Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática.
|
|
- Claudia Quintana Sánchez
- hace 8 años
- Vistas:
Transcripción
1 Auditoría de Seguridad, Evaluación de Seguridad y Pruebas de Penetración: tres paradigmas en la Seguridad Informática. Autor:Jeimy J. CANO (Nota del autor: La palabra Paradigma proviene del griego. En el sentido más general, es el modo en que "vemos" el mundo, no en los términos de nuestro sentido de la vista, sino como percepción, comprensión, interpretación. [COVEY, S. (1996) Los siete hábitos de la gente altamente efectiva. Editorial Paidos. Pág. 28]) Resumen Este documento ofrece una reflexión relacionada con la aplicación y difusión de prácticas como la auditoría de seguridad (AS), la evaluación de seguridad (ES) y las pruebas de penetración (PP), que busca compartir con los auditores, profesionales inquietos y consultores de seguridad, la necesidad de incorporar estas prácticas como herramientas proactivas en la administración de la seguridad informática de las organizaciones modernas. Introducción La actual infraestructura de telecomunicaciones se ha encargado de generar nuevos y novedosos negocios, que han permitido la expansión y generación de mercados antes desconocidos, y un crecimiento sostenido de la utilidades de múltiples compañías en el mundo. En esta medida la información que viaja a través de millones de líneas, se ha convertido en uno de los mayores tesoros de las empresas, y en el motor de conocimiento para reconocer las fluctuaciones del entorno en el cual se encuentran. Por tanto, se hace necesario mantener y desarrollar posiciones y acciones claras y seguras frente a la información estratégica de la compañía: [1] Información acerca de los mercados sensitivos: planes de productos, penetración en segmentos de mercados, identificación de clientes. Información financiera: Estado de pérdidas y ganancias, estado de los proyectos, presupuestos de operación e inversión. Secretos industriales: fórmulas de productos, diseños exclusivos. Procesos de aprovechamiento tecnológico: Relacionado con el cómo la empresa produce y distribuye sus productos o servicios, que por lo general no se encuentran documentados. Información acerca del personal: Contratos, retribución, pagos, seguridad social, seguros. Información de clientes: Productos o servicios que utilizan, estadísticas acerca de sus consumos. Información de productos: Diseños, propuestas, ideas y conceptos. Información facilitada por HELGUERO ASOCIADOS 1
2 Información interna: Memorandos, reportes definitivos, borradores, conversaciones. Información de seguridad: Dispositivos o mecanismos de seguridad utilizados, zonas de máxima seguridad, planes de seguridad. De acuerdo con lo anterior, la organización debe establecer ciertas directrices de seguridad informática [2] que le permitan valorar y proteger de la mejor manera sus activos. Así mismo, basados en esos planteamientos, formular y promover prácticas que soporten y verifiquen los lineamientos formulados en función de la seguridad de la información. Por tal razón, han surgido ejercicios como la auditoría de seguridad (security audit), evaluación de la seguridad (security assessment) y las pruebas de penetración (penetration testing) que nos permiten conocer con cierta profundidad las debilidades y amenazas a las que puede estar sujeta la información crítica de una organización almacenada, creada o transportada por medios electrónicos. Auditoría de Seguridad Informática Una auditoría es un proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridad desde la perspectiva organizacional. Tradicionalmente, los auditores limitan el alcance de sus trabajos y no incluyen detalles técnicos de bajo nivel: fallas en protocolos de comunicación. Sin embargo, es posible encontrar auditorías con un mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas. El proceso de auditoría generalmente se lleva a cabo por auditores EDP (Electronic Data Processing) certificados bajo las directrices de un comité, quién reporta a las directivas de la organización o a un ente externo mandado por la ley. [3, pág.69] Por definición, una auditoría tradicional no es lo suficientemente detallada para descubrir los detalles de los problemas de seguridad de la infraestructura de la organización. Generalmente están orientadas por metodologías basadas en listas de chequeo con una forma, contenido y audiencia definidas de acuerdo con la formalidad requerida por la organización. [idem, pág.70] Evaluación de Seguridad Informática La evaluación de seguridad está orientada a establecer mayores detalles técnicos de la seguridad del infraestructura de una organización. Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías. [idem] El proceso de evaluación usualmente se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspicio de un comité ad-hoc conformado por personal de la organización, más que por auditores certificados. La evaluación es considerada un arte, en comparación con el enfoque estructurado que desarrollan los auditores. Al igual que las auditorías, las evaluaciones siempre están limitadas en su alcance. Sin embargo, tienden a ser lo suficientemente flexibles para abarcar detalles de bajo nivel. [idem] La evaluación usualmente se encuentra enfocada a identificar los detalles técnicos de las debilidades de seguridad, que luego conforman las bases para las recomendaciones y correcciones en la infraestructura de la compañía. Los resultados de una evaluación generalmente se presentan en un reporte informal detallado de los hallazgos, al comité ad-hoc como herramienta para las decisiones Información facilitada por HELGUERO ASOCIADOS 2
3 relacionadas con los planes y presupuestos de seguridad en la organización. Dentro de este documento se incluye el análisis de la infraestructura, detalles técnicos de bajo nivel, estrategias utilizadas para el análisis, los hallazgos más significativos identificados y las recomendaciones para efectuar las correcciones necesarias sobre la infraestructura. [idem] Pruebas de penetración Es un ejercicio en cual se encuentran involucrados expertos en tecnología o profesionales certificados en seguridad informática, quienes reportan a un comité ad-hoc seleccionado por la organización, que pretende demostrar que una infraestructura es vulnerable, penetrando en ella a través de ataques controlados desde dentro o fuera de la organización. [idem, pág.71] Se pretende simular las actividades de un hacker, buscando medios para evadir los controles e identificar y aprovechar puntos débiles del perímetro de comunicaciones de la empresa: [4] Conexiones a la red pública - Internet. Sistemas Telefónicos Máquinas de fax, modems o cualquier mecanismo para transmisión de información a través de medios electrónicos. Este tipo de prácticas puede ser formales o informales. Las informales están orientadas por objetivos técnicos de la infraestructura de comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dicha infraestructura. Por otro lado, las formales están orientadas a verificar debilidades en las políticas de seguridad, soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización. [3, pág.71] Generalmente el reporte de una prueba de penetración explica paso a paso cómo se llevó a cabo la actividad hasta alcanzar y penetrar la infraestructura de comunicaciones. Así mismo, documenta cómo se aprovecharon las debilidades de los programas o deficiencias en las configuraciones del hardware para ingresar de manera no autorizada al perímetro de comunicaciones de la empresa. [idem] Porqué y cuándo utilizar alguno de los tres paradigmas? Después de revisar cada una de las prácticas de seguridad expuestas, podemos establecer de manera intuitiva que existen necesidades técnicas, de seguridad y de negocio que promueven la utilización uno u otro tipo de ejercicio. Perspectiva de negocio: Cuando nos asalta la duda sobre la confiabilidad de nuestra infraestructura de comunicaciones, la diligencia en el manejo y administración de la misma, y el debido cuidado para mantener su disponibilidad, integridad y confiabilidad, solicitamos una auditoría de seguridad que nos revise aspectos específicos de la misma, que permita mantener informado a las directivas y entes externos de la preocupación y actividades que se han realizado y evitar pronunciamientos legales que comprometan la imagen de la organización en su entorno de negocio. Perspectiva técnica: La inquietud surge por la necesidad de modernizar y verificar la fortaleza los elementos técnicos de seguridad actualmente instalados, dados los avances tecnológicos que se han identificado en el mercado. Ante esta incertidumbre, se hace necesario desarrollar un ejercicio de evaluación, que nos permita conocer qué tan vulnerable somos con lo que actualmente tenemos, qué fallas a nivel de software y Información facilitada por HELGUERO ASOCIADOS 3
4 hardware se han identificado y concientizar a todo el personal de que existen debilidades y es necesario salvaguardar de la mejor forma los activos de la organización. Perspectiva de seguridad: La pregunta en esta posición, es qué pasaría si alguien quisiera ingresar de manera no autorizada en nuestra infraestructura? Cuestionamiento que responde de manera clara a una prueba de penetración, que permita valorar las seguridades actuales de la empresa, sus debilidades y limitaciones, identificar que tanto estamos preparados y resguardados de intrusos, y cuánto conocemos la infraestructura de comunicaciones. Integración o especialización de los tres paradigmas? Si bien las tres prácticas responden a un último objetivo que es la seguridad informática y cada uno de ellos puede variar en alcance y profundidad, son ejercicios que como se anotaba en la sección anterior, se orientan a necesidades e inquietudes diferentes pero complementarias. Ver Figura 1. De acuerdo con el planteamiento inicial, la información es un activo más de una organización y como tal representa la imagen de la misma en cualquier ámbito de sus negocios. En esa medida, la empresa y todo su personal es responsable del cuidado, uso y distribución de la misma en el marco de todas sus actuaciones, situación que redunda en consecuencias legales que conllevan sanciones y obligaciones ante hechos intencionales o no donde se encuentre comprometido el buen nombre de la compañía. Basados en esta situación general, la corporación debe demostrar la diligencia suficiente y el debido cuidado para mantener programas preventivos y correctivos que generen mayor conciencia, y aseguren actividades continuas con relación a la seguridad de la información. Dichas actividades, al estar enmarcadas dentro de la perspectiva legal y competitiva de la organización, deben formular proyectos que materialicen las inquietudes generales de la empresa alrededor de la información, en la modernización de la infraestructura tecnológica para mantener su confiabilidad, integridad y disponibilidad en el desarrollo de sus funciones de negocio. Por último, y como consecuencia de las actividades de actualización tecnológica, es prudente verificar los mecanismos de seguridad implantados en la infraestructura corporativa, con el propósito de obtener una visión real de sus limitaciones y ventajas, y evitar malos ratos que puedan ocurrir en el futuro. Recuerde que si usted no lo hace, otros lo harán por usted! Como hemos visto a lo largo de esta presentación los tres ejercicios se complementan y giran de manera continua a lo largo de la organización (ver Figura. 1), como una postura de seguridad informática proactiva que impacta la organización desde sus objetivos de negocio hasta la infraestructura técnica. Información facilitada por HELGUERO ASOCIADOS 4
5 Figura 1. Visión Complementaria de tres paradigmas: Evaluación de seguridad, Auditoría de seguridad y Pruebas de penetración. Referencias 1. PARKER, D. (1997) The Strategic Values of Information Security in Business. Computers & Security. Vol.16. No.5. pág CANO, J. (1998) Pautas y Recomendaciones para elaborar políticas de seguridad informática. Banco de la República, Departamento de Control Interno. Documento de Investigación. (Próximo a publicar en la FAQ (Frecuent Asked Questions) de lista de seguridad SEG-L) 3. KAPLAN, R. (1997) Penetration Testing: reward or ruin?. Computer Security Journal. Vol. XIII, No.1. pág HARDY, G. (1997) The relevance of penetration testing to corporate network security. Information Technical Report. Vol 2, No.3. pág Bibliografía BAASE, S. (1997) A gift of fire. Social, Legal and Ethical Issues in Computing. Prentice Hall. BAYUK, J. (1997) Security through process management. Price Waterhouse, LLP. Research Paper. CHAPMAN, B y ZWICKY, E.(1997) Construya Firewalls para Internet. O Really. Edición en Español por McGraw Hill. ICOVE, D., SEGER, K. y VONSTORCH, W (1995) Computer Crime. A crimefighter s Handbook. O reilly & Associates, Inc KNIGHTMARE (1994) Secrets of a Superhacker. Loompanics Unlimited. Organisation for Economic Cooperation and Development (OEDC) Guidelines for Security of Information Systems SWANSON et al. (1996) National Institute of Standard and Technology (NIST). General Principles for Information Systems Security Policies. WILSON, M (1996) Marketing and Implementing Computer Security. NIST. Research Paper Información facilitada por HELGUERO ASOCIADOS 5
ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesSecurity Health Check
www.pwc.es Security Health Check Aportamos el valor que necesitas Un problema no tan lejano... Durante los últimos años, las empresas han abordado procesos de transformación tecnológica sin precedentes
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesIDEA DE NEGOCIO EDUGER LOGISTIC GERMAN EDUARDO BALSERO MORALES PROFESOR: GERARDO ANDRES ARCOS CELIS
IDEA DE NEGOCIO EDUGER LOGISTIC GERMAN EDUARDO BALSERO MORALES PROFESOR: GERARDO ANDRES ARCOS CELIS CORPORACIÓN UNIVERSITARIA IBEROAMERICANA TECNOLOGIA EN LOGISTICA INFORMATICA BOGOTA D.C. 2013 INTRODUCCIÓN
Más detallesREPORTE DE CUMPLIMIENTO ISO 17799
Diseño de Reporte de Auditoría A continuación se presenta una plantilla del informe de auditoría de conformidad con la norma ISO 17799 que genera el sistema. REPORTE DE CUMPLIMIENTO ISO 17799 UNIDAD AUDITADA
Más detallesTest de intrusión (Penetration Test) Introducción
Test de intrusión (Penetration Test) Introducción Nos encontramos en una época en donde las empresas están sufriendo ataques informáticos cada vez en forma más asidua, basta con ver los informes anuales
Más detallesVENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL.
VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL. MIGUEL HUGO CAMARGO MARTINEZ RESUMEN RESPONSABILIDAD DEL REVISOR FISCAL EN EL CONTROL INTERNO
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesCapacitación, Consultoría, Auditoría y Proyectos
Capacitación, Consultoría, Auditoría y Proyectos CONTENIDO Quienes Somos 1 La Empresa 2,3 Nuestros Servicios Capacitación 5 Asesoría y Consultoría 6 Auditoría Gestión de Proyectos 7 Nuestros Productos
Más detallesNUESTRO TRABAJO MISIÓN VISIÓN. Gracias a que nos identificamos con nuestros. clientes, podemos reconocer, entender y satisfacer rápidamente
+ GENTE + TECNOLOGÍA OUTSOURCING GESTIONADO DE TI / OUTSOURCING DE SERVICE DESK / CONSULTORÍA EN TECNOLOGÍA SOFTWARE FACTORY / DESARROLLO DE APLICACIONES A MEDIDA / BÚSQUEDA Y SELECCIÓN DE RRHH NUESTRO
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesI INTRODUCCIÓN. 1.1 Objetivos
I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,
Más detallesINSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un
INSTRODUCCION Toda organización puede mejorar su manera de trabajar, lo cual significa un incremento de sus clientes y gestionar el riesgo de la mejor manera posible, reduciendo costes y mejorando la calidad
Más detallesIMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA
V REUNIÓN DE AUDITORES INTERNOS DE BANCA CENTRAL 8 AL 11 DE NOVIEMBRE DE 1999 LIMA - PERÚ IMPACTO DEL DESARROLLO TECNOLOGICO EN LA AUDITORIA Claudio Urrutia Cea Jefe de Auditoría BANCO CENTRAL DE CHILE
Más detallesCómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.
El equipo de inteligencia en seguridad de es una organización de investigación de primer nivel dedicada a descubrir vulnerabilidades y fallas de seguridad en redes de cómputo. Pocas son las organizaciones
Más detallesAUDITORÍAS Y AUDITORES ISO 9000:2000
AUDITORÍAS Y AUDITORES ISO 9000:2000 Ing. Miguel García Altamirano Servicios CONDUMEX S.A. de C.V. Delegado Mexicano en el Comité Internacional ISO TC 176 en el grupo JWG "Auditorías" Resumen: Los sistemas
Más detallesENFOQUE ISO 9000:2000
ENFOQUE ISO 9000:2000 1 PRESENTACION En 1980 la IOS (INTERNATIONAL ORGANIZATION FOR STANDARDIZATION) organismo de origen europeo, enfoco sus esfuerzos hacia el establecimiento de lineamientos en términos
Más detallesedatalia Soluciones de firma y factura electrónica www.edatalia.com Catálogo de Partners
edatalia Soluciones de firma y factura electrónica www.edatalia.com Catálogo de Partners edatalia Soluciones de firma y factura electrónica www.edatalia.com 1. Quiénes somos 2. La iniciativa de edatalia
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesProcedimiento de Sistemas de Información
Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4
Más detallesCurso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007
Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS
Más detallesSEGURIDAD GESTIONADA
SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesNorma ISO 9001: 2008. Sistema de Gestión de la Calidad
Norma ISO 9001: 2008 Sistema de Gestión de la Calidad Hemos recibido una solicitud de información a través de nuestra Web (www.grupoacms.com). Próximamente un comercial de ACMS se pondrá en contacto con
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesDE VIDA PARA EL DESARROLLO DE SISTEMAS
MÉTODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS 1. METODO DEL CICLO DE VIDA PARA EL DESARROLLO DE SISTEMAS CICLO DE VIDA CLÁSICO DEL DESARROLLO DE SISTEMAS. El desarrollo de Sistemas, un proceso
Más detallesCAPITULO I. Introducción. En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y
CAPITULO I Introducción 1.1 Introducción En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y redes computacionales. La tecnología ha ido evolucionando constantemente
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detalles!!!!!! Soluciones a medida para nuestros clientes.
Soluciones a medida para nuestros clientes. Somos una firma Nacional con presencia internacional Quienes somos..2 Filosofía LaBE 4 LaBE Abogados..6 Nuestros valores.3 Grupo LaBE 5 LaBE Consultores 7 LaBE
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesGuía de Auditoria. Ejemplo: Fecha Hoja DD MM AA de. Logo y nombre de la empresa que realiza la auditoría. Actividad que Ref.
Logo y nombre de la empresa que realiza la auditoría. Actividad que Ref. será evaluada Guía de Auditoria. Nombre de la empresa y área de sistemas auditada. Procedimientos de auditoria Herramientas que
Más detallesCA.Solutions Asesoría IT Dossier Corporativo
Dossier Corporativo Dossier Corporativo 01 01. Profesionales en Informática CA.Solutions, es una empresa de informática afincada en el sur de Chile. presentes desde Puerto Montt hasta Coyhaique. Formada
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesEXPERTOS EN CUMPLIMIENTO NORMATIVO
EXPERTOS EN CUMPLIMIENTO NORMATIVO EXPERTOS EN CUMPLIMIENTO NORMATIVO Alcatraz Solutions, expertos en cumplimiento normativo, se ha constituido de un tiempo a esta parte en un referente en el ámbito de
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesElementos requeridos para crearlos (ejemplo: el compilador)
Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción
Más detallesPUBLICACIÓN INFORMATIVA DE LA ASOCIACIÓN ESPAÑOLA DE FINANCIEROS DE EMPRESA N 64. MARZO
PUBLICACIÓN INFORMATIVA DE LA ASOCIACIÓN ESPAÑOLA DE FINANCIEROS DE EMPRESA N 64. MARZO 2013 Entrevista a Luis de la Haza, Grupo COSENTINO ı 38 ı Deducibilidad de los gastos financieros en el IS ı 24 ı
Más detallesNombre del Documento: Manual de Gestión de la Calidad. Referencia a punto de la norma ISO 9001:2000: 4.2.2 DIRECCIÓN GENERAL DE EVALUACIÓN
Página 1 de 8 DIRECCIÓN GENERAL DE EVALUACIÓN 7.1 Planificación de la realización del servicio En la Dirección General de Evaluación (DGE) la planificación de la realización del servicio está sustentada
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesPLANIFICACIÓN ESTRATÉGICA: CONCEPTO Y ASPECTOS BÁSICOS.
PLANIFICACIÓN ESTRATÉGICA: CONCEPTO Y ASPECTOS BÁSICOS. QUÉ ES LA PLANIFICACIÓN? Planificar no es adivinar el futuro, sino más bien, es tomar un conjunto de decisiones que llevadas a la práctica a través
Más detallesANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad
Más detallesCómo hacer que el CEO nos invite a cenar a su casa. SI como Unidad de Negocio
Cómo hacer que el CEO nos invite a cenar a su casa. SI como Unidad de Negocio Presentada por: Marcelo F. Rodríguez Director de Operaciones ROOT-SECURE 1 Aclaración: Todos los derechos reservados. No está
Más detallesIntroducción Fundamentos teóricos Diapositivas de Inisoft CMI
Inisoft CMI Introducción Fundamentos teóricos Diapositivas de Inisoft CMI 1 Introducción El control de Gestión empresarial ha ido evolucionando, desde un enfoque basado en el análisis de ratios económicos
Más detallesSISTEMA DE ADMINISTRACIÓN DE RELACIÓN CON EL CLIENTE (CRM) Autor: M.P. Cesar Alberto Castañón Vite
SISTEMA DE ADMINISTRACIÓN DE RELACIÓN CON EL CLIENTE (CRM) Autor: M.P. Cesar Alberto Castañón Vite CRM CRM es un concepto y no es solo una herramienta. Si la gente no esta comprometida a llevar adelante
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesHoja Informativa ISO 9001 Comprendiendo los cambios
Revisiones ISO Hoja Informativa ISO 9001 Comprendiendo los cambios Cambios que se aproximan ISO 9001 de un vistazo Cómo funciona ISO 9001? ISO 9001 puede ser aplicado a todo tipo de organizaciones de cualquier
Más detallesPOLÍTICA DE TECNOLOGÍA DE INFORMACIÓN
TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades
Más detallesUF1138 Instalación y Puesta en Marcha de un Sistema de Control de Acceso y Presencia (Online)
UF1138 Instalación y Puesta en Marcha de un Sistema de Control de Acceso y Presencia TITULACIÓN DE FORMACIÓN CONTINUA BONIFICADA EXPEDIDA POR EL INSTITUTO EUROPEO DE ESTUDIOS EMPRESARIALES UF1138 Instalación
Más detallesEs nuestra intención presentarnos ante ustedes y de esta forma mostrarles cada
Es nuestra intención presentarnos ante ustedes y de esta forma mostrarles cada uno de los servicios con los que contamos y que, al ser requeridos por vuestra organización, no dudamos generarán una utilidad
Más detallesRecomendaciones relativas a la continuidad del negocio 1
Recomendaciones relativas a la continuidad del negocio 1 La continuidad de un negocio podría definirse como la situación en la que la operativa de una entidad tiene lugar de forma continuada y sin interrupción.
Más detallesPrincipios de Privacidad y Confidencialidad de la Información
Principios de Privacidad y Confidencialidad de la Información Con el objetivo de mantener nuestro permanente liderazgo en la protección de la privacidad del cliente, Manufacturera 3M S.A de C.V está activamente
Más detallesSeptiembre 2014. Novedades en la norma ISO 14001:2015
Septiembre 2014 Novedades en la norma ISO 14001:2015 Introducción La actual norma ISO 14001, en vigor desde 2004, está en proceso de revisión. Actualmente existe un borrador de norma ISO/DIS 14001 (Draft
Más detallesIntroducción Fundamentos teóricos Diapositivas de Inisoft CMI
Inisoft CMI Introducción Fundamentos teóricos Diapositivas de Inisoft CMI Copyright Inisoft 2.008 1 Introducción El control de Gestión empresarial ha ido evolucionando, desde un enfoque basado en el análisis
Más detallesCAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES
CONCLUSIONES Y RECOMENDACIONES 6.1. Conclusiones. 6.2. Recomendaciones. 6.1. CONCLUSIONES Informática forense La Informática Forense en la actualidad ha tomado gran importancia porque permite encontrar
Más detallesBOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA
BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad
Más detallesMETODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.
METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,
Más detallesLINEAMIENTOS DE RENDICIÓN DE CUENTAS DE LA CREG
LINEAMIENTOS DE RENDICIÓN DE CUENTAS DE LA CREG La política de rendición de cuentas establecida por el Gobierno Nacional a través del documento CONPES 3654 de 2010 busca consolidar una cultura de apertura
Más detallesINTRODUCCIÓN. El propósito de esta investigación es analizar la importancia que ha surgido en
INTRODUCCIÓN El propósito de esta investigación es analizar la importancia que ha surgido en los sistemas de costos ABC para las empresas de Servicios Mexicanas, ya que este sector forma una parte muy
Más detallesLa auditoría operativa cae dentro de la definición general de auditoría y se define:
AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos
Más detallesGuía para la Administración de Software
UNIVERSIDAD INTERAMERICANA DE PUERTO RICO RECINTO DE PONCE CENTRO DE SISTEMAS DE INFORMACION Y TELECOMUNICACIONES Guía para la Administración de Software VERSION 1.0 REVISADA JULIO DE 1999 CSAS-D001-07/99
Más detallesPROGRAMA DE GESTIÓN DOCUMENTAL
PROGRAMA DE GESTIÓN DOCUMENTAL PROGRAMA DE SEGUIMIENTO Y CONTROL Aprobó: Olga Sanabria Amín Vicepresidente Financiera y Administrativa Reviso: Carlos Alejandro Vanegas Gerente de Elaboró: Grupo de Gestión
Más detallesCONTROL DE DOCUMENTOS
PR-SGIA-2 1 de 5 1. PROPÓSITO Este documento tiene por objeto establecer los lineamientos para el control administrativo y operativo de los documentos internos del Sistema de Gestión Integral de Panamericana
Más detallesAcerca de EthicsPoint
Acerca de EthicsPoint Reportes General Seguridad y confidencialidad de los reportes Consejos y mejores prácticas Acerca de EthicsPoint Qué es EthicsPoint? EthicsPoint es una herramienta de reporte anónima
Más detallesI. Introducción: [AUDITORÍA DE SISTEMAS] UNI - RUACS. Unidad I: Auditoría Informática
Unidad I: Auditoría Informática Tema: Introducción Conceptos de Auditoría Informática Objetivos de la Auditoría Informática Importancia de la Auditoría Informática Reafirmando La Necesidad de Auditar I.
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesNorma ISO 9000-3. Francisco D Angelo Douglas García Claudia Herrera Luis Laviosa
Norma ISO 9000-3 Francisco D Angelo Douglas García Claudia Herrera Luis Laviosa Norma ISO 9000-3 Marco Teórico Reseña sobre concepto de calidad y descripción de las normas ISO Norma ISO 9000-3 Generalidades,
Más detallesPERFILES OCUPACIONALES
PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan
Más detallesIs not jus power, is reliability and trust. Yei Systems S.A. de C.V.
Is not jus power, is reliability and trust Yei Systems S.A. de C.V. Nos es muy grato dirigirnos a Usted para ofrecerle nuestros servicios de Auditoría de sistemas, Desarrollo de software y Seguridad Informática
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesPolítica General de Control y Gestión de Riesgos
Empresas Inarco Política General de Control y Gestión de Riesgos Auditoría Interna 2014 POLITICA GENERAL DE CONTROL Y GESTION DE RIESGOS EMPRESAS INARCO La Política General de Control y Gestión de Riesgos,
Más detallesEXPERTOS EN DESARROLLO WEB
EXPERTOS EN DESARROLLO WEB ADAPTACIÓN A LA NUEVA NORMATIVA SOBRE COOKIES NUEVA NORMATIVA SOBRE EL USO DE COOKIES A D SITUACIÓN DESEADA SITUACIÓN ACTUAL Se establecen multas a las empresas que no informen
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesDEPARTAMENTO DEL META MUNICIPIO DE PUERTO LLERAS NIT 892.099.309-2 CONTROL INTERNO INFORME SEGUIMIENTO MAPA DE RIESGOS
PROCESO AREA AUDITADA: MAPA DE RIESGOS DIRECTIVO RESPONSABLE: Secretaria de Planeación Responsables de los Procesos FECHA DE ELABORACION: Marzo de 2014 DESTINATARIO: Alcaldesa Secretarios de Despacho ASPECTOS
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesGUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES
GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES Tema: Cartas de Servicios Primera versión: 2008 Datos de contacto: Evaluación y Calidad. Gobierno de Navarra. evaluacionycalidad@navarra.es
Más detallesGUIA PARA TRABAJO PRÁCTICO DIAGNOSTICO ESTRATÉGICO DE UN SISTEMA DE GESTIÓN DE LA CALIDAD
GUIA PARA TRABAJO PRÁCTICO Pedro J. Saturno, 2011 DIAGNOSTICO ESTRATÉGICO DE UN SISTEMA DE GESTIÓN DE LA CALIDAD OBJETIVOS El participante debe realizar un análisis de las características del Sistema de
Más detallesEvaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros. Universidad Técnica Federico Santa María
Evaluación del ROI en implementación de Sistemas de Gestión de Activos Mineros Universidad Técnica Federico Santa María Gestión de Activos: La eficiencia en la Gestión de Activos Mineros es uno de los
Más detallesAUDITOR INTERNO ISO/IEC 27001:2013
Propuesta: AUDITOR INTERNO ISO/IEC 27001:2013 Junio 11 de 2015 Las partes se comprometen a mantener la confidencialidad absoluta con respecto a la información contenida en el presente documento. Esta "Información",
Más detallesResumen Ejecutivo DGICO-CA-PO-018-04
Resumen Ejecutivo I. Nombre y antecedentes de la práctica 1. Anote el nombre de la práctica (tal y como se nombró en la solicitud de registro) PROGRAMA E-KAMPUS SISTEMA DE CONTROL ESCOLAR 2. Describa brevemente
Más detallesn u e v o s p a r a d i g m a s... n u e v a s s o l u c i o n e s.
SOLUCIONES ESTRATÉGICAS DE VALOR A SU NEGOCIO n u e v o s p a r a d i g m a s... n u e v a s s o l u c i o n e s. 1 Presentación Qué es y por qué trabajar con KND? «Nos esforzamos en ofrecer un alto grado
Más detallesEducación y capacitación virtual, algo más que una moda
Éxito Empresarial Publicación No.12 marzo 2004 Educación y capacitación virtual, algo más que una moda I Introducción Últimamente se ha escuchado la posibilidad de realizar nuestra educación formal y capacitación
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,
Más detallesNORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD
NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva
Más detallesMarco Normativo de IT
Marco Normativo de IT PC0901 - Proceso de control de cambios en software de aplicación provisto por Organismos Gobierno de la Ciudad Autónoma de Buenos Aires PC0901 - Proceso de control de cambios en software
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesExsis Software & Soluciones S.A.S
Exsis Software & Soluciones S.A.S., es una empresa de recursos y capital netamente colombiano que dio inicio a sus actividades como proveedor de soluciones a la medida, con el fin de brindar a nuestros
Más detallesSistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención
Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención Autor: autoindustria.com Índice 0. Introducción 1. Auditorías del Sistema de Prevención de Riesgos Laborales 1.1. Planificación
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesATENTTIA HOLDING S.A.S.
ATENTTIA HOLDING S.A.S. QUIÉNES SOMOS? ATENTTIA HOLDING S.A.S. es una firma de consultoría domiciliada en la ciudad de Bogotá D.C. (Colombia), enfocada en brindar consultoría a personas naturales y jurídicas,
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesUNIVERSIDAD DE ESPECIALIDADES ESPIRITU SANTO FACULTAD DE CIENCIAS DE LA COMUNICACION PROGRAMA ANALITICO
UNIVERSIDAD DE ESPECIALIDADES ESPIRITU SANTO FACULTAD DE CIENCIAS DE LA COMUNICACION PROGRAMA ANALITICO A. DATOS GENERALES MATERIA: Marketing online CODIGO : MKT 460 PREREQUISITOS: PROFESOR: Antonio Márquez
Más detalles