Soho Chile Julio 2013

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Soho Chile Julio 2013"

Transcripción

1 Diagnóstico de Seguridad de la Información ISO/IEC 27001:2005 Soho Chile Julio 2013

2 Tabla de Contenidos Resumen Ejecutivo... 2 Recomendaciones Generales Introducción Objetivos Alcances Metodología del Proyecto Criterios de Evaluación Resultados Detallado del Análisis Gráfico de Resultados por Objetivos de Control Resultado Detallado de la Evaluación de Controles... 9 A.5 Política de Seguridad... 9 A.6 Organización de la Seguridad de la Información... 9 A.7 Gestión de Activos A.8 Seguridad de los Recursos Humanos A.9 Seguridad Física y Ambiental A.10 Gestión de las Comunicaciones y las Operaciones A.11 Control de Acceso A.12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información A.13 Gestión de Incidentes de Seguridad de la Información A.14 Gestión de Continuidad del Negocio A.15 Cumplimiento

3 Resumen Ejecutivo El diagnóstico de seguridad de la información realizado de acuerdo al estándar ISO/IEC27001:2007 ha arrojado como resultado una falta de integración de la seguridad en la organización, encontrando a Soho en un nivel de cumplimiento del 29,54% a 30 puntos porcentuales del nivel esperado. Nivel alcanzado 29,54 % Nivel esperado 60 % El bajo nivel de cumplimiento para cada uno de los dominios puede ser observado en la siguiente gráfica. 2

4 De los resultados globales obtenidos, fue posible determinar que nueve de once dominios arrojaron bajos índices de acuerdo al cumplimiento esperado. Dominio % Alcanzado % Esperado Política de Seguridad 40% 60% Organización de la Seguridad de la Información 33% 58% Gestión de Activos 30% 60% Seguridad Ligada a los Recursos Humanos 38% 60% Seguridad Física y Ambiental 33% 60% Gestión de las Comunicaciones y Operaciones 32% 60% Control de Acceso 29% 60% Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información 22% 63% Gestión de Incidentes en la Seguridad de la Información 20% 60% Gestión de la Continuidad del Negocio 44% 60% Cumplimiento 4% 60% De la evaluación de los niveles de madurez de los controles, se observa que la mayor cantidad se encuentran en un estado Inicial y Repetible lo que define principalmente que: El enfoque general hacia la administración de la seguridad es desorganizado. No hay entrenamiento o comunicación formal de los procedimientos de seguridad. Se da un alto grado de confianza en el conocimiento del personal. Las normas y procedimientos no se han estandarizado y documentado. 3

5 Recomendaciones Generales Es importante señalar que dentro del proceso de la integración de la seguridad en la organización, recomendamos a Soho poner principal foco en la protección de la información y a partir de ahí, evaluar los costos de inversión para enfrentar los riesgos y amenazas a los que están expuestos los activos de la compañía. Las normas, procedimientos y controles no están documentados. Si bien existe una política general de seguridad de alto nivel aprobada por la gerencia, recomendamos la elaboración de un cuerpo normativo de seguridad alineado a las estrategias de la compañía. Los puntos evaluados respecto a la organización de la seguridad indicaron deficiencias, por lo que es importante para mejorar su evaluación se considere la definición formal de un equipo de trabajo y sus responsabilidades, y que este equipo tenga como objetivo entregar directrices claras, gestionar la seguridad y facilitar la toma de decisiones alineado con las estrategias comerciales de la compañía. Respecto a los temas de clasificación de activos; si bien existe un inventario en proceso de desarrollo, es importante considerar sobre ellos, la ejecución de un análisis de riesgo. Esto permitirá determinar con mayor claridad cuáles son las amenazas a las que están expuestos los activos, cuales son los controles y medidas que deben ser implementados y cuantificar los costos de protección. Dentro de los procesos de seguridad de los recursos humanos, recomendamos definir y ejecutar planes de concientización y capacitación de seguridad, lo que entregará a los empleados un mejor conocimiento, y preparación para evitar riesgos que afecten la seguridad de la información. De los aspectos derivados de la seguridad física y ambiental, identificamos que el edificio cuenta con medidas de seguridad perimetrales, cámaras de monitoreo, elementos para combatir incendios y vías de escape, pero no hay un control efectivo en la identificación y registro para la entrada de visitas y externos. Al interior de las oficinas se observan importantes deficiencias a la seguridad, principalmente en la sala donde se encuentran los servidores debido a la presencia de materiales inflamables y la ausencia de controles de humedad, temperatura, humo y prevención de incendios. En relación a los temas de seguridad de los equipos y sistemas, se recomienda definir y llevar a cabo un procedimiento periódico para la mantención tanto a nivel de hardware como software. Recomendamos también ejecutar de forma periódica actividades de análisis de vulnerabilidades y/o pruebas de Ethical Hacking. Esto permitirá identificar los problemas de seguridad técnicos que deben ser resueltos y minimizar los riesgos que puedan afectar la confidencialidad, integridad o disponibilidad de la información, así como también fortalecer la continuidad operativa. Como medida preventiva para reducir los riesgos de seguridad TI y prevenir la fuga de información, se recomienda a Soho adoptar estándares de configuración para los sistemas operativos, implementar políticas y herramientas para el cifrado de datos en equipos portátiles, proteger la información de respaldo y cifrar los canales de comunicación por donde transite información sensible. 4

6 Derivado de la evaluación de gestión de comunicaciones y operaciones, se ha identificado que no existe documentación de los procedimientos, así como también la falta de segregación física y lógica de los entornos de red. Por lo tanto; para tratar estos puntos, recomendamos que las actividades administrativas y operacionales se encuentren documentadas y segregadas, así como también que las tareas que requieren aprobación y ejecución sean definidas a distintas personas o equipos de trabajo o bien sean supervisadas. Del análisis realizado al control de acceso lógico, recomendamos que sea mejorado hasta el nivel que la administración pueda ser gestionada de forma centralizada. Permitiendo de esta forma, administrar efectivamente la seguridad y políticas de configuración de cuentas, controlar el acceso a los sistemas y mejorar la gestión de usuarios. Otro de los temas de seguridad TI donde se necesita un esfuerzo importante, es en desarrollar un plan a mediano plazo para actualizar y mejorar la capacidad de los equipos de comunicaciones, fortalecer la seguridad perimetral y la seguridad de redes, poniendo foco en la integración de elementos para la prevención de intrusos, implementar filtros para los contenidos de internet e implementación de herramientas para monitorear de forma centralizada los eventos de seguridad de los dispositivos y sistemas de red. Para mejorar la seguridad en el desarrollo de aplicaciones y software, es necesaria la integración de una metodología para la evaluación de seguridad y acordar las especificaciones mínimas para la aprobación y paso a producción. Se sugiere la implementación de 2 fases de revisión, la primera mediante pruebas estáticas al código fuente y la segunda mediante pruebas dinámicas de tipo Ethical Hacking, esta última ejecutada previo a la puesta en producción y que idealmente involucre todo el entorno donde se soporta el proyecto. En referencia a los planes de continuidad de negocio, se recomienda poner a prueba cada uno de los procedimientos de recuperación definidos en el plan y documentar los resultados, así como también documentar las fallas, problemas y medidas que permitan mejorar los tiempos de respuestas y procesos de recuperación. De los últimos puntos evaluados en este análisis, se sugiere a Soho poner principal preocupación en la identificación de la legislación aplicable para cada uno de los proyectos donde se involucre el manejo de información sensible o que pueda estar sujeto a leyes o estatutos legales y tomar todas las precauciones que así lo requieran. Se recomienda finalmente realizar auditorías por lo menos una vez al año para evaluar el cumplimiento de las políticas, normas y estándares que sean definidos y junto con ello desarrollar una metodología para incorporar una mejora continua a la seguridad de la información. 5

7 1. Introducción Soho Chile se ha propuesto realizar un diagnóstico de Seguridad de la Información alineado al estándar ISO/IEC 27001:2005. Los resultados de esta evaluación permiten obtener una mejor orientación, determinar las prioridades y acciones de gestión adecuadas para la administración de los riesgos relativos a la seguridad de la información. 2. Objetivos Realizar un diagnóstico de seguridad para identificar brechas y definir planes de acción que permitan mitigar los riesgos de seguridad de la información. 3. Alcances Revisión de 11 dominios y 39 objetivos de control especificados en la ISO/IEC 27001:2005 Política de Seguridad Organización de la Seguridad de la Información Gestión de Activos Seguridad Ligada a los Recursos Humanos Seguridad Física y Ambiental Gestión de las Comunicaciones y Operaciones Control de Acceso Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información Gestión de Incidentes en la Seguridad de la Información Gestión de la Continuidad del Negocio Cumplimiento 6

8 4. Metodología del Proyecto El proyecto fue realizado en tres etapas previamente planificadas. La etapa 2 donde se centra principalmente el diagnóstico, se desarrolló mediante entrevistas realizadas a Edson Fuentes, jefe de desarrollo de Soho Chile y fue complementada con la entrega de evidencias y documentación respectiva al marco de evaluación. 5. Criterios de Evaluación Para realizar la evaluación se utilizó un modelo basado en los niveles de madurez de COBIT que consiste en una puntuación de 0 a 5, donde el menor (0) significa "No existente" y el mayor (5) "Optimizado". Madurez Descripción Cumplimiento 0 No existente 1 Inicial 2 Repetible 3 Definido 4 Administrado 5 Optimizado Carencia completa de cualquier proceso reconocible. La empresa no ha reconocido siquiera que existe un problema a resolver. La empresa ha reconocido que los problemas existen y requieren ser resueltos. Sin embargo; no existen procesos estándar, en su lugar existen enfoques que tienden a ser aplicados de forma individual o caso por caso. El enfoque general hacia la administración es desorganizado. Se han desarrollado los procesos hasta el punto en que se siguen procedimientos similares en diferentes áreas que realizan la misma tarea. No hay entrenamiento o comunicación formal de los procedimientos estándar, y se deja la responsabilidad al individuo. Existe un alto grado de confianza en el conocimiento de los individuos y, por lo tanto, los errores son muy probables. Los procedimientos se han estandarizado y documentado, y se han difundido a través de entrenamiento. Sin embargo, se deja que las personas decidan utilizar estos procesos, y es poco probable que se detecten desviaciones. Los procedimientos en sí no son sofisticados pero formalizan las prácticas existentes. Es posible monitorear y medir el cumplimiento de los procedimientos y tomar medidas cuando los procesos no estén trabajando de forma efectiva. Los procesos están bajo constante mejora y proporcionan buenas prácticas. Se usa la automatización y herramientas de una manera limitada o fragmentada. Los procesos se han refinado hasta un nivel de mejor práctica, se basan en los resultados de mejoras continuas y en un modelo de madurez con otras empresas. TI se usa de forma integrada para automatizar el flujo de trabajo, brindando herramientas para mejorar la calidad y la efectividad, haciendo que la empresa se adapte de manera rápida. 0% 20% 40% 60% 80% 100% 7

9 6. Resultados Detallado del Análisis 6.1 Gráfico de Resultados por Objetivos de Control El siguiente gráfico muestra los resultados porcentuales obtenidos en comparación con el esperado para cada uno de los objetivos de control. 8

10 6.2 Resultado Detallado de la Evaluación de Controles A.5 Política de Seguridad 5.1 Política de Seguridad de la Información Objetivo: Proporcionar lineamientos e indicaciones para la gestión de seguridad de la información de acuerdo con los requisitos empresariales y la legislación y normativas aplicables. Score: 40% Nivel de Madurez: Repetible Documento de política de seguridad de la información Revisión de la política de seguridad de la información. Existe una política general de seguridad y privacidad de la Información aprobada durante el mes de junio del Existe una planificación definida para la revisión la política y que se llevará a cabo dentro de un periodo de 6 meses y para cuando existan cambios significativos. - La política aún no está disponible para toda la organización. - No se ha definido un cuerpo normativo y los procedimientos que apoyen las prácticas de seguridad. Comunicar y poner a disposición de los empleados la política general de seguridad de la información. Documentar normas y procedimientos para los dominios cubiertos en la política general de seguridad. A.6 Organización de la Seguridad de la Información 6.1 Organización Interna Objetivo: Gestionar la seguridad de la información dentro de la organización. Score: 33% Compromiso de la gerencia con la seguridad de la información Coordinación de la seguridad de la información Asignación de las responsabilidades Proceso de autorización para los nuevos medios de procesamiento Acuerdos de confidencialidad Contacto con las autoridades Contacto con grupos de interés Revisión independiente de la seguridad de la información. - Las políticas normas y procedimientos aún no han sido difundidos y puestos a disposición del personal. - Existe un rol para canalizar los temas de seguridad el cual ha sido 9

11 asignado a Edson Fuentes Jefe de Desarrollo pero no se ha definido formalmente un equipo de trabajo y sus responsabilidades para tratar los temas de seguridad. - No se ha desarrollado una norma o procedimiento formal para la autorización de los nuevos medios de procesamiento (solicitud, evaluación, aprobación). Las responsabilidades de los temas generales de seguridad han sido especificados en los contratos de trabajo. La empresa firma acuerdos de confidencialidad tanto con empleados como con clientes para el tratamiento de información sensible. La revisión actual es la primera revisión general e independiente de seguridad realizada. Definición de un equipo de trabajo para abordar los temas de seguridad. Difusión de las políticas y directrices de la seguridad de la información para todo el personal. Desarrollo de procedimientos y normativas para la autorización de nuevos recursos de procesamiento de información. 6.2 Partes Externas Objetivo: Mantener la seguridad de la información de la organización y de los dispositivos de procesamiento que son accedidos o administrados por terceros. Score: 33% Identificación de riesgos asociados a terceras partes Tratamiento de la seguridad cuando se trabaja con clientes Tratamiento de la seguridad en contratos con terceros. - No se ha definido una norma y procedimiento formal para otorgar accesos y análisis de riesgo de terceros cuando acceden a la red sistemas e instalaciones de Soho. - No se realiza medición o evaluación de los niveles de servicios contratados a empresas externas. Existen accesos lógicos controlados para el acceso de terceros a la red wireless y ambientes de QA. Estos se encuentra lógicamente aislados de la red interna. Soho declara que generalmente no hay relaciones laborales con proveedores o clientes físicamente en sus instalaciones, debido a que los servicios principalmente se encuentran en la nube o instalaciones de los clientes. Dentro de los contratos de servicios se firman acuerdos de confidencialidad para el tratamiento de información sensible. Definir una norma y procedimiento para la evaluación y análisis de riesgo cuando se otorgan acceso a terceros a instalaciones, sistemas, aplicaciones y redes. Documentar los servicios externos contratados y evaluar su nivel de cumplimiento. 10

12 A.7 Gestión de Activos 7.1 Responsabilidades de los Activos Objetivo: Lograr y mantener una apropiada protección de los activos de la organización. Score: 40% Nivel de Madurez: Repetible Inventario de activos Propiedad de los activos Uso aceptable de los activos. Existe evidencia de un inventario de activos en proceso de desarrollo en el cual a la fecha se han declarado los activos más importantes de la organización. En el inventario también se han definido los dueños de los activos, responsables de manipulación, se ha desarrollado un análisis criticidad, se ha especificado su ubicación y se ha definido un criterio de clasificación de confidencialidad. - No se ha documentado una normativa para el manejo y tratamiento adecuado de los activos. - No se ha realizado un análisis de riesgo sobre los activos. Identificar todos los activos de la organización, sus dependencias, funciones y criticidad. Realizar un análisis de riesgo sobre los activos. Definir los dueños y responsables del cumplimiento de seguridad para cada uno de los activos inventariados. 7.2 Clasificación de la Información Objetivo: Asegurar que la información reciba un nivel de protección apropiado. Score: 20% Guía para la clasificación Identificación y manejo de la información. - No existe una guía, norma o procedimiento para la clasificación de la información. - Si bien en los contratos se especifica cláusulas generales respecto a no hacer mal uso de los activos de la organización. No se ha documentado una normativa para el manejo adecuado de los activos. Definir una normativa y procedimiento para la clasificación y manejo de los activos de acuerdo a su criticidad, requisitos de confidencialidad, disponibilidad e integridad. 11

13 A.8 Seguridad de los Recursos Humanos 8.1 Previo al Empleo Objetivo: Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para cumplir los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. Score: 53% Nivel de Madurez: Repetible Funciones y Responsabilidades Investigación de antecedentes Términos y condiciones de contratación. Existe una política que define los requisitos para la contratación del personal, sin embargo no existe un procedimiento formal. De acuerdo a la evidencia entregada, en los contratos se definen roles y responsabilidades del trabajo a desempeñar como también términos generales de seguridad y de confidencialidad que se deben cumplir. Todos los empleados cuentan con sus respectivos contratos de trabajo. - Falta desarrollar una normativa para abordar y definir de forma específica los roles y responsabilidad para los temas de seguridad de la información. Adopción de un procedimiento formal de contratación, chequeo de antecedentes laborales, legales y académicos. Desarrollo de una política que defina claramente los roles y responsabilidades que se deben cumplir en materia de seguridad. 8.2 Durante el Empleo Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas estén al tanto de las amenazas de la seguridad de la información, sus responsabilidades y obligaciones, y estén preparadas para apoyar la política de seguridad en el curso de su trabajo normal, y reducir el riesgo de error humano. Score: 20% Responsabilidades de la gerencia Concienciación, formación y capacitación Proceso disciplinario. - No se ha comunicado ni puesto a disposición del personal las políticas de seguridad de la información. - No se han desarrollado concientizaciones, capacitaciones y evaluaciones del conocimiento de las políticas y normas de seguridad. Se firman términos generales de responsabilidad en temas de 12

14 seguridad en contratos de trabajo. En los contratos se definen los tipos de faltas y sanciones. Comunicar y poner a disposición de los empleados la política de seguridad. Definir de forma específica los roles y responsabilidades de seguridad. Realizar actividades de concientización en seguridad. 8.3 Finalización o Cambio de Empleo Objetivo: Asegurar que los usuarios empleados, contratistas y terceras personas salgan de la organización o cambien de empleo de una manera ordenada. Score: 40% Nivel de Madurez: Repetible Finalización de responsabilidades Devolución de los activos Retiro de los derechos de acceso. En los contratos existen políticas que definen condiciones para el término del empleo en caso de incumplimiento de los términos generales de seguridad. - No ha sido definido formalmente un proceso y responsable para gestionar la terminación o cambio de empleo y devolución de activos. - No se ha documentado un procedimiento formal para las tareas de eliminación de cuentas y retiros de acceso Documentar un procedimiento para la devolución de activos, retiro de accesos y derechos de usuarios en casos de término o cambio de empleo, Definir un responsable para llevar a cabo el proceso de gestión de término o cambio de empleo. A.9 Seguridad Física y Ambiental 9.1 Áreas Seguras Objetivo: Prevenir el acceso físico no autorizado, daño e intromisiones en las instalaciones y en la información de la organización. Score: 32% Controles de seguridad física Controles físicos de entrada Seguridad de las oficinas e instalaciones Protección contra las amenazas externas y de origen ambiental Trabajo en áreas seguras. 13

15 9.1.6 Áreas de acceso público, entrega y carga (N/A). Edificio: El edificio cuenta con cámaras de seguridad y guardias en la entrada principal. Se identifica el uso cámaras de vigilancia, vías de evacuación, red de agua y extintores para cada piso del edificio y entrada de las oficinas. El acceso a la oficina es controlado por sistema digital de clave numérica. - No se lleva un registro estricto para personal externo o visitas que acceden a las instalaciones. Al interior de las instalaciones: - No se lleva registro del personal externo o visita. - Sólo se cuenta con un extintor para toda la oficina. - No se identifica sensores de humo o elementos automáticos contra incendios. - No se evidencia cámaras de video vigilancia. La oficina está aislada de fuentes de inundación y disturbios. Se han identificado correctamente las vías de evacuación. Sala de cómputo: - No hay presencia cercana de extintores. - La sala no está equipada con las condiciones básicas de seguridad (Control de temperatura, humedad e incendio). - Existe un sistema de respaldo en la misma ubicación física. - El cableado no se encuentra ordenado ni rotulado. - No existe un sitio de contingencia en otro edificio. - Dentro de la sala existen elementos de fácil propagación al fuego (cajas y muebles). Se cuenta con una UPS para soportar interrupciones de 30 minutos. El control de acceso físico es sólo mediante llave que posee el personal autorizado. Reforzar el control acceso a la entrada del edificio, mediante un proceso de validación de visitas y registro. Mejorar la capacidad de extintores, sensores y mecanismo de prevención de incendios al interior del edificio. Implementar un mecanismo para el registro y control de visitas o cámaras de video vigilancia al interior de las oficinas. Adaptar la sala de cómputo para que cumpla las condiciones mínimas de seguridad física y ambiental (mejorar el sistema de control de acceso, alejar todos los elementos que puedan ser fácilmente consumidos por el fuego e implementar sensores de calor, humedad y humo). Implementar mecanismo para detectar y contrarrestar automáticamente los incendios. Mantener sistemas de respaldo en otra ubicación física protegida, alejada de la sala principal. 14

16 9.2 Seguridad de los Equipos. Objetivo: Evitar pérdida, daño, robo o compromiso de los activos y la interrupción de las actividades de la organización. Score: 33% Ubicación y protección de equipamiento Servicios de suministro público Seguridad en el cableado Mantenimiento de los equipos Seguridad del equipo fuera de las instalaciones Reutilización o eliminación segura de los equipos Retiro de los equipos fuera de las instalaciones (N/A). El ingreso principal a la oficina es mediante clave numérica digital y llave física para las salas al interior. - No hay vigilancia a través de cámaras al interior de la oficina. - No se lleva un registro para el personal externo o visita. - No se cuenta con más de un enlace para salir a internet. - No se cuenta con un site de contingencia. Existe una UPS para soportar 30 minutos de interrupción eléctrica. Fuera de la sala de cómputo, el cableado está protegido por una canaleta. El cable de red se encuentra separado del eléctrico. - El acceso al site es restringido solo mediante llave física de acceso a la sala. - No se ha definido un procedimiento formal para el mantenimiento de los equipos (hardware y software) Existe una política sobre el uso y la seguridad de dispositivos móviles. Los notebooks no tienen software para el cifrado de datos. - No existen procedimientos formales para la eliminación o reutilización de los equipos y su información. Mejorar el control y registro de acceso a las oficinas. Implementar cámaras de video vigilancia al interior de la oficina. Preparar sistemas físicos o virtuales fuera de las instalaciones para enfrentar contingencias. Separar los sistemas de respaldos de la sala de cómputo. Mejorar los controles de acceso y seguridad ambiental de la sala de cómputo. Desarrollar procedimientos para las tareas de mantenimiento de hardware y software. Implementar protección de cifrado de datos para equipos portátiles. Desarrollar procedimientos para la eliminación de información y reutilización de equipos. 15

17 A.10 Gestión de las Comunicaciones y las Operaciones 10.1 Responsabilidad y Procedimientos Operacionales Objetivo: Asegurar la operación correcta y segura de los medios de procesamiento de la información. Score: 30% Procedimientos operaciones documentados Gestión del cambio Segregación de tareas Separación de los medios de desarrollo, prueba y operación. - Los procedimientos operacionales y de administración no están documentados. - No existe un procedimiento formal para el control de cambios y vuelta atrás. - Los ambientes de desarrollo y QA se han segregados lógicamente, pero mantienen un alto grado de comunicación e integración debido a que se encuentran alojados en el mismo sistema. Se han definido perfiles de usuarios para el acceso a intranet y servidor de desarrollo. Documentar los procedimientos operacionales de administración y respaldo. Segregar las tareas y funciones de los equipos de desarrollo y QA Implementar distintos recursos y medios para segregar entornos de desarrollo y QA. Mejorar la segregación de redes de operación, desarrollo y QA Gestión de la Entrega de Servicios de Terceros Objetivo: Implementar y mantener el nivel apropiado de seguridad de la información y la entrega del servicio en línea con los acuerdos de entrega de servicios de terceros. Score: 40% Nivel de Madurez: Repetible Entrega de servicios Supervisión y revisión de los servicios de terceros Gestión de cambios en los servicios prestados por terceros (N/A). - No existen evaluaciones para medir el cumplimiento de los servicios prestados por terceros. Existen clausulas de confidencialidad en contratos de servicios que se establecen con terceros Documentar y evaluar los servicios prestados por terceros,: (hosting, mail e internet). 16

18 10.3 Planificación y Aceptación del Sistema Objetivo: Minimizar el riesgo de fallas en el sistema. Score: 30% Gestión de la capacidad Aceptación del sistema. De acuerdo a lo indicado por Soho, existe un equipo de trabajo que evalúa los proyectos, antes de su desarrollo, donde se planifica la capacidad y recursos requeridos. Existen ambientes de desarrollo y QA. Se lleva un registro en la intranet de las tareas y actividades de desarrollo. - No se realizan pruebas de stress o carga al desarrollo de software. - No existe un proceso formal para la aceptación y traspaso a producción del software. - No se ha definido una política para la aceptación del sistema. Definición de políticas de aceptación del sistema. Integración de pruebas de stress y carga. Definición de procedimiento para la validación y aceptación del desarrollo de software Protección Contra el Código Móvil y Malicioso Objetivo: Proteger la integridad del software y la información. Score: 30% Controles contra software malicioso Controles contra el código descargado en el cliente. Soho tiene implementado en las estaciones de trabajo el cliente de antivirus AVG - La administración del sistema antivirus no se encuentra no se encuentra centralizada. Los servicios de en la nube provistos por google integran un control para la detección de software malicioso y antispam. - No existen políticas formales para la restricción de instalación de software no autorizado. - No se realiza detección y evaluación de vulnerabilidades o código maliciosos de forma periódica. - No existe un proxy para el filtro de contenido web. 17

19 - No existe un sistema de detección o prevención de intrusos sobre la red. Implementar un sistema de detección y prevención de intrusos. Definir una política para la restricción de instalación de software no autorizado. Implementar un proxy para el filtro de contenido web. Definir e implementar un proceso para la evaluación y gestión de vulnerabilidades y parches de seguridad Copias de Seguridad Objetivo: Mantener la integridad y disponibilidad de la información y de los medios de procesamiento. Score: 40% Nivel de Madurez: Repetible Copia de respaldo de información. Hay un proceso y sistema destinado para el respaldo de la información. Existen copias de seguridad tanto en la nube, discos externos, como también en servidor local. - No hay un procedimiento documentado formalmente. - No se han desarrollado actividades para la revisión y validación de los respaldos. - Las copias locales se guardan físicamente en la misma oficina y sala de cómputo. - No se han documentado procedimientos de restauración de copias. - Los respaldos locales de información no se almacenan de forma cifrada. Definir procedimientos de respaldos, validación y restauración. Proteger lógica y/o físicamente los respaldos (cifrado) Gestión de Seguridad de las Redes Objetivo: Asegurar la protección de la información en redes y la protección de la infraestructura de soporte. Score: 30% Controles de red Seguridad de los servicios de la red. Existe un control y monitoreo de la red a través de Firewall. - No existen switches administrables que permitan mayor control de la red. - Existe sólo un enlace para la salida de internet. 18

20 - No existe un sistema de monitoreo de eventos de seguridad. Los logs son revisados bajo demanda. - No existe un sistema para la detección o prevención de intrusos. Los servicios accedidos a la nube (mail), son accedidos mediante canales seguros (SSL/TLS) Existen clausulas de confidencialidad en los contratos con los proveedores de servicios. - La red no está segmentada. Implementar switches administrables que permitan gestionar los puertos, recursos y segregar entornos de red. Implementar sistema para la detección de intrusos. Implementar sistemas para el monitoreo de logs. De ser necesaria alta disponibilidad en el consumo de servicios en la nube, evaluar la contratación un segundo proveedor de servicio de internet Manipulación de los Soportes Objetivo: Evitar la divulgación no-autorizada; modificación, eliminación o destrucción de activos; y la interrupción de las actividades comerciales. Score: 15% Gestión de los medios removibles Retirada de soportes Procedimientos para la manipulación de la información Seguridad de la documentación del sistema - No existen políticas ni procedimientos para el uso de medios removibles y tratamiento de su información. - No se emplean mecanismos para el cifrado de datos en medios removibles. El administrador indica que realiza las tareas de eliminación de datos en medios removibles y soportes cada vez que ha sido necesario. - No se ha definido procedimientos para la manipulación y eliminación segura de la información en soportes físicos y medios removibles. Desarrollar políticas y procedimientos para el uso de medios removibles, físicos y tratamiento de la información. Desarrollar procedimientos para la eliminación segura de los medios e información en medios removibles. Implementar mecanismos de cifrados para proteger información sensible en medios removibles. Proteger la información de configuraciones e interconexiones de sistemas. 19

21 10.8 Intercambio de Información. Objetivo: Mantener la seguridad en el intercambio de información y software dentro de la organización y con cualquier otra entidad externa. Score: 44% Nivel de Madurez: Repetible Políticas y procedimientos de intercambio de información Acuerdos de intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información empresarial. Se firman acuerdos de confidencialidad tanto con los empleados como con terceros para resguardar la confidencialidad en el intercambio de información. El acceso a mensajes de correo electrónico está protegido mediante certificado de seguridad provisto por el prestador de servicio (google) quien además presta servicios de protección contra código malicioso. - No existen procedimientos definidos para el uso de comunicaciones inalámbricas. - No se han desarrollado capacitaciones del personal para tomar las precauciones de seguridad respecto al tratamiento de información sensible. Desarrollar una política de intercambio de información. Definir procedimientos para el uso seguro de comunicaciones móviles Capacitar al personal para enseñar las precauciones de seguridad que se deben seguir para el tratamiento y comunicación de información sensible 10.9 Servicios de Comercio Electrónico Objetivo: Asegurar la seguridad de los servicios de comercio electrónico y su uso seguro. Score: N/A Comercio Electrónico Transacciones en-línea Información puesta a disposición pública. N/A - 20

22 10.10 Monitoreo Objetivo: Detectar las actividades de procesamiento de información no autorizadas. Score: 30% Registro de eventos Monitoreo del uso de los sistemas Protección del registro de información Registros del administrador y operador Registro de fallas Sincronización de relojes. - No existe una política que defina la configuración y uso de registros de auditorías y eventos de seguridad. Los registros de eventos y auditoría se encuentran configurado como también los registros de operador administrador en los servidores, sistemas y dispositivos, pero los procesos de revisión de acuerdo a lo que indica Soho, son realizados de forma manual bajo demanda. El uso de los sistemas es monitoreado a nivel de red (ancho de banda y conexiones a través de FW). - No se monitorea lo recursos de sistemas mediante protocolo de gestión SNMP. Las fallas en sistemas son registradas a nivel de sistema operativo pero no son monitoreados en tiempo real y de forma centralizada. - No se mantiene un respaldo de los eventos de auditoría. - No se generan informes de los eventos de auditoría y seguridad. Los servidores de Soho se encuentran sincronizados con el servidor de horario NTP de la Universidad de Chile. Los equipos clientes mantienen la configuración por default de acuerdo a la zona horaria nacional. - No existe un procedimiento documentado para la configuración horaria. Definir una política de configuración y retención de registros de auditoría y seguridad para cada uno de los sistemas y dispositivos de red. Implementar un sistema de administración y monitoreo centralizado de eventos de logs. Definir e implementar una política de respaldo de eventos de auditoría y seguridad. 21

23 A.11 Control de Acceso 11.1 Requerimientos de Negocio para el Control del Acceso Objetivo: Controlar el acceso a la información. Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad. Score: 20% Política de control de acceso. - No existe una política o normativa para el control de acceso lógico. - El acceso al sistema operativo es mediante el uso de cuentas de administrador local. - Se emplea LDAP solo para la administración de cuentas de acceso a las unidades de red del servidor de desarrollo. El acceso a la intranet CEO cuenta con roles y perfiles definidos. No se evidencia el uso cuentas de usuarios genéricas. Todas las cuentas de acceso a base de datos están protegidas con contraseñas. Las cuentas de administración son manejadas de forma privada. - No existe un procedimiento formal para la realización de auditorías de cuentas. - No existe evidencia de la realización de auditoría de cuentas. Definir y documentar una normativa para el control de acceso lógico en sistemas y aplicaciones. Integrar LDAP para el manejo de cuenta de usuario del sistema operativo y servicios de red. Realizar periódicamente auditorías de cuentas, permisos y privilegios de acceso Gestión de Accesos de Usuarios Objetivo: Asegurar el acceso del usuario autorizado y evitar el acceso no autorizado a los sistemas de información. Score:35% Registro de usuarios Gestión de privilegios Gestión de contraseñas de usuario Revisión de los derechos de acceso de usuario. A través de LDAP se controla el permiso y privilegios de las cuentas de usuarios para el acceso al servidor principal de desarrollo. La intranet contiene su propio modulo de gestión de cuentas y 22

24 privilegios así como también el servicio de correo en la nube (google) - No existe un procedimiento formal para gestión de cuentas y privilegios a través de LDAP - La gestión de cuentas de usuarios y privilegios es descentralizada. - No existe un estándar de configuración de cuentas de usuarios de red, la creación de cuentas locales en sistema operativo se deja a definición del usuario y restricciones propias del sistema operativo. Mejora en la integración de LDAP para la administración de cuentas y privilegios de usuarios para el acceso a sistemas y aplicaciones. Definición y desarrollo de un procedimiento para la administración de cuentas a través de LDAP. Definición de un estándar para la configuración de seguridad de cuentas de usuarios Responsabilidades de Usuario Objetivo: Prevenir el acceso de usuarios no autorizados, evitar el compromiso o robo de la información o de los medios de procesamiento. Score: 27% Uso de contraseñas Equipo del usuario desatendido Política de puesto de trabajo y pantalla limpia. - No se ha definido y puesto a disposición de los usuarios un documento con las guías de buenas prácticas para el uso de contraseñas y protección de los equipos desatendidos. - No se ha configurado el protector de pantalla para la protección de los equipos desatendidos. En los contratos de trabajo se ha definido de forma general una política de puesto de trabajo, pero esta no se cumple a totalidad. Desarrollar y difundir guía de buenas prácticas para el uso de contraseñas. Configurar e protector de pantalla para proteger los equipos desatendidos Control de Acceso a Redes Objetivo: Prevenir el acceso no autorizado a los servicios de red. Score: 30% Política para el uso de servicios de red Autenticación de usuario para conexiones externas. 23

25 Identificación de los equipos en las redes (N/A) Diagnóstico remoto y protección de los puertos de configuración Segregación de las redes Control de conexión a la red Control de enrutamiento de la red. - No existe una normativa para el uso de los servicios de red. - El administrador de red es quien otorga los accesos de usuario de acuerdo a los requisitos de negocio pero no existe un proceso de validación. No se otorgan accesos VPN. - No existe una política para el acceso remoto. El acceso a los sistemas locales, aplicaciones y servicios de red en la nube se encuentran protegidos mediante contraseñas de acceso. - No existen controles avanzado para limitar la conexión a la red. - La red lan no se encuentra segmentada, solo existe segregación de la red wireless y ambiente QA, el cual se encuentra separado lógicamente dentro del servidor principal de desarrollo. - Soho indica que las reglas del firewall son revisadas bajo demanda, no se ha definido un proceso formal de revisión. Los controles de conexión a la red y ancho de banda son aplicados bajo demanda a través del firewall. Se aplican configuraciones a nivel de firewall para definir reglas de acceso a entorno QA y reglas de enrutamiento sobre conexiones y servicios wan, wireless y lan. Documentar una política para el uso de las redes y los servicios red. Definir un procedimiento para otorgar accesos y validar cuentas de usuarios. Definir una normativa de seguridad para el acceso remoto a los servicios en la nube e internos. Integrar un sistema y protocolo que facilite las tareas de monitoreo y diagnóstico de los sistemas. Implementar switches administrables para mejorar la segregación de los entornos de red. Realizar un chequeo y reporte periódico de las reglas de firewall, conexiones y consumo de ancho de banda Control de Acceso al Sistema Operativo Objetivo: Evitar el acceso no autorizado a los sistemas operativos. Score: 20% Procedimientos de inicio seguro de sesión Identificación y autenticación del usuario Sistema de gestión de contraseñas Uso de los recursos del sistema Cierres de sesión automáticos por inactividad Limitación del tiempo de conexión. 24

26 - Los usuarios cuentan con permisos de administrador al sistema operativo de la estación de trabajo. Se emplea LDAP sólo para la administración de cuentas de usuarios de red que tienen acceso al servidor principal de desarrollo. No se incluyen las estaciones de trabajo. - No se ha implementado un sistema de gestión centralizada que administre todas las cuentas de usuarios y privilegios. - No existen guías de buenas prácticas o estándares de configuración de contraseñas. Existen distintos perfiles y privilegios para las cuentas de usuario de acceso y administración a bases de datos, aplicación intranet en la nube y acceso a servidor de desarrollo. - No se han desarrollado reportes de gestión de cuentas. - No existe un procedimiento para la creación, modificación o eliminación de cuentas o privilegios. - No se han configurado controles de protección para la inactividad de usuarios en los equipos (protectores de pantallas y cierres de sesión). Desarrollar políticas de seguridad para la configuración de contraseñas. Fortalecer LDAP para integrar y administrar en lo posible todas las cuentas de usuarios y aplicar políticas de configuración y seguridad. Realizar actividades de levantamiento de cuentas y privilegios. Desarrollar un procedimiento para crear, modificar y eliminar cuentas y privilegios de usuarios Configurar cierres de sesión automáticos en equipos de usuarios 11.6 Control de Acceso a las Aplicaciones y a la Información Objetivo: Prevenir el acceso no autorizado a la información que contienen las aplicaciones. Score: 30% Restricción de acceso a la información Aislamiento de sistemas sensibles. Resultados - No existen estándares de configuración de seguridad para los sistemas. - El servidor de desarrollo y QA se encuentra lógicamente segregado, pero en el mismo servidor. Las aplicaciones y acceso a servidores cuentan con perfiles y privilegios para los usuarios y administradores. - Las funciones en los sistemas no se encuentran completamente segregadas. El servidor de desarrollo comparte servicio web para montar ambiente de QA. - El servidor de gateway realiza funciones de ( Firewall, DHCP, DNS interno, control de ancho de banda y portal cautivo wireless) - El sitio y la intranet de Soho se encuentran en un hosting compartido susceptible a vulnerabilidades externas que podrían 25

27 contener otros sitios alojados. El acceso a los sistemas operativos es protegido mediante passwords de acceso. El acceso a las aplicaciones en la nube es protegido mediante passwords de acceso. - El acceso web a la intranet no fuerza el uso de cifrado seguro de comunicación. Adoptar estándares de configuración de seguridad para los sistemas operativos. Emplear sistemas dedicados para la entrega de servicios internos y externos. Segregar en sistemas dedicados los entornos de QA y desarrollo. Migrar a un hosting dedicado. Implementar certificado de seguridad para el acceso a la intranet y todos aquellos accesos web externos que requieran autenticación. Levantar y evaluar la seguridad de toda la información de Soho expuesta a internet Computación Móvil y Teletrabajo Objetivo: Garantizar la seguridad de la información cuando se utiliza medios de computación portátiles y teletrabajo. Score: 30% Computación y comunicaciones móviles Teletrabajo. Se ha definido una política de seguridad, que establece las medidas de configuraciones y controles de seguridad para dispositivos móviles. Soho indica que no se entregan accesos remotos a la red interna mediante VPN. - Los notebooks y equipos portátiles no emplean mecanismos de cifrado de datos. - No se han realizado capacitaciones de personal respecto a los riesgos del uso de dispositivos móviles. - No existe una normativa de teletrabajo. Realizar respaldos de la información de los dispositivos móviles Implementar elemento de protección contra código malicioso y cifrado de datos. Desarrollar planes de concientización para la seguridad en el uso de dispositivos móviles. Desarrollar una política, para las actividades de tele-trabajo y acceso seguro a los recursos en la nube. 26

28 A.12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información 12.1 Requerimientos de Seguridad de los Sistemas de Información Objetivo: Garantizar que la seguridad sea una parte integral de los sistemas de información. Score: 20% Análisis y especificaciones de los requerimientos de seguridad. - No se han adoptados guías o estándares de configuración de seguridad para los sistemas de información, - El procedimiento de instalación de los sistemas es realizado por el administrador sin un procedimiento formal. Soho indica que durante el proceso de instalación de estaciones de trabajo, se instala las aplicaciones básicas requeridas para desempeñar el trabajo y antivirus como regla general. - La seguridad no se ha integrado como una etapa más en los proyectos de desarrollo de software. - No existe una política que defina hacer uso de las últimas versiones y paquetes de software. Adoptar guías de buenas prácticas para la configuración de sistemas operativos. Desarrollar procedimientos de instalación de software base. Definir e implementar un proceso para la evaluación de seguridad en las etapas claves del desarrollo de software. Definir los requisitos mínimos de seguridad que deben cumplir los sistemas y desarrollos. Desarrollar una metodología y procedimientos para realizar actualizaciones y uso de las últimas versiones de software Procesamiento Correcto en las Aplicaciones Objetivo: Prevenir errores, pérdida, modificación no autorizada o mal uso de la información en las aplicaciones. Score: 35% Validación de los datos de entrada Control del procesamiento interno Integridad de los mensajes Validación de los datos de salida. Existe un equipo de QA que realiza actividades para evaluar errores de procesamiento de las aplicaciones y medir su calidad y usabilidad, así como también la correcta salida de los datos. - No se ha adoptado una metodología de evaluación de seguridad para cubrir el proceso y ciclo de desarrollo de software. 27

29 - Para los proyectos de desarrollo no se realizan evaluaciones de seguridad al código fuente. - No se realizan evaluaciones dinámicas de seguridad previo al paso a producción (Ethical Hacking) - Los problemas de seguridad de las aplicaciones son identificados por la experiencia de desarrolladores y resueltos bajo demanda. Adoptar y difundir guías de seguridad y buenas prácticas para el proceso de desarrollo de software. Definir una metodología de evaluación de seguridad para el desarrollo de software y aplicaciones. Integrar pruebas de seguridad para evaluar el código fuente Integrar pruebas dinámicas de seguridad de tipo Ethical hacking previo al paso de producción. Integrar pruebas de carga y stress cuando sea identificado como requisito de seguridad. Definir los requerimientos mínimos para la aceptación de seguridad de los sistemas y aplicaciones Controles Criptográficos Objetivo: Proteger la confidencialidad, autenticidad o integridad a través de medios criptográficos. Score: 20% Política en el uso de controles de cifrado Gestión de claves criptográficas (N/A). - No existe una política que defina el uso de controles de cifrado. Se aplican controles de cifrado para los canales de comunicación cuando los proyectos de desarrollo de aplicaciones lo requieren y por solicitud de los clientes. El canal de acceso al servicio de mail se encuentra protegido. - El acceso web a la intranet no está forzado para emplear seguridad del tipo SSL/TLS (HTTPS) - La información y o datos sensibles en base de datos y equipos portátiles no se mantiene cifrada. - No existe un sistema de gestión de claves criptográficas. Definir una normativa para el uso de controles criptográficos Implementar certificados de seguridad y protocolo SSL/TLS para todos los accesos web en internet que requieran el uso de passwords y donde se intercambie información sensible. Proteger la información sensible de las bases de datos mediante el uso de cifrado. Implementar el cifrado de datos en equipos portátiles. 28

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

Manual de Procedimientos

Manual de Procedimientos 1 de 13 Elaborado por: Oficina de Planeación y Desarrollo Institucional -Área de Calidad y Mejoramiento- Revisado por: Aprobado por: Coordinador Área de Jefe de la Oficina de Informática y Telecomunicaciones

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT

Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Anexo No. 3 del Documento Técnico para la Implementación del Acuerdo Número 024-2007 del Directorio de la SAT Criterios de certificación de seguridad informática Versión 1.1 CONTENIDO Criterios de certificación

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA INFRAESTRUCTURA TECNOLÓGICA

GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA INFRAESTRUCTURA TECNOLÓGICA Número de página 1 de 5 GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA Número de página 2 de 5 1. INFORMACION GENERAL 1.1 OBJETIVO Mantener en operación la infraestructura de acuerdo a los requerimientos de la Entidad.

Más detalles

ISO27002.es PATROCINADO POR:

ISO27002.es PATROCINADO POR: ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES 5. POLÍTICAS DE SEGURIDAD. 5.1 Directrices de la Dirección en seguridad de la información. 5.1.1 Conjunto de políticas para la seguridad

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

Manual de buenas prácticas Política de Seguridad de la Información

Manual de buenas prácticas Política de Seguridad de la Información Manual de buenas prácticas Política de Seguridad de la Información 1 Introducción La información que es elaborada y generada por los procesos de la institución es un activo, que como otros bienes de nuestra

Más detalles

REQUERIMIENTOS NO FUNCIONALES

REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES REQUERIMIENTOS NO FUNCIONALES A continuación se describen las principales características no funcionales que debe contener el sistema de información. Interfaces de usuario.

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

NORMAS DE USO DE LOS SERVICIOS INFORMÁTICOS Y COMPROMISO DE CONFIDENCIALIDAD SOBRE TRATAMIENTO DE DATOS i

NORMAS DE USO DE LOS SERVICIOS INFORMÁTICOS Y COMPROMISO DE CONFIDENCIALIDAD SOBRE TRATAMIENTO DE DATOS i NORMAS DE USO DE LOS SERVICIOS INFORMÁTICOS Y COMPROMISO DE CONFIDENCIALIDAD SOBRE TRATAMIENTO DE DATOS i 1. JUSTIFICACIÓN Los activos de información y equipos informáticos, son recursos necesarios y vitales

Más detalles

MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA

MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA MINISTERIO DE JUSTICIA REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO, INTERNET E INTRANET EN EL MINISTERIO DE JUSTICIA La Paz, Agosto de 2010 REGLAMENTO INTERNO DE USO DE CORREO ELECTRÓNICO INTERNET

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Servicios de infraestructura: servidores

Servicios de infraestructura: servidores Servicios de infraestructura: servidores Introducción Proveemos servicios de instalación y configuración de infraestructura de servidores y servicios especializados de red. Contamos con personal experto

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD Diciembre de 2005 INDICE DEL CONTENIDO 1. OBJETO... 1 2. AMBITO DE APLICACIÓN... 2 2.1 Ambito jurídico... 2 2.2 Ambito personal... 2 2.3 Ambito material... 2 3. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD. MEDIDAS

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

Productos. Web Hosting. Tel +52 (442) 161 2622, (55) 1209 8240 Mail info@latamsys.com Web www.latamsys.com

Productos. Web Hosting. Tel +52 (442) 161 2622, (55) 1209 8240 Mail info@latamsys.com Web www.latamsys.com Productos Web Hosting Costo: tipo de facturación por cantidad de facturas emitidas. $6,000 $5,000 $4,000 $3,000 Tradicional $2,000 Electrónica $1,000 12 24 75 100 150 200 100% en línea, ya que no requiere

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: +57 1 242 2141 Fax: +57 1 342 3513

Vicepresidencia de Regulación y Negocios con Operadores Bogotá D.C., Colombia Teléfono: +57 1 242 2141 Fax: +57 1 342 3513 Resolución 3067 Seguridad en Red Modelos de Seguridad ETB desarrolla el modelo de seguridad basado en los requerimientos de los clientes y bajo el marco de las normas ISO 27001 y 27002. El modelo extiende

Más detalles

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO

INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El

Más detalles

COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL

COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL COBIT OBJETIVOS DE CONTROL DE ALTO NIVEL PO PLANEACION Y ORGANIZACION PO4 Definición de la Organización y las Relaciones de la Tecnología de la Información Control sobre el proceso de TI de: Definición

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Seguimiento a las recomendaciones del Auditor Interno Jefe para el año que finalizó el 31 de diciembre de 2012

Seguimiento a las recomendaciones del Auditor Interno Jefe para el año que finalizó el 31 de diciembre de 2012 CENTRO INTERNACIONAL DE FORMACIÓN DE LA OIT Consejo del Centro 75. a reunión, Turín, 17-18 de octubre de 2013 CC 75/5/4 PARA INFORMACIÓN QUINTO PUNTO DEL ORDEN DEL DÍA Seguimiento a las recomendaciones

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL

POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL POLITICA DE SEGURIDAD INFORMÁTICA SECRETARIA DISTRITAL DE INTEGRACION SOCIAL 1. OBJETIVO Definir, adoptar y legitimar los lineamentos, directrices, controles y políticas de seguridad informática para proteger

Más detalles

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A.

Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Resumen de indicadores básicos de COBIT Preparado por: T I AUDISEG S.A. Utiles en los procesos iniciales para impulsar proyectos de implementación de gobierno Nota: Cobit posee más indicadores, estos se

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

PROCEDIMIENTO DEL ANÁLISIS DE RIESGO Y ESTABLECIMIENTO DEL PROGRAMA DE SALUD Y SEGURIDAD OCUPACIONAL INTEGRAL

PROCEDIMIENTO DEL ANÁLISIS DE RIESGO Y ESTABLECIMIENTO DEL PROGRAMA DE SALUD Y SEGURIDAD OCUPACIONAL INTEGRAL PROCEDIMIENTO DEL ANÁLISIS DE RIESGO Y ESTABLECIMIENTO DEL PROGRAMA DE SALUD Y SEGURIDAD OCUPACIONAL INTEGRAL El propósito de realizar un Análisis de Riesgo o Mapeo de Riesgo dentro de las empresas, es

Más detalles

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS A través de las Políticas de Seguridad recogidas en el Documento de Seguridad se describen las

Más detalles

Seguridad y Alta Disponibilidad

Seguridad y Alta Disponibilidad IES Camp de Morvedre Avda. Fausto Caruana, s/n, 46500 Sagunto Tlf: 96 2617720 Fax: 962617721 e-mail - 46007748@edu.gva.es http://www.iescamp.es/ Tlf: 96 311 88 20 Fax: 96 267 12 65 Seguridad y Alta Disponibilidad

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN Y FORMACIÓN PROFESIONAL DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES GUÍA DE EVIDENCIA

Más detalles

Seguridad e Integridad de Base de Datos

Seguridad e Integridad de Base de Datos Antecedentes El Departamento de Tecnología y Sistemas de la Información (DTI) es el encargado de planificar, implementar y administrar la infraestructura TIC que permita proveer los servicios tecnológicos

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL

GOBIERNO Y GESTIÓN TIC. Marcos de Referencia: COBIT, PMBOK, ITIL GOBIERNO Y GESTIÓN TIC Marcos de Referencia: COBIT, PMBOK, ITIL Marcos de Referencia Existe una creciente preocupación en la alta dirección de las empresas acerca de las actividades de la función TI. Esto

Más detalles

PRC-DTI-007 Administración de Cuentas de Usuario Procedimiento Dirección de TI - COSEVI

PRC-DTI-007 Administración de Cuentas de Usuario Procedimiento Dirección de TI - COSEVI PRC-DTI-007 Administración de Cuentas de Usuario Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado por: Vinicio Ureña Irola Firma:

Más detalles

Nombre C.C. Representante Legal EL USUARIO

Nombre C.C. Representante Legal EL USUARIO ESPECIFICACIONES DE CONECTIVIDAD A LOS SISTEMAS TRANSACCIONALES DE DERIVEX Y PARA AFILIADOS QUE UTILIZAN PANTALLAS INFORMATIVAS Nombre C.C. Representante Legal EL USUARIO TABLA DE CONTENIDO INTRODUCCION...

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Resolución N 00759del 26 de febrero de 2008

Resolución N 00759del 26 de febrero de 2008 UNIDAD ADMINISTRATIVA ESPECIAL DE AERONÁUTICA CIVIL MANUAL ESPECÍFICO DE FUNCIONES Y DE COMPETENCIAS LABORALES I. IDENTIFICACIÓN Denominación del empleo Profesional Aeronáutico III Nivel 32 Grado 27 No.

Más detalles

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014

EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 EMC Soporte remoto seguro para VNXe Requisitos y configuración Número de referencia 302-000-196 Rev. 01 Mayo de 2014 Este documento proporciona información sobre la función de soporte remoto seguro de

Más detalles

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI Versión: 1.0 Fecha de la versión: Febrero del 2012 Creado por: PwC Costa Rica Aprobado

Más detalles

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas

Más detalles

RESOLUCION No. 3047 18 de octubre de 2012

RESOLUCION No. 3047 18 de octubre de 2012 POR LA CUAL SE ESTABLECE UNA POLITICA PARA EL USO DEL SERVICIO DE INTERNET Y DEL CORREO ELECTRONICO EN LA ALCALDÍA DE SANTA ROSA DE CABAL, RISARALDA. EL ALCALDE MUNICIPAL DE, en uso de sus atribuciones

Más detalles

Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización

Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización Construcción del modelo comercial para la nube: formas reales en que la nube privada podría beneficiar su organización En esta nota Aprovechar la tecnología de la nube puede contribuir a disminuir los

Más detalles

POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER

POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER POLITICAS DE BUEN USO DE REDES INALÁMBRICAS DE FINDETER DIRECCION DE TECNOLOGIA Versión: 1.0 Bogotá D.C., Mayo de 2014. Contenido INTRODUCCIÓN... 3 CONDICIONES GENERALES DEL SERVICIO... 3 Aplicación....

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Pontificia Universidad Católica del Ecuador Oficina de Seguridad de la Información

Pontificia Universidad Católica del Ecuador Oficina de Seguridad de la Información PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR VICERRECTORADO OFICINA DE SEGURIDAD DE LA INFORMACIÓN POLÍTICA DETALLADA DE USUARIO FINAL PARA LA SEGURIDAD DE LA INFORMACIÓN OSI-PDUF VERSIÓN: 1.0: Aprobada

Más detalles

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015

MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II APROBADO MEDIANTE RESOLUCION 056 DE 2015 MANUAL ESPECIFICO DE FUNCIONES, REQUISITOS, COMPETENCIAS LABORALES EMPLEOS PLANTA DE PERSONAL FNA TOMO II VERSION: 5 CODIGO: GH-MN- FUN.REQ.COMP GESTION HUMANA FECHA: 11/May/2015 APROBADO MEDIANTE RESOLUCION

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

UNIDAD DE COMPETENCIA 1: INSTALAR, CONFIGURAR Y ADMINISTRAR EL SOFTWARE PARA GESTIONAR UN ENTORNO WEB. Nivel: 3 ANEXO CLVI

UNIDAD DE COMPETENCIA 1: INSTALAR, CONFIGURAR Y ADMINISTRAR EL SOFTWARE PARA GESTIONAR UN ENTORNO WEB. Nivel: 3 ANEXO CLVI Suplemento del BOE núm. 238 Miércoles 5 octubre 2005 765 Sentencias del lenguaje estructurado para operar sobre las bases de datos. Integración de los objetos de la base de datos en el lenguaje de programación

Más detalles

Nombre del Documento: RECURSOS, FUNCIONES, RESPONSABILIDADES Y AUTORIDAD. Referencia a la Norma ISO 9001:2008 5.5.1 e ISO 14001 4.4.

Nombre del Documento: RECURSOS, FUNCIONES, RESPONSABILIDADES Y AUTORIDAD. Referencia a la Norma ISO 9001:2008 5.5.1 e ISO 14001 4.4. Página 1 de 20 CARGO RESPONSABILIDADES AUTORIDAD Ejercer el liderazgo efectivo Autorizar los recursos y participativo en su ámbito necesarios para la de influencia y asegurar la operación del SIG. implementación

Más detalles

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014)

NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) NORMATIVA DE HOSTING VIRTUAL DE LA UNIVERSIDAD DE SEVILLA (SIC - JUNIO 2014) Características generales.- La Universidad de Sevilla (US), a través del Servicio de Informática y Comunicaciones (SIC), pone

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

SOPORTE AVANZADO AL CLIENTE ANEXO DE SOPORTE PRIORITARIO ADVANTAGE DE ORACLE

SOPORTE AVANZADO AL CLIENTE ANEXO DE SOPORTE PRIORITARIO ADVANTAGE DE ORACLE SOPORTE AVANZADO AL CLIENTE ANEXO DE SOPORTE PRIORITARIO ADVANTAGE DE ORACLE El presente anexo incorpora por referencia los términos de su orden de Soporte Prioritario Advantage de Oracle (Oracle Priority

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

INFORME TECNICO SOBRE DEPARTAMENTO DE INFORMATICA REALIZADO A LA EMPRESA ACIPROSALUD.

INFORME TECNICO SOBRE DEPARTAMENTO DE INFORMATICA REALIZADO A LA EMPRESA ACIPROSALUD. INFORME TECNICO SOBRE DEPARTAMENTO DE INFORMATICA REALIZADO A LA EMPRESA ACIPROSALUD. Realizado: Lic. Darwin Meneses PERSONAL Apellidos C.I. Nivel Tiempo Cargo Jean Carlos T.S.U. Informatica 2 Años Analista

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS

PROCEDIMIENTO RED Y COMUNICACIÓN DE DATOS P-06-05 Marzo 2009 03 1 de 7 1. OBJETIVO Asegurar el funcionamiento eficiente y seguro de la Local Area Network (LAN) y de las telecomunicaciones en la Comisión Nacional de los Salarios Mínimos (CONASAMI),

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

Symantec Network Access Control Starter Edition

Symantec Network Access Control Starter Edition Symantec Network Access Starter Edition Cumplimiento simplificado para puntos finales Visión general facilita la implementación inicial de una solución de control de acceso a la red. Ofrece un subconjunto

Más detalles

copia no controlada ACUERDO DE SERVICIO Sistemas-Gestión de los Servicios Informáticos AS-T-01 Rev. 46 1. OBJETIVO

copia no controlada ACUERDO DE SERVICIO Sistemas-Gestión de los Servicios Informáticos AS-T-01 Rev. 46 1. OBJETIVO Páginas 1 de 10 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO

EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO EL COLEGIO DE MICHOACÁN A.C. MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DEL DEPARTAMENTO DE CÓMPUTO CONTENIDO 1. Prefacio... 3 2. Misión... 3 3. Visión... 3 4. Planeación... 3 5. Inventario y adquisiciones...

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Perfil Contador Auditor

Perfil Contador Auditor Perfil Contador Auditor El Contador Auditor de la Universidad de Chile es un profesional capaz de, elaborar, presentar, revelar y validar información económica financiera, reconociendo y midiendo hechos

Más detalles

Procedimiento para el Monitoreo y Control de Tecnologías de Información

Procedimiento para el Monitoreo y Control de Tecnologías de Información Procedimiento para el Monitoreo y Control de Tecnologías de Información DIRECCIÓN DE COORDINACIÓN TÉCNICA Y PLANEACIÓN DICIEMBRE DE 2009 PR-DCTYP-15 Índice 1. INTRODUCCIÓN.... 3 2. OBJETIVO.... 3 3. ALCANCE....

Más detalles

Intranets y extranets: nuevos medios para compartir información

Intranets y extranets: nuevos medios para compartir información Por Roxana Bassi rox@roxanabassi.com.ar / http://www.roxanabassi.com.ar Publicado en la sección los cuadernos de Internet World en la revista Internet World Latinoamérica en el período 1995-1999 Intranets

Más detalles

MANUAL ANTIFRAUDES DE LA HIDROELECTRICA ITUANGO S.A. E.S.P

MANUAL ANTIFRAUDES DE LA HIDROELECTRICA ITUANGO S.A. E.S.P Código: PSI16 Versión: 1 MANUAL ANTIFRAUDES Fecha Aprobación: septiembre 26 Nro. de páginas:15 MANUAL ANTIFRAUDES DE LA HIDROELECTRICA ITUANGO S.A. E.S.P 2013 TABLA DE CONTENIDO PRESENTACION 1. OBJETIVO

Más detalles

Consultoría y Asesoría informática

Consultoría y Asesoría informática es una empresa especializada en servicios de Consultoría en Tecnologías de la Información y Negocios. Contamos con 12 años de experiencia que respaldan nuestros servicios TI. Somos una empresa de valor

Más detalles

ANEXO XII. Denominación: Administración y programación en sistemas de planificación de recursos empresariales y de gestión de relaciones con clientes.

ANEXO XII. Denominación: Administración y programación en sistemas de planificación de recursos empresariales y de gestión de relaciones con clientes. ANEXO XII I. IDENTIFICACIÓN DEL CERTIFICADO DE PROFESIONALIDAD Denominación: Administración y programación en sistemas de planificación de recursos empresariales y de gestión de relaciones con clientes.

Más detalles

Gestión de Permisos. Documento de Construcción. Copyright 2014 Bizagi

Gestión de Permisos. Documento de Construcción. Copyright 2014 Bizagi Gestión de Permisos Documento de Construcción Gestión de Permisos 1 Tabla De Contenido Descripción del Proceso... 3 Factores Importantes En La Construcción Del Proceso... 4 Modelo de Datos... 4 Principales

Más detalles

BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE

BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE BUEN MANEJO Y CONTROL DE IDENTIDADES Y DE ACCESO BASADOS EN EL NEGOCIO: LA IMPORTANCIA DE ESTE NUEVO ENFOQUE RESUMEN Por años, los administradores de seguridad de la información y de giros comerciales

Más detalles

CARRERAS PROFESIONALES TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES - TICS

CARRERAS PROFESIONALES TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES - TICS CARRERAS PROFESIONALES SECTOR ECONÓMICO : FAMILIA PRODUCTIVA: ACTIVIDAD ECONÓMICA: INFORMACIÓN Y COMUNICACIONES TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES - TICS ACTIVIDADES DE SERVICIOS DE INFORMACIÓN

Más detalles

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro.

Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Capítulo 4.- Recomendaciones para un Servidor web y de bases de datos seguro. Este capítulo explica las características que un servidor web y de bases de datos seguro debe tener. Esto es esencial para

Más detalles

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad

Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos. 4. Sistema de Gestión de la Calidad Norma Internacional ISO 9001:2008: Sistemas de Gestión de la Calidad- Requisitos 4. Sistema de Gestión de la Calidad Figura N 1. Estructura del capítulo 4, Norma ISO 9001:2008. La Norma ISO 9001: 2008

Más detalles