UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación"

Transcripción

1 UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Por Carlos E. Castorani Di Saverio INFORME FINAL DE CURSOS EN COOPERACIÓN Presentado ante la Ilustre Universidad Simón Bolívar como Requisito Parcial para Optar el Título de Ingeniero en Computación Sartenejas, Marzo de 2007

2 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA EN COMPUTACIÓN ACTA FINAL DE CURSOS EN COOPERACIÓN PASANTÍA EN ORACLE DE VENEZUELA ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Presentado por: Carlos E. Castorani Di Saverio Este trabajo de cursos en cooperación ha sido aprobado por el siguiente jurado examinador: Prof. Ricardo González Jurado Prof. Angela Di Serio Tutor Académico Sartenejas, Marzo de 2007 ii

3 ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Por Carlos E. Castorani Di Saverio RESUMEN El proyecto de pasantía presentado en este informe trata sobre cómo los productos de seguridad de Oracle Corporation pueden asistir a las organizaciones a cumplir con los objetivos comúnmente aceptados en gerencia de seguridad de la información. Para el desarrollo del proyecto se utilizó la metodología incremental con cuatro fases. Estas son las fases de análisis, diseño, implementación y validación. En la fase de análisis se estudiaron los estándares, marcos de trabajo y mejores prácticas en gerencia de seguridad de la información más seguidos en la actualidad, así como las herramientas de seguridad de Oracle Corporation. En la fase de diseño se llevaron a cabo tres actividades principales: generar un documento de requerimientos en base al estándar ISO/IEC 17799:2005, crear una hipótesis de cómo estos requerimientos podían ser cubiertos con los productos de seguridad estudiados y diseñar escenarios para probar esta hipótesis. En la fase de implementación se efectuaron y probaron estos escenarios. Finalmente, en la fase de validación, se calcularon varios indicadores porcentuales para ver en qué medida los productos estudiados realmente asistían en el cumplimiento de las cláusulas presentadas en el documento de requerimientos para gerencia de seguridad de la información. Finalmente se pudo concluir que los productos de seguridad de Oracle Corporation contemplados en este proyecto de grado pueden ayudar a las organizaciones a cumplir con los estándares y mejores prácticas en el ámbito de gerencia de seguridad de la información. iii

4 Dedicatoria A mi Familia, por ser la forjadora de tan provechoso pasado, propicio presente y prominente futuro. iv

5 Agradecimientos Quisiera agradecer, a todos los docentes de la Universidad Simón Bolívar, en especial a los del departamento de ingeniería de computación, por ser la real riqueza de este maravilloso país. A mis amigos, sin quienes me hubiese sido realmente imposible llegar a este punto de la carrera. A mi novia, por haber comprendido el tiempo necesario para sacar adelante estos estudios. A todo el equipo de preventas de Oracle de Venezuela, por haber estado siempre allí cuando los necesité y brindarme la oportunidad de seguir a su lado. Gracias, muchísimas gracias! v

6 ÍNDICE GENERAL RESUMEN... iii Dedicatoria... iv Agradecimientos... v ÍNDICE GENERAL... vi ÍNDICE DE TABLAS... x ÍNDICE DE FIGURAS... x LISTA DE SÍMBOLOS Y ABREVIATURAS... xii 1. INTRODUCCIÓN ENTORNO EMPRESARIAL Principios de la Empresa Oracle de Venezuela Estructura Organizacional MARCO TEÓRICO Seguridad de la Información Estándares y Marcos de Trabajo Estándares y Marcos de Trabajo para la Seguridad de la Información Code of Practice for Information Security Management (ISO/IEC 17799:2005) Historia Objetivos, estructura y contenido Aporte para este proyecto Próximas Versiones Control Objectives for Information and Related Technology (COBIT) CobiT y SOX vi

7 CobiT e ISO/IEC 17799: Information Technology Infraestructure Library (ITIL) Arquitectura de Software Componentes de Arquitectura de Software relevantes para este trabajo Sistema Manejador de Base de Datos Servidor de Aplicaciones Servidores de Directorios Componentes de Seguridad de Oracle Corporation Seguridad de Datos Oracle Database Vault Oracle Advanced Security Oracle Label Security Oracle Secure Backup Virtual Private Database Enterprise User Security Fine Grained Auditing Manejo de Identidades Oracle Access Manager Oracle Identity Manager Oracle Virtual Directory Software de Terceros VMWare Workstation Sun Java System Directory Server y Microsoft Active Directory PLANTEAMIENTO DEL PROBLEMA MARCO METODOLÓGICO Fase de Análisis vii

8 5.2. Fase de Diseño Fase de Implementación Fase de Validación FASES DE DESARROLLO DE LA PASANTÍA Fase de Análisis Investigación en gerencia de seguridad de la información Información relevante encontrada en EBSCO Host Research Databases Información relevante encontrada en Forrester Research Inc Entrenamiento de herramientas de seguridad de Oracle Corporation Fase de Diseño e Implementación Generación del documento de requerimientos basado en el estándar ISO/IEC 17799: Correspondencia entre las cláusulas de seguridad pertenecientes al documento de requerimientos con los productos Oracle Diseño e implementación de los escenarios de prueba Escenario Oracle Database Vault Escenario Oracle Label Security Escenario Oracle Access Manager Escenario Oracle Identity Manager Fase de Validación Porcentaje de cumplimiento de los objetivos planteados en los escenarios Porcentaje de la hipótesis original cubierta en los escenarios Porcentaje de cláusulas de requerimientos en seguridad de la información que, según hipótesis, pueden ser asistidas por algún producto Oracle Porcentajes de aporte de cada uno de los productos estudiados sobre la hipótesis viii

9 Porcentaje de cláusulas del estándar ISO/IEC 17799:2005 que son cubiertas en el documento de requerimientos CONCLUSIONES REFERENCIAS BIBLIOGRÁFICAS APENDICE I DOCUMENTO DE REQUERIMIENTOS DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN APENDICE II CORRESPONDENCIA DE LAS CLÁUSULAS DE SEGURIDAD DEL DOCUMENTO DE REQUERIMIENTOS DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN CON PRODUCTOS ORACLE ix

10 ÍNDICE DE TABLAS Tabla 6.1 Usos del estándar ISO/IEC 17799: Tabla 6.2 Breve comparación de Mejores Prácticas de Seguridad e ISO/IEC Tabla 6.3 Cláusulas de seguridad cubiertas en el Escenario Oracle Database Vault Tabla 6.4 Cláusulas de seguridad cubiertas en el Escenario Oracle Label Security Tabla 6.5 Cláusulas de seguridad cubiertas en el Escenario Oracle Access Manager Tabla 6.6 Cláusulas de seguridad cubiertas en el Escenario Oracle Identity Manager ÍNDICE DE FIGURAS Figura 3.1 Procesos de CobiT cubiertos por ISO Figura 3.2 Componentes de Oracle Fusion Middleware Figura 3.3 Arquitectura de Seguridad de Oracle Corporation Figura 3.4 Funcionalidad de Oracle Database Vault Figura 3.5 Representación gráfica de la funcionalidad de Oracle Label Security Figura 3.6 Ilustración de una funcionalidad de Virtual Private Database Figura 3.7 Arquitectura del Sistema de Acceso de Oracle Access Manager Figura 3.8 Arquitectura del Sistema de Identidad de Oracle Access Manager Figura 3.9 Diagrama de Proceso de Atestiguación Figura 3.10 Funcionalidad de Oracle Virtual Directory Figura 5.1 Fases de la metodología utilizada Figura 6.1 Los 10 dominios de ISO/IEC 17799: Figura 6.2 Arquitectura del Escenario Oracle Database Vault Figura 6.3 Representación gráfica del Escenario Oracle Label Security Figura 6.4 Estructura de servicios de directorio y su interconexión con componentes de Oracle Access Manager x

11 Figura 6.5 Diagrama de Instalaciones Escenario Oracle Access Manager Figura 6.6 Creación de pestañas de búsqueda en Oracle Access Manager Figura 6.7 Pasos de flujo de trabajo en Oracle Access Manager Figura 6.8 Pasos de flujo de trabajo para registro de nuevo usuario Figura 6.9 Pantalla de aprobación para nuevo usuario Figura 6.10 Manejo de políticas en Oracle Access Manager Figura 6.11 Arquitectura del Escenario Oracle Identity Manager Figura 6.12 Reporte Quién tiene Qué Figura 6.13 Resource Access List History del recurso iplanet Figura 6.14 Proceso de atestiguación de Oracle Identity Manager Figura 6.15 Aporte de cada producto estudiado sobre la hipótesis xi

12 LISTA DE SÍMBOLOS Y ABREVIATURAS AES Advanced Encryption Standard (Estándar de Cifrado Avanzado) BSi British Standards Institute (Instituto de Estándares Británico) CCTA Central Computer and Telecommunications Agency (Agencia Central de Computación y Telecomunicaciones) DBA Database Administrator (Administrador de Base de Datos) DBMS Database Management System (Sistema Manejador de Base de Datos) DIT Department of Trade and Industry (Departamento de Industria y Comercio) IEC International Electrotechnical Commission (Comisión Internacional Electrotécnica) IETF Internet Engineering Task Force (Destacamento de ingeniería de Internet) ISACA Information Systems Audit and Control Association (Asociación de Auditoría de Sistemas de Información) ISO International Organization for Standardization (Organización Internacional para la Estandardización) IT Information Technology (Tecnología de la Información) ITGI IT Governance Institute (Instituto de Regimiento de IT) ITIL Information Technology Infraestructure Library (Librería de Infraestructura de Tecnología de la Información) ITU International Telecommunication Union (Unión de Telecomunicaciones Internacional) LDAP Lightweight Directory Access Protocol (Protocolo Ligero de Acceso a Directorio) LDIF LDAP Data Interchange Format (Formato de Intercambio de datos LDAP) OAM Oracle Access Manager OIM Oracle Identity Manager OLS Oracle Label Security OVD Oracle Virtual Directory xii

13 PCAOB Public Company Accounting Oversight Board (Comité de descuidos contables de compañías públicas) PKI Public Key Infraestructure (Infraestructura de Llave Pública) RADIUS Remote Authentication Dial In User Service (Servicio de Autenticación Remota de Usuarios por Marcado) RRHH Recursos Humanos SOX Sarbanes Oxley Act (Acto Sarbanes-Oxley) TDEA Triple Data Encryption Algorithm (Algoritmo de Cifrado Triple de Datos) xiii

14 1. INTRODUCCIÓN La información es un bien vital para el funcionamiento de cualquier organización, y puede existir en muchas formas. Puede estar escrita o impresa en papel, almacenada en forma electrónica, grabada en cintas de audio o video e inclusive hablada en una conversación. Independientemente de la forma en la cual se encuentre la información, esta debe ser protegida. Cada vez se tienen más empresas que confían información vital para su negocio a los sistemas de información, y la información almacenada en estos sistemas se ha vuelto cada vez más difícil de proteger. Originalmente los ataques a estos sistemas de información no poseían mayor grado de complejidad. El escenario actual difiere en gran medida del de hace 10 años. Los ambientes de negocio se encuentran cada vez más interconectados y son cada vez más ubicuos, siendo accesibles desde muchos más lugares y a su vez más vulnerables. Otro problema muy común en las organizaciones es poder controlar el acceso a las aplicaciones. Por lo general cada empleado poseen acceso a varias aplicaciones, y el control de cuentas de usuarios en las distintas aplicaciones no se lleva de forma centralizada con los sistemas de recursos humanos, que son la puerta de entrada y salida de personal a la organización. Esto se traduce en un problema bastante serio para las organizaciones, ya que al momento de retirar un empleado es necesario eliminar su cuenta en cada una de las aplicaciones a las que tenía acceso. Estos procesos son bastante costosos, engorrosos e inseguros. Por lo general estas cuentas no son borradas y los ex empleados siguen teniendo acceso a las aplicaciones meses y hasta años después de haber abandonado la organización. 1

15 Todo esto se ha traducido en la publicación de una serie de estándares, marcos de trabajo y mejores prácticas en gerencia de seguridad de la información, por parte de numerosas organizaciones y organismos internacionales. Además, en años recientes han sido aprobadas una serie de regulaciones que requieren que las empresas públicas (que cotizan en la Bolsa de los Estados Unidos de Norteamérica) aprueben una serie de auditorías, donde se toma muy en serio el tema de seguridad de la información. A consecuencia de todo esto, muchas empresas productoras de software han sacado al mercado productos para tratar el tema de seguridad de la información, y Oracle Corporation no es la excepción. Este trabajo de pasantía inicia con una investigación para conocer cuáles son los estándares y marcos de trabajo con mayor vigencia en el ámbito de gerencia de seguridad de la información. Después se estudian los productos que ofrece Oracle Corporation en el área de seguridad de la información y finalmente se establece y valida una hipótesis sobre cómo estos productos de Oracle pueden asistir con el cumplimiento de las cláusulas presentes en estos estándares. En este informe de pasantía se presenta como primer capítulo el entorno empresarial. En este capítulo se explica brevemente cuál es el negocio de Oracle Corporation, su presencia en Venezuela y cuál es el departamento en el que se desarrolló la pasantía. Posteriormente se tiene un marco teórico. Esto con el fin de poner al lector en contexto de los temas que se van a tratar más adelante. En este marco teórico se habla sobre los estándares y marcos de trabajo en gerencia de seguridad de la información, los componentes de arquitectura de software y el software de Oracle utilizado en la pasantía. A continuación se explica de forma bastante breve cuál es el problema que se quiere resolver con este trabajo de grado. En el capítulo de marco metodológico se explica la metodología utilizada en el proyecto, cuáles son sus etapas y objetivos. 2

16 Finalmente se tiene el capítulo de fases de desarrollo de la pasantía, donde se explican cada una de las actividades realizadas en este trabajo de grado. Este capítulo está estructurado en base a las fases presentada en el marco metodológico. 3

17 2. ENTORNO EMPRESARIAL Oracle Corporation es una de las compañías de software empresarial más grandes del mundo. Entre sus principales productos se tienen manejadores de bases de datos, herramientas para desarrollo de bases de datos, software de capas intermedias (como servidores de aplicaciones, directorios LDAP y herramientas de inteligencia de negocio), software de planificación de recursos empresariales (o Enterprise Resource Planning), software de manejo de relaciones con clientes (o Customer Relationship Management) y software de manejo de cadena de suministros (o Supply Chain Management). Oracle Corporation fue fundada en 1977, tiene oficinas en más de 145 países y para el año 2005 tenía empleada a más de personas a nivel mundial Principios de la Empresa Adherirse a tres principios le ha ahorrado a Oracle, hasta el momento, más de mil millones de dólares en costos operativos [1]. Con estos principios, los cuales están incorporados en el diseño de todo el software que se produce, Oracle ha logrado optimizar sus procesos alrededor del mundo. - Simplificar: Agilizar la entrega de información con sistemas integrados y una misma base de datos. - Estandarizar: Reducir los costos y ciclos de mantenimiento mediante el uso de componentes abiertos y de fácil adquisición. - Automatizar: Mejorar la eficacia operacional con tecnología y mejores prácticas. 4

18 Oracle de Venezuela La presencia de Oracle en Venezuela se dio a partir del año Actualmente tiene empleada a unas 80 personas, y presta servicios en las áreas de ventas, consultoría, soporte y educación. Sus clientes en Venezuela, al igual que en el resto del mundo, provienen de industrias muy diversas, y pueden ser empresas grandes, como PDVSA y CANTV, medianas, como Pastas Sindoni y Sodexho Pass, y pequeñas, las cuáles son generalmente manejadas con aliados de negocios o Partners Estructura Organizacional Oracle de Venezuela está conformada por 12 departamentos. Estos son: Administración, Alianzas, Consultoría, Educación, Facilities, Finanzas, Global IT, Mercadeo, Preventas, Recursos Humanos, Soporte Técnico y Ventas. El equipo de preventas, actualmente conformado por 5 personas, es el encargado de proponer soluciones a los clientes, es decir, mostrar cuáles y de qué manera los productos de Oracle pueden ayudarlos a satisfacer sus necesidades. También son los encargados de entrenar a los aliados de negocio y de dar presentaciones y demostraciones de los productos de Oracle en eventos. Este proyecto de grado se desarrolla precisamente en el departamento de preventas, ya que las actividades que se realizan en este departamento van de la mano con los objetivos planteados para este proyecto.

19 3. MARCO TEÓRICO Este capítulo tiene como objetivo presentar las bases teóricas en las que se fundamentó la realización de este proyecto de pasantía. Aquí se explican los conceptos más relevantes que se manejan a lo largo del informe, de manera tal que el lector pueda tener un mayor entendimiento del contexto que enmarca el desarrollo de este proyecto Seguridad de la Información La información es un bien que requiere ser protegido de manera apropiada. Con cada día que pasa, las organizaciones se vuelven más dependientes de la información que estas manejan. Esta información puede ser pública o privada y, en todo caso, debe ser protegida. En el caso de la información pública, por ejemplo, se debe garantizar que la información transmitida (digamos mediante un comunicado en una página Web) sea exactamente la que la organización quiso transmitir, y no pueda ser modificada por terceros, pudiendo dañar así la imagen de la organización. Con respecto a la información privada el tema puede ser aún más delicado. Se han dado ya varios casos en los que a una empresa, por fraude electrónico o un simple robo de una computadora portátil dejada en un vehículo, le sustraen la información de pagos electrónicos con los nombres de sus clientes y datos de las tarjetas de crédito con las que fueron realizados dichos pagos, derivando esto en la quiebra de estas empresas e inclusive sanciones penales en contra de los responsables de las mismas. La información puede existir en muchas formas. Esta puede ser escrita en papel, impresa, mostrada en video o almacenada de forma electrónica, siendo esta última forma cada vez más usual. 6

20 7 La seguridad de la información es la protección de la información de una gran variedad de amenazas, esto con el fin de garantizar la continuidad del negocio, minimizar los riesgos, maximizar el retorno de inversión y las oportunidades de negocio. Las organizaciones, sus sistemas de información y redes están expuestos a un alto rango de amenazas provenientes de diversas fuentes, entre estas el fraude electrónico, espionaje, sabotaje, vandalismo, e inclusive fuego e inundaciones. Daños causados por código malicioso, hackers y ataques de negación de servicio se han vuelto cada vez más comunes, más ambiciosos y más sofisticados. Es importante destacar que la seguridad que se puede alcanzar por medios técnicos es limitada. Por esta razón esta seguridad debe ser respaldada por procesos gerenciales dentro de la organización. Estos procesos son el corazón de la gerencia de seguridad de la información. La gerencia de seguridad de la información requiere, como mínimo, que todos los empleados de la organización estén comprometidos y participen activamente en esta, cumpliendo y haciendo cumplir las políticas y procedimientos que esta pueda crear. Posiblemente sea necesario que los accionistas, proveedores, terceras personas, clientes y aliados comerciales también participen en la seguridad de la información, e inclusive se podría requerir consultoría de organizaciones especializadas en la materia. En el estándar ISO/IEC 17799:2005 [2] vemos que la seguridad de la información está compuesta por tres conceptos, y estos son: - Confidencialidad, que se define como el hecho de que la información no sea revelada o puesta a disposición de personas o procesos no autorizados. - Disponibilidad, que se define como la propiedad que tienen los datos o información de ser accesibles y utilizables cuando se requieran. - Integridad, que se define como el asegurar que los datos o información no han sido modificados desde su creación hasta su recepción o entrega.

21 8 Es notable que estos conceptos son claros y precisos. Si tenemos una información que es accedida por una persona fuera del conjunto de las personas que la deben acceder, estamos violando el concepto de confidencialidad. Si esta misma información no puede ser accedida por alguien que la debería acceder, bien sea porque el personal de sistemas no le ha dado acceso o porque el sistema está caído, estamos violando el concepto de disponibilidad y, finalmente, si cualquier información es alterada de manera indebida, bien sea voluntaria o involuntariamente, estamos violando el concepto de integridad. Finalmente cabe destacar que la seguridad de la información, además de ser absolutamente necesaria por los puntos expuestos anteriormente, puede conllevar una gran cantidad de beneficios adicionales. Mediante la obtención de certificaciones en estándares de seguridad se pueden obtener ventajas de índole muy diversa, como por ejemplo ayudar a cumplir con regulaciones, aumentar la confianza de los clientes y conseguir descuentos en las primas de seguro para la organización Estándares y Marcos de Trabajo Según el diccionario de la Real Academia Española, un estándar es algo Que sirve como tipo, modelo, norma, patrón o referencia. Otras definiciones encontradas en la Web son Una serie de criterios (algunos de los cuales podrían ser obligatorios), guías voluntarias y mejores prácticas [que permitan cumplir un objetivo] [3], Una mejor práctica que debe ser seguida para tener una mayor probabilidad de éxito [4] y Una serie de reglas para asegurar la calidad [5]. Un Marco de Trabajo (o framework) se define como una Estructura extensible para describir una serie de conceptos, métodos, tecnologías y cambios culturales necesarios para completar un proceso en particular [6], Una serie de reglas, ideas o principios que se usan para planear o decidir algo [7] y Una estructura para dar soporte o englobar algo más, especialmente un soporte o armazón que se usa como base para algo que se está construyendo.

22 9 Con estos conceptos podemos ver que los estándares y marcos de trabajo están estrechamente relacionados, y no son una receta de cocina que debemos seguir al pié de la letra. Por el contrario, son una mejor manera de hacer las cosas, partiendo de una serie de ideas o principios que pueden servir como fuente de inspiración. Uno de los términos que más nos podría llamar la atención en estos conceptos es precisamente el de cambios culturales. Después de haber estudiado varios estándares y marcos de trabajo podemos observar que estos cambios culturales son, en términos generales, prácticas para reforzar lo que los empleados de las organizaciones entienden por seguridad de la información. Con estas prácticas se pretende que todos y cada uno de los empleados estén consientes de que la gerencia de seguridad de la información existe y que de alguna u otra forma todos ellos están involucrados en la misma. Una buena práctica que puede tener un impacto sobre esta cultura es, por ejemplo, el dictar charlas donde se les informe a los empleados que no deben, bajo ninguna circunstancia, revelar o anotar en papel sus claves de acceso a los sistemas. A nivel mundial, existen numerosos organismos encargados de desarrollar, promulgar, coordinar, revisar y reeditar o de alguna forma mantener estándares que traten temas que son de interés para una gran cantidad de personas ajenas a estos organismos. Estos organismos, en su gran mayoría, se clasifican según el grado de su influencia en el ámbito geográfico, es decir, pueden ser cuerpos de estándares internacionales, nacionales o regionales. Entre estos organismos, los más reconocidos a nivel internacional son la Organización Internacional para la Estandarización (o ISO, por sus siglas en inglés), la Comisión Internacional Electrotécnica (o IEC) y la Unión Internacional de Telecomunicaciones (o ITU). Por otro lado, los marcos de trabajo son generalmente diseñados por compañías, asociaciones o institutos y, en el campo de la computación, los marcos de trabajo tienen como objetivo definir estructuras de soporte para organizar y desarrollar proyectos de software. Un ejemplo de estos institutos es el IT Governance Institute, quien desarrolló el marco de trabajo CobIT.

23 Estándares y Marcos de Trabajo para la Seguridad de la Información El mundo en el que vivimos es cada vez más dependiente de los sistemas de información, y al tener cada vez más y más información almacenada en estos, la necesidad de protegerlos crece de forma natural. Es por ello que numerosos organismos y organizaciones reconocidas mundialmente se han dado la tarea de publicar estándares y marcos de trabajo relacionados con la seguridad de la información. Entre los estándares y marcos de trabajo más relevantes tenemos los mencionados a continuación Code of Practice for Information Security Management (ISO/IEC 17799:2005) Utilice ISO para seguridad, nos dice Craig Symons en el artículo titulado COBIT Versus Otros Marcos de Trabajo: Un Camino Hacia La Gobernabilidad de IT Comprensiva ( COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance ) [8]. Este estándar es, sin duda alguna, uno de los más seguidos mundialmente. Es por ello que el trabajo realizado en esta pasantía se basa en las cláusulas del mismo Historia En mayo de 1987, en el Reino Unido, el Departamento de Industria y Comercio (o DIT por sus siglas en inglés) creó el Commercial Computer Security Centre con dos fines. El primero de ellos era ayudar a los vendedores de productos de seguridad en IT, mediante el establecimiento de criterios internacionales de evaluación y un esquema de certificación para la gerencia de seguridad de la información. El segundo, era crear un código de buenas prácticas de seguridad que ayudara a los usuarios en este ámbito. De ello, nació el Users Code of Practice, publicado

24 11 en 1989 y reeditado en 1992 con el título A code of practice for information security management. En 1995 el BSi (British Standards Institute) publicó el estándar BS7799:1995 A code of practice for information security management. En febrero de 1998 se le añadió una segunda parte, BS7799-2:1998, y después de una extensa revisión a la primera parte ésta fue publicada con el código BS7799-1:1999. Se crearon esquemas de certificación que dieron mucha fuerza a este estándar, y mediante un mecanismo denominado Fast Track se propuso como un estándar ISO, publicado con cambios menores en el año 2000 como ISO/IEC 17799:2000. Después de una extensa revisión, este estándar es publicado en junio del año 2005 como el ISO/IEC 17799:2005, reemplazando al anterior. Como podemos ver, este estándar posee una trayectoria de más de 15 años, durante los cuales ha sido revisado y validado por numerosos organismos reconocidos a nivel mundial Objetivos, estructura y contenido En la cláusula de alcance encontramos que Este estándar internacional establece guías y principios generales para iniciar, implementar, mantener y mejorar la gerencia de seguridad de la información dentro de una organización. Los objetivos propuestos en este estándar internacional pretenden servir como guía en las metas comúnmente aceptadas en el ámbito de la gerencia de seguridad de la información [2]. Este estándar está conformado por 11 cláusulas de control de seguridad, que entre todas suman un total de 39 categorías principales de seguridad, además de poseer un capítulo introductorio sobre gravamen y gerencia de riesgo. Las 11 cláusulas de control de seguridad son: 1. Política de Seguridad 2. Organización de la Seguridad de la Información 3. Gerencia de Bienes

25 12 4. Seguridad de Recursos Humanos 5. Seguridad Física y Ambiental 6. Gerencia de Comunicaciones y Operaciones 7. Control de Acceso 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gerencia de Incidentes en Seguridad de la Información 10. Gerencia de Continuidad de Negocio 11. Cumplimiento de Regulaciones Aporte para este proyecto Como ya se ha comentado, este estándar ha sido la base para generar el documento de requerimientos que son cubiertos por los productos pertenecientes a Oracle Corporation, incluido en el Apéndice I de este libro. Sin embargo, varios de los objetivos definidos en este estándar no se encuentran dentro del alcance de este proyecto. Uno de ellos es, por ejemplo, el capítulo sobre seguridad física y ambiental, que posee cláusulas de seguridad que no pueden ser cubiertas por productos de Software Próximas Versiones Debido al auge y la importancia que ha tenido este tema de gerencia de la seguridad de la información, las organizaciones ISO e IEC han creado la Familia de Estándares Internacionales de Gerencia de Sistemas de Seguridad de la Información. El mismo estándar nos dice que La familia incluye estándares internacionales referentes a requerimientos, gravamen de riesgos, métricas y medidas y guías de implementación para gerencia de seguridad de la información [2]. Esta familia utilizará el esquema de numeración utilizando la serie de números en adelante.

Mestrado em Tecnologia da Informação. Segurança da Informação

Mestrado em Tecnologia da Informação. Segurança da Informação Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar?

Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar? Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar? Miguel Palacios (miguel.palacios@gbsperu.net) Dominio A11 Sistema de Control de Accesos A 11.2.2 Gestión de privilegios

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager Advisory CIGR A S Página 2 de 41 Expectativas de la presentación

Más detalles

Por qué MobilityGuard OneGate?

Por qué MobilityGuard OneGate? Para Acceso de Cualquier Escenario Solo Una Solución Por qué MobilityGuard OneGate? Escenarios 1 Acceda desde cualquier lugar 2 Identifique sólidamente los usuarios 3 No más notas de recordatorio con ingreso

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management INTRODUCCIÓN Oracle Identity Management, la mejor suite de soluciones para

Más detalles

Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo

Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo MSc. Lina Forero Gerente de Consultoría Junio 2010 La Seguridad

Más detalles

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra.

Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. > SMC.WP01 < 1 Una implementación de Sistema de Calidad para el logro de los objetivos de Seguridad Informática Proceso IT Sarbanes-Oxley (SOx) Molina Cruz, Sandra. I. INTRODUCCION Los aspectos de seguridad

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA INTRODUCCION Con el fin de ofrecer un portafolio de servicios de alta calidad técnica y amplia experiencia en Seguridad Informática, hemos realizado una unión técnica entre las empresas

Más detalles

SARBANES-OXLEY SOX. Agenda

SARBANES-OXLEY SOX. Agenda SARBANES-OXLEY SOX Agenda Introducción sobre Sarbanes - Oxley A quienes se aplica? Qué regula? Títulos de la SOX Ventajas de SOX SOX Como afecta a una empresa privada Conclusiones. Introducción La Ley

Más detalles

#233 Seguridad desde el punto de vista SOX y Gobernalidad

#233 Seguridad desde el punto de vista SOX y Gobernalidad Conferencia Latin America CACS 2006 #233 Seguridad desde el punto de vista SOX y Gobernalidad Preparada por José Ángel Peña a Ibarra CCISA-Alintec Alintec México Agenda 1. Sarbanes Oxley 2. Gobierno Corporativo

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

Estándares de Seguridad Informática

Estándares de Seguridad Informática Estándares de Seguridad Informática Por: Anagraciel García Soto, José Luis Sandoval Días. 01/11/2009 Conceptos de Estándares de Seguridad Informática. 1. Estándar: Especificación que se utiliza como punto

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS

GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS Diciembre 2008 AVISO LEGAL CMMI es una marca registrada en la Oficina de Marcas y Patentes de EEUU por la Universidad Carnegie Mellon Las distintas normas ISO

Más detalles

Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011. Standard Edition One. Express Edition. Standard Edition

Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011. Standard Edition One. Express Edition. Standard Edition Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011 Características Express Standard One Standard Enterprise Procesamiento Máximo 1 CPU 2 Sockets 4 Sockets Sin límite Memoria RAM Máxima

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA Gabinete de Sistema Servicio de Producción Dirección General de Sistemas de Información

Más detalles

Estándares para la seguridad de la información.

Estándares para la seguridad de la información. Estándares para la seguridad de la información. Estructura de contenidos Mapa Conceptual Introducción 1. Marco Teórico 1.1 Historia 1.2 Línea de tiempo 2. Dominios de control de las Normas 2.1 Políticas

Más detalles

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI Seminario de Actualización: Gobernabilidad de Tecnología de Información Organismos relacionados con TI Catedra Sistemas de Información para la Gestión Docentes: - Martha Medina de Gillieri Jorge López

Más detalles

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Base de Datos ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Una base de datos es un conjunto de elementos de datos que se describe a sí mismo, con relaciones entre esos elementos, que presenta

Más detalles

COSO II ERM y el Papel del Auditor Interno

COSO II ERM y el Papel del Auditor Interno COSO II ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN Introducción a COSO II ERM Enterprise Risk Management Premisas fundamentales Preguntas claves

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Preparado por ORACLE Argentina Autores: Luis Carlos Montoya Fecha: Agosto de 2001 Luis Carlos Montoya Personal Fecha y Lugar de Nacimiento: 26 de Diciembre de 1960. Lomas de

Más detalles

BASES DE DATOS. 1.1 Funciones de un DBMS

BASES DE DATOS. 1.1 Funciones de un DBMS BASES DE DATOS Un DBMS, son programas denominados Sistemas Gestores de Base de Datos, abreviado SGBD, en inglés Data Base Management System (DBMS) que permiten almacenar y posteriormente acceder a los

Más detalles

Documento técnico de Oracle Junio de 2009. Oracle Database 11g: Soluciones rentables para seguridad y cumplimiento normativo

Documento técnico de Oracle Junio de 2009. Oracle Database 11g: Soluciones rentables para seguridad y cumplimiento normativo Documento técnico de Oracle Junio de 2009 Oracle Database 11g: Soluciones rentables para seguridad y cumplimiento normativo Protección de información delicada Todo tipo de información, desde secretos comerciales

Más detalles

Oracle Application Server 10g

Oracle Application Server 10g Oracle Application Server Oracle Application Server 10g La plataforma de aplicaciones más completa e integrada del mercado Puntos a comparar Lo más importante antes de realizar un análisis comparativo

Más detalles

Cómo Asegurar la Calidad de Servicios de TI?

Cómo Asegurar la Calidad de Servicios de TI? Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE

ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE ANEXO 18 GLOSARIO FONDO FINANCIERO DE PROYECTOS DE DESARROLLO FONADE FONDO DE TECNOLOGIAS DE LA INFORMACIÓN Y LAS COMUNICACIONES: PROGRAMA AGENDA DE CONECTIVIDAD ESTRATEGIA DE GOBIERNO EN LÍNEA CONVENIO

Más detalles

Otros Estándares. Contenidos WWW.ISO27000.ES. 1. Normas ISO del SC27 2. ISO/IEC 20000 3. ITIL. 4. NIST Serie 800. 5. CobiT 6.

Otros Estándares. Contenidos WWW.ISO27000.ES. 1. Normas ISO del SC27 2. ISO/IEC 20000 3. ITIL. 4. NIST Serie 800. 5. CobiT 6. Otros Estándares Contenidos 1. Normas ISO del SC27 2. ISO/IEC 20000 3. ITIL 4. NIST Serie 800 5. CobiT 6. UNE 71502:2004 7. BS 7799-3 8. PAS 99 9. BS 25999 10. BS 25777 11. COSO-Enterprise Risk Management

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

enterprise risk assessor

enterprise risk assessor enterprise risk assessor Herramienta de Administración de Riesgos y Auditoría Interna w w w. m e t h o d w a r e. c o m Contenido Por qué es importante una Herramienta de Software para la Administración

Más detalles

Impacto del ENS: Propuesta Oracle

Impacto del ENS: Propuesta Oracle Impacto del ENS: Propuesta Oracle Xavier Martorell Sales Identidad y Seguridad Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de Seguridad es la creación

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

SISTEMAS DE GESTIÓN DE BASE DE DATOS SGBD / DBMS

SISTEMAS DE GESTIÓN DE BASE DE DATOS SGBD / DBMS Universidad de Carabobo Facultad Experimental de Ciencias y Tecnología Departamento de Computación Unidad Académica Base de Datos SISTEMAS DE GESTIÓN DE BASE DE DATOS SGBD / DBMS Integrantes: Fidel Gil

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Mejores Prácticas de Autenticación:

Mejores Prácticas de Autenticación: Mejores Prácticas de Autenticación: Coloque el control donde pertenece WHITEPAPER Los beneficios de un Ambiente de Autenticación Totalmente Confiable: Permite que los clientes generen su propia información

Más detalles

NORMAS BASICAS DE AUDITORIA DE SISTEMAS

NORMAS BASICAS DE AUDITORIA DE SISTEMAS DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS Y SISTEMAS DE INFORMACIÓN DEPARTAMENTO DE SISTEMAS DE INFORMACION NORMAS BASICAS DE AUDITORIA DE SISTEMAS 1 INDICE INTRODUCCIÓN Objetivos Control Interno Normas

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

Componentes de Integración entre Plataformas Información Detallada

Componentes de Integración entre Plataformas Información Detallada Componentes de Integración entre Plataformas Información Detallada Active Directory Integration Integración con el Directorio Activo Active Directory es el servicio de directorio para Windows 2000 Server.

Más detalles

Seguridad Informática.

Seguridad Informática. Seguridad Informática. ISO/IEC 27001:2005 Barcelona, febrero de 2008 Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero. 1 2007 Deloitte Contenido Introducción Motivaciones para certificarse

Más detalles

IBM Maximo Asset Management Essentials

IBM Maximo Asset Management Essentials Funciones de gestión de activos empresariales para pequeñas y medianas empresas IBM Características principales Aprovechamiento de las funciones de gestión de los activos empresariales en un paquete diseñado

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

La Arquitectura de las Máquinas Virtuales.

La Arquitectura de las Máquinas Virtuales. La Arquitectura de las Máquinas Virtuales. La virtualización se ha convertido en una importante herramienta en el diseño de sistemas de computación, las máquinas virtuales (VMs) son usadas en varias subdiciplinas,

Más detalles

Introducción. http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/art143.asp - Gráfica tomada del Artículo de José David Parra

Introducción. http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/art143.asp - Gráfica tomada del Artículo de José David Parra Si en otros tiempos el factor decisivo de la producción era la tierra y luego lo fue el capital... hoy día el factor decisivo es cada vez más el hombre mismo, es decir, su conocimiento... Juan Pablo II

Más detalles

Ley Sarbanes Oxley en Chile y su Impacto en los Gobiernos Corporativos. 28 de octubre de 2003

Ley Sarbanes Oxley en Chile y su Impacto en los Gobiernos Corporativos. 28 de octubre de 2003 Ley Sarbanes Oxley en Chile y su Impacto en los Gobiernos Corporativos 28 de octubre de 2003 Ley Sarbanes Oxley: el nuevo entorno Orlando Jeria G. Socio Principal KPMG en Chile Introducción a la Ley 3

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Ideas generales del Seminario

Ideas generales del Seminario Ideas generales del Seminario IT en la Organización Organizaciones Orientadas a Proyectos Marco de un Proyecto IT Proyectos Metodológicos Profesionales y Perfiles involucrados Caso aplicado: Proyectos

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

PRINCE2 TickIT Compilación Bibliográfica. Pablo Alejandro Molina Regalado. Materia: Auditoría informática

PRINCE2 TickIT Compilación Bibliográfica. Pablo Alejandro Molina Regalado. Materia: Auditoría informática PRINCE2 TickIT Compilación Bibliográfica Pablo Alejandro Molina Regalado Materia: Auditoría informática Universidad de Caldas Ingeniería en sistemas y computación. Manizales 2010 Tabla de contenidos 1

Más detalles

Por Carlos Fernando Rozen

Por Carlos Fernando Rozen SARBANES OXLEY ACT Y EL CONTROL INTERNO SOBRE EL REPORTE FINANCIERO Por Carlos Fernando Rozen Mucho se ha escrito sobre la ley o Acta Sarbanes-Oxley (SOX) durante los últimos 6 años, a partir de su sanción.

Más detalles

Programa de Asignatura

Programa de Asignatura Programa de Asignatura Seguridad Informática 01 Carrera: Licenciatura en Tecnología Informática 02 Asignatura: Seguridad Informática 03 Año lectivo: 2013 04 Año de cursada: 3er año 05 Cuatrimestre: Segundo

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

En qué consiste COBIT 4.0

En qué consiste COBIT 4.0 1 UNIVERSIDAD SURCOLOMBIANA PROGRAMA DE CONTADURIA PUBLICA AUDITORIA DE SISTEMAS 1. Para qué sirve 2. COBIT familia de producto 3. Como se aplica o como se usa 4. Reseña histórica 5. COBIT y otras normas

Más detalles

2.3.5 Capa de sesión. Protocolos

2.3.5 Capa de sesión. Protocolos 2.3.5 Capa de sesión Protocolos RPC El RPC (del inglés Remote Procedure Call, Llamada a Procedimiento Remoto) es un protocolo que permite a un programa de computadora ejecutar código en otra máquina remota

Más detalles

Universidad Autónoma del Estado de Hidalgo Escuela Superior de Ciudad Sahagún

Universidad Autónoma del Estado de Hidalgo Escuela Superior de Ciudad Sahagún Universidad Autónoma del Estado de Hidalgo Escuela Superior de Ciudad Sahagún Asignatura: Sistemas Organizacionales Informáticos Tema: Introducción a las bases de datos y Access Profesores de la Academia

Más detalles

Sistema de Gestión de Arquitectura Empresarial para la Banca

Sistema de Gestión de Arquitectura Empresarial para la Banca 2015 Sistema de Gestión de Arquitectura Empresarial para la Banca El manual refleja las bondades, alcances y funcionalidad del sistema. Se describe su alineación con los principales framework del mercado

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 INDICE Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 Unidad 1 Fundamentos ITIL 1.1 Historia y Concepto ITIL nació en la década de 1980, a través de la Agencia Central

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Estatutos del Comité de Auditoría

Estatutos del Comité de Auditoría Estatutos del Comité de Auditoría El Comité de Auditoría (el "Comité de Auditoría" o el "Comité") del Directorio debe ser nombrado por el Directorio (el "Directorio") de Southern Copper Corporation (la

Más detalles

Infraestructura para la Criptografía de Clave Pública

Infraestructura para la Criptografía de Clave Pública Infraestructura para la Criptografía de Clave Pública Juan Talavera jtalavera@cnc.una.py Criptografía de Clave Simétrica Criptografía de Clave Pública Algunos algoritmos criptográficos Clave simétrica

Más detalles

Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos. Unidad didáctica 1: Fase de análisis de requisitos Modelo E/R

Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos. Unidad didáctica 1: Fase de análisis de requisitos Modelo E/R índice Módulo A Unidad didáctica 1: Introducción a las Bases de Datos Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos 3 19 Módulo B Unidad didáctica 1: Fase de análisis de requisitos Modelo

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

Pontificia Universidad Católica del Ecuador FACULTAD DE INGENIERÍA. CARRERA DE INGENIERÍA DE SISTEMAS

Pontificia Universidad Católica del Ecuador FACULTAD DE INGENIERÍA. CARRERA DE INGENIERÍA DE SISTEMAS 1. DATOS INFORMATIVOS FACULTAD: INGENIERÍA CARRERA: Sistemas Asignatura/Módulo: Evaluación de Sistemas Código: 11869 Plan de estudios: Nivel: Séptimo Prerrequisitos: 10507 Base de Datos II, 15614 Teoría

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Informe breve sobre la solución de RSA

Informe breve sobre la solución de RSA Autenticación de dos factores RSA SecurID Actualmente, vivimos en una era en la que los datos constituyen el elemento vital de una empresa. Los riesgos de seguridad son más urgentes que en el pasado, ya

Más detalles

Aspectos Generales Sobre Seguridad de la Información

Aspectos Generales Sobre Seguridad de la Información Aspectos Generales Sobre Seguridad de la Información Eric Morán Añazco MBA, PMP, Lead Auditor ISO 27001 Consulting Division Manager eric.moran@myt.com.pe M&T Consulting M&T Consulting Calle Las Begonias

Más detalles

Modelo de Negocios para la Seguridad de la Información.

Modelo de Negocios para la Seguridad de la Información. Modelo de Negocios para la Seguridad de la Información. El Modelo de Negocios de Seguridad de la Información (BMIS, Business Model for Information Security) se originó en el Institute for Critical Information

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Introducción. Campos de Aplicación SGBD. Índice. Aplicaciones Representativas. Aplicaciones Representativas

Introducción. Campos de Aplicación SGBD. Índice. Aplicaciones Representativas. Aplicaciones Representativas SGBD Base de Un Sistema Gestor de consiste en: Datos Una colección de datos interrelacionados Un conjunto de programas para acceder a los datos Objetivo Principal de un SGBD: Proporcionar una forma práctica

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

LICITACIÓN ABREVIADA N 2008LA-000090-85002 CONSULTORIA PARA EL DISEÑO DEL MODELO DE INFRAESTRUCTURA TECNOLÓGICA DEL TSE

LICITACIÓN ABREVIADA N 2008LA-000090-85002 CONSULTORIA PARA EL DISEÑO DEL MODELO DE INFRAESTRUCTURA TECNOLÓGICA DEL TSE Página 1 de 10 LICITACIÓN ABREVIADA N 2008LA-000090-85002 CONSULTORIA PARA EL DISEÑO DEL MODELO DE INFRAESTRUCTURA TECNOLÓGICA DEL TSE La Proveeduría del Tribunal Supremo de Elecciones recibirá su oferta

Más detalles

ESET Secure Authentication

ESET Secure Authentication ESET Secure Authentication Segundo factor de autenticación y cumplimiento de normativas Versión del documento 1.2 6 de noviembre de 2013 www.eset-la.com ESET Secure Authentication: segundo factor de autenticación

Más detalles

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C.

Asociación Latinoamericana de Profesionales en Seguridad Informática, A.C. Tendencias en la Implementación de Sistemas de Gestión de Servicios y Seguridad de TI Septiembre, 2008 Maricarmen García CBCP maricarmen.garcia@secureit.com.mx Contenido Introducción a ALAPSI Situación

Más detalles

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios.

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Encarnación Sánchez Vicente 1. INTRODUCCIÓN No cabe ninguna duda que en nuestros días, la información es la clave. Esta

Más detalles

www.microsoft.com/office/sharepointserver www.abd.es Contenido empresarial administrado en una interfaz de usuario basada en Web.

www.microsoft.com/office/sharepointserver www.abd.es Contenido empresarial administrado en una interfaz de usuario basada en Web. Microsoft Office SharePoint Server 2007 es un conjunto integrado de características de servidor que puede contribuir a mejorar la eficacia organizativa al ofrecer completas funciones de administración

Más detalles

CAPITULO 1. Introducción a los Conceptos Generales de Bases de Datos Distribuidas

CAPITULO 1. Introducción a los Conceptos Generales de Bases de Datos Distribuidas CAPITULO 1 Introducción a los Conceptos Generales de 1.1 Preliminares Las empresas necesitan almacenar información. La información puede ser de todo tipo. Cada elemento informativo es lo que se conoce

Más detalles