UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación"

Transcripción

1 UNIVERSIDAD SIMÓN BOLÍVAR Ingeniería de la Computación ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Por Carlos E. Castorani Di Saverio INFORME FINAL DE CURSOS EN COOPERACIÓN Presentado ante la Ilustre Universidad Simón Bolívar como Requisito Parcial para Optar el Título de Ingeniero en Computación Sartenejas, Marzo de 2007

2 UNIVERSIDAD SIMÓN BOLÍVAR DECANATO DE ESTUDIOS PROFESIONALES COORDINACIÓN DE INGENIERÍA EN COMPUTACIÓN ACTA FINAL DE CURSOS EN COOPERACIÓN PASANTÍA EN ORACLE DE VENEZUELA ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Presentado por: Carlos E. Castorani Di Saverio Este trabajo de cursos en cooperación ha sido aprobado por el siguiente jurado examinador: Prof. Ricardo González Jurado Prof. Angela Di Serio Tutor Académico Sartenejas, Marzo de 2007 ii

3 ASISTENCIA DE PRODUCTOS ORACLE EN EL CUMPLIMIENTO DE ESTÁNDARES DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN Por Carlos E. Castorani Di Saverio RESUMEN El proyecto de pasantía presentado en este informe trata sobre cómo los productos de seguridad de Oracle Corporation pueden asistir a las organizaciones a cumplir con los objetivos comúnmente aceptados en gerencia de seguridad de la información. Para el desarrollo del proyecto se utilizó la metodología incremental con cuatro fases. Estas son las fases de análisis, diseño, implementación y validación. En la fase de análisis se estudiaron los estándares, marcos de trabajo y mejores prácticas en gerencia de seguridad de la información más seguidos en la actualidad, así como las herramientas de seguridad de Oracle Corporation. En la fase de diseño se llevaron a cabo tres actividades principales: generar un documento de requerimientos en base al estándar ISO/IEC 17799:2005, crear una hipótesis de cómo estos requerimientos podían ser cubiertos con los productos de seguridad estudiados y diseñar escenarios para probar esta hipótesis. En la fase de implementación se efectuaron y probaron estos escenarios. Finalmente, en la fase de validación, se calcularon varios indicadores porcentuales para ver en qué medida los productos estudiados realmente asistían en el cumplimiento de las cláusulas presentadas en el documento de requerimientos para gerencia de seguridad de la información. Finalmente se pudo concluir que los productos de seguridad de Oracle Corporation contemplados en este proyecto de grado pueden ayudar a las organizaciones a cumplir con los estándares y mejores prácticas en el ámbito de gerencia de seguridad de la información. iii

4 Dedicatoria A mi Familia, por ser la forjadora de tan provechoso pasado, propicio presente y prominente futuro. iv

5 Agradecimientos Quisiera agradecer, a todos los docentes de la Universidad Simón Bolívar, en especial a los del departamento de ingeniería de computación, por ser la real riqueza de este maravilloso país. A mis amigos, sin quienes me hubiese sido realmente imposible llegar a este punto de la carrera. A mi novia, por haber comprendido el tiempo necesario para sacar adelante estos estudios. A todo el equipo de preventas de Oracle de Venezuela, por haber estado siempre allí cuando los necesité y brindarme la oportunidad de seguir a su lado. Gracias, muchísimas gracias! v

6 ÍNDICE GENERAL RESUMEN... iii Dedicatoria... iv Agradecimientos... v ÍNDICE GENERAL... vi ÍNDICE DE TABLAS... x ÍNDICE DE FIGURAS... x LISTA DE SÍMBOLOS Y ABREVIATURAS... xii 1. INTRODUCCIÓN ENTORNO EMPRESARIAL Principios de la Empresa Oracle de Venezuela Estructura Organizacional MARCO TEÓRICO Seguridad de la Información Estándares y Marcos de Trabajo Estándares y Marcos de Trabajo para la Seguridad de la Información Code of Practice for Information Security Management (ISO/IEC 17799:2005) Historia Objetivos, estructura y contenido Aporte para este proyecto Próximas Versiones Control Objectives for Information and Related Technology (COBIT) CobiT y SOX vi

7 CobiT e ISO/IEC 17799: Information Technology Infraestructure Library (ITIL) Arquitectura de Software Componentes de Arquitectura de Software relevantes para este trabajo Sistema Manejador de Base de Datos Servidor de Aplicaciones Servidores de Directorios Componentes de Seguridad de Oracle Corporation Seguridad de Datos Oracle Database Vault Oracle Advanced Security Oracle Label Security Oracle Secure Backup Virtual Private Database Enterprise User Security Fine Grained Auditing Manejo de Identidades Oracle Access Manager Oracle Identity Manager Oracle Virtual Directory Software de Terceros VMWare Workstation Sun Java System Directory Server y Microsoft Active Directory PLANTEAMIENTO DEL PROBLEMA MARCO METODOLÓGICO Fase de Análisis vii

8 5.2. Fase de Diseño Fase de Implementación Fase de Validación FASES DE DESARROLLO DE LA PASANTÍA Fase de Análisis Investigación en gerencia de seguridad de la información Información relevante encontrada en EBSCO Host Research Databases Información relevante encontrada en Forrester Research Inc Entrenamiento de herramientas de seguridad de Oracle Corporation Fase de Diseño e Implementación Generación del documento de requerimientos basado en el estándar ISO/IEC 17799: Correspondencia entre las cláusulas de seguridad pertenecientes al documento de requerimientos con los productos Oracle Diseño e implementación de los escenarios de prueba Escenario Oracle Database Vault Escenario Oracle Label Security Escenario Oracle Access Manager Escenario Oracle Identity Manager Fase de Validación Porcentaje de cumplimiento de los objetivos planteados en los escenarios Porcentaje de la hipótesis original cubierta en los escenarios Porcentaje de cláusulas de requerimientos en seguridad de la información que, según hipótesis, pueden ser asistidas por algún producto Oracle Porcentajes de aporte de cada uno de los productos estudiados sobre la hipótesis viii

9 Porcentaje de cláusulas del estándar ISO/IEC 17799:2005 que son cubiertas en el documento de requerimientos CONCLUSIONES REFERENCIAS BIBLIOGRÁFICAS APENDICE I DOCUMENTO DE REQUERIMIENTOS DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN APENDICE II CORRESPONDENCIA DE LAS CLÁUSULAS DE SEGURIDAD DEL DOCUMENTO DE REQUERIMIENTOS DE GERENCIA DE SEGURIDAD DE LA INFORMACIÓN CON PRODUCTOS ORACLE ix

10 ÍNDICE DE TABLAS Tabla 6.1 Usos del estándar ISO/IEC 17799: Tabla 6.2 Breve comparación de Mejores Prácticas de Seguridad e ISO/IEC Tabla 6.3 Cláusulas de seguridad cubiertas en el Escenario Oracle Database Vault Tabla 6.4 Cláusulas de seguridad cubiertas en el Escenario Oracle Label Security Tabla 6.5 Cláusulas de seguridad cubiertas en el Escenario Oracle Access Manager Tabla 6.6 Cláusulas de seguridad cubiertas en el Escenario Oracle Identity Manager ÍNDICE DE FIGURAS Figura 3.1 Procesos de CobiT cubiertos por ISO Figura 3.2 Componentes de Oracle Fusion Middleware Figura 3.3 Arquitectura de Seguridad de Oracle Corporation Figura 3.4 Funcionalidad de Oracle Database Vault Figura 3.5 Representación gráfica de la funcionalidad de Oracle Label Security Figura 3.6 Ilustración de una funcionalidad de Virtual Private Database Figura 3.7 Arquitectura del Sistema de Acceso de Oracle Access Manager Figura 3.8 Arquitectura del Sistema de Identidad de Oracle Access Manager Figura 3.9 Diagrama de Proceso de Atestiguación Figura 3.10 Funcionalidad de Oracle Virtual Directory Figura 5.1 Fases de la metodología utilizada Figura 6.1 Los 10 dominios de ISO/IEC 17799: Figura 6.2 Arquitectura del Escenario Oracle Database Vault Figura 6.3 Representación gráfica del Escenario Oracle Label Security Figura 6.4 Estructura de servicios de directorio y su interconexión con componentes de Oracle Access Manager x

11 Figura 6.5 Diagrama de Instalaciones Escenario Oracle Access Manager Figura 6.6 Creación de pestañas de búsqueda en Oracle Access Manager Figura 6.7 Pasos de flujo de trabajo en Oracle Access Manager Figura 6.8 Pasos de flujo de trabajo para registro de nuevo usuario Figura 6.9 Pantalla de aprobación para nuevo usuario Figura 6.10 Manejo de políticas en Oracle Access Manager Figura 6.11 Arquitectura del Escenario Oracle Identity Manager Figura 6.12 Reporte Quién tiene Qué Figura 6.13 Resource Access List History del recurso iplanet Figura 6.14 Proceso de atestiguación de Oracle Identity Manager Figura 6.15 Aporte de cada producto estudiado sobre la hipótesis xi

12 LISTA DE SÍMBOLOS Y ABREVIATURAS AES Advanced Encryption Standard (Estándar de Cifrado Avanzado) BSi British Standards Institute (Instituto de Estándares Británico) CCTA Central Computer and Telecommunications Agency (Agencia Central de Computación y Telecomunicaciones) DBA Database Administrator (Administrador de Base de Datos) DBMS Database Management System (Sistema Manejador de Base de Datos) DIT Department of Trade and Industry (Departamento de Industria y Comercio) IEC International Electrotechnical Commission (Comisión Internacional Electrotécnica) IETF Internet Engineering Task Force (Destacamento de ingeniería de Internet) ISACA Information Systems Audit and Control Association (Asociación de Auditoría de Sistemas de Información) ISO International Organization for Standardization (Organización Internacional para la Estandardización) IT Information Technology (Tecnología de la Información) ITGI IT Governance Institute (Instituto de Regimiento de IT) ITIL Information Technology Infraestructure Library (Librería de Infraestructura de Tecnología de la Información) ITU International Telecommunication Union (Unión de Telecomunicaciones Internacional) LDAP Lightweight Directory Access Protocol (Protocolo Ligero de Acceso a Directorio) LDIF LDAP Data Interchange Format (Formato de Intercambio de datos LDAP) OAM Oracle Access Manager OIM Oracle Identity Manager OLS Oracle Label Security OVD Oracle Virtual Directory xii

13 PCAOB Public Company Accounting Oversight Board (Comité de descuidos contables de compañías públicas) PKI Public Key Infraestructure (Infraestructura de Llave Pública) RADIUS Remote Authentication Dial In User Service (Servicio de Autenticación Remota de Usuarios por Marcado) RRHH Recursos Humanos SOX Sarbanes Oxley Act (Acto Sarbanes-Oxley) TDEA Triple Data Encryption Algorithm (Algoritmo de Cifrado Triple de Datos) xiii

14 1. INTRODUCCIÓN La información es un bien vital para el funcionamiento de cualquier organización, y puede existir en muchas formas. Puede estar escrita o impresa en papel, almacenada en forma electrónica, grabada en cintas de audio o video e inclusive hablada en una conversación. Independientemente de la forma en la cual se encuentre la información, esta debe ser protegida. Cada vez se tienen más empresas que confían información vital para su negocio a los sistemas de información, y la información almacenada en estos sistemas se ha vuelto cada vez más difícil de proteger. Originalmente los ataques a estos sistemas de información no poseían mayor grado de complejidad. El escenario actual difiere en gran medida del de hace 10 años. Los ambientes de negocio se encuentran cada vez más interconectados y son cada vez más ubicuos, siendo accesibles desde muchos más lugares y a su vez más vulnerables. Otro problema muy común en las organizaciones es poder controlar el acceso a las aplicaciones. Por lo general cada empleado poseen acceso a varias aplicaciones, y el control de cuentas de usuarios en las distintas aplicaciones no se lleva de forma centralizada con los sistemas de recursos humanos, que son la puerta de entrada y salida de personal a la organización. Esto se traduce en un problema bastante serio para las organizaciones, ya que al momento de retirar un empleado es necesario eliminar su cuenta en cada una de las aplicaciones a las que tenía acceso. Estos procesos son bastante costosos, engorrosos e inseguros. Por lo general estas cuentas no son borradas y los ex empleados siguen teniendo acceso a las aplicaciones meses y hasta años después de haber abandonado la organización. 1

15 Todo esto se ha traducido en la publicación de una serie de estándares, marcos de trabajo y mejores prácticas en gerencia de seguridad de la información, por parte de numerosas organizaciones y organismos internacionales. Además, en años recientes han sido aprobadas una serie de regulaciones que requieren que las empresas públicas (que cotizan en la Bolsa de los Estados Unidos de Norteamérica) aprueben una serie de auditorías, donde se toma muy en serio el tema de seguridad de la información. A consecuencia de todo esto, muchas empresas productoras de software han sacado al mercado productos para tratar el tema de seguridad de la información, y Oracle Corporation no es la excepción. Este trabajo de pasantía inicia con una investigación para conocer cuáles son los estándares y marcos de trabajo con mayor vigencia en el ámbito de gerencia de seguridad de la información. Después se estudian los productos que ofrece Oracle Corporation en el área de seguridad de la información y finalmente se establece y valida una hipótesis sobre cómo estos productos de Oracle pueden asistir con el cumplimiento de las cláusulas presentes en estos estándares. En este informe de pasantía se presenta como primer capítulo el entorno empresarial. En este capítulo se explica brevemente cuál es el negocio de Oracle Corporation, su presencia en Venezuela y cuál es el departamento en el que se desarrolló la pasantía. Posteriormente se tiene un marco teórico. Esto con el fin de poner al lector en contexto de los temas que se van a tratar más adelante. En este marco teórico se habla sobre los estándares y marcos de trabajo en gerencia de seguridad de la información, los componentes de arquitectura de software y el software de Oracle utilizado en la pasantía. A continuación se explica de forma bastante breve cuál es el problema que se quiere resolver con este trabajo de grado. En el capítulo de marco metodológico se explica la metodología utilizada en el proyecto, cuáles son sus etapas y objetivos. 2

16 Finalmente se tiene el capítulo de fases de desarrollo de la pasantía, donde se explican cada una de las actividades realizadas en este trabajo de grado. Este capítulo está estructurado en base a las fases presentada en el marco metodológico. 3

17 2. ENTORNO EMPRESARIAL Oracle Corporation es una de las compañías de software empresarial más grandes del mundo. Entre sus principales productos se tienen manejadores de bases de datos, herramientas para desarrollo de bases de datos, software de capas intermedias (como servidores de aplicaciones, directorios LDAP y herramientas de inteligencia de negocio), software de planificación de recursos empresariales (o Enterprise Resource Planning), software de manejo de relaciones con clientes (o Customer Relationship Management) y software de manejo de cadena de suministros (o Supply Chain Management). Oracle Corporation fue fundada en 1977, tiene oficinas en más de 145 países y para el año 2005 tenía empleada a más de personas a nivel mundial Principios de la Empresa Adherirse a tres principios le ha ahorrado a Oracle, hasta el momento, más de mil millones de dólares en costos operativos [1]. Con estos principios, los cuales están incorporados en el diseño de todo el software que se produce, Oracle ha logrado optimizar sus procesos alrededor del mundo. - Simplificar: Agilizar la entrega de información con sistemas integrados y una misma base de datos. - Estandarizar: Reducir los costos y ciclos de mantenimiento mediante el uso de componentes abiertos y de fácil adquisición. - Automatizar: Mejorar la eficacia operacional con tecnología y mejores prácticas. 4

18 Oracle de Venezuela La presencia de Oracle en Venezuela se dio a partir del año Actualmente tiene empleada a unas 80 personas, y presta servicios en las áreas de ventas, consultoría, soporte y educación. Sus clientes en Venezuela, al igual que en el resto del mundo, provienen de industrias muy diversas, y pueden ser empresas grandes, como PDVSA y CANTV, medianas, como Pastas Sindoni y Sodexho Pass, y pequeñas, las cuáles son generalmente manejadas con aliados de negocios o Partners Estructura Organizacional Oracle de Venezuela está conformada por 12 departamentos. Estos son: Administración, Alianzas, Consultoría, Educación, Facilities, Finanzas, Global IT, Mercadeo, Preventas, Recursos Humanos, Soporte Técnico y Ventas. El equipo de preventas, actualmente conformado por 5 personas, es el encargado de proponer soluciones a los clientes, es decir, mostrar cuáles y de qué manera los productos de Oracle pueden ayudarlos a satisfacer sus necesidades. También son los encargados de entrenar a los aliados de negocio y de dar presentaciones y demostraciones de los productos de Oracle en eventos. Este proyecto de grado se desarrolla precisamente en el departamento de preventas, ya que las actividades que se realizan en este departamento van de la mano con los objetivos planteados para este proyecto.

19 3. MARCO TEÓRICO Este capítulo tiene como objetivo presentar las bases teóricas en las que se fundamentó la realización de este proyecto de pasantía. Aquí se explican los conceptos más relevantes que se manejan a lo largo del informe, de manera tal que el lector pueda tener un mayor entendimiento del contexto que enmarca el desarrollo de este proyecto Seguridad de la Información La información es un bien que requiere ser protegido de manera apropiada. Con cada día que pasa, las organizaciones se vuelven más dependientes de la información que estas manejan. Esta información puede ser pública o privada y, en todo caso, debe ser protegida. En el caso de la información pública, por ejemplo, se debe garantizar que la información transmitida (digamos mediante un comunicado en una página Web) sea exactamente la que la organización quiso transmitir, y no pueda ser modificada por terceros, pudiendo dañar así la imagen de la organización. Con respecto a la información privada el tema puede ser aún más delicado. Se han dado ya varios casos en los que a una empresa, por fraude electrónico o un simple robo de una computadora portátil dejada en un vehículo, le sustraen la información de pagos electrónicos con los nombres de sus clientes y datos de las tarjetas de crédito con las que fueron realizados dichos pagos, derivando esto en la quiebra de estas empresas e inclusive sanciones penales en contra de los responsables de las mismas. La información puede existir en muchas formas. Esta puede ser escrita en papel, impresa, mostrada en video o almacenada de forma electrónica, siendo esta última forma cada vez más usual. 6

20 7 La seguridad de la información es la protección de la información de una gran variedad de amenazas, esto con el fin de garantizar la continuidad del negocio, minimizar los riesgos, maximizar el retorno de inversión y las oportunidades de negocio. Las organizaciones, sus sistemas de información y redes están expuestos a un alto rango de amenazas provenientes de diversas fuentes, entre estas el fraude electrónico, espionaje, sabotaje, vandalismo, e inclusive fuego e inundaciones. Daños causados por código malicioso, hackers y ataques de negación de servicio se han vuelto cada vez más comunes, más ambiciosos y más sofisticados. Es importante destacar que la seguridad que se puede alcanzar por medios técnicos es limitada. Por esta razón esta seguridad debe ser respaldada por procesos gerenciales dentro de la organización. Estos procesos son el corazón de la gerencia de seguridad de la información. La gerencia de seguridad de la información requiere, como mínimo, que todos los empleados de la organización estén comprometidos y participen activamente en esta, cumpliendo y haciendo cumplir las políticas y procedimientos que esta pueda crear. Posiblemente sea necesario que los accionistas, proveedores, terceras personas, clientes y aliados comerciales también participen en la seguridad de la información, e inclusive se podría requerir consultoría de organizaciones especializadas en la materia. En el estándar ISO/IEC 17799:2005 [2] vemos que la seguridad de la información está compuesta por tres conceptos, y estos son: - Confidencialidad, que se define como el hecho de que la información no sea revelada o puesta a disposición de personas o procesos no autorizados. - Disponibilidad, que se define como la propiedad que tienen los datos o información de ser accesibles y utilizables cuando se requieran. - Integridad, que se define como el asegurar que los datos o información no han sido modificados desde su creación hasta su recepción o entrega.

21 8 Es notable que estos conceptos son claros y precisos. Si tenemos una información que es accedida por una persona fuera del conjunto de las personas que la deben acceder, estamos violando el concepto de confidencialidad. Si esta misma información no puede ser accedida por alguien que la debería acceder, bien sea porque el personal de sistemas no le ha dado acceso o porque el sistema está caído, estamos violando el concepto de disponibilidad y, finalmente, si cualquier información es alterada de manera indebida, bien sea voluntaria o involuntariamente, estamos violando el concepto de integridad. Finalmente cabe destacar que la seguridad de la información, además de ser absolutamente necesaria por los puntos expuestos anteriormente, puede conllevar una gran cantidad de beneficios adicionales. Mediante la obtención de certificaciones en estándares de seguridad se pueden obtener ventajas de índole muy diversa, como por ejemplo ayudar a cumplir con regulaciones, aumentar la confianza de los clientes y conseguir descuentos en las primas de seguro para la organización Estándares y Marcos de Trabajo Según el diccionario de la Real Academia Española, un estándar es algo Que sirve como tipo, modelo, norma, patrón o referencia. Otras definiciones encontradas en la Web son Una serie de criterios (algunos de los cuales podrían ser obligatorios), guías voluntarias y mejores prácticas [que permitan cumplir un objetivo] [3], Una mejor práctica que debe ser seguida para tener una mayor probabilidad de éxito [4] y Una serie de reglas para asegurar la calidad [5]. Un Marco de Trabajo (o framework) se define como una Estructura extensible para describir una serie de conceptos, métodos, tecnologías y cambios culturales necesarios para completar un proceso en particular [6], Una serie de reglas, ideas o principios que se usan para planear o decidir algo [7] y Una estructura para dar soporte o englobar algo más, especialmente un soporte o armazón que se usa como base para algo que se está construyendo.

22 9 Con estos conceptos podemos ver que los estándares y marcos de trabajo están estrechamente relacionados, y no son una receta de cocina que debemos seguir al pié de la letra. Por el contrario, son una mejor manera de hacer las cosas, partiendo de una serie de ideas o principios que pueden servir como fuente de inspiración. Uno de los términos que más nos podría llamar la atención en estos conceptos es precisamente el de cambios culturales. Después de haber estudiado varios estándares y marcos de trabajo podemos observar que estos cambios culturales son, en términos generales, prácticas para reforzar lo que los empleados de las organizaciones entienden por seguridad de la información. Con estas prácticas se pretende que todos y cada uno de los empleados estén consientes de que la gerencia de seguridad de la información existe y que de alguna u otra forma todos ellos están involucrados en la misma. Una buena práctica que puede tener un impacto sobre esta cultura es, por ejemplo, el dictar charlas donde se les informe a los empleados que no deben, bajo ninguna circunstancia, revelar o anotar en papel sus claves de acceso a los sistemas. A nivel mundial, existen numerosos organismos encargados de desarrollar, promulgar, coordinar, revisar y reeditar o de alguna forma mantener estándares que traten temas que son de interés para una gran cantidad de personas ajenas a estos organismos. Estos organismos, en su gran mayoría, se clasifican según el grado de su influencia en el ámbito geográfico, es decir, pueden ser cuerpos de estándares internacionales, nacionales o regionales. Entre estos organismos, los más reconocidos a nivel internacional son la Organización Internacional para la Estandarización (o ISO, por sus siglas en inglés), la Comisión Internacional Electrotécnica (o IEC) y la Unión Internacional de Telecomunicaciones (o ITU). Por otro lado, los marcos de trabajo son generalmente diseñados por compañías, asociaciones o institutos y, en el campo de la computación, los marcos de trabajo tienen como objetivo definir estructuras de soporte para organizar y desarrollar proyectos de software. Un ejemplo de estos institutos es el IT Governance Institute, quien desarrolló el marco de trabajo CobIT.

23 Estándares y Marcos de Trabajo para la Seguridad de la Información El mundo en el que vivimos es cada vez más dependiente de los sistemas de información, y al tener cada vez más y más información almacenada en estos, la necesidad de protegerlos crece de forma natural. Es por ello que numerosos organismos y organizaciones reconocidas mundialmente se han dado la tarea de publicar estándares y marcos de trabajo relacionados con la seguridad de la información. Entre los estándares y marcos de trabajo más relevantes tenemos los mencionados a continuación Code of Practice for Information Security Management (ISO/IEC 17799:2005) Utilice ISO para seguridad, nos dice Craig Symons en el artículo titulado COBIT Versus Otros Marcos de Trabajo: Un Camino Hacia La Gobernabilidad de IT Comprensiva ( COBIT Versus Other Frameworks: A Road Map To Comprehensive IT Governance ) [8]. Este estándar es, sin duda alguna, uno de los más seguidos mundialmente. Es por ello que el trabajo realizado en esta pasantía se basa en las cláusulas del mismo Historia En mayo de 1987, en el Reino Unido, el Departamento de Industria y Comercio (o DIT por sus siglas en inglés) creó el Commercial Computer Security Centre con dos fines. El primero de ellos era ayudar a los vendedores de productos de seguridad en IT, mediante el establecimiento de criterios internacionales de evaluación y un esquema de certificación para la gerencia de seguridad de la información. El segundo, era crear un código de buenas prácticas de seguridad que ayudara a los usuarios en este ámbito. De ello, nació el Users Code of Practice, publicado

24 11 en 1989 y reeditado en 1992 con el título A code of practice for information security management. En 1995 el BSi (British Standards Institute) publicó el estándar BS7799:1995 A code of practice for information security management. En febrero de 1998 se le añadió una segunda parte, BS7799-2:1998, y después de una extensa revisión a la primera parte ésta fue publicada con el código BS7799-1:1999. Se crearon esquemas de certificación que dieron mucha fuerza a este estándar, y mediante un mecanismo denominado Fast Track se propuso como un estándar ISO, publicado con cambios menores en el año 2000 como ISO/IEC 17799:2000. Después de una extensa revisión, este estándar es publicado en junio del año 2005 como el ISO/IEC 17799:2005, reemplazando al anterior. Como podemos ver, este estándar posee una trayectoria de más de 15 años, durante los cuales ha sido revisado y validado por numerosos organismos reconocidos a nivel mundial Objetivos, estructura y contenido En la cláusula de alcance encontramos que Este estándar internacional establece guías y principios generales para iniciar, implementar, mantener y mejorar la gerencia de seguridad de la información dentro de una organización. Los objetivos propuestos en este estándar internacional pretenden servir como guía en las metas comúnmente aceptadas en el ámbito de la gerencia de seguridad de la información [2]. Este estándar está conformado por 11 cláusulas de control de seguridad, que entre todas suman un total de 39 categorías principales de seguridad, además de poseer un capítulo introductorio sobre gravamen y gerencia de riesgo. Las 11 cláusulas de control de seguridad son: 1. Política de Seguridad 2. Organización de la Seguridad de la Información 3. Gerencia de Bienes

25 12 4. Seguridad de Recursos Humanos 5. Seguridad Física y Ambiental 6. Gerencia de Comunicaciones y Operaciones 7. Control de Acceso 8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información 9. Gerencia de Incidentes en Seguridad de la Información 10. Gerencia de Continuidad de Negocio 11. Cumplimiento de Regulaciones Aporte para este proyecto Como ya se ha comentado, este estándar ha sido la base para generar el documento de requerimientos que son cubiertos por los productos pertenecientes a Oracle Corporation, incluido en el Apéndice I de este libro. Sin embargo, varios de los objetivos definidos en este estándar no se encuentran dentro del alcance de este proyecto. Uno de ellos es, por ejemplo, el capítulo sobre seguridad física y ambiental, que posee cláusulas de seguridad que no pueden ser cubiertas por productos de Software Próximas Versiones Debido al auge y la importancia que ha tenido este tema de gerencia de la seguridad de la información, las organizaciones ISO e IEC han creado la Familia de Estándares Internacionales de Gerencia de Sistemas de Seguridad de la Información. El mismo estándar nos dice que La familia incluye estándares internacionales referentes a requerimientos, gravamen de riesgos, métricas y medidas y guías de implementación para gerencia de seguridad de la información [2]. Esta familia utilizará el esquema de numeración utilizando la serie de números en adelante.

Mestrado em Tecnologia da Informação. Segurança da Informação

Mestrado em Tecnologia da Informação. Segurança da Informação Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,

Más detalles

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa

Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Preparándose para una Auditoría Integrada Auditoría de TI dentro de una Auditoría Financiera Externa Ing. José Luis Mauro Vera, CISA Manager Advisory CIGR A S Página 2 de 41 Expectativas de la presentación

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799

Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Auditoría de Seguridad de Organizaciones, fortalezas y debilidades de la Norma ISO 17799 Lic. Javier F. Diaz [jdiaz@info.unlp.edu.ar] CC. Viviana Harari [vharari@info.unlp.edu.ar] Lic. Paula Venosa [pvenosa@info.unlp.edu.ar]

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

NORMA ISO/IEC 27001:2005

NORMA ISO/IEC 27001:2005 NORMA ISO/IEC 27001:2005 Modelo Para Establecer, Implementar Operar, Monitorear, Revisar, Mantener y Mejorar un ISMS (Information Security Management System) Ing. Jorge Ceballos (jceballos@iram.org.ar)

Más detalles

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.

DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu. DE ISO 20000 e ISO 27001 LA EVOLUCIÓN HACIA UN MODELO DE GOBERNANZA EMPRESARIAL DE TI? Diana Rocio Plata Arango Diana.plata@uptc.edu.co AGENDA INTRODUCCION CARACTERISTICAS DE UPTC CONCEPTOS GOBERNANZA

Más detalles

GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS

GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS GUÍA PRÁCTICA DE GESTIÓN DE SERVICIOS LNCS Diciembre 2008 AVISO LEGAL CMMI es una marca registrada en la Oficina de Marcas y Patentes de EEUU por la Universidad Carnegie Mellon Las distintas normas ISO

Más detalles

SEGURIDAD DE LA INFORMACIÓN

SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Preparado por ORACLE Argentina Autores: Luis Carlos Montoya Fecha: Agosto de 2001 Luis Carlos Montoya Personal Fecha y Lugar de Nacimiento: 26 de Diciembre de 1960. Lomas de

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Por qué MobilityGuard OneGate?

Por qué MobilityGuard OneGate? Para Acceso de Cualquier Escenario Solo Una Solución Por qué MobilityGuard OneGate? Escenarios 1 Acceda desde cualquier lugar 2 Identifique sólidamente los usuarios 3 No más notas de recordatorio con ingreso

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar?

Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar? Cumplimiento Regulatorio: Como la tecnología Oracle nos puede ayudar? Miguel Palacios (miguel.palacios@gbsperu.net) Dominio A11 Sistema de Control de Accesos A 11.2.2 Gestión de privilegios

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011. Standard Edition One. Express Edition. Standard Edition

Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011. Standard Edition One. Express Edition. Standard Edition Diferenciadores entre ediciones de Bases de Datos Oracle Octubre de 2011 Características Express Standard One Standard Enterprise Procesamiento Máximo 1 CPU 2 Sockets 4 Sockets Sin límite Memoria RAM Máxima

Más detalles

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS

ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Base de Datos ELEMENTO I INTRODUCCION A LOS SISTEMAS DE BASES DE DATOS Una base de datos es un conjunto de elementos de datos que se describe a sí mismo, con relaciones entre esos elementos, que presenta

Más detalles

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI

TITULO. Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Temas TITULO Integrando ITIL, COBIT e ISO 27002 como parte de un marco de Gobierno y Control de TI Roberto C. Arbeláez, M.Sc, CISSP, CISA Roberto.Arbelaez@microsoft.com La gobernabilidad de TI: Una responsabilidad

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

#233 Seguridad desde el punto de vista SOX y Gobernalidad

#233 Seguridad desde el punto de vista SOX y Gobernalidad Conferencia Latin America CACS 2006 #233 Seguridad desde el punto de vista SOX y Gobernalidad Preparada por José Ángel Peña a Ibarra CCISA-Alintec Alintec México Agenda 1. Sarbanes Oxley 2. Gobierno Corporativo

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

COSO II ERM y el Papel del Auditor Interno

COSO II ERM y el Papel del Auditor Interno COSO II ERM y el Papel del Auditor Interno Rafael Ruano Diez Socio - PricewaterhouseCoopers TEMARIO DE LA SESIÓN Introducción a COSO II ERM Enterprise Risk Management Premisas fundamentales Preguntas claves

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Componentes de Integración entre Plataformas Información Detallada

Componentes de Integración entre Plataformas Información Detallada Componentes de Integración entre Plataformas Información Detallada Active Directory Integration Integración con el Directorio Activo Active Directory es el servicio de directorio para Windows 2000 Server.

Más detalles

Seguridad de la Información. Juan Heguiabehere

Seguridad de la Información. Juan Heguiabehere Seguridad de la Información Juan Heguiabehere Temario Qué es seguridad de la información? Atributos esenciales de la información Arquitectura de seguridad de la información Procesos Herramientas Regulaciones

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad.

TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Tema 38 Conceptos de seguridad TEMA 38: Conceptos en seguridad de los sistemas de información: Confidencialidad, integridad, disponibilidad y trazabilidad. Índice 1 INTRODUCCIÓN 1 2 CONCEPTOS GENERALES

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Cómo Asegurar la Calidad de Servicios de TI?

Cómo Asegurar la Calidad de Servicios de TI? Cómo Asegurar la Calidad de Servicios de TI? Martín Ugarteche Crosby Southern Peru Copper Corporation Cuales son los pasos para construir un Sistema de Gestión de Servicios de TI? 1. Voluntad de querer

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Oracle Application Server 10g

Oracle Application Server 10g Oracle Application Server Oracle Application Server 10g La plataforma de aplicaciones más completa e integrada del mercado Puntos a comparar Lo más importante antes de realizar un análisis comparativo

Más detalles

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI

Seminario de Actualización: Gobernabilidad de Tecnología de Información. Organismos relacionados con TI Seminario de Actualización: Gobernabilidad de Tecnología de Información Organismos relacionados con TI Catedra Sistemas de Información para la Gestión Docentes: - Martha Medina de Gillieri Jorge López

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información Guía de Cifrado Preguntas y respuestas sobre el cifrado de la información personal La guía para aprender a cifrar tu información 2 Qué es lo que estamos cuidando? A través del cifrado cuidamos de fotos,

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá

Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá Estudio sobre el estado de la Seguridad de Información y Privacidad de Datos en Panamá 1ª. edición Junio 2010 2009-2010 RISCCO Contenido Introducción 3 Participantes del estudio 4 Resumen ejecutivo 6 Riesgos

Más detalles

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation

9243059 Edición 1 ES. Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation 9243059 Edición 1 ES Nokia y Nokia Connecting People son marcas comerciales registradas de Nokia Corporation Cliente de VPN Guía de usuario 9243059 Edición 1 Copyright 2005 Nokia. Reservados todos los

Más detalles

enterprise risk assessor

enterprise risk assessor enterprise risk assessor Herramienta de Administración de Riesgos y Auditoría Interna w w w. m e t h o d w a r e. c o m Contenido Por qué es importante una Herramienta de Software para la Administración

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3

Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 INDICE Unidad 1 Fundamentos ITIL... 1 1.1 Historia y Concepto... 1 1.2 La Librería ITIL... 3 Unidad 1 Fundamentos ITIL 1.1 Historia y Concepto ITIL nació en la década de 1980, a través de la Agencia Central

Más detalles

1.1.- Objetivos de los sistemas de bases de datos 1.2.- Administración de los datos y administración de bases de datos 1.3.- Niveles de Arquitectura

1.1.- Objetivos de los sistemas de bases de datos 1.2.- Administración de los datos y administración de bases de datos 1.3.- Niveles de Arquitectura 1. Conceptos Generales 2. Modelo Entidad / Relación 3. Modelo Relacional 4. Integridad de datos relacional 5. Diseño de bases de datos relacionales 6. Lenguaje de consulta estructurado (SQL) 1.1.- Objetivos

Más detalles

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008

Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management Informe Ejecutivo de Oracle Junio de 2008 Introducción a Oracle Identity Management INTRODUCCIÓN Oracle Identity Management, la mejor suite de soluciones para

Más detalles

GESTIÓN DE SOFTWARE INFORME SOBRE. Evaluación de Productos UNIVERSIDAD DE LA REPUBLICA - FACULTAD DE INGENIERÍA. Grupo 2

GESTIÓN DE SOFTWARE INFORME SOBRE. Evaluación de Productos UNIVERSIDAD DE LA REPUBLICA - FACULTAD DE INGENIERÍA. Grupo 2 UNIVERSIDAD DE LA REPUBLICA - FACULTAD DE INGENIERÍA GESTIÓN DE SOFTWARE INFORME SOBRE Evaluación de Productos Grupo 2 Marcelo Caponi 3.825.139-0 Daniel De Vera 4.120.602-3 José Luis Ibarra 4.347.596-3

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

5 Sistema de Administración Empresarial

5 Sistema de Administración Empresarial 5 Sistema de Administración Empresarial Los sistemas de planeamiento de la empresa, mejor conocido como ERP por sus siglas en inglés, (Enterprise Resource Planning) es un sistema estructurado que busca

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008

BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION. Junio de 2008 BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION Junio de 2008 Falta de Seguridad de la Información Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

Impacto del ENS: Propuesta Oracle

Impacto del ENS: Propuesta Oracle Impacto del ENS: Propuesta Oracle Xavier Martorell Sales Identidad y Seguridad Objetivo del Esquema Nacional de Seguridad La finalidad del Esquema Nacional de Seguridad es la creación

Más detalles

PRINCE2 TickIT Compilación Bibliográfica. Pablo Alejandro Molina Regalado. Materia: Auditoría informática

PRINCE2 TickIT Compilación Bibliográfica. Pablo Alejandro Molina Regalado. Materia: Auditoría informática PRINCE2 TickIT Compilación Bibliográfica Pablo Alejandro Molina Regalado Materia: Auditoría informática Universidad de Caldas Ingeniería en sistemas y computación. Manizales 2010 Tabla de contenidos 1

Más detalles

SARBANES-OXLEY SOX. Agenda

SARBANES-OXLEY SOX. Agenda SARBANES-OXLEY SOX Agenda Introducción sobre Sarbanes - Oxley A quienes se aplica? Qué regula? Títulos de la SOX Ventajas de SOX SOX Como afecta a una empresa privada Conclusiones. Introducción La Ley

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Securing Movile Devices: using Cobit 5 on BYOD Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com Agenda No olvidar Casos de la vida real.. Definiciones Qué es ISACA y cómo apoya

Más detalles

Introducción. http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/art143.asp - Gráfica tomada del Artículo de José David Parra

Introducción. http://www.microsoft.com/spanish/msdn/comunidad/mtj.net/voices/art143.asp - Gráfica tomada del Artículo de José David Parra Si en otros tiempos el factor decisivo de la producción era la tierra y luego lo fue el capital... hoy día el factor decisivo es cada vez más el hombre mismo, es decir, su conocimiento... Juan Pablo II

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

Modelos y Normas Disponibles de Implementar

Modelos y Normas Disponibles de Implementar Modelos y Normas Disponibles de Implementar AmericaVeintiuno tiene capacidad para asesorar a una organización en base a diferentes modelos o normativas enfocadas al mercado informático. A partir de determinar

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

ASIR. Virtual Private Network

ASIR. Virtual Private Network ASIR Virtual Private Network Introducción: Descripción del problema La red de ASIR se trata de una red local que ofrece unos servicios determinados a los distintos usuarios, alumnos y profesores. Al tratarse

Más detalles

República Bolivariana de Venezuela Ministerio Popular de Educación y Deportes UNEFA Cátedra: Base de Datos Unidad I. Introducción

República Bolivariana de Venezuela Ministerio Popular de Educación y Deportes UNEFA Cátedra: Base de Datos Unidad I. Introducción República Bolivariana de Venezuela Ministerio Popular de Educación y Deportes UNEFA Cátedra: Base de Datos Unidad I. Introducción Dato: Hecho o valor a partir del cual se puede inferir una conclusión.

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005

Análisis del Riesgo y el Sistema de Gestión de Seguridad de Información: El Enfoque ISO 27001:2005 Librería Interamericana.com S.A.C. Av. La Encalada # 1587, Tienda A-215, C. C. El Polo Santiago de Surco, Lima, Perú Tlf. (511) 250 0773 Fax (511) 436 6144 www.libreriainteramericana.com Análisis del Riesgo

Más detalles

Ideas generales del Seminario

Ideas generales del Seminario Ideas generales del Seminario IT en la Organización Organizaciones Orientadas a Proyectos Marco de un Proyecto IT Proyectos Metodológicos Profesionales y Perfiles involucrados Caso aplicado: Proyectos

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

BASES DE DATOS. 1.1 Funciones de un DBMS

BASES DE DATOS. 1.1 Funciones de un DBMS BASES DE DATOS Un DBMS, son programas denominados Sistemas Gestores de Base de Datos, abreviado SGBD, en inglés Data Base Management System (DBMS) que permiten almacenar y posteriormente acceder a los

Más detalles

TCP/IP. IRI 2 do cuatrimestre 2015

TCP/IP. IRI 2 do cuatrimestre 2015 TCP/IP IRI 2 do cuatrimestre 2015 Redes y Protocolos Una red es un conjunto de computadoras o dispositivos que pueden comunicarse a través de un medio de transmisión en una red. Los pedidos y datos de

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo

Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo Soluciones para Seguridad Riesgo y Cumplimiento (GRC) Portafolio Oracle para optimizar el cumplimiento de normas y la eliminación del Riesgo MSc. Lina Forero Gerente de Consultoría Junio 2010 La Seguridad

Más detalles

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL

ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS EMPRESARIALES Y DE GESTIÓN DE RELACIONES CON CLIENTES CUALIFICACIÓN PROFESIONAL Página 1 de 23 CUALIFICACIÓN PROFESIONAL Familia Profesional Nivel 3 Código IFC363_3 Versión 5 Situación RD 1701/2007 Actualización ADMINISTRACIÓN Y PROGRAMACIÓN EN SISTEMAS DE PLANIFICACIÓN DE RECURSOS

Más detalles

CAPITULO 1. Introducción a los Conceptos Generales de Bases de Datos Distribuidas

CAPITULO 1. Introducción a los Conceptos Generales de Bases de Datos Distribuidas CAPITULO 1 Introducción a los Conceptos Generales de 1.1 Preliminares Las empresas necesitan almacenar información. La información puede ser de todo tipo. Cada elemento informativo es lo que se conoce

Más detalles

El valor de una infraestructura optimizada

El valor de una infraestructura optimizada El valor de una infraestructura optimizada El Estudio del Estado del CIO 2006 (CIO Research, 2006) muestra que los CIO están buscando, cada vez más, introducir, de forma proactiva, soluciones de tecnología

Más detalles

Almacenamiento en la Nube: Seguridad

Almacenamiento en la Nube: Seguridad white paper Almacenamiento en la Nube: Seguridad Cómo proteger los datos almacenados en cloud computing Almacenamiento en la nube: Seguridad 1 Cloud computing es una alternativa real, flexible y escalable

Más detalles

Normas de Auditoría de Tecnologías de la Información y la Comunicación

Normas de Auditoría de Tecnologías de la Información y la Comunicación Normas de Auditoría de Tecnologías de la Información y la Comunicación Resolución CGE/094/2012 27 de agosto de 2012 NE/CE-017 N O R M A D E C O N T R O L E X T E R N O NORMAS DE AUDITORÍA DE TECNOLOGÍAS

Más detalles

Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos. Unidad didáctica 1: Fase de análisis de requisitos Modelo E/R

Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos. Unidad didáctica 1: Fase de análisis de requisitos Modelo E/R índice Módulo A Unidad didáctica 1: Introducción a las Bases de Datos Unidad didáctica 2: Metodologías de desarrollo de Bases de Datos 3 19 Módulo B Unidad didáctica 1: Fase de análisis de requisitos Modelo

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Apoyo Microsoft a los Dominios PMG SSI. Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012

Apoyo Microsoft a los Dominios PMG SSI. Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012 Apoyo Microsoft a los Dominios PMG SSI Rodrigo Gómez, Engagement Manager Área de Servicios Microsoft Chile Julio 2012 Agenda Dominios PMG SSI El área de Servicios de Microsoft La visión de Microsoft sobre

Más detalles

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS

AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS AUDITORIA ESPECIFICA SEGURIDAD LOGICA Y FISICA SISTEMAS ORIENTADOS A OBJETOS Presentado por: ANDRÉS RINCÓN MORENO 1700412318 JORGE ARMANDO MEDINA MORALES 1700321660 Profesor: Carlos Hernán Gómez. Asignatura:

Más detalles

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos

Biblioteca de Infraestructura de Tecnologías de Información. Estándar mundial de factor en la Gestión de Servicios Informáticos BIBLIOTECA DE INFRASTRUCTURA DE TECNOLOGÍAS DE INFORMACIÓN Cervantes López Delia Rivera Trujillo Lidia Rubí Vallecillo Gómez José Luis Qué es ITIL? Biblioteca de Infraestructura de Tecnologías de Información

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos

Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Construyendo la seguridad de la información: Principios, Políticas y Procedimientos Patricia Prandini Posgrado en Seguridad Informática Universidad de Buenos Aires Agenda I. Porqué necesitamos un marco

Más detalles

Bienvenidos a la presentación: Introducción a conceptos básicos de programación.

Bienvenidos a la presentación: Introducción a conceptos básicos de programación. Bienvenidos a la presentación: Introducción a conceptos básicos de programación. 1 Los programas de computadora son una serie de instrucciones que le dicen a una computadora qué hacer exactamente. Los

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

BrightStor SAN Manager r11.5

BrightStor SAN Manager r11.5 BrightStor SAN Manager r11.5 BrightStor SAN Manager es una solución para la administración de la SAN centrada en el negocio, que simplifica el monitoreo y la administración de recursos de almacenamiento

Más detalles

DESARROLLO DE METRICAS DE SEGURIDAD SOX. Juan Rodrigo Anabalón Riquelme ISSA Chile

DESARROLLO DE METRICAS DE SEGURIDAD SOX. Juan Rodrigo Anabalón Riquelme ISSA Chile DESARROLLO DE METRICAS DE SEGURIDAD SOX Juan Rodrigo Anabalón Riquelme ISSA Chile 09 de abril de 2008 Ley Sarbanes Oxley Creada en el año 2002 luego de escándalos financieros en EE.UU. Impulso una nueva

Más detalles

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.

En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. CAPITULO I: TEMA 1.1. Título del Tema Sistema para Análisis y Gestión de Riesgos 1.2. Planteamiento del Problema 1.2.1. Antecedentes Desde 1901, y como primera entidad de normalización a nivel mundial,

Más detalles

TEMA XIV. Concepto de seguridad

TEMA XIV. Concepto de seguridad TEMA XIV Concepto de seguridad Seguridad: Definiciones Sabemos que es hasta que alguien nos pide que lo definamos ( Descartes ) Qué entendemos por seguridad? Real Academia de la Lengua: SEGURIDAD: Cualidad

Más detalles

APPLE: Compañía de informática que creó Macintosh. Fue fundada por Steve Jobs.

APPLE: Compañía de informática que creó Macintosh. Fue fundada por Steve Jobs. Gobierno Electrónico GLOSARIO DE TÉRMINOS 110 A APPLE: Compañía de informática que creó Macintosh. Fue fundada por Steve Jobs. Arquitectura de Sistemas: Es una descripción del diseño y contenido de un

Más detalles

Documento técnico de Oracle Junio de 2009. Oracle Database 11g: Soluciones rentables para seguridad y cumplimiento normativo

Documento técnico de Oracle Junio de 2009. Oracle Database 11g: Soluciones rentables para seguridad y cumplimiento normativo Documento técnico de Oracle Junio de 2009 Oracle Database 11g: Soluciones rentables para seguridad y cumplimiento normativo Protección de información delicada Todo tipo de información, desde secretos comerciales

Más detalles