Soho Chile Julio 2013

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Soho Chile Julio 2013"

Transcripción

1 Diagnóstico de Seguridad de la Información ISO/IEC 27001:2005 Soho Chile Julio 2013

2 Tabla de Contenidos Resumen Ejecutivo... 2 Recomendaciones Generales Introducción Objetivos Alcances Metodología del Proyecto Criterios de Evaluación Resultados Detallado del Análisis Gráfico de Resultados por Objetivos de Control Resultado Detallado de la Evaluación de Controles... 9 A.5 Política de Seguridad... 9 A.6 Organización de la Seguridad de la Información... 9 A.7 Gestión de Activos A.8 Seguridad de los Recursos Humanos A.9 Seguridad Física y Ambiental A.10 Gestión de las Comunicaciones y las Operaciones A.11 Control de Acceso A.12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información A.13 Gestión de Incidentes de Seguridad de la Información A.14 Gestión de Continuidad del Negocio A.15 Cumplimiento

3 Resumen Ejecutivo El diagnóstico de seguridad de la información realizado de acuerdo al estándar ISO/IEC27001:2007 ha arrojado como resultado una falta de integración de la seguridad en la organización, encontrando a Soho en un nivel de cumplimiento del 29,54% a 30 puntos porcentuales del nivel esperado. Nivel alcanzado 29,54 % Nivel esperado 60 % El bajo nivel de cumplimiento para cada uno de los dominios puede ser observado en la siguiente gráfica. 2

4 De los resultados globales obtenidos, fue posible determinar que nueve de once dominios arrojaron bajos índices de acuerdo al cumplimiento esperado. Dominio % Alcanzado % Esperado Política de Seguridad 40% 60% Organización de la Seguridad de la Información 33% 58% Gestión de Activos 30% 60% Seguridad Ligada a los Recursos Humanos 38% 60% Seguridad Física y Ambiental 33% 60% Gestión de las Comunicaciones y Operaciones 32% 60% Control de Acceso 29% 60% Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información 22% 63% Gestión de Incidentes en la Seguridad de la Información 20% 60% Gestión de la Continuidad del Negocio 44% 60% Cumplimiento 4% 60% De la evaluación de los niveles de madurez de los controles, se observa que la mayor cantidad se encuentran en un estado Inicial y Repetible lo que define principalmente que: El enfoque general hacia la administración de la seguridad es desorganizado. No hay entrenamiento o comunicación formal de los procedimientos de seguridad. Se da un alto grado de confianza en el conocimiento del personal. Las normas y procedimientos no se han estandarizado y documentado. 3

5 Recomendaciones Generales Es importante señalar que dentro del proceso de la integración de la seguridad en la organización, recomendamos a Soho poner principal foco en la protección de la información y a partir de ahí, evaluar los costos de inversión para enfrentar los riesgos y amenazas a los que están expuestos los activos de la compañía. Las normas, procedimientos y controles no están documentados. Si bien existe una política general de seguridad de alto nivel aprobada por la gerencia, recomendamos la elaboración de un cuerpo normativo de seguridad alineado a las estrategias de la compañía. Los puntos evaluados respecto a la organización de la seguridad indicaron deficiencias, por lo que es importante para mejorar su evaluación se considere la definición formal de un equipo de trabajo y sus responsabilidades, y que este equipo tenga como objetivo entregar directrices claras, gestionar la seguridad y facilitar la toma de decisiones alineado con las estrategias comerciales de la compañía. Respecto a los temas de clasificación de activos; si bien existe un inventario en proceso de desarrollo, es importante considerar sobre ellos, la ejecución de un análisis de riesgo. Esto permitirá determinar con mayor claridad cuáles son las amenazas a las que están expuestos los activos, cuales son los controles y medidas que deben ser implementados y cuantificar los costos de protección. Dentro de los procesos de seguridad de los recursos humanos, recomendamos definir y ejecutar planes de concientización y capacitación de seguridad, lo que entregará a los empleados un mejor conocimiento, y preparación para evitar riesgos que afecten la seguridad de la información. De los aspectos derivados de la seguridad física y ambiental, identificamos que el edificio cuenta con medidas de seguridad perimetrales, cámaras de monitoreo, elementos para combatir incendios y vías de escape, pero no hay un control efectivo en la identificación y registro para la entrada de visitas y externos. Al interior de las oficinas se observan importantes deficiencias a la seguridad, principalmente en la sala donde se encuentran los servidores debido a la presencia de materiales inflamables y la ausencia de controles de humedad, temperatura, humo y prevención de incendios. En relación a los temas de seguridad de los equipos y sistemas, se recomienda definir y llevar a cabo un procedimiento periódico para la mantención tanto a nivel de hardware como software. Recomendamos también ejecutar de forma periódica actividades de análisis de vulnerabilidades y/o pruebas de Ethical Hacking. Esto permitirá identificar los problemas de seguridad técnicos que deben ser resueltos y minimizar los riesgos que puedan afectar la confidencialidad, integridad o disponibilidad de la información, así como también fortalecer la continuidad operativa. Como medida preventiva para reducir los riesgos de seguridad TI y prevenir la fuga de información, se recomienda a Soho adoptar estándares de configuración para los sistemas operativos, implementar políticas y herramientas para el cifrado de datos en equipos portátiles, proteger la información de respaldo y cifrar los canales de comunicación por donde transite información sensible. 4

6 Derivado de la evaluación de gestión de comunicaciones y operaciones, se ha identificado que no existe documentación de los procedimientos, así como también la falta de segregación física y lógica de los entornos de red. Por lo tanto; para tratar estos puntos, recomendamos que las actividades administrativas y operacionales se encuentren documentadas y segregadas, así como también que las tareas que requieren aprobación y ejecución sean definidas a distintas personas o equipos de trabajo o bien sean supervisadas. Del análisis realizado al control de acceso lógico, recomendamos que sea mejorado hasta el nivel que la administración pueda ser gestionada de forma centralizada. Permitiendo de esta forma, administrar efectivamente la seguridad y políticas de configuración de cuentas, controlar el acceso a los sistemas y mejorar la gestión de usuarios. Otro de los temas de seguridad TI donde se necesita un esfuerzo importante, es en desarrollar un plan a mediano plazo para actualizar y mejorar la capacidad de los equipos de comunicaciones, fortalecer la seguridad perimetral y la seguridad de redes, poniendo foco en la integración de elementos para la prevención de intrusos, implementar filtros para los contenidos de internet e implementación de herramientas para monitorear de forma centralizada los eventos de seguridad de los dispositivos y sistemas de red. Para mejorar la seguridad en el desarrollo de aplicaciones y software, es necesaria la integración de una metodología para la evaluación de seguridad y acordar las especificaciones mínimas para la aprobación y paso a producción. Se sugiere la implementación de 2 fases de revisión, la primera mediante pruebas estáticas al código fuente y la segunda mediante pruebas dinámicas de tipo Ethical Hacking, esta última ejecutada previo a la puesta en producción y que idealmente involucre todo el entorno donde se soporta el proyecto. En referencia a los planes de continuidad de negocio, se recomienda poner a prueba cada uno de los procedimientos de recuperación definidos en el plan y documentar los resultados, así como también documentar las fallas, problemas y medidas que permitan mejorar los tiempos de respuestas y procesos de recuperación. De los últimos puntos evaluados en este análisis, se sugiere a Soho poner principal preocupación en la identificación de la legislación aplicable para cada uno de los proyectos donde se involucre el manejo de información sensible o que pueda estar sujeto a leyes o estatutos legales y tomar todas las precauciones que así lo requieran. Se recomienda finalmente realizar auditorías por lo menos una vez al año para evaluar el cumplimiento de las políticas, normas y estándares que sean definidos y junto con ello desarrollar una metodología para incorporar una mejora continua a la seguridad de la información. 5

7 1. Introducción Soho Chile se ha propuesto realizar un diagnóstico de Seguridad de la Información alineado al estándar ISO/IEC 27001:2005. Los resultados de esta evaluación permiten obtener una mejor orientación, determinar las prioridades y acciones de gestión adecuadas para la administración de los riesgos relativos a la seguridad de la información. 2. Objetivos Realizar un diagnóstico de seguridad para identificar brechas y definir planes de acción que permitan mitigar los riesgos de seguridad de la información. 3. Alcances Revisión de 11 dominios y 39 objetivos de control especificados en la ISO/IEC 27001:2005 Política de Seguridad Organización de la Seguridad de la Información Gestión de Activos Seguridad Ligada a los Recursos Humanos Seguridad Física y Ambiental Gestión de las Comunicaciones y Operaciones Control de Acceso Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información Gestión de Incidentes en la Seguridad de la Información Gestión de la Continuidad del Negocio Cumplimiento 6

8 4. Metodología del Proyecto El proyecto fue realizado en tres etapas previamente planificadas. La etapa 2 donde se centra principalmente el diagnóstico, se desarrolló mediante entrevistas realizadas a Edson Fuentes, jefe de desarrollo de Soho Chile y fue complementada con la entrega de evidencias y documentación respectiva al marco de evaluación. 5. Criterios de Evaluación Para realizar la evaluación se utilizó un modelo basado en los niveles de madurez de COBIT que consiste en una puntuación de 0 a 5, donde el menor (0) significa "No existente" y el mayor (5) "Optimizado". Madurez Descripción Cumplimiento 0 No existente 1 Inicial 2 Repetible 3 Definido 4 Administrado 5 Optimizado Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. La empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar, en su lugar existen enfoques que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que las personas decidan utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. 0% 20% 40% 60% 80% 100% 7

9 6. Resultados Detallado del Análisis 6.1 Gráfico de Resultados por Objetivos de Control El siguiente gráfico muestra los resultados porcentuales obtenidos en comparación con el esperado para cada uno de los objetivos de control. 8

10 6.2 Resultado Detallado de la Evaluación de Controles A.5 Política de Seguridad 5.1 Política de Seguridad de la Información Objetivo: Proporcionar lineamientos e indicaciones para la gestión de seguridad de la información de acuerdo con los requisitos empresariales y la legislación y normativas aplicables. Score: 40% Nivel de Madurez: Repetible Documento de política de seguridad de la información Revisión de la política de seguridad de la información. Existe una política general de seguridad y privacidad de la Información aprobada durante el mes de junio del Existe una planificación definida para la revisión la política y que se llevará a cabo dentro de un periodo de 6 meses y para cuando existan cambios significativos. - La política aún no está disponible para toda la organización. - No se ha definido un cuerpo normativo y los procedimientos que apoyen las prácticas de seguridad. Comunicar y poner a disposición de los empleados la política general de seguridad de la información. Documentar normas y procedimientos para los dominios cubiertos en la política general de seguridad. A.6 Organización de la Seguridad de la Información 6.1 Organización Interna Objetivo: Gestionar la seguridad de la información dentro de la organización. Score: 33% Compromiso de la gerencia con la seguridad de la información Coordinación de la seguridad de la información Asignación de las responsabilidades Proceso de autorización para los nuevos medios de procesamiento Acuerdos de confidencialidad Contacto con las autoridades Contacto con grupos de interés Revisión independiente de la seguridad de la información. - Las políticas normas y procedimientos aún no han sido difundidos y puestos a disposición del personal. - Existe un rol para canalizar los temas de seguridad el cual ha sido 9

11 asignado a Edson Fuentes Jefe de Desarrollo pero no se ha definido formalmente un equipo de trabajo y sus responsabilidades para tratar los temas de seguridad. - No se ha desarrollado una norma o procedimiento formal para la autorización de los nuevos medios de procesamiento (solicitud, evaluación, aprobación). Las responsabilidades de los temas generales de seguridad han sido especificados en los contratos de trabajo. La empresa firma acuerdos de confidencialidad tanto con empleados como con clientes para el tratamiento de información sensible. La revisión actual es la primera revisión general e independiente de seguridad realizada. Definición de un equipo de trabajo para abordar los temas de seguridad. Difusión de las políticas y directrices de la seguridad de la información para todo el personal. Desarrollo de procedimientos y normativas para la autorización de nuevos recursos de procesamiento de información. 6.2 Partes Externas Objetivo: Mantener la seguridad de la información de la organización y de los dispositivos de procesamiento que son accedidos o administrados por terceros. Score: 33% Identificación de riesgos asociados a terceras partes Tratamiento de la seguridad cuando se trabaja con clientes Tratamiento de la seguridad en contratos con terceros. - No se ha definido una norma y procedimiento formal para otorgar accesos y análisis de riesgo de terceros cuando acceden a la red sistemas e instalaciones de Soho. - No se realiza medición o evaluación de los niveles de servicios contratados a empresas externas. Existen accesos lógicos controlados para el acceso de terceros a la red wireless y ambientes de QA. Estos se encuentra lógicamente aislados de la red interna. Soho declara que generalmente no hay relaciones laborales con proveedores o clientes físicamente en sus instalaciones, debido a que los servicios principalmente se encuentran en la nube o instalaciones de los clientes. Dentro de los contratos de servicios se firman acuerdos de confidencialidad para el tratamiento de información sensible. Definir una norma y procedimiento para la evaluación y análisis de riesgo cuando se otorgan acceso a terceros a instalaciones, sistemas, aplicaciones y redes. Documentar los servicios externos contratados y evaluar su nivel de cumplimiento. 10

12 A.7 Gestión de Activos 7.1 Responsabilidades de los Activos Objetivo: Lograr y mantener una apropiada protección de los activos de la organización. Score: 40% Nivel de Madurez: Repetible Inventario de activos Propiedad de los activos Uso aceptable de los activos. Existe evidencia de un inventario de activos en proceso de desarrollo en el cual a la fecha se han declarado los activos más importantes de la organización. En el inventario también se han definido los dueños de los activos, responsables de manipulación, se ha desarrollado un análisis criticidad, se ha especificado su ubicación y se ha definido un criterio de clasificación de confidencialidad. - No se ha documentado una normativa para el manejo y tratamiento adecuado de los activos. - No se ha realizado un análisis de riesgo sobre los activos. Identificar todos los activos de la organización, sus dependencias, funciones y criticidad. Realizar un análisis de riesgo sobre los activos. Definir los dueños y responsables del cumplimiento de seguridad para cada uno de los activos inventariados. 7.2 Clasificación de la Información Objetivo: Asegurar que la información reciba un nivel de protección apropiado. Score: 20% Guía para la clasificación Identificación y manejo de la información. - No existe una guía, norma o procedimiento para la clasificación de la información. - Si bien en los contratos se especifica cláusulas generales respecto a no hacer mal uso de los activos de la organización. No se ha documentado una normativa para el manejo adecuado de los activos. Definir una normativa y procedimiento para la clasificación y manejo de los activos de acuerdo a su criticidad, requisitos de confidencialidad, disponibilidad e integridad. 11

13 A.8 Seguridad de los Recursos Humanos 8.1 Previo al Empleo Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para cumplir los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. Score: 53% Nivel de Madurez: Repetible Funciones y Responsabilidades Investigación de antecedentes Términos y condiciones de contratación. Existe una política que define los requisitos para la contratación del personal, sin embargo no existe un procedimiento formal. De acuerdo a la evidencia entregada, en los contratos se definen roles y responsabilidades del trabajo a desempeñar como también términos generales de seguridad y de confidencialidad que se deben cumplir. Todos los empleados cuentan con sus respectivos contratos de trabajo. - Falta desarrollar una normativa para abordar y definir de forma específica los roles y responsabilidad para los temas de seguridad de la información. Adopción de un procedimiento formal de contratación, chequeo de antecedentes laborales, legales y académicos. Desarrollo de una política que defina claramente los roles y responsabilidades que se deben cumplir en materia de seguridad. 8.2 Durante el Empleo Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas de la seguridad de la información, sus responsabilidades y obligaciones, y estén preparadas para apoyar la política de seguridad en el curso de su trabajo normal, y reducir el riesgo de error humano. Score: 20% Responsabilidades de la gerencia Concienciación, formación y capacitación Proceso disciplinario. - No se ha comunicado ni puesto a disposición del personal las políticas de seguridad de la información. - No se han desarrollado concientizaciones, capacitaciones y evaluaciones del conocimiento de las políticas y normas de seguridad. Se firman términos generales de responsabilidad en temas de 12

14 seguridad en contratos de trabajo. En los contratos se definen los tipos de faltas y sanciones. Comunicar y poner a disposición de los empleados la política de seguridad. Definir de forma específica los roles y responsabilidades de seguridad. Realizar actividades de concientización en seguridad. 8.3 Finalización o Cambio de Empleo Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organización o cambien de empleo de una manera ordenada. Score: 40% Nivel de Madurez: Repetible Finalización de responsabilidades Devolución de los activos Retiro de los derechos de acceso. En los contratos existen políticas que definen condiciones para el término del empleo en caso de incumplimiento de los términos generales de seguridad. - No ha sido definido formalmente un proceso y responsable para gestionar la terminación o cambio de empleo y devolución de activos. - No se ha documentado un procedimiento formal para las tareas de eliminación de cuentas y retiros de acceso Documentar un procedimiento para la devolución de activos, retiro de accesos y derechos de usuarios en casos de término o cambio de empleo, Definir un responsable para llevar a cabo el proceso de gestión de término o cambio de empleo. A.9 Seguridad Física y Ambiental 9.1 Áreas Seguras Objetivo: Prevenir el acceso físico no autorizado, daño e intromisiones en las instalaciones y en la información de la organización. Score: 32% Controles de seguridad física Controles físicos de entrada Seguridad de las oficinas e instalaciones Protección contra las amenazas externas y de origen ambiental Trabajo en áreas seguras. 13

15 9.1.6 Áreas de acceso público, entrega y carga (N/A). Edificio: El edificio cuenta con cámaras de seguridad y guardias en la entrada principal. Se identifica el uso cámaras de vigilancia, vías de evacuación, red de agua y extintores para cada piso del edificio y entrada de las oficinas. El acceso a la oficina es controlado por sistema digital de clave numérica. - No se lleva un registro estricto para personal externo o visitas que acceden a las instalaciones. Al interior de las instalaciones: - No se lleva registro del personal externo o visita. - Sólo se cuenta con un extintor para toda la oficina. - No se identifica sensores de humo o elementos automáticos contra incendios. - No se evidencia cámaras de video vigilancia. La oficina está aislada de fuentes de inundación y disturbios. Se han identificado correctamente las vías de evacuación. Sala de cómputo: - No hay presencia cercana de extintores. - La sala no está equipada con las condiciones básicas de seguridad (Control de temperatura, humedad e incendio). - Existe un sistema de respaldo en la misma ubicación física. - El cableado no se encuentra ordenado ni rotulado. - No existe un sitio de contingencia en otro edificio. - Dentro de la sala existen elementos de fácil propagación al fuego (cajas y muebles). Se cuenta con una UPS para soportar interrupciones de 30 minutos. El control de acceso físico es sólo mediante llave que posee el personal autorizado. Reforzar el control acceso a la entrada del edificio, mediante un proceso de validación de visitas y registro. Mejorar la capacidad de extintores, sensores y mecanismo de prevención de incendios al interior del edificio. Implementar un mecanismo para el registro y control de visitas o cámaras de video vigilancia al interior de las oficinas. Adaptar la sala de cómputo para que cumpla las condiciones mínimas de seguridad física y ambiental (mejorar el sistema de control de acceso, alejar todos los elementos que puedan ser fácilmente consumidos por el fuego e implementar sensores de calor, humedad y humo). Implementar mecanismo para detectar y contrarrestar automáticamente los incendios. Mantener sistemas de respaldo en otra ubicación física protegida, alejada de la sala principal. 14

16 9.2 Seguridad de los Equipos. Objetivo: Evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la organización. Score: 33% Ubicación y protección de equipamiento Servicios de suministro público Seguridad en el cableado Mantenimiento de los equipos Seguridad del equipo fuera de las instalaciones Reutilización o eliminación segura de los equipos Retiro de los equipos fuera de las instalaciones (N/A). El ingreso principal a la oficina es mediante clave numérica digital y llave física para las salas al interior. - No hay vigilancia a través de cámaras al interior de la oficina. - No se lleva un registro para el personal externo o visita. - No se cuenta con más de un enlace para salir a internet. - No se cuenta con un site de contingencia. Existe una UPS para soportar 30 minutos de interrupción eléctrica. Fuera de la sala de cómputo, el cableado está protegido por una canaleta. El cable de red se encuentra separado del eléctrico. - El acceso al site es restringido solo mediante llave física de acceso a la sala. - No se ha definido un procedimiento formal para el mantenimiento de los equipos (hardware y software) Existe una política sobre el uso y la seguridad de dispositivos móviles. Los notebooks no tienen software para el cifrado de datos. - No existen procedimientos formales para la eliminación o reutilización de los equipos y su información. Mejorar el control y registro de acceso a las oficinas. Implementar cámaras de video vigilancia al interior de la oficina. Preparar sistemas físicos o virtuales fuera de las instalaciones para enfrentar contingencias. Separar los sistemas de respaldos de la sala de cómputo. Mejorar los controles de acceso y seguridad ambiental de la sala de cómputo. Desarrollar procedimientos para las tareas de mantenimiento de hardware y software. Implementar protección de cifrado de datos para equipos portátiles. Desarrollar procedimientos para la eliminación de información y reutilización de equipos. 15

17 A.10 Gestión de las Comunicaciones y las Operaciones 10.1 Responsabilidad y Procedimientos Operacionales Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información. Score: 30% Procedimientos operaciones documentados Gestión del cambio Segregación de tareas Separación de los medios de desarrollo, prueba y operación. - Los procedimientos operacionales y de administración no están documentados. - No existe un procedimiento formal para el control de cambios y vuelta atrás. - Los ambientes de desarrollo y QA se han segregados lógicamente, pero mantienen un alto grado de comunicación e integración debido a que se encuentran alojados en el mismo sistema. Se han definido perfiles de usuarios para el acceso a intranet y servidor de desarrollo. Documentar los procedimientos operacionales de administración y respaldo. Segregar las tareas y funciones de los equipos de desarrollo y QA Implementar distintos recursos y medios para segregar entornos de desarrollo y QA. Mejorar la segregación de redes de operación, desarrollo y QA Gestión de la Entrega de Servicios de Terceros Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros. Score: 40% Nivel de Madurez: Repetible Entrega de servicios Supervisión y revisión de los servicios de terceros Gestión de cambios en los servicios prestados por terceros (N/A). - No existen evaluaciones para medir el cumplimiento de los servicios prestados por terceros. Existen clausulas de confidencialidad en contratos de servicios que se establecen con terceros Documentar y evaluar los servicios prestados por terceros,: (hosting, mail e internet). 16

18 10.3 Planificación y Aceptación del Sistema Objetivo: Minimizar el riesgo de fallas en el sistema. Score: 30% Gestión de la capacidad Aceptación del sistema. De acuerdo a lo indicado por Soho, existe un equipo de trabajo que evalúa los proyectos, antes de su desarrollo, donde se planifica la capacidad y recursos requeridos. Existen ambientes de desarrollo y QA. Se lleva un registro en la intranet de las tareas y actividades de desarrollo. - No se realizan pruebas de stress o carga al desarrollo de software. - No existe un proceso formal para la aceptación y traspaso a producción del software. - No se ha definido una política para la aceptación del sistema. Definición de políticas de aceptación del sistema. Integración de pruebas de stress y carga. Definición de procedimiento para la validación y aceptación del desarrollo de software Protección Contra el Código Móvil y Malicioso Objetivo: Proteger la integridad del software y la información. Score: 30% Controles contra software malicioso Controles contra el código descargado en el cliente. Soho tiene implementado en las estaciones de trabajo el cliente de antivirus AVG - La administración del sistema antivirus no se encuentra no se encuentra centralizada. Los servicios de en la nube provistos por google integran un control para la detección de software malicioso y antispam. - No existen políticas formales para la restricción de instalación de software no autorizado. - No se realiza detección y evaluación de vulnerabilidades o código maliciosos de forma periódica. - No existe un proxy para el filtro de contenido web. 17

19 - No existe un sistema de detección o prevención de intrusos sobre la red. Implementar un sistema de detección y prevención de intrusos. Definir una política para la restricción de instalación de software no autorizado. Implementar un proxy para el filtro de contenido web. Definir e implementar un proceso para la evaluación y gestión de vulnerabilidades y parches de seguridad Copias de Seguridad Objetivo: Mantener la integridad y disponibilidad de la información y de los medios de procesamiento. Score: 40% Nivel de Madurez: Repetible Copia de respaldo de información. Hay un proceso y sistema destinado para el respaldo de la información. Existen copias de seguridad tanto en la nube, discos externos, como también en servidor local. - No hay un procedimiento documentado formalmente. - No se han desarrollado actividades para la revisión y validación de los respaldos. - Las copias locales se guardan físicamente en la misma oficina y sala de cómputo. - No se han documentado procedimientos de restauración de copias. - Los respaldos locales de información no se almacenan de forma cifrada. Definir procedimientos de respaldos, validación y restauración. Proteger lógica y/o físicamente los respaldos (cifrado) Gestión de Seguridad de las Redes Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte. Score: 30% Controles de red Seguridad de los servicios de la red. Existe un control y monitoreo de la red a través de Firewall. - No existen switches administrables que permitan mayor control de la red. - Existe sólo un enlace para la salida de internet. 18

20 - No existe un sistema de monitoreo de eventos de seguridad. Los logs son revisados bajo demanda. - No existe un sistema para la detección o prevención de intrusos. Los servicios accedidos a la nube (mail), son accedidos mediante canales seguros (SSL/TLS) Existen clausulas de confidencialidad en los contratos con los proveedores de servicios. - La red no está segmentada. Implementar switches administrables que permitan gestionar los puertos, recursos y segregar entornos de red. Implementar sistema para la detección de intrusos. Implementar sistemas para el monitoreo de logs. De ser necesaria alta disponibilidad en el consumo de servicios en la nube, evaluar la contratación un segundo proveedor de servicio de internet Manipulación de los Soportes Objetivo: Evitar la divulgación no-autorizada; modificación, eliminación o destrucción de activos; y la interrupción de las actividades comerciales. Score: 15% Gestión de los medios removibles Retirada de soportes Procedimientos para la manipulación de la información Seguridad de la documentación del sistema - No existen políticas ni procedimientos para el uso de medios removibles y tratamiento de su información. - No se emplean mecanismos para el cifrado de datos en medios removibles. El administrador indica que realiza las tareas de eliminación de datos en medios removibles y soportes cada vez que ha sido necesario. - No se ha definido procedimientos para la manipulación y eliminación segura de la información en soportes físicos y medios removibles. Desarrollar políticas y procedimientos para el uso de medios removibles, físicos y tratamiento de la información. Desarrollar procedimientos para la eliminación segura de los medios e información en medios removibles. Implementar mecanismos de cifrados para proteger información sensible en medios removibles. Proteger la información de configuraciones e interconexiones de sistemas. 19

21 10.8 Intercambio de Información. Objetivo: Mantener la seguridad en el intercambio de información y software dentro de la organización y con cualquier otra entidad externa. Score: 44% Nivel de Madurez: Repetible Políticas y procedimientos de intercambio de información Acuerdos de intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información empresarial. Se firman acuerdos de confidencialidad tanto con los empleados como con terceros para resguardar la confidencialidad en el intercambio de información. El acceso a mensajes de correo electrónico está protegido mediante certificado de seguridad provisto por el prestador de servicio (google) quien además presta servicios de protección contra código malicioso. - No existen procedimientos definidos para el uso de comunicaciones inalámbricas. - No se han desarrollado capacitaciones del personal para tomar las precauciones de seguridad respecto al tratamiento de información sensible. Desarrollar una política de intercambio de información. Definir procedimientos para el uso seguro de comunicaciones móviles Capacitar al personal para enseñar las precauciones de seguridad que se deben seguir para el tratamiento y comunicación de información sensible 10.9 Servicios de Comercio Electrónico Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y su uso seguro. Score: N/A Comercio Electrónico Transacciones en-línea Información puesta a disposición pública. N/A - 20

22 10.10 Monitoreo Objetivo: Detectar las actividades de procesamiento de información no autorizadas. Score: 30% Registro de eventos Monitoreo del uso de los sistemas Protección del registro de información Registros del administrador y operador Registro de fallas Sincronización de relojes. - No existe una política que defina la configuración y uso de registros de auditorías y eventos de seguridad. Los registros de eventos y auditoría se encuentran configurado como también los registros de operador administrador en los servidores, sistemas y dispositivos, pero los procesos de revisión de acuerdo a lo que indica Soho, son realizados de forma manual bajo demanda. El uso de los sistemas es monitoreado a nivel de red (ancho de banda y conexiones a través de FW). - No se monitorea lo recursos de sistemas mediante protocolo de gestión SNMP. Las fallas en sistemas son registradas a nivel de sistema operativo pero no son monitoreados en tiempo real y de forma centralizada. - No se mantiene un respaldo de los eventos de auditoría. - No se generan informes de los eventos de auditoría y seguridad. Los servidores de Soho se encuentran sincronizados con el servidor de horario NTP de la Universidad de Chile. Los equipos clientes mantienen la configuración por default de acuerdo a la zona horaria nacional. - No existe un procedimiento documentado para la configuración horaria. Definir una política de configuración y retención de registros de auditoría y seguridad para cada uno de los sistemas y dispositivos de red. Implementar un sistema de administración y monitoreo centralizado de eventos de logs. Definir e implementar una política de respaldo de eventos de auditoría y seguridad. 21

23 A.11 Control de Acceso 11.1 Requerimientos de Negocio para el Control del Acceso Objetivo: Controlar el acceso a la información. Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad. Score: 20% Política de control de acceso. - No existe una política o normativa para el control de acceso lógico. - El acceso al sistema operativo es mediante el uso de cuentas de administrador local. - Se emplea LDAP solo para la administración de cuentas de acceso a las unidades de red del servidor de desarrollo. El acceso a la intranet CEO cuenta con roles y perfiles definidos. No se evidencia el uso cuentas de usuarios genéricas. Todas las cuentas de acceso a base de datos están protegidas con contraseñas. Las cuentas de administración son manejadas de forma privada. - No existe un procedimiento formal para la realización de auditorías de cuentas. - No existe evidencia de la realización de auditoría de cuentas. Definir y documentar una normativa para el control de acceso lógico en sistemas y aplicaciones. Integrar LDAP para el manejo de cuenta de usuario del sistema operativo y servicios de red. Realizar periódicamente auditorías de cuentas, permisos y privilegios de acceso Gestión de Accesos de Usuarios Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información. Score:35% Registro de usuarios Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de usuario. A través de LDAP se controla el permiso y privilegios de las cuentas de usuarios para el acceso al servidor principal de desarrollo. La intranet contiene su propio modulo de gestión de cuentas y 22

24 privilegios así como también el servicio de correo en la nube (google) - No existe un procedimiento formal para gestión de cuentas y privilegios a través de LDAP - La gestión de cuentas de usuarios y privilegios es descentralizada. - No existe un estándar de configuración de cuentas de usuarios de red, la creación de cuentas locales en sistema operativo se deja a definición del usuario y restricciones propias del sistema operativo. Mejora en la integración de LDAP para la administración de cuentas y privilegios de usuarios para el acceso a sistemas y aplicaciones. Definición y desarrollo de un procedimiento para la administración de cuentas a través de LDAP. Definición de un estándar para la configuración de seguridad de cuentas de usuarios Responsabilidades de Usuario Objetivo: Prevenir el acceso de usuarios no autorizados, evitar el compromiso o robo de la información o de los medios de procesamiento. Score: 27% Uso de contraseñas Equipo del usuario desatendido Política de puesto de trabajo y pantalla limpia. - No se ha definido y puesto a disposición de los usuarios un documento con las guías de buenas prácticas para el uso de contraseñas y protección de los equipos desatendidos. - No se ha configurado el protector de pantalla para la protección de los equipos desatendidos. En los contratos de trabajo se ha definido de forma general una política de puesto de trabajo, pero esta no se cumple a totalidad. Desarrollar y difundir guía de buenas prácticas para el uso de contraseñas. Configurar e protector de pantalla para proteger los equipos desatendidos Control de Acceso a Redes Objetivo: Prevenir el acceso no autorizado a los servicios de red. Score: 30% Política para el uso de servicios de red Autenticación de usuario para conexiones externas. 23

25 Identificación de los equipos en las redes (N/A) Diagnóstico remoto y protección de los puertos de configuración Segregación de las redes Control de conexión a la red Control de enrutamiento de la red. - No existe una normativa para el uso de los servicios de red. - El administrador de red es quien otorga los accesos de usuario de acuerdo a los requisitos de negocio pero no existe un proceso de validación. No se otorgan accesos VPN. - No existe una política para el acceso remoto. El acceso a los sistemas locales, aplicaciones y servicios de red en la nube se encuentran protegidos mediante contraseñas de acceso. - No existen controles avanzado para limitar la conexión a la red. - La red lan no se encuentra segmentada, solo existe segregación de la red wireless y ambiente QA, el cual se encuentra separado lógicamente dentro del servidor principal de desarrollo. - Soho indica que las reglas del firewall son revisadas bajo demanda, no se ha definido un proceso formal de revisión. Los controles de conexión a la red y ancho de banda son aplicados bajo demanda a través del firewall. Se aplican configuraciones a nivel de firewall para definir reglas de acceso a entorno QA y reglas de enrutamiento sobre conexiones y servicios wan, wireless y lan. Documentar una política para el uso de las redes y los servicios red. Definir un procedimiento para otorgar accesos y validar cuentas de usuarios. Definir una normativa de seguridad para el acceso remoto a los servicios en la nube e internos. Integrar un sistema y protocolo que facilite las tareas de monitoreo y diagnóstico de los sistemas. Implementar switches administrables para mejorar la segregación de los entornos de red. Realizar un chequeo y reporte periódico de las reglas de firewall, conexiones y consumo de ancho de banda Control de Acceso al Sistema Operativo Objetivo: Evitar el acceso no autorizado a los sistemas operativos. Score: 20% Procedimientos de inicio seguro de sesión Identificación y autenticación del usuario Sistema de gestión de contraseñas Uso de los recursos del sistema Cierres de sesión automáticos por inactividad Limitación del tiempo de conexión. 24

26 - Los usuarios cuentan con permisos de administrador al sistema operativo de la estación de trabajo. Se emplea LDAP sólo para la administración de cuentas de usuarios de red que tienen acceso al servidor principal de desarrollo. No se incluyen las estaciones de trabajo. - No se ha implementado un sistema de gestión centralizada que administre todas las cuentas de usuarios y privilegios. - No existen guías de buenas prácticas o estándares de configuración de contraseñas. Existen distintos perfiles y privilegios para las cuentas de usuario de acceso y administración a bases de datos, aplicación intranet en la nube y acceso a servidor de desarrollo. - No se han desarrollado reportes de gestión de cuentas. - No existe un procedimiento para la creación, modificación o eliminación de cuentas o privilegios. - No se han configurado controles de protección para la inactividad de usuarios en los equipos (protectores de pantallas y cierres de sesión). Desarrollar políticas de seguridad para la configuración de contraseñas. Fortalecer LDAP para integrar y administrar en lo posible todas las cuentas de usuarios y aplicar políticas de configuración y seguridad. Realizar actividades de levantamiento de cuentas y privilegios. Desarrollar un procedimiento para crear, modificar y eliminar cuentas y privilegios de usuarios Configurar cierres de sesión automáticos en equipos de usuarios 11.6 Control de Acceso a las Aplicaciones y a la Información Objetivo: Prevenir el acceso no autorizado a la información que contienen las aplicaciones. Score: 30% Restricción de acceso a la información Aislamiento de sistemas sensibles. Resultados - No existen estándares de configuración de seguridad para los sistemas. - El servidor de desarrollo y QA se encuentra lógicamente segregado, pero en el mismo servidor. Las aplicaciones y acceso a servidores cuentan con perfiles y privilegios para los usuarios y administradores. - Las funciones en los sistemas no se encuentran completamente segregadas. El servidor de desarrollo comparte servicio web para montar ambiente de QA. - El servidor de gateway realiza funciones de ( Firewall, DHCP, DNS interno, control de ancho de banda y portal cautivo wireless) - El sitio y la intranet de Soho se encuentran en un hosting compartido susceptible a vulnerabilidades externas que podrían 25

27 contener otros sitios alojados. El acceso a los sistemas operativos es protegido mediante passwords de acceso. El acceso a las aplicaciones en la nube es protegido mediante passwords de acceso. - El acceso web a la intranet no fuerza el uso de cifrado seguro de comunicación. Adoptar estándares de configuración de seguridad para los sistemas operativos. Emplear sistemas dedicados para la entrega de servicios internos y externos. Segregar en sistemas dedicados los entornos de QA y desarrollo. Migrar a un hosting dedicado. Implementar certificado de seguridad para el acceso a la intranet y todos aquellos accesos web externos que requieran autenticación. Levantar y evaluar la seguridad de toda la información de Soho expuesta a internet Computación Móvil y Teletrabajo Objetivo: Garantizar la seguridad de la información cuando se utiliza medios de computación portátiles y teletrabajo. Score: 30% Computación y comunicaciones móviles Teletrabajo. Se ha definido una política de seguridad, que establece las medidas de configuraciones y controles de seguridad para dispositivos móviles. Soho indica que no se entregan accesos remotos a la red interna mediante VPN. - Los notebooks y equipos portátiles no emplean mecanismos de cifrado de datos. - No se han realizado capacitaciones de personal respecto a los riesgos del uso de dispositivos móviles. - No existe una normativa de teletrabajo. Realizar respaldos de la información de los dispositivos móviles Implementar elemento de protección contra código malicioso y cifrado de datos. Desarrollar planes de concientización para la seguridad en el uso de dispositivos móviles. Desarrollar una política, para las actividades de tele-trabajo y acceso seguro a los recursos en la nube. 26

28 A.12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información 12.1 Requerimientos de Seguridad de los Sistemas de Información Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información. Score: 20% Análisis y especificaciones de los requerimientos de seguridad. - No se han adoptados guías o estándares de configuración de seguridad para los sistemas de información, - El procedimiento de instalación de los sistemas es realizado por el administrador sin un procedimiento formal. Soho indica que durante el proceso de instalación de estaciones de trabajo, se instala las aplicaciones básicas requeridas para desempeñar el trabajo y antivirus como regla general. - La seguridad no se ha integrado como una etapa más en los proyectos de desarrollo de software. - No existe una política que defina hacer uso de las últimas versiones y paquetes de software. Adoptar guías de buenas prácticas para la configuración de sistemas operativos. Desarrollar procedimientos de instalación de software base. Definir e implementar un proceso para la evaluación de seguridad en las etapas claves del desarrollo de software. Definir los requisitos mínimos de seguridad que deben cumplir los sistemas y desarrollos. Desarrollar una metodología y procedimientos para realizar actualizaciones y uso de las últimas versiones de software Procesamiento Correcto en las Aplicaciones Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones. Score: 35% Validación de los datos de entrada Control del procesamiento interno Integridad de los mensajes Validación de los datos de salida. Existe un equipo de QA que realiza actividades para evaluar errores de procesamiento de las aplicaciones y medir su calidad y usabilidad, así como también la correcta salida de los datos. - No se ha adoptado una metodología de evaluación de seguridad para cubrir el proceso y ciclo de desarrollo de software. 27

29 - Para los proyectos de desarrollo no se realizan evaluaciones de seguridad al código fuente. - No se realizan evaluaciones dinámicas de seguridad previo al paso a producción (Ethical Hacking) - Los problemas de seguridad de las aplicaciones son identificados por la experiencia de desarrolladores y resueltos bajo demanda. Adoptar y difundir guías de seguridad y buenas prácticas para el proceso de desarrollo de software. Definir una metodología de evaluación de seguridad para el desarrollo de software y aplicaciones. Integrar pruebas de seguridad para evaluar el código fuente Integrar pruebas dinámicas de seguridad de tipo Ethical hacking previo al paso de producción. Integrar pruebas de carga y stress cuando sea identificado como requisito de seguridad. Definir los requerimientos mínimos para la aceptación de seguridad de los sistemas y aplicaciones Controles Criptográficos Objetivo: Proteger la confidencialidad, autenticidad o integridad a través de medios criptográficos. Score: 20% Política en el uso de controles de cifrado Gestión de claves criptográficas (N/A). - No existe una política que defina el uso de controles de cifrado. Se aplican controles de cifrado para los canales de comunicación cuando los proyectos de desarrollo de aplicaciones lo requieren y por solicitud de los clientes. El canal de acceso al servicio de mail se encuentra protegido. - El acceso web a la intranet no está forzado para emplear seguridad del tipo SSL/TLS (HTTPS) - La información y o datos sensibles en base de datos y equipos portátiles no se mantiene cifrada. - No existe un sistema de gestión de claves criptográficas. Definir una normativa para el uso de controles criptográficos Implementar certificados de seguridad y protocolo SSL/TLS para todos los accesos web en internet que requieran el uso de passwords y donde se intercambie información sensible. Proteger la información sensible de las bases de datos mediante el uso de cifrado. Implementar el cifrado de datos en equipos portátiles. 28

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática

REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá. Dirección de Informática REPÚBLICA DE COLOMBIA Alcaldía Municipal de Facatativá Dirección de Informática Documento Plan de contingencias y sugerencias Diseño, Desarrollo e Implementación Versión I 1.- SOLUCIÓN PROPUESTA Y PLAN

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA INFRAESTRUCTURA TECNOLÓGICA

GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA INFRAESTRUCTURA TECNOLÓGICA Número de página 1 de 5 GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA Número de página 2 de 5 1. INFORMACION GENERAL 1.1 OBJETIVO Mantener en operación la infraestructura de acuerdo a los requerimientos de la Entidad.

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

ISO27002.es PATROCINADO POR:

ISO27002.es PATROCINADO POR: ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES 5. POLÍTICAS DE SEGURIDAD. 5.1 Directrices de la Dirección en seguridad de la información. 5.1.1 Conjunto de políticas para la seguridad

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Servicios de infraestructura: servidores

Servicios de infraestructura: servidores Servicios de infraestructura: servidores Introducción Proveemos servicios de instalación y configuración de infraestructura de servidores y servicios especializados de red. Contamos con personal experto

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

2 de Mayo 2006 Versión: 5.0. 2005 BVC Información confidencial: El presente documento no debe ser distribuido sin aprobación de la BVC

2 de Mayo 2006 Versión: 5.0. 2005 BVC Información confidencial: El presente documento no debe ser distribuido sin aprobación de la BVC ESPECIFICACIONES TECNICAS DE INFRAESTRUCTURA TECNOLOGICA Y CONECTIVIDAD DE LOS AFILIADOS A LOS SISTEMAS TRANSACCIONALES DE LA BOLSA DE VALORES DE COLOMBIA. NUEVO SISTEMA DE NEGOCIACION 2 de Mayo 2006 Versión:

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

POLITICA DE SEGURIDAD DE LA INFORMACIÓN POLITICA DE SEGURIDAD DE LA INFORMACIÓN En AVANSIS, la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones eficientes, razón por la cual existe un compromiso

Más detalles

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX

Tabla de Contenidos DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) ETAP Versión 18.1 Calificación Data Centers Código: DC-XXX CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS DE LA ADMINISTRACIÓN PÚBLICA NACIONAL (DC-001) Tabla de Contenidos CONDICIONES MÍNIMAS DE SERVICIO PARA DATA CENTERS 1 DE LA ADMINISTRACIÓN PÚBLICA NACIONAL

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

4 de Octubre 2005 Versión: 4.0

4 de Octubre 2005 Versión: 4.0 ESPECIFICACIONES TECNICAS DE INFRAESTRUCTURA TECNOLOGICA Y CONECTIVIDAD DE LOS AFILIADOS A LOS SISTEMAS TRANSACCIONALES DE LA BOLSA DE VALORES DE COLOMBIA. 4 de Octubre 2005 Versión: 4.0 TABLA DE CONTENIDO

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas

Más detalles

10 de Enero 2006 Versión: 5.0. 2005 BVC Información confidencial: El presente documento no debe ser distribuido sin aprobación de la BVC

10 de Enero 2006 Versión: 5.0. 2005 BVC Información confidencial: El presente documento no debe ser distribuido sin aprobación de la BVC ESPECIFICACIONES TECNICAS DE INFRAESTRUCTURA TECNOLOGICA Y CONECTIVIDAD DE LOS AFILIADOS A LOS SISTEMAS TRANSACCIONALES DE LA BOLSA DE VALORES DE COLOMBIA. NUEVO SISTEMA DE NEGOCIACION 10 de Enero 2006

Más detalles

INTERNET DATA CENTER COLOCATION

INTERNET DATA CENTER COLOCATION COLOCATION Entrega en el Internet Data Center UNE el entorno físico, ambiental y de seguridad ideal para el correcto funcionamiento de las plataformas tecnológicas que soportan los procesos de negocio

Más detalles

GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD

GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD GUIA PARA LA FORMULACION DE PROCEDIMIENTOS DE SEGURIDAD 1 INDICE INTRODUCCIÓN...6 I. Norma ISO 17799...6 1. Qué es la seguridad de la información?...6 2. Por qué es necesaria la seguridad de la información...6

Más detalles

MANUAL DE NORMAS INTERNAS PARA EL USO DE LOS SERVICIOS INFORMATICOS, SOFTWARE Y EQUIPO DE CÓMPUTO EN LA OFICINA CENTRAL DE CÁRITAS DEL PERÚ

MANUAL DE NORMAS INTERNAS PARA EL USO DE LOS SERVICIOS INFORMATICOS, SOFTWARE Y EQUIPO DE CÓMPUTO EN LA OFICINA CENTRAL DE CÁRITAS DEL PERÚ MANUAL DE NORMAS INTERNAS PARA EL USO DE LOS SERVICIOS INFORMATICOS, SOFTWARE Y EQUIPO DE CÓMPUTO EN LA OFICINA CENTRAL DE CÁRITAS DEL PERÚ OCTUBRE 2008 INDICE Pág. I. OBJETIVO 3 II. FINALIDAD 3 III. ALCANCE

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

MANUAL DE NORMAS Y LINEAMIENTOS GENERALES

MANUAL DE NORMAS Y LINEAMIENTOS GENERALES MACROPROCESO GESTIÓN TECNOLÓGICA PROCESO ADMINISTRACIÓN DEL SERVICIO MANUAL DE NORMAS Y LINEAMIENTOS GENERALES TECNOLOGÍAS DE INFORMACIÓN Y REVISADO POR Vicerrector Administrativo Secretario General Secretario

Más detalles

Productos. Web Hosting. Tel +52 (442) 161 2622, (55) 1209 8240 Mail info@latamsys.com Web www.latamsys.com

Productos. Web Hosting. Tel +52 (442) 161 2622, (55) 1209 8240 Mail info@latamsys.com Web www.latamsys.com Productos Web Hosting Costo: tipo de facturación por cantidad de facturas emitidas. $6,000 $5,000 $4,000 $3,000 Tradicional $2,000 Electrónica $1,000 12 24 75 100 150 200 100% en línea, ya que no requiere

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 ADMINISTRACION DE INFRAESTRUCTURA TECNOLOGICA CÓDIGO: APO4-P-002 FECHA DE VIGENCIA 05/Feb/2014 1. OBJETIVO Proveer, mantener y garantizar

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

Consultoría y Asesoría informática

Consultoría y Asesoría informática es una empresa especializada en servicios de Consultoría en Tecnologías de la Información y Negocios. Contamos con 12 años de experiencia que respaldan nuestros servicios TI. Somos una empresa de valor

Más detalles

MANTENIMIENTO DE SEGUNDO NIVEL EN SISTEMAS DE RADIOCOMUNICACIONES

MANTENIMIENTO DE SEGUNDO NIVEL EN SISTEMAS DE RADIOCOMUNICACIONES Página 1 de 24 CUALIFICACIÓN PROFESIONAL MANTENIMIENTO DE SEGUNDO NIVEL EN SISTEMAS DE RADIOCOMUNICACIONES Familia Profesional Informática y Comunicaciones Nivel 3 Código IFC366_3 Versión 5 Situación RD

Más detalles

CONTRALORÍA GENERAL DE LA REPÚBLICA

CONTRALORÍA GENERAL DE LA REPÚBLICA Respuestas Consulta Documento Guía Técnica OLACEFS I. Base de datos y minería de datos: Herramientas y técnicas empleadas por la EFS. 1. En la EFS el almacenamiento de las bases de datos de información

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

RECOMENDACIONES PARA EL DESARROLLO DE UNA PLAN DE SEGURIDAD DE LA INFORMACIÓN

RECOMENDACIONES PARA EL DESARROLLO DE UNA PLAN DE SEGURIDAD DE LA INFORMACIÓN CENTRO DE EXCELENCIA DE SOFTWARE LIBRE DE CASTILLA-LA MANCHA JUNTA DE COMUNIDADES DE CASTILLA LA MANCHA. RECOMENDACIONES PARA EL DESARROLLO DE UNA PLAN DE SEGURIDAD DE LA INFORMACIÓN Autor del documento:

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA I.E.S. RUIZ GIJÓN DEPARTAMENTO DE INFORMÁTICA UTRERA (Sevilla) Objetivos, Contenidos y Criterios de Evaluación: C.F. GRADO MEDIO Sistemas Microinformáticos y Redes Curso: 2º CURSO ACADÉMICO 2013/2014 PROFESOR:

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO

CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO CAPÍTULO I AUDITORÍA INFORMÁTICA PRESENTACIÓN DEL PROYECTO 1.1 PROYECTO - Auditoría Informática de los sistemas de información de la ESPE Dominio de Planeación y Organización. 1.2 INTRODUCCIÓN - La evolución

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

LINEAMIENTOS DE ADMINISTRACIÓN DE DISPONIBILIDAD

LINEAMIENTOS DE ADMINISTRACIÓN DE DISPONIBILIDAD Bogotá D.C., Agosto de 2014 TABLA DE CONTENIDO INTRODUCCIÓN ---------------------------------------------------------------------------------------- 3 1. OBJETIVO ------------------------------------------------------------------------------------------

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

CONTENIDO OBJETIVO ALCANCE DEFINICIONES POLÍTICA DE ASIGNACIÓN DE ACCESO A LA RED DISPOSICIONES GENERALES

CONTENIDO OBJETIVO ALCANCE DEFINICIONES POLÍTICA DE ASIGNACIÓN DE ACCESO A LA RED DISPOSICIONES GENERALES (ANEXO 1) CONTENIDO OBJETIVO ALCANCE DEFINICIONES POLÍTICA DE ASIGNACIÓN DE ACCESO A LA RED DISPOSICIONES GENERALES I. Altas de Cuentas de Usuarios II. Vigencia de Cuentas III. Uso de la Red CIJ IV. De

Más detalles

Índice. 3. Servicio Ofertado 7 3.1 Mantenciones 3.2 Soporte Técnico 3.3 Niveles de Soporte Técnico

Índice. 3. Servicio Ofertado 7 3.1 Mantenciones 3.2 Soporte Técnico 3.3 Niveles de Soporte Técnico Índice 1. Presentación de la Empresa 3 2. Infraestructura 4 2.1 Enlace 2.2 Suministro Eléctrico 2.3 Supervisión de Redes 2.4 Supresión de Incendios 2.5 Seguridad 2.6 Climatización 2.7 Disponibilidad de

Más detalles

10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina. una Auditoría. Regional Head of Information Technology Siemens S.A.

10º ENAI ConocimientoGlobalizado 21 y 22 de Mayo Buenos Aires Argentina. una Auditoría. Regional Head of Information Technology Siemens S.A. Cómo preparar un área de IT para ser efectivos ante una Auditoría Pablo Der Meguerditchian Regional Head of Information Technology Siemens S.A. 2 Pablo Der Meguerditchian Head of Information Technology

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

ANEXO A NORMAS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA DIRECTIVA PERMANENTE No. 200-12 POLÍTICA DE SEGURIDAD INFORMÁTICA PARA LAS FUERZAS MILITARES MINISTERIO DE DEFENSA NACIONAL FUERZAS MILITARES DE COLOMBIA

Más detalles

ÍNDICE DE CONTENIDO. 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa.

ÍNDICE DE CONTENIDO. 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa. Autor: Raisa Gruezo Vélez ÍNDICE DE CONTENIDO 1. Objetivo del Proyecto. 2. Delimitación del Proyecto. 3. Presentación de la empresa. 4. Diagnóstico de la empresa. 5. Determinación del Problema. 6. Planteamiento

Más detalles

Contenido Exposición de motivos I. Introducción II. Políticas de seguridad: II.1 Equipo

Contenido Exposición de motivos I. Introducción II. Políticas de seguridad: II.1 Equipo POLÍTICA DE SEGURIDAD INFORMÁTICA Contenido Exposición de motivos I. Introducción II. Políticas de seguridad: II.1 Equipo III. Generales IV. Sanciones a) De la instalación de equipo de cómputo b) Para

Más detalles

Seguridad e Integridad de Base de Datos

Seguridad e Integridad de Base de Datos Antecedentes El Departamento de Tecnología y Sistemas de la Información (DTI) es el encargado de planificar, implementar y administrar la infraestructura TIC que permita proveer los servicios tecnológicos

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Nombre C.C. Representante Legal EL USUARIO

Nombre C.C. Representante Legal EL USUARIO ESPECIFICACIONES DE CONECTIVIDAD A LOS SISTEMAS TRANSACCIONALES DE DERIVEX Y PARA AFILIADOS QUE UTILIZAN PANTALLAS INFORMATIVAS Nombre C.C. Representante Legal EL USUARIO TABLA DE CONTENIDO INTRODUCCION...

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Apoyo Microsoft a los Dominios PMG SSI. Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012

Apoyo Microsoft a los Dominios PMG SSI. Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012 Apoyo Microsoft a los Dominios PMG SSI Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012 Agenda Dominios PMG SSI El área de Servicios de Microsoft La visión de Microsoft sobre

Más detalles

Zentyal para Pymes Infraestructura TIC híbrida fácil de usar y asequible

Zentyal para Pymes Infraestructura TIC híbrida fácil de usar y asequible Infraestructura TIC híbrida fácil de usar y asequible Solución híbrida: Infraestructura TIC local totalmente sincronizada con la nube Único fabricante a nivel mundial además de Microsoft - en ofrecer interoperabilidad

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ 1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN

POLÍTICA DE SEGURIDAD FÍSICA N-10 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN POLÍTICA DE SEGURIDAD FÍSICA N-10 2011 NOTA DE CONFIDENCIALIDAD DE ACUERDO A CLASIFICACIÓN Este documento es de propiedad exclusiva de MINSAL y su uso debe estar ceñido a lo dispuesto en la clasificación

Más detalles

POLITICA DE SEGURIDAD INFORMATICA

POLITICA DE SEGURIDAD INFORMATICA POLITICA DE SEGURIDAD INFORMATICA Página: 1 03/03/2011 CONTENIDO Exposición de motivos 1. INTRODUCCIÓN 2. POLÍTICAS DE SEGURIDAD 2.1 Equipo a) De la instalación de equipo de cómputo b) Para el mantenimiento

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION

DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION MANUAL ORGANIZACIONAL MAN-ORG-105 BASICA RÉGIMEN ORGANIZACIONAL INTERNO NOR-DTIN- 54 DIRECCIÓN DE TECNOLOGIAS DE LA INFORMACION 1. FINALIDAD Apoyar la gestión empresarial mediante una efectiva planificación,

Más detalles

Seguridad de la Información

Seguridad de la Información Seguridad de la Información v8 Las 10 Prioridades en Seguridad de la Información 2011-2012 Las 10 Prioridades en Seguridad de la Información Problemáticas Soluciones ADEXUS Las 10 Prioridades en Seguridad

Más detalles

Análisis de la Norma BCRA A 4609

Análisis de la Norma BCRA A 4609 Análisis de la Norma BCRA A 4609 Seguridad Informática y Continuidad de Procesamiento Módulo II: Fase Práctica Lic. Matías Pagouapé mpagouape@cybsec.com 5 de Junio de 2007 Buenos Aires - ARGENTINA Estrategia

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

Servidores corporativos Linux

Servidores corporativos Linux Servidores corporativos Linux Contenidos Contenidos... 1 Introducción... 2 Controlador de dominio Windows en Linux... 2 Servidor de ficheros e impresoras Linux... 3 Alta disponibilidad... 4 Otros servicios

Más detalles

POLITICA SEGURIDAD DE LA UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA (ULPGC)

POLITICA SEGURIDAD DE LA UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA (ULPGC) POLITICA SEGURIDAD DE LA UNIVERSIDAD DE LAS PALMAS DE GRAN CANARIA (ULPGC) INDICE 0 PRÓLOGO... 3 1 INTRODUCCIÓN... 4 2 ÁMBITO DE APLICACIÓN... 4 3 POLÍTICA DE SEGURIDAD... 6 3.1 Organización... 6 3.2 Planificación...

Más detalles

Capítulo 6: Conclusiones

Capítulo 6: Conclusiones Capítulo 6: Conclusiones 6.1 Conclusiones generales Sobre el presente trabajo se obtuvieron varias conclusiones sobre la administración del ancho de banda en una red inalámbrica, basadas en la investigación

Más detalles