UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación"

Transcripción

1 UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Por Carlos E. Castorani Di Saverio INFORME FINAL DE CURSOS EN COOPERACIÓN Presentado ante la Ilustre Universidad Simón Bolívar como Requisito Parcial para Optar el Título de Ingeniero en Computación Sartenejas, Marzo de 2007

2 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA EN COMPUTACIÓN ACTA FINAL DE CURSOS EN COOPERACIÓN PASANTÍA EN ORACLE DE VENEZUELA ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Presentado por: Carlos E. Castorani Di Saverio Este trabajo de cursos en cooperación ha sido aprobado por el siguiente jurado examinador: Prof. Ricardo González Jurado Prof. Angela Di Serio Tutor Académico Sartenejas, Marzo de 2007 ii

3 ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Por Carlos E. Castorani Di Saverio RESUMEN El proyecto de pasantía presentado en este informe trata sobre cómo los productos de seguridad de Oracle Corporation pueden asistir a las organizaciones a cumplir con los objetivos comúnmente aceptados en gerencia de seguridad de la información. Para el desarrollo del proyecto se utilizó la metodología incremental con cuatro fases. Estas son las fases de análisis, diseño, implementación y validación. En la fase de análisis se estudiaron los estándares, marcos de trabajo y mejores prácticas en gerencia de seguridad de la información más seguidos en la actualidad, así como las herramientas de seguridad de Oracle Corporation. En la fase de diseño se llevaron a cabo tres actividades principales: generar un documento de requerimientos en base al estándar ISO/IEC 17799:2005, crear una hipótesis de cómo estos requerimientos podían ser cubiertos con los productos de seguridad estudiados y diseñar escenarios para probar esta hipótesis. En la fase de implementación se efectuaron y probaron estos escenarios. Finalmente, en la fase de validación, se calcularon varios indicadores porcentuales para ver en qué medida los productos estudiados realmente asistían en el cumplimiento de las cláusulas presentadas en el documento de requerimientos para gerencia de seguridad de la información. Finalmente se pudo concluir que los productos de seguridad de Oracle Corporation contemplados en este proyecto de grado pueden ayudar a las organizaciones a cumplir con los estándares y mejores prácticas en el ámbito de gerencia de seguridad de la información. iii

4 Dedicatoria A mi Familia, por ser la forjadora de tan provechoso pasado, propicio presente y prominente futuro. iv

5 Agradecimientos Quisiera agradecer, a todos los docentes de la Universidad Simón Bolívar, en especial a los del departamento de ingeniería de computación, por ser la real riqueza de este maravilloso país. A mis amigos, sin quienes me hubiese sido realmente imposible llegar a este punto de la carrera. A mi novia, por haber comprendido el tiempo necesario para sacar adelante estos estudios. A todo el equipo de preventas de Oracle de Venezuela, por haber estado siempre allí cuando los necesité y brindarme la oportunidad de seguir a su lado. Gracias, muchísimas gracias! v

6 ÍNDICE GENERAL RESUMEN... iii Dedicatoria... iv Agradecimientos... v ÍNDICE GENERAL... vi ÍNDICE DE TABLAS... x ÍNDICE DE FIGURAS... x LISTA DE SÍMBOLOS Y ABREVIATURAS... xii 1. INTRODUCCIÓN ENTORNO EMPRESARIAL Principios de la Empresa Oracle de Venezuela Estructura Organizacional MARCO TEÓRICO Seguridad de la Información Estándares y Marcos de Trabajo Estándares y Marcos de Trabajo para la Seguridad de la Información Code of Practice for Information Security Management (ISO/IEC 17799:2005) Historia Objetivos, estructura y contenido Aporte para este proyecto Próximas Versiones Control Objectives for Information and Related Technology (COBIT) CobiT y SOX vi

7 CobiT e ISO/IEC 17799: Information Technology Infraestructure Library (ITIL) Arquitectura de Software Componentes de Arquitectura de Software relevantes para este trabajo Sistema Manejador de Base de Datos Servidor de Aplicaciones Servidores de Directorios Componentes de Seguridad de Oracle Corporation Seguridad de Datos Oracle Database Vault Oracle Advanced Security Oracle Label Security Oracle Secure Backup Virtual Private Database Enterprise User Security Fine Grained Auditing Manejo de Identidades Oracle Access Manager Oracle Identity Manager Oracle Virtual Directory Software de Terceros VMWare Workstation Sun Java System Directory Server y Microsoft Active Directory PLANTEAMIENTO DEL PROBLEMA MARCO METODOLÓGICO Fase de Análisis vii

8 5.2. Fase de Diseño Fase de Implementación Fase de Validación FASES DE DESARROLLO DE LA PASANTÍA Fase de Análisis Investigación en gerencia de seguridad de la información Información relevante encontrada en EBSCO Host Research Databases Información relevante encontrada en Forrester Research Inc Entrenamiento de herramientas de seguridad de Oracle Corporation Fase de Diseño e Implementación Generación del documento de requerimientos basado en el estándar ISO/IEC 17799: Correspondencia entre las cláusulas de seguridad pertenecientes al documento de requerimientos con los productos Oracle Diseño e implementación de los escenarios de prueba Escenario Oracle Database Vault Escenario Oracle Label Security Escenario Oracle Access Manager Escenario Oracle Identity Manager Fase de Validación Porcentaje de cumplimiento de los objetivos planteados en los escenarios Porcentaje de la hipótesis original cubierta en los escenarios Porcentaje de cláusulas de requerimientos en seguridad de la información que, según hipótesis, pueden ser asistidas por algún producto Oracle Porcentajes de aporte de cada uno de los productos estudiados sobre la hipótesis viii

9 Porcentaje de cláusulas del estándar ISO/IEC 17799:2005 que son cubiertas en el documento de requerimientos CONCLUSIONES REFERENCIAS BIBLIOGRÁFICAS APENDICE I DOCUMENTO DE REQUERIMIENTOS DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN APENDICE II CORRESPONDENCIA DE LAS CLÁUSULAS DE SEGURIDAD DEL DOCUMENTO DE REQUERIMIENTOS DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN CON PRODUCTOS ORACLE ix

10 ÍNDICE DE TABLAS Tabla 6.1 Usos del estándar ISO/IEC 17799: Tabla 6.2 Breve comparación de Mejores Prácticas de Seguridad e ISO/IEC Tabla 6.3 Cláusulas de seguridad cubiertas en el Escenario Oracle Database Vault Tabla 6.4 Cláusulas de seguridad cubiertas en el Escenario Oracle Label Security Tabla 6.5 Cláusulas de seguridad cubiertas en el Escenario Oracle Access Manager Tabla 6.6 Cláusulas de seguridad cubiertas en el Escenario Oracle Identity Manager ÍNDICE DE FIGURAS Figura 3.1 Procesos de CobiT cubiertos por ISO Figura 3.2 Componentes de Oracle Fusion Middleware Figura 3.3 Arquitectura de Seguridad de Oracle Corporation Figura 3.4 Funcionalidad de Oracle Database Vault Figura 3.5 Representación gráfica de la funcionalidad de Oracle Label Security Figura 3.6 Ilustración de una funcionalidad de Virtual Private Database Figura 3.7 Arquitectura del Sistema de Acceso de Oracle Access Manager Figura 3.8 Arquitectura del Sistema de Identidad de Oracle Access Manager Figura 3.9 Diagrama de Proceso de Atestiguación Figura 3.10 Funcionalidad de Oracle Virtual Directory Figura 5.1 Fases de la metodología utilizada Figura 6.1 Los 10 dominios de ISO/IEC 17799: Figura 6.2 Arquitectura del Escenario Oracle Database Vault Figura 6.3 Representación gráfica del Escenario Oracle Label Security Figura 6.4 Estructura de servicios de directorio y su interconexión con componentes de Oracle Access Manager x

11 Figura 6.5 Diagrama de Instalaciones Escenario Oracle Access Manager Figura 6.6 Creación de pestañas de búsqueda en Oracle Access Manager Figura 6.7 Pasos de flujo de trabajo en Oracle Access Manager Figura 6.8 Pasos de flujo de trabajo para registro de nuevo usuario Figura 6.9 Pantalla de aprobación para nuevo usuario Figura 6.10 Manejo de políticas en Oracle Access Manager Figura 6.11 Arquitectura del Escenario Oracle Identity Manager Figura 6.12 Reporte Quién tiene Qué Figura 6.13 Resource Access List History del recurso iplanet Figura 6.14 Proceso de atestiguación de Oracle Identity Manager Figura 6.15 Aporte de cada producto estudiado sobre la hipótesis xi

12 LISTA DE SÍMBOLOS Y ABREVIATURAS AES Advanced Encryption Standard (Estándar de Cifrado Avanzado) BSi British Standards Institute (Instituto de Estándares Británico) CCTA Central Computer and Telecommunications Agency (Agencia Central de Computación y Telecomunicaciones) DBA Database Administrator (Administrador de Base de Datos) DBMS Database Management System (Sistema Manejador de Base de Datos) DIT Department of Trade and Industry (Departamento de Industria y Comercio) IEC International Electrotechnical Commission (Comisión Internacional Electrotécnica) IETF Internet Engineering Task Force (Destacamento de ingeniería de Internet) ISACA Information Systems Audit and Control Association (Asociación de Auditoría de Sistemas de Información) ISO International Organization for Standardization (Organización Internacional para la Estandardización) IT Information Technology (Tecnología de la Información) ITGI IT Governance Institute (Instituto de Regimiento de IT) ITIL Information Technology Infraestructure Library (Librería de Infraestructura de Tecnología de la Información) ITU International Telecommunication Union (Unión de Telecomunicaciones Internacional) LDAP Lightweight Directory Access Protocol (Protocolo Ligero de Acceso a Directorio) LDIF LDAP Data Interchange Format (Formato de Intercambio de datos LDAP) OAM Oracle Access Manager OIM Oracle Identity Manager OLS Oracle Label Security OVD Oracle Virtual Directory xii

13 PCAOB Public Company Accounting Oversight Board (Comité de descuidos contables de compañías públicas) PKI Public Key Infraestructure (Infraestructura de Llave Pública) RADIUS Remote Authentication Dial In User Service (Servicio de Autenticación Remota de Usuarios por Marcado) RRHH Recursos Humanos SOX Sarbanes Oxley Act (Acto Sarbanes-Oxley) TDEA Triple Data Encryption Algorithm (Algoritmo de Cifrado Triple de Datos) xiii

14 1. INTRODUCCIÓN La información es un bien vital para el funcionamiento de cualquier organización, y puede existir en muchas formas. Puede estar escrita o impresa en papel, almacenada en forma electrónica, grabada en cintas de audio o video e inclusive hablada en una conversación. Independientemente de la forma en la cual se encuentre la información, esta debe ser protegida. Cada vez se tienen más empresas que confían información vital para su negocio a los sistemas de información, y la información almacenada en estos sistemas se ha vuelto cada vez más difícil de proteger. Originalmente los ataques a estos sistemas de información no poseían mayor grado de complejidad. El escenario actual difiere en gran medida del de hace 10 años. Los ambientes de negocio se encuentran cada vez más interconectados y son cada vez más ubicuos, siendo accesibles desde muchos más lugares y a su vez más vulnerables. Otro problema muy común en las organizaciones es poder controlar el acceso a las aplicaciones. Por lo general cada empleado poseen acceso a varias aplicaciones, y el control de cuentas de usuarios en las distintas aplicaciones no se lleva de forma centralizada con los sistemas de recursos humanos, que son la puerta de entrada y salida de personal a la organización. Esto se traduce en un problema bastante serio para las organizaciones, ya que al momento de retirar un empleado es necesario eliminar su cuenta en cada una de las aplicaciones a las que tenía acceso. Estos procesos son bastante costosos, engorrosos e inseguros. Por lo general estas cuentas no son borradas y los ex empleados siguen teniendo acceso a las aplicaciones meses y hasta años después de haber abandonado la organización. 1

15 Todo esto se ha traducido en la publicación de una serie de estándares, marcos de trabajo y mejores prácticas en gerencia de seguridad de la información, por parte de numerosas organizaciones y organismos internacionales. Además, en años recientes han sido aprobadas una serie de regulaciones que requieren que las empresas públicas (que cotizan en la Bolsa de los Estados Unidos de Norteamérica) aprueben una serie de auditorías, donde se toma muy en serio el tema de seguridad de la información. A consecuencia de todo esto, muchas empresas productoras de software han sacado al mercado productos para tratar el tema de seguridad de la información, y Oracle Corporation no es la excepción. Este trabajo de pasantía inicia con una investigación para conocer cuáles son los estándares y marcos de trabajo con mayor vigencia en el ámbito de gerencia de seguridad de la información. Después se estudian los productos que ofrece Oracle Corporation en el área de seguridad de la información y finalmente se establece y valida una hipótesis sobre cómo estos productos de Oracle pueden asistir con el cumplimiento de las cláusulas presentes en estos estándares. En este informe de pasantía se presenta como primer capítulo el entorno empresarial. En este capítulo se explica brevemente cuál es el negocio de Oracle Corporation, su presencia en Venezuela y cuál es el departamento en el que se desarrolló la pasantía. Posteriormente se tiene un marco teórico. Esto con el fin de poner al lector en contexto de los temas que se van a tratar más adelante. En este marco teórico se habla sobre los estándares y marcos de trabajo en gerencia de seguridad de la información, los componentes de arquitectura de software y el software de Oracle utilizado en la pasantía. A continuación se explica de forma bastante breve cuál es el problema que se quiere resolver con este trabajo de grado. En el capítulo de marco metodológico se explica la metodología utilizada en el proyecto, cuáles son sus etapas y objetivos. 2

16 Finalmente se tiene el capítulo de fases de desarrollo de la pasantía, donde se explican cada una de las actividades realizadas en este trabajo de grado. Este capítulo está estructurado en base a las fases presentada en el marco metodológico. 3

17 2. ENTORNO EMPRESARIAL Oracle Corporation es una de las compañías de software empresarial más grandes del mundo. Entre sus principales productos se tienen manejadores de bases de datos, herramientas para desarrollo de bases de datos, software de capas intermedias (como servidores de aplicaciones, directorios LDAP y herramientas de inteligencia de negocio), software de planificación de recursos empresariales (o Enterprise Resource Planning), software de manejo de relaciones con clientes (o Customer Relationship Management) y software de manejo de cadena de suministros (o Supply Chain Management). Oracle Corporation fue fundada en 1977, tiene oficinas en más de 145 países y para el año 2005 tenía empleada a más de personas a nivel mundial Principios de la Empresa Adherirse a tres principios le ha ahorrado a Oracle, hasta el momento, más de mil millones de dólares en costos operativos [1]. Con estos principios, los cuales están incorporados en el diseño de todo el software que se produce, Oracle ha logrado optimizar sus procesos alrededor del mundo. - Simplificar: Agilizar la entrega de información con sistemas integrados y una misma base de datos. - Estandarizar: Reducir los costos y ciclos de mantenimiento mediante el uso de componentes abiertos y de fácil adquisición. - Automatizar: Mejorar la eficacia operacional con tecnología y mejores prácticas. 4

18 Oracle de Venezuela La presencia de Oracle en Venezuela se dio a partir del año Actualmente tiene empleada a unas 80 personas, y presta servicios en las áreas de ventas, consultoría, soporte y educación. Sus clientes en Venezuela, al igual que en el resto del mundo, provienen de industrias muy diversas, y pueden ser empresas grandes, como PDVSA y CANTV, medianas, como Pastas Sindoni y Sodexho Pass, y pequeñas, las cuáles son generalmente manejadas con aliados de negocios o Partners Estructura Organizacional Oracle de Venezuela está conformada por 12 departamentos. Estos son: Administración, Alianzas, Consultoría, Educación, Facilities, Finanzas, Global IT, Mercadeo, Preventas, Recursos Humanos, Soporte Técnico y Ventas. El equipo de preventas, actualmente conformado por 5 personas, es el encargado de proponer soluciones a los clientes, es decir, mostrar cuáles y de qué manera los productos de Oracle pueden ayudarlos a satisfacer sus necesidades. También son los encargados de entrenar a los aliados de negocio y de dar presentaciones y demostraciones de los productos de Oracle en eventos. Este proyecto de grado se desarrolla precisamente en el departamento de preventas, ya que las actividades que se realizan en este departamento van de la mano con los objetivos planteados para este proyecto.

19 3. MARCO TEÓRICO Este capítulo tiene como objetivo presentar las bases teóricas en las que se fundamentó la realización de este proyecto de pasantía. Aquí se explican los conceptos más relevantes que se manejan a lo largo del informe, de manera tal que el lector pueda tener un mayor entendimiento del contexto que enmarca el desarrollo de este proyecto Seguridad de la Información La información es un bien que requiere ser protegido de manera apropiada. Con cada día que pasa, las organizaciones se vuelven más dependientes de la información que estas manejan. Esta información puede ser pública o privada y, en todo caso, debe ser protegida. En el caso de la información pública, por ejemplo, se debe garantizar que la información transmitida (digamos mediante un comunicado en una página Web) sea exactamente la que la organización quiso transmitir, y no pueda ser modificada por terceros, pudiendo dañar así la imagen de la organización. Con respecto a la información privada el tema puede ser aún más delicado. Se han dado ya varios casos en los que a una empresa, por fraude electrónico o un simple robo de una computadora portátil dejada en un vehículo, le sustraen la información de pagos electrónicos con los nombres de sus clientes y datos de las tarjetas de crédito con las que fueron realizados dichos pagos, derivando esto en la quiebra de estas empresas e inclusive sanciones penales en contra de los responsables de las mismas. La información puede existir en muchas formas. Esta puede ser escrita en papel, impresa, mostrada en video o almacenada de forma electrónica, siendo esta última forma cada vez más usual. 6

20 7 La seguridad de la información es la protección de la información de una gran variedad de amenazas, esto con el fin de garantizar la continuidad del negocio, minimizar los riesgos, maximizar el retorno de inversión y las oportunidades de negocio. Las organizaciones, sus sistemas de información y redes están expuestos a un alto rango de amenazas provenientes de diversas fuentes, entre estas el fraude electrónico, espionaje, sabotaje, vandalismo, e inclusive fuego e inundaciones. Daños causados por código malicioso, hackers y ataques de negación de servicio se han vuelto cada vez más comunes, más ambiciosos y más sofisticados. Es importante destacar que la seguridad que se puede alcanzar por medios técnicos es limitada. Por esta razón esta seguridad debe ser respaldada por procesos gerenciales dentro de la organización. Estos procesos son el corazón de la gerencia de seguridad de la información. La gerencia de seguridad de la información requiere, como mínimo, que todos los empleados de la organización estén comprometidos y participen activamente en esta, cumpliendo y haciendo cumplir las políticas y procedimientos que esta pueda crear. Posiblemente sea necesario que los accionistas, proveedores, terceras personas, clientes y aliados comerciales también participen en la seguridad de la información, e inclusive se podría requerir consultoría de organizaciones especializadas en la materia. En el estándar ISO/IEC 17799:2005 [2] vemos que la seguridad de la información está compuesta por tres conceptos, y estos son: - Confidencialidad, que se define como el hecho de que la información no sea revelada o puesta a disposición de personas o procesos no autorizados. - Disponibilidad, que se define como la propiedad que tienen los datos o información de ser accesibles y utilizables cuando se requieran. - Integridad, que se define como el asegurar que los datos o información no han sido modificados desde su creación hasta su recepción o entrega.

21 8 Es notable que estos conceptos son claros y precisos. Si tenemos una información que es accedida por una persona fuera del conjunto de las personas que la deben acceder, estamos violando el concepto de confidencialidad. Si esta misma información no puede ser accedida por alguien que la debería acceder, bien sea porque el personal de sistemas no le ha dado acceso o porque el sistema está caído, estamos violando el concepto de disponibilidad y, finalmente, si cualquier información es alterada de manera indebida, bien sea voluntaria o involuntariamente, estamos violando el concepto de integridad. Finalmente cabe destacar que la seguridad de la información, además de ser absolutamente necesaria por los puntos expuestos anteriormente, puede conllevar una gran cantidad de beneficios adicionales. Mediante la obtención de certificaciones en estándares de seguridad se pueden obtener ventajas de índole muy diversa, como por ejemplo ayudar a cumplir con regulaciones, aumentar la confianza de los clientes y conseguir descuentos en las primas de seguro para la organización Estándares y Marcos de Trabajo Según el diccionario de la Real Academia Española, un estándar es algo Que sirve como tipo, modelo, norma, patrón o referencia. Otras definiciones encontradas en la Web son Una serie de criterios (algunos de los cuales podrían ser obligatorios), guías voluntarias y mejores prácticas [que permitan cumplir un objetivo] [3], Una mejor práctica que debe ser seguida para tener una mayor probabilidad de éxito [4] y Una serie de reglas para asegurar la calidad [5]. Un Marco de Trabajo (o framework) se define como una Estructura extensible para describir una serie de conceptos, métodos, tecnologías y cambios culturales necesarios para completar un proceso en particular [6], Una serie de reglas, ideas o principios que se usan para planear o decidir algo [7] y Una estructura para dar soporte o englobar algo más, especialmente un soporte o armazón que se usa como base para algo que se está construyendo.

22 9 Con estos conceptos podemos ver que los estándares y marcos de trabajo están estrechamente relacionados, y no son una receta de cocina que debemos seguir al pié de la letra. Por el contrario, son una mejor manera de hacer las cosas, partiendo de una serie de ideas o principios que pueden servir como fuente de inspiración. Uno de los términos que más nos podría llamar la atención en estos conceptos es precisamente el de cambios culturales. Después de haber estudiado varios estándares y marcos de trabajo podemos observar que estos cambios culturales son, en términos generales, prácticas para reforzar lo que los empleados de las organizaciones entienden por seguridad de la información. Con estas prácticas se pretende que todos y cada uno de los empleados estén consientes de que la gerencia de seguridad de la información existe y que de alguna u otra forma todos ellos están involucrados en la misma. Una buena práctica que puede tener un impacto sobre esta cultura es, por ejemplo, el dictar charlas donde se les informe a los empleados que no deben, bajo ninguna circunstancia, revelar o anotar en papel sus claves de acceso a los sistemas. A nivel mundial, existen numerosos organismos encargados de desarrollar, promulgar, coordinar, revisar y reeditar o de alguna forma mantener estándares que traten temas que son de interés para una gran cantidad de personas ajenas a estos organismos. Estos organismos, en su gran mayoría, se clasifican según el grado de su influencia en el ámbito geográfico, es decir, pueden ser cuerpos de estándares internacionales, nacionales o regionales. Entre estos organismos, los más reconocidos a nivel internacional son la Organización Internacional para la Estandarización (o ISO, por sus siglas en inglés), la Comisión Internacional Electrotécnica (o IEC) y la Unión Internacional de Telecomunicaciones (o ITU). Por otro lado, los marcos de trabajo son generalmente diseñados por compañías, asociaciones o institutos y, en el campo de la computación, los marcos de trabajo tienen como objetivo definir estructuras de soporte para organizar y desarrollar proyectos de software. Un ejemplo de estos institutos es el IT Governance Institute, quien desarrolló el marco de trabajo CobIT.

23 Estándares y Marcos de Trabajo para la Seguridad de la Información El mundo en el que vivimos es cada vez más dependiente de los sistemas de información, y al tener cada vez más y más información almacenada en estos, la necesidad de protegerlos crece de forma natural. Es por ello que numerosos organismos y organizaciones reconocidas mundialmente se han dado la tarea de publicar estándares y marcos de trabajo relacionados con la seguridad de la información. Entre los estándares y marcos de trabajo más relevantes tenemos los mencionados a continuación Code of Practice for Information Security Management (ISO/IEC 17799:2005) Utilice ISO para seguridad, nos dice Craig Symons en el artículo titulado COBIT Versus Otros Marcos de Trabajo: Un Camino Hacia La Gobernabilidad de IT Comprensiva ( COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance ) [8]. Este estándar es, sin duda alguna, uno de los más seguidos mundialmente. Es por ello que el trabajo realizado en esta pasantía se basa en las cláusulas del mismo Historia En mayo de 1987, en el Reino Unido, el Departamento de Industria y Comercio (o DIT por sus siglas en inglés) creó el Commercial Computer Security Centre con dos fines. El primero de ellos era ayudar a los vendedores de productos de seguridad en IT, mediante el establecimiento de criterios internacionales de evaluación y un esquema de certificación para la gerencia de seguridad de la información. El segundo, era crear un código de buenas prácticas de seguridad que ayudara a los usuarios en este ámbito. De ello, nació el Users Code of Practice, publicado

24 11 en 1989 y reeditado en 1992 con el título A code of practice for information security management. En 1995 el BSi (British Standards Institute) publicó el estándar BS7799:1995 A code of practice for information security management. En febrero de 1998 se le añadió una segunda parte, BS7799-2:1998, y después de una extensa revisión a la primera parte ésta fue publicada con el código BS7799-1:1999. Se crearon esquemas de certificación que dieron mucha fuerza a este estándar, y mediante un mecanismo denominado Fast Track se propuso como un estándar ISO, publicado con cambios menores en el año 2000 como ISO/IEC 17799:2000. Después de una extensa revisión, este estándar es publicado en junio del año 2005 como el ISO/IEC 17799:2005, reemplazando al anterior. Como podemos ver, este estándar posee una trayectoria de más de 15 años, durante los cuales ha sido revisado y validado por numerosos organismos reconocidos a nivel mundial Objetivos, estructura y contenido En la cláusula de alcance encontramos que Este estándar internacional establece guías y principios generales para iniciar, implementar, mantener y mejorar la gerencia de seguridad de la información dentro de una organización. Los objetivos propuestos en este estándar internacional pretenden servir como guía en las metas comúnmente aceptadas en el ámbito de la gerencia de seguridad de la información [2]. Este estándar está conformado por 11 cláusulas de control de seguridad, que entre todas suman un total de 39 categorías principales de seguridad, además de poseer un capítulo introductorio sobre gravamen y gerencia de riesgo. Las 11 cláusulas de control de seguridad son: 1. Política de Seguridad 2. Organización de la Seguridad de la Información 3. Gerencia de Bienes

25 12 4. Seguridad de Recursos Humanos 5. Seguridad Física y Ambiental 6. Gerencia de Comunicaciones y Operaciones 7. Control de Acceso 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gerencia de Incidentes en Seguridad de la Información 10. Gerencia de Continuidad de Negocio 11. Cumplimiento de Regulaciones Aporte para este proyecto Como ya se ha comentado, este estándar ha sido la base para generar el documento de requerimientos que son cubiertos por los productos pertenecientes a Oracle Corporation, incluido en el Apéndice I de este libro. Sin embargo, varios de los objetivos definidos en este estándar no se encuentran dentro del alcance de este proyecto. Uno de ellos es, por ejemplo, el capítulo sobre seguridad física y ambiental, que posee cláusulas de seguridad que no pueden ser cubiertas por productos de Software Próximas Versiones Debido al auge y la importancia que ha tenido este tema de gerencia de la seguridad de la información, las organizaciones ISO e IEC han creado la Familia de Estándares Internacionales de Gerencia de Sistemas de Seguridad de la Información. El mismo estándar nos dice que La familia incluye estándares internacionales referentes a requerimientos, gravamen de riesgos, métricas y medidas y guías de implementación para gerencia de seguridad de la información [2]. Esta familia utilizará el esquema de numeración utilizando la serie de números en adelante.

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Mestrado em Tecnologia da Informação. Segurança da Informação

Mestrado em Tecnologia da Informação. Segurança da Informação Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,

Más detalles

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager Advisory CIGR A S Página 2 de 41 Expectativas de la presentación

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Preparado por ORACLE Argentina Autores: Luis Carlos Montoya Fecha: Agosto de 2001 Luis Carlos Montoya Personal Fecha y Lugar de Nacimiento: 26 de Diciembre de 1960. Lomas de

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Base de Datos ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Una base de datos es un conjunto de elementos de datos que se describe a sí mismo, con relaciones entre esos elementos, que presenta

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

ISO 9001 Auditing Practices Group Guidance on:

ISO 9001 Auditing Practices Group Guidance on: International Organization for Standardization Forum International Accreditation ISO 9001 Auditing Practices Group Guidance on: Auditando sistemas de gestión en base electrónica (EBMS) 1. Introducción

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

Componentes de Integración entre Plataformas Información Detallada

Componentes de Integración entre Plataformas Información Detallada Componentes de Integración entre Plataformas Información Detallada Active Directory Integration Integración con el Directorio Activo Active Directory es el servicio de directorio para Windows 2000 Server.

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

5 Sistema de Administración Empresarial

5 Sistema de Administración Empresarial 5 Sistema de Administración Empresarial Los sistemas de planeamiento de la empresa, mejor conocido como ERP por sus siglas en inglés, (Enterprise Resource Planning) es un sistema estructurado que busca

Más detalles

1.1.- Objetivos de los sistemas de bases de datos 1.2.- Administración de los datos y administración de bases de datos 1.3.- Niveles de Arquitectura

1.1.- Objetivos de los sistemas de bases de datos 1.2.- Administración de los datos y administración de bases de datos 1.3.- Niveles de Arquitectura 1. Conceptos Generales 2. Modelo Entidad / Relación 3. Modelo Relacional 4. Integridad de datos relacional 5. Diseño de bases de datos relacionales 6. Lenguaje de consulta estructurado (SQL) 1.1.- Objetivos

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

#233 Seguridad desde el punto de vista SOX y Gobernalidad

#233 Seguridad desde el punto de vista SOX y Gobernalidad Conferencia Latin America CACS 2006 #233 Seguridad desde el punto de vista SOX y Gobernalidad Preparada por José Ángel Peña a Ibarra CCISA-Alintec Alintec México Agenda 1. Sarbanes Oxley 2. Gobierno Corporativo

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

PERFILES OCUPACIONALES

PERFILES OCUPACIONALES PERFILES OCUPACIONALES A continuación se presenta la relación de los diferentes cargos que un ingeniero de sistemas de la Universidad de Lima puede desempeñar durante su vida profesional. También se presentan

Más detalles

Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos. Unidad didáctica 1: Fase de análisis de requisitos Modelo E/R

Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos. Unidad didáctica 1: Fase de análisis de requisitos Modelo E/R índice Módulo A Unidad didáctica 1: Introducción a las Bases de Datos Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos 3 19 Módulo B Unidad didáctica 1: Fase de análisis de requisitos Modelo

Más detalles

Planeación del Proyecto de Software:

Planeación del Proyecto de Software: Apéndice A. Cuestionarios del Sistema Evaluador Nivel2. Requerimientos de Administración: Goal 1: Los requerimientos del sistema asociados a software están bien controlados y existe un estándar para los

Más detalles

COSO II ERM y el Papel del Auditor Interno

COSO II ERM y el Papel del Auditor Interno COSO II ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN Introducción a COSO II ERM Enterprise Risk Management Premisas fundamentales Preguntas claves

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

PRINCE2 TickIT Compilación Bibliográfica. Pablo Alejandro Molina Regalado. Materia: Auditoría informática

PRINCE2 TickIT Compilación Bibliográfica. Pablo Alejandro Molina Regalado. Materia: Auditoría informática PRINCE2 TickIT Compilación Bibliográfica Pablo Alejandro Molina Regalado Materia: Auditoría informática Universidad de Caldas Ingeniería en sistemas y computación. Manizales 2010 Tabla de contenidos 1

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 INDICE Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 Unidad 1 Fundamentos ITIL 1.1 Historia y Concepto ITIL nació en la década de 1980, a través de la Agencia Central

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

SARBANES-OXLEY SOX. Agenda

SARBANES-OXLEY SOX. Agenda SARBANES-OXLEY SOX Agenda Introducción sobre Sarbanes - Oxley A quienes se aplica? Qué regula? Títulos de la SOX Ventajas de SOX SOX Como afecta a una empresa privada Conclusiones. Introducción La Ley

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,

Más detalles

CAPÍTULO 4 DETERMINACIÓN DE LA ESTRATEGIA DE SOLUCIÓN

CAPÍTULO 4 DETERMINACIÓN DE LA ESTRATEGIA DE SOLUCIÓN CAPÍTULO 4 DETERMINACIÓN DE LA ESTRATEGIA DE SOLUCIÓN En el capítulo dos de este Estudio de Caso, se presentaron una serie de necesidades de la Coordinación de Cómputo Académico (CCA) del Departamento

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

enterprise risk assessor

enterprise risk assessor enterprise risk assessor Herramienta de Administración de Riesgos y Auditoría Interna w w w. m e t h o d w a r e. c o m Contenido Por qué es importante una Herramienta de Software para la Administración

Más detalles

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI Seminario de Actualización: Gobernabilidad de Tecnología de Información Organismos relacionados con TI Catedra Sistemas de Información para la Gestión Docentes: - Martha Medina de Gillieri Jorge López

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

Definición de PMO Características de una PMO

Definición de PMO Características de una PMO Definición de PMO Existen varios conceptos de una oficina de proyectos (PMO) una de ella la define como una unidad organizacional, física o virtual, especialmente diseñada para dirigir y controlar el desarrollo

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Almacenamiento en la Nube: Seguridad

Almacenamiento en la Nube: Seguridad white paper Almacenamiento en la Nube: Seguridad Cómo proteger los datos almacenados en cloud computing Almacenamiento en la nube: Seguridad 1 Cloud computing es una alternativa real, flexible y escalable

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS

GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS Diciembre 2008 AVISO LEGAL CMMI es una marca registrada en la Oficina de Marcas y Patentes de EEUU por la Universidad Carnegie Mellon Las distintas normas ISO

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

Programa de Capacitación y Certificación.

Programa de Capacitación y Certificación. NIVEL 1.- INFRAESTRUCTURA DE REDES Programa de Capacitación y Certificación. INFORMES@COMPUSUR.COM.MX WWW.COMPUSUR.COM.MX 1 Contenido NIVEL 1. INFRAESTRUCTURA DE REDES... 4 6421 CONFIGURANDO Y RESOLVIENDO

Más detalles

Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar?

Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar? Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar? Miguel Palacios (miguel.palacios@gbsperu.net) Dominio A11 Sistema de Control de Accesos A 11.2.2 Gestión de privilegios

Más detalles

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SOPORTE MANTENIMIENTO ATENCION A USUARIOS CÓDIGO: APO4-P-001 FECHA DE VIGENCIA 25/Nov/2013 1. OBJETIVO Gestionar, brindar soporte y

Más detalles

Soluciones Integrales de Seguridad

Soluciones Integrales de Seguridad R Soluciones Integrales de Seguridad Fundada en el año de 1994, INSYS es una empresa líder en el campo de la seguridad informática. Compañía orgullosamente 100% mexicana, que ha tenido a la tarea trabajar

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Manual Uso de Infraestructura Informática

Manual Uso de Infraestructura Informática Manual Uso de Infraestructura Informática MINISTERIO DEL INTERIOR N01 1 de 10 Introducción Propósito. Constituir un documento de apoyo para los nuevos funcionarios que ingresan al Ministerio del Interior,

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011. Standard Edition One. Express Edition. Standard Edition

Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011. Standard Edition One. Express Edition. Standard Edition Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011 Características Express Standard One Standard Enterprise Procesamiento Máximo 1 CPU 2 Sockets 4 Sockets Sin límite Memoria RAM Máxima

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking

la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking ITIL como apoyo a la Seguridad de la Información Javier Mayorga Javier.mayorga@co.pwc.com *connectedthinking AGENDA 1. Antecedentes 2. Conceptos de ITIL 3. Etapas de ITIL 4. Soporte de ITIL a la seguridad

Más detalles

EMPRESA DE TELECOMUNICACIONES DE BOGOTÁ S A E.S.P. SOLICITUD DE INFORMACIÓN

EMPRESA DE TELECOMUNICACIONES DE BOGOTÁ S A E.S.P. SOLICITUD DE INFORMACIÓN EMPRESA DE TELECOMUNICACIONES DE BOGOTÁ S A E.S.P. SOLICITUD DE INFORMACIÓN SOLUCIONES O SERVICIOS QUE APOYEN EL CIFRADO DE ALMACENAMIENTO INTERNO, EXTERNO Y ARCHIVOS EN ESTACIONES DE TRABAJO, PORTÁTILES

Más detalles

Cómo Asegurar la Calidad de Servicios de TI?

Cómo Asegurar la Calidad de Servicios de TI? Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer

Más detalles

INTERNET - INTRANET - EXTRANET

INTERNET - INTRANET - EXTRANET INTERNET - INTRANET - EXTRANET Definiciones Internet es "una red de computación de alcance mundial constituida a su vez por miles de redes de computación que conectan entre sí millones de computadoras,

Más detalles

TCP/IP. IRI 2 do cuatrimestre 2015

TCP/IP. IRI 2 do cuatrimestre 2015 TCP/IP IRI 2 do cuatrimestre 2015 Redes y Protocolos Una red es un conjunto de computadoras o dispositivos que pueden comunicarse a través de un medio de transmisión en una red. Los pedidos y datos de

Más detalles

Diseño dinámico de arquitecturas de información

Diseño dinámico de arquitecturas de información Diseño dinámico de arquitecturas de información CARACTERISTICAS DEL SISTEMA Las organizaciones modernas basan su operación en la gestión del conocimiento, es decir, en el manejo de información que se presenta

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

ESET Secure Authentication

ESET Secure Authentication ESET Secure Authentication Segundo factor de autenticación y cumplimiento de normativas Versión del documento 1.2 6 de noviembre de 2013 www.eset-la.com ESET Secure Authentication: segundo factor de autenticación

Más detalles

Boletín de Asesoría Gerencial* Gestión de la demanda de Tecnología de Información: Una planificación efectiva a los requerimientos del negocio

Boletín de Asesoría Gerencial* Gestión de la demanda de Tecnología de Información: Una planificación efectiva a los requerimientos del negocio Espiñeira, Sheldon y Asociados * No. 10-2009 *connectedthinking Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección 4Introducción

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

DESARROLLO DE METRICAS DE SEGURIDAD SOX. Juan Rodrigo Anabalón Riquelme ISSA Chile

DESARROLLO DE METRICAS DE SEGURIDAD SOX. Juan Rodrigo Anabalón Riquelme ISSA Chile DESARROLLO DE METRICAS DE SEGURIDAD SOX Juan Rodrigo Anabalón Riquelme ISSA Chile 09 de abril de 2008 Ley Sarbanes Oxley Creada en el año 2002 luego de escándalos financieros en EE.UU. Impulso una nueva

Más detalles

Introducción. http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/art143.asp - Gráfica tomada del Artículo de José David Parra

Introducción. http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/art143.asp - Gráfica tomada del Artículo de José David Parra Si en otros tiempos el factor decisivo de la producción era la tierra y luego lo fue el capital... hoy día el factor decisivo es cada vez más el hombre mismo, es decir, su conocimiento... Juan Pablo II

Más detalles

ITIL. Mejora de la calidad en la gestión de servicios de TI. Gestión Financiera

ITIL. Mejora de la calidad en la gestión de servicios de TI. Gestión Financiera UNIVERSIDAD NACIONAL DE EDUCACIÓN A DISTANCIA ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA INFORMÁTICA Resumen Proyecto de Fin de Carrera de Ingeniero Informático ITIL. Mejora de la calidad en la gestión de

Más detalles

SISTEMA DE GESTIÓN DE BASE DE DATOS (Database Management System (DBMS))

SISTEMA DE GESTIÓN DE BASE DE DATOS (Database Management System (DBMS)) SISTEMA DE GESTIÓN DE BASE DE DATOS (Database Management System (DBMS)) Los sistemas de gestión de bases de datos son un tipo de software muy específico, dedicado a servir de interfaz entre la base de

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013

Nuevo Estándar en Sistemas de Gestión de Seguridad de la Información ISO/IEC 27001:2013 EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.C. Nuevo Estándar en Sistemas de Gestión de Seguridad de la ISO/IEC 27001:2013 Introducción El modelo de Gestión de la Seguridad de, el ISO 27001:2005, que fue

Más detalles

Enterprise Content Management Alineado a la evolución del negocio. Agosto 2013

Enterprise Content Management Alineado a la evolución del negocio. Agosto 2013 Agosto 2013 Enterprise Content Management Alineado a la evolución del negocio Contenido 3 Antecedentes 4 Una explosión de datos estructurados y no estructurados 5 Cómo podemos ayudar a las empresas 5 Beneficios

Más detalles

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios.

Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Cómo afrontar la Seguridad en Redes Abiertas: Consideraciones Técnicas y Escenarios. Encarnación Sánchez Vicente 1. INTRODUCCIÓN No cabe ninguna duda que en nuestros días, la información es la clave. Esta

Más detalles

Evaluación de la Plataforma de Almacenamiento de Información de Múltiples Protocolos Celerra NS20 de EMC

Evaluación de la Plataforma de Almacenamiento de Información de Múltiples Protocolos Celerra NS20 de EMC Evaluación de la Plataforma de Almacenamiento de Información de Múltiples Protocolos Celerra NS20 de EMC Informe elaborado bajo contrato con EMC Corporation Introducción EMC Corporation contrató a Demartek

Más detalles

Core Solutions of Microsoft SharePoint Server 2013 CURSO PRESENCIAL DE 25 HORAS

Core Solutions of Microsoft SharePoint Server 2013 CURSO PRESENCIAL DE 25 HORAS Core Solutions of Microsoft SharePoint Server 2013 CURSO PRESENCIAL DE 25 HORAS CURSO DESCRIPCIÓN DEL CURSO... 2 TEMARIO... 3 Administración de bases de datos Microsoft SQL Server Duración: 25 horas Después

Más detalles