CALIDAD Y SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA INFORMÁTICA

Tamaño: px
Comenzar la demostración a partir de la página:

Download "CALIDAD Y SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA INFORMÁTICA"

Transcripción

1 UNIVERSIDAD CARLOS III DE MADRID ESCUELA POLITÉCNICA SUPERIOR INGENIERÍA TÉCNICA DE INFORMÁTICA DE GESTIÓN CALIDAD Y SEGURIDAD DE LA INFORMACIÓN Y AUDITORÍA INFORMÁTICA Curso Leganés, 23 Noviembre de 2009 Autora: Esmeralda Guindel Sánchez Tutor: Miguel Ángel Ramos González

2 A mi madre, a quien este proyecto debe mucho más de lo que parece

3 ÍNDICES - 2 -

4 ÍNDICE TEMÁTICO 1. Consideraciones previas Pág Introducción Pág Concepto de calidad Pág Evolución histórica Pág Algunos conceptos Pág Calidad del software Pág Concepto de seguridad Pág Seguridad de la información Pág Seguridad informática Pág Calidad del soporte lógico Pág En la elección y aplicación del método Pág Decisión Pág Implantación del método Pág Respecto a la empresa Pág La organización interna Pág Las personas Pág Propuestas de estructura Pág Canalización de las demandas de los usuarios Pág Resolución de conflictos Pág Plan de contingencia Pág Objetivo Pág Características Pág Calidad técnica Pág Elementos para la evaluación Pág Criterios para evaluar la calidad del software Pág Calidad en la explotación Pág Normas Pág Organización internacional para la estandarización Pág Concepto de normalización Pág Normas en calidad de explotación Pág Controles internos Pág Evaluación de resultados Pág Seguridad Pág Objetivos de las medidas de seguridad Pág Consideraciones sobre seguridad Pág Normas obligatorias Pág

5 4.5.4 Errores más frecuentes Pág Pasos a dar para la gestión de un problema Pág Técnicas avanzadas de gestión de la calidad Pág Benchmarking Pág La reingeniería de procesos Pág El área de calidad informática Pág Inserción en la estructura de la empresa Pág Dependencia Pág Su composición Pág Jefatura Pág Integrantes Pág Perfiles Pág Funciones y responsabilidades Pág Descripción Pág Infraestructura de la calidad Pág Calidad, Seguridad y auditoría Pág Introducción histórica Pág Definición Pág Alcance y objetivos de la auditoría Pág Objetivo fundamental de la auditoría informática Pág Actividades a ser realizadas en una auditoría Pág Su relación con el área de calidad informática Pág Ámbito de actuación Pág Respecto a las áreas informáticas Pág En el entorno informático Pág Síntomas de auditoría Pág Tipos y clases de auditorías (no es interna y externa) Pág Auditoría de explotación Pág Auditoría de desarrollo Pág Auditoría de sistemas Pág Auditoría de comunicaciones Pág Auditoría de seguridad Pág Requisitos de auditoría informática Pág Auditoría interna y/o externa Pág Externa: bases para la contratación Pág Auditorías externas de calidad Pág Interna: dependencia y funciones Pág Auditorías internas de calidad Pág

6 7.7.3 Diferencias entre auditoría interna y externa Pág Revisión de controles de la gestión informática Pág Perfil del auditor informático Pág Capacidad, conocimientos, formación Pág Requisitos de una auditoría de calidad Pág Plan de auditorías Pág Manual de las auditorías Pág Personas que intervienen en las auditorías Pág Fases de una auditoría de calidad Pág Auditoría de la seguridad informática Pág Políticas de seguridad informática (SEG) Pág Generalidades Pág Definición de políticas de seguridad informática Pág Elementos de una política de seguridad informática Pág Parámetros para establecer políticas de seguridad Pág Razones que impiden la aplicación de las políticas de seguridad informática Pág Privacidad en la red y control de intrusos Pág Privacidad en la red Pág Generalidades Pág Definición de privacidad de las Redes Pág Requisitos para mantener la privacidad de las redes Pág Riesgos o amenazas a la privacidad de las redes Pág Detección de intrusos Pág Generalidades Pág Factores que propician el acceso de intrusos a la redes y sistemas Pág Medidas para controlar el acceso de intrusos Pág Principales actividades de los intrusos o piratas informáticos Pág Virus y antivirus (V/A) Pág Virus Pág Generalidades Pág Definiciones Pág Características Pág

7 Quiénes hacen los virus? Pág Síntomas más comunes de virus Pág Clasificación Pág Ciclo de infección Pág Medidas de protección efectivas Pág Antivirus Pág Generalidades Pág Definición de antivirus Pág Los antivirus más buscados Pág Antivirus al rescate Pág Conozca bien su antivirus Pág Importancia del antivirus Pág Seguridad Pág Generalidades Pág Seguridad del correo Pág Cómo puede elaborar un protocolo de seguridad antivirus? Pág Etapas para implantar un sistema de seguridad Pág Beneficios de un sistema de seguridad Pág Disposiciones que acompañan la seguridad Pág Herramientas y técnicas para la auditoría informática Pág Cuestionarios Pág Entrevistas Pág CheckList Pág Trazas y/o Huellas Pág Software de Interrogación Pág Metodologías para la aplicación de las auditorías de la calidad Pág Desarrollo de las auditorías Pág Métodos para la realización de auditorías Pág Metodología de trabajo de auditoría Pág Estudio inicial Pág Organización Pág Entorno operacional Pág Aplicaciones bases de datos y ficheros Pág Determinación de recursos de la auditoría informática Pág Recursos materiales Pág

8 Recursos humanos Pág Actividades de la auditoría informática Pág Informe final Pág Errores más comunes en las auditorías de calidad Pág Auditoría en el marco de LOPD Pág Quién está obligado a la auditoría de la LOPD Pág Cada cuánto tiempo hay que hacerla Pág Quién la hace y a quién se le comunica Pág Qué ocurre si no la hago Pág Qué contenido tiene la auditoría Pág Artículos relacionados con la auditoría en el marco de LOPD Pág Medidas en LOPD Pág CRMR Pág Definición de la metodología CRMR Pág Supuestos de aplicación Pág Áreas de aplicación Pág Objetivos Pág Alcance Pág Información necesaria para la evaluación del CRMR Pág Caso práctico de una auditoría de seguridad informática (ciclo de seguridad) Pág Ciclo de seguridad Pág FASE 0: Causas de realización de una auditoría de seguridad Pág FASE 1: Estrategia y logística del ciclo de seguridad Pág FASE 2: Ponderación de sectores del ciclo de seguridad Pág Pesos técnicos Pág Pesos políticos Pág Pesos finales Pág FASE 3: Operativa del ciclo de seguridad Pág FASE 4: Cálculos y resultados del ciclo de seguridad Pág Confección del informe del ciclo de seguridad Pág Algunas vulnerabilidades respecto a la seguridad de la información Pág Las veinte vulnerabilidades más importantes en internet Pág

9 9.2 Concepto de neutralidad de red Pág Desarrollo histórico Pág Diferentes posturas Pág Argumentos de cada postura Pág Tendencias en auditoría y seguridad informática Pág El riesgo de predecir lo que pasará Pág Evoluciona la ciberguerra fría Pág Se transforma la inseguridad en las aplicaciones Pág Se acentúa la amenaza de incidente de seguridad interno Pág Las iniciativas normativas y regulatorias se hacen más evidentes Pág Muchos estándares, muchos procedimientos, poco gobierno y poca interiorización en seguridad de la información. Pág Tendencias en auditoría informática Pág Tendencias en seguridad informática Pág Qué nos depara el malware en el futuro? Pág. 170 Conclusiones generales Pág. 173 Apéndice A: Lista de normas ISO Pág. 176 Apéndice B: ISO Pág. 179 Introducción Pág. 180 Origen Pág. 180 La serie Pág. 181 Contenido resumido Pág. 183 Beneficios Pág. 187 Cómo adaptarse? Pág. 188 Arranque del proyecto Pág. 188 Planificación Pág. 189 Implementación Pág. 190 Seguimiento Pág. 191 Mejora continua Pág. 192 Aspectos clave Pág. 192 Fundamentales Pág. 192 Factores de éxito Pág. 193 Riesgos Pág. 193 Consejos básicos Pág. 194 Apéndice C: ISO Pág. 195 Organización Pág

10 Certificación Pág. 197 Qué es ISO 20000? Pág. 197 Las ventajas de la norma ISO Pág. 197 Estructura Pág. 198 Propósito Pág. 199 Qué encontramos en común con la ISO 27000? Pág. 201 Conclusiones Pág. 201 Relación con ITIL Pág. 202 Apéndice D: Gestión de servicio TI Pág. 203 Apéndice E: Aplicación - cuestionario ISO Pág. 206 Especificaciones funcionales Pág. 207 Especificaciones técnicas Pág. 212 Código del programa Pág. 213 Glosario Pág. 227 Bibliografía Pág

11 ÍNDICE DE IMÁGENES Imagen 1: Evolución histórica Pág. 18 Imagen 2: Método planificar-realizar-comprobar-actuar para los procesos de gestión del servicio Pág. 24 Imagen 3: Ejemplo de estructura de una empresa Pág. 30 Imagen 4: Ejemplo de organización de una empresa Pág. 30 Imagen 5: Mapa mundial de estados con comités miembros de la ISO Pág. 38 Imagen 6: Gráfico de barras: Segmentos, secciones y subsecciones Pág. 150 Imagen 7: Diferentes posturas Pág. 161 Imagen 8: Historia ISO Pág. 181 Imagen 9: ISO Cómo adaptarse? Pág. 188 Imagen 10: ISO Arranque del proyecto Pág. 188 Imagen 11: ISO Planificación Pág. 189 Imagen 12: ISO Implementación Pág. 190 Imagen 13: ISO Seguimiento Pág. 191 Imagen 14: ISO Mejora continua Pág. 192 Imagen 15: Procesos de gestión de servicios de la norma Pág. 199 Imagen 16: Relación entre ISO e ITIL Pág. 202 Imagen 17: Cuestionario ISO 20000: Transacción Pág. 207 Imagen 18: Cuestionario ISO 20000: Requisitos del sistema de gestión Pág. 208 Imagen 19: Cuestionario ISO 20000: Planificación e implementación de la gestión del servicio y planificación e implementación de servicios nuevos o modificados Pág. 208 Imagen 20: Cuestionario ISO 20000: Procesos de provisión de servicio Pág. 209 Imagen 21: Cuestionario ISO 20000: Procesos de provisión de servicio y procesos de relación Pág. 210 Imagen 22: Cuestionario ISO 20000: Procesos de resolución Pág. 210 Imagen 23: Cuestionario ISO 20000: Procesos de control Pág. 211 Imagen 24: Cuestionario ISO 20000: Proceso de entrega Pág. 211 Imagen 25: Cuestionario ISO 20000: Resultado final Pág. 212 Imagen 26: Ejemplo diseño gráfico de una dynpro Pág

12 ÍNDICE DE TABLAS Tabla 1: Áreas específicas de la auditoría informática Pág. 74 Tabla 2: Ejemplo de matriz de riesgo Pág. 83 Tabla 3: Diferencias auditoría externa/interna Pág. 86 Tabla 4: Métodos para realizar auditorías, tabla de respuestas Pág. 124 Tabla 5: Grado de cumplimiento / nivel de riesgo Pág. 124 Tabla 6: Perfiles profesionales de los auditores informáticos Pág. 129 Tabla 7: Ciclo de seguridad Pág. 143 Tabla 8: Pesos finales Pág. 143 Tabla 9: Control de accesos: autorizaciones Pág. 145 Tabla 10: Control de accesos: controles automáticos Pág. 146 Tabla 11: Control de accesos: vigilancia. Pág. 146 Tabla 12: Control de accesos: registros. Pág. 147 Tabla 13: Ciclo de seguridad: segmento 8, seguridad física Pág. 148 Tabla 14: Ciclo de seguridad: evaluación y pesos de segmentos Pág. 149 Tabla 15: Especificaciones técnicas Pág. 212 Tabla 16: Especificaciones técnicas objetos z Pág

13 ÍNDICE DE ESQUEMAS Esquema 1: Alcance de la auditoría Pág. 63 Esquema 2: Auditorías externas de calidad Pág. 84 Esquema 3: Auditorías internas de calidad Pág

14 CAPÍTULO 1: CONSIDERACIONES PREVIAS

15 CONSIDERACIONES PREVIAS Cada día son más las empresas que perciben su información como el motor del negocio que es, un activo estratégico que diariamente es sometido a nuevos y más graves riesgos imposibilitando que de manera efectiva, la información aporte el valor que tiene, siendo necesario vencer la inseguridad y la desconfianza que esto genera. Virus, hackers, averías, incendios, personal descontento, errores humanos, son miles las amenazas que tienen efectos devastadores, y que generan: Indisponibilidad: No poder acceder a la información cuando es vital y necesaria para la toma de decisiones, por inoperatividad de las infraestructuras tecnológicas. Falta de confidencialidad: Información accedida por personas no autorizadas. Robo de datos de clientes, espionaje, filtraciones, fraude. Pérdida de integridad: alteración de la información intencionada o por error al no existir controles. Falta de confianza en las transacciones electrónicas con terceros, al no existir mecanismos de autenticidad y repudio. Afrontar estas situaciones, controlando la inseguridad de nuestros sistemas de información dentro de límites aceptables por el negocio sólo es posible mediante la integración de medidas organizativas y técnicas en el marco del desarrollo de una Cultura de la Seguridad y Calidad de la Información en la empresa. No es posible eliminar las amenazas pero sí debemos reducir la posibilidad de que actúen y el perjuicio que pueden ocasionar: Es decir, controlar el riesgo para generar seguridad y confianza, aportando veracidad y calidad a la información que se está tratando. En una sociedad en la que los cambios se producen de manera vertiginosa, y donde la información, la tecnología y su continua innovación son el propulsor principal de una espiral de oportunidades, nuevos riesgos amenazan permanentemente a las organizaciones: la complejidad de la tecnología, información de deficiente calidad, confidencialidad comprometida etc., cuyos efectos son cada vez más graves: pérdida de confianza y oportunidad, costes económicos... Por ello es necesario proteger la información de las organizaciones y la confianza de sus clientes ayudando al desarrollo de una verdadera cultura de la seguridad en la empresa, desarrollar un proceso de mejora continua y maduración, a través de la evaluación, metodologías de calidad, la auditoría Informática y ayudar a las empresas en el cumplimiento de las normativas. Actualmente todas las entidades que realizan software comienzan a prestar una gran atención en la calidad y seguridad de sus productos. Esto se debe, en parte, a que los clientes cada vez son más exigentes. Además, el no tener calidad y seguridad, implica la pérdida de clientes puesto que acudirán a aquellas empresas que les ofrezcan una calidad especificada por alguna norma y una seguridad a su producto. La calidad pretende obtener el cumplimiento de las expectativas pactadas con el/los cliente/s siguiendo los estándares establecidos para garantizar así el éxito. La calidad depende fundamentalmente de las expectativas de los clientes, ya que son ellos quienes finalmente perciben o evalúan la calidad. Bajo este prisma, la calidad puede ser definida como la brecha entre el desempeño real y el desempeño esperado. A menor brecha, mayor calidad. Para lograr una buena calidad, es decir para que el desempeño del producto o

16 servicio sea mayor o igual que las expectativas de los clientes, la clave está en conocer y comprender cuáles son esas expectativas. El principal impacto de una mala calidad es la pérdida de rentabilidad y competitividad. Toda empresa que logra un buen nivel de calidad logra aumentar el valor de sus productos, sus ventas y su participación de mercado. Si además logra reducir sus costos, entonces la competitividad de la empresa será aún mayor. Los datos de alta calidad deben ser completos, consistentes, exactos y actualizados. La necesidad de este tipo de datos es cada vez mayor ya que las compañías cada vez necesitan ser más eficientes en su operativa, cumplir con las normativas vigentes y contar con capacidades de monitorización que permitan que la calidad de datos se gestione como una iniciativa global. La calidad comienza con una decisión estratégica que sólo puede ser tomada por la alta gerencia, la cual, es la decisión de competir como una compañía de categoría mundial. La calidad se concentra en lograr un desempeño de alta calidad en cada una de las facetas de la empresa. La Seguridad informática no comprende únicamente características técnicas, sino que tiene que incorporar al personal, tanto interno como externo, a la gestión y a la organización. Debido a la sensación de inseguridad que planea sobre la sociedad en general, también en el campo de la informática se requiere cada vez más un aumento de los niveles de Seguridad por parte de todos. La Auditoría de Sistemas de Información comprende la revisión y la evaluación independiente y objetiva, abarcando todo o algunas de las áreas de los sistemas de información, sus estándares y procedimientos en vigor, para determinar si el sistema salvaguarda los activos, mantiene la integridad de la información y el cumplimiento de los objetivos fijados por la organización. Teniendo en cuenta lo mencionado anteriormente, se puede observar la importancia de la Calidad y Seguridad en los entornos informáticos. De esta importancia surge este proyecto, cuya finalidad es profundizar en el conocimiento de la calidad y de la seguridad de la información. Se trata de relacionar ambas características, a la luz de los principales estándares aplicables, así como la auditoría como herramienta para las revisiones. Se busca desarrollar una cultura de calidad y seguridad en el lector. Se tratan los conceptos de calidad, seguridad y auditoría informática. La aplicación de estándares para su puesta en marcha y se dan detalles sobre su contenido. Con todo esto se pretende dar al lector un conocimiento más amplio de aquellas normas que afectan directamente a la calidad, a la seguridad y a la auditoría informática, que le permita saber que norma aplicar. Se profundiza en estos conceptos, aplicándolos a las empresas y a la situación actual del mercado, evaluando las tendencias de la seguridad, auditoría y calidad en un futuro. Se puede observar la importancia de estos términos. Además se le da gran importancia a la auditoría informática relacionada con la calidad y la seguridad. El fin último es que cada persona implicada en labores informáticas esté convencida de que un trabajo bien hecho es aquel que cumple los requisitos de calidad y de seguridad necesarios, no sólo cuando ya está finalizado, sino durante toda su ejecución

17 CAPÍTULO 2: INTRODUCCIÓN

18 2. INTRODUCCIÓN 2.1 CONCEPTO DE CALIDAD El término calidad es ambiguamente definido y pocas veces comprendido, esto se debe a que: La calidad no es una sola idea, es un concepto multidimensional; La dimensión de calidad incluye el interés de la entidad, el punto de vista de la entidad, y los atributos de la entidad; Por cada concepto existen diferentes niveles de abstracción; Varía para cada persona en particular. Una definición que se podría dar de calidad sería: Conjunto de propiedades y de características de un producto o servicio, que le confieren aptitud para satisfacer unas necesidades explícitas o implícitas Evolución Histórica Inspección/detección de errores: hasta los años 40. Inicialmente el trabajo era artesanal y el control existente era individual, independiente de cada tarea. En el año 1918, Ford Motor Company, monta la Primera cadena de montaje y en 1930 Laboratorios Bel la pone en marcha. Control (estadístico) de calidad: hasta los años 80. El mercado es poco competitivo. Precio de venta es fijado por el fabricante en función de los costes. La principal función es impedir que el producto defectuoso llegue al cliente. Se persigue conseguir uniformidad de servicio. El concepto de control de calidad es igual a problema a resolver. Se utilizan técnicas estadísticas para controlar la calidad del departamento de producción. Se destacan en este periodo: Japón y Calidad total ( ). Deming, Ishikawa, Juran, Crosby, Garantía de calidad: a partir de los 80. El mercado se caracteriza por ser competitivo y de oferta. El precio de venta es fijado por el mercado. Entran en juego la planificación y medida de la calidad. Se implantan modelos de calidad que afectan a todos los departamentos Interés por la calidad en los EEUU. TQM Premio Malcom Baldrige Quality Award ISO A partir de las normas británicas Premio Europeo a la calidad de la EFQM

19 Gestión de calidad hoy. Se busca un impacto estratégico y la oportunidad de ventaja competitiva. Tienen relevancia conceptos como: Planificación, fijación de objetivos, coordinación, formación, adaptación de toda la organización. La calidad afecta a la sociedad en general: directivos, trabajadores, clientes. Se toma como una filosofía, una cultura, una estrategia, un estilo de gerencia de la empresa. Mejora de la calidad Mejora Mejora continua contínua Calidad total Garantía de calidad Prevenir defectos Control de calidad Detectar defectos Imagen 1: Evolución Histórica Tiempo Algunos conceptos Calidad: Conjunto de propiedades y características de un producto o servicio que le confieren su aptitud para satisfacer unas necesidades explícitas o implícitas Control de calidad: Conjunto de técnicas y actividades de carácter operativo, utilizadas para verificar los requerimientos relativos a la calidad del producto o servicio. Garantía de calidad: Conjunto de acciones planificadas y sistemáticas necesarias para proporcionar la confianza adecuada de que un producto o servicio satisfará los requerimientos dados sobre calidad. Gestión de la calidad: Aspecto de la función de gestión que determina y aplica la política de la calidad, los objetivos y las responsabilidades y que lo realiza con medios tales como la planificación de la calidad, el control de la calidad, la garantía de calidad y la mejora de la calidad. La gestión de la calidad es responsabilidad de todos los niveles ejecutivos, pero debe estar guiada por la alta dirección. Su realización involucra a todos los miembros de la organización. En la gestión de la calidad, se tienen en cuenta también criterios de rentabilidad. Sistema de gestión de la calidad: Conjunto de la estructura de la organización, de responsabilidades, procedimientos, procesos y recursos que se establecen para llevar a término la gestión de calidad

20 Debe tener el volumen y alcance suficiente para conseguir los objetivos de calidad. Está fundamentalmente previsto para satisfacer las necesidades internas de la organización.). Para finalidades contractuales o vinculantes en la valoración de la calidad, se puede exigir que se ponga de manifiesto la realización de ciertos elementos del sistema de gestión de la calidad Calidad del Software La calidad del software es el grado con el que un sistema, componente o proceso cumple los requerimientos especificados y las necesidades o expectativas del cliente o usuario. (IEEE, Std ). Concordancia del software producido con los requerimientos explícitamente establecidos, con los estándares de desarrollo prefijados y con los requerimientos implícitos no establecidos formalmente, que desea el usuario (Pressman, 1998). Factores que determinan la calidad del software: Se pueden clasificar en dos grandes grupos (Pressman): Factores que pueden ser medidos directamente. Factores que sólo pueden ser medidos indirectamente. Se centran en tres aspectos importantes de un producto software (McCall): Características operativas: Corrección, fiabilidad, eficiencia, seguridad (Integridad) y facilidad de uso. Capacidad de soportar los cambios: Facilidad de mantenimiento, flexibilidad y facilidad de prueba. Adaptabilidad a nuevos entornos: Portabilidad, reusabilidad e interoperabilidad. 2.2 CONCEPTO DE SEGURIDAD Seguridad de la Información La seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, disrupción o destrucción no autorizada. Los términos Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aunque su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información. Sin embargo, entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma que los datos puedan tener: electrónicos, impresos, audio u otras formas

21 Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, la investigación y la situación financiera. La mayor parte de esta información es recolectada, tratada, almacenada y puesta a la disposición de sus usuarios, en ordenadores y transmitida a través de las redes a otros ordenadores. En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o la nueva línea de productos caigan en manos de un competidor o se vuelva pública en forma no autorizada, podría causar la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma. Por lo que proteger la información confidencial es un requisito del negocio, y en muchos casos también un imperativo ético y una obligación legal. Para el individuo común, la Seguridad de la Información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo. El campo de la Seguridad de la Información ha crecido y evolucionado considerablemente en los últimos años. Convirtiéndose en una carrera acreditada a nivel mundial. La misma ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de Seguridad por nombrar algunos. La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información. Confidencialidad: La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados. Integridad: Para la Seguridad de la Información, la integridad es la propiedad que busca mantener a los datos libres de modificaciones no autorizadas. Disponibilidad: La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones Seguridad Informática La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Objetivos de la seguridad informática: Los activos son los elementos que la seguridad informática tiene como objetivo proteger. Son tres elementos que conforman los activos: Información: Es el objeto de mayor valor para una organización. El objetivo es el resguardo de la información, independientemente del lugar en donde se encuentre registrada, en algún medio electrónico o físico. Equipos que la soportan: Software, hardware y organización. Usuarios: Individuos que utilizan la estructura tecnológica y de comunicaciones que manejan la información

22 Análisis de riesgos El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son: Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos. Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa). Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos. Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo. Puesta en marcha de una política de seguridad Generalmente se ocupa exclusivamente de asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. Estos mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos. Las amenazas Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables,

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño

SEGURIDAD INFORMATICA. Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño SEGURIDAD INFORMATICA Prof.: Ing. Alberto Esteban Barrera Alumno: Ricardo Farfán Patiño DEFINICIONES DE HACKER: Un hacker (del inglés hack, recortar), también conocidos como sombreros blancos es el neologismo

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Introducción n a la Calidad

Introducción n a la Calidad Introducción n a la Calidad Principios y Fundamentos 2006 Mendoza, Argentina Objetivos de la presentación Introducir los conceptos generales sobre CALIDAD. Conocer la situación actual en el software Introducir

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

En este trabajo examinamos la regulación

En este trabajo examinamos la regulación Normativa ISO de aplicación a la calidad alimentaria VÍCTOR MANTECA VALDELANDE Doctor en Derecho En este trabajo examinamos la regulación normativa del concepto de calidad alimentaria en la normas ISO

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN SISTEMA DE GESTIÓN DEL SERVICIO (SGS) REQUISITOS GENERALES POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Vicerrectorado de TIC, Calidad e Innovación Centro de Informática y Comunicaciones Título Entregable Nombre

Más detalles

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE

CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE CONCEPTOS DE CALIDAD Y CALIDAD DEL SOFTWARE INTRODUCCIÓN El avance informático actual es muy alto comparado con lo se tenía en los años 90, al hablar de desarrollo de software se hace más notable, en el

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo I: Fase Teórica Lic. Raúl Castellanos rcastellanos@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Agenda

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

Programa de Formación de Auditores

Programa de Formación de Auditores Programa de Formación de Auditores Sistemas de Gestión de la Calidad Módulo 2 Sistema de Gestión de la Calidad Requisitos Objetivo del módulo Comprender: Los requisitos de la norma ISO 9001:2008 para el

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características

Más detalles

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc.

Las Normas ISO 9000. Puede ser un producto material, un producto informático, servicio, información, etc. Las Normas ISO 9000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como deben funcionar

Más detalles

Rumboitil www.rumboitil.com e-mail: info@rumboitil.com

Rumboitil www.rumboitil.com e-mail: info@rumboitil.com INDICE... Error! Marcador no definido. Unidad 3 Estrategia del Servicio... 2 3.1 Creación de Valor a través del Servicio.... 2 3.2 Gestión de la demanda.... 4 3.3 Gestión financiera.... 7 3.4 Procesos

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Tema 2 Introducción a la Auditoría de Sistemas de Información

Tema 2 Introducción a la Auditoría de Sistemas de Información Bloque II EL PROCESO Y LOS ELEMENTOS DE LA AUDITORÍA DE SSII Tema 2 Introducción a la Auditoría de Sistemas de Información José F Vélez Serrano Francisco Nava Tema 1 Introducción a la auditoría de SSII

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ

BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ BCP DATA CENTER VIVIANA GOMEZ HERNANDEZ LUZ MARINA LOPEZ GOMEZ UNIVERSIDAD DE CALDAS FACULTAD DE INGENIERÍA Ingeniería en Sistemas y Computación Manizales, Noviembre 2010 BCP DATA CENTER VIVIANA GOMEZ

Más detalles

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006

SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA CAB-IS-SS 10402:2006 INTERNATIONAL STANDARD SAFETY AND SECURITY CAB Spanish Version SISTEMAS DE GESTIÓN DE CALIDAD PARA LAS OPERACIONES DE SEGURIDAD Y PREVENCIÓN NORMA NO COPYING WITHOUT PERMISSION OF AMERICAN CERTIFICATION

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL Aprobado por Consejo de Gobierno de la Universidad de Almería en fecha 17 de diciembre de 2012 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UAL 1. INTRODUCCIÓN La Política de Seguridad de la Información

Más detalles

MODULO IV: Manejo de Quejas y Reclamos

MODULO IV: Manejo de Quejas y Reclamos MODULO IV: Manejo de Quejas y Reclamos CÓMO CONSTRUIR UNA CULTURA DE CALIDAD Y ATENCIÓN AL CLIENTE? Viviana Monzon MODULO IV: Manejo de Quejas y Reclamos La Calidad La calidad final de un producto o servicio,

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Conceptos Básicos de Auditoría Informática

Conceptos Básicos de Auditoría Informática UNIVERSIDAD NACIONAL DE INGENIERÍA Conceptos Básicos de Auditoría Informática MSc. Julio Rito Vargas Avilés Sábado 21 marzo de 2009 AUDITORÍA INFORMÁTICA Tema Objetivos 1. Conceptos básicos Conocer qué

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 0 Introducción Generalidades La adopción de un sistema de gestión de la calidad debería ser una decisión estratégica de la organización. El diseño y la implementación

Más detalles

Sistemas de gestión de la calidad Requisitos

Sistemas de gestión de la calidad Requisitos Sistemas de gestión de la calidad Requisitos 1 Objeto y campo de aplicación 1.1 Generalidades Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Índice. Prólogo. Prólogo de la versión en español. ISO 9004:2009 Gestión para el éxito sostenido Un enfoque de gestión de la calidad

Índice. Prólogo. Prólogo de la versión en español. ISO 9004:2009 Gestión para el éxito sostenido Un enfoque de gestión de la calidad Índice Prólogo Esta tercera edición anula y sustituye a la segunda edición (ISO 9004:2000) que ha sido revisada técnicamente. La gestión para el éxito sostenido de una organización es un cambio importante

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ISO 9000 ISO 9001 (2015) ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad

ISO 9000 ISO 9001 (2015) ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad «N o m b r e _ O r g a n i z a c i ó n _ C O M P L E T O» ISO 9001 (2015) ISO 9000 ISO 9001 (2015) Requisitos para los Sistemas de Gestión de la Calidad Interpretación libre de ISO/DIS 9001:2015 Tabla

Más detalles

TEMA 7 Seguridad Informática

TEMA 7 Seguridad Informática TEMA 7 Seguridad Informática 7.1 Introducción (1/2) La información es uno de los activos más importantes de las organizaciones, y de modo especial en algunos sectores de actividad. La seguridad de datos

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

MODELO DE GESTIÓN Y NORMAS ISO 9000

MODELO DE GESTIÓN Y NORMAS ISO 9000 MODELO DE GESTIÓN Y NORMAS ISO 9000 17/05/02 Rev. 00 Página 1 de 23 Modelo de Gestión y Normas ISO 9000 ÍNDICE 1. FAMILIA DE NORMAS ISO 9000 1.1 Normas de la Serie ISO 9000 1.2 Modelos de Certificación

Más detalles

LAFSA Latin America Financial Services Advisory

LAFSA Latin America Financial Services Advisory VI Congreso Regional de Riesgos CORERIF 2014 Gestión de Riesgo Tecnológico y Continuidad Operacional en Entidades Financieras Guatemala, 7 de Noviembre de 2014 Continuidad Operacional en el Sector Financiero

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS MINISTERIO DE SANIDAD Y CONSUMO APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS DOCUMENTO Nº 6 1ª Versión Noviembre 20021 AGENCIA ESPAÑOLA DEL MEDICAMENTO

Más detalles

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A:

Tecnología de la información. Técnicas de seguridad (ISO/IEC 27001:2005) LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: norma española UNE-ISO/IEC 27001 Noviembre 2007 TÍTULO Tecnología de la información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información (SGSI) Requisitos (ISO/IEC 27001:2005) Information

Más detalles

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008

Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 Sistemas de Gestión n de la Calidad - Requisitos UNE - EN ISO 9001:2008 ISO 9001 CUATRO CAPÍTULOS BÁSICOS RESPONSABILIDADES DE LA DIRECCIÓN P D GESTIÓN DE RECURSOS REALIZACIÓN DEL PRODUCTO A C MEDICIÓN

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

RIESGOS INFORMATICOS

RIESGOS INFORMATICOS 1 INTRODUCCION RIESGOS INFORMATICOS LA GESTION DE LOS RIESGOS El principal objetivo de la administración de riesgos, como primera ley de la naturaleza, es garantizar la supervivencia de la organización,

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Esta Política de Seguridad de la Información entrará en vigor al día siguiente de su publicación en el BOUA, previa aprobación por el Consejo

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DE LA UC Exposición de motivos La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos establece el marco de relación entre

Más detalles

Módulo III: Implantación de la Norma ISO 14001 en empresas

Módulo III: Implantación de la Norma ISO 14001 en empresas Módulo III: Implantación de la Norma ISO 14001 en empresas Módulo III: Implantación de la Norma ISO 14001 en empresas 1. INTRODUCCIÓN Hoy en día nos encontramos ante una situación de concienciación medioambiental

Más detalles

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE

POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICAS DE CALIDAD, SEGURIDAD, MEDIO AMBIENTE Y SALUD DE PETROBRAS CHILE POLÍTICA DE CALIDAD Petrobras Chile asume el compromiso de suministrar productos y servicios de calidad, con un estilo innovador

Más detalles

FORMULACIÓN DEL PLAN ESTRATÉGICO DE AUDITORÍA INTERNA

FORMULACIÓN DEL PLAN ESTRATÉGICO DE AUDITORÍA INTERNA DOCUMENTO TÉCNICO N 83 Versión 0.1 + FORMULACIÓN DEL PLAN ESTRATÉGICO DE AUDITORÍA INTERNA Este documento técnico describe los principales pasos para desarrollar la etapa de planificación estratégica en

Más detalles

CONCEPTOS CLAVE. Accidente laboral o de trabajo. Toda lesión corporal que el trabajador sufra con ocasión o por consecuencia del trabajo que ejecute.

CONCEPTOS CLAVE. Accidente laboral o de trabajo. Toda lesión corporal que el trabajador sufra con ocasión o por consecuencia del trabajo que ejecute. CONCEPTOS CLAVE Accesibilidad Global. Cualidad que tienen o se confiere a los entornos, en los que se puede disfrutar de servicios, según el contexto dado, con el fin de hacerlos adecuados a las capacidades,

Más detalles

Auditoría Computacional

Auditoría Computacional Auditoría Computacional Modulo 4 : Tipos y Clases de Auditorías Informáticas 4.1 Areas Generales y Especificas de la Auditoría Informática 4.1.1 Areas Generales de la Auditoría Informática. 4.1.2 Areas

Más detalles

Presión Positiva. Sistemas de gestión de calidad aplicables a los animalarios. Introducción. Magalí Neus. Ingecal

Presión Positiva. Sistemas de gestión de calidad aplicables a los animalarios. Introducción. Magalí Neus. Ingecal Magalí Neus Ingecal Introducción Presión Positiva Sistemas de gestión de calidad aplicables a los animalarios Uno de los sectores emergentes en cuanto a la implantación de sistemas de gestión de la calidad

Más detalles

Manual de Preparación para la Certificación Bajo la Norma ISO 9001:2000, Orientado a Empresas del Sector Servicios en El Salvador

Manual de Preparación para la Certificación Bajo la Norma ISO 9001:2000, Orientado a Empresas del Sector Servicios en El Salvador CAPITULO V GLOSARIO DE TERMINOS Acción Correctiva Acción tomada para eliminar las causas de una no conformidad detectada u otra situación indeseable existente o defecto, para evitar su repetición. Acción

Más detalles

Sistemas de Aseguramiento de la calidad y Normas ISO 9000

Sistemas de Aseguramiento de la calidad y Normas ISO 9000 Sistemas de Aseguramiento de la calidad y Normas ISO 9000 Métodos de Mejora de la Calidad Sumario Sistema de aseguramiento de la calidad ISO 9000:94, estandarización de SAC Diferencias TQM vs. ISO 9000:94

Más detalles

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información

ISO/IEC 27001 Sistema de Gestión de Seguridad de la Información Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Ref. ENS/01. Política de Seguridad UPCT Revisión: 3 POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 1. ENTRADA EN VIGOR Texto aprobado el día 13 de abril de 2011 por el Consejo de Gobierno de la Universidad Politécnica

Más detalles

Las Normas ISO 9000 del 2000

Las Normas ISO 9000 del 2000 Las Normas ISO 9000 del 2000 La serie de Normas ISO 9000 son un conjunto de enunciados, los cuales especifican que elementos deben integrar el Sistema de Gestión de la Calidad de una Organización y como

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Ingeniería del Software III Gabriel Buades 2.002

Ingeniería del Software III Gabriel Buades 2.002 Ingeniería del Software III Gabriel Buades 2.002 Auditoría Informática 1 Concepto de auditoría Auditoría e Informática Auditoría Informática Planificación Organización y Administración Construcción de

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Presentación ITIL. Jornadas TIC - Mayo 2008

Presentación ITIL. Jornadas TIC - Mayo 2008 Presentación ITIL Jornadas TIC - Mayo 2008 1 Indice Introducción Introducción y Objetivos Objetivos Qué Qué es es ITIL? ITIL? Estructura Estructura Soporte Soporte del del Servicio Servicio Provisión Provisión

Más detalles

INGESOFT. ISO 9001:2015 Los principales cambios. Ponente. Gestor documental y de registros INGESOFT. Marta Monreal. mmc@ingecal.

INGESOFT. ISO 9001:2015 Los principales cambios. Ponente. Gestor documental y de registros INGESOFT. Marta Monreal. mmc@ingecal. Ponente 9001:2015 Los principales cambios. Marta Monreal Ingeniera Técnica Industrial Técnica Superior PRL Consultora y auditora de INGECAL Antoni Bell, 2 2n D2 08174 - Sant Cugat del Vallès (Barcelona)

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

LOS INDICADORES DE GESTIÓN

LOS INDICADORES DE GESTIÓN LOS INDICADORES DE GESTIÓN Autor: Carlos Mario Pérez Jaramillo Todas las actividades pueden medirse con parámetros que enfocados a la toma de decisiones son señales para monitorear la gestión, así se asegura

Más detalles

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010

SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. El Reto de las metodologías para la gestión de la seguridad Septiembre 2010 GOBIERNO DE ESPAÑA MINISTERIO DE LA PRESIDENCIA SEGURIDAD: Multiservicio, Multisistema, Multiprocesos y Multiproyectos. "El Reto de las metodologías para la gestión de la seguridad" Septiembre 2010 1 Índice

Más detalles

MONITOREO, EVALUACIÓN Y CONTROL DEL PROYECTO. Generalmente, esas herramientas se pueden organizar en cuatro categorías:

MONITOREO, EVALUACIÓN Y CONTROL DEL PROYECTO. Generalmente, esas herramientas se pueden organizar en cuatro categorías: MONITOREO, EVALUACIÓN Y CONTROL DEL PROYECTO Ni aun los proyectos dotados de una planificación excepcional, óptimos recursos e implementación rigurosa, se alcanzan automáticamente los resultados deseados.

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

RESUMEN Y CONCLUSIONES DE OHSAS 18.000

RESUMEN Y CONCLUSIONES DE OHSAS 18.000 RESUMEN Y CONCLUSIONES DE OHSAS 18.000 Durante el segundo semestre de 1999, fue publicada la normativa OHSAS18.000, dando inicio así a la serie de normas internacionales relacionadas con el tema Salud

Más detalles

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO...

SEGURIDAD INFORMÁTICA: CONCEPTOS ESENCIALES PARA DIRECTIVOS. Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... Índice 1. EXPECTATIVAS Y CONTEXTOS DE SEGURIDAD... 2 2. GESTIÓN DEL RIESGO... 3 3. AMENAZAS A LA INFORMACIÓN... 5 4. GESTIÓN DE LA SEGURIDAD... 5 5. PLANIFICACIÓN DE LA SEGURIDAD... 6 6. POLÍTICAS DE SEGURIDAD

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Tema 2º: Calidad del software

Tema 2º: Calidad del software Tema 2º: Calidad del software 2.1 Calidad del software 2.2 Aseguramiento de la calidad del software 2.3 Gestión de la calidad del software 2. 4 Control de la calidad del software 2.5 Sistema de calidad

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

ENTRADAS PROCESO RECURSOS

ENTRADAS PROCESO RECURSOS Título: Conceptos básicos de la gestión de procesos en las empresas Autor: Ángel Ibisate, Jefe del Departamento de Calidad y Normativa (Red Eléctrica Española) Fecha: 20-05-2005 1. INTRODUCCIÓN El presente

Más detalles

ÁREA DE CALIDAD Página 1 de 28 MODELOS DE GESTIÓN DE SISTEMAS DE CALIDAD: ISO 9001:2008

ÁREA DE CALIDAD Página 1 de 28 MODELOS DE GESTIÓN DE SISTEMAS DE CALIDAD: ISO 9001:2008 Página 1 de 28 4.1 Conocimiento de la organización y de su contexto La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y que afectan a su capacidad

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

Norma Internacional ISO 9001:2000

Norma Internacional ISO 9001:2000 Norma Internacional ISO 9001:2000 Esta norma ha sido traducida por el Grupo de Trabajo "Spanish Translation Task Group" del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que han

Más detalles

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUALIFICACIÓN PROFESIONAL: ADMINISTRACIÓN DE SERVICIOS DE INTERNET Código: IFC156_3 NIVEL: 3 GUÍAS DE EVIDENCIA DE LA COMPETENCIA

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles