METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL AUTOR: CARLOS JOSÉ BARÓN DUQUEZ

Tamaño: px
Comenzar la demostración a partir de la página:

Download "METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL AUTOR: CARLOS JOSÉ BARÓN DUQUEZ"

Transcripción

1 METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL AUTOR: CARLOS JOSÉ BARÓN DUQUEZ Código: UNIVERSIDAD MILITAR NUEVA GRANADA FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA EN TELECOMUNICACIONES BOGOTÁ, ABRIL DE

2 METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL Autor: CARLOS JOSÉ BARÓN DUQUEZ Código: Libro final de pasantía presentado como requisito para optar por el título como Ingeniero en Telecomunicaciones DIRECTOR INTERNO: Ingeniero Carlos Omar Ramos Linares, M.Sc. DIRECTOR EXTERNO: Teniente Coronel Jairo Gordillo Rojas UNIVERSIDAD MILITAR NUEVA GRANADA FACULTAD DE INGENIERÍA PROGRAMA DE INGENIERÍA EN TELECOMUNICACIONES BOGOTÁ, ABRIL DE

3 Ingeniero Carlos Omar Ramos Linares, M.Sc. DIRECTOR INTERNO Ingeniero Edward Paul Guillen Pinto, M.Sc. JURADO Ingeniero Carlos Gilberto Delgado Beltrán, Esp. JURADO Bogotá DC., 15 de Marzo de

4 DEDICATORIA A mis padres por su incondicional apoyo y sabios consejos A mis hermanas por brindarme el apoyo y fortaleza A toda mi familia por ser incondicional Carlos Barón 4

5 AGRADECIMIENTOS A mis padres por brindarme su incondicional apoyo tanto económico y moral en las decisiones de mi vida, por la educación y el ejemplo que me han dado y por ser un modelo a seguir. A mi padre José del Carmen Barón Bernal por enseñarme el valor de las cosas, prestarme apoyo incondicional en las decisiones más difíciles de mi vida, brindarme sus sabios concejos y los valores que han hecho de mí una persona mejor. A mi madre Nelly Duquez Pérez por su entrega incondicional, su fortaleza, su paciencia, por hacerme feliz, por enseñarme que la dedicación nos permite alcanzar nuestras metas, por el esfuerzo para brindarme una buena educación, por ser mi soporte, y por enseñarme a ser una persona humilde y sencilla. A mis hermanas Angélica y Mónica que siempre me han apoyado, escuchado y ayudado queriendo siempre lo mejor para mi, por ser mi soporte en los diferentes obstáculos que se me han presentado, porque siempre han estado cuando las he necesitado. A mis sobrinitos Juan Pablo y María por hacerme reír y darme mucha felicidad, por alegrarme con sus juegos, y por esas tiernas expresiones que me llenan de orgullo y fuerza. A todos y cada uno de los ingenieros que compartieron sus conocimientos y me aconsejaron durante toda la carrera. A todos mis compañeros por brindarme diversión, apoyo, alegría y momentos memorables, que hicieron los tiempos difíciles más amenos. A la Universidad Militar por permitirme realizar como profesional. Y a todas y cada una de las personas que de una u otra manera contribuyeron a la realización del proyecto. 5

6 TABLA DE CONTENIDO 1 INTRODUCCIÓN TITULO PLANTEAMIENTO DEL PROBLEMA OBJETIVOS General Específicos ANTECEDENTES Locales Nacionales RESEÑA DE LA POLICÍA NACIONAL Oficina de Telemática MARCO TEÓRICO Normas y estándares ISO Vulnerabilidad Amenaza Información Servicios de procesamiento de información Seguridad de la información Tecnologías de la información Evento de seguridad de la información Incidente de seguridad de la información Riesgo

7 Análisis de riesgo Evaluación de riesgos Valoración del riesgo Gestión del riesgo Tratamiento del riesgo Tercera parte Evaluación de los riesgos de seguridad INGENIERIA DEL PROYECTO ESTADO DEL ARTE Administradores de red Centro de cómputo Puertos de acceso Usuarios REQUERIMIENTOS DE LA EMPRESA ESTUDIO DE LAS VARIABLES DE INGENIERÍA Estimación de la vulnerabilidad DESARROLLO DEL PROYECTO FASE 1 DOCUMENTACIÓN FASE 2 METODOLOGÍA DE UTILIZACIÓN DE LOS PUERTOS DE ACCESO 29 FASE 3 ANÁLISIS DE LA SEGURIDAD OPERATIVA FASE 4 PLAN DE ACCIÓN FASE 5 SENSIBILIZACIÓN FASE 1 Documentación

8 3.4.2 FASE 2 Evaluar la utilización y manejo de los puertos en cuanto a su apertura o cierre en transmisión de datos externa o interna en la Oficina de Telemática Fase 3 Clasificación de usuarios en la Oficina de Telemática de la Policía Nacional Fase 4 Proponer plan de acción basado en el existente PRUEBAS Y RESULTADOS PRUEBAS Sensibilizaciones Resultados Encuesta acerca del nivel de conocimiento del personal de la Oficina de Telemática acerca de administración e identificación de vulnerabilidades 67 Cómo se tratan las vulnerabilidades que se presentan en la red de datos de la Oficina de Telemática de la Dirección General? Metodología de análisis de vulnerabilidades CONCLUSIONES Y RECOMENDACIONES CONCLUSIONES RECOMENDACIONES BIBLIOGRAFÍA

9 LISTA DE FIGURAS Figura 1 Organigrama de la Policía Nacional Figura 2. Organigrama de la Oficina de Telemática Figura 3. Sistema de Gestión de la Protección Figura 4. Informes de seguridad Figura 5. Plan Metodológico por fases Figura 6. Mapa de riesgos (Tomado de la ISO 27001) Figura 7. Diagrama de flujo, análisis de puertos Figura 8. Mapa de usuarios Oficina de Telemática Policía Nacional Figura 9 Tratamiento de vulnerabilidades cuando se presentan Figura 10 Encargados de la administración e identificación de las vulnerabilidades Figura 11 Medio de notificación de las vulnerabilidades Figura 12 Conocimiento del Sistema de Gestión de la Protección Figura 13 Tiempo que tarda en identificarse una vulnerabilidad

10 LISTA DE TABLAS Tabla 1 Matriz de vulnerabilidades Tabla 2 Matriz de atención a vulnerabilidades Tabla 3 Estimación de la vulnerabilidad Tabla 4 Personal encuestado Tabla 5 Encargados de la Administración e Identificación de las vulnerabilidades 70 Tabla 6 Medio de notificación de las vulnerabilidades Tabla 7 Conocimiento del Sistema de Gestión de la Protección Tabla 8 Tiempo que tarda en identificarse una vulnerabilidad Tabla 9 Ejemplo de diligenciamiento de la matriz de vulnerabilidades Tabla 10 Matriz de impacto, ejemplo

11 1 INTRODUCCIÓN Detallando el comportamiento frecuente que se desarrolla en empresas que manipulan información de vital importancia para la seguridad nacional en un mundo globalizado en el cual la información forma parte de una cadena tecnológica que cotidianamente requiere atención y día a día se encuentra en permanente evolución en donde los análisis de vulnerabilidades hacen parte de la administración de las redes de datos, en especial, se centran en la confidencialidad, clasificación, integridad y autenticidad de la información. Es por esta razón que la red de datos de las diferentes empresas que soportan información confidencial deben tener en sus administradores de red una columna en la cual puedan basarse a la hora de reconocer vulnerabilidades por las cuales puedan llegar a ser atacados. La oficina de Telemática de la dirección de la Policía Nacional se encarga de brindar el servicio de telecomunicaciones a los diferentes departamentos en los cuales la Policía Nacional ejerce control institucional, de esta manera la Oficina de Telemática involucra procesos en los cuales se puede definir el tratamiento de la información (privilegios de usuario), modificación de la información y confidencialidad de la información y este trabajo es de vital importancia para la organización, ya que en la confidencialidad, clasificación, integridad y autenticidad de la información depende la credibilidad ante la opinión pública del país.

12 1.1 TITULO En la Oficina de Telemática de la Policía Nacional se viene implementando una serie de políticas de seguridad a nivel físico, lógico y administrativo. Todas estas políticas requieren de un completo análisis de vulnerabilidades con el fin de determinar acciones correctivas y preventivas. Por esta razón, el proyecto se titula: METODOLOGÍA DE ANÁLISIS DE VULNERABILIDADES PARA LA RED DE DATOS EN LA DIRECCIÓN DE TELEMÁTICA DE LA POLICÍA NACIONAL. 1.2 PLANTEAMIENTO DEL PROBLEMA La Oficina de Telemática de la Policía Nacional de Colombia maneja información de vital importancia para la seguridad nacional de nuestro país, de igual manera coordina los servicios de comunicaciones para cada una de sus dependencias. La cantidad de ataques a esta información ha hecho que también aumenten las vulnerabilidades en todos los niveles, lo que ha ocasionado la preocupación por parte del director de telemática, el cual manifiesta su inquietud en cuanto al conocimiento interno del manejo de ciertas vulnerabilidades las cuales se conocen pero no se tienen herramientas metodológicas para solucionarlas. Desde el punto de vista de la Ingeniería en Telecomunicaciones, estas situaciones requieren la evaluación de los siguientes aspectos: medidas de control, mapa de riesgos, clasificación de los usuarios, unificación de políticas en cuanto al manejo interno de la información y el aseguramiento de los recursos de la compañía (en este caso la PONAL es la compañía). 1.3 OBJETIVOS Las metas propuestas para este proyecto están dividas en un objetivo general y tres específicos. 11

13 1.3.1 General Caracterizar y prevenir vulnerabilidades en la red de datos de la dirección de telemática de la Policía Nacional Específicos Documentar las políticas actuales de acceso a la información en la Oficina de Telemática. Evaluar la utilización y manejo de los puertos en cuanto a su apertura o cierre en transmisión de datos externa o interna en la Oficina de Telemática. Analizar la seguridad operativa en cuanto a usuarios y tratamiento de la información. Proponer plan de acción basándome en el existente. Diseñar e implementar una estrategia de sensibilización para el personal de la dirección de telemática. Documentar el proceso de políticas actuales si ya están y diseñar un manual de procedimientos con políticas innovadoras. 1.4 ANTECEDENTES A continuación relaciono una serie de antecedentes en donde han realizado proyectos afines al área en la cual voy a incursionar. 12

14 1.4.1 Locales En el año 2008 el Ingeniero Juan Camilo Méndez Sánchez propuso el desarrollo de soporte de servicios para la Oficina de Telemática de la Policía Nacional abriendo las puertas al desarrollo de tecnologías de información (específicamente ITIL) [1] En el año 2009 el Ing. Laureano Amado se encargo de tomar la información y crear una base de datos para crear una mesa de ayuda y así gestionar información de manera rápida y eficaz. [1] En el año 2009 el Ing. Oscar Camilo Álvarez hizo un estudio a las políticas de seguridad que se manejaban en la Oficina de Telemática. [8] Nacionales En el año 2005 en la Pontificia Universidad Javeriana (sede Bogotá, Colombia) los estudiantes Daniel Santiago Garzón, Juan Carlos Ratkovich Gomes y Alejandra Vergara Torres bajo la dirección de la Ing. María Isabel Serrano crearon un documento en el cual desarrollaron metodologías de análisis de vulnerabilidades para empresas de media y pequeña escala en el cual plantean diferentes estrategias para desarrollar políticas de integración en la seguridad informática en redes de datos. [2] 1.5 RESEÑA DE LA POLICÍA NACIONAL La Policía Nacional de Colombia fue fundada mediante decreto de 1891 con el fin de brindarle seguridad a la capital de Colombia, en el año 1898 pasa a depender directamente del ministerio de gobierno y su pie de fuerza lo conformaban 300 gendarmes. Ya que Colombia requería de un cuerpo armado que salvaguardara la seguridad de sus ciudadanos, en el año 1953 pasa a 13

15 depender del ministerio de guerra como cuarto componente de las Fuerzas Armadas (FF.AA.). El 4 de noviembre de 1915 la 41 define que la Policía Nacional tiene por objeto primordial conservar la tranquilidad pública en la capital de la república y en cualquier punto donde deba ejercer sus funciones; como son proteger las personas, propiedades y prestar el auxilio que reclamen la ejecución de las leyes y las decisiones del poder judicial. Desde 1960 hasta la fecha, la Policía Nacional de Colombia pasa a depender directamente del ministerio de defensa nacional y en 1991, con la constitución política, la integra como parte de la fuerza pública, define su naturaleza civil y su misión. Figura 1 Organigrama de la Policía Nacional 14

16 En la Figura 1, se observa la estructura orgánica de la Policía Nacional de Colombia que se establece mediante el decreto N 4222 del 23 de Noviembre de 2006 en el cual se modifica la estructura del ministerio de defensa y modifica a su vez el decreto N 049 de [3] Oficina de Telemática Ya que la Policía Nacional es una entidad pública que requiere mantener servicios comunicaciones a prueba de fallas y en constante funcionamiento, la Oficina de Telemática tiene como misión asesorar y promover el desarrollo tecnológico de la institución en las áreas de informática y telecomunicaciones a través de la investigación, implementación, administración y soporte, con el fin de estandarizar los procedimientos e innovar la infraestructura telemática para apoyar la gestión policial. [4] De igual manera la Oficina de Telemática proyecta sus acciones en la cual la visión contempla: la oficina de telemática brindara soporte al sistema integral de telecomunicaciones e informática, sustentada en la actualización permanente de su talento humano y del avance tecnológico, en procura de la seguridad y tranquilidad pública. Para cumplimiento de la misión y la visión la Oficina de Telemática se encuentra organizada de manera jerárquica por el siguiente organigrama: 15

17 Figura 2. Organigrama de la Oficina de Telemática. En la Figura 2, se observa la estructura orgánica de la Oficina de Telemática de la Policía Nacional de Colombia que se establece mediante la resolución No del 15 de Junio del [5] 16

18 2 MARCO TEÓRICO En este capítulo se relacionaran conocimientos que son necesarios para el avance y consecución del proyecto, de igual manera se fijara la base en la cual se guiara el proyecto. Este capítulo está dividido en dos partes; el marco teórico conceptual en donde se afronta los conceptos generales y el marco teórico referencial en donde se contextualiza con base a los temas específicos del proyecto. En este punto se aclararan algunos conceptos claves los cuales ayudaran al desarrollo del proyecto y su comprensión sea más simple Normas y estándares ISO La ISO (International Organization Standardization) es el organismo facultado para promover el progreso de pautas y recomendaciones internacionales de manufactura, comercio y comunicación para todas las ramas industriales a excepción de la electrónica y la eléctrica. Su función principal es la de buscar la estandarización de normas en productos y seguridad para las empresas u organizaciones a nivel internacional. La ISO es una red de los institutos de normas nacionales de 160 países, sobre la base de un miembro pos país, con secretaria general en Ginebra (Suiza), que coordina la organización. Está compuesta por delegaciones gubernamentales y no gubernamentales subdividas en una serie de subcomités encargados de desarrollar las recomendaciones y normas que contribuirán al mejoramiento. [6] ISO es una organización no gubernamental que forma un puente entre los sectores publico y privado. Por un lado, muchos de sus miembros forman parte en la estructura gubernamental de sus gobiernos o tienen el mandato en el gobierno. 17

19 Por otra parte, algunos miembros tienen su plusvalía en el sector privado y es esto lo que la hace que la hizo satisfaga los requisitos del sector público o privado.[7] Vulnerabilidad Grupo de activos en una organización que al tener debilidades pueden llegar a ser aprovechadas por ciertas amenazas. Vulnerabilidad Grupo de activos en una organización que al tener debilidades pueden llegar a ser aprovechadas por ciertas amenazas. Vulnerabilidades físicas: son los puntos frágiles de orden físico que intervienen para que el ambiente donde se maneja la información no sea el adecuado. Ejemplos de principales vulnerabilidades físicas: Instalaciones inadecuadas de trabajo. Falta de elementos en caso de incendios. Desorden en cableado eléctrico y de red. Falta de identificación de personal. Vulnerabilidades naturales: Son las condiciones de la naturaleza que afectan, colocan en riesgo la información. La amenazas naturales se deben tener en cuanta antes de tomar la decisión de realizar un proyecto en una instalación, ya que primero se deben identificar que vulnerabilidades que tiene la instalación para poderse proteger antes de realizar cualquier acción. Ejemplos de principales vulnerabilidades naturales: Humedad, polvo, contaminación. Instalaciones sin protección contra incendios. 18

20 Instalaciones cercanas a ríos, afluentes de agua, quebradas, propensas a inundaciones. Infraestructura frágil a la hora de presentarse terremotos, maremotos, huracanes. Vulnerabilidades de hardware: las configuraciones de los equipos que coloquen en riesgo a la organización, fallas de fabricación y funcionamiento. Ejemplos de principales vulnerabilidades físicas: Falta de actualización de equipos por parte del propietario. Baja vida útil por mala conservación de los equipos. Falta de configuración de respaldo. Falta de quipos de contingencia. Vulnerabilidades de software: la falta de seguridad y puntos débiles de las aplicaciones utilizadas por la organización que permitan el ingreso de personas no autorizadas a los activos. Ejemplos de principales vulnerabilidades de software: Configuración indebida de programas de computadora. Instalación inadecuada de aplicaciones de computadora. Editores de texto que ejecuten virus. Lectores de . Navegadores de páginas web indebidas. Vulnerabilidades de medios de almacenamiento: son todos los medios magnéticos utilizados por la empresa para almacenar la información, mediante soportes físicos. Ejemplos de principales vulnerabilidades de medios de almacenamiento: Falta de conocimiento para la utilización de estos medios de almacenamiento. Falta de conocimiento de la validez y caducidad. 19

21 Defecto de fabricación. Uso incorrecto. Instalaciones inadecuadas para su almacenamiento. Vulnerabilidades de comunicación: es el punto frágil en el trasporte de la información ya sea vía cable, satélite, fibra óptica ondas de radios, etc. Siempre se debe garantizar la seguridad de la información mientas esta viaja. Ejemplos de principales vulnerabilidades de comunicación: Fallas en el medio de trasporte. La información puede ser alterada durante su trasporte. La información no llegue a su destino, por interceptación. Falta de sistemas de encriptación de la información. Vulnerabilidades humanas: son las fallas causadas por el personal de la empresa y que pueden afectar la seguridad de la información, las fallas humanas pueden ser intencionales o no, la cusa más frecuente de fallas es el desconocimiento por parte del personal. Ejemplos de principales vulnerabilidades humanas: Falta de capacitación al personal de la organización. Falta de conciencia por parte del personal a nivel de seguridad. Vandalismo. Estafas. Invasiones Amenaza Causa potencial de un incidente no deseado, que puede ocasionar daño a un sistema u organización. 20

22 2.1.4 Información La información es un conjunto de datos procesados ya se de tipo visual, auditivo, táctil, tangible o intangible entre otros, que organizados de forma tal constituyen un mensaje sobre algún tipo de acontecimiento o fenómeno, dicho conjunto de datos tiene como propósito informar a uno o varios destinatarios, la información puede ser transmitida de manera gestual, táctil, visual y textual Servicios de procesamiento de información Cualquier servicio, infraestructura o sistema de procesamiento de información o los sitios físicos que los albergan Seguridad de la información Preservación de la confidencialidad, integridad y disponibilidad de la información, además, otras propiedades tales como autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas. Figura 3. Sistema de Gestión de la Protección 21

23 2.1.7 Tecnologías de la información En un mundo globalizado donde la información hace parte del diario vivir en redes de datos, es de importancia definir las mejores prácticas para el tratamiento, dominio, seguridad y accesibilidad en las diferentes áreas de trabajo que tiene una empresa. De igual manera Harvey Brooks y Daniel Bell definen las tecnologías de la información como el uso de un conocimiento científico para especificar los modos de hacer las cosas de una forma reproducible, es decir, es el modo de describir, divulgar y concebir conocimiento a través de las formas, además se encarga de construir sociedades con un ámbito tecnológico especializado, con la madures y creación de nuevas formas de comunicación y aprendizaje Evento de seguridad de la información Es la presencia identificada de un estado del sistema, del servicio o de la red que indica un posible incumplimiento de la política de seguridad de la información, una falla de controles o una situación previamente desconocida que puede ser pertinente para la seguridad Incidente de seguridad de la información Esta indicado por un solo evento o una serie de eventos inesperados o no deseados de seguridad de la información que tienen una probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información Riesgo Combinación de la probabilidad de un evento y sus consecuencias. 22

24 Análisis de riesgo Uso sistemático de la información para identificar las fuentes y estimar el riesgo Evaluación de riesgos Todo proceso de análisis y valoración del riesgo Valoración del riesgo Proceso de comparación del riesgo estimado frente a criterios de riesgo establecidos para determinar la importancia del riesgo Gestión del riesgo Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo. En el caso específico de la Oficina de Telemática de la Policía Nacional se tomo el mapa de riesgos que aparece en la Figura 6, la ISO define este mapa de riesgos en la recomendación para tratamiento, seguridad y análisis de la información Tratamiento del riesgo Proceso de selección e implementación de medidas para modificar el riesgo Tercera parte Persona u organismo reconocido por ser independiente de las partes involucradas, con relación al asunto en cuestión. 23

25 Evaluación de los riesgos de seguridad En las evaluaciones de riesgos identificamos, cuantificamos y priorizamos los diferentes riesgos, esto se hace con el fin de medir el grado de aceptación del riesgo y los objetivos que se deberían tener en cuenta en la organización. Figura 4. Informes de seguridad Para determinar las diferentes vulnerabilidades y riesgos en la red de datos de la Oficina de Telemática de la Policía Nacional es necesario que el comité de seguridad este en permanente contacto con los administradores de red. Los informes de seguridad brindan capacidad de reacción ante el peligro y además crean una base de datos para posteriores ataques en la red. 24

26 3 INGENIERIA DEL PROYECTO A continuación relacionaremos la información de ingeniería en cuanto al estado actual en la dirección de Telemática con relación a metodologías en análisis de vulnerabilidades, de igual manera observáremos las variables de ingeniera que intervinieron en el desarrollo del proyecto, de esta manera determinaremos la metodología, la cual pueda ser adoptada y desarrollada en la OFITE. 3.1 ESTADO DEL ARTE Los procesos realizados por los administradores de la red y el comité de seguridad en la OFITE de la dirección de Telemática de la Policía Nacional se encuentran actualmente organizados de la siguiente manera Administradores de red Son las personas encargadas de gestionar, mantener y resolver los problemas técnicos, telemáticos e informáticos que se presentan en el backbone de la Policía Nacional. En la actualidad hay dos personas encargadas de cumplir las funciones de administradores de la red en la Policía Nacional, estas dos personas están capacitadas para resolver cualquier tipo de problema o incidente que se presente, ya sea un riesgo latente o una amenaza constante. En el caso de prevención de vulnerabilidades informáticas la Oficina de Telemática cuenta con administradores de antivirus y firewall, de igual manera poseen un software de detección de eventos anormales en el direccionamiento IP Centro de cómputo Es un área determinada que centraliza la mayoría de procesos relacionados con las tecnologías de la información y es donde se desarrollan aspectos de gestión 25

27 de red de manera remota, de esta manera se asignan los diferentes privilegios de administración en los diferentes servicios Puertos de acceso Es la interfaz por donde se escucha y se gestiona tráfico con la ayuda de los diferentes protocolos asignados para cada puerto Usuarios Individuo que utiliza habitualmente un bien o servicio. 3.2 REQUERIMIENTOS DE LA EMPRESA Para el proyecto de crear una metodología de análisis de vulnerabilidades en la Oficina de Telemática de la Policía Nacional tuve en cuenta varios aspectos, que en su defecto se establecieron como requerimientos de la organización. El primer requerimiento por parte de los administradores de red fue un estudio y posterior evaluación de los puertos de acceso en los servidores y router de borde, de igual manera se planteo la creación de una metodología para su análisis en caso de presentarse alguna amenaza. Se requería de la creación de un mapa de riesgos en donde se detallara específicamente el tipo de tratamiento al que se podía someter las diferentes vulnerabilidades conocidas y desconocidas dentro de la red de datos de la Oficina de Telemática de la Policía Nacional. Manifestaron el requerimiento de un manual en cuanto a privilegios para los diferentes usuarios que componen el grupo de infraestructura de Telemática. 26

28 La información que se maneja en la Oficina de Telemática es de interés nacional y por lo tanto es de vital importancia para la seguridad nacional. El comité de seguridad, el cual se está estableciendo, será el encargado de la creación de políticas de seguridad en cuanto a tratamiento de la información. Toda la información a la que tengo acceso no debe salir de las instalaciones de la Oficina de Telemática, de igual manera no podrá ser expuesta a terceros o personas ajenas a la Institución, en consecuencia se firmo un compromiso de confidencialidad entre las dos partes. Se entregara un plan de acción. Por último la Oficina de Telemática ha solicitado que se realicen sensibilizaciones al personal adscrito con el fin de darle seguimiento al proceso iniciado. Estas sensibilizaciones tendrán como objetivo mostrar el proyecto que se realizo de manera tal que el personal interesado lo implemente en un futuro. 3.3 ESTUDIO DE LAS VARIABLES DE INGENIERÍA Teniendo en cuenta que es un proyecto dirigido a la administración de redes y seguridad informática se consideraron las siguientes variables de Ingeniería Estimación de la vulnerabilidad Tomamos la probabilidad de ocurrencia de la vulnerabilidad y la multiplicamos por el impacto sobre el servicio de telecomunicaciones que se está afectando para obtener un valor numérico entero el cual ubicaremos en la Tabla 3 Estimación de 27

29 la vulnerabilidad y con ayuda de la metodología se tomara las acciones pertinentes para atender la vulnerabilidad. Probabilidad de la vulnerabilidad Impacto sobre el servicio de Telecomunicaciones 3.4 DESARROLLO DEL PROYECTO En el desarrollo del proyecto se mostraran los procedimientos realizados que ayudaron que ayudaron a la evaluación de puertos, clasificación de usuarios, tratamiento de la información y plan de acción en la Oficina de Telemática de la Policía Nacional Figura 5. Plan Metodológico por fases. Docume ntación Evaluaci ón de puertos Clasifica ción de usuarios Docume ntación final del proceso metodol Sensibiliz ógico ación Plan de acción A continuación se muestra el desarrollo del proyecto el cual se perfecciono a medida que las fases se iban cumpliendo, esto asegura la consecución del cronograma y así mismo del proyecto. 28

30 FASE 1 DOCUMENTACIÓN Paso 1. Consultar a expertos. Paso 2. Bibliografía. Paso 3. Infografía. FASE 2 METODOLOGÍA DE UTILIZACIÓN DE LOS PUERTOS DE ACCESO Paso 1. Recolectar información de cómo se utilizan los puertos de acceso actualmente. Paso 2. Determinar si la OFITE tiene políticas en cuanto a su utilización; apertura y cierre en transmisión de datos externa o interna en la OFITE. Paso 3. Optimizar las políticas actuales en cuanto a su uso. Paso 4. Proponer nuevas políticas de utilización de puertos. FASE 3 ANÁLISIS DE LA SEGURIDAD OPERATIVA Paso 1. Cantidad de usuarios. Paso 2. Privilegios de los usuarios. FASE 4 PLAN DE ACCIÓN Paso 1. Evaluar el plan de acción existente. Paso 2. Documentar el plan de acción mediante la consulta con cada uno de los integrantes del grupo de telemática de la PONAL. Paso 3. Proponer un plan de acción eficaz y consecuente con las políticas actuales de la dirección de telemática. FASE 5 SENSIBILIZACIÓN Paso 1. Sensibilizar a un grupo de la OFITE por medio de capacitaciones en la importancia de las metodologías en el análisis de vulnerabilidades. 29

31 Fase 6: MANUAL DE PROCEDIMIENTO Paso 1. Entrega del proyecto Paso 2. Socialización del desarrollo del proyecto en sustentación publica en la Universidad Militar Nueva Granada FASE 1 Documentación. Las políticas definidas en la Oficina de Telemática de la Policía Nacional rigen a todos los funcionarios públicos, contratistas, pasantes y otras personas relacionadas con terceras partes que utilicen la plataforma tecnológica y los diferentes servicios a los que se accede interna o de manera externa en la organización. Política 1: Acceso a la información Los funcionarios públicos, contratistas y pasantes que laboran para la Policía Nacional deben tener acceso solo a la información necesaria para el desarrollo de sus actividades. En el caso de que personas ajenas a la Oficina de Telemática requieran de privilegios especiales, deberán ser autorizados por el director de la oficina mediante oficio, previa justificación. El otorgamiento de acceso a la información está regulado mediante las normas y procedimientos definidos para tal fin. Todos los privilegios para el uso de los sistemas de información de la organización deben terminar inmediatamente después de que el trabajador cesa de prestar sus servicios a la Entidad. Proveedores o terceras personas solamente deben tener privilegios durante el periodo del tiempo requerido para llevar a cabo las funciones aprobadas. 30

32 Para dar acceso a la información se tendrá en cuenta la clasificación de la misma al interior de la organización, la cual deberá realizarse de acuerdo con la importancia de la información en la operación normal de la misma. Mediante el registro de eventos en los diversos recursos informáticos de la plataforma tecnológica se efectuará un seguimiento a los accesos realizados por los usuarios a la información de la organización, con el objeto de minimizar el riesgo de pérdida de integridad de la información. Cuando se presenten eventos que pongan en riesgo la integridad, veracidad y consistencia de la información se deberán documentar y realizar las acciones tendientes a su solución. Política 2: Seguridad de la información Los funcionarios públicos, contratistas, y pasantes de la Oficina de Telemática de la Policía Nacional son responsables de la información que manejan y deberán cumplir los lineamientos generales y especiales dados por la Dirección General, por la Ley para protegerla y evitar pérdidas, accesos no autorizados, exposición y utilización indebida de la misma. Se abstendrán de suministrar información a entes externos sin importar la jerarquía, a menos que exista la autorización correspondiente. Todo funcionario que utilice la plataforma tecnológica y los servicios tecnológicos disponibles, tiene la responsabilidad de velar por la integridad, confidencialidad, disponibilidad y confiabilidad de la información que maneje, especialmente si dicha información está protegida por reserva legal o ha sido clasificada como confidencial y/o crítica. 31

33 Después de que el funcionario, contratista o pasante deja de prestar sus servicios a la Oficina de Telemática de la Policía Nacional, éste se compromete a entregar toda la información respectiva de su trabajo realizado al interventor, supervisor, Coordinador o jefe inmediato según sea el caso, y avala el recibido de la información para el respectivo paz y salvo del funcionario retirado. Una vez retirado el funcionario, contratistas, y pasantes deben comprometerse a no utilizar, comercializar o divulgar la información generada o conocida durante la gestión en la organización, directamente o través de terceros, así mismo, los funcionarios públicos que detecten el mal uso de la información están en la obligación de reportar el hecho al grupo de control interno disciplinario o en su defecto a la Inspección General de la Policía Nacional Como regla general, la información de políticas, normas y procedimientos de seguridad se deben revelar únicamente a funcionarios y entes externos que lo requieran, de acuerdo con su competencia y actividades a desarrollar según el caso respectivamente. Política 3: Seguridad en los servicios tecnológicos Administración de usuarios: Establece como deben ser utilizadas las claves de ingreso a los servicios tecnológicos. Establece parámetros sobre la longitud mínima de las contraseñas, la frecuencia con la que los usuarios deben cambiar su contraseña y los períodos de vigencia de las mismas, entre otras. Rol de Usuario: Los sistemas operacionales, bases de datos y aplicativos deberán contar con roles predefinidos o con un módulo que permita definir roles, definiendo las acciones permitidas por cada uno de estos. Deberán permitir la asignación a 32

34 cada usuario de posibles y diferentes roles. También deben permitir que un rol de usuario administre el de la Administración de usuarios. Las Puertas Traseras: Las puertas traseras son entradas no convencionales a los sistemas operacionales, bases de datos y aplicativos. Es de suma importancia aceptar la existencia de las mismas en la mayoría de los sistemas operacionales, bases de datos, aplicativos y efectuar las tareas necesarias para contrarrestar la vulnerabilidad que ellas generan. [ ALVAREZ, Oscar Camilo. Estudio de factibilidad a las políticas de seguridad de la información según recomendación ISO en la Oficina de Telemática de la Policía Nacional: Políticas de Seguridad para la OFITE. Bogotá, Colombia, p Trabajo de grado (Ingeniero en Telecomunicaciones). Universidad Militar Nueva Granada. Facultad de Ingeniería. Programa Ingeniería de Telecomunicaciones. En Anexos A (Anexo A-1) se encuentra el oficio en el cual la Oficina de Telemática tuvo conocimiento FASE 2 Evaluar la utilización y manejo de los puertos en cuanto a su apertura o cierre en transmisión de datos externa o interna en la Oficina de Telemática. 22 (TCP) The Secure Shell (SSH) Protocol. [10] 25 (TCP) Simple Mail Transfer Protocol (SMTP). [11] 53 (TCP) Domain Name Server (DNS). [12] 53 (UDP) Domain Name Server (DNS). 33

35 80 (TCP) WEB ESTANDAR, World Wide Web HTTP. [13] 88 (TCP) Kerberos. [14] 110 (TCP) Post Office Protocol - Version 3 (POP3). [15] 139 (TCP) NETBIOS Session Service. [16] 389 (TCP) Lightweight Directory Access Protocol. [17] 443 (TCP) WEB ESTANDAR, World Wide Web HTTP. [13] 445 (TCP) MICROSOFT-DS. 636 (TCP) ldap protocol over TLS/SSL (was sldap). [18] 1720 (TCP) H323 hostcall (H323). [19] 7777 (TCP) APLICACIONES WEB (HTTP), CBT. [20] 7778 (TCP) APLICACIONES WEB (HTTP), CBT. [20] 8080 (TCP) Web (PROXY) (UDP) VoIP (Telefonía IP): Se utiliza esta cantidad de puertos ya que CISCO lo estandarizo de esta manera. El protocolo H323 establece una conexión al call manager y este brinda la autorización para que las partes que intervienen comiencen a negociar, en caso de utilizar pocos puertos para el tráfico de llamadas el servidor no tendría la capacidad de responder y presentaría latencia en comunicaciones simultáneas en cada una de las extensiones configuradas previamente. En principio se podría pensar que tener esta cantidad de puertos abiertos expone a la organización a vulnerabilidades, pero de acuerdo al mapa de riesgos que se encuentra en la Figura 6 esta vulnerabilidad se debe aceptar, y en efecto, mitigarlo al mínimo. 34

36 La Oficina de Telemática de la Policía Nacional cuenta con dos personas capacitadas en el área de sistemas informáticos y configuración de redes las cuales se encargan de manipular la apertura o cierre de cada uno de los puertos. Inicialmente, la apertura y cierre de estos puertos se realizaba de acuerdo a criterios de seguridad individuales y a necesidades de la administración y gestión del momento o del día a día, pero con la implementación del comité de seguridad se han creado políticas orientadas al seguimiento, control y posterior evaluación que se le debe hacer a la manipulación de estos puertos [9]. En Anexos A (Anexo A-2, Anexo A-3 y Anexo A-4) está el oficio en el cual se evaluaron los puertos y de igual manera se hizo entrega del manual de evaluación de puertos, el cual incluye mapa de riesgos. El comité de seguridad aprueba la apertura o cierre de los puertos previa solicitud escrita y debidamente justificada. El comité analiza si la apertura o cierre de los puertos es viable y toma la decisión la cual es transmitida a los administradores de red de la Oficina de Telemática de la Policía Nacional para que realicen la actividad correspondiente. La apertura y cierre de puertos de acceso en la red por parte de la Oficina de Telemática de la Policía Nacional en transmisión de información saliente o información entrante debe ser previamente autorizada por el comité de seguridad (recomendación ISO ) que evaluará los riesgos existentes y en qué tipo de tratamiento se podría clasificar. De acuerdo al siguiente mapa de riesgos se podrán especificar las diferentes vulnerabilidades que en su defecto serian potenciales amenazas. 35

37 Figura 6. Mapa de riesgos (Tomado de la ISO 27001). Planificar: Es la fase en que se tienen que cubrir de manera teórica cada una de las vulnerabilidades conocidas en los diferentes sistemas, en este caso las vulnerabilidades en los puertos de servidores y routers de borde, los cuales puedan ser atacados accediendo a la red internamente o de manera externa. Alcance: En función de características del negocio, organización, localización, activos y tecnología, definir el alcance (es recomendable empezar por un alcance limitado). Política: Lineamientos claros en cuanto al uso de puertos en los servidores y routers de borde. Que incluya marco general y los objetivos de la seguridad de la información de la organización. Metodología: Manual de procedimientos. 36

38 Identificar y analizar: Es la fase en la cual se gestiona de manera rápida y eficaz el inventario de activos y se identifican vulnerabilidades o en su defecto potenciales amenazas. Identificar Activos: Todos aquellos activos de la información que tienen algún valor para la organización. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario. Análisis y evaluación de vulnerabilidades: Valorar el detrimento proveniente de un fallo de seguridad (de tal manera que una amenaza derive en una vulnerabilidad) y la perspectiva de ocurrencia del fallo; evaluar el nivel de riesgo resultante y establecer si el riesgo es aceptable o requiere tratamiento. Analizar y evaluar la relación costo/beneficio: Determinar el costo financiero para la organización y de este modo analizar si el beneficio está de acuerdo a las políticas financieras, de lo contrario el riesgo se acepta o se evita. Dirección: Descubrimiento constante de no conformidades o acciones de mejora Decidir tratamiento de la vulnerabilidad: Identificar las acciones, recursos, responsabilidades y prioridades en la gestión de riesgos de seguridad de la información. Aceptar vulnerabilidad residual: Al aceptar un riesgo se genera un riesgo residual, aun después de haber aplicado controles (el riesgo cero prácticamente no existe). De igual manera esto 37

39 deberá ser tenido en cuenta en caso de que se presente un nuevo incidente de seguridad. Mitigar vulnerabilidad: Invertir en infraestructura para la seguridad de la información, cumplimiento de las políticas de seguridad, aplicación de controles informáticos y formación constante a los funcionarios involucrados. Seleccionar Controles: Política de seguridad, organización de la información de seguridad, administración de recursos, seguridad de los recursos humanos, seguridad física y del entorno, administración de las comunicaciones y operaciones, control de accesos, adquisición de sistemas de información, desarrollo y mantenimiento, administración de los incidentes de seguridad, administración de la continuidad del negocio, cumplimiento (legales, de estándares, técnicas y auditorias). (ISO : Los controles). Seleccionar SOA (Statement of Applicability - Declaración de Aplicabilidad): Es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y su respectiva justificación, los objetivos de control y controles que han sido excluidos y los motivos de su exclusión. En pocas palabras son las decisiones aplicables para el tratamiento de un riesgo. Implantar: Implantar las anteriores fases con el fin de alcanzar los objetivos propuestos en la metodología de Análisis de vulnerabilidades. 38

40 Transferir vulnerabilidad: En el caso en que la organización no tenga la capacidad de solucionar el incidente de seguridad deberá recurrir a terceros, pero en este caso la responsabilidad la asume la organización involucrada. Seguros Proveedores Aceptar vulnerabilidad: Es lo menos recomendable pero hay casos en los que la vulnerabilidad se hace inmune y debemos recurrir a aceptarlo dentro de la organización, en este caso es recomendable evitarlo. Evitar vulnerabilidad: Cese de la actividad que origina la vulnerabilidad. Para clasificar la vulnerabilidad se debe diligenciar el formato de la matriz de vulnerabilidades la cual nos guiara a la matriz de clasificación de vulnerabilidades para determinar la probabilidad y el impacto que tendrá sobre los servicios de telecomunicaciones que brinda la Oficina de Telemática de la Policía Nacional. Tabla 1 Matriz de vulnerabilidades Actividad: Proceso: Área: Tipo de Descripción de Consecuencias (I) (P) Controles Descripción del Afectación Acciones Responsables vulnerabilidad la vulnerabilidad existentes control equilibrio económico 39

41 (I): Impacto (P): Probabilidad de ocurrencia A: Alto M: Medio B: Bajo De esta manera identificamos el tipo de vulnerabilidad diligenciando el formato de la Tabla 1 con el fin de determinar mediante la siguiente variable de ingeniería el impacto sobre los servicios de telecomunicaciones que brinda la Oficina de Telemática. Probabilidad de la vulnerabilidad Impacto sobre el servicio de Telecomunicaciones De esta manera el personal del Grupo de Seguridad de la Información y el Grupo de Infraestructura de Telemática deberá guiarse por la matriz de impacto en los servicios de Telecomunicaciones la cual dictara la urgencia con la cual se atenderá la vulnerabilidad. Para establecer la acción a tomar dependiendo de las vulnerabilidades a las que se enfrenta la seguridad de la información, se desarrolló una propuesta en la cual se clasifican la probabilidad de riesgo numéricamente, siendo (1) la probabilidad mínima de la vulnerabilidad y (3) la probabilidad de la vulnerabilidad más alta que puede presentarse. Para el impacto de la vulnerabilidad sobre los servicios de Telecomunicaciones se estimo la categorización siendo (5) el más alto impacto y (1) el mínimo impacto que se puede presentar con la ejecución de un cambio. 40

42 Probabilidad de la Vulnerabilidad Tabla 2 Matriz de atención a vulnerabilidades Impacto Sobre el Servicio de Telecomunicaciones Vulnera -bilidad Catastrófico (5) Mayor (4) Medio (3) Menor (2) Intrascendent e (1) Alta (3) Media (2) Extrema 15 Elevada Elevada 12 Moderada Moderada 9 Soportable Soportable 6 Soportable Admisible 3 Admisible Baja (1) 10 Soportable 5 8 Soportable 4 6 Admisible 3 4 Admisible 2 2 Admisible 1 Prestando atención a la matriz de la Tabla 2 se consideran cinco variables para la interpretación de la vulnerabilidad que puede afectar la seguridad de la información. De acuerdo a ello las acciones recomendadas se observan en la Tabla 3. Tabla 3 Estimación de la vulnerabilidad Zona de Riesgo Acción Vulnerabilidad admisible Se recomienda asumir la vulnerabilidad. Vulnerabilidad soportable Se recomienda reducir la vulnerabilidad 41

43 Vulnerabilidad moderada Se recomienda asumir, evitar ó compartir la vulnerabilidad Vulnerabilidad elevada Se recomienda evitar la vulnerabilidad Vulnerabilidad extrema Se recomienda evitar al máximo la vulnerabilidad. De acuerdo a la vulnerabilidad hallada, la persona asignada para llevar a cabo el análisis de vulnerabilidades debe diligenciar el formato de solicitudes de cambio para proporcionar esta información al SGP y posteriormente a los integrantes del Grupo de Seguridad de la Informacion quienes serán los encargados de definir el tratamiento de acuerdo al mapa de riesgos de la organización. En la Figura 7 se ilustra la metodología, sujeta a aprobación, para el análisis de vulnerabilidades en los puertos de los servidores y routers de borde en la Oficina de Telemática de la Policía Nacional. 42

44 Figura 7. Diagrama de flujo, análisis de puertos. La fase de análisis de vulnerabilidades cuenta con dos fases principales y las cuales estarán presentes en todo el proceso metodológico del análisis de vulnerabilidades. El dialogo forma parte esencial, ya que los administradores de 43

45 red deberán estar en permanente comunicación para acoplar criterios, esto con el fin de evitar discrepancias en el manejo de la seguridad de la información y unir conceptos en cuanto al manejo de puertos. La supervisión será ejercida por parte del comité de seguridad de la Oficina de Telemática, el cual es el encargado de establecer el contexto (lugar) con el fin de que los administradores de red tengan un tercer concepto en cuanto al manejo y tratamiento de vulnerabilidades. Identificar, analizar y estimar forman parte de la fase de análisis y evaluación de la metodología de análisis de vulnerabilidad. En la fase de tratamiento de la vulnerabilidad nos remitimos a la Figura 6 donde se especifica el tipo en el que debe ser clasificado y en el caso en que se acepte la vulnerabilidad se procede al dialogo y posterior supervisión para mitigarlo. En este caso se recomienda bloquear, supervisar o abrir los siguientes puertos los cuales están guiados por estándares que recomienda la IANA. ECHO (7/TCP, UDP) Se utiliza únicamente para depuración. Sin embargo, un atacante puede realizar "labores de depuración" creando bucles en la red a partir de este puerto. BLOQUEAR. [21] SYSTAT (11/TCP, UDP) Muestra información acerca del host como usuarios conectados, carga del sistema y procesos en funcionamiento. BLOQUEAR. [22] CHARGEN (19/TCP, UDP) Se utiliza únicamente para depuración. Basta con enviar un paquete a este puerto aparentemente originado en el puerto de ECHO (7/UDP) para provocar un bucle en la red. BLOQUEAR. [23] TELNET (23/TCP, UDP) Vulnerable a "toma de sesiones". Es preferible utilizar en su lugar otras soluciones como SSH. [24] SMTP (25/TCP, UDP) Históricamente la mayoría de las entradas en hosts han venido a través de este puerto. Se debe FILTRAR este puerto y mantener 44

46 SIEMPRE la última versión estable conocida de cualquier programa de correo, especialmente si trabajamos con SENDMAIL. [11] TIME (37/TCP, UDP) Devuelve la hora del sistema en un formato legible por la máquina (4 bytes más o menos). Puede ser accedido tras un ataque vía NTP (123/TCP, UDP). [25] NAMESERVER (42/TCP, UDP) Si dispone de una red privada, debe instalar un servidor de dominio para la red. Bloquee el acceso a dicho servidor desde el exterior, y utilice siempre la última versión de BIND para resolver nombres. En este caso, puede cortar sin excesivos problemas el acceso al DNS sobre UDP. [26] TFTP (69/TCP, UDP) Falta de autentificación. Bloquear si no se dispone de máquina alguna con arranque remoto. [27] PRIVATE DIALOUT (75/TCP, UDP) [RFC1700] Si encontramos una diseño de este puerto en los diarios del sistema (logs), en el mejor de los casos estaremos siendo analizados por un scanner de puertos. BLOQUEAR. [28] FINGER (79/TCP, UDP) Puede obtenerse información acerca de usuarios concretos, información que puede utilizarse para adivinar claves de acceso. BLOQUEAR o SUSTITUIR por una política coherente de asignación de direcciones de correo (Carlos Barón: y un mensaje advirtiendo de dicha política. [29] HTTP (80/TCP, UDP) Los servidores web son cada vez más complejos y permiten demasiadas cosas. Conviene redirigir el acceso a un puerto no privilegiado en maquinas Unix. A ser posible, utilice servidores HTTP específicos para la tarea a realizar (archivos y acceso a Bases de datos). [13] 45

47 OBJCALL (94/TCP, UDP) - [Tivoli Object Dispatcher, IBM] Utilizado por la herramienta de Gestión de redes Tivoli. Si utilizamos Tivoli, aplicar las mismas precauciones que con SNMP. [28] SUNRPC (111/TCP, UDP) Peligroso sobre UDP. No autentifica fuentes, y es la base para otros servicios como NFS. [30] AUTH (113/TCP, UDP) No debería permitirse obtener información acerca de puertos privilegiados (puede utilizarse para realizar un portscan). No se utiliza más que en Unix. [31] NTP (123/TCP, UDP) [Network Time Protocol] Se utiliza para sincronizar los relojes de las máquinas de una subred. Un ejemplo de ataque clásico consiste en enviar paquetes a este puerto para distorsionar los logs de la máquina. [25] NETBIOS (137, 138, 139/TCP, UDP) No dispone de suficiente autenticación. Afortunadamente según los RFC2001 y 2002 NetBIOS es capaz de funcionar correctamente a pesar de que se estén enviando bloques de datos con información errónea o corrompida. [16] SNMP (161/TCP, UDP) Se puede obtener mucha información a través de este servicio, como por ejemplo estado de las interfaces de red y conexiones concurrentes en la máquina. BLOQUEAR. [32] SNMP-TRAP (162/TCP, UDP) Traps de SNMP. A través de este puerto se realizan solicitudes que pueden cambiar la configuración del host. BLOQUEAR. [33] IRC (194/TCP, UDP) No es peligroso en sí; sin embargo sus usuarios suelen divertirse atacando los hosts de otras personas con el fin de echarlos cuando no pueden hacer uso de la orden 'kick'. Generalmente conviene bloquear los puertos 46

48 6666, 6667 y 6668 ya que son a los que se enganchan los servidores de IRC. [34] EXEC (512/TCP) Ejecuta ordenes en estaciones remotas. Como todos los comandos 'r' (rexec, rcp, rlogin), se accede desde un conjunto de direcciones IP definidas por el usuario. No se realiza más autentificación que la basada en dirección IP y usuario remoto. BLOQUEAR. [9] BIFF (512/UDP) Notifica de la llegada de correo. Buen candidato para posibles desbordamientos de buffer, o simplemente para obligar a abandonar la sesión a un usuario debido a la llegada masiva de mensajes de correo. BLOQUEAR. [9] LOGIN (513/TCP) - rlogin. (Ver EXEC) BLOQUEAR. [9] WHO (513/UDP) Muestra quien está utilizando el host remoto. Se puede obtener información bastante detallada acerca de quién utiliza una máquina y desde que terminal, UPTIME (tiempo que lleva en funcionamiento), carga de la máquina. BLOQUEAR. [9] CMD (514/TCP) Similar a EXEC (512/TCP), mismas precauciones. BLOQUEAR. [9] SYSLOG (514/UDP) BLOQUEAR a menos que existan suficientes razones como para mantenerlo. Suele atacarse para corromper los diarios (logs) del sistema con entradas falsas. [35] ROUTER (520/TCP, UDP) - Local routing process. BLOQUEAR. [9] INGRESLOCK (1524/TCP) En la mayoría de los Unix se puede encontrar esta entrada en /etc/services. Ya que está dado de alta y es un puerto no privilegiado es un buen lugar para una puerta trasera. [9] 47

49 3.4.3 Fase 3 Clasificación de usuarios en la Oficina de Telemática de la Policía Nacional. La clasificación de usuarios nos permitirá catalogar a los usuarios en grupos según su función o desempeño dentro de la organización. Usuario final El usuario final de un producto informático (bien sea hardware o software), es la persona a la que va destinada dicho producto una vez que ha superado las fases de desarrollo correspondientes. Normalmente, el software se desarrolla pensando en la comodidad del usuario final, y por esto se presta especial interés y esfuerzo en conseguir una interfaz de usuario lo más clara y sencilla posible. Usuario registrado Se denomina así a la persona que tiene derechos especiales en algún servicio de Internet por acreditarse en el mismo mediante un identificador y una clave de acceso, obtenidos con previo registro en el servicio, de manera gratuita o de pago. Normalmente, un usuario registrado tiene asignada una cuenta propia que mantiene información personalizada del usuario en el servidor, (como puede ser dirección de y espacio correspondiente). También puede dar acceso a ciertos contenidos no accesibles al público en general, como por ejemplo un usuario registrado en un periódico on-line con acceso por suscripción. Usuario anónimo Es usuario anónimo en informática aquel que navega en sitios web (o usa cualquier servicio de la red) sin autenticarse como usuario registrado. En algunos servicios en Internet se dispone de un modo de uso como usuario registrado y otro 48

50 como usuario anónimo; normalmente, el usuario registrado goza de mayores privilegios. El anonimato en Internet es uno de sus puntos fuertes, a la vez que motivo habitual de discusión. A los usuarios les gusta sentirse libres para expresarse, mientras que ciertos organismos quisieran un mayor control de todo el movimiento por la red para actuar con más eficacia contra la delincuencia online. Clasificación de usuarios Invitados: Son los usuarios con menos permisos en el sistema o red, solo podrán leer un número muy reducido de archivos o hasta ni siquiera acceder a ningún tipo de información Usuarios: Son los usuarios normales del sistema, con pocos permisos. Tienen permisos para conectarse al sistema interactivamente y a través de la red, pero no pueden modificar ningún tipo de información. Usuarios interactivos: Este grupo representa a todos aquellos usuarios que tienen el derecho de iniciar una sesión local en el sistema o red. Usuarios autentificados: Agrupa a todos los usuarios que poseen una cuenta propia para conectarse al sistema, solo pueden ver algunos archivos y carpetas del sistema y leer, modificar y eliminar los archivos pertenecientes a su cuenta. Administradores: Son los usuarios con más permisos sobre el sistema o red, pueden ver, modificar y eliminar cualquier tipo de información. Mapa de usuarios en la oficina de telemática de la policía nacional. 49

51 En la siguiente figura se relaciona los diferentes usuarios en la Oficina de Telemática de la Dirección General de la Policía Nacional. Estos usuarios tienen los permisos que anteriormente se relacionaron y en su defecto fueron clasificados en el mapa de usuarios. Figura 8. Mapa de usuarios Oficina de Telemática Policía Nacional. El administrador de dominio asigna las direcciones de las que dispone la red de la Policía Nacional, las solicitudes se hacen a través de oficios enviados a la Oficina de Telemática y el administrador de dominio previa autorización del Jefe de Infraestructura de Telemática asigna las direcciones necesarias. 50

52 La asignación de privilegios de los nuevos usuarios y la supervisión de privilegios en usuarios antiguos debe ser autorizada por el Comité de Seguridad de la Oficina de Telemática, ya que estas personas tienen el conocimiento necesario para prevenir vulnerabilidades. Garantizar la seguridad lógica de la información preservando los principios de confidencialidad, integridad y disponibilidad de la misma, sin afectar el desarrollo normal de las actividades habituales de los usuarios Ámbito de aplicación Las políticas aquí descritas son de obligatorio cumplimiento por parte de todos los funcionarios de la POLICIA NACIONAL y terceros que hagan uso de las plataformas informáticas administradas por la OFICINA DE TELEMATICA Incumplimientos Mirar código de disciplina y crear anexo sobre sanciones Definiciones DUEÑO DE DATOS: Direcciones, oficina asesora, áreas, grupos y procesos para los cuales se ha desarrollado o adquirido un sistema informático específico para apoyar las labores administrativas y operativas de las mismas. OFITE: Oficina de Telemática, oficina asesora encargada de la administración y soporte técnico de la plataforma informática y de comunicaciones de la POLICIA NACIONAL. 51

53 OSI: Oficina de Seguridad de la Información, hace parte de OFITE, encargada de velar por la confidencialidad, integridad y disponibilidad de la información. USUARIO: Hace referencia a toda persona que posee acceso autorizado a un equipo de cómputo, a la red de datos y/o un determinado sistema de información. USUARIO FUNCIONAL EXPERTO: funcionario delegado por cada uno de los DUEÑOS DE DATOS, con conocimiento profundo de los procesos, así como de las funcionalidades de los Sistemas Informáticos administrados por OFITE, cuya función es apoyar las labores de atención y resolución de consultas de usuarios finales y de requerimientos operativos, validación de cambios al sistema, mediante la realización de pruebas, así como la de determinar que roles se le deben asignar a determinada LICENCIA DE ACCESO para utilizar un sistema de información. USUARIO ADMINISTRADOR DEL SISTEMA: Funcionario de la Oficina de Telemática, a cargo de los procesos técnicos de administración de la plataforma de software y hardware. LICENCIA DE ACCESO: Autorización otorgada a un funcionario o un tercero que requiere de acceso a la red de datos y/o alguno de los Sistemas Informáticos y/o servidores de la POLICÍA NACIONAL, mediante un proceso de identificación y autenticación que se valida con la digitación del usuario, de las contraseña o de la huella digital. LICENCIAS DE ACCESO ESPECIAL: Cuentas de acceso genéricas para administración. 52

54 PERFIRL DE USUARIO: Conjunto de permisos mediante el cual se asigna a un funcionario o a un tercero los accesos que le otorgan la posibilidad de realizar dentro de la red de datos o un sistema informático, una serie de actividades de diversa índole de conformidad con las responsabilidades asignadas a su cargo. ACCESO DE CONTINGENCIA: Acceso extraordinario a USUARIO ADMINISTRADOR DEL SISTEMA al ambiente de producción, autorizado por el DUEÑO DE DATOS o por OFITE con el fin de atender modificaciones o incidencias que se presenten en los sistemas, cuyo carácter extraordinario no permite replicar escenarios en un ambiente de pruebas o desarrollo. ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES: funcionarios encargados de la administración y mantenimiento de roles y perfiles y su asignación a usuarios que se constituye para la red de datos, los sistemas informáticos y servidores que así lo requieran. ALTA DE UN PERFIL DE USUARIO: cuando un funcionario o u tercero requiere acceder a la red de datos, servidor y/o un sistema informático de la POLICIA NACIONAL. MODIFICACION DE UN PERFIL DE USUARIO: cuando el mismo requiere nuevos permisos de acceso a igual información y/o nueva información, así como la suspensión de permisos de acceso sobre determinados recursos informáticos. SUSPENSION TEMPORAL DE UN PERFIL DE USUARIO: cuando el mismo deja de acceder de forma temporal a los recursos informáticos por motivos tales como excusas de servicio, licencias, vacaciones. 53

55 BAJA DE UN PERFIL DE USUARIOS: cuando el mismo no accede más de manera permanente a un recurso de red o sistema informático o se desvincula de la POLICIA NACIONAL Políticas Administración de licencias de acceso a los usuarios La administración de licencias de acceso a los usuarios de recursos informáticos deben cumplir los siguientes requisitos: Principios Generales Los usuarios no deben tener acceso a ningún recurso excepto a aquellos para los que están debidamente autorizados, para ejercer las funciones inherentes a su cargo. Los accesos deben permitir al usuario acceder exclusivamente a los recursos para los cuales está autorizado, sin permitir que a través de ellos se llegue a otros recursos. Solicitud de licencia de acceso Es responsabilidad del respectivo DUEÑO DE DATOS, la asignación de nuevas LICENCIAS DE ACCESO a sus respectivos funcionarios o funcionarios de otras unidades que requieran de su información para desempeñar su cargo. Es responsabilidad del USUARIO FUNCIONAL EXPERTO de cada sistema de información indicar los roles y perfiles que debe tener cada LICENCIA DE ACCESO. La solicitud de LICENCIA DE ACCESO (usuario y contraseña) comienza cuando el DUEÑO DE DATOS realiza la solicitud a OFITE a través del ADMINISTRADOR 54

56 DE USUARIOS, ROLES Y PERFILES. Dicha solicitud se debe realizar diligenciando el formulario de Solicitud Inicial de Licencia de acceso a través del portal institucional y enviar copia escrita a OFITE. Solicitud de recursos El formulario de solicitud de LICENCIA DE ACCESO debe contener la información de los recursos a los cuales el usuario debe acceder, tales como: Red de datos de la POLICIA NACIONAL Sistema de Información Correo electrónico institucional Herramientas de inteligencia de negocios A una base de datos A un servicio A un servidor Perfiles y Roles El formulario de solicitud de LICENCIA DE ACCESO, debe estar firmado por el funcionario al que se le asignara un usuario, por su jefe inmediato, en el caso de los sistemas de información debe contener la aprobación del respectivo DUEÑO DE DATOS, y los roles definidos por el USUARIO FUNCIONAL EXPERTO Ejecución El ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES deberá validar la solicitud realizada, para evitar fraudes en la solicitud y una vez verificado, otorgar 55

57 los permisos solicitados en el equipo de cómputo y/o sistema de información correspondiente y dar respuesta por escrito a la solicitud Suspensión Temporal De Un Perfil De Usuario, El DUEÑO DE DATOS es responsable de notificar las novedades de excusas de servicio, licencias, vacaciones de los usuarios, con el fin de suspender temporalmente la LICENCIA DE ACCESO, con el fin de evitar el uso de dichas licencias por personal no autorizado. El SIATH Sistema de Información para la Administración del Talento Humano, deberá contar con mecanismos que permitan informar al ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES que ha ocurrido una novedad con los usuarios y este tome las medidas que le competen Modificación y baja de un perfil de usuario El DUEÑO DE DATOS es responsable de notificar la modificación de un perfil de usuario cuando se requieren incrementar o decrementar permisos, para lo cual se deberá diligenciar nuevamente el formulario de solicitud de LICENCIA DE ACCESO. Así mismo el DUEÑO DE DATOS es responsable de notificar la baja de un perfil de usuario, cuando este ya no requiere de acceso a los recursos que tenia asignados, o cuando se retira de la institución. El SIATH Sistema de Información para la Administración del Talento Humano, deberá contar con mecanismos que permitan informar al ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES cuando se efectúen traslados o retiros de la institución de funcionarios que tienen usuarios asignados para que se tomen las medidas correspondientes. 56

58 Licencias de acceso Las Licencias de acceso tienen fecha de vencimiento. La fecha de vencimiento se calcula a partir de la fecha de alta adicionándole la cantidad equivalente a 12 meses en días. Este es el lapso de tiempo de vigencia oficial y puede ser variado excepcionalmente sólo por la Oficina de Seguridad de la Información (OSI) de considerarlo el mismo necesario. La fecha de vencimiento es chequeada cada vez que el usuario inicia una sesión en la red de datos. El vencimiento de la contraseña impide el ingreso a la red Licencias de acceso finales Cada usuario deberá tener una única LICENCIA DE ACCESO para acceder a los recursos informáticos administrados por la Oficina de Telemática. Solo se permitirán excepciones para LICENCIAS DE ACCESO ESPECIALES, que deberán ser aprobadas por el correspondiente DUEÑO DE DATOS Licencias de acceso especiales No están permitidas las LICENCIAS DE ACCESO no personales, salvo las siguientes excepciones: Cuentas de acceso genéricas para administración: Administradores de sistema operativo, administradores propietarios de software, administradores de bases de datos; como se trata de licencias de acceso que pueden llegar a ser compartidas por varios funcionarios, se limitara a casos en que sea obligatorio su uso. Estas deberán ser autorizadas expresamente por el Jefe del área de competencia de la Oficina de Telemática quien en este caso será el DUEÑO DE DATOS. 57

59 Las LICENCIAS DE ACCESO ESPECIALES con máximos permisos de cada equipo y/o servidor, sistema de información, portal, bases de datos, directorios LPDA, no deben utilizarse con fines operativos, deberán renombrarse y las contraseñas deben someterse a procedimientos de emergencia y su acceso restringido en poder del DUEÑO DE DATOS. El DUEÑO DE DATOS, será el responsable de establecer los casos en los cuales sea necesario el usuario de las LICENCIAS DE ACCESO ESPECIALES y quienes podrán acceder a ellas Nomenclatura Licencias de acceso finales Primera Propuesta La identificación de la LICENCIA DE ACCESO personal debe corresponder al Primernombre.Primerapellido, salvo las siguientes excepciones en caso de homónimos. Primernombre.primarapellido primeraletrasegundoapelido USUARIOS ESPECIALES SILOG SIIF Nomenclatura Licencias de especiales La nomenclatura de las cuentas especiales de cada equipo y/o servidor, sistema de información, portal, bases de datos, directorios LPDA, entre otros, que así lo permitan deberá ser modificada de la situación original de instalación y asimilarse a las características utilizadas para las licencias de acceso finales. 58

60 Datos de las Licencias de Acceso La descripción de la cada LICENCIA DE ACCESO debe incluir los siguientes datos: Apellidos y Nombres Número de Identificación Correo Electrónico Estado de la Licencia (Activado, Desactivado) Fecha de Activación de la licencia Fecha de des habilitación de la licencia Número de teléfono de contacto Pregunta Secreta Respuesta a la pregunta secreta Así mismo se deberá llevar un histórico de los perfiles y roles que le han sido asignados. La descripción de las licencias de acceso especiales no beben indicar la función para las cual fue creada Administración de Contraseñas Toda LICENCIA DE ACCESO debe estar asociada a una contraseña que debe cumplir con las siguientes características de obligatorio cumplimiento, así: 59

61 Longitud mínima de 10 caracteres. Combinación de letras, números y caracteres especiales (al menos un numero y un carácter especial). Debe distinguir mayúsculas y minúsculas. Debe estar encriptado en archivos ocultos y protegidos. No se debe visualizar al momento de digitarla. No debe permitir blancos. No debe identificarse al momento de la transmisión. Cambiarse obligatoriamente la primera vez que el usuario la utilice. Debe cambiarse en un periodo máximo de 30 días, de lo contrario debe ser invalidada automáticamente. Debe ser diferente por lo menos a las 10 anteriores. Permitir ser cambiada toda vez que el usuario así lo disponga. En caso de control de acceso biométrico y para contingencia, la contraseña seguirá siendo válida y deberá conservar las características anteriores Generación de Contraseñas La primera contraseña con la que se activa una nueva LICENCIA DE ACCESO, será aleatoria y enviada por al usuario. En caso de que el usuario olvide la contraseña este deberá diligenciar el formulario Recordar Contraseña en el portal institucional, indicando el nombre de 60

62 la LICENCIA DE ACCESO, pregunta secreta y . La contraseña se generara de forma aleatoria y automática y le será enviada al al usuario. De esta manera los usuarios serán autosuficientes para gestionar el cambio de contraseña por olvido. Sera obligatorio el cambio de contraseña para acceder nueva mente a los recursos asignados Bloqueo Licencias de Acceso Toda LICENCIAS DE ACCESO que haya intentado ingresar a los recursos informáticos en forma fallida y consecutiva tres (3) veces debe ser automáticamente bloqueada. Para el desbloqueo de la LICENCIA DE ACCESO el titular de la misma debe realizar la solicitud a través del portal institucional y el ADMINISTRADOR DE USUARIOS, ROLES Y PERFILES, procederá a desbloquearla y asignarle una nueva contraseña siguiendo el procedimiento de generación de contraseñas. Las LICENCIAS DE ACCESO ESPECIAL, para su reactivación deberán ser documentadas y comunicada al DUEÑO DE DATOS de la Oficina de Telemática. Toda LICENCIAS DE ACCESO que no haya sido utilizada por un periodo de quince (15) días consecutivos, deberá ser bloqueada y proceder a su cancelación definitiva Restricciones Sesiones de trabajo, deberán restringirse a una para acceso a todos los recursos informáticos, siempre y cuando se disponga de las herramientas necesarias para hacerlo. excepto las aplicaciones Forms, que requieren hasta dos sesiones alternas para generar reportes. Cualquier otra 61

63 excepción deberá documentarse y justificarse en el Formulario de Excepciones Horarios de trabajo, Los DUEÑOS DE DATOS deberán determinar que aplicaciones deberán estar limitadas a días y horas específicas para su uso, siempre y cuando se disponga de las herramientas necesarias para hacerlo. Deberá existir un cuadro de recursos informáticos con las respectivas restricciones de días y horas. Estaciones de trabajo específico, para las LICENCIAS DE ACCESO ESPECIAL, y cualquier otra LICENCIA DE ACCESO, que por su perfil lo requiera deberá estar limitada la conexión a ciertas estaciones de trabajo autorizadas, de lo cual se deberá llevar el respectivo documento de control. Las LICENCIAS DE ACCESO a la red de datos, por política institucional, salvo ciertas excepciones, solo podrán abrir sesiones en la estación de trabajo asociadas con la respectiva licencia. Las excepciones deberán estar documentadas en el Formularios de Excepciones Conexión por escritorio remoto, solo podrán abrir sesiones por escritorio remoto las LICENCIAS DE ACCESO previamente autorizadas por la Oficina de Telemática, cualquier otra excepción deberá documentarse en el Formulario de Excepciones Pantalla de Inicio Todas las estaciones de trabajo deberán mostrar un mensaje de notificación al usuario cuando accede a los recursos informáticos de la Policía Nacional, donde se le indique sus deberes y responsabilidades que adquiere al hacer uso de la infraestructura informática. 62

64 Desconexión Se deberá desconectar tota sesión activa, después de 30 minutos de inactividad, siempre y cuando se dispongan de las herramientas necesarias para hacerlo Protector de Pantalla Es de uso obligatorio el protector de pantalla con contraseña para las estaciones de trabajo, con activación automática, después de cinco (5) minutos de inactividad Compromiso del usuario Es responsabilidad del usuario hacer buen uso de la LICENCIA DE ACCESO, entendiendo por buen uso: No prestar su licencia de acceso, para que otra persona o funcionario realice funciones asignadas a su persona. No utilizar la licencia de acceso con otros fines que no sean el de cumplir con las funciones asignadas a su cargo. Tomar las medidas necesarias para que su licencia de acceso no sea expuesta a conocimiento y uso de parte de otras personas. Acatar las políticas de seguridad informática y cualquier otra directriz o legislación relacionada con el uso de claves y acceso a la red de datos y sistemas informáticos de la Policía Nacional. Todo usuario debe diligenciar los formularios de Asignación de Usuario y de confidencialidad de la información, los cuales deberán renovarse cada 12 meses, cuando la licencia de acceso caduca. 63

65 Responsabilidades administrador de usuarios, roles y perfiles Crear y actualizar los roles para los sistemas de información Crear y actualizar los perfiles de acceso a la red de datos Dar de alta, modificar, suspender y dar de baja perfiles de LICENCIAS DE ACCESO de usuario final o especial. Asignar los roles y/o perfiles a las LICENCIAS DE ACCESO Mantener actualizados los inventarios de sistemas informáticos y servidores con restricciones y procedimientos especiales. Diligenciar todos los documentos y formularios establecidos en las POLITICAS DE ADMINISTRACION DE USUARIOS. Administrar las herramientas de IAM en caso de que existan o de las herramientas informáticas existentes para realizar sus funciones. Llevar el control de los usuarios solicitados por entes externos, como proveedores de software así como monitorear el ingreso de usuarios externos en determinados periodos de tiempo Medidas complementarias Administración de licencias de usuario de un sistema informático El otorgamiento de LICENCIAS DE ACCESO corresponderá al DUEÑO DE DATOS, quien en delegación autoriza a OFITE la administración y control de dichas licencias. 64

66 Los usuarios funcionales expertos tendrán acceso al ambiente de producción con un perfil que permita la visualización y consulta en todo el ámbito del sistema, debiendo generar las pruebas en un ambiente de calidad; siendo responsabilidad de OFITE mantener una replica exacta de dicho ambiente al de producción. Es responsabilidad del Jefe de OFITE la autorización de accesos remotos o en sitio a nivel de consulta a terceros, cuando esto se requiera para la atención de incidentes específicos. Es responsabilidad de OFITE la correcta asignación de accesos para el personal técnico de esta Oficina, cuyas funciones le permitan desarrollar, dar mantenimiento y garantizar la seguridad de los sistemas de información. Los usuarios administradores del sistema realizaran tareas de administración técnica del sistema, la cual comprende labores de mantenimiento de hardware y software. Esto comprende la administración de la seguridad, licenciamiento, soporte técnico, actualizaciones y mantenimiento de plataforma, base de datos y operaciones tecnológicas. Este perfil es responsabilidad del Jefe de OFITE en su condición de administrador de plataforma tecnológica, tanto en las autorizaciones que contenga como en su asignación al funcionario Fase 4 Proponer plan de acción basado en el existente En este plan de acción se desgloso la manera en que la metodología puede llegar a ser implementada siguiendo los lineamientos de la Dirección General de la Policía Nacional, de igual manera se asignan supervisores para cada tarea a realizar dentro de la implementación de la metodología de análisis de vulnerabilidades. *Plan de acción detallado en un documento adjunto en Excel. 65

67 4 PRUEBAS Y RESULTADOS En este capítulo se relacionan las pruebas que se realizaron al final del proyecto con el fin de comprobar su eficacia. En el caso del desarrollo de este proyecto se busco adecuarlo a la misión y visión de la Oficina de Telemática de la Policía Nacional. 4.1 PRUEBAS Las pruebas se detallan a continuación y fue la forma verídica en la cual la metodología pudo ser probada en la Oficina de Telemática Sensibilizaciones Las capacitaciones o sensibilizaciones al personal de la Oficina de Telemática se realizaron de acuerdo a las disposiciones y lineamientos que dicta la Dirección General de la Policía Nacional y en esta medida se realizaron en la relación general. Es de vital importancia aclarar que se dio a conocer el proyecto llegando a cada una de las partes que intervienen en los procesos de la Oficina de Telemática y de esta manera se dio el aval a la metodología propuesta con el fin de implementarla. Las sensibilizaciones se trataron en el siguiente orden: Introducción a la definición de la metodología de análisis de vulnerabilidades. Se dio a conocer el modelo desarrollado exclusivamente para la Oficina de Telemática pero de igual manera se flexibiliza para cualquier dependencia de la Policía Nacional Evaluación de puertos y diagrama de flujo para analizar vulnerabilidades. 66

68 Se dio a conocer los puertos más utilizados por parte de los administradores de red y en su defecto se explico la forma de utilizarla la metodología para analizar vulnerabilidades en los diferentes puertos. Desarrollo del mapa de riesgos. Hemos diseñado el mapa de riesgos de acuerdo a las necesidades de la Oficina de Telemática. En un principio el Jefe de la oficina manifestaba la falta de integridad al momento de especificar el tratamiento que requería una vulnerabilidad latente y de esta manera se ha desarrollado la forma correcta de identificarlos, solucionarlos y en su defecto supervisarlos. Plan de acción. Se ha desarrollado el plan de acción para el año 2010 en el cual se cataloga las diferentes tareas a realizar asignando supervisores y objetivos a cumplir. En Anexos A (Anexo A-5) está el oficio en el cual se aprobaron las sensibilizaciones. 4.2 Resultados Los resultados obtenidos permiten, mediante la prueba específica, comprobar hasta qué punto se dio cumplimiento al proyecto, para de igual manera identificar las partes fundamentales en el avance o desarrollo del mismo Encuesta acerca del nivel de conocimiento del personal de la Oficina de Telemática acerca de administración e identificación de vulnerabilidades La encuesta de nivel de conocimiento del personal de la Oficina de Telemática acerca de administración e identificación de vulnerabilidades no se llevó a cabo en un principio ya que no existían antecedentes documentados en los cuales el 67

69 personal pudiera basarse para demostrar cierto conocimiento en este tema. Al terminar la pasantía se realizaron sensibilizaciones, al terminar este proceso se llevo a cabo la encuesta con la cual se determino el nivel de conocimiento acerca del proyecto realizado. En el Error! No se encuentra el origen de la referencia. se encuentra la ficha técnica de la encuesta realizada. La encuesta fue realizada a parte del personal de la oficina, entre los cuales se encuentran: Tabla 4 Personal encuestado Distribución Grupo Administración de Software y Centro de Computo Grupo Administración de la Infraestructura Telemática Personal 9 14 Grupo Calidad de la Información 3 Grupo Seguridad de la información 7 Grupo Proyección e implementación de Infraestructura Telemática Grupo Ciclo de Vida de la Información Grupo Soporte y Apoyo Administrativo

70 TOTAL 50 Cómo se tratan las vulnerabilidades que se presentan en la red de datos de la Oficina de Telemática de la Dirección General? De esta manera determinamos si el personal de la Oficina de Telemática tiene conocimiento acerca del formato gestor de cambios con el cual se debe avisar de cualquier vulnerabilidad en la red de datos. Tratamiento de vulnerabilidades Personas Se informa a los administradores de red 30 Se gestiona el formato gestor de cambios 14 Se trata la vulnerabilidad individualmente 3 Se llama al grupo de soporte técnico 0 No se realiza ninguna acción 0 Otros 3 TOTAL 50 69

71 Figura 9 Tratamiento de vulnerabilidades cuando se presentan Tratamiento de vulnerabilidades 28% 6% 0% 0% 6% 60% Informa a los Admisnitradores de Red= 60% Gestiona el Formato de Gestión de Cambios=28% Se trata la vulnerabilidad individualmente= 6% El 60% del personal no cumple con los lineamientos que dicta el grupo de seguridad, el cual es gestionar el formato gestor de cambios para informar, supervisar o solucionar vulnerabilidades que se detecten en los diferentes puestos de trabajo de la Oficina de Telematica. Quien se encarga de la administracion e identificacion de vulnerabilidades en la red de datos? Para un tratamiento correcto se debe tener claro cual es la dependencia encargada de atender las solicitudes cuando se identifica una vulnerabilidad en la red, de esta manera esta dependencia esta en capacidad de administrarla y gestionarla. Tabla 5 Encargados de la Administración e Identificación de las vulnerabilidades Encargados de la Administración e Identificación de las vulnerabilidades Personas 70

72 Administradores de red 22 Grupo de Seguridad de la Información 28 Personal de Soporte Técnico 0 Personal de Calidad de la Información 0 Grupo Administración de Software y Centro 0 de Computo TOTAL 50 Figura 10 Encargados de la administración e identificación de las vulnerabilidades Encargados de la Administración e Identificación de las vulnerabilidades 0% 0% 56% 44% Administradores de Red=44% El resultado es satisfactorio ya que los administradores de red y el Grupo de Seguridad de la Informacion son los encargados de la identificacion de las diferentes vulnerabilidades, de igual manera son los encargados de mantener actualizada la base de datos que brinda soporte tecnico en cuanto a la solucion de vulnerabilidades. 71

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros

Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros Directiva 005-2004-PCM/SG Directiva de seguridad ante la presencia de virus informático en la Presidencia del Consejo de Ministros 2004 I HOJA DE INFORMACION GENERAL CONTROL DOCUMENTAL: PROCEDIMIENTO:

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA UNIVERSIDAD DEL TOLIMA INSTITUTO DE EDUCACIÓN A DISTANCIA-IDEAD PROGRAMA DE INGENIERÍA DE SISTEMAS

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Política y Procedimiento del uso de Firewalls

Política y Procedimiento del uso de Firewalls Fecha de aprobación: 27/mayo/2008 Página: 2 de 11 Control de Cambios Fecha Versión Descripción Autor 14/Enero/2008 1.0 Comenzando el desarrollo de las secciones Roberto García 21/Febrero/2008 1.0 Revisión

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

DESCRIPCIÓN ESPECÍFICA

DESCRIPCIÓN ESPECÍFICA DESCRIPCIÓN ESPECÍFICA NÚCLEO: Sector Comercio y Servicios SUBSECTOR: Informática y Comunicación Nombre del Módulo: REDES total: 90 horas Objetivo General: Aplicar los principios de comunicación digital

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones. Módulo Profesional: Servicios en Red. Código: 0227. Resultados de aprendizaje y criterios de evaluación. 1. Instala servicios de configuración dinámica, describiendo sus características y aplicaciones.

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Normativa de seguridad y uso de los recursos informáticos en la UPCT

Normativa de seguridad y uso de los recursos informáticos en la UPCT Normativa de seguridad y uso de los recursos informáticos en la UPCT Aprobada por: Consejo de Gobierno de la UPCT. Fecha: 7 de Noviembre de 2011. Resumen: La Política de Seguridad de la UPCT se aprobó

Más detalles

REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE CAPITULO PRIMERO

REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE CAPITULO PRIMERO REGLAMENTO PARA EL USO ADECUADO DE LAS TIC DE LA UNIVERSIDAD AUTÓNOMA DEL CARIBE DISPOSICIONES GENERALES CAPITULO PRIMERO Artículo 1.1. El presente reglamento se aplicará a los usuarios de la red institucional

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

INDICE. Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes XIX XXI

INDICE. Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes XIX XXI INDICE Agradecimientos Introducción Parte I Fundamentos de la conectividad de redes 3 1 El negocio de la conectividad Conectividad de redes: la perspectiva corporativa Qué necesita su compañía? 4 Puestos

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos.

Evaluación de los aprendizajes Elabora un cuadro comparativo con las principales características de los componentes básicos de una red de datos. NÚCLEO: Sector Comercio y Servicios SUBSECTOR: Informática y comunicación Nombre del Módulo: REDES total: 90 horas Objetivo General: Desarrollar conocimientos teóricos/prácticos para el diseño, configuración

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Descripción y alcance del servicio FAX IPLAN

Descripción y alcance del servicio FAX IPLAN Descripción y alcance del servicio FAX IPLAN 1. Introducción FAX IPLAN consiste en un servicio que permite recibir los faxes en forma personalizada por medio del e-mail y sin necesitar de instalar ningún

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Guía: Gestión de Incidentes de Seguridad de la Información

Guía: Gestión de Incidentes de Seguridad de la Información Guía: Gestión de Incidentes de Seguridad de la Información Guía Técnica HISTORIA FECHA CAMBIOS INTRODUCIDOS 1.0.0 12/31/2014 del documento TABLA DE CONTENIDO PÁG. DERECHOS DE AUTOR... 5 AUDIENCIA... 6

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN

PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN PRACTICA CAPITULO 2 MODULO 1 PROTOCOLOS Y LA FUNCIONALIDAD DE LA CAPA DE APLICACIÓN Los protocolos de capa de aplicación de TCP/IP más conocidos son aquellos que proporcionan intercambio de la información

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX

MÁSTER ONLINE EN ADMINISTRACIÓN LINUX MÁSTER ONLINE EN ADMINISTRACIÓN LINUX Módulo 1 Hardware & Arquitectura de sistemas - 20 horas Este módulo permite conocer y configurar los elementos básicos del hardware del sistema, como también otros

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA

Más detalles

Universidad Autónoma de Manizales Departamento de Ciencias Computacionales

Universidad Autónoma de Manizales Departamento de Ciencias Computacionales Universidad Autónoma de Manizales Departamento de Ciencias Computacionales ASIGNATURA Redes LAN CÓDIGO 10126 NÚMERO DE CRÉDITOS Trabajo Presencial PRERREQUISITOS Trabajo dirigido 80 créditos aprobados

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Términos y Condiciones de Uso del Correo Electrónico institucional del Poder Judicial de Santiago del Estero

Términos y Condiciones de Uso del Correo Electrónico institucional del Poder Judicial de Santiago del Estero 1. Introducción Términos y Condiciones de Uso del Correo Electrónico institucional del Poder Judicial de Santiago del Estero El Poder Judicial de Santiago del Estero reconoce la importancia del uso de

Más detalles

METODOLOGÍA DE GESTIÓN DE CAMBIOS PARA LA OFICINA DE TELEMÁTICA DE LA POLICÍA NACIONAL

METODOLOGÍA DE GESTIÓN DE CAMBIOS PARA LA OFICINA DE TELEMÁTICA DE LA POLICÍA NACIONAL METODOLOGÍA DE GESTIÓN DE CAMBIOS PARA LA OFICINA DE TELEMÁTICA DE LA POLICÍA NACIONAL DEISY LORENA CEBALLOS ZAPATA Código: 1400348 UNIVERSIDAD MILITAR NUEVA GRANADA FACULTAD DE INGENIERÍA PROGRAMA DE

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX

GUIA DE SOLUCIONES Y SEGURIDADES ANTE POTENCIALES ATAQUES A LA PLATAFORMA LINUX CAPITULO 7 CONCLUSIONES Y RECOMENDACIONES 1.- CONCLUSIONES Linux es un sistema operativo que requiere de altos conocimientos técnicos como programación, una alta cultura investigativa, curiosidad e iniciativa,

Más detalles

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas

INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas INSTITUTO POLITECNICO NACIONAL Unidad Profesional Interdisciplonaria de Ingenierìa y Ciencias Sociales y Admonistrativas W8: wexplor VIROLOGÌA Y CRIPTOLOGÌA 4NM73 W8:INTERNET EXPLORER U5: FILE TRANSFER

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

CATÁLOGO DE SERVICIOS DE INFORMÁTICA DE LA UCM

CATÁLOGO DE SERVICIOS DE INFORMÁTICA DE LA UCM Vicerrectorado de Nuevas Tecnologías Área de Informática y Comunicaciones EXTRACTO DEL CATÁLOGO DE SERVICIOS DE INFORMÁTICA DE LA UCM NORMAS Y RECOMENDACIONES DE USO Área de Informática y Comunicaciones

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

Políticas de Privacidad y Condiciones de Uso

Políticas de Privacidad y Condiciones de Uso Políticas de Privacidad y Condiciones de Uso Para el Usuario El sitio web de la Gobernación de Bolívar www.bolivar.gov.co tiene como función principal proveer información y servicios, así como divulgar

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA

GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA GUÍA DE PREVENCIÓN FRAUDES TELEFÓNICOS EN SU EMPRESA DE Guía de prevención de fraudes teléfonicos en su empresa Contenido Contenido 1. Definiciones y generalidades sobre fraudes telefónicos 1.1. Qué es

Más detalles

PROCEDIMIENTO DE AUDITORIA INTERNA

PROCEDIMIENTO DE AUDITORIA INTERNA VERSIÓN: 2.0 Página 1 de 17 INDICE Página INDICE...1 1. OBJETIVO DEL PROCEDIMIENTO...3 2. DESARROLLO DE LA AUDITORÍA INTERNA...3 2.1 OBJETIVO GENERAL...3 2.2 OBJETIVOS ESPECÍFICOS...3 2.3 FASES...4 2.

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Firewall PC. Manual de Usuario

Firewall PC. Manual de Usuario Firewall PC Manual de Usuario Índice 1. Introducción... 3 2. Qué es Firewall PC?... 3 a. Actualizaciones... 3 3. Requisitos técnicos... 4 a. Conocimientos técnicos... 4 b. Compatibilidad de Sistemas...

Más detalles

Consejo Superior Universitario Acuerdo 046 de 2009 página 2

Consejo Superior Universitario Acuerdo 046 de 2009 página 2 CONSEJO SUPERIOR UNIVERSITARIO ACUERDO 046 DE 2009 (Acta 15 del 1 de diciembre) Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional

Más detalles

DIPLOMADO EN SEGURIDAD INFORMATICA

DIPLOMADO EN SEGURIDAD INFORMATICA DIPLOMADO EN SEGURIDAD INFORMATICA Modulo 9: Soporte Computacional Clase 9_3:Protocolos de comunicación y conectividad de arquitecturas multiplataforma. Director Programa: César Torres A Profesor : Claudio

Más detalles

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización

CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL. Nivel 3. Versión 6. Actualización Página 1 de 19 CUALIFICACIÓN PROGRAMACIÓN DE SISTEMAS INFORMÁTICOS PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC303_3 Versión 6 Situación Contraste externo Actualización

Más detalles

Single-Sign-On Índice de contenido

Single-Sign-On Índice de contenido Single-Sign-On Índice de contenido Introducción...2 Que es Single Sign-On...2 Descripción del esquema y componentes...2 Kerberos...3 LDAP...5 Consideraciones de Seguridad...6 Alcances de la solución implementada...7

Más detalles

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES

REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES REPUBLICA DEL ECUADOR INSTITUTO DE ALTOS ESTUDIOS NACIONALES III CURSO MAESTRIA EN ALTA GERENCIA PLAN DE IMPLEMENTACIÓN DE UN SISTEMA DE SEGURIDAD DE LA INFORMACIÓN, BAJO LA NORMA ISO 17799:2005 EN ANDINATEL

Más detalles

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR)

SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) SISTEMA UNIFICADO DE CONTROL EN TIEMPO REAL (SUCTR) Sistema Unificado de Control en Tiempo Real - SUCTR: El sistema unificado de control en tiempo real, en adelante SUCTR, es un sistema de administración

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

ÍNDICE DE CONTENIDO. 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa.

ÍNDICE DE CONTENIDO. 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa. Autor: Raisa Gruezo Vélez ÍNDICE DE CONTENIDO 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa. 5. Determinación del Problema. 6. Planteamiento

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

Auditoria Técnica en seguridad de la Informacion

Auditoria Técnica en seguridad de la Informacion INFORME CONFIDENCIAL PARA: XXXXXXXXX, S.A Auditoria Técnica en seguridad de la Informacion Primera auditoria técnica anual Autor: Ing. Armando Carvajal, Master en seguridad de la información Universidad

Más detalles

Políticas de Privacidad y Términos de Uso

Políticas de Privacidad y Términos de Uso Políticas de Privacidad y Términos de Uso Apreciado Usuario: El sitio WEB de La SUPERINTENDENCIA DEL SUBSIDIO FAMILIAR tiene como función principal proveer información y servicios así como divulgar y promover

Más detalles

CONSOLA DE SEGURIDAD INFORMACIÓN DE LICENCIA. Manual de usuario. Versión 2.00 Abril 2010

CONSOLA DE SEGURIDAD INFORMACIÓN DE LICENCIA. Manual de usuario. Versión 2.00 Abril 2010 Manual de usuario CONSOLA DE SEGURIDAD Versión 2.00 Abril 2010 INFORMACIÓN DE LICENCIA ACUERDO DE LICENCIA AVISO A TODOS LOS USUARIOS: LEA ATENTAMENTE EL ACUERDO JURÍDICO APROPIADO CORRESPONDIENTE A LA

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Velar por la seguridad de la información e infraestructura tecnológica del IPSE.

Velar por la seguridad de la información e infraestructura tecnológica del IPSE. Página 1 de 13 1. OBJETIVO Velar por la seguridad de la información e infraestructura tecnológica del IPSE. 2. DEFINICIONES Activo: Cualquier cosa que tiene valor para la organización. Autenticidad: Es

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

Nombre del documento: Programa de Estudio de asignatura de Especialidad

Nombre del documento: Programa de Estudio de asignatura de Especialidad Referencia a la Norma ISO 9001:2008 7.3 Página 1 de 10 1.- DATOS DE LA ASIGNATURA Nombre de la asignatura : Redes II Carrera: Ing. en Sistemas Computacionales Clave de la asignatura: RSD-1204 (Créditos)

Más detalles

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08

MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MANUAL PARA EL MANEJO DE EQUIPOS DE CÓMPUTO Y SOFTWARE SCI-MG-MEC-V1-08 MUNICIPIO DE GAMA 1 CONTENIDO 1. INTRODUCCION 2. OBJETIVOS 3. AMBITO DE APLICACIÓN 4. NORMAS DE USO DE LOS EQUIPOS DE CÓMPUTO 5.

Más detalles

TÉRMINOS Y CONDICIONES DE USO

TÉRMINOS Y CONDICIONES DE USO TÉRMINOS Y CONDICIONES DE USO Términos y Condiciones de Uso del Correo Electrónico de la Provincia de San Juan. 1. INTRODUCCIÓN La Dirección Provincial de Informática dependiente de la Secretaria de la

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna)

CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG. NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) CONTRALORÍA GENERAL DE CUENTAS SISTEMA DE AUDITORÍA GUBERNAMENTAL PROYECTO SIAF-SAG NORMAS DE AUDITORÍA GUBERNAMENTAL (Externa e Interna) Guatemala, Junio de 2006 1 PRESENTACIÓN Según el artículo 232 de

Más detalles

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS

SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS COLEGIO LEONARDO DA VINCI SERVICIO DE ATENCIÓN Y RESOLUCIÓN DE INCIDENCIAS ACUERDO DE NIVEL DE SERVICIO HOJA DE CONTROL Colegio Leonardo Da Vinci Arica Unidad CTIC Titulo Servicio de Atención y Resolución

Más detalles

Nombre del documento: Programa de Estudio de asignatura de Especialidad

Nombre del documento: Programa de Estudio de asignatura de Especialidad Referencia a la Norma ISO 9001:2008 7.3 Página 1 de 10 1.- DATOS DE LA ASIGNATURA Nombre de la asignatura : Redes I Carrera: Ingeniería en Sistemas Computacionales Clave de la asignatura: RSF-1202 (Créditos)

Más detalles

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS Ministerio de Tecnologías de la Información y las Comunicaciones Programa de Gobierno

Más detalles

Índice Introducción... 2 Metodología... 3 Gestión de solicitudes y parque informático...3 Centro de Atención al Usuario...3 Funcionamiento...

Índice Introducción... 2 Metodología... 3 Gestión de solicitudes y parque informático...3 Centro de Atención al Usuario...3 Funcionamiento... Índice Introducción... 2 Metodología... 3 Gestión de solicitudes y parque informático...3 Centro de Atención al Usuario...3 Funcionamiento...3 Soporte Aplicado y Preventivo...4 Plan de actividades...5

Más detalles

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI)

Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) Guía para la elaboración del marco normativo de un sistema de gestión de la seguridad de la información (SGSI) Referencia Guía para la elaboración del marco normativo- Creative common FINAL.doc Creación

Más detalles

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA INSTRUCTIVO

UNIVERSIDAD FRANCISCO DE PAULA SANTANDER OCAÑA INSTRUCTIVO DIVISION DE 1(9) INSTRUCTIVO 1.NOMRE 2.PROCESO SERVICIO TECNICO Y TECNOLÓGICO DE INFORMACION, TELECOMUNICACIONES Y TECNOLOGIA 3. OJETIVO Y ALCANCE: Describir las actividades, establecer los pasos y los

Más detalles

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR

Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS. Jesús Losada - Jesús López - 2º ASIR Trabajo 6 ADMINISTRACIÓN REMOTA Y SERVIDOR DE APLICACIONES EN WINDOWS Jesús Losada - Jesús López - 2º ASIR Índice de contenidos Administración remota Acceso en modo texto Escritorio remoto Servidor de

Más detalles

DEPARTAMENTO NACIONAL DE PLANEACION OFICINA DE CONTROL INTERNO EVALUACION AL SISTEMA DE INFORMACIÓN GESPROY - SGR INFORME DEFINITIVO

DEPARTAMENTO NACIONAL DE PLANEACION OFICINA DE CONTROL INTERNO EVALUACION AL SISTEMA DE INFORMACIÓN GESPROY - SGR INFORME DEFINITIVO DEPARTAMENTO NACIONAL DE PLANEACION OFICINA DE CONTROL INTERNO EVALUACION AL SISTEMA DE INFORMACIÓN GESPROY - SGR INFORME DEFINITIVO BOGOTA, DICIEMBRE DE 2014 TABLA DE CONTENIDO 1. INTRODUCCIÓN...3 2.

Más detalles

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG.

PROCEDIMIENTO AUDITORIAS INTERNAS INTEGRALES DEL PROCESO SEGUIMIENTO, CONTROL Y EVALUACION DEL SIG. Página:1 1. OBJETIVO Y CAMPO DE APLICACIÓN Aplicando las técnicas de auditoría universalmente aceptadas y con base en un plan de auditoría, se busca medir el grado de eficiencia y eficacia con que se manejan

Más detalles