Objetivo Situaciones Observadas en las Cooperativas Carta Informativa Evaluación de la infraestructura para la seguridad en los sistemas de

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Objetivo Situaciones Observadas en las Cooperativas Carta Informativa 2014-03 - Evaluación de la infraestructura para la seguridad en los sistemas de"

Transcripción

1 1

2 Objetivo Situaciones Observadas en las Cooperativas Carta Informativa Evaluación de la infraestructura para la seguridad en los sistemas de información 2

3 Como parte de los requisitos del seguro de acciones y depósitos de las cooperativas de ahorro y crédito deben poseer un sistema de información mecanizados con sus debidos controles generales. Con relación a este requisito, los sistemas deben ser efectivos, contar con una buena estructura de seguridad, entre otros aspectos. Esto le permitirá operar eficientemente y salvaguardar la información de sus socios y depositantes tomando en cuenta la Confidencialidad, Integridad y Disponibilidad. 3

4 4

5 Falta de establecer Políticas y Procedimientos para administrar adecuada de los Sistemas de Información. La Cooperativa no mantiene una Política o Procedimiento de Contingencia, en lo referente a las contraseñas administrativas del Sistema de Información. La Cooperativa no cuenta con una metodología para decomisar las cintas magnéticas que se utilizan para realizar los respaldos (resguardo) de los diferentes sistemas disponibles. La página de Internet le provee a sus socios la alternativa de solicitar préstamos y tarjetas de crédito por este medio. En la solicitud electrónica requiere que el socio envíe información sensitiva tales como nombre, dirección, teléfono e información de empleo, etc. 5

6 La Institución no posee una Política para el manejo, documentación y control de respuestas a incidentes. Varias estaciones de trabajo tienen el sistema operativo Windows XP Profesional. Este Sistema Operativo no tiene soporte técnico de su Proveedor y no se puede actualizar desde abril de Carecen de evidencia que corrobore que el personal de Sistemas de Información haya tomado seminarios de educación continua dirigida a las operaciones del Área de Sistemas de Información. Solicitamos a las Cooperativas la Revisión de Controles Internos SAS70/SSAE16 de sus proveedores del Sistema. Sin embargo, no han podido ofrecer ésta por parte del proveedor de la Cooperativa. 6

7 Las Cooperativa no han establecido con sus Proveedores un Software Escrow Agreement. Necesitan mejoría en la organización y ubicación de equipos del Área del Cuarto de Máquinas. Accesos inapropiados al Sistema de la Cooperativa. Se exponen a que ocurran errores o apropiaciones indebidas y no ser detectadas, oportunamente. No mantienen Políticas, aprobadas por la Junta de Directores, para las operaciones de ACH. 7

8 La Cooperativa tiene conexión al Internet sin embargo no tienen instalado un firewall que filtre el tránsito que viaja desde el Internet hacia la Cooperativa. El Security Log puede ser alterado por el personal que tenga acceso a la base de datos, por consiguiente, pudiera ser editado (Eliminar, Añadir, Modificar) en cualquier momento. Carencia de seguros de responsabilidad sobre errores u omisiones para los programadores. Solicitamos las Políticas y Procedimientos requeridas por COSSEC y observamos que gran parte de estas políticas nunca fueron preparadas y presentadas a la Junta de Directores para su aprobación. 8

9 EVALUACIÓN DE LA INFRAESTRUCTURA PARA LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN 9

10 Establecer Políticas y Procedimientos para administrar adecuadamente los Sistemas de Información. Las políticas y procedimientos constituyen las guías y direcciones de la Gerencia para mantener controles a los Sistemas de Información y recursos relacionados. Deben ser claras y sencillas. Deben revisarlas, depurarlas y actualizarlas, anualmente y ser aprobadas por la Junta de Directores. 10

11 Persona a Cargo Acción a Tomar Junta de Directores Ley Núm. 255, Artículo Deberes de los Miembros de la Junta y Elección de Oficiales Administración Tecnología Los miembros de la Junta serán los responsables de la definición y adopción de las políticas institucionales de la cooperativa, Artículo Funciones y Responsabilidades del Presidente Ejecutivo (a) implantar las políticas institucionales adoptadas por la Junta. Observar e implementar las políticas y procedimientos establecidos 11

12 Cooperativas que ofrecen los productos de plásticos a sus socios para realizar transacciones de débito y crédito debe estar en conformidad con PCI ( Payment Card Industry ). Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten datos del titular de la tarjeta. A continuación, encontrará una descripción general de los 12 requisitos de las DSS de PCI. 12

13 12 requisitos de las DSS de la PCI. 13

14 Persona a Cargo Acción a Tomar Junta de Directores Administración Tecnología Cumplimiento de Leyes y Reglamentos u otras reglas ya sea estatal o federal. Supervisar el cumplimiento con las políticas internas establecidas. Elaborar e implantar los programas de cumplimiento reglamentario o Plan de Acción que aseguren el fiel cumplimiento de las leyes y reglamentos locales y federales aplicables a las operaciones de la institución. Implementar el Plan de Acción para cumplir en Conformidad con PCI. 14

15 Implementar los algoritmos y protocolos seguros, así como certificados digitales, que ofrezcan las máximas seguridades en dentro de las páginas web. Una navegación segura nos aporta lo siguiente: Confidencialidad de los datos transmitidos e intercambiados con un sitio web o con nuestro servidor de correo electrónico. Integridad de los datos intercambiados. Seguridad de que el sitio web al que estamos accediendo es el correcto. 15

16 Persona a Cargo Acción a Tomar Junta de Directores La Administración debe informarle a la Junta sobre la implementación de los protocolos de seguridad. Administración Tecnología Establecer un Plan de Acción y asignar funciones y responsabilidades al personal de la Cooperativa y proveedores sobre la implementación de protocolos seguros. Supervisar el cumplimiento con el plan de acción establecido. Instalar algoritmos y protocolos seguros, así como certificados digitales, que ofrezcan las máximas seguridades. 16

17 Realizar una evaluación que identifique los riesgos derivados de sus operaciones de los sistemas de información y de esta manera puedan actualizar sus pólizas de seguro. 17

18 Persona a Cargo Acción a Tomar Junta de Directores Administración Tecnología Velar que todos los riesgos asegurables estén adecuadamente cubiertos por seguros, de manera que la cooperativa no sufra pérdidas por concepto de contingencias o riesgos asegurables. (Ley Núm. 255, Artículo 5.10, Inciso b-7) Realizar una evaluación que identifique los riesgos derivados de sus operaciones de los sistemas de información y de esta manera puedan actualizar sus pólizas de seguro. Asistir a la Administración a realizar una evaluación que identifique los riesgos derivados de sus operaciones de los sistemas de información y de esta manera puedan actualizar sus pólizas de seguro. 18

19 Realizar una revisión de toda su infraestructura de comunicaciones y datos. Esta evaluación tendrá el propósito de identificar los riesgos y vulnerabilidades de la Infraestructura. 19

20 Persona a Cargo Acción a Tomar Junta de Directores Administración Tecnología La Administración mantendrá informada a la Junta sobre la condición operacional tanto en los análisis de riesgos e implementación de controles establecidos en la Cooperativa. Establecer procedimientos de protección de los datos que se transmiten por la red de telecomunicaciones, mediante técnicas adecuadas de encriptación a través de equipos o aplicaciones definidas para tal fin. Ayudar a la Administración a establecer controles y asegurar los activos relacionados a los sistemas. 20

21 Establecer controles formales para proteger la información contenida en documentos, medios de almacenamiento u otros dispositivos externos. Los centros de resguardo de la información, tanto interno como externo, deben proveer una adecuada seguridad física y ambiental, que garantice la protección de la información y los sistemas de misión crítica de daños, deterioro, hurto o robos con el fin de asegurar que pueda recuperarse una vez ocurrido un desastre o falla en los equipos que los almacenan. 21

22 Persona a Cargo Acción a Tomar Junta de Directores Administración Tecnología Desarrollar las políticas que aseguren la ejecución periódica de los respaldos de la información y de los sistemas de misión crítica, con la finalidad de garantizar la continuidad del negocio con sus debidos controles de seguridad. Se deben documentar los procedimientos que aseguren la ejecución periódica de los respaldos de la información y de los sistemas de misión crítica, con la finalidad de garantizar la continuidad del negocio. Deberá realizar respaldos de archivos, bases de datos, sistemas operativos y demás software necesario para el adecuado funcionamiento de los equipos y aplicaciones de misión crítica con una frecuencia diaria, semanal y mensual. El traslado de los dispositivos de almacenamiento entre los centros de resguardo debe efectuarse con adecuados controles de seguridad. 22

23 Establecer procedimientos que garanticen la Seguridad de los Sistemas de Información en las conexiones remotas. Establecer procedimientos que deberán seguirse para la seguridad en el servicio de acceso remoto. Se busca con esto proteger la información de la Cooperativa la cual puede resultar inadvertidamente comprometida por los riesgos que implican las conexiones remotas a sus sistemas de información. 23

24 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología Desarrollar las políticas que garanticen la Seguridad de los Sistemas de Información en las conexiones remotas. Establecer procedimientos que garanticen la Seguridad de los Sistemas de Información en las conexiones remotas. El Departamento de Tecnología debe garantizar que se estarán cumplimiento de dichos procedimientos. 24

25 Cooperativas que ofrezcan a sus socios productos de Tarjetas de Débito y/o Crédito, deberán establecer internamente o requerir a sus proveedores o intermediarios, un Sistema de Prevención y Detección de transacciones fraudulentas. El análisis de información en tiempo real está llevando a los bancos e instituciones financieras a un nuevo nivel de protección ante los fraudes e ilícitos. Los software de prevención y detección de fraude y lavado de dinero, están impactando fuertemente en la toma de decisiones y en las estrategias de bancos y aseguradoras. 25

26 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología La Administración mantendrá informada sobre la condición operacional tanto en eventos de detección de transacciones fraudulentas, lavado de dinero u otra mala conducta financiera en la Cooperativa. Establecer con sus proveedores de servicios de tarjetas de crédito/debito o adquirir, un Sistema de Prevención y Detección de transacciones fraudulentas. El Departamento de Tecnología debe garantizar que se estén monitoreando transacciones que se realizan en el Sistema. 26

27 Exigir a sus proveedores o programadores una evaluación de seguridad de los Sistemas o Plataformas utilizadas para que los socios accedan su cuenta desde el Internet. Los Proveedores deberán establecer mecanismos de control que permitan alertar las fallas y minimizar las vulnerabilidades que la plataforma tecnológica que soporta los servicios de banca virtual Home Banking. 27

28 Persona a Cargo Acción a Tomar Junta de Directores Administración Tecnología La Administración debe mantener informada de la condición operacional basado en los controles que brinden una adecuada seguridad en las aplicaciones de banca virtual Home Banking de la Cooperativa. Establecer procedimientos y controles que brinden una adecuada seguridad en las aplicaciones de banca virtual: control de cambios y/o modificaciones, separación de ambientes de prueba. Planes apropiados de respuesta a incidentes que incluyan estrategias de comunicación que aseguren la continuidad del servicio y responsabilidad limitada asociada con interrupciones del servicio de banca virtual incluyendo aquellos originados desde sistemas externos. 28

29 Establecer medidas que garanticen que los Boletines o Alertas de Seguridad de todos los programas o equipos ( Software and Hardware ). Reciba en tiempo real información sobre las vulnerabilidades que realmente afectan a sus sistemas y cómo solucionarlas. 29

30 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología La Administración debe mantener informada a la Junta de Directores sobre la condición operacional relacionado a las nuevas actualizaciones basada en nuevas alertas. Procedimientos y controles que brinden una adecuada seguridad en las aplicaciones instaladas en la Cooperativa mediante los boletines que los proveedores externos emiten. Ejecutar los procedimientos para asegurar que se estén cumpliendo con las alertas y se realice un Plan de Acción para remediar esos riesgos de vulnerabilidades. 30

31 Evaluar la necesidad de autorizar en sus Sistemas de Información transacciones provenientes de países extranjeros los cuales mantengan sanciones impuestas por el Gobierno Federal y la Agencia OFAC. El dinero es lavado para ocultar una actividad ilegal, incluyendo los delitos que generan el dinero en sí mismo, como por ejemplo el tráfico de drogas. El lavado de dinero oculta la fuente de ganancias ilegales de manera que el dinero pueda ser utilizado sin que se detecte su fuente. 31

32 Persona a Cargo Acción a Tomar Junta de Directores Administración Tecnología Incorporar políticas diseñadas en forma razonable para garantizar el cumplimiento de las leyes aplicables. Elaborar e implantar los programas de cumplimiento reglamentario que aseguren el fiel cumplimiento de las leyes y reglamentos locales y federales aplicables a las operaciones de la institución. Los Sistemas de Tecnologías deben estar alineados al cumplimientos de las leyes locales y federales. 32

33 Mantener un Sistema de Antivirus y Antimalware de uso Comercial, que garantice la Seguridad de los Sistemas de Información. El término virus informático y los Malware se usa para designar un programa que, al ejecutarse, se propaga infectando otros softwares ejecutables dentro de la misma computadora. 33

34 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología Incorporar políticas diseñadas para el control de malwares y virus Elaborar e implantar procedimientos para la detección y eliminación de malware y virus Instalar Sistemas diseñados para detectar y eliminación de virus. 34

35 Establecer Políticas de Contraseñas que garanticen el estándar mínimo que deberán tener las contraseñas de los Sistemas de Información de la Cooperativa. Las características de las contraseñas deben ser definidas por el área de seguridad y deben ser difundidas a todo el personal de la Institución. 35

36 Persona a Cargo Junta de Directores Administración Tecnología Accion a Tomar Incorporar políticas diseñadas sobre la administración y construcción de las contraseñas. Elaborar e implantar procedimientos la administración y construcción de las contraseñas. Instalar Sistemas diseñados para la administración de las contraseñas. 36

37 Exigir a sus proveedores una revisión de seguridad de los registros de auditoría Audit Trail o Log Events de sus Sistemas de Información y que establezcan las medidas de seguridad adecuadas que garanticen que estos registros no puedan ser manipulados o eliminados. Los Log de Auditorias deben de estar como un archivo clasificado WORM que solamente puedes escribir una vez y puedes ver las veces que desees verlo 37

38 Persona a Cargo Junta de Directores Administración Tecnología Acción a Tomar Incorporar políticas orientadas a la supervisión y administración de datos. Realizar el Procedimiento orientadas a la Supervisión y Administración de Datos Implantar las funciones de registro de cambios 38

39 Establecer mecanismos de seguridad para el manejo de data que pueda ser portable sin autorización. Los Log de Auditorias deben de estar configurados para detectar cualquier acceso sin autorización a la data 39

40 Persona a Cargo Acción a Tomar Junta de Directores Administración Tecnología Incorporar políticas orientadas a la supervisión y administración de datos. Realizar el Procedimiento orientadas a la Supervisión y Administración de Datos Implantar las funciones manejo de data que no pueda ser portable sin autorización. 40

41 Revisar todas las reglas de seguridad de los firewalls a los fines de contar con mecanismos de Seguridad de prevención y detección adecuados. Existencia de mecanismos contra fuegos (firewalls) para mediar entre la red pública, Internet y la red privada de la Cooperativa a fin de garantizar la no penetración a los Sistemas de Información 41

42 Persona a Cargo Junta de Directores Administración Tecnología Accion a Tomar Establecer Políticas sobre el Manejo de la Configuración de Políticas del Firewall Establecer Procedimientos sobre la Configuración de políticas del Firewall. Asegurar que el Área de Tecnología cumpla con la Configuración de las Políticas del Firewall. 42

43 Las condiciones físicas y ambientales necesarias para garantizar el correcto funcionamiento del entorno de la infraestructura de tecnología de información. Los centros de procesamiento de datos y telecomunicaciones, deben mantenerse separados y claramente definidos por perímetros físicos. De igual forma, deben mantenerse continuamente monitoreados cubriendo para ello, todo el perímetro de sus instalaciones. 43

44 Persona a Cargo Acción a Tomar Junta de Directores Administración Tecnología La administración debe mantener informada a la Junta de Directores sobre la condición operacional, administrativa de dicho Departamento. Debe contar con una cobertura o una provisión de seguros para los principales equipos de cómputo y telecomunicaciones que permita mitigar los posibles riesgos existentes (incendio, huelga, motín, impacto de rayo, explosión, implosión, humo, gases o líquidos corrosivos, corto circuito, variaciones de voltaje, robo, asalto y fenómenos naturales). Garantizar la Continuidad de los servicios que le ofrece a la institución. 44

45 Establecer mecanismos de alerta y detección de intrusos o actividades sospechosas en la Infraestructura de Comunicaciones y Datos. (Sistema de detección de intrusiones) hace referencia a un mecanismo que, sigilosamente, escucha el tráfico en la red para detectar actividades anormales o sospechosas, y de este modo, reducir el riesgo de intrusión. 45

46 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología La Administración debe mantener informada a la Junta de Directores sobre la condición operacional, administrativa de dicho Departamento. Deben mantener activos los registros o pistas de auditoría generadas por las aplicaciones y sistemas de misión crítica, particularmente en aquellos casos en los cuales exista modificación o alteración de la información almacenada en las bases de datos productivas. Las pistas de auditoría deberán ser revisadas por el área de seguridad de la información y auditoría de sistemas, para lo cual será necesario generar informes que reflejen posibles brechas o vulnerabilidades identificadas. Estos informes deberán generarse anualmente y deben ser entregados a esta Superintendencia, cuando así sea requerido. 46

47 Establecer controles de acceso restrictos al Internet. Los privilegios de uso de Internet estarán limitados por la necesidad de acceso que requiera el desarrollo de la función de cada usuario. 47

48 Persona a Cargo Accion a Tomar Junta de Directores Pronunciar Política de Uso de Internet y Correo Electrónico Administración Tecnología Diseñar procedimientos para el uso de Internet y correo electrónico. Aplicar políticas de configuración y monitoreo sobre el control de uso de Internet y correo electrónico 48

49 Exigir a sus proveedores de Sistemas de Información Primarios, una Auditoría de Controles Internos en conformidad con el SSAE16. Esta certificación confirma la calidad e integridad de los procesos y procedimientos internos de control para sus clientes. 49

50 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología La Administración debe mantener informada a la Junta de Directores sobre los controles internos que tienen sus proveedores en sus operaciones. Asegurarse que sus proveedores de servicios cuentan con sus procedimientos de control. Asegurarse que sus proveedores de servicios cuentan con sus procedimientos de control. 50

51 Solicitar a sus proveedores que realice servicios en el Área de Sistemas de Información, una Póliza de Errores y Omisión en el Desempeño de sus funciones. La póliza de seguro para errores y omisiones (Errors and Omissions Insurance (E&O)) es una forma de seguro de responsabilidad limitada que ayuda a proteger la asesoría profesional y el servicio prestado por individuos y compañías evitando que lleven consigo la carga del costo total de la defensa contra un reclamo de negligencia hecho por un cliente, y por daños concedidos en este tipo de demanda civil. 51

52 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología Velar que todos los riesgos asegurables estén adecuadamente cubiertos por seguros, de manera que la cooperativa no sufra pérdidas por concepto de contingencias o riesgos asegurables; Asegurarse que sus proveedores de servicios cuentan con dicha Póliza y cubra los riesgos. Velar porque no existan errores o algún tipo de daños concedidos por algún servicio prestado. 52

53 Las Cooperativas de Ahorro y Crédito que ofrecen a sus socios el producto de Transferencias Electrónicas ACH, deberán cumplir con las disposiciones de NACHA. Las transferencias ACH se usan para toda clase de transacciones de transferencia de fondos, incluyendo el depósito directo de cheques de pago de nómina y el débito mensual de pagos habituales 53

54 Persona a Cargo Accion a Tomar Junta de Directores Velar por la implantación y el cumplimiento de las políticas institucionales. Administración Tecnología Elaborar e implantar los programas de cumplimiento reglamentario que aseguren el fiel cumplimiento de las leyes y reglamentos locales y federales aplicables a las operaciones de la institución; Asegurarse que los Sistemas vayan alineados con dicha Regulación. 54

55 Exigir a sus proveedores de Sistemas de Información Primarios un Software Escrow Agreement. Este es un tipo de acuerdo contractual entre el Proveedor y la Cooperativa que establece, entre otros detalles, que el código fuente del programa permanecerá en manos de un tercero para en caso de que el Proveedor desaparezca como compañía, la Cooperativa obtenga la titularidad y acceso al código fuente de la aplicación. 55

56 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología Definir los parámetros para la contratación de servicios de contractual. Asegurar que el contrato se cumpla con la ayuda del Departamento Tecnológico Revisar cada uno de los puntos y revisarlos con el Proveedor 56

57 Establecer protocolos de autenticación multi factor, para los accesos al Home Banking. Establecer en el Home Banking un tiempo máximo de inactividad, después del cual deberá ser cancelada la sesión y exigir un nuevo proceso de autenticación al Socio para acceder de nuevo al Sistema. Considerar la posibilidad de reducir el número de intentos fallidos para entrar al Sistema. 57

58 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología Establecer y aprobar Políticas sobre la Seguridad del Home Banking Establecer procedimiento para asegurar que su Infraestructura de seguridad de Home Banking cuenta con la validación de seguridad. Revisar que dichos controles se hayan implementado en el Home Banking. 58

59 Mantener un Plan de Respuesta a Incidentes durante un ataque contra el Sistema. Este plan de respuesta a incidentes define las pautas de lo que se debe de realizar en caso de incidente de seguridad en el área de la informática y obtiene las fases de respuesta a incidentes en un momento dado. Este documento muestra como minimizar los daños, evaluar el incidente, que hacer cuando se nos presente un incidente y como responder a ello. 59

60 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología Definir la Política del Plan de Respuesta a Incidente. Desarrollar los procedimientos que conlleva el Plan de Respuesta a Incidentes con sus debidas pruebas y establecer un equipo que participará en dicho Plan. Estará trabajando con la administración los aspectos técnicos para que el Plan funcione. 60

61 Establecer la Administración de Actualización Patch Management dirigida a la estrategia para la gestión de actualizaciones. La Administración de Actualización consta de cambios que se aplican a un programa, para corregir errores, agregarle funcionalidad, actualizarlo, entre otros. 61

62 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología Definir y aprobar la Política de la Administración de Actualización Patch Management Desarrollar los procedimientos que conlleva la Administración de Actualización Patch Management Estará a cargo de los aspectos técnicos para que los Sistemas se mantengan actualizados. 62

63 Realizar Pruebas de Penetración (PENTEST) cada vez que se realizan cambios significativos en los Sistemas de Información. Las pruebas de penetración (también llamadas pen testing ) son una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar. 63

64 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología La Administración debe informarle sobre la contratación para las Pruebas de Penetración y los resultados de las mismas. Contratar los servicios e implementar toda medida de recomendaciones obtenidas en las Pruebas de Penetración. Trabajar con la Administración en la implementación de las medidas obtenidas en las pruebas. 64

65 Asegúrese de que todos los proveedores o entidades involucradas que ofrecen servicios en el área de sistemas de información estén conscientes de las responsabilidades que tienen con la Cooperativa. Deberán definir procedimientos efectivos que permitan la selección y el monitoreo de la calidad y cumplimiento de servicio por parte de los proveedores e implantar los mecanismos que aseguren la integridad y la confidencialidad de la data o información que manejan en la Cooperativa. 65

66 Persona a Cargo Accion a Tomar Junta de Directores Definir los parámetros para la contratación de servicios. Administración Tecnología Definir procedimientos efectivos que permitan la selección y el monitoreo de la calidad y cumplimiento de servicio por parte de los proveedores. Trabajar con la Administración para cumplir con dichos procedimientos. 66

67 Concienciar a los empleados y socios de la Cooperativa sobre la importancia de la seguridad en los sistemas de información. Un programa de concienciación debe abarcar contenidos relevantes para poder lograr el cometido de concienciar adecuadamente sobre la seguridad de información. 67

68 Persona a Cargo Accion a Tomar Junta de Directores Administración Tecnología Establecer Políticas de adiestramientos y capacitación a los empleados y gerenciales en los aspectos de seguridad informática. Desarrollar e implantar un programa de capacitación gerencial y de empleados que cubra áreas técnicas de seguridad en los Sistemas. Participación en los programas de capacitación. 68

69

70 Corporación para la Supervisión y Seguro de Cooperativas en Puerto Rico

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales:

A la Dirección de Tecnología y Comunicaciones le corresponden las siguientes funciones generales: XVI.- DIRECCIÓN DE TECNOLOGÍA Y COMUNICACIONES. Tendrá como objetivo desarrollar y aplicar los sistemas que sean necesarios para garantizar el uptime de los servidores, equipos y redes de comunicación,

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI)

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Resumen de los cambios de la a la 3.0 de las PCI DSS (Normas de seguridad de datos de la Industria de tarjetas de pago) Noviembre de

Más detalles

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.

TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas. Hoja 1 CAPITULO 1-7 TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS 1.- Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

Requisitos de control de proveedores externos

Requisitos de control de proveedores externos Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral

Más detalles

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO.

ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. SEGURIDAD DE LA INFORMACIÓN ASEGURAR LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE LA INFORMACIÓN DE LAS ORGANIZACIONES ES NUESTRO OBJETIVO. La mayoría de las organizaciones tiene sus procesos críticos

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

MEJORES PRÁCTICAS DE INDUSTRIA

MEJORES PRÁCTICAS DE INDUSTRIA MEJORES PRÁCTICAS DE INDUSTRIA A continuación se relacionan las mejores prácticas y recomendaciones en prevención de fraude, extractadas de los diferentes mapas de operación y riesgo desarrollados por

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

Manual para la Prevención del Riesgo de Lavado de Activos y Financiación del Terrorismo

Manual para la Prevención del Riesgo de Lavado de Activos y Financiación del Terrorismo Tabla de Contenido Presentación 3 1 Reseña Histórica 4 2 Objetivos. 4 3 Alcance. 4 4 Procedimientos para el Conocimiento de los Principales Actores 5 5 Metodología y Mecanismos para Detectar Operaciones

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS.

PCI DSS PA DSS. Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. PCI DSS PA DSS Sinergias entre PCI DSS y PA DSS: cómo sacar partido de PA DSS para facilitar el Cumplimiento y Certificación PCI DSS. JOSÉ GARCÍA GONZÁLEZ PCI Manager/Consultor CEX de MM. PP. Informática

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación

Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Norma de seguridad de datos de la Industria de tarjetas de pago (PCI) Cuestionario de autoevaluación Instrucciones y directrices Versión 2.0 Octubre de 2010 Modificaciones realizadas a los documentos Fecha

Más detalles

MODELO DOCUMENTO DE SEGURIDAD

MODELO DOCUMENTO DE SEGURIDAD MODELO DOCUMENTO DE SEGURIDAD Responsable del Fichero...... Nombre del Fichero...... Nº de Inscripción... Nº de la Versión... Fecha... ÍNDICE 1. Objeto del documento 2. Ámbito de aplicación 3. Recursos

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Acueductospr.com TÉRMINOS DE USO

Acueductospr.com TÉRMINOS DE USO Autoridad de Acueductos y Alcantarillados de Puerto Rico Estado Libre Asociado de Puerto Rico Acueductospr.com TÉRMINOS DE USO Introducción Gracias por visitar www.acueductospr.com, el Portal electrónico

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO Tema: Uso de Sistemas de Información, de la Internet y del Correo Electrónico TECNOLOGÍAS DE INFORMACIÓN GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLÍTICA NÚM.: TIG-008 FECHA DE EFECTIVIDAD: 15

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones:

Seguridad. Estos son algunos de los elementos de alta tecnología que BANCOLOMBIA utiliza para garantizar la seguridad en sus transacciones: Seguridad Su información está segura en BANCOLOMBIA En BANCOLOMBIA nos hemos propuesto asegurar la confidencialidad, disponibilidad e integridad de la información, uno de nuestros recursos más valiosos.

Más detalles

Utilización del Acceso Remoto VPN. Ministerio del Interior N06

Utilización del Acceso Remoto VPN. Ministerio del Interior N06 Utilización del Acceso Remoto VPN Ministerio del Interior N06 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso del sistema

Más detalles

MANUAL DE POLÍTICAS DE INFRAESTRUCTURA TECNOLÓGICA

MANUAL DE POLÍTICAS DE INFRAESTRUCTURA TECNOLÓGICA Página 1 de 9 1. OBJETIVO DEL MANUAL Implementar y dar a conocer las políticas de seguridad de toda la infraestructura tecnología de la empresa. Para lograr un mejor manejo de los recursos informáticos

Más detalles

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS CONTENIDO INVITACIÓN A COTIZAR 1. ALCANCE...3 2. CONDICIONES TECNICAS...3 2.1 ANÁLISIS DE VULNERABILIDADES A LOS SERVIDORES Y FIREWALL... 3 2.1.1

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Controles Internos Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito

Controles Internos Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito Mínimos que Deben Adoptar las Cooperativas de Ahorro y Crédito La Junta deberá adoptar medidas de controles internos que sean sometidas por el Presidente Ejecutivo y aquellas requeridas por la Corporación

Más detalles

EL SOFTWARE MALICIOSO MALWARE

EL SOFTWARE MALICIOSO MALWARE Página 1 de 5 Si usted no puede visualizar correctamente este mensaje, presione aquí Medellín, 21 de mayo de 2009 Boletín técnico de INDISA S.A. No. 71 EL SOFTWARE MALICIOSO MALWARE Autor: Omar Calvo Analista

Más detalles

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN

PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN i Security PROPUESTAS DE FORMACIÓN ACADÉMICA PARA TECNOLOGÍAS DE LA INFORMACIÓN 0412 3328072-0414 1328072-0414 3209088 i Security INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA (CSI00N1) 1. Principios de seguridad

Más detalles

COMERCIO ELECTRÓNICO SEGURO Paraguay

COMERCIO ELECTRÓNICO SEGURO Paraguay Ing. Lucas Sotomayor Director de Comercio Electrónico Dirección General de Firma Digital y Comercio Electrónico Sub Secretaría de Estado de Comercio Ministerio de Industria y Comercio COMERCIO ELECTRÓNICO

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Versión para comentarios 30-06-2015

NORMAS TÉCNICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Versión para comentarios 30-06-2015 El COMITÉ DE NORMAS DEL BANCO CENTRAL DE RESERVA DE EL SALVADOR, CONSIDERANDO: I. Que de conformidad al artículo 2, inciso segundo de la Ley de Supervisión y Regulación del Sistema Financiero, para el

Más detalles

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

RESOLUCIÓN JB-2012-2148

RESOLUCIÓN JB-2012-2148 RESOLUCIÓN JB-2012-2148 LA JUNTA BANCARIA CONSIDERANDO: Que en el título II De la organización de las instituciones del sistema financiero privado, del libro I Normas generales para la aplicación de la

Más detalles

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G.

Seguridad en Informática Aspectos Duros y Blandos. Dr. José Fernández G. Seguridad en Informática Aspectos Duros y Blandos Dr. José Fernández G. Octubre 2013 Agenda Definición de Seguridad Informática. Objetivos del Área de Seguridad Informática. Amenazas y sus distintos tipos.

Más detalles

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI)

Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI) Procedimientos de Escaneo de Seguridad Versión 1.1 Publicada: Septiembre del 2006 Contenido Propósito...1 Introducción...1 Alcance

Más detalles

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar:

El Comité de Auditoría (en adelante el Comité) apoya al Directorio en revisar: COMITÉ DE AUDITORÍA ESTATUTO DEL COMITÉ DE AUDITORÍA 1. Marco referencia. La aplicación de cualquier otro tema no incluido en el presente Estatuto, se realizará con sujeción al Marco Internacional para

Más detalles

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN

V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

Seguridad en el correo electrónico y colaboración de su empresa

Seguridad en el correo electrónico y colaboración de su empresa Seguridad en el correo electrónico y colaboración de su empresa Estrategia de defensa en profundidad Hoy debido a las múltiples amenazas en seguridad que han evolucionado en Internet, las compañías están

Más detalles

NORMAS PARA LA SEGURIDAD FÍSICA DE LOS CAJEROS AUTOMÁTICOS CAPÍTULO I OBJETO Y SUJETOS

NORMAS PARA LA SEGURIDAD FÍSICA DE LOS CAJEROS AUTOMÁTICOS CAPÍTULO I OBJETO Y SUJETOS San Salvador, El salvador, C.A. Teléfono (503) 2281-2444, Email: informa@ssf.gob.sv, Web: http://www.ssf.gob.sv NPB4-45 El Consejo Directivo de la Superintendencia del Sistema Financiero, a efecto de darle

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Mejores prácticas de Seguridad en Línea

Mejores prácticas de Seguridad en Línea Mejores prácticas de Seguridad en Línea Antecedentes e Introducción El propósito del siguiente documento es para ayudar a su negocio a tomar las medidas necesarias para utilizar las mejores prácticas de

Más detalles

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:

PROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION: PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos

Más detalles

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS

Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas por la CNBS Julio 2005 Proceso de Auditoría de la Seguridad de la Información en las Instituciones Supervisadas

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS. 1. Aplicación de las presentes normas.

TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS. 1. Aplicación de las presentes normas. Hoja 1 CAPÍTULO 1-7 TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS 1. Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

DID (DEFENSE IN DEPTH)

DID (DEFENSE IN DEPTH) DID (DEFENSE IN DEPTH) Martín Ojeda Knapp CPM Coordinador I-SEC Especialista en Seguridad de la Información I-Sec Information Security Inc. - Chile http://geeks.ms/blogs/mojeda/ Defensa en profundidad

Más detalles

Guía: Seguridad Informática. Contenido suministrado por

Guía: Seguridad Informática. Contenido suministrado por Guía: Seguridad Informática Contenido suministrado por A quien le afecta? Compañías que tienen, usan o hacen soporte técnico de ordenadores, teléfonos inteligentes, correo electrónico, paginas web, medios

Más detalles

SISTEMA DE COPIAS DE SEGURIDAD

SISTEMA DE COPIAS DE SEGURIDAD SISTEMA DE COPIAS DE SEGURIDAD Ya tiene a su disposición el servicio de copias de seguridad adbackup en acuerdo con la ASOCIACIÓN DE ASESORÍAS DE EMPRESA haciendo más asequible el servicio, y con el respaldo

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C.

Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Manual de Seguridad Informática Centro de Cómputo (Políticas, Controles) Technical Software México, S.A. GRUPO BOGO Asesores y Servicios TI, S.C. Contenido Introducción 3 Objetivos 4 Alcances 4 Equipo

Más detalles

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014

Cyber SOC IT-ERS Services Ciberinteligencia. Febrero 2014 Cyber SOC IT-ERS Services Ciberinteligencia Febrero 2014 Situación actual 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2 Evolución histórica Hace 40 años el 99% de las empresas almacenaba la información en

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos)

Secretaría General. Dirección de Informática. Manual de Seguridad Informática Centro de Cómputo. (Políticas y lineamientos) Secretaría General Dirección de Informática Manual de Seguridad Informática Centro de Cómputo (Políticas y lineamientos) C O N T E N I D O Introducción. 3 Objetivos. 4 Alcances. 5 Equipo de Cómputo. De

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

Política General de Seguridad de la Información

Política General de Seguridad de la Información COMISIÓN NACIONAL DE INVESTIGACIÓN CIENTÍFICA Y TECNOLÓGICA Documento Información del Documento HISTORIA DEL DOCUMENTO Nombre del Documento Preparado por Marcelo Iribarren Carmen Gorroño Elena Hernández

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006

Política de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006 Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

Código Antifraude CONTENIDO INTRODUCCIÓN OBJETIVO MARCO DE REFERENCIA CORPORATIVO MARCO CONCEPTUAL MARCO DE ACTUACIÓN ESTRUCTURA DE GOBIERNO

Código Antifraude CONTENIDO INTRODUCCIÓN OBJETIVO MARCO DE REFERENCIA CORPORATIVO MARCO CONCEPTUAL MARCO DE ACTUACIÓN ESTRUCTURA DE GOBIERNO Código Antifraude CONTENIDO INTRODUCCIÓN OBJETIVO MARCO DE REFERENCIA CORPORATIVO MARCO CONCEPTUAL MARCO DE ACTUACIÓN ESTRUCTURA DE GOBIERNO MECANISMOS DE PREVENCIÓN, DETECCIÓN, INVESTIGACIÓN Y RESPUESTA

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE JUNIO, DE ACCESO ELECTRÓNICO DE LOS CIUDADANOS A LOS

Más detalles

Políticas de Allus para la Protección de Datos Personales

Políticas de Allus para la Protección de Datos Personales Políticas de Allus para la Protección de Datos Personales Allus ha diseñado una Política para la Protección de Datos Personales (en adelante La Política ) para asegurar un tratamiento ético y adecuado

Más detalles

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) Página 1 de 10 POLÍTICA DE SEGURIDAD DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI) ALCALDIA DE RECETOR 2014 Página 2 de 10 INTRODUCCIÓN La Política de Seguridad de la Información es la declaración

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón texto del DESAFÍOS PARA ALCANZAR EL CUMPLIMIENTO: GUÍA DE IMPLEMENTACIÓN, INTEGRACIÓN DE LA SEGURIDAD EN EL CICLO DE VIDA DEL SOFTWARE, LABORATORIO PCI DSS COMPLIANT. FERMÍN GARDE FERNÁNDEZ RESPONSABLE

Más detalles

Norma de uso Identificación y autentificación Ministerio del Interior N02

Norma de uso Identificación y autentificación Ministerio del Interior N02 Norma de uso Identificación y autentificación Ministerio del Interior N02 Introducción Propósito. El acceso a la información de los sistemas del Ministerio del Interior será solo otorgado a usuarios identificados

Más detalles