METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL AUTOR: CARLOS JOSÉ BARÓN DUQUEZ

Tamaño: px
Comenzar la demostración a partir de la página:

Download "METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL AUTOR: CARLOS JOSÉ BARÓN DUQUEZ"

Transcripción

1 METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL AUTOR: CARLOS JOSÉ BARÓN DUQUEZ Código: UNIVERSIDAD MILITAR NUEVA GRANADA FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA EN TELECOMUNICACIONES BOGOTÁ, ABRIL DE

2 METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL Autor: CARLOS JOSÉ BARÓN DUQUEZ Código: Libro final de pasantía presentado como requisito para optar por el título como Ingeniero en Telecomunicaciones DIRECTOR INTERNO: Ingeniero Carlos Omar Ramos Linares, M.Sc. DIRECTOR EXTERNO: Teniente Coronel Jairo Gordillo Rojas UNIVERSIDAD MILITAR NUEVA GRANADA FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA EN TELECOMUNICACIONES BOGOTÁ, ABRIL DE

3 Ingeniero Carlos Omar Ramos Linares, M.Sc. DIRECTOR INTERNO Ingeniero Edward Paul Guillen Pinto, M.Sc. JURADO Ingeniero Carlos Gilberto Delgado Beltrán, Esp. JURADO Bogotá DC., 15 de Marzo de

4 DEDICATORIA A mis padres por su incondicional apoyo y sabios consejos A mis hermanas por brindarme el apoyo y fortaleza A toda mi familia por ser incondicional Carlos Barón 4

5 AGRADECIMIENTOS A mis padres por brindarme su incondicional apoyo tanto económico y moral en las decisiones de mi vida, por la educación y el ejemplo que me han dado y por ser un modelo a seguir. A mi padre José del Carmen Barón Bernal por enseñarme el valor de las cosas, prestarme apoyo incondicional en las decisiones más difíciles de mi vida, brindarme sus sabios concejos y los valores que han hecho de mí una persona mejor. A mi madre Nelly Duquez Pérez por su entrega incondicional, su fortaleza, su paciencia, por hacerme feliz, por enseñarme que la dedicación nos permite alcanzar nuestras metas, por el esfuerzo para brindarme una buena educación, por ser mi soporte, y por enseñarme a ser una persona humilde y sencilla. A mis hermanas Angélica y Mónica que siempre me han apoyado, escuchado y ayudado queriendo siempre lo mejor para mi, por ser mi soporte en los diferentes obstáculos que se me han presentado, porque siempre han estado cuando las he necesitado. A mis sobrinitos Juan Pablo y María por hacerme reír y darme mucha felicidad, por alegrarme con sus juegos, y por esas tiernas expresiones que me llenan de orgullo y fuerza. A todos y cada uno de los ingenieros que compartieron sus conocimientos y me aconsejaron durante toda la carrera. A todos mis compañeros por brindarme diversión, apoyo, alegría y momentos memorables, que hicieron los tiempos difíciles más amenos. A la Universidad Militar por permitirme realizar como profesional. Y a todas y cada una de las personas que de una u otra manera contribuyeron a la realización del proyecto. 5

6 TABLA DE CONTENIDO 1 INTRODUCCIÓN TITULO PLANTEAMIENTO DEL PROBLEMA OBJETIVOS General Específicos ANTECEDENTES Locales Nacionales RESEÑA DE LA POLICÍA NACIONAL Oficina de Telemática MARCO TEÓRICO Normas y estándares ISO Vulnerabilidad Amenaza Información Servicios de procesamiento de información Seguridad de la información Tecnologías de la información Evento de seguridad de la información Incidente de seguridad de la información Riesgo

7 Análisis de riesgo Evaluación de riesgos Valoración del riesgo Gestión del riesgo Tratamiento del riesgo Tercera parte Evaluación de los riesgos de seguridad INGENIERIA DEL PROYECTO ESTADO DEL ARTE Administradores de red Centro de cómputo Puertos de acceso Usuarios REQUERIMIENTOS DE LA EMPRESA ESTUDIO DE LAS VARIABLES DE INGENIERÍA Estimación de la vulnerabilidad DESARROLLO DEL PROYECTO FASE 1 DOCUMENTACIÓN FASE 2 METODOLOGÍA DE UTILIZACIÓN DE LOS PUERTOS DE ACCESO 29 FASE 3 ANÁLISIS DE LA SEGURIDAD OPERATIVA FASE 4 PLAN DE ACCIÓN FASE 5 SENSIBILIZACIÓN FASE 1 Documentación

8 3.4.2 FASE 2 Evaluar la utilización y manejo de los puertos en cuanto a su apertura o cierre en transmisión de datos externa o interna en la Oficina de Telemática Fase 3 Clasificación de usuarios en la Oficina de Telemática de la Policía Nacional Fase 4 Proponer plan de acción basado en el existente PRUEBAS Y RESULTADOS PRUEBAS Sensibilizaciones Resultados Encuesta acerca del nivel de conocimiento del personal de la Oficina de Telemática acerca de administración e identificación de vulnerabilidades 67 Cómo se tratan las vulnerabilidades que se presentan en la red de datos de la Oficina de Telemática de la Dirección General? Metodología de análisis de vulnerabilidades CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA

9 LISTA DE FIGURAS Figura 1 Organigrama de la Policía Nacional Figura 2. Organigrama de la Oficina de Telemática Figura 3. Sistema de Gestión de la Protección Figura 4. Informes de seguridad Figura 5. Plan Metodológico por fases Figura 6. Mapa de riesgos (Tomado de la ISO 27001) Figura 7. Diagrama de flujo, análisis de puertos Figura 8. Mapa de usuarios Oficina de Telemática Policía Nacional Figura 9 Tratamiento de vulnerabilidades cuando se presentan Figura 10 Encargados de la administración e identificación de las vulnerabilidades Figura 11 Medio de notificación de las vulnerabilidades Figura 12 Conocimiento del Sistema de Gestión de la Protección Figura 13 Tiempo que tarda en identificarse una vulnerabilidad

10 LISTA DE TABLAS Tabla 1 Matriz de vulnerabilidades Tabla 2 Matriz de atención a vulnerabilidades Tabla 3 Estimación de la vulnerabilidad Tabla 4 Personal encuestado Tabla 5 Encargados de la Administración e Identificación de las vulnerabilidades 70 Tabla 6 Medio de notificación de las vulnerabilidades Tabla 7 Conocimiento del Sistema de Gestión de la Protección Tabla 8 Tiempo que tarda en identificarse una vulnerabilidad Tabla 9 Ejemplo de diligenciamiento de la matriz de vulnerabilidades Tabla 10 Matriz de impacto, ejemplo

11 1 INTRODUCCIÓN Detallando el comportamiento frecuente que se desarrolla en empresas que manipulan información de vital importancia para la seguridad nacional en un mundo globalizado en el cual la información forma parte de una cadena tecnológica que cotidianamente requiere atención y día a día se encuentra en permanente evolución en donde los análisis de vulnerabilidades hacen parte de la administración de las redes de datos, en especial, se centran en la confidencialidad, clasificación, integridad y autenticidad de la información. Es por esta razón que la red de datos de las diferentes empresas que soportan información confidencial deben tener en sus administradores de red una columna en la cual puedan basarse a la hora de reconocer vulnerabilidades por las cuales puedan llegar a ser atacados. La oficina de Telemática de la dirección de la Policía Nacional se encarga de brindar el servicio de telecomunicaciones a los diferentes departamentos en los cuales la Policía Nacional ejerce control institucional, de esta manera la Oficina de Telemática involucra procesos en los cuales se puede definir el tratamiento de la información (privilegios de usuario), modificación de la información y confidencialidad de la información y este trabajo es de vital importancia para la organización, ya que en la confidencialidad, clasificación, integridad y autenticidad de la información depende la credibilidad ante la opinión pública del país.

12 1.1 TITULO En la Oficina de Telemática de la Policía Nacional se viene implementando una serie de políticas de seguridad a nivel físico, lógico y administrativo. Todas estas políticas requieren de un completo análisis de vulnerabilidades con el fin de determinar acciones correctivas y preventivas. Por esta razón, el proyecto se titula: METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL. 1.2 PLANTEAMIENTO DEL PROBLEMA La Oficina de Telemática de la Policía Nacional de Colombia maneja información de vital importancia para la seguridad nacional de nuestro país, de igual manera coordina los servicios de comunicaciones para cada una de sus dependencias. La cantidad de ataques a esta información ha hecho que también aumenten las vulnerabilidades en todos los niveles, lo que ha ocasionado la preocupación por parte del director de telemática, el cual manifiesta su inquietud en cuanto al conocimiento interno del manejo de ciertas vulnerabilidades las cuales se conocen pero no se tienen herramientas metodológicas para solucionarlas. Desde el punto de vista de la Ingeniería en Telecomunicaciones, estas situaciones requieren la evaluación de los siguientes aspectos: medidas de control, mapa de riesgos, clasificación de los usuarios, unificación de políticas en cuanto al manejo interno de la información y el aseguramiento de los recursos de la compañía (en este caso la PONAL es la compañía). 1.3 OBJETIVOS Las metas propuestas para este proyecto están dividas en un objetivo general y tres específicos. 11

13 1.3.1 General Caracterizar y prevenir vulnerabilidades en la red de datos de la dirección de telemática de la Policía Nacional Específicos Documentar las políticas actuales de acceso a la información en la Oficina de Telemática. Evaluar la utilización y manejo de los puertos en cuanto a su apertura o cierre en transmisión de datos externa o interna en la Oficina de Telemática. Analizar la seguridad operativa en cuanto a usuarios y tratamiento de la información. Proponer plan de acción basándome en el existente. Diseñar e implementar una estrategia de sensibilización para el personal de la dirección de telemática. Documentar el proceso de políticas actuales si ya están y diseñar un manual de procedimientos con políticas innovadoras. 1.4 ANTECEDENTES A continuación relaciono una serie de antecedentes en donde han realizado proyectos afines al área en la cual voy a incursionar. 12

14 1.4.1 Locales En el año 2008 el Ingeniero Juan Camilo Méndez Sánchez propuso el desarrollo de soporte de servicios para la Oficina de Telemática de la Policía Nacional abriendo las puertas al desarrollo de tecnologías de información (específicamente ITIL) [1] En el año 2009 el Ing. Laureano Amado se encargo de tomar la información y crear una base de datos para crear una mesa de ayuda y así gestionar información de manera rápida y eficaz. [1] En el año 2009 el Ing. Oscar Camilo Álvarez hizo un estudio a las políticas de seguridad que se manejaban en la Oficina de Telemática. [8] Nacionales En el año 2005 en la Pontificia Universidad Javeriana (sede Bogotá, Colombia) los estudiantes Daniel Santiago Garzón, Juan Carlos Ratkovich Gomes y Alejandra Vergara Torres bajo la dirección de la Ing. María Isabel Serrano crearon un documento en el cual desarrollaron metodologías de análisis de vulnerabilidades para empresas de media y pequeña escala en el cual plantean diferentes estrategias para desarrollar políticas de integración en la seguridad informática en redes de datos. [2] 1.5 RESEÑA DE LA POLICÍA NACIONAL La Policía Nacional de Colombia fue fundada mediante decreto de 1891 con el fin de brindarle seguridad a la capital de Colombia, en el año 1898 pasa a depender directamente del ministerio de gobierno y su pie de fuerza lo conformaban 300 gendarmes. Ya que Colombia requería de un cuerpo armado que salvaguardara la seguridad de sus ciudadanos, en el año 1953 pasa a 13

15 depender del ministerio de guerra como cuarto componente de las Fuerzas Armadas (FF.AA.). El 4 de noviembre de 1915 la 41 define que la Policía Nacional tiene por objeto primordial conservar la tranquilidad pública en la capital de la república y en cualquier punto donde deba ejercer sus funciones; como son proteger las personas, propiedades y prestar el auxilio que reclamen la ejecución de las leyes y las decisiones del poder judicial. Desde 1960 hasta la fecha, la Policía Nacional de Colombia pasa a depender directamente del ministerio de defensa nacional y en 1991, con la constitución política, la integra como parte de la fuerza pública, define su naturaleza civil y su misión. Figura 1 Organigrama de la Policía Nacional 14

16 En la Figura 1, se observa la estructura orgánica de la Policía Nacional de Colombia que se establece mediante el decreto N 4222 del 23 de Noviembre de 2006 en el cual se modifica la estructura del ministerio de defensa y modifica a su vez el decreto N 049 de [3] Oficina de Telemática Ya que la Policía Nacional es una entidad pública que requiere mantener servicios comunicaciones a prueba de fallas y en constante funcionamiento, la Oficina de Telemática tiene como misión asesorar y promover el desarrollo tecnológico de la institución en las áreas de informática y telecomunicaciones a través de la investigación, implementación, administración y soporte, con el fin de estandarizar los procedimientos e innovar la infraestructura telemática para apoyar la gestión policial. [4] De igual manera la Oficina de Telemática proyecta sus acciones en la cual la visión contempla: la oficina de telemática brindara soporte al sistema integral de telecomunicaciones e informática, sustentada en la actualización permanente de su talento humano y del avance tecnológico, en procura de la seguridad y tranquilidad pública. Para cumplimiento de la misión y la visión la Oficina de Telemática se encuentra organizada de manera jerárquica por el siguiente organigrama: 15

17 Figura 2. Organigrama de la Oficina de Telemática. En la Figura 2, se observa la estructura orgánica de la Oficina de Telemática de la Policía Nacional de Colombia que se establece mediante la resolución No del 15 de Junio del [5] 16

18 2 MARCO TEÓRICO En este capítulo se relacionaran conocimientos que son necesarios para el avance y consecución del proyecto, de igual manera se fijara la base en la cual se guiara el proyecto. Este capítulo está dividido en dos partes; el marco teórico conceptual en donde se afronta los conceptos generales y el marco teórico referencial en donde se contextualiza con base a los temas específicos del proyecto. En este punto se aclararan algunos conceptos claves los cuales ayudaran al desarrollo del proyecto y su comprensión sea más simple Normas y estándares ISO La ISO (International Organization Standardization) es el organismo facultado para promover el progreso de pautas y recomendaciones internacionales de manufactura, comercio y comunicación para todas las ramas industriales a excepción de la electrónica y la eléctrica. Su función principal es la de buscar la estandarización de normas en productos y seguridad para las empresas u organizaciones a nivel internacional. La ISO es una red de los institutos de normas nacionales de 160 países, sobre la base de un miembro pos país, con secretaria general en Ginebra (Suiza), que coordina la organización. Está compuesta por delegaciones gubernamentales y no gubernamentales subdividas en una serie de subcomités encargados de desarrollar las recomendaciones y normas que contribuirán al mejoramiento. [6] ISO es una organización no gubernamental que forma un puente entre los sectores publico y privado. Por un lado, muchos de sus miembros forman parte en la estructura gubernamental de sus gobiernos o tienen el mandato en el gobierno. 17

19 Por otra parte, algunos miembros tienen su plusvalía en el sector privado y es esto lo que la hace que la hizo satisfaga los requisitos del sector público o privado.[7] Vulnerabilidad Grupo de activos en una organización que al tener debilidades pueden llegar a ser aprovechadas por ciertas amenazas. Vulnerabilidad Grupo de activos en una organización que al tener debilidades pueden llegar a ser aprovechadas por ciertas amenazas. Vulnerabilidades físicas: son los puntos frágiles de orden físico que intervienen para que el ambiente donde se maneja la información no sea el adecuado. Ejemplos de principales vulnerabilidades físicas: Instalaciones inadecuadas de trabajo. Falta de elementos en caso de incendios. Desorden en cableado eléctrico y de red. Falta de identificación de personal. Vulnerabilidades naturales: Son las condiciones de la naturaleza que afectan, colocan en riesgo la información. La amenazas naturales se deben tener en cuanta antes de tomar la decisión de realizar un proyecto en una instalación, ya que primero se deben identificar que vulnerabilidades que tiene la instalación para poderse proteger antes de realizar cualquier acción. Ejemplos de principales vulnerabilidades naturales: Humedad, polvo, contaminación. Instalaciones sin protección contra incendios. 18

20 Instalaciones cercanas a ríos, afluentes de agua, quebradas, propensas a inundaciones. Infraestructura frágil a la hora de presentarse terremotos, maremotos, huracanes. Vulnerabilidades de hardware: las configuraciones de los equipos que coloquen en riesgo a la organización, fallas de fabricación y funcionamiento. Ejemplos de principales vulnerabilidades físicas: Falta de actualización de equipos por parte del propietario. Baja vida útil por mala conservación de los equipos. Falta de configuración de respaldo. Falta de quipos de contingencia. Vulnerabilidades de software: la falta de seguridad y puntos débiles de las aplicaciones utilizadas por la organización que permitan el ingreso de personas no autorizadas a los activos. Ejemplos de principales vulnerabilidades de software: Configuración indebida de programas de computadora. Instalación inadecuada de aplicaciones de computadora. Editores de texto que ejecuten virus. Lectores de . Navegadores de páginas web indebidas. Vulnerabilidades de medios de almacenamiento: son todos los medios magnéticos utilizados por la empresa para almacenar la información, mediante soportes físicos. Ejemplos de principales vulnerabilidades de medios de almacenamiento: Falta de conocimiento para la utilización de estos medios de almacenamiento. Falta de conocimiento de la validez y caducidad. 19

21 Defecto de fabricación. Uso incorrecto. Instalaciones inadecuadas para su almacenamiento. Vulnerabilidades de comunicación: es el punto frágil en el trasporte de la información ya sea vía cable, satélite, fibra óptica ondas de radios, etc. Siempre se debe garantizar la seguridad de la información mientas esta viaja. Ejemplos de principales vulnerabilidades de comunicación: Fallas en el medio de trasporte. La información puede ser alterada durante su trasporte. La información no llegue a su destino, por interceptación. Falta de sistemas de encriptación de la información. Vulnerabilidades humanas: son las fallas causadas por el personal de la empresa y que pueden afectar la seguridad de la información, las fallas humanas pueden ser intencionales o no, la cusa más frecuente de fallas es el desconocimiento por parte del personal. Ejemplos de principales vulnerabilidades humanas: Falta de capacitación al personal de la organización. Falta de conciencia por parte del personal a nivel de seguridad. Vandalismo. Estafas. Invasiones Amenaza Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización. 20

22 2.1.4 Información La información es un conjunto de datos procesados ya se de tipo visual, auditivo, táctil, tangible o intangible entre otros, que organizados de forma tal constituyen un mensaje sobre algún tipo de acontecimiento o fenómeno, dicho conjunto de datos tiene como propósito informar a uno o varios destinatarios, la información puede ser transmitida de manera gestual, táctil, visual y textual Servicios de procesamiento de información Cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan Seguridad de la información Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades tales como autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas. Figura 3. Sistema de Gestión de la Protección 21

23 2.1.7 Tecnologías de la información En un mundo globalizado donde la información hace parte del diario vivir en redes de datos, es de importancia definir las mejores prácticas para el tratamiento, dominio, seguridad y accesibilidad en las diferentes áreas de trabajo que tiene una empresa. De igual manera Harvey Brooks y Daniel Bell definen las tecnologías de la información como el uso de un conocimiento científico para especificar los modos de hacer las cosas de una forma reproducible, es decir, es el modo de describir, divulgar y concebir conocimiento a través de las formas, además se encarga de construir sociedades con un ámbito tecnológico especializado, con la madures y creación de nuevas formas de comunicación y aprendizaje Evento de seguridad de la información Es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad de la información, una falla de controles o una situación previamente desconocida que puede ser pertinente para la seguridad Incidente de seguridad de la información Esta indicado por un solo evento o una serie de eventos inesperados o no deseados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información Riesgo Combinación de la probabilidad de un evento y sus consecuencias. 22

24 Análisis de riesgo Uso sistemático de la información para identificar las fuentes y estimar el riesgo Evaluación de riesgos Todo proceso de análisis y valoración del riesgo Valoración del riesgo Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo Gestión del riesgo Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. En el caso específico de la Oficina de Telemática de la Policía Nacional se tomo el mapa de riesgos que aparece en la Figura 6, la ISO define este mapa de riesgos en la recomendación para tratamiento, seguridad y análisis de la información Tratamiento del riesgo Proceso de selección e implementación de medidas para modificar el riesgo Tercera parte Persona u organismo reconocido por ser independiente de las partes involucradas, con relación al asunto en cuestión. 23

25 Evaluación de los riesgos de seguridad En las evaluaciones de riesgos identificamos, cuantificamos y priorizamos los diferentes riesgos, esto se hace con el fin de medir el grado de aceptación del riesgo y los objetivos que se deberían tener en cuenta en la organización. Figura 4. Informes de seguridad Para determinar las diferentes vulnerabilidades y riesgos en la red de datos de la Oficina de Telemática de la Policía Nacional es necesario que el comité de seguridad este en permanente contacto con los administradores de red. Los informes de seguridad brindan capacidad de reacción ante el peligro y además crean una base de datos para posteriores ataques en la red. 24

26 3 INGENIERIA DEL PROYECTO A continuación relacionaremos la información de ingeniería en cuanto al estado actual en la dirección de Telemática con relación a metodologías en análisis de vulnerabilidades, de igual manera observáremos las variables de ingeniera que intervinieron en el desarrollo del proyecto, de esta manera determinaremos la metodología, la cual pueda ser adoptada y desarrollada en la OFITE. 3.1 ESTADO DEL ARTE Los procesos realizados por los administradores de la red y el comité de seguridad en la OFITE de la dirección de Telemática de la Policía Nacional se encuentran actualmente organizados de la siguiente manera Administradores de red Son las personas encargadas de gestionar, mantener y resolver los problemas técnicos, telemáticos e informáticos que se presentan en el backbone de la Policía Nacional. En la actualidad hay dos personas encargadas de cumplir las funciones de administradores de la red en la Policía Nacional, estas dos personas están capacitadas para resolver cualquier tipo de problema o incidente que se presente, ya sea un riesgo latente o una amenaza constante. En el caso de prevención de vulnerabilidades informáticas la Oficina de Telemática cuenta con administradores de antivirus y firewall, de igual manera poseen un software de detección de eventos anormales en el direccionamiento IP Centro de cómputo Es un área determinada que centraliza la mayoría de procesos relacionados con las tecnologías de la información y es donde se desarrollan aspectos de gestión 25

27 de red de manera remota, de esta manera se asignan los diferentes privilegios de administración en los diferentes servicios Puertos de acceso Es la interfaz por donde se escucha y se gestiona tráfico con la ayuda de los diferentes protocolos asignados para cada puerto Usuarios Individuo que utiliza habitualmente un bien o servicio. 3.2 REQUERIMIENTOS DE LA EMPRESA Para el proyecto de crear una metodología de análisis de vulnerabilidades en la Oficina de Telemática de la Policía Nacional tuve en cuenta varios aspectos, que en su defecto se establecieron como requerimientos de la organización. El primer requerimiento por parte de los administradores de red fue un estudio y posterior evaluación de los puertos de acceso en los servidores y router de borde, de igual manera se planteo la creación de una metodología para su análisis en caso de presentarse alguna amenaza. Se requería de la creación de un mapa de riesgos en donde se detallara específicamente el tipo de tratamiento al que se podía someter las diferentes vulnerabilidades conocidas y desconocidas dentro de la red de datos de la Oficina de Telemática de la Policía Nacional. Manifestaron el requerimiento de un manual en cuanto a privilegios para los diferentes usuarios que componen el grupo de infraestructura de Telemática. 26

28 La información que se maneja en la Oficina de Telemática es de interés nacional y por lo tanto es de vital importancia para la seguridad nacional. El comité de seguridad, el cual se está estableciendo, será el encargado de la creación de políticas de seguridad en cuanto a tratamiento de la información. Toda la información a la que tengo acceso no debe salir de las instalaciones de la Oficina de Telemática, de igual manera no podrá ser expuesta a terceros o personas ajenas a la Institución, en consecuencia se firmo un compromiso de confidencialidad entre las dos partes. Se entregara un plan de acción. Por último la Oficina de Telemática ha solicitado que se realicen sensibilizaciones al personal adscrito con el fin de darle seguimiento al proceso iniciado. Estas sensibilizaciones tendrán como objetivo mostrar el proyecto que se realizo de manera tal que el personal interesado lo implemente en un futuro. 3.3 ESTUDIO DE LAS VARIABLES DE INGENIERÍA Teniendo en cuenta que es un proyecto dirigido a la administración de redes y seguridad informática se consideraron las siguientes variables de Ingeniería Estimación de la vulnerabilidad Tomamos la probabilidad de ocurrencia de la vulnerabilidad y la multiplicamos por el impacto sobre el servicio de telecomunicaciones que se está afectando para obtener un valor numérico entero el cual ubicaremos en la Tabla 3 Estimación de 27

29 la vulnerabilidad y con ayuda de la metodología se tomara las acciones pertinentes para atender la vulnerabilidad. Probabilidad de la vulnerabilidad Impacto sobre el servicio de Telecomunicaciones 3.4 DESARROLLO DEL PROYECTO En el desarrollo del proyecto se mostraran los procedimientos realizados que ayudaron que ayudaron a la evaluación de puertos, clasificación de usuarios, tratamiento de la información y plan de acción en la Oficina de Telemática de la Policía Nacional Figura 5. Plan Metodológico por fases. Docume ntación Evaluaci ón de puertos Clasifica ción de usuarios Docume ntación final del proceso metodol Sensibiliz ógico ación Plan de acción A continuación se muestra el desarrollo del proyecto el cual se perfecciono a medida que las fases se iban cumpliendo, esto asegura la consecución del cronograma y así mismo del proyecto. 28

30 FASE 1 DOCUMENTACIÓN Paso 1. Consultar a expertos. Paso 2. Bibliografía. Paso 3. Infografía. FASE 2 METODOLOGÍA DE UTILIZACIÓN DE LOS PUERTOS DE ACCESO Paso 1. Recolectar información de cómo se utilizan los puertos de acceso actualmente. Paso 2. Determinar si la OFITE tiene políticas en cuanto a su utilización; apertura y cierre en transmisión de datos externa o interna en la OFITE. Paso 3. Optimizar las políticas actuales en cuanto a su uso. Paso 4. Proponer nuevas políticas de utilización de puertos. FASE 3 ANÁLISIS DE LA SEGURIDAD OPERATIVA Paso 1. Cantidad de usuarios. Paso 2. Privilegios de los usuarios. FASE 4 PLAN DE ACCIÓN Paso 1. Evaluar el plan de acción existente. Paso 2. Documentar el plan de acción mediante la consulta con cada uno de los integrantes del grupo de telemática de la PONAL. Paso 3. Proponer un plan de acción eficaz y consecuente con las políticas actuales de la dirección de telemática. FASE 5 SENSIBILIZACIÓN Paso 1. Sensibilizar a un grupo de la OFITE por medio de capacitaciones en la importancia de las metodologías en el análisis de vulnerabilidades. 29

31 Fase 6: MANUAL DE PROCEDIMIENTO Paso 1. Entrega del proyecto Paso 2. Socialización del desarrollo del proyecto en sustentación publica en la Universidad Militar Nueva Granada FASE 1 Documentación. Las políticas definidas en la Oficina de Telemática de la Policía Nacional rigen a todos los funcionarios públicos, contratistas, pasantes y otras personas relacionadas con terceras partes que utilicen la plataforma tecnológica y los diferentes servicios a los que se accede interna o de manera externa en la organización. Política 1: Acceso a la información Los funcionarios públicos, contratistas y pasantes que laboran para la Policía Nacional deben tener acceso solo a la información necesaria para el desarrollo de sus actividades. En el caso de que personas ajenas a la Oficina de Telemática requieran de privilegios especiales, deberán ser autorizados por el director de la oficina mediante oficio, previa justificación. El otorgamiento de acceso a la información está regulado mediante las normas y procedimientos definidos para tal fin. Todos los privilegios para el uso de los sistemas de información de la organización deben terminar inmediatamente después de que el trabajador cesa de prestar sus servicios a la Entidad. Proveedores o terceras personas solamente deben tener privilegios durante el periodo del tiempo requerido para llevar a cabo las funciones aprobadas. 30

32 Para dar acceso a la información se tendrá en cuenta la clasificación de la misma al interior de la organización, la cual deberá realizarse de acuerdo con la importancia de la información en la operación normal de la misma. Mediante el registro de eventos en los diversos recursos informáticos de la plataforma tecnológica se efectuará un seguimiento a los accesos realizados por los usuarios a la información de la organización, con el objeto de minimizar el riesgo de pérdida de integridad de la información. Cuando se presenten eventos que pongan en riesgo la integridad, veracidad y consistencia de la información se deberán documentar y realizar las acciones tendientes a su solución. Política 2: Seguridad de la información Los funcionarios públicos, contratistas, y pasantes de la Oficina de Telemática de la Policía Nacional son responsables de la información que manejan y deberán cumplir los lineamientos generales y especiales dados por la Dirección General, por la Ley para protegerla y evitar pérdidas, accesos no autorizados, exposición y utilización indebida de la misma. Se abstendrán de suministrar información a entes externos sin importar la jerarquía, a menos que exista la autorización correspondiente. Todo funcionario que utilice la plataforma tecnológica y los servicios tecnológicos disponibles, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información está protegida por reserva legal o ha sido clasificada como confidencial y/o crítica. 31

33 Después de que el funcionario, contratista o pasante deja de prestar sus servicios a la Oficina de Telemática de la Policía Nacional, éste se compromete a entregar toda la información respectiva de su trabajo realizado al interventor, supervisor, Coordinador o jefe inmediato según sea el caso, y avala el recibido de la información para el respectivo paz y salvo del funcionario retirado. Una vez retirado el funcionario, contratistas, y pasantes deben comprometerse a no utilizar, comercializar o divulgar la información generada o conocida durante la gestión en la organización, directamente o través de terceros, así mismo, los funcionarios públicos que detecten el mal uso de la información están en la obligación de reportar el hecho al grupo de control interno disciplinario o en su defecto a la Inspección General de la Policía Nacional Como regla general, la información de políticas, normas y procedimientos de seguridad se deben revelar únicamente a funcionarios y entes externos que lo requieran, de acuerdo con su competencia y actividades a desarrollar según el caso respectivamente. Política 3: Seguridad en los servicios tecnológicos Administración de usuarios: Establece como deben ser utilizadas las claves de ingreso a los servicios tecnológicos. Establece parámetros sobre la longitud mínima de las contraseñas, la frecuencia con la que los usuarios deben cambiar su contraseña y los períodos de vigencia de las mismas, entre otras. Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos deberán contar con roles predefinidos o con un módulo que permita definir roles, definiendo las acciones permitidas por cada uno de estos. Deberán permitir la asignación a 32

34 cada usuario de posibles y diferentes roles. También deben permitir que un rol de usuario administre el de la Administración de usuarios. Las Puertas Traseras: Las puertas traseras son entradas no convencionales a los sistemas operacionales, bases de datos y aplicativos. Es de suma importancia aceptar la existencia de las mismas en la mayoría de los sistemas operacionales, bases de datos, aplicativos y efectuar las tareas necesarias para contrarrestar la vulnerabilidad que ellas generan. [ ALVAREZ, Oscar Camilo. Estudio de factibilidad a las políticas de seguridad de la información según recomendación ISO en la Oficina de Telemática de la Policía Nacional: Políticas de Seguridad para la OFITE. Bogotá, Colombia, p Trabajo de grado (Ingeniero en Telecomunicaciones). Universidad Militar Nueva Granada. Facultad de Ingeniería. Programa Ingeniería de Telecomunicaciones. En Anexos A (Anexo A-1) se encuentra el oficio en el cual la Oficina de Telemática tuvo conocimiento FASE 2 Evaluar la utilización y manejo de los puertos en cuanto a su apertura o cierre en transmisión de datos externa o interna en la Oficina de Telemática. 22 (TCP) The Secure Shell (SSH) Protocol. [10] 25 (TCP) Simple Mail Transfer Protocol (SMTP). [11] 53 (TCP) Domain Name Server (DNS). [12] 53 (UDP) Domain Name Server (DNS). 33

35 80 (TCP) WEB ESTANDAR, World Wide Web HTTP. [13] 88 (TCP) Kerberos. [14] 110 (TCP) Post Office Protocol - Version 3 (POP3). [15] 139 (TCP) NETBIOS Session Service. [16] 389 (TCP) Lightweight Directory Access Protocol. [17] 443 (TCP) WEB ESTANDAR, World Wide Web HTTP. [13] 445 (TCP) MICROSOFT-DS. 636 (TCP) ldap protocol over TLS/SSL (was sldap). [18] 1720 (TCP) H323 hostcall (H323). [19] 7777 (TCP) APLICACIONES WEB (HTTP), CBT. [20] 7778 (TCP) APLICACIONES WEB (HTTP), CBT. [20] 8080 (TCP) Web (PROXY) (UDP) VoIP (Telefonía IP): Se utiliza esta cantidad de puertos ya que CISCO lo estandarizo de esta manera. El protocolo H323 establece una conexión al call manager y este brinda la autorización para que las partes que intervienen comiencen a negociar, en caso de utilizar pocos puertos para el tráfico de llamadas el servidor no tendría la capacidad de responder y presentaría latencia en comunicaciones simultáneas en cada una de las extensiones configuradas previamente. En principio se podría pensar que tener esta cantidad de puertos abiertos expone a la organización a vulnerabilidades, pero de acuerdo al mapa de riesgos que se encuentra en la Figura 6 esta vulnerabilidad se debe aceptar, y en efecto, mitigarlo al mínimo. 34

36 La Oficina de Telemática de la Policía Nacional cuenta con dos personas capacitadas en el área de sistemas informáticos y configuración de redes las cuales se encargan de manipular la apertura o cierre de cada uno de los puertos. Inicialmente, la apertura y cierre de estos puertos se realizaba de acuerdo a criterios de seguridad individuales y a necesidades de la administración y gestión del momento o del día a día, pero con la implementación del comité de seguridad se han creado políticas orientadas al seguimiento, control y posterior evaluación que se le debe hacer a la manipulación de estos puertos [9]. En Anexos A (Anexo A-2, Anexo A-3 y Anexo A-4) está el oficio en el cual se evaluaron los puertos y de igual manera se hizo entrega del manual de evaluación de puertos, el cual incluye mapa de riesgos. El comité de seguridad aprueba la apertura o cierre de los puertos previa solicitud escrita y debidamente justificada. El comité analiza si la apertura o cierre de los puertos es viable y toma la decisión la cual es transmitida a los administradores de red de la Oficina de Telemática de la Policía Nacional para que realicen la actividad correspondiente. La apertura y cierre de puertos de acceso en la red por parte de la Oficina de Telemática de la Policía Nacional en transmisión de información saliente o información entrante debe ser previamente autorizada por el comité de seguridad (recomendación ISO ) que evaluará los riesgos existentes y en qué tipo de tratamiento se podría clasificar. De acuerdo al siguiente mapa de riesgos se podrán especificar las diferentes vulnerabilidades que en su defecto serian potenciales amenazas. 35

37 Figura 6. Mapa de riesgos (Tomado de la ISO 27001). Planificar: Es la fase en que se tienen que cubrir de manera teórica cada una de las vulnerabilidades conocidas en los diferentes sistemas, en este caso las vulnerabilidades en los puertos de servidores y routers de borde, los cuales puedan ser atacados accediendo a la red internamente o de manera externa. Alcance: En función de características del negocio, organización, localización, activos y tecnología, definir el alcance (es recomendable empezar por un alcance limitado). Política: Lineamientos claros en cuanto al uso de puertos en los servidores y routers de borde. Que incluya marco general y los objetivos de la seguridad de la información de la organización. Metodología: Manual de procedimientos. 36

38 Identificar y analizar: Es la fase en la cual se gestiona de manera rápida y eficaz el inventario de activos y se identifican vulnerabilidades o en su defecto potenciales amenazas. Identificar Activos: Todos aquellos activos de la información que tienen algún valor para la organización. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. Análisis y evaluación de vulnerabilidades: Valorar el detrimento proveniente de un fallo de seguridad (de tal manera que una amenaza derive en una vulnerabilidad) y la perspectiva de ocurrencia del fallo; evaluar el nivel de riesgo resultante y establecer si el riesgo es aceptable o requiere tratamiento. Analizar y evaluar la relación costo/beneficio: Determinar el costo financiero para la organización y de este modo analizar si el beneficio está de acuerdo a las políticas financieras, de lo contrario el riesgo se acepta o se evita. Dirección: Descubrimiento constante de no conformidades o acciones de mejora Decidir tratamiento de la vulnerabilidad: Identificar las acciones, recursos, responsabilidades y prioridades en la gestión de riesgos de seguridad de la información. Aceptar vulnerabilidad residual: Al aceptar un riesgo se genera un riesgo residual, aun después de haber aplicado controles (el riesgo cero prácticamente no existe). De igual manera esto 37

39 deberá ser tenido en cuenta en caso de que se presente un nuevo incidente de seguridad. Mitigar vulnerabilidad: Invertir en infraestructura para la seguridad de la información, cumplimiento de las políticas de seguridad, aplicación de controles informáticos y formación constante a los funcionarios involucrados. Seleccionar Controles: Política de seguridad, organización de la información de seguridad, administración de recursos, seguridad de los recursos humanos, seguridad física y del entorno, administración de las comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, desarrollo y mantenimiento, administración de los incidentes de seguridad, administración de la continuidad del negocio, cumplimiento (legales, de estándares, técnicas y auditorias). (ISO : Los controles). Seleccionar SOA (Statement of Applicability - Declaración de Aplicabilidad): Es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y su respectiva justificación, los objetivos de control y controles que han sido excluidos y los motivos de su exclusión. En pocas palabras son las decisiones aplicables para el tratamiento de un riesgo. Implantar: Implantar las anteriores fases con el fin de alcanzar los objetivos propuestos en la metodología de Análisis de vulnerabilidades. 38

40 Transferir vulnerabilidad: En el caso en que la organización no tenga la capacidad de solucionar el incidente de seguridad deberá recurrir a terceros, pero en este caso la responsabilidad la asume la organización involucrada. Seguros Proveedores Aceptar vulnerabilidad: Es lo menos recomendable pero hay casos en los que la vulnerabilidad se hace inmune y debemos recurrir a aceptarlo dentro de la organización, en este caso es recomendable evitarlo. Evitar vulnerabilidad: Cese de la actividad que origina la vulnerabilidad. Para clasificar la vulnerabilidad se debe diligenciar el formato de la matriz de vulnerabilidades la cual nos guiara a la matriz de clasificación de vulnerabilidades para determinar la probabilidad y el impacto que tendrá sobre los servicios de telecomunicaciones que brinda la Oficina de Telemática de la Policía Nacional. Tabla 1 Matriz de vulnerabilidades Actividad: Proceso: Área: Tipo de Descripción de Consecuencias (I) (P) Controles Descripción del Afectación Acciones Responsables vulnerabilidad la vulnerabilidad existentes control equilibrio económico 39

41 (I): Impacto (P): Probabilidad de ocurrencia A: Alto M: Medio B: Bajo De esta manera identificamos el tipo de vulnerabilidad diligenciando el formato de la Tabla 1 con el fin de determinar mediante la siguiente variable de ingeniería el impacto sobre los servicios de telecomunicaciones que brinda la Oficina de Telemática. Probabilidad de la vulnerabilidad Impacto sobre el servicio de Telecomunicaciones De esta manera el personal del Grupo de Seguridad de la Información y el Grupo de Infraestructura de Telemática deberá guiarse por la matriz de impacto en los servicios de Telecomunicaciones la cual dictara la urgencia con la cual se atenderá la vulnerabilidad. Para establecer la acción a tomar dependiendo de las vulnerabilidades a las que se enfrenta la seguridad de la información, se desarrolló una propuesta en la cual se clasifican la probabilidad de riesgo numéricamente, siendo (1) la probabilidad mínima de la vulnerabilidad y (3) la probabilidad de la vulnerabilidad más alta que puede presentarse. Para el impacto de la vulnerabilidad sobre los servicios de Telecomunicaciones se estimo la categorización siendo (5) el más alto impacto y (1) el mínimo impacto que se puede presentar con la ejecución de un cambio. 40

42 Probabilidad de la Vulnerabilidad Tabla 2 Matriz de atención a vulnerabilidades Impacto Sobre el Servicio de Telecomunicaciones Vulnera -bilidad Catastrófico (5) Mayor (4) Medio (3) Menor (2) Intrascendent e (1) Alta (3) Media (2) Extrema 15 Elevada Elevada 12 Moderada Moderada 9 Soportable Soportable 6 Soportable Admisible 3 Admisible Baja (1) 10 Soportable 5 8 Soportable 4 6 Admisible 3 4 Admisible 2 2 Admisible 1 Prestando atención a la matriz de la Tabla 2 se consideran cinco variables para la interpretación de la vulnerabilidad que puede afectar la seguridad de la información. De acuerdo a ello las acciones recomendadas se observan en la Tabla 3. Tabla 3 Estimación de la vulnerabilidad Zona de Riesgo Acción Vulnerabilidad admisible Se recomienda asumir la vulnerabilidad. Vulnerabilidad soportable Se recomienda reducir la vulnerabilidad 41

43 Vulnerabilidad moderada Se recomienda asumir, evitar ó compartir la vulnerabilidad Vulnerabilidad elevada Se recomienda evitar la vulnerabilidad Vulnerabilidad extrema Se recomienda evitar al máximo la vulnerabilidad. De acuerdo a la vulnerabilidad hallada, la persona asignada para llevar a cabo el análisis de vulnerabilidades debe diligenciar el formato de solicitudes de cambio para proporcionar esta información al SGP y posteriormente a los integrantes del Grupo de Seguridad de la Informacion quienes serán los encargados de definir el tratamiento de acuerdo al mapa de riesgos de la organización. En la Figura 7 se ilustra la metodología, sujeta a aprobación, para el análisis de vulnerabilidades en los puertos de los servidores y routers de borde en la Oficina de Telemática de la Policía Nacional. 42

44 Figura 7. Diagrama de flujo, análisis de puertos. La fase de análisis de vulnerabilidades cuenta con dos fases principales y las cuales estarán presentes en todo el proceso metodológico del análisis de vulnerabilidades. El dialogo forma parte esencial, ya que los administradores de 43

45 red deberán estar en permanente comunicación para acoplar criterios, esto con el fin de evitar discrepancias en el manejo de la seguridad de la información y unir conceptos en cuanto al manejo de puertos. La supervisión será ejercida por parte del comité de seguridad de la Oficina de Telemática, el cual es el encargado de establecer el contexto (lugar) con el fin de que los administradores de red tengan un tercer concepto en cuanto al manejo y tratamiento de vulnerabilidades. Identificar, analizar y estimar forman parte de la fase de análisis y evaluación de la metodología de análisis de vulnerabilidad. En la fase de tratamiento de la vulnerabilidad nos remitimos a la Figura 6 donde se especifica el tipo en el que debe ser clasificado y en el caso en que se acepte la vulnerabilidad se procede al dialogo y posterior supervisión para mitigarlo. En este caso se recomienda bloquear, supervisar o abrir los siguientes puertos los cuales están guiados por estándares que recomienda la IANA. ECHO (7/TCP, UDP) Se utiliza únicamente para depuración. Sin embargo, un atacante puede realizar "labores de depuración" creando bucles en la red a partir de este puerto. BLOQUEAR. [21] SYSTAT (11/TCP, UDP) Muestra información acerca del host como usuarios conectados, carga del sistema y procesos en funcionamiento. BLOQUEAR. [22] CHARGEN (19/TCP, UDP) Se utiliza únicamente para depuración. Basta con enviar un paquete a este puerto aparentemente originado en el puerto de ECHO (7/UDP) para provocar un bucle en la red. BLOQUEAR. [23] TELNET (23/TCP, UDP) Vulnerable a "toma de sesiones". Es preferible utilizar en su lugar otras soluciones como SSH. [24] SMTP (25/TCP, UDP) Históricamente la mayoría de las entradas en hosts han venido a través de este puerto. Se debe FILTRAR este puerto y mantener 44

46 SIEMPRE la última versión estable conocida de cualquier programa de correo, especialmente si trabajamos con SENDMAIL. [11] TIME (37/TCP, UDP) Devuelve la hora del sistema en un formato legible por la máquina (4 bytes más o menos). Puede ser accedido tras un ataque vía NTP (123/TCP, UDP). [25] NAMESERVER (42/TCP, UDP) Si dispone de una red privada, debe instalar un servidor de dominio para la red. Bloquee el acceso a dicho servidor desde el exterior, y utilice siempre la última versión de BIND para resolver nombres. En este caso, puede cortar sin excesivos problemas el acceso al DNS sobre UDP. [26] TFTP (69/TCP, UDP) Falta de autentificación. Bloquear si no se dispone de máquina alguna con arranque remoto. [27] PRIVATE DIALOUT (75/TCP, UDP) [RFC1700] Si encontramos una diseño de este puerto en los diarios del sistema (logs), en el mejor de los casos estaremos siendo analizados por un scanner de puertos. BLOQUEAR. [28] FINGER (79/TCP, UDP) Puede obtenerse información acerca de usuarios concretos, información que puede utilizarse para adivinar claves de acceso. BLOQUEAR o SUSTITUIR por una política coherente de asignación de direcciones de correo (Carlos Barón: y un mensaje advirtiendo de dicha política. [29] HTTP (80/TCP, UDP) Los servidores web son cada vez más complejos y permiten demasiadas cosas. Conviene redirigir el acceso a un puerto no privilegiado en maquinas Unix. A ser posible, utilice servidores HTTP específicos para la tarea a realizar (archivos y acceso a Bases de datos). [13] 45

47 OBJCALL (94/TCP, UDP) - [Tivoli Object Dispatcher, IBM] Utilizado por la herramienta de Gestión de redes Tivoli. Si utilizamos Tivoli, aplicar las mismas precauciones que con SNMP. [28] SUNRPC (111/TCP, UDP) Peligroso sobre UDP. No autentifica fuentes, y es la base para otros servicios como NFS. [30] AUTH (113/TCP, UDP) No debería permitirse obtener información acerca de puertos privilegiados (puede utilizarse para realizar un portscan). No se utiliza más que en Unix. [31] NTP (123/TCP, UDP) [Network Time Protocol] Se utiliza para sincronizar los relojes de las máquinas de una subred. Un ejemplo de ataque clásico consiste en enviar paquetes a este puerto para distorsionar los logs de la máquina. [25] NETBIOS (137, 138, 139/TCP, UDP) No dispone de suficiente autenticación. Afortunadamente según los RFC2001 y 2002 NetBIOS es capaz de funcionar correctamente a pesar de que se estén enviando bloques de datos con información errónea o corrompida. [16] SNMP (161/TCP, UDP) Se puede obtener mucha información a través de este servicio, como por ejemplo estado de las interfaces de red y conexiones concurrentes en la máquina. BLOQUEAR. [32] SNMP-TRAP (162/TCP, UDP) Traps de SNMP. A través de este puerto se realizan solicitudes que pueden cambiar la configuración del host. BLOQUEAR. [33] IRC (194/TCP, UDP) No es peligroso en sí; sin embargo sus usuarios suelen divertirse atacando los hosts de otras personas con el fin de echarlos cuando no pueden hacer uso de la orden 'kick'. Generalmente conviene bloquear los puertos 46

48 6666, 6667 y 6668 ya que son a los que se enganchan los servidores de IRC. [34] EXEC (512/TCP) Ejecuta ordenes en estaciones remotas. Como todos los comandos 'r' (rexec, rcp, rlogin), se accede desde un conjunto de direcciones IP definidas por el usuario. No se realiza más autentificación que la basada en dirección IP y usuario remoto. BLOQUEAR. [9] BIFF (512/UDP) Notifica de la llegada de correo. Buen candidato para posibles desbordamientos de buffer, o simplemente para obligar a abandonar la sesión a un usuario debido a la llegada masiva de mensajes de correo. BLOQUEAR. [9] LOGIN (513/TCP) - rlogin. (Ver EXEC) BLOQUEAR. [9] WHO (513/UDP) Muestra quien está utilizando el host remoto. Se puede obtener información bastante detallada acerca de quién utiliza una máquina y desde que terminal, UPTIME (tiempo que lleva en funcionamiento), carga de la máquina. BLOQUEAR. [9] CMD (514/TCP) Similar a EXEC (512/TCP), mismas precauciones. BLOQUEAR. [9] SYSLOG (514/UDP) BLOQUEAR a menos que existan suficientes razones como para mantenerlo. Suele atacarse para corromper los diarios (logs) del sistema con entradas falsas. [35] ROUTER (520/TCP, UDP) - Local routing process. BLOQUEAR. [9] INGRESLOCK (1524/TCP) En la mayoría de los Unix se puede encontrar esta entrada en /etc/services. Ya que está dado de alta y es un puerto no privilegiado es un buen lugar para una puerta trasera. [9] 47

49 3.4.3 Fase 3 Clasificación de usuarios en la Oficina de Telemática de la Policía Nacional. La clasificación de usuarios nos permitirá catalogar a los usuarios en grupos según su función o desempeño dentro de la organización. Usuario final El usuario final de un producto informático (bien sea hardware o software), es la persona a la que va destinada dicho producto una vez que ha superado las fases de desarrollo correspondientes. Normalmente, el software se desarrolla pensando en la comodidad del usuario final, y por esto se presta especial interés y esfuerzo en conseguir una interfaz de usuario lo más clara y sencilla posible. Usuario registrado Se denomina así a la persona que tiene derechos especiales en algún servicio de Internet por acreditarse en el mismo mediante un identificador y una clave de acceso, obtenidos con previo registro en el servicio, de manera gratuita o de pago. Normalmente, un usuario registrado tiene asignada una cuenta propia que mantiene información personalizada del usuario en el servidor, (como puede ser dirección de y espacio correspondiente). También puede dar acceso a ciertos contenidos no accesibles al público en general, como por ejemplo un usuario registrado en un periódico on-line con acceso por suscripción. Usuario anónimo Es usuario anónimo en informática aquel que navega en sitios web (o usa cualquier servicio de la red) sin autenticarse como usuario registrado. En algunos servicios en Internet se dispone de un modo de uso como usuario registrado y otro 48

50 como usuario anónimo; normalmente, el usuario registrado goza de mayores privilegios. El anonimato en Internet es uno de sus puntos fuertes, a la vez que motivo habitual de discusión. A los usuarios les gusta sentirse libres para expresarse, mientras que ciertos organismos quisieran un mayor control de todo el movimiento por la red para actuar con más eficacia contra la delincuencia online. Clasificación de usuarios Invitados: Son los usuarios con menos permisos en el sistema o red, solo podrán leer un número muy reducido de archivos o hasta ni siquiera acceder a ningún tipo de información Usuarios: Son los usuarios normales del sistema, con pocos permisos. Tienen permisos para conectarse al sistema interactivamente y a través de la red, pero no pueden modificar ningún tipo de información. Usuarios interactivos: Este grupo representa a todos aquellos usuarios que tienen el derecho de iniciar una sesión local en el sistema o red. Usuarios autentificados: Agrupa a todos los usuarios que poseen una cuenta propia para conectarse al sistema, solo pueden ver algunos archivos y carpetas del sistema y leer, modificar y eliminar los archivos pertenecientes a su cuenta. Administradores: Son los usuarios con más permisos sobre el sistema o red, pueden ver, modificar y eliminar cualquier tipo de información. Mapa de usuarios en la oficina de telemática de la policía nacional. 49

51 En la siguiente figura se relaciona los diferentes usuarios en la Oficina de Telemática de la Dirección General de la Policía Nacional. Estos usuarios tienen los permisos que anteriormente se relacionaron y en su defecto fueron clasificados en el mapa de usuarios. Figura 8. Mapa de usuarios Oficina de Telemática Policía Nacional. El administrador de dominio asigna las direcciones de las que dispone la red de la Policía Nacional, las solicitudes se hacen a través de oficios enviados a la Oficina de Telemática y el administrador de dominio previa autorización del Jefe de Infraestructura de Telemática asigna las direcciones necesarias. 50

52 La asignación de privilegios de los nuevos usuarios y la supervisión de privilegios en usuarios antiguos debe ser autorizada por el Comité de Seguridad de la Oficina de Telemática, ya que estas personas tienen el conocimiento necesario para prevenir vulnerabilidades. Garantizar la seguridad lógica de la información preservando los principios de confidencialidad, integridad y disponibilidad de la misma, sin afectar el desarrollo normal de las actividades habituales de los usuarios Ámbito de aplicación Las políticas aquí descritas son de obligatorio cumplimiento por parte de todos los funcionarios de la POLICIA NACIONAL y terceros que hagan uso de las plataformas informáticas administradas por la OFICINA DE TELEMATICA Incumplimientos Mirar código de disciplina y crear anexo sobre sanciones Definiciones DUEÑO DE DATOS: Direcciones, oficina asesora, áreas, grupos y procesos para los cuales se ha desarrollado o adquirido un sistema informático específico para apoyar las labores administrativas y operativas de las mismas. OFITE: Oficina de Telemática, oficina asesora encargada de la administración y soporte técnico de la plataforma informática y de comunicaciones de la POLICIA NACIONAL. 51

53 OSI: Oficina de Seguridad de la Información, hace parte de OFITE, encargada de velar por la confidencialidad, integridad y disponibilidad de la información. USUARIO: Hace referencia a toda persona que posee acceso autorizado a un equipo de cómputo, a la red de datos y/o un determinado sistema de información. USUARIO FUNCIONAL EXPERTO: funcionario delegado por cada uno de los DUEÑOS DE DATOS, con conocimiento profundo de los procesos, así como de las funcionalidades de los Sistemas Informáticos administrados por OFITE, cuya función es apoyar las labores de atención y resolución de consultas de usuarios finales y de requerimientos operativos, validación de cambios al sistema, mediante la realización de pruebas, así como la de determinar que roles se le deben asignar a determinada LICENCIA DE ACCESO para utilizar un sistema de información. USUARIO ADMINISTRADOR DEL SISTEMA: Funcionario de la Oficina de Telemática, a cargo de los procesos técnicos de administración de la plataforma de software y hardware. LICENCIA DE ACCESO: Autorización otorgada a un funcionario o un tercero que requiere de acceso a la red de datos y/o alguno de los Sistemas Informáticos y/o servidores de la POLICÍA NACIONAL, mediante un proceso de identificación y autenticación que se valida con la digitación del usuario, de las contraseña o de la huella digital. LICENCIAS DE ACCESO ESPECIAL: Cuentas de acceso genéricas para administración. 52

54 PERFIRL DE USUARIO: Conjunto de permisos mediante el cual se asigna a un funcionario o a un tercero los accesos que le otorgan la posibilidad de realizar dentro de la red de datos o un sistema informático, una serie de actividades de diversa índole de conformidad con las responsabilidades asignadas a su cargo. ACCESO DE CONTINGENCIA: Acceso extraordinario a USUARIO ADMINISTRADOR DEL SISTEMA al ambiente de producción, autorizado por el DUEÑO DE DATOS o por OFITE con el fin de atender modificaciones o incidencias que se presenten en los sistemas, cuyo carácter extraordinario no permite replicar escenarios en un ambiente de pruebas o desarrollo. ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES: funcionarios encargados de la administración y mantenimiento de roles y perfiles y su asignación a usuarios que se constituye para la red de datos, los sistemas informáticos y servidores que así lo requieran. ALTA DE UN PERFIL DE USUARIO: cuando un funcionario o u tercero requiere acceder a la red de datos, servidor y/o un sistema informático de la POLICIA NACIONAL. MODIFICACION DE UN PERFIL DE USUARIO: cuando el mismo requiere nuevos permisos de acceso a igual información y/o nueva información, así como la suspensión de permisos de acceso sobre determinados recursos informáticos. SUSPENSION TEMPORAL DE UN PERFIL DE USUARIO: cuando el mismo deja de acceder de forma temporal a los recursos informáticos por motivos tales como excusas de servicio, licencias, vacaciones. 53

55 BAJA DE UN PERFIL DE USUARIOS: cuando el mismo no accede más de manera permanente a un recurso de red o sistema informático o se desvincula de la POLICIA NACIONAL Políticas Administración de licencias de acceso a los usuarios La administración de licencias de acceso a los usuarios de recursos informáticos deben cumplir los siguientes requisitos: Principios Generales Los usuarios no deben tener acceso a ningún recurso excepto a aquellos para los que están debidamente autorizados, para ejercer las funciones inherentes a su cargo. Los accesos deben permitir al usuario acceder exclusivamente a los recursos para los cuales está autorizado, sin permitir que a través de ellos se llegue a otros recursos. Solicitud de licencia de acceso Es responsabilidad del respectivo DUEÑO DE DATOS, la asignación de nuevas LICENCIAS DE ACCESO a sus respectivos funcionarios o funcionarios de otras unidades que requieran de su información para desempeñar su cargo. Es responsabilidad del USUARIO FUNCIONAL EXPERTO de cada sistema de información indicar los roles y perfiles que debe tener cada LICENCIA DE ACCESO. La solicitud de LICENCIA DE ACCESO (usuario y contraseña) comienza cuando el DUEÑO DE DATOS realiza la solicitud a OFITE a través del ADMINISTRADOR 54

56 DE USUARIOS, ROLES Y PERFILES. Dicha solicitud se debe realizar diligenciando el formulario de Solicitud Inicial de Licencia de acceso a través del portal institucional y enviar copia escrita a OFITE. Solicitud de recursos El formulario de solicitud de LICENCIA DE ACCESO debe contener la información de los recursos a los cuales el usuario debe acceder, tales como: Red de datos de la POLICIA NACIONAL Sistema de Información Correo electrónico institucional Herramientas de inteligencia de negocios A una base de datos A un servicio A un servidor Perfiles y Roles El formulario de solicitud de LICENCIA DE ACCESO, debe estar firmado por el funcionario al que se le asignara un usuario, por su jefe inmediato, en el caso de los sistemas de información debe contener la aprobación del respectivo DUEÑO DE DATOS, y los roles definidos por el USUARIO FUNCIONAL EXPERTO Ejecución El ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES deberá validar la solicitud realizada, para evitar fraudes en la solicitud y una vez verificado, otorgar 55

57 los permisos solicitados en el equipo de cómputo y/o sistema de información correspondiente y dar respuesta por escrito a la solicitud Suspensión Temporal De Un Perfil De Usuario, El DUEÑO DE DATOS es responsable de notificar las novedades de excusas de servicio, licencias, vacaciones de los usuarios, con el fin de suspender temporalmente la LICENCIA DE ACCESO, con el fin de evitar el uso de dichas licencias por personal no autorizado. El SIATH Sistema de Información para la Administración del Talento Humano, deberá contar con mecanismos que permitan informar al ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES que ha ocurrido una novedad con los usuarios y este tome las medidas que le competen Modificación y baja de un perfil de usuario El DUEÑO DE DATOS es responsable de notificar la modificación de un perfil de usuario cuando se requieren incrementar o decrementar permisos, para lo cual se deberá diligenciar nuevamente el formulario de solicitud de LICENCIA DE ACCESO. Así mismo el DUEÑO DE DATOS es responsable de notificar la baja de un perfil de usuario, cuando este ya no requiere de acceso a los recursos que tenia asignados, o cuando se retira de la institución. El SIATH Sistema de Información para la Administración del Talento Humano, deberá contar con mecanismos que permitan informar al ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES cuando se efectúen traslados o retiros de la institución de funcionarios que tienen usuarios asignados para que se tomen las medidas correspondientes. 56

58 Licencias de acceso Las Licencias de acceso tienen fecha de vencimiento. La fecha de vencimiento se calcula a partir de la fecha de alta adicionándole la cantidad equivalente a 12 meses en días. Este es el lapso de tiempo de vigencia oficial y puede ser variado excepcionalmente sólo por la Oficina de Seguridad de la Información (OSI) de considerarlo el mismo necesario. La fecha de vencimiento es chequeada cada vez que el usuario inicia una sesión en la red de datos. El vencimiento de la contraseña impide el ingreso a la red Licencias de acceso finales Cada usuario deberá tener una única LICENCIA DE ACCESO para acceder a los recursos informáticos administrados por la Oficina de Telemática. Solo se permitirán excepciones para LICENCIAS DE ACCESO ESPECIALES, que deberán ser aprobadas por el correspondiente DUEÑO DE DATOS Licencias de acceso especiales No están permitidas las LICENCIAS DE ACCESO no personales, salvo las siguientes excepciones: Cuentas de acceso genéricas para administración: Administradores de sistema operativo, administradores propietarios de software, administradores de bases de datos; como se trata de licencias de acceso que pueden llegar a ser compartidas por varios funcionarios, se limitara a casos en que sea obligatorio su uso. Estas deberán ser autorizadas expresamente por el Jefe del área de competencia de la Oficina de Telemática quien en este caso será el DUEÑO DE DATOS. 57

59 Las LICENCIAS DE ACCESO ESPECIALES con máximos permisos de cada equipo y/o servidor, sistema de información, portal, bases de datos, directorios LPDA, no deben utilizarse con fines operativos, deberán renombrarse y las contraseñas deben someterse a procedimientos de emergencia y su acceso restringido en poder del DUEÑO DE DATOS. El DUEÑO DE DATOS, será el responsable de establecer los casos en los cuales sea necesario el usuario de las LICENCIAS DE ACCESO ESPECIALES y quienes podrán acceder a ellas Nomenclatura Licencias de acceso finales Primera Propuesta La identificación de la LICENCIA DE ACCESO personal debe corresponder al Primernombre.Primerapellido, salvo las siguientes excepciones en caso de homónimos. Primernombre.primarapellido primeraletrasegundoapelido USUARIOS ESPECIALES SILOG SIIF Nomenclatura Licencias de especiales La nomenclatura de las cuentas especiales de cada equipo y/o servidor, sistema de información, portal, bases de datos, directorios LPDA, entre otros, que así lo permitan deberá ser modificada de la situación original de instalación y asimilarse a las características utilizadas para las licencias de acceso finales. 58

60 Datos de las Licencias de Acceso La descripción de la cada LICENCIA DE ACCESO debe incluir los siguientes datos: Apellidos y Nombres Número de Identificación Correo Electrónico Estado de la Licencia (Activado, Desactivado) Fecha de Activación de la licencia Fecha de des habilitación de la licencia Número de teléfono de contacto Pregunta Secreta Respuesta a la pregunta secreta Así mismo se deberá llevar un histórico de los perfiles y roles que le han sido asignados. La descripción de las licencias de acceso especiales no beben indicar la función para las cual fue creada Administración de Contraseñas Toda LICENCIA DE ACCESO debe estar asociada a una contraseña que debe cumplir con las siguientes características de obligatorio cumplimiento, así: 59

61 Longitud mínima de 10 caracteres. Combinación de letras, números y caracteres especiales (al menos un numero y un carácter especial). Debe distinguir mayúsculas y minúsculas. Debe estar encriptado en archivos ocultos y protegidos. No se debe visualizar al momento de digitarla. No debe permitir blancos. No debe identificarse al momento de la transmisión. Cambiarse obligatoriamente la primera vez que el usuario la utilice. Debe cambiarse en un periodo máximo de 30 días, de lo contrario debe ser invalidada automáticamente. Debe ser diferente por lo menos a las 10 anteriores. Permitir ser cambiada toda vez que el usuario así lo disponga. En caso de control de acceso biométrico y para contingencia, la contraseña seguirá siendo válida y deberá conservar las características anteriores Generación de Contraseñas La primera contraseña con la que se activa una nueva LICENCIA DE ACCESO, será aleatoria y enviada por al usuario. En caso de que el usuario olvide la contraseña este deberá diligenciar el formulario Recordar Contraseña en el portal institucional, indicando el nombre de 60

62 la LICENCIA DE ACCESO, pregunta secreta y . La contraseña se generara de forma aleatoria y automática y le será enviada al al usuario. De esta manera los usuarios serán autosuficientes para gestionar el cambio de contraseña por olvido. Sera obligatorio el cambio de contraseña para acceder nueva mente a los recursos asignados Bloqueo Licencias de Acceso Toda LICENCIAS DE ACCESO que haya intentado ingresar a los recursos informáticos en forma fallida y consecutiva tres (3) veces debe ser automáticamente bloqueada. Para el desbloqueo de la LICENCIA DE ACCESO el titular de la misma debe realizar la solicitud a través del portal institucional y el ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES, procederá a desbloquearla y asignarle una nueva contraseña siguiendo el procedimiento de generación de contraseñas. Las LICENCIAS DE ACCESO ESPECIAL, para su reactivación deberán ser documentadas y comunicada al DUEÑO DE DATOS de la Oficina de Telemática. Toda LICENCIAS DE ACCESO que no haya sido utilizada por un periodo de quince (15) días consecutivos, deberá ser bloqueada y proceder a su cancelación definitiva Restricciones Sesiones de trabajo, deberán restringirse a una para acceso a todos los recursos informáticos, siempre y cuando se disponga de las herramientas necesarias para hacerlo. excepto las aplicaciones Forms, que requieren hasta dos sesiones alternas para generar reportes. Cualquier otra 61

63 excepción deberá documentarse y justificarse en el Formulario de Excepciones Horarios de trabajo, Los DUEÑOS DE DATOS deberán determinar que aplicaciones deberán estar limitadas a días y horas específicas para su uso, siempre y cuando se disponga de las herramientas necesarias para hacerlo. Deberá existir un cuadro de recursos informáticos con las respectivas restricciones de días y horas. Estaciones de trabajo específico, para las LICENCIAS DE ACCESO ESPECIAL, y cualquier otra LICENCIA DE ACCESO, que por su perfil lo requiera deberá estar limitada la conexión a ciertas estaciones de trabajo autorizadas, de lo cual se deberá llevar el respectivo documento de control. Las LICENCIAS DE ACCESO a la red de datos, por política institucional, salvo ciertas excepciones, solo podrán abrir sesiones en la estación de trabajo asociadas con la respectiva licencia. Las excepciones deberán estar documentadas en el Formularios de Excepciones Conexión por escritorio remoto, solo podrán abrir sesiones por escritorio remoto las LICENCIAS DE ACCESO previamente autorizadas por la Oficina de Telemática, cualquier otra excepción deberá documentarse en el Formulario de Excepciones Pantalla de Inicio Todas las estaciones de trabajo deberán mostrar un mensaje de notificación al usuario cuando accede a los recursos informáticos de la Policía Nacional, donde se le indique sus deberes y responsabilidades que adquiere al hacer uso de la infraestructura informática. 62

64 Desconexión Se deberá desconectar tota sesión activa, después de 30 minutos de inactividad, siempre y cuando se dispongan de las herramientas necesarias para hacerlo Protector de Pantalla Es de uso obligatorio el protector de pantalla con contraseña para las estaciones de trabajo, con activación automática, después de cinco (5) minutos de inactividad Compromiso del usuario Es responsabilidad del usuario hacer buen uso de la LICENCIA DE ACCESO, entendiendo por buen uso: No prestar su licencia de acceso, para que otra persona o funcionario realice funciones asignadas a su persona. No utilizar la licencia de acceso con otros fines que no sean el de cumplir con las funciones asignadas a su cargo. Tomar las medidas necesarias para que su licencia de acceso no sea expuesta a conocimiento y uso de parte de otras personas. Acatar las políticas de seguridad informática y cualquier otra directriz o legislación relacionada con el uso de claves y acceso a la red de datos y sistemas informáticos de la Policía Nacional. Todo usuario debe diligenciar los formularios de Asignación de Usuario y de confidencialidad de la información, los cuales deberán renovarse cada 12 meses, cuando la licencia de acceso caduca. 63

65 Responsabilidades administrador de usuarios, roles y perfiles Crear y actualizar los roles para los sistemas de información Crear y actualizar los perfiles de acceso a la red de datos Dar de alta, modificar, suspender y dar de baja perfiles de LICENCIAS DE ACCESO de usuario final o especial. Asignar los roles y/o perfiles a las LICENCIAS DE ACCESO Mantener actualizados los inventarios de sistemas informáticos y servidores con restricciones y procedimientos especiales. Diligenciar todos los documentos y formularios establecidos en las POLITICAS DE ADMINISTRACION DE USUARIOS. Administrar las herramientas de IAM en caso de que existan o de las herramientas informáticas existentes para realizar sus funciones. Llevar el control de los usuarios solicitados por entes externos, como proveedores de software así como monitorear el ingreso de usuarios externos en determinados periodos de tiempo Medidas complementarias Administración de licencias de usuario de un sistema informático El otorgamiento de LICENCIAS DE ACCESO corresponderá al DUEÑO DE DATOS, quien en delegación autoriza a OFITE la administración y control de dichas licencias. 64

66 Los usuarios funcionales expertos tendrán acceso al ambiente de producción con un perfil que permita la visualización y consulta en todo el ámbito del sistema, debiendo generar las pruebas en un ambiente de calidad; siendo responsabilidad de OFITE mantener una replica exacta de dicho ambiente al de producción. Es responsabilidad del Jefe de OFITE la autorización de accesos remotos o en sitio a nivel de consulta a terceros, cuando esto se requiera para la atención de incidentes específicos. Es responsabilidad de OFITE la correcta asignación de accesos para el personal técnico de esta Oficina, cuyas funciones le permitan desarrollar, dar mantenimiento y garantizar la seguridad de los sistemas de información. Los usuarios administradores del sistema realizaran tareas de administración técnica del sistema, la cual comprende labores de mantenimiento de hardware y software. Esto comprende la administración de la seguridad, licenciamiento, soporte técnico, actualizaciones y mantenimiento de plataforma, base de datos y operaciones tecnológicas. Este perfil es responsabilidad del Jefe de OFITE en su condición de administrador de plataforma tecnológica, tanto en las autorizaciones que contenga como en su asignación al funcionario Fase 4 Proponer plan de acción basado en el existente En este plan de acción se desgloso la manera en que la metodología puede llegar a ser implementada siguiendo los lineamientos de la Dirección General de la Policía Nacional, de igual manera se asignan supervisores para cada tarea a realizar dentro de la implementación de la metodología de análisis de vulnerabilidades. *Plan de acción detallado en un documento adjunto en Excel. 65

67 4 PRUEBAS Y RESULTADOS En este capítulo se relacionan las pruebas que se realizaron al final del proyecto con el fin de comprobar su eficacia. En el caso del desarrollo de este proyecto se busco adecuarlo a la misión y visión de la Oficina de Telemática de la Policía Nacional. 4.1 PRUEBAS Las pruebas se detallan a continuación y fue la forma verídica en la cual la metodología pudo ser probada en la Oficina de Telemática Sensibilizaciones Las capacitaciones o sensibilizaciones al personal de la Oficina de Telemática se realizaron de acuerdo a las disposiciones y lineamientos que dicta la Dirección General de la Policía Nacional y en esta medida se realizaron en la relación general. Es de vital importancia aclarar que se dio a conocer el proyecto llegando a cada una de las partes que intervienen en los procesos de la Oficina de Telemática y de esta manera se dio el aval a la metodología propuesta con el fin de implementarla. Las sensibilizaciones se trataron en el siguiente orden: Introducción a la definición de la metodología de análisis de vulnerabilidades. Se dio a conocer el modelo desarrollado exclusivamente para la Oficina de Telemática pero de igual manera se flexibiliza para cualquier dependencia de la Policía Nacional Evaluación de puertos y diagrama de flujo para analizar vulnerabilidades. 66

68 Se dio a conocer los puertos más utilizados por parte de los administradores de red y en su defecto se explico la forma de utilizarla la metodología para analizar vulnerabilidades en los diferentes puertos. Desarrollo del mapa de riesgos. Hemos diseñado el mapa de riesgos de acuerdo a las necesidades de la Oficina de Telemática. En un principio el Jefe de la oficina manifestaba la falta de integridad al momento de especificar el tratamiento que requería una vulnerabilidad latente y de esta manera se ha desarrollado la forma correcta de identificarlos, solucionarlos y en su defecto supervisarlos. Plan de acción. Se ha desarrollado el plan de acción para el año 2010 en el cual se cataloga las diferentes tareas a realizar asignando supervisores y objetivos a cumplir. En Anexos A (Anexo A-5) está el oficio en el cual se aprobaron las sensibilizaciones. 4.2 Resultados Los resultados obtenidos permiten, mediante la prueba específica, comprobar hasta qué punto se dio cumplimiento al proyecto, para de igual manera identificar las partes fundamentales en el avance o desarrollo del mismo Encuesta acerca del nivel de conocimiento del personal de la Oficina de Telemática acerca de administración e identificación de vulnerabilidades La encuesta de nivel de conocimiento del personal de la Oficina de Telemática acerca de administración e identificación de vulnerabilidades no se llevó a cabo en un principio ya que no existían antecedentes documentados en los cuales el 67

69 personal pudiera basarse para demostrar cierto conocimiento en este tema. Al terminar la pasantía se realizaron sensibilizaciones, al terminar este proceso se llevo a cabo la encuesta con la cual se determino el nivel de conocimiento acerca del proyecto realizado. En el Error! No se encuentra el origen de la referencia. se encuentra la ficha técnica de la encuesta realizada. La encuesta fue realizada a parte del personal de la oficina, entre los cuales se encuentran: Tabla 4 Personal encuestado Distribución Grupo Administración de Software y Centro de Computo Grupo Administración de la Infraestructura Telemática Personal 9 14 Grupo Calidad de la Información 3 Grupo Seguridad de la información 7 Grupo Proyección e implementación de Infraestructura Telemática Grupo Ciclo de Vida de la Información Grupo Soporte y Apoyo Administrativo

70 TOTAL 50 Cómo se tratan las vulnerabilidades que se presentan en la red de datos de la Oficina de Telemática de la Dirección General? De esta manera determinamos si el personal de la Oficina de Telemática tiene conocimiento acerca del formato gestor de cambios con el cual se debe avisar de cualquier vulnerabilidad en la red de datos. Tratamiento de vulnerabilidades Personas Se informa a los administradores de red 30 Se gestiona el formato gestor de cambios 14 Se trata la vulnerabilidad individualmente 3 Se llama al grupo de soporte técnico 0 No se realiza ninguna acción 0 Otros 3 TOTAL 50 69

71 Figura 9 Tratamiento de vulnerabilidades cuando se presentan Tratamiento de vulnerabilidades 28% 6% 0% 0% 6% 60% Informa a los Admisnitradores de Red= 60% Gestiona el Formato de Gestión de Cambios=28% Se trata la vulnerabilidad individualmente= 6% El 60% del personal no cumple con los lineamientos que dicta el grupo de seguridad, el cual es gestionar el formato gestor de cambios para informar, supervisar o solucionar vulnerabilidades que se detecten en los diferentes puestos de trabajo de la Oficina de Telematica. Quien se encarga de la administracion e identificacion de vulnerabilidades en la red de datos? Para un tratamiento correcto se debe tener claro cual es la dependencia encargada de atender las solicitudes cuando se identifica una vulnerabilidad en la red, de esta manera esta dependencia esta en capacidad de administrarla y gestionarla. Tabla 5 Encargados de la Administración e Identificación de las vulnerabilidades Encargados de la Administración e Identificación de las vulnerabilidades Personas 70

72 Administradores de red 22 Grupo de Seguridad de la Información 28 Personal de Soporte Técnico 0 Personal de Calidad de la Información 0 Grupo Administración de Software y Centro 0 de Computo TOTAL 50 Figura 10 Encargados de la administración e identificación de las vulnerabilidades Encargados de la Administración e Identificación de las vulnerabilidades 0% 0% 56% 44% Administradores de Red=44% El resultado es satisfactorio ya que los administradores de red y el Grupo de Seguridad de la Informacion son los encargados de la identificacion de las diferentes vulnerabilidades, de igual manera son los encargados de mantener actualizada la base de datos que brinda soporte tecnico en cuanto a la solucion de vulnerabilidades. 71

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 YEIMMY JULIETH GARZON CODIGO 2012250071 CLAUDIA MYLENA SUAREZ CODIGO

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

Descripción y alcance del servicio FAX IPLAN

Descripción y alcance del servicio FAX IPLAN Descripción y alcance del servicio FAX IPLAN 1. Introducción FAX IPLAN consiste en un servicio que permite recibir los faxes en forma personalizada por medio del e-mail y sin necesitar de instalar ningún

Más detalles

Consejo Superior Universitario Acuerdo 046 de 2009 página 2

Consejo Superior Universitario Acuerdo 046 de 2009 página 2 CONSEJO SUPERIOR UNIVERSITARIO ACUERDO 046 DE 2009 (Acta 15 del 1 de diciembre) Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones

Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones Procedimiento para la Gestión de la Infraestructura de Tecnologías de Información y Comunicaciones DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-13 ÁREA: Dirección de Planeación

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

RESOLUCIÓN No. 156/ 2008

RESOLUCIÓN No. 156/ 2008 RESOLUCIÓN No. 156/ 2008 POR CUANTO: El Decreto Ley No. 204 de fecha 11 de enero del 2000 cambió la denominación del Ministerio de Comunicaciones por el de Ministerio de la Informática y las Comunicaciones,

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) Sistema Unificado de Control en Tiempo Real - SUCTR: El sistema unificado de control en tiempo real, en adelante SUCTR, es un sistema de administración

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS CÓDIGO: APO4-P-001 FECHA DE VIGENCIA 25/Nov/2013 1. OBJETIVO Gestionar, brindar soporte y

Más detalles

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Resolución N 00759 del 26 de febrero de 2008

Resolución N 00759 del 26 de febrero de 2008 UNIDAD ADMINISTRATIVA ESPECIAL DE AERONÁUTICA CIVIL MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Denominación del empleo Profesional Aeronáutico IV Nivel 33 Grado 30 No.

Más detalles

Página 1 de 11. Vicerrectoría Asuntos Administrativos y Financieros Dirección Administrativa Tel: 3394949 Exts: 2203-2293 Bogotá D.C.

Página 1 de 11. Vicerrectoría Asuntos Administrativos y Financieros Dirección Administrativa Tel: 3394949 Exts: 2203-2293 Bogotá D.C. Vicerrectoría Asuntos Administrativos y Financieros Dirección Administrativa Tel: 3394949 Exts: 2203-2293 Bogotá D.C., Colombia Abril de 2009 Página 1 de 11 TABLA DE CONTENIDO 1. DEFINICIONES... 4 1.1

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE CAPACITACIÓN Versión 05 Diciembre 2008 INDICE Introducción... 3

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

La U.A.E.A.C. debe contar con el Software en producción y actualizado para:

La U.A.E.A.C. debe contar con el Software en producción y actualizado para: 1. DESCRIPCION DE LA NECESIDAD QUE LA ENTIDAD PRETENDE SATISFACER CON LA CONTRATACIÓN Para la Unidad Administrativa Especial de Aeronáutica Civil que ofrece servicios aeronáuticos, aeroportuarios, informáticos

Más detalles

PROCEDIMIENTO AUDITORÍAS INTERNAS

PROCEDIMIENTO AUDITORÍAS INTERNAS P-08-01 Marzo 2009 05 1 de 16 1. OBJETIVO Definir los lineamientos de planeación, documentación, ejecución y seguimiento de las Auditorías Internas de Calidad para determinar que el Sistema de Gestión

Más detalles

FORMATO PROCEDIMIENTOS Código

FORMATO PROCEDIMIENTOS Código Procedimiento: ADMINISTRACIÓN DE SERVIDORES Páginas 1 de 5 Acto Administrativo de FT-MIC-03-0 Solicitud de Creación, modificación o anulación de documentos aprobado el 13 de enero de 201 Elaboró Técnico

Más detalles

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos.

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos. NÚCLEO: Sector Comercio y Servicios SUBSECTOR: Informática y comunicación Nombre del Módulo: REDES total: 90 horas Objetivo General: Desarrollar conocimientos teóricos/prácticos para el diseño, configuración

Más detalles

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura

CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS. Vicepresidencia de Infraestructura CONDICIONES TÉCNICAS PARA SERVICIO ILUMINACIÓN ZONAS WIFI PARA CLIENTES CORPORATIVOS Vicepresidencia de Infraestructura Gerencia Planeación Infraestructura y Servicios TABLA DE CONTENIDO 1. OBJETIVO...

Más detalles

Titulo : Administración y Operación de Sistemas Operativos

Titulo : Administración y Operación de Sistemas Operativos DIRECCION NACIONAL DE ADMINISTRACION FINANCIERA E INNOVACION CÓDIGO : PRO -119 Titulo : Administración y Operación de Preparado por : Nombre : Lic. Ingrid Roxana Díaz Bran Cargo : Especialista en Aplicaciones

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Política de Continuidad del Negocio de BME Clearing

Política de Continuidad del Negocio de BME Clearing Política de Continuidad del Negocio de BME Clearing Contenido 1. Introducción 1 2. Objetivos globales de la Política de Continuidad 1 3. Alcance de la Política de Continuidad del Negocio de BME CLEARING

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos.

DIRECCIÓN GENERAL DE ADMINISTRACIÓN Y FINANZAS. Dirección de Informática. Políticas de uso y conservación de bienes informáticos. Pagina 1 de 5 INTRODUCCIÓN Dentro del FONAES, se tienen instalados un conjunto de recursos informáticos (computadoras personales, servidores, impresoras, programas, etc.) que son de gran importancia para

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope.

mope PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS Página 0 PASEO GENERAL MARTINEZ CAMPOS 20 28010 MADRID 91 752 79 59 www.mope.es info@mope. DENOMINACIÓN: Código: IFCT0609 Familia profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC303_3

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Autorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM

Autorizan ejecución de la Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

PROCEDIMIENTO GESTIÓN TICS

PROCEDIMIENTO GESTIÓN TICS . OBJETIVO Asesorar, preservar y mantener toda la infraestructura en tecnologías de la información y de comunicaciones en equipos de programas informáticos y medios de comunicación para reunir, almacenar,

Más detalles

Red de datos de la UAM Azcapotzalco Coordinación de Servicios de Cómputo

Red de datos de la UAM Azcapotzalco Coordinación de Servicios de Cómputo PREGUNTAS FRECUENTES 1. Qué cambio hay en la red de la Unidad Azcapotzalco? R. Para que la UAM Azcapotzalco, cuente con una red segura y eficiente, se realizaron actualizaciones internas en ésta: 1. Reorganización

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE EVALUACIÓN DE DESEMPEÑO Versión 05 Diciembre 2008 INDICE 1 Definición

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA

MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA MANUAL DE FUNCIONES DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA Guatemala, 2,007 CAMINOS ES DESARROLLO 1 I. FICHA TÉCNICA DEL DEPARTAMENTO DE INFORMÁTICA Y TECNOLOGÍA: 1.1 TITULO DE LA UNIDAD: Departamento

Más detalles

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI)

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) Referencia Guía para la elaboración del marco normativo- Creative common FINAL.doc Creación

Más detalles

PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM

PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM PROPUESTA PARA LA IMPLANTACIÓN DE LA NORMA UNE- ISO 20000EN EL GRUPO TECNOCOM Eduardo Álvarez, Raúl Blanco, Evelyn Familia y Marta Hernández. Pertenece el sector de la TI Es una de las cinco mayores compañías

Más detalles

POLITICA DE ADMINISTRACION DEL RIESGO

POLITICA DE ADMINISTRACION DEL RIESGO POLITICA DE ADMINISTRACION DEL RIESGO 2014 POLÍTICA DE ADMINISTRACIÓN DEL RIESGO DE LA COMISIÓN DE REGULACIÓN DE ENERGÍA Y GAS -CREG- La Comisión de Regulación de Energía y Gas, CREG, implementa como Política

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

REGLAMENTO SOBRE SEGURIDAD INFORMATICA

REGLAMENTO SOBRE SEGURIDAD INFORMATICA REGLAMENTO SOBRE SEGURIDAD INFORMATICA TITULO I OBJETIVOS Y ALCANCE ARTICULO 1: El presente Reglamento tiene por objeto establecer los principios, criterios y requerimientos de Seguridad Informática que

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

1.4.1.2 Beneficios del PGD para la Cámara de Comercio de Manizales por Caldas... 18

1.4.1.2 Beneficios del PGD para la Cámara de Comercio de Manizales por Caldas... 18 1 EL PROGRAMA DE GESTIÓN DOCUMENTAL... 5 1.1 CARÁTULA... 5 1.2 INTRODUCCIÓN... 6 1.3 LA CCMPC Y LA GESTIÓN DOCUMENTAL... 7 1.3.1 Reseña histórica de la CCMPC... 7 1.3.2 Organigrama... 10 1.3.3 Objeto de

Más detalles

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015 MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II VERSION: 5 CODIGO: GH-MN- FUN.REQ.COMP GESTION HUMANA FECHA: 11/May/2015 APROBADO MEDIANTE RESOLUCION

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Aranda 360 ENDPOINT SECURITY

Aranda 360 ENDPOINT SECURITY Tabla de contenido Product Architecture Product Architecture Introducción Ambiente Redesdetrabajo Configuraciones Políticas Servidores Componentes Agente Servidor Base de datos Consola Comunicación Consola

Más detalles

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar:

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar: COMITÉ DE AUDITORÍA ESTATUTO DEL COMITÉ DE AUDITORÍA 1. Marco referencia. La aplicación de cualquier otro tema no incluido en el presente Estatuto, se realizará con sujeción al Marco Internacional para

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

Manual de Funciones de Tecnología Informática

Manual de Funciones de Tecnología Informática Universidad Técnica Nacional Dirección de Gestión de Tecnologías de Información Manual de Funciones de Tecnología Informática Capítulo 2.Planificación y Organización. Norma 2.4 Independencia y Recursos

Más detalles

CAJA COSTARRICENSE DEL SEGURO SOCIAL. Política para la Organización de la Respuesta a Emergencias y Desastres

CAJA COSTARRICENSE DEL SEGURO SOCIAL. Política para la Organización de la Respuesta a Emergencias y Desastres CAJA COSTARRICENSE DEL SEGURO SOCIAL Política para la Organización de la Respuesta a Emergencias y Desastres Acuerdo de Junta Directiva: Articulo 15 de la sesión No. 8433 del 25 de marzo, 2010 1 CONSIDERANDOS

Más detalles

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC.

1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de TIC. 5.9 OPERACIÓN DE SERVICIOS 5.9.1 Operación de la mesa de servicios 5.9.1.1 Objetivos del proceso General: Establecer y operar un punto único de contacto para que los usuarios de los servicios hagan llegar

Más detalles

ANEXO N 2 FICHA TÉCNICA

ANEXO N 2 FICHA TÉCNICA ANEXO N 2 FICHA TÉCNICA OBJETO: SELECCIONAR AL OFERENTE QUE ENTREGUE A TÍTULO DE COMPRAVENTA, A LA PROCURADURÍA GENERAL DE LA NACIÓN, UN ADMINISTRADOR DE ANCHOS DE BANDA TIPO APPLIANCE PARA LOS ENLACES

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

TÉRMINOS Y CONDICIONES DE USO

TÉRMINOS Y CONDICIONES DE USO TÉRMINOS Y CONDICIONES DE USO El presente documento establece el debido uso de la información que la Empresa de Energía de Bogotá S.A. ESP. (en adelante EEB) publica en sus páginas WEB www.eeb.com.co y

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

PROGRAMA INSTITUCIONAL DE DESARROLLO ARCHIVÍSTICO DEL INSTITUTO TÉCNICO DE FORMACIÓN POLICIAL

PROGRAMA INSTITUCIONAL DE DESARROLLO ARCHIVÍSTICO DEL INSTITUTO TÉCNICO DE FORMACIÓN POLICIAL PROGRAMA INSTITUCIONAL DE DESARROLLO ARCHIVÍSTICO DEL INSTITUTO TÉCNICO DE FORMACIÓN POLICIAL 2015 INDICE CONTENIDO I. Introducción. II. Acciones Institucionales. II.1. Actualización del Comité Interno

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

MEMORANDO. No. 20141020061183 de 19-11-2014. CLAUDIA SAMARIS RODRÍGUEZ CONTRERAS Jefe División Servicios Administrativos

MEMORANDO. No. 20141020061183 de 19-11-2014. CLAUDIA SAMARIS RODRÍGUEZ CONTRERAS Jefe División Servicios Administrativos MEMORANDO No. 20141020061183 de 19-11-2014 Bogotá D.C., 19 de noviembre de 2014 PARA: CLAUDIA SAMARIS RODRÍGUEZ CONTRERAS Jefe División Servicios Administrativos DE: OFICINA DE PLANEACION, SISTEMAS Y DESARROLLO

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO

DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO DIRECCIÓN GENERAL DE CENTROS DE FORMACIÓN PARA EL TRABAJO Unidad de Proyectos Especiales Guía Técnico Normativa para el uso del equipo de cómputo y de los servicios de conectividad de la Dirección General

Más detalles

UNIVERSIDAD CENTRAL DE VENEZUELA CONSEJO UNIVERSITARIO Ciudad Universitaria de Caracas

UNIVERSIDAD CENTRAL DE VENEZUELA CONSEJO UNIVERSITARIO Ciudad Universitaria de Caracas EL DE LA UNIVERSIDAD CENTRAL DE VENEZUELA En uso de las atribuciones legales establecidas en el Artículo 26, Numeral 20 de la Ley de Universidades vigente, dicta las siguientes: POLÍTICAS PARA EL USO RACIONAL

Más detalles

Soporte a Usuarios y Administración de Sistemas de Redes Basados en Windows.

Soporte a Usuarios y Administración de Sistemas de Redes Basados en Windows. REPUBLICA BOLIVARIANA DE VENEZUELA UNIVERSIDAD DE CARABOBO FACULTAD DE CIENCIAS Y TECNOLOGÍA PASANTIA Soporte a Usuarios y Administración de Sistemas de Redes Basados en Windows. Elaborado por: Luis Esteban

Más detalles

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla

Más detalles

OBJETIVOS DE APRENDIZAJE

OBJETIVOS DE APRENDIZAJE PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

CARACTERIZACIÓN PROCESO EVALUACIÓN Y SEGUIMIENTO

CARACTERIZACIÓN PROCESO EVALUACIÓN Y SEGUIMIENTO Pág. 1 de 7 NOMBRE DEL PROCESO OBJETIVO DEL PROCESO ALCANCE (PROCESO O SUBPROCESO) LÍDER DEL PROCESO Instrumentos técnicos y cartillas de administración pública emitidos por el DAFP. Valorar en forma permanente

Más detalles