE LA SEGURIDAD 12. Debe haber una (1) persona responsable de velar por todos los aspectos de seguridad del sistema. La misma, o personal bajo su dirección, se encargará de la administración y operación de las medidas de seguridad que se consideren oportunas. El responsable de seguridad será el interlocutor único en materia de seguridad. [org.1] Política de seguridad Guías CCN-STIC: 801 Roles y funciones 2.2. INVENTARIAR EL EQUIPAMIENTO INFORMÁTICO 13. Hay que tener una lista o base de datos actualizada que cubra los equipos (servidores, pc y portátiles) con el software instalado en los mismos. [op.exp.1] Inventario de activos 2.3. DEFINIR Y PROTEGER EL PERÍMETRO FÍSICO 14. Seguridad física: instalación de los equipos en una sala cerrada con control de acceso [mp.if.1] Áreas separadas y con control de acceso Centro Criptológico Nacional 4

5 2.4. DEFINIR Y PROTEGER EL PERÍMETRO LÓGICO 15. Seguridad de las comunicaciones. Poner, configurar y proteger el cortafuegos. [mp.com.1] Perímetro seguro [op.pl.2] Arquitectura de seguridad [op.acc.7] Control del acceso remoto Guías CCN-STIC: Guía Interconexión en el Esquema Nacional de Seguridad Serie 400 Guías generales o 406 Seguridad en redes inalámbricas o 408 Seguridad perimetral cortafuegos o 416 Seguridad en VPN s Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.5. PROTECCIÓN INTERNA: SERVIDORES 16. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.6. COPIAS DE SEGURIDAD (BACKUP) 17. Debe identificarse la información crítica y establecer un mecanismo automático para tener copias regulares a las que recurrir en caso de pérdida. Las copias deben ubicarse de forma que no se vean afectadas por los mismos incidentes que pueden destruir la información en uso rutinario. [mp.info.9] Copias de seguridad (backups) Guías CCN-STIC Centro Criptológico Nacional 5

6 2.7. PROTECCIÓN INTERNA: PUESTOS DE TRABAJO (PCS) 18. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entorno 2.8. PROTECCIÓN INTERNA: PORTÁTILES, SMART PHONES, BYOD 19. Establecer POCOS perfiles de seguridad y centralizarlos. Ver apartado pocos perfiles 2. muy pocas personas encargadas (ideal: 1) 3. automatizar su aplicación [op.exp.2] Configuración de seguridad [op.exp.6] Protección frente a código dañino Guías CCN-STIC: Serie 400 Guías generales Serie 500 Guías de entornos Windows Serie 600 Guías de otros entornos 2.9. MONITORIZACIÓN Y REACCIÓN 20. Resolución de problemas detectados, y actitud proactiva en la localización de los mismos. 21. De forma reactiva hay que atender a los anuncios de parches de los fabricantes y a los incidentes de seguridad que ocurran. De forma preventiva hay que recoger registros de actividad de los usuarios y protegerlos para que sirvan de fuente de conocimiento en caso de incidencia. [op.exp.7] Gestión de incidencias [op.exp.4] Mantenimiento Centro Criptológico Nacional 6

7 [op.exp.5] Gestión de cambios [op.exp.8] Registro de la actividad de los usuarios Guías CCN-STIC: 403 Gestión de incidentes de seguridad 817 Criterios comunes para la gestión de incidentes de seguridad en el Esquema Nacional de Seguridad (ENS). Procedimientos de actuación del CCN-CERT CONCIENCIACIÓN 22. Debe existir una normativa escrita que describa lo que es el uso adecuado del sistema de información y lo que es uso indebido. Debe transmitirse esta normativa a todas las personas que tienen algún derecho de acceso al sistema, de forma recurrente. [mp.per.3] Concienciación [org.2] Normativa de seguridad 3. APOYO EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 23. El Artículo 28 del ENS Infraestructuras y servicios comunes dice que: La utilización de infraestructuras y servicios comunes reconocidos en las Administraciones Públicas facilitará el cumplimiento de los principios básicos y los requisitos mínimos exigidos en el presente real decreto en condiciones de mejor eficiencia. Los supuestos concretos de utilización de estas infraestructuras y servicios comunes serán determinados por cada Administración. 24. En particular, la Administración General del Estado proporciona una serie de infraestructuras y servicios comunes, con soporte legal, destinadas a proporcionar soluciones a necesidades comunes de las AA.PP. en relación con cuestiones tales como, sin ánimo de exhaustividad, la Red de comunicaciones de las Administraciones Públicas, prestada por la Red SARA; la plataforma de validación de firma relativa a identificación, autenticación, firma electrónica y sellado de tiempo; la interconexión de registros electrónicos y el intercambio de asientos registrales (SIR/ORVE), la Plataforma de intermediación de datos, el documento y el expediente electrónicos (INSIDE, G_INISDE), las notificaciones electrónicas, la sede electrónica (ACCEDA) entre otras, que simplifican la complejidad de las diversas dimensiones de la interoperabilidad y propagan la interoperabilidad entre las AA.PP. y con los ciudadanos. 25. Las demás AA.PP. también disponen de infraestructuras y servicios comunes en su ámbito, a la vez que el Esquema Nacional de Interoperabilidad (Real Decreto 4/2010) dispone en su artículo 12 que: Las Administraciones públicas enlazarán aquellas infraestructuras y servicios que puedan implantar en su ámbito de actuación con las infraestructuras y servicios comunes que proporcione la Administración General del Estado para facilitar la interoperabilidad y la relación multilateral en el intercambio de información y de servicios entre todas las Administraciones públicas. Centro Criptológico Nacional 7

8 26. Lo que sigue se ha redactado pensando en el uso de: a. Infraestructuras y servicios comunes proporcionados por la propia administración pública (private cloud); aunque no se precisa la titularidad de los mismos, ni se requiere que haya un único centro de servicios. b. Uso de estructuras virtualizadas en la nube y requisitos a considerar. 27. Los aspectos de seguridad relativos a al empleo de Cloud Computing se tratan en la guía ACTIVIDADES SUSCEPTIBLES DE APOYARSE EN INFRAESTRUCTURAS Y SERVICIOS COMUNES 28. La utilización de infraestructuras y servicios comunes ofrece en materia de seguridad las oportunidades que se citan a continuación, considerando lo que se debe tener presente en cuanto a la delegación de responsabilidades y funciones. acción 1.Definir y nombrar al responsable de la seguridad 2.Inventariar el equipamiento informático 3.Definir y proteger el perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación oportunidades esta actuación es necesariamente local: se pueden delegar funciones; pero no responsabilidades se puede apoyar con herramientas centralizadas de descubrimiento de componentes y mantenimiento del inventario si se utiliza equipamiento virtual (en la nube) las entidades no necesitan inventariar su equipamiento, sólo los servicios que utilizan si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro físico a los equipos de comunicaciones y las áreas de trabajo si se utiliza equipamiento virtual (en la nube), las entidades ven reducido su perímetro lógico a su acceso remoto a los servicios centrales; pero estos se encargan de la interfaz con los ciudadanos si se utiliza equipamiento virtual (en la nube), la configuración de los equipos y el mantenimiento de versiones pasan a los servicios comunes; ver sección 3.2 si se utiliza equipamiento virtual (en la nube) la realización y gestión de copias de seguridad pasa a los servicios comunes, parametrizada por la política de cada organismo usuario la configuración puede facilitarse desde un repositorio central la administración de los sistemas puede delegarse a los servicios comunes ver sección 3.2 se pueden proporcionar recursos comunes de concienciación, tanto en la elaboración de material como en la presentación online y control de asistencia y Centro Criptológico Nacional 8

9 aprovechamiento (servicio de tele-formación) 3.2. PROTOCOLOS DE COORDINACIÓN 29. La provisión de equipamiento virtual y de servicios comunes ofrece ventajas de economía de escala en varios aspectos: adquisición de equipos adquisición de aplicaciones software medios de respaldo para garantizar la continuidad de los servicios seguridad física dotación de administradores de sistemas y de seguridad 30. Pero requiere el establecimiento de algunos protocolos de actuación conjunta para atender a las singularidades recogidas en la política y normativa de cada entidad. 31. Actualizaciones y gestión de cambios Hay que establecer un protocolo para combinar una actualización rápida con un mínimo impacto en la prestación del servicio. Es necesario que entidades usuarias dispongan de un periodo de transición individualizado para adecuar sus servicios a la nueva plataforma. 32. Monitorización Registro de la actividad de los usuarios Los registros y su tratamiento (consolidación y retención) pueden automatizarse respetando la política establecida en cada entidad usuaria, garantizando el control de acceso rutinario y en caso de incidente. 33. Gestión de incidencias La respuesta técnica a las incidencias puede ser centralizada, rápida y beneficiar a todos los usuarios; pero debe habilitar el tratamiento individualizado de la respuesta administrativa al incidente. 34. Gestión de identidades y privilegios Aunque se puede centralizar la gestión de identidades y los mecanismos técnicos de altas, bajas, suspensiones y control de acceso, siempre debe quedar en manos de la entidad usuaria el proceso de gestión de autorizaciones USO DE UNA ESTRUCTURA VIRTUALIZADA 35. El uso de una estructura virtualizada en la nube requeriría los siguientes pasos: 1. Determinar los requisitos de seguridad de la información y servicios según el Anexo I del ENS. 2. Verificar que dichos requisitos los puede atender el servicio en la nube (tanto del proveedor de servicios virtuales como del proveedor de comunicaciones); si no fuera así, hay que abandonar la opción del uso de la estructura virtualizada. 3. Revisar la política de seguridad de la entidad y ajustarla si es necesario y posible. 4. Revisar la normativa de seguridad, en particular los requisitos de seguridad, y ajustarla si es necesario y posible. 5. Realizar un análisis de riesgos para cubrir el nuevo escenario, calculando el riesgo residual, y conseguir la aceptación del nuevo riesgo por los órganos de gobierno Centro Criptológico Nacional 9

10 del organismo; si no fuera así, hay que desarrollar un plan de adecuación de forma que en todo momento el riesgo sea aceptable por la entidad. 6. Revisar los procedimientos operativos de seguridad para ajustarlos al nuevo escenario. 7. Formar a los administradores de sistemas y de seguridad para el nuevo escenario. 8. Diseñar y ejecutar un plan de transición ordenada de la información y los servicios al nuevo escenario, buscando el mínimo impacto en los servicios percibidos por el ciudadano. 36. Si no se pueden satisfacer los puntos 2, 3 y 4 entonces no se puede recurrir al uso de la estructura virtualizada en la nube REQUISITOS PARA USAR LA NUBE 37. La guía CCN-STIC 823 establece los siguientes requisitos a la hora de seleccionar un proveedor de servicios en la nube: categoría del sistema BAJA MEDIA ALTA nube pública sí no no nube comunitaria externalizada sí sí no nube comunitaria interna sí sí sí nube privada externalizada sí sí no nube privada interna sí sí sí 38. Adicionalmente se deberá atender especialmente a los siguientes aspectos en el proveedor de servicios en la nube, de cara a asegurar que la información y los servicios están adecuadamente protegidos: 39. Protección de la información. 40. Hay que asegurarse de que el proveedor protege la información adecuadamente: su integridad, su confidencialidad, su disponibilidad y, cuando hay normativa que aplica, el cumplimiento de dicha normativa. Este último punto es especialmente relevante en lo que respecta a datos de carácter personal. 41. Cifrado. 42. Es frecuente que se empleen técnicas criptográficas tanto para la autenticación de las sesiones de acceso, como para proteger la sesión y para proteger la información internamente. Hay que asegurar de que la criptografía cumple la normativa correspondiente (algoritmos y parámetros autorizados) y que los procedimientos de gestión de claves son adecuados. 43. Borrado de datos. 44. Hay que asegurarse de que el proveedor destruye los datos que ya no son necesarios usando mecanismos y procedimientos adecuados. Esto aplica tanto a copias efímeras (en equipamiento virtual) como a su destrucción definitiva. 45. Continuidad del servicio. 46. Hay que asegurar una calidad de servicio, tanto en cantidad (volumen de datos y velocidad de acceso) como el tiempo máximo que pudiera estar temporalmente interrumpido el servicio. Centro Criptológico Nacional 10

11 47. Los mismos aspectos se deben atender en el proveedor de servicios de comunicaciones que se emplee para acceder a los servicios en la nube. Aunque normalmente se emplearán redes privadas virtuales entre el usuario y el proveedor de servicios en la nube y por tanto sólo son de preocupar los aspectos de continuidad del servicio del proveedor de acceso. 48. El organismo usuario de estos servicios deberá prever los mecanismos adicionales que sean necesarios para casar las garantías de los proveedores con las necesidades establecidas siguiendo el Anexo I del ENS. 4. RELACIÓN CON NORMATIVA acción ENS NIST SP SANS 20 ISO Definir y org.1 PM nombrar al responsable de la seguridad 2.Inventariar el equipamiento op.exp.1 PM-5 CM-8 CC-1 CC informático 3. Definir y proteger el mp.if.1 PE-2, -3, -6, -7, perímetro físico 4.Definir y proteger el perímetro lógico 5.Protección interna: servidores 6.Copias de seguridad (backup) 7.Protección interna: puestos de trabajo (PC) 8.Protección interna: portátiles, smart phones, byod 9.Monitorización y reacción 10.Concienciación mp.com.1 op.pl.2 op.acc.7 op.exp.2 op.exp.6 AC-17 CA-3 SC-7 CM-2, -6, -7 SI-3 CC-10 CC-13 CC-3 CC mp.info.9 CP-9 CC op.exp.2 op.exp.6 op.exp.2 op.exp.6 op.exp.7 op.exp.4 op.exp.5 op.exp.8 mp.per.3 org.2 CM-2, -6, -7 SI-3 CM-2, -6, -7 SI-3 IR MA-2 AU-3 CC-3 CC-5 CC-3 CC-5 CC-18 CC PL-4 CC Centro Criptológico Nacional 11

12 5. PERFILES DE SEGURIDAD 49. Se denominan perfiles de seguridad a configuraciones de los sistemas pensadas para habilitar una serie limitada de funciones en las mejores condiciones posibles de seguridad. 50. Las guías CCN-STIC proporcionan múltiples escenarios con productos de amplia difusión, tanto de software de base como aplicaciones. 51. Los perfiles de seguridad permiten cumplir algunos requisitos importantes recogidos en el Esquema Nacional de Seguridad: Capítulo III Requisitos Mínimos Artículo 19. Seguridad por defecto. Los sistemas deben diseñarse y configurarse de forma que garanticen la seguridad por defecto: a) El sistema proporcionará la mínima funcionalidad requerida para que la organización solo alcance sus objetivos, y no alcance ninguna otra funcionalidad adicional. b) Las funciones de operación, administración y registro de actividad serán las mínimas necesarias, y se asegurará que sólo son accesibles por las personas, o desde emplazamientos o equipos, autorizados, pudiendo exigirse en su caso restricciones de horario y puntos de acceso facultados. c) En un sistema de explotación se eliminarán o desactivarán, mediante el control de la configuración, las funciones que no sean de interés, sean innecesarias e, incluso, aquellas que sean inadecuadas al fin que se persigue. d) El uso ordinario del sistema ha de ser sencillo y seguro, de forma que una utilización insegura requiera de un acto consciente por parte del usuario. 52. Concretamente, un perfil de seguridad se materializa en los siguientes puntos: se eliminan las cuentas por defecto proporcionadas por el fabricante se eliminan o inhiben los servicios innecesarios mínimo privilegio: se limitan los derechos de los usuarios, inhibiendo la capacidad de: o instalar aplicaciones, o usar aplicaciones sin autorización, o conectar equipos periféricos y o cambiar la configuración del software o del hardware los servicios habilitados se configuran de forma segura acorde con la política y normativa del organismo se habilitan los registros de actividad (logs) según política, impidiendo el acceso de los usuarios a los mismos 53. Los sistemas deben revisarse regularmente para verificar que la configuración sigue siendo segura. Centro Criptológico Nacional 12

13 6. COSTE 54. Estimación del consumo de recursos económicos = euros humanos = personas tiempo = horas B BAJO medida económica en consumo de recursos M MEDIO medida que requiere unos ciertos recursos A ALTO medida costosa 7. EFICACIA B BAJA Es una medida interesante, pero de poco efecto en sí misma, completando la protección ofrecida por otras medidas. M MEDIA Es una medida importante, de efecto notable, aunque no es primera línea de protección. A ALTA Es una medida crítica, fundamental, sin la cual no se debiera estar operando. 8. TIPO DE PROTECCIÓN 55. Las salvaguardas pueden enfrentarse a los incidentes ofreciendo diferentes tipos de protección: [PR] prevención Diremos que una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios, planificación de capacidades, metodología segura de desarrollo de software, pruebas en pre-producción, segregación de tareas,... [DR] disuasión Diremos que una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva. Ejemplos: vallas elevadas, guardias de seguridad, avisos sobre la persecución del delito o persecución del delincuente,... [EL] eliminación Diremos que una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya Centro Criptológico Nacional 13

14 producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, de servicios innecesarios, en general todo lo que tenga que ver con la fortificación o bastionado,..., cifrado de la información,..., armarios ignífugos,... [IM] minimización del impacto / limitación del impacto Se dice que una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, detención de servicios en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente [CR] corrección Diremos que una salvaguarda es correctiva cuando, habiéndose producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños. Véase: recuperación más abajo. Ejemplos: gestión de incidentes, líneas de comunicación alternativas, fuentes de alimentación redundantes,... [RC] recuperación Diremos que una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. Son salvaguardas que no reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: copias de seguridad (back-up) [MN] monitorización Son las salvaguardas que trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de actividad, registro de descargas de web,... [DC] detección Diremos que una salvaguarda funciona detectando un ataque cuando informa de que el ataque está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños. Ejemplos: anti-virus, IDS, detectores de incendio,... [AW] concienciación Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: cursos de concienciación, cursos de formación,... [AD] administración Se refiere a las salvaguardas relacionadas con los componentes de seguridad del sistema. Una buena administración evita el desconocimiento de lo que hay Centro Criptológico Nacional 14

15 y por tanto impide que haya puertas desconocidas por las que pudiera tener éxito un ataque. En general pueden considerarse medidas de tipo preventivo. Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad, REFERENCIAS CCN-CERT https://www.ccn-cert.cni.es/ CCN-STIC 823 Seguridad en entornos cloud, 2012 Portal de la Administración Electrónica, infraestructuras y servicios comunes DSD - Australian Defence Signals Directorate (DSD) Top 35 Mitigation Strategies ENS Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. BOE de 29 de enero de https://www.ccn-cert.cni.es/publico/ens/ens/index.html ENI Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. BOE de 29 de enero de NIST - SP Recommended Security Controls for Federal Information Systems, Rev. 3 (Aug. 2009); Rev. 4 (draft Feb. 2012) NIST - SP Guidelines on Security and Privacy in Public Cloud Computing, Dec NIST - SP The NIST Definition of Cloud Computing, Sept Centro Criptológico Nacional 15

16 NIST - SP Cloud Computing Synopsis and Recommendations, May NSA - Manageable Network Plan SANS 20 Critical Security Controls Centro Criptológico Nacional 16

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Y PLAN DE ADECUACIÓN AL ESQUEMA NACIONAL DE SEGURIDAD El Pleno de la Corporación, en sesión ordinaria celebrada el día 17 de enero de 2014, adoptó, entre otros,

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado?

Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? Qué tengo que hacer para cumplir con el Esquema Nacional de Seguridad? Qué puedo hacer si el plazo ya se ha pasado? 1 Introducción ENS 2 Introducción El objetivo de la presentación es explicar en qué consiste

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Esquema Nacional de Seguridad (ENS). Anexo II

Esquema Nacional de Seguridad (ENS). Anexo II Ed. Francis Lefebvre ANEXOS 1 AN EXOS Esquema Nacional de Seguridad (ENS). Anexo II 3900 ANEXO II. MEDIDAS DE SEGURIDAD 1. Disposiciones generales 1. Para lograr el cumplimiento de los principios básicos

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 182 Sábado 30 de julio de 2011 Sec. III. Pág. 87138 III. OTRAS DISPOSICIONES MINISTERIO DE POLÍTICA TERRITORIAL Y ADMINISTRACIÓN PÚBLICA 13173 Resolución de 19 de julio de 2011, de la Secretaría de

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

(17-11-2014) MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS

(17-11-2014) MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS MINISTERIO DE HACIENDA Y ADMINISTRACIONES PÚBLICAS (17-11-2014) REF.: REF.C.M.: PROYECTO DE REAL DECRETO /, de, MODIFICACIÓN DEL REAL DECRETO 3/2010 DE 8 DE ENERO POR EL QUE SE REGULA EL ESQUEMA NACIONAL

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com

www.seguridadinformacion.com www.esquemanacionaldeseguridad.com Requerimientos Técnicos Del Esquema Nacional De Seguridad (ENS) www.seguridadinformacion.com www.esquemanacionaldeseguridad.com ÍNDICE 1. INTRODUCCIÓN 3 2. GENERALIDADES 4 3. A QUIÉN APLICA 5 4. A QUIENES

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

Cómo hacer coexistir el ENS con otras normas ya

Cómo hacer coexistir el ENS con otras normas ya Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción

Más detalles

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Antes de imprimir este documento piense en el medio ambiente!

Antes de imprimir este documento piense en el medio ambiente! Versión 2.0 Página 1 de 8 1. OBJETIVO Establecer el procedimiento y parametrización de la toma de copias de respaldo, a través de la definición de las actividades que se deben surtir, para garantizar la

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC NOVIEMBRE 2012) Características generales. La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3]

Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3] INFORMÁTICA Y COMUNICACIONES Certificado de Profesionalidad SEGURIDAD INFORMÁTICA [Nivel 3] Seguridad informática Contenidos I IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD DENOMINACIÓN...06 CÓDIGO...06

Más detalles

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC Exposición de motivos La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos establece el marco de relación entre

Más detalles

ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA

ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA ACUERDO DEL CONSEJO DE GOBIERNO QUE APRUEBA LA POLÍTICA DE GESTIÓN DE DOCUMENTOS ELECTRÓNICOS EN LA UNIVERSIDAD PÚBLICA DE NAVARRA La Universidad Pública de Navarra precisa una política de gestión de documentos

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue

Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Objetivo Roles y responsabilidades de cumplimiento ante los requisitos de PCI DSS en los diferentes servicios en la nube y sus modelos de despliegue Retos asociados con la validación de cumplimiento de

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

SEGURIDAD EN EQUIPOS INFORMÁTICOS 90h

SEGURIDAD EN EQUIPOS INFORMÁTICOS 90h SEGURIDAD EN EQUIPOS INFORMÁTICOS SEGURIDAD EN EQUIPOS INFORMÁTICOS Horas: 90 Teoría: 0 Práctica: 0 Presenciales: 90 A Distancia: 0 Acción: Nº Grupo: Código: MF0486 Plan: CURSOS PRÓXIMOS DE RECICLAJE Materia:

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 138 Viernes 10 de junio de 2011 Sec. I. Pág. 59197 ANEXO III I. IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD Denominación: Seguridad informática Código: IFCT0109 Familia Profesional: Informática

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN PR30

PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN PR30 ANEXO III. PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN PR30 Centro Criptológico Nacional 1 INDICE ANEXO III. PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN

Más detalles

ESQUEMA NACIONAL DE SEGURIDAD

ESQUEMA NACIONAL DE SEGURIDAD ESQUEMA NACIONAL DE SEGURIDAD Cómo afecta el E.N.S. a los ISPs que prestan servicios a las Administraciones públicas? Estrategia Española de Ciberseguridad SIN CLASIFICAR Madrid, mayo de 2012 Entornos

Más detalles

PCI-DSS Requisitos para su empleo en la nube

PCI-DSS Requisitos para su empleo en la nube 01/04/2013 Ingelan Número 2013/05 PCI-DSS Requisitos para su empleo en la nube Un cada vez mayor número de compañías pone en manos de compañías externas la gestión de las infraestructuras de proceso de

Más detalles

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA

SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA 2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de

Más detalles

SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL

SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL SUPLEMENTO EUROPASS AL DIPLOMA DE TÉCNICO SUPERIOR DE FORMACIÓN PROFESIONAL DENOMINACIÓN DEL TÍTULO (ES) Técnico Superior en Administración de Sistemas Informáticos en Red TRADUCCIÓN DE LA DENOMINACION

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope. DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3

Más detalles

PLIEGO DE PRESCRIPCIONES TÉCNICAS CONTRATACIÓN DE LOS SERVICIOS DE MONITORIZACIÓN Y OPERACIÓN LAS 24 HORAS DEL DÍA LOS 7 DIAS DE LA SEMANA

PLIEGO DE PRESCRIPCIONES TÉCNICAS CONTRATACIÓN DE LOS SERVICIOS DE MONITORIZACIÓN Y OPERACIÓN LAS 24 HORAS DEL DÍA LOS 7 DIAS DE LA SEMANA PLIEGO DE PRESCRIPCIONES TÉCNICAS CONTRATACIÓN DE LOS SERVICIOS DE MONITORIZACIÓN Y OPERACIÓN LAS 24 HORAS DEL DÍA LOS 7 DIAS DE LA SEMANA El objeto del presente pliego es fijar las prescripciones técnicas

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 25 Viernes 29 de enero de 2010 Sec. I. Pág. 8089 I. DISPOSICIONES GENERALES MINISTERIO DE LA PRESIDENCIA 1330 Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad

Más detalles

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 25 CUALIFICACIÓN SEGURIDAD INFORMÁTICA PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC153_3 Versión 5 Situación RD 1087/2005 Actualización Competencia general

Más detalles

Cumplimiento de la LOPD

Cumplimiento de la LOPD Cumplimiento de la LOPD con e-pulpo ÍNDICE 1 Introducción... 3 2 La Ley Orgánica 15/1999 (LOPD)... 4 3 El Real Decreto 1720/2007... 6 4 Implantación... 8 4.1 Porqué implantar la LOPD?... 8 4.2 Cómo evitar

Más detalles

UNIVERSIDAD DE BURGOS

UNIVERSIDAD DE BURGOS UNIVERSIDAD DE BURGOS SERVICIO DE INFORMÁTICA Y COMUNICACIONES Pliego de prescripciones técnicas para la contratación del servicio de soporte y mantenimiento de servidores corporativos, sistema de almacenamiento

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

INFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL

INFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL INFORME DE ACREDITACIÓN DE SEGURIDAD PARA EL CUMPLIMIENTO DE LA DISPOSICIÓN TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 264 Miércoles 4 de noviembre de 2015 Sec. I. Pág. 104246 I. DISPOSICIONES GENERALES MINISTERIO DE LA PRESIDENCIA 11881 Real Decreto 951/2015, de 23 de octubre, de modificación del Real Decreto 3/2010,

Más detalles

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID

ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID ANEXO CRITERIOS DE IMPLANTACIÓN, ORGANIZACIÓN Y USO DE LA FIRMA ELECTRÓNICA EN EL AYUNTAMIENTO DE MADRID 1 - Cuestiones generales: la firma electrónica en el Ayuntamiento de Madrid. 1.1 - Certificados

Más detalles

UNIVERSIDAD DE LA RIOJA

UNIVERSIDAD DE LA RIOJA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL CONTRATO DE SERVICIO DE MANTENIMIENTO DE CORTAFUEGOS Y SERVICIOS DE SEGURIDAD DE LA UNIVERSIDAD DE LA RIOJA Página 1 PLIEGO DE PRESCRIPCIONES TÉCNICAS PARA EL

Más detalles

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

CI Politécnico Estella

CI Politécnico Estella SÍNTESIS PROGRAMACIÓN DEL MÓDULO/ DEPARTAMENTO:INFORMÁTICA GRUPO/CURSO: 2º MR 2014-15 MÓDULO / : SEGU PROFESOR: SARA SANZ LUMBIER 3.- CONTENIDOS: 3.1.- Enumera las Unidades Didácticas o Temas: (precedidos

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Riesgos asociados al CLOUD

Riesgos asociados al CLOUD Riesgos asociados al CLOUD El Cloud está de moda Según el último barómetro de IDC España, el mercado de software como servicio (SaaS) alcanzó en 2010 los 153 millones de euros. Esto supone un incremento

Más detalles

1. Objetivos generales del título

1. Objetivos generales del título 1. Objetivos generales del título a) Organizar los componentes físicos y lógicos que forman un sistema microinformático, interpretando su documentación técnica, para aplicar los medios y métodos adecuados

Más detalles

Seguridad de la Información. La experiencia del Principado de Asturias

Seguridad de la Información. La experiencia del Principado de Asturias Seguridad de la Información La experiencia del Principado de Asturias I. Presentación II. El Area de Seguridad III. Primer Paso IV. Políticas de Seguridad V. Gestión de Identidades VI. Indicadores de Seguridad

Más detalles

departamento de informática corporativa La pieza integradora CMDB: La pieza integradora

departamento de informática corporativa La pieza integradora CMDB: La pieza integradora La pieza integradora 1 OBJETIVO Presentar la CMDB como elemento integrador para: Análisis de riesgos de los sistemas de información. Gestión de incidencias. Gestión de inventario. Monitorización de los

Más detalles

MSP Dashboard. Guía de soluciones

MSP Dashboard. Guía de soluciones Guía de soluciones MSP Dashboard Este documento presenta MSP Dashboard (panel de servicios gestionados) de Cisco Meraki, que contiene características a medida para que los proveedores de servicios gestionados

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa

Decálogo de. ciberseguridad. El camino hacia la ciberseguridad en su empresa Decálogo de ciberseguridad El camino hacia la ciberseguridad en su empresa 1234 5678 empieza por un solo paso Todo viaje, por largo que sea, Lao-Tsé Podríamos comenzar este decálogo con esa frase tan manida:

Más detalles

PLIEGO DE CLAUSULAS TECNICAS PARA EL PROYECTO DENOMINADO CONSOLIDACION DE SISTEMAS INFORMATICOS DEL AYUNTAMIENTO DE GALDAKAO

PLIEGO DE CLAUSULAS TECNICAS PARA EL PROYECTO DENOMINADO CONSOLIDACION DE SISTEMAS INFORMATICOS DEL AYUNTAMIENTO DE GALDAKAO PLIEGO DE CLAUSULAS TECNICAS PARA EL PROYECTO DENOMINADO CONSOLIDACION DE SISTEMAS INFORMATICOS DEL AYUNTAMIENTO DE GALDAKAO 1. OBJETO DEL CONTRATO El Ayuntamiento de Galdakao en el proyecto de Fondo de

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 19 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 6 Situación Contraste externo Actualización

Más detalles

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 23 CUALIFICACIÓN OPERACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC300_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

Las ventajas de cloud computing se hacen cada día más evidentes.

Las ventajas de cloud computing se hacen cada día más evidentes. Resumen ejecutivo Las ventajas de cloud computing se hacen cada día más evidentes. La informática en la nube, o cloud computing, es un tema de gran actualidad y por buenos motivos. Con este tipo de solución,

Más detalles

Presentación corporativa

Presentación corporativa Presentación corporativa 1 Quiénes Somos 2 Pioneros en Soluciones SaaS Datadec Online, s.a. se constituye en el año 2000 con la misión de ofrecer aplicaciones y servicios empresariales alojadas sobre plataformas

Más detalles

ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 SIN CLASIFICAR

ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 SIN CLASIFICAR ANEXO I. PROCEDIMIENTO DE GESTIÓN DE USUARIOS: ALTAS, BAJAS, IDENTIFICACIÓN, AUTENTICACIÓN Y CONTROL DE ACCESO LÓGICO PR10 Centro Criptológico Nacional 1 INDICE 1. OBJETO... 3 2. ÁMBITO DE APLICACIÓN...

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

APLICATECA. Guía para la contratación y gestión de Servidor Cloud

APLICATECA. Guía para la contratación y gestión de Servidor Cloud APLICATECA Guía para la contratación y gestión de Servidor Cloud INDICE 1 QUÉ ES SERVIDOR CLOUD?... 1 1.1 PARA QUÉ SIRVE?... 1 1.2 CARACTERÍSTICAS DE SERVIDOR CLOUD... 3 2 CONTRATACIÓN DE SERVIDOR CLOUD...

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO

RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 RECUPERACIÓN EN CASO DE INTERRUPCIÓN DEL SERVICIO Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Establecer los controles para

Más detalles

CONDICIONES PARTICULARES DE SOLUCIONES CLOUD VERSION GAMMA

CONDICIONES PARTICULARES DE SOLUCIONES CLOUD VERSION GAMMA CONDICIONES PARTICULARES DE SOLUCIONES CLOUD VERSION GAMMA Última versión con fecha del 28/05/2012 Definiciones: Activated status: Instancia creada y activada con procesador virtual El estado de la Instancia

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 22 CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC152_3 Versión 6 Situación Contraste externo Actualización Competencia

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR:

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR: DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y ELABORADO POR: REVISADO POR: APROBADO POR: Nº edición: 01 Nº revisión: 01 Página 2 de 19 Fecha Edición Revisión Cambios Realizados 20-01-2014 1 1 Versión

Más detalles

Cualificación Profesional ADMINISTRACIÓN DE SERVICIOS DE INTERNET. Nivel 3. Versión 5

Cualificación Profesional ADMINISTRACIÓN DE SERVICIOS DE INTERNET. Nivel 3. Versión 5 Página 1 de 23 Cualificación Profesional ADMINISTRACIÓN DE SERVICIOS DE INTERNET Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC156_3 Versión 5 Situación Publicada Competencia general

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL 13967 REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. El artículo 18.4 de la Constitución

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Guía de Medidas de Seguridad

Guía de Medidas de Seguridad Guía de Artículo 29. Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integridad de cada sistema de datos personales que posean Las

Más detalles

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS

SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS SOLUCIONES EN SEGURIDAD SERVICIOS GESTIONADOS Con los Servicios Gestionados se transfieren, parcial o totalmente, las responsabilidades y operaciones relacionadas con el área de seguridad a un tercero

Más detalles

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización

CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 5 Situación RD 1087/2005 Actualización Página 1 de 24 CUALIFICACIÓN GESTIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC152_3 Versión 5 Situación RD 1087/2005 Actualización Competencia

Más detalles

ANÁLISIS Y GESTIÓN DE RIESGOS CON PILAR. Esteban Sánchez Sánchez Universidad Politécnica de Cartagena esteban.sanchez@si.upct.es

ANÁLISIS Y GESTIÓN DE RIESGOS CON PILAR. Esteban Sánchez Sánchez Universidad Politécnica de Cartagena esteban.sanchez@si.upct.es ANÁLISIS Y GESTIÓN DE RIESGOS EN LA UPCT CON PILAR Esteban Sánchez Sánchez Universidad Politécnica de Cartagena esteban.sanchez@si.upct.es 1 ANÁLISIS Y GESTIÓN DE RIESGOS CON PILAR 1. Creación del proyecto

Más detalles

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica MINISTERIO DE LA PRESIDENCIA Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (Incluye corrección de errores publicada

Más detalles

Servicios de infraestructura. Aplicaciones web

Servicios de infraestructura. Aplicaciones web 10 Julio 2013 Servicios de infraestructura Compílela o tráigala y nosotros la ejecutamos Windows Azure proporciona infraestructura a petición que se escala y se adapta a las necesidades cambiantes de cada

Más detalles

DEPARTAMENTO DE INFORMÁTICA FAMILIA PROFESIONAL INFORMATICA CURSO 2014-2015 FORMACIÓN PROFESIONAL DE GRADO MEDIO TÉCNICO EN SISTEMAS

DEPARTAMENTO DE INFORMÁTICA FAMILIA PROFESIONAL INFORMATICA CURSO 2014-2015 FORMACIÓN PROFESIONAL DE GRADO MEDIO TÉCNICO EN SISTEMAS DEPARTAMENTO DE INFORMÁTICA FAMILIA PROFESIONAL INFORMATICA CURSO 2014-2015 FORMACIÓN PROFESIONAL DE GRADO MEDIO TÉCNICO EN SISTEMAS MICROINFORMÁTICOS Y REDES MÓDULO PROFESIONAL SEGURIDAD INFORMÁTICA FP

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles