Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento
|
|
- Celia Ponce Belmonte
- hace 8 años
- Vistas:
Transcripción
1 Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento
2 Cumplimiento En Forma y Fondo
3 Cumplimiento En Forma: Requerimientos y herramientas PMG-SSI
4 Cumplimiento Fondo: Gestión Seguridad de la Información
5 Gestión de Seguridad de la Información en la mirada PMG-SSI 2012 Gestión de Seguridad de la Información Basada en los procesos de Negocio Gestión de Riesgos de Información Gobierno de Chile Ministerio del Interior 5
6 Gestión de mejora continua en PMG-SSI PLAN Etapa I : Diagnóstico PMG-SSI Etapa II: Planificación PMG-SSI DO Etapa III: Implementación PMG-SSI CHECK Etapa IV: Evaluación y Monitoreo PMG-SSI ACT Seguimiento por la Institución Gobierno de Chile Ministerio del Interior 6
7 Gestión de mejora continua en PMG-SSI PLAN Análisis de Procesos de Negocio Identificación de Activos Selección de Activos Críticos (Medios y Altos) Análisis y Evaluación de Riesgos Selección de Controles (Asignación de Riesgos) Planificación de Mitigaciones Planificación de Indicadores Gobierno de Chile Ministerio del Interior 7
8 Gestión de mejora continua en PMG-SSI DO Implementación de Controles CHECK Evaluación y Monitoreo de Indicadores de Gestión ACT Acciones de ajuste y mejora permanente Gobierno de Chile Ministerio del Interior 8
9 Análisis de Procesos de Negocio Foco en los procesos asociados a la Provisión de productos estratégicos (Bienes y Servicios), que hacen factible el cumplimiento de los objetivos estratégicos de cada institución. Guía Metodológica 2012; p12
10 Instrumento PMG-SSI 2012 Articles-51683_introd_instrumentos_2012 En linkl: html
11 Identificación de Activos
12 Análisis de Procesos de Negocio MatrizSimplificada de Riesgo
13 Identificación de Procesos de Negocio
14 Identificación de Activos Persona Software Sistema Equipos Información
15 Identificación de Activos
16 Selección de Activos Críticos
17 Selección de Activos Críticos
18 Selección de Activos Críticos
19 Selección de Activos Críticos Criticidad del activo = Media o Alta
20 Análisis y Evaluación de Riesgos
21 Análisis y Evaluación de Riesgos
22 Estimación de la Probabilidad CAIGG
23 Estimación del Impacto CAIGG
24 Modelo de Cálculo de Riesgo Guía Metodológica 2012; p18 Probabilidad de Ocurrencia Impacto Severidad del RIESGO Combinación de la probabilidad de un evento y su ocurrencia (ISO/IEC Guía 73:2002)
25 Asignación del Riesgo Selección de Controles a aplicar
26 Planificación de Mitigaciones
27 Planificación de Indicadores
28 Referencia o Fuentes de Controles a seleccionar 133 Controles ISO/IEC 27001:2005 / ISO/IEC 27002:2005 NCH ISO Of2009 / Nch ISO Of Controles Prioritarios propuestos en PMG-SSI Controles referidos a Gobernabilidad (DIPRES) Controles Tecnológicos (Min Interior)
29 Dominios Tecnológicos del PMG-SSI 2012 Tres Dominios Tecnológicos, que acumulan 92 de un total de 180 controles. En cuanto a la red de expertos, son de responsabilidad del Ministerio del Interior. Foco en los controles priorizados por la Red de Expertos del PMG-SSI requisitos en total 34 controles Tecnológicos Gobierno de Chile Ministerio del Interior 29
30 Dominios Tecnológicos del PMG-SSI 2012 Los dominios, según su definición en la norma Nch ISO Of2009, son: Dom 10: "Gestión de comunicaciones y operaciones" 17 Controles Priorizados Dom 11: "Control de Acceso 11 Controles Priorizados Dom 12: Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información 6 Controles Priorizados Gobierno de Chile Ministerio del Interior 30
31 Referencias del requerimiento de seguridad El detalle del requerimiento específico de cada control, se encuentra en: Instrumentos PMG-SSI 2012 Guía Metodológica PMG-SSI 2012 Nch ISO Of2009 Gobierno de Chile Ministerio del Interior 31
32 Instrumentos PMG-SSI 2012 Articles-51683_introd_instrumentos_2012; Hoja Priorizados Red
33 Referencia del requerimiento de seguridad Guía Metodológica PMG-SSI 2012 articles-51683_intro_guia_metodologica2012; Anexo I (pag 61 a 67) Gobierno de Chile Ministerio del Interior 33
34 Ejemplo de Actividades por Control (Guía Metodológica PMG-SSI 2012)
35 Dominio 10: "Gestión de Comunicaciones y Operaciones"
36 Análisis requerimiento control En Matriz de Instrumentos 2012 Dom 10: Gestión de las comunicaciones y operaciones A según control Nch ISO Of2009 Art. 7 Letra b-c según Decreto 83 (Matriz Antigua) AMBITO: Procedimientos de operación documentados CONTROL: Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten. REQUISITO/ CONTROL: Los procedimientos de operación, están documentados, al día y puestos a disposición de todos los usuarios que los necesiten? PRODUCTO: Procedimientos de operación documentados
37 Análisis requerimiento control En Guía Metodológica Referencia Control ISO A Requisito de Control
38 Análisis requerimiento control En Guía Metodológica Actividades a realizar en el PMG-SSI
39 Análisis requerimiento control En ISO Control: Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten. Lineamiento de Implementación Se debieran preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación.
40 Análisis requerimiento control En ISO Lineamiento de Implementación Tales como procedimientos para encender y apagar computadoras, copias de seguridad, Mantenimiento del equipo, manejo de medios, cuarto de cómputo, manejo del correo y seguridad.
41 Análisis requerimiento control En ISO Lineamiento de Implementación Los procedimientos de operación debieran especificar las instrucciones para la ejecución detallada de cada trabajo incluyendo: a) procesamiento y manejo de información; b) copia de seguridad o respaldo (ver 10.5); c) requerimientos de programación de horarios, incluyendo las interdependencias con otros sistemas, los tiempos de culminación y horarios de los primeros y últimos trabajos; d) instrucciones para el manejo de errores u otras condiciones excepcionales, las cuales podrían surgir durante la ejecución del trabajo, incluyendo las restricciones sobre el uso de las utilidades del sistema (ver );
42 Análisis requerimiento control En ISO Lineamiento de Implementación (Continuación)..: e) contactos de soporte en el evento de dificultades operacionales o técnicas inesperadas; f) instrucciones para el manejo de output especial y medios, tales como el uso de papelería especial o el manejo de output confidencial incluyendo los procedimientos para la eliminación segura del output de trabajo fallidos (ver 10.10); g) procedimientos de reinicio y recuperación del sistema para su uso en el evento de una falla en el sistema; h) la gestión de la información del rastro de auditoría y registro del sistema (ver 10.10).
43 Análisis requerimiento control En ISO Lineamiento de Implementación Los procedimientos de operación y los procedimientos documentados para las actividades del sistema debieran ser tratados como documentos formales y cambios autorizados por la gerencia. Donde sea técnicamente factible, los sistemas de información debieran ser manejados consistentemente, utilizando los mismos procedimientos, herramientas y utilidades
44 Dominio 10: Gestión Comunicaciones y Operaciones 17 Controles priorizados por Red de Expertos A A A A A A A Párr.1 A Párr.2 A Párr.1 A Párr.2 A A Párr.1 A A A Párr.1 A Párr.2 A Párr.1
45 Agregación de Productos en Proyectos Como Manual de Operaciones Desarrollo de Procedimientos de operación Respaldo de documentos, Uso de correo, Uso de la red y recursos compartidos, Uso de antivirus Uso de software utilitarios. Respaldo de información Gestión de medios removibles Registro de fallas
46 Agregación de Productos en Proyectos Como Gestión Organizacional Segregación de los deberes Separación de los ambientes de desarrollo, prueba y operación Acuerdos de intercambio con terceros Gestión de Redes Controles de redes Seguridad de los servicios de la red Uso del sistema de monitoreo
47 Agregación de Productos en Proyectos Gestión de Sistemas y Servicios Entrega del servicio Gestión del cambio Manejo de cambios en los servicios de terceros Aceptación del sistema
48 Dominio 10: Estimación esfuerzo 2 Políticas de Seguridad 26 Procedimientos 8 otros documentos
49 Controles Relacionados Política de Seguridad de la Información Normativas de Seguridad Procedimientos Operacionales Estructura Organizacional (Segregación; roles) Sensibilización Capacitación Resguardo y recuperación Gestión Disposiitivos Firewall Gestión de Logs Protección é-commerce NAC Anti-Malware Firewalls de Red
50 Dominio 11: "Control de Acceso
51 Dominio 11: Control de Acceso 11 Controles priorizados por Red de Expertos A A A A Párr.1 A A A A A Párr.1 A Párr.2 A
52 Agregación de Productos en Proyectos Como parte del Manual de Seguridad Política de control del acceso Política de escritorio y pantalla limpios Gestión de Acceso de Usuarios Gestión de privilegios Autenticación del usuario para las conexiones externas Sistema de gestión de contraseñas
53 Agregación de Productos en Proyectos Gestión de Acceso a la red Segregación en redes Control de conexión a la red Gestión de Acceso a Equipos Equipo del usuario desatendido Protección del puerto de diagnóstico y configuración remoto Cierre de una sesión por inactividad
54 Dominio 11: Estimación esfuerzo 1 Políticas de Seguridad 8 Procedimientos 9 otros documentos
55 Controles Relacionados Política de Seguridad de la Información Normativas de Seguridad Procedimientos Operacionales Estructura Organizacional (Segregación; roles) Sensibilización Capacitación Acceso a EndPoints Gestión Identidades Gestión Passwords
56 Dominio 12: Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información
57 Dominio 12: Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información 6 Controles priorizados por Red de Expertos A A A A A A
58 Agregación de Productos en Proyectos Revisión de Vulnerabilidades Validación de la data de entrada Validación de la data de salida Separación de Ambientes Control del software operacional Control de acceso al código fuente del programa Procedimientos del control del cambio Desarrollo con terceros Desarrollo de software abastecido externamente
59 Dominio 12: Estimación esfuerzo 1 Políticas de Seguridad 2 Procedimientos 5 otros documentos
60 Controles Relacionados Política de Seguridad de la Información Normativas de Seguridad Procedimientos Operacionales Estructura Organizacional (Segregación; roles) Sensibilización Capacitación WAF: Web Application Firewall Vulnerabilidades en Código Test Data Management AppScap
61 Gracias.
Resumen Norma ISO-27001.
Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesCURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información
CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detalles1.1. Sistema de Gestión de la Calidad
1.1. Sistema de Gestión de la Calidad ÁREA: GESTIÓN DE LA CALIDAD SISTEMA: GESTIÓN DE LA CALIDAD ETAPA I - OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución realiza un diagnóstico del estado actual
Más detallesSistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei
Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesMEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES
MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL
Más detallesPolítica para la Gestión Integral de Riesgos
Política para la Gestión Integral de Riesgos MOTIVACIÓN Como empresa responsable, ISAGEN incorpora en su gestión las prácticas que permitan asegurar su sostenibilidad, preservando los recursos empresariales
Más detallesÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN
ETAPA I OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución, en conjunto con las áreas que la componen, realiza un Diagnóstico de la situación de seguridad de la información institucional, e identifica
Más detallesTema 1: Organización, funciones y responsabilidades de la función de TI.
Tema 1: Organización, funciones y responsabilidades de la función de TI. 1- Se le han definido objetivos específicos a la función de TI? 2- Se ha identificado claramente de quién depende jerárquicamente
Más detallesLista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)
Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la
Más detallesCondiciones para que la Gerencia de Seguridad de. permanezca vigente.
Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.
Más detallesDOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013
DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 Agosto 2012 VERSIÓN N 01- PMB 2013 AGOSTO 2012 1 de 18 DOCUMENTO ELABORADO POR EL DEPTO. DE GESTIÓN DE LA DIVISIÓN
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detallesNTP - ISO/IEC 27001:2008
NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo
Más detallesGestión de Riesgos en Proyectos
GRUPO VISIÓN PROSPECTIVA MÉXICO 2030 Gestión de Riesgos en Proyectos Mauricio Jessurun Solomou mjess@unisolmexico.com Luis Miguel Arroyo lmarroyoi@emsi.com.mx Julio, 2015 Gestión de Riesgos en Proyectos
Más detallesIT Project Portfolio Management y su vinculación con la Estrategia Corporativa
IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr
Más detallesEstrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad
Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación
Más detallesPLANES Y POLÍTICAS AREA DE SISTEMAS
PLANES Y POLÍTICAS AREA DE SISTEMAS ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Patricia Eugenia Gómez Escobar Rafael López Hoyos Rafael López Hoyos Cargo: Cargo: Secretario
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesINFORME DE OBSERVACIONES PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN 2013 METAS DE EFICIENCIA INSTITUCIONAL 2013 SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
INFORME DE OBSERVACIONES PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN 2013 METAS DE EFICIENCIA INSTITUCIONAL 2013 SISTEMA DE SEGURIDAD DE LA INFORMACIÓN El presente documento se ha desarrollado sobre la base
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesPrincipales Cambios de la ISO 9001:2015
INTRODUCCIÓN La nueva versión disponible de ISO 9001:2015, actualmente en su versión DIS, muestra una gran cantidad de cambios respecto de su predecesora. Muchos de estos cambios están en línea con otros
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control
UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1
Más detallesACOMPAÑAMIENTOENLAIMPLEMENTACIÓN DE LAESTRATEGIA DE GOBIERNO EN LÍNEA EN EL ESTADO
ACOMPAÑAMIENTOENLAIMPLEMENTACIÓN DE LAESTRATEGIA DE GOBIERNO EN LÍNEA EN EL ESTADO PLAN DE AJUSTE TECNOLÓGICO ALCALDÍA DE TÁMARA CASANARE V1.0 DICIEMBRE DE 2014 1 CONTENIDO 1. INTRODUCCIÓN... 5 2. OBJETIVOS
Más detallesA la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:
XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,
Más detallesI N F O R M E PLAN TRIENAL PARA LA PREPARACIÓN DE LA CERTIFICACIÓN SENAME
I N F O R M E PLAN TRIENAL PARA LA PREPARACIÓN DE LA CERTIFICACIÓN SENAME DICIEMBRE, 2011 CONTENIDOS 1. PRESENTACIÓN... 3 2. OBJETIVOS DE LA ETAPA... 4 3. METODOLOGÍA... 5 3.1 ETAPAS DE LA METODOLOGÍA
Más detallesApoyo Microsoft a los Dominios PMG SSI. Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012
Apoyo Microsoft a los Dominios PMG SSI Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012 Agenda Dominios PMG SSI El área de Servicios de Microsoft La visión de Microsoft sobre
Más detallesAdministración de Riesgos. Reglas Prudenciales en Materia de Administración de Riesgos
Administración de Riesgos Reglas Prudenciales en Materia de Administración de Riesgos Lineamientos Normativos Sector Financiero Establecer los lineamientos mínimos para implementar una adecuada Administración
Más detallesLa seguridad según Batman
La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA
Más detallesTecnología de la Información. Administración de Recursos Informáticos
Tecnología de la Información Administración de Recursos Informáticos 1. Recursos informáticos: Roles y Responsabilidades 2. Áreas dentro del Departamento de Sistemas 3. Conceptos asociados a proyectos
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesTecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información"
Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros Riesgo en Aplicaciones y Sistemas de Información Malas prácticas de
Más detallesCURSO DE ESQUEMA NACIONAL DE SEGURIDAD
CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer
Más detallesCómo hacer coexistir el ENS con otras normas ya
Cómo hacer coexistir el ENS con otras normas ya implantadas? Esquema Nacional de Seguridad Mª Elísabeth Iglesias Consultora / Auditora AUDEDATOS GESDATOS Software - GeConsulting Índice 1. Introducción
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesGuía de procesos en gestión de incidentes
SGSI Sistema de Gestión de Seguridad de la Información Guía de procesos en gestión de incidentes Versión 1.0 2010 Setiembre 2010 Table of Contents Guía de referencia en gestión de incidentes en seguridad
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesRELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA
RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. CONTENIDO Introducción Antecedentes Evolución de la Gestión de Riesgo Gestión
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesISO 9001 Auditing Practices Group Guidance on:
International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción
Más detallesPOLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN
PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO
Más detalles" PAS 99. Hacia una gestión integrada de las organizaciones. Ing. Diego A. Ramírez Nogales SGI
" PAS 99. Hacia una gestión integrada de las organizaciones Ing. Diego A. Ramírez Nogales SGI PROPOSITO Presentar el enfoque y estructura de PAS 99:2006, como una especificación que presenta un modelo
Más detallesISO 14001: 2015 Cambios Claves
ISO 14001: 2015 Cambios Claves Susan Lk Briggs Convenor, ISO TC207/SC1/WG5 Traducido por Roberto Medici INLAC ARGENTINA Tópicos a Discutir Historial de la Revisión ISO 14.001 Destacar los cambios claves
Más detallesSede Escazú, Plaza Tempo 4031-0999 40310991 E-mail: cit@ulacit.ac.cr
16-0079 / 29-0952 FORMULACIÓN PROYECTOS Descripción General: Provee una introducción que abarca el ciclo de vida completo del desarrollo de un proyecto, desde que se concibe en los niveles más altos de
Más detallesTaller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013
Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática
Más detallesNuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue
Más detallesProblemática Ambiental
ISO 14000 Problemática Ambiental Lluvia ácida Efecto Invernadero Agotamiento de los Recursos Naturales Agujero de Ozono Disminución de la Biodiversidad Desarrollo Sustentable Aquél que satisface las necesidades
Más detallesDOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG). AÑO 2012. PROGRAMA MARCO DE LA CALIDAD Objetivos del Sistema
DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG). AÑO 2012. PROGRAMA MARCO DE LA CALIDAD Objetivos del Sistema Marco : Area : Sistema : Marco de la Calidad Gestión de la Calidad Sistema de
Más detallesGestión del Riesgo Operacional - Experiencia del Perú -
Gestión del Riesgo Operacional - Experiencia del Perú - Septiembre 2013 Claudia Cánepa Silva MBA PMP Supervisor Principal de Riesgo Operacional Superintendencia de Banca, Seguros y AFP Agenda Organización
Más detallesResumen de los cambios de la versión 2.0 a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones de pago)
Normas de seguridad de datos para las aplicaciones de pago de la PCI (industria de tarjetas de pago) Resumen de los cambios de la a la 3.0 de las PA-DSS (normas de seguridad de datos para las aplicaciones
Más detallesIng. Nicolás Serrano nserrano@bcu.gub.uy
Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del
Más detallesDIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME
DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación
Más detallesAuditoría de procesos con alto grado de automatización*
Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente
Más detallesADMINISTRACIÓN DE PROYECTOS. Ing. Juan M. Ibujés Villacís, MBA
ADMINISTRACIÓN DE PROYECTOS ADMINISTRACIÓN DE PROYECTOS Contenido tomado de referencia de la Guía de los Fundamentos para la Dirección de Proyectos (Guía del PMBOK ) Cuarta edición Juan M. Ibujés Villacís
Más detallesGrupo de Difusión del CTN50/SC1 Gestión de documentos y aplicaciones de AENOR Universitat Oberta de Catalunya
Serie de normas : ISO 30300 Beneficios de integrar la gestión de documentos en los procesos de negocio Grupo de Difusión del CTN50/SC1 Gestión de documentos y aplicaciones de AENOR Universitat Oberta de
Más detallesSeguridad de la Información & Norma ISO27001
Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos
Más detallesESCUELA DE POSTGRADO DE LA UNIVERSIDAD PRIVADA DE TACNA. Programa de Maestría en Informática PLAN DE ESTUDIOS MAESTRÍA EN INFORMÁTICA
PLAN DE ESTUDIOS MAESTRÍA EN INFORMÁTICA CICLO I CICLO II CICLO III CICLO IV Dirección y Liderazgo Organizacional Arquitectura y Diseño de Software Gestión de Inversión en TI Monitoreo y Control de TI
Más detallesSoluciones Integrales que brindan Calidad, Seguridad y Confianza
Soluciones Integrales que brindan Calidad, Seguridad y Confianza Agenda Introducción Objetivos y Alcance nfoque Metodológico strategia de Implementación 2 Introducción Presidencia instruyó a la Secretaría
Más detallesDOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS 31.000 «Risk management- Principles and guidelines «
ASOCIACIÓN DE AUDITORES EXTERNOS ( Chile ) FRAUDE DOCUMENTO DE APOYO PARA EL ANÁLISIS DE NORMA ISO /FDIS 31.000 «Risk management- Principles and guidelines «DOCUMENTOS DE APOYO PARA EL ANALISIS Y REVISIÓN
Más detallesINFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1
INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO 2015-1 A continuación haremos una descripción de los pasos con que cuenta nuestra metodología de la evaluación
Más detallesBS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008
BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo
Más detallesIntroducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales
Introducción a la ISO 27001 Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales Contenido Necesidades actuales Introducción a la ISO 27000 Las grandes confusiones en torno a ISO
Más detallesDeloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria
Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director
Más detallesAUDITORIA INTERNA. Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado.
Página 1 de 8 1. OBJETIVO Establecer las actividades a seguir para la realización de las Auditorías Internas del Sistema de Gestión Integrado. 2. ALCANCE Este procedimiento es de aplicación al Sistema
Más detallesAuditoría Interna como aporte de valor para la Organización.
Auditoría Interna como aporte de valor para la Organización. V Jornadas Rioplatenses de Auditoría Interna Montevideo, 17 y 18 de septiembre de 2009 1 De compliance al aporte de valor en los negocios La
Más detallesSeguridad Informática
Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida
Más detallesCUESTIONARIO AUDITORIAS ISO 14001 2
CUESTIONARIO AUDITORIAS ISO 14001 Ignacio Gómez hederaconsultores.blogspot.com CUESTIONARIO AUDITORIAS ISO 14001 2 4. REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL 4.1 Requisitos generales Se encuentra definido
Más detallesMANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA
MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...
Más detallesFacultad de Ciencias Sociales Universidad de Buenos Aires POLITICA DE USO DE CAMPUS VIRTUAL
Facultad de Ciencias Sociales Universidad de Buenos Aires POLITICA DE USO DE CAMPUS VIRTUAL Tabla de Contenidos 1. INTRODUCCION 3 2. OBJETIVOS 3 3. ORGANIZACIÓN 3 4. FUNDAMENTACIÓN 4 5. MODALIDADES DE
Más detallesPROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:
PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos
Más detallesINDICE DE CARGOS Cargo Pagina
INDICE DE CARGOS Cargo Pagina Director de Sistemas 1 Coordinador de Sistemas 2 Analista de Sistemas 3 Analista de Calidad del Software 4 Arquitecto del Software 5 Analista de Desarrollo 6 GUÍA DE COMPETENCIAS
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesIngeniería de Software
Departamento de Informática Universidad Técnica Federico Santa María Pauta Plan de Proyecto Profesor: Dr. Marcello Visconti Zamora visconti@inf.utfsm.cl 0 Portadas El documento que se está generando corresponde
Más detallesProcedimiento de Sistemas de Información
Procedimiento de Sistemas de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN VIEMBRE DE 2009 PR-DCTYP-08 Índice. 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 4 3. ALCANCE.... 4 4. MARCO LEGAL.... 4
Más detallesMETODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.
METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la
Más detallesETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN
ETAPAS DE LA IMPLEMENTACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN Fase I: Evaluación Preliminar La Evaluación Preliminar permite realizar una identificación adecuada de cómo se encuentra la organización en
Más detallesGuía: Controles de Seguridad y Privacidad de la Información
Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesSistema de Gestión de Seguridad de la Información
Sistema de Gestión de Seguridad de la Información Aspecto Normativo UNIT ISO/IEC 27000 Familia de normas ISO/IEC 27000 Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar
Más detallesISO 27001 IMPLEMENTADOR LÍDER CERTIFICADO
ISO 27001 IMPLEMENTADOR LÍDER CERTIFICADO Dominar la implementación y gestión de un Sistema de Gestión de seguridad de la Información (SGSI) basado en la norma ISO 27001. RESUMEN Este curso intensivo de
Más detallesModelos de gestión de proyectos informáticos
Modelos de gestión de proyectos informáticos Informe SEIS 2005-2006 Xavier Pastor 25 de enero de 2007 Proyectos: Definición Características Temporalidad: inicio y final Productos, servicios o resultados
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesANEXO 12: CORRESPONDENCIA DE ESTÁNDARES
ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República
Más detallesSISTEMA DE GESTIÓN DE RIESGOS
SISTEMA DE GESTIÓN DE RIESGOS Como parte del compromiso del Directorio con las buenas prácticas de Gobierno Corporativo, COPEINCA ha implementado un Sistema de Gestión de Riesgos, bajo la metodología COSO
Más detallesFundamentos de NTC-ISO 14001 y NTC-OHSAS 18001. Jorge Eliécer Figueroa Vargas Marzo de 2011
Contribuimos al Desarrollo de la Competitividad Organizacional Fundamentos de NTC-ISO 14001 y NTC-OHSAS 18001 Jorge Eliécer Figueroa Vargas Marzo de 2011 1 Objetivo General Identificar los requisitos establecidos
Más detallesSinopsis de la gestión de portafolios de acuerdo con el estándar del Project Management Institute 1
Sinopsis de la gestión de portafolios de acuerdo con el estándar del Project Management Institute 1 Conceptos básicos Qué es un portafolio? Es una colección de proyectos, programas y otras actividades
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesINSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO
INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD
Más detallesInformación del Proyecto en http://colombia.casals.com
ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN
Más detallesCómo organizar el Departamento de Seguridad
VII Congreso Internacional de Seguridad de la Información La seguridad agrega valor 10 y 11 de marzo de 2010 SHERATON Buenos Aires - Argentina Cómo organizar el Departamento de Seguridad organizado por:
Más detallesMODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA
MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN
Más detalles