ArCERT. Oficina Nacional de Tecnologías de Información Subsecretaría de la Gestión Pública. Ing. Lorena B. Ferreyro. Río Gallegos - Mayo de 2007
|
|
- José Miguel Villanueva Vázquez
- hace 8 años
- Vistas:
Transcripción
1 rnadas de Seguridad Informática ArCERT Oficina Nacional de Tecnologías de Información Subsecretaría de la Gestión Pública Ing. Lorena B. Ferreyro Río Gallegos - Mayo de 2007
2 Temario ArCERT: trayectoria, actividades, casos resueltos Políticas de Seguridad de la Información: Decisión Administrativa 669/2004 Modelo de Políticas de Seguridad Implementación de la DA en organismos públicos Análisis de riesgos como primera medida para la implementación de la seguridad
3 ArCERT Coordinación de Emergencias en Redes Teleinformáticas de la Administración Pública Argentina Argentina - Computer Emergency Response Team
4 Qué es un CSIRT Un Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) es una entidad de servicios responsable de recibir, revisar y responder a actividades o reportes vinculados a incidentes informáticos. (CERT C/C) CSIRT = CERT = CIRC = IRT = SERT = IRC
5 Qué es un incidente de seguridad informática? Cualquier evento adverso, real o potencial, vinculado a la seguridad de los sistemas informáticos o a las redes de computadoras. El acto de violar una política de seguridad explícita o implícita. o
6 Por qué son necesarios los CERTs Todas las organizaciones sufren incidentes de seguridad La velocidad de la respuesta limita el daño y baja los costos de la recuperación Se necesitan recursos especializados Colaboran con tareas preventivas (alertas) y correctivas (restablecimiento del servicio) Se vinculan con equipos de similar naturaleza
7 Iniciativas Internacionales FIRST APCERT (Lejano Oriente + Oceanía) TF-CSIRT (Europa) OEA CICTE (América)
8 Qué es FIRST FIRST es una red internacional de equipos de respuesta a incidentes, que trata en forma cooperativa incidentes de seguridad informática y promueve programas de prevención. Funciona como un foro de intercambio de información y experiencias y como una red de contactos confiable.
9 39 países 189 Equipos Coordinación con otros CERTs
10 ArCERT - Principales características CREADO Julio de 1999 MARCO LEGAL Resolución N 81/1999 Aprueba creación y establece funciones Disposición N 01/1999 Aprueba Reglamento de Operación Decreto N 1028/2003 Acciones de la ONTI en materia de seguridad informática MEMBRESIA Miembro del FIRST desde abril de 2004 AMBITO Organismos Públicos
11 ArCERT - Principales Objetivos OBJETIVO PRINCIPAL OBJETIVOS ESPECIFICOS Incrementar los niveles de Seguridad Informática del Sector Público Atención de Incidentes de Seguridad Actividades Preventivas Capacitación Difusión de Alertas e Información Productos y Proyectos Políticas de Seguridad de la Información Representación en Foros Internacionales Miembro del FIRST desde abril de 2004 Punto de Contacto para OEA Participación en MERCOSUR
12 Acciones de Cooperación Otros CSIRTs Organizaciones policiales (Law Enforcement) Justicia Entidades de investigación Proveedores de Servicios (ISP, SP) Sectores específicos (Bancos, gobiernos, universidades, proveedores, etc.)
13 Productos y proyectos Firewall (basado en software de libre disp.) SiMoS - Sistema de Monitoreo de Seguridad DNSar Análisis de Servidores y Dominios DNS CAL - Sistema de Sensores (en desarrollo) RAM Recolección y Análisis de Malware (en desarrollo) VIRUS Análisis de virus recibidos Lista de Seguridad Envío de alertas
14 SiMoS QUE ES? OBJETIVO BASADO EN Sistema de monitoreo remoto de seguridad Detectar vulnerabilidades en servidores que brinden servicios en Internet Herramientas de libre disponibilidad Interface Web de usuario Planificador de actividades ACUERDOS Autorización previa por Convenio Compromiso de confidencialidad
15 Interface Web de usuario SiMoS
16 DNSar QUE ES? Sistema de análisis de servidores y dominios DNS OBJETIVO Detectar y alertar sobre falencias en los servidores DNS de los Organismos Mantener una base de datos histórica con dicha información Generar información estadística
17 DNSar
18 DNSar ALGUNOS DATOS 2399 dominios servidores de DNS 36% servidores aceptan consultas recursivas 34% dominios con algún servidor que permite transferencia de zona 48% dominios tienen sólo 1 registro mx 41% dominios tienen, al menos, un NS que no responde 4% dominios con, al menos, un lame delegation 2% dominios utilizan cnames en MX o NS (RFC 2181) 0,6% dominios incluyen direcciones IP privadas (RFC 1918)
19 Reporte de Incidentes Se reciben reportes que: Afecten al Sector Público o Bancario Argentino Estén relacionados con ataques originados desde nuestro país (phishing, alojamiento de malware, etc) No estén vinculados con SPAM Fuentes: Organismos de gobierno Sector bancario ISPs Ciudadanos Equipos de respuesta a incidentes y organizaciones afectadas a nivel mundial. Fuentes de información públicas y privadas Recolección y análisis de malware Herramientas de detección
20 Algunos casos tratados Sustitución de Páginas Web (Defacement) Phishing (engaños) Código malicioso (Virus, gusanos, troyanos, etc) Botnets y Ataques de DDoS Intrusiones de mayor complejidad
21 Defacements de Páginas Web
22 Defacements de Páginas Web
23 Defacements de Páginas Web
24 Ataque DDoS utilizando DNS recursivos Reporte de ataque DDoS contra un ISP de EEUU Utilizaba DNS distribuidos que permitían consultas recursivas En Argentina 2600 servidores estaban afectados 62 entidades involucradas Acciones tomadas: se les notificó el incidente indicando posibles soluciones al problema de configuración Duración aproximada: 5 horas
25 Caso de potencial servidor DNS vulnerable 13/4/07 se hace pública una vulnerabilidad que podria producir DoS contra la interfaz de administración remota del servicio de DNS de MS Windows 2000 y /4/07 se recibe un reporte que informa de potenciales servidores públicos vulnerables. En Argentina 700 servidores potencialmente afectados 32 entidades involucradas Acciones tomadas: se les notificó el potencial impacto indicando posibles soluciones. La actividad se realizó el mismo día de recibido el reporte.
26 09/11/2006 Código malicioso distribuido por
27 03/05/2007 Código malicioso distribuido por
28 Casos de Phishing
29 Casos de Phishing Incremento considerable en los últimos meses Dos casos en Junio de 2006 que afectaban a clientes de Bancos de Argentina Acciones: Se recibieron reportes del incidente. Se contactó a los Bancos afectados. Se informó a los responsables de los proveedores de Internet que hosteaban los sitios con contenido malicioso. Se notificó al CERT Nacional de competencia.
30 x Algunos datos interesantes: Casos de Phishing El sitio malicioso estaba alojado en un servidor que físicamente estaba en un país del sudeste asíatico (GMT+8). La información que los usuarios enviaban era almacenada en otro servidor, que se encontraba en un país de Europa (GMT+2). 15:41 16:32 16:58 22:27 Primer acceso al sitio malicioso desde un IP en Atlanta, USA ArCERT recibe el primer reporte Se contacta al Banco. Se envían pedidos de baja al ISP y al CERT Nacional El sitio es dado de baja
31 x Accesos al sitio malicioso: Tiempo de vida: 6 horas, 46 minutos Más de 1000 IPs distintas Casos de Phishing
32 Problemas de Malware / botnet x Problema detectado La red interna del organismo estaba saturada, Algunos servidores debían ser reiniciados cada 10 min. Acciones Detección de binario malicioso que intentaba atacar a otros equipos y unirse a una botnet Análisis de los efectos del mismo Consejos para mitigar y restaurar los equipos.
33 Algunos datos empíricos Incidentes tratados A la fecha, 50% más que los casos reportados en el mismo período de Phishing 34 casos hosteados en Argentina 3 casos reportados sobre Bcos. argentinos Malware: 533 casos hosteados en Argentina 1 caso que afectaba a Bancos argentinos Problemas de configuración en los DNSs (DNSar) Sobre 1250 servidores 39% (Dic. 2006) 36% (Mar. 2007) aceptaban consultas recursivas
34 Políticas de Seguridad de la Información Decisión Administrativa 669/2004
35 Antecedentes Septiembre 2003 La ONTI convoca a distintos Organismos de la Administración Pública para conocer sus opiniones sobre estrategias de seguridad. Surge la necesidad de que los Organismos cuenten con una Política de Seguridad escrita. Se conforma un grupo de trabajo para la redacción de un Modelo de Política de Seguridad. Se acuerda basarse en la norma ISO/IRAM Se redacta el Modelo y se somete a la consideración de los Organismos Nacionales.
36 Antecedentes Se publica la página de Políticas de ArCERT Diciembre 2004 : se aprueba la DA 669/2004 (JGM) Se comienza la difusión de la norma y el Modelo Agosto Disposición 06/2005 (ONTI) Se aprueba el Modelo de Política de Seguridad de la Información Mayo 2006 se cumplió el plazo establecido Envio de nota a autoridades políticas
37 Decisión Administrativa 669/2004 Contenido Qué? Dictar o adecuar la Política de Seguridad de la Información. Conformar un Comité de Seguridad de la Información. Asignar las responsabilidades en materia de Seguridad de la Información.
38 Decisión Administrativa 669/2004 Contenido Quiénes? Ley Art. 8 - Inc. a) y c) Administración Nacional. La Administración Central. Los Organismos Descentralizados (incluidos los de la Seguridad Social). Entes Públicos excluidos del punto anterior Cualquier Organización estatal no empresarial con autarquía financiera, personería jurídica y patrimonio propio, donde el Estado Nacional tenga el control mayoritario del patrimonio o de la formación de decisiones.
39 Decisión Administrativa 669/2004 Contenido Cuándo? Dentro de los 180 días hábiles de aprobado el Modelo de Política.
40 Decisión Administrativa 669/2004 Contenido Cómo? En base al Modelo de Política de Seguridad a ser aprobada por la Subsecretaría de la Gestión Pública
41 Modelo de Política de Seguridad de la Información
42 Marco normativo en seguridad POLITICA DE DE SEGURIDAD Marco Marco general general que que define define las las pautas pautas que que deben deben cumplirse cumplirse en en materia materia de de seguridad seguridad NORMAS Definiciones Definiciones concretas concretas para para aspectos aspectos contemplados contemplados en en la la Política Política de de Seguridad Seguridad PROCEDIMIENTOS Serie Serie de de pasos pasos detallados detallados que que describen describen cursos cursos de de acción acción a a seguir. seguir. ESTANDARES Conjunto Conjunto de de parámetros parámetros técnicos técnicos a a configurar configurar en en elementos elementos informáticos. informáticos.
43 Modelo de Política - Estructura 3 Capítulos de Introducción Introducción Términos y definiciones Política de Seguridad de la información 9 Capítulos de Contenido de las distintas áreas Organización de la Seguridad Clasificación y control de Activos Seguridad del Personal Seguridad Física y Ambiental Gestión de Comunicaciones y Operaciones Control de Accesos Desarrollo y Mantenimiento de Sistemas Administración de la Continuidad de las Actividades del Organismo Cumplimiento
44 Modelo de Política - Estructura Seguridad Organizativa Seguridad Lógica Seguridad Física Seguridad Legal Clasificación y Control de Activos Política de Seguridad Organización de la Seguridad Control de Accesos TACTICO ESTRATEGICO Cumplimiento Seguridad del Personal Seguridad Física Y Ambiental OPERATIVO Desarrollo y Mantenimiento de Sistemas Gestión de Comunicaciones y Operaciones Continuidad de las Actividades
45 Generalidades Introducción sobre los tópicos tratados en el capítulo Modelo de Política - Estructura Objetivo Razón de ser del capítulo. Alcance Área de incumbencia que se ve afectada por las disposiciones establecidas en el capítulo. Responsabilidad Compendio de las responsabilidades de cada cargo en relación con las disposiciones establecidas en el capítulo. Política Desarrollo del capítulo.
46 Modelo de Política Los actores Comité de Seguridad de la Información Coordinador Responsable de Seguridad Informática Propietario de la Información Unidad de Auditoría Interna Responsable del Área Informática Responsable del Área Legal Área de RRHH Usuarios
47 Modelo de Política Contenido Capítulo 4 - Organización de la seguridad Interacción con otros organismos Cooperación entre Organismos Asesoramiento de otros Organismos Gestionar la Seguridad Comité de Seguridad Asignación de responsabilidades Revisión independiente Seguridad en el acceso de terceros Contratos Acuerdos Tercerización
48 Modelo de Política Contenido Capítulo 5 - Clasificación y control de activos Inventario de activos Clasificación de la información Confidencialidad Integridad Disponibilidad NIVELES CRITICIDAD ALTA CRITICIDAD MEDIA CRITICIDAD BAJA Rotulado de la información
49 Modelo de Política Contenido Capítulo 6 Seguridad del personal Acuerdos de Confidencialidad Incorporación de funciones en materia de seguridad a los cargos, términos y condiciones de empleo Comunicación de incidentes, debilidades y anomalías de software. Aprendiendo de los incidentes Formación y capacitación en materia de seguridad de la información
50 Modelo de Política Contenido Capítulo 7 Seguridad física y ambiental Escritorios, pantallas, impresoras, etc. NFORMACION Copias de seguridad Política de escritorios y pantallas limpias Equipamiento Ubicación y protección Desafectación o reutilización segura de equipos Mantenimiento (dentro y fuera) Perímetro de seguridad física Área protegida Control de acceso físico Control ante amenazas físicas Suministros de energía Seguridad del cableado Aislamiento de recepción y distribución
51 Modelo de Política Contenido Capítulo 8 Gestión de operaciones y comunicaciones Documentación de procedimientos Control de cambios Aprobación de sistemas nuevos Manejo de incidentes Segregación de funciones y ambientes Instalaciones externas Planificación de capacidad Resguardo de la información Protección contra software malicioso
52 Modelo de Política Contenido Capítulo 8 Gestión de operaciones y comunicaciones Registro actividades del personal operativo fallas Administración de la red Traslado y eliminación de medios de almacenamiento Intercambio de información Acuerdos Seguridad de medios de tránsito Seguriad del Gobierno Electrónico Seguridad del correo electrónico Sistemas de acceso público
53 Modelo de Política Contenido Capítulo 9 Control de accesos Política y reglas reglas de de control de de acceso Acceso de usuarios Registración Privilegios Derechos de acceso Acceso a la red Uso de servicios Seguridad de servicios Autenticación de conexiones externas Contraseñas Responsabilidades de usuario Computación móvil/trabajo remoto Protección de puertos Acceso a Internet Control de ruteo Acceso al SO Conexión de terminales Identific./Autentic. de usuarios Sist. de administración de contraseñas Uso de utilitarios Desconexión por tiempo muerto Limitación de horario de conexión Acceso a las aplicaciones Restricción de acceso a la información Aislamiento de sistemas sensibles Monitoreo del del acceso y uso uso de de los los sistemas
54 Modelo de Política Contenido Capítulo 10 Desarrollo y mantenimiento de sistemas Requerimientos de seguridad de los sistemas Controles de los sistemas Validación de datos de entrada Controles de procesamiento interno Validación de datos de salida
55 Controles criptográficos Política de utilización Cifrado Firma digital Servicios de No repudio Administración de claves Control de cambios a sistemas Modelo de Política Contenido Capítulo 10 Desarrollo y mantenimiento de sistemas Seguridad de archivos del sistema Control de acceso a bibliotecas de fuentes, a ejecutables y archivos de datos Control de cambio a datos operativos Protección de datos de prueba
56 Modelo de Política Contenido Capítulo 11 Administración de la continuidad de las actividades del organismo Clasificación de los distintos escenarios de desastres Análisis de impacto en el negocio Desarrollo de estrategias de recupero Desarrollo de un Plan de Continuidad Desarrollo de Planes de Contingencias Testeo y mantenimiento del plan
57 Modelo de Política Contenido Capítulo 12 Cumplimiento Cumplimiento de requisitos legales Propiedad Intelectual Protección de los registros del organismo Protección de datos y privacidad de la información personal Prevención del uso inadecuado de los recursos de procesamiento Regulación del uso de la criptografía Sanciones por incumplimeinto Cumplimiento de la Política y verificación de la compatibilidad técnica Auditoría de sistemas Controles de auditoría Protección de herramientas
58 Sitio ArCERT de Políticas: Mes 2 Mes 5 Mes 6
59 Sitio ArCERT de Políticas Mes 2 Qué encontramos? Mes 5 Mes 6 Información normativa (DA 669/2004) Modelo de Política de Seguridad de la Información Consejos útiles Modelos de procedimientos Documentación aportada por los organismos Novedades Preguntas frecuentes Información de interés Lista de información
60 Experiencias de los organismos en la implementación de la DA 669/2004
61 Experiencias en Organismos FACTORES CLAVE: Independencia del Área de Sistemas Búsqueda de Impulsores Estratégicos Búsqueda de Aliados (Reingeniería, O&M) Trabajo conjunto con áreas de Auditoría Respuesta a los requerimientos urgentes Créditos por la capacitación / concientización Organismo provincial: Comprensión de la necesidad de implementar las Políticas de Seguridad de la Información, adhiriendo a la DA 669/04 a pesar de la No obligatoriedad del Estado Provincial para su implementación.
62 Experiencias en Organismos ORGANIZACIÓN: Conformación de subcomisiones de trabajo asignadas por temática. COMUNICACIÓN: Decisiones y acciones del Comité publicadas en Intranet Realización de charlas al personal y entrega de instructivos sobre buenas prácticas en seguridad de la información. Implementación de una ventana informativa de temas de Seguridad Informática en la Intranet.
63 Experiencias en Organismos ACCIONES PREVIAS: Relevamiento del estado de la Seguridad de la Información relacionado con la Política Modelo. Definición del Plan General para implementar la Seguridad de la Información. Definición y elevación de requerimientos necesarios para el cumplimiento del Plan de implementación propuesto. Redacción y actualización sistemática de los Manuales de Procedimiento de los Sistemas y Programas utilizados. Unificación y ordenamiento coherente entre los archivos digitales y la documentación en papel.
64 Experiencias en Organismos ESTRATEGIA DE IMPULSO: Implementación del Plan Sectorial de Gobierno Electrónico permite poner en conocimiento de toda la población los trámites más relevantes del Organismo. Implementación de la tecnología de Firma Digital en el Organismo: brinda seguridad en cuanto a la autoría (autenticación del origen) y la integridad (evidencia cualquier alteración del contenido) de la información que intercambian Organismos e Instituciones. Avance sin tener formalizada la creación del Comité de Seguridad.
65 Gestión de Riesgos de Seguridad de la Información
66 Conceptos previos AMENAZA Evento cuya ocurrencia podría impactar en forma negativa en la organización. VULNERABILIDAD Ausencia o debilidad de un control. RIESGO Probabilidad de que una amenaza se concrete, en combinación con el impacto que ello podría producir. CONTROL Cualquier tipo de medida, que permita detectar, prevenir o minimizar el riesgo asociado con la ocurrencia de una amenaza especifica.
67 Gestión de riesgos El riesgo de una organización, comienza desde el momento mismo que la misma inicia sus actividades (Tal vez antes ) El riesgo puede ser identificado y reducido, nunca eliminado. Una organización se encuentra permanentemente en riesgo. No existe un entorno 100% seguro. Gestión de riesgos Proceso cíclico que consiste en identificar, analizar, evaluar, mitigar, transferir, evitar o aceptar los riesgos.
68 Metodología Caracterización Identificación de amenazas de cada activo Identificación de vulnerabilidades de cada activo Análisis de controles Determinación de la probabilidad de ocurrencia Análisis de impacto Cálculo del nivel de riesgo de cada activo
69 Metodología 1 Caracterización Características del proceso o sistema: Misión Funciones Políticas de seguridad implementadas Arquitectura de seguridad Topología de la red en la que procesa Flujo de información que maneja Procedimientos de desarrollo/mantenimiento Seguridad física y ambiental del ambiente de procesamiento Elementos: Hardware Software Interfaces Información que maneja Personas que mantienen el sistema Usuarios del sistema
70 Metodología 2 Identificación de amenazas de cada activo Naturales Humanas Inundaciones, terremotos, tornados, avalanchas, tormentas eléctricas, etc. Eventos causados u ocasionados por el hombre. Intencionales No intencionales Ataques basados en red, software malicioso, accesos no autorizados a información, etc. Accidentes, etc. Ambientales Interrupción prolongada de energía, polución, químicos, etc.
71 Metodología 2 Identificación de amenazas de cada activo ACCIONES que pueden formar parte de la materialización de la amenaza. Por ejemplo, un acceso no autorizado a información sensible puede ser concretado mediante la implementación de técnicas como ingeniería social, intrusión, etc.. MOTIVACIÓN que puede llevar a la existencia de una amenaza Por ejemplo, un acceso no autorizado a información sensible podría estar motivado por beneficios económicos a futuro. CAPACIDAD que debe poseer la fuente de amenaza para llevar a cabo una acción. En el ejemplo anterior, el atacante debe contar con los conocimientos requeridos para concretar el acceso, como ser, diversas técnicas de hacking.
72 Metodología 2 Identificación de amenazas de cada activo Sistema de Información Componente Fuente de amenaza Acciones de la amenaza Motivación Capacidades Sistema comercial Sistema XX Usuarios internos -Intrusión, etc. -Acceso no autorizado -Código malicioso, etc. Curiosidad Venganza Inteligencia Conocimientos de programación, redes, etc. Suministro de energía Corte de energía Desperfecto Huelga N/A
73 Metodología 3 Identificación de vulnerabilidades de cada activo Una vulnerabilidad es un error o debilidad existente en un sistema de información (proceso, diseño, implementación, controles, componente, personas involucradas, etc.) que puede ser explotado por una amenaza potencial. Es una condición que favorece la ocurrencia de un evento fortuito.
74 Metodología 3 Identificación de vulnerabilidades de cada activo Sistema de Información Componente Vulnerabilidad Fuente de amenaza Acciones de la amenaza Sistema comercial Sistema XX -Errores de diseño del sistema -Falta de control de acceso Usuarios internos -Intrusión, etc. -Acceso no autorizado -Código malicioso, etc. Falta de UPS Suministro de energía Corte de energía
75 Metodología 4 Análisis de controles Métodos de control Controles técnicos Controles no técnicos Categorías de controles Controles preventivos Controles detectivos
76 Metodología 4 Análisis de controles Sistema de Información Componente Requisitos de seguridad Control Implementado Tipo de control Sistema comercial Sistema XX Control de acceso Login SI Técnico Preventivo Resguardo de información Backups SI Técnico Preventivo
77 Metodología 5 Determinación de la probabilidad de ocurrencia Motivación y capacidad de la fuente de amenaza + Historial + Existencia y efectividad de los controles Nivel de probabilidad ALTO MEDIO BAJO Definición La fuente de amenaza posee alta motivación y suficiente capacidad, o el incidente ha ocurrido frecuentemente en el pasado; y los controles para prevenir que la vulnerabilidad sea explotada no son efectivos. La fuente de amenaza posee motivación y capacidad, o el incidente a ocurrido en ciertas ocasiones en el pasado; pero los controles existentes serían capaces de prevenir que la vulnerabilidad sea explotada. La fuente de amenaza carece de motivación o capacidad, o el incidente no ocurrido en el pasado, o los controles se encuentran en condiciones de prevenir, o al menos impedir significativamente, que la vulnerabilidad sea explotada.
78 Metodología 5 Determinación de la probabilidad de ocurrencia Sistema de Información Fuente de amenaza Componente Vulnerabilidad Motivación Capacidades Controles Probabilidad de ocurrencia Sistema comercial Sistema XX Usuarios internos Errores de diseño del sistema Alta Baja Efectivos BAJO Inadecuada asignación de permisos Alta Baja Efectivos BAJO Suministro de energía Falta de UPS Baja N/A No existen BAJO
79 6 Análisis de impacto Metodología Nivel de Impacto ALTO MEDIO BAJO Definición La ocurrencia del incidente provoca: -Una pérdida económica superior a $, o -La pérdida, divulgación o modificación no autorizada de información de alta criticidad[1], o -Un daño considerable a las actividades, o -Un daño considerable a la imagen o reputación, o -Perjuicios graves a seres humanos La ocurrencia del incidente provoca: -Una pérdida económica superior a $, o -La pérdida, divulgación o modificación no autorizada de información de criticidad media, o -Un daño a las actividades, o -Un daño a la imagen o reputación, o -Perjuicio a seres humanos La ocurrencia del incidente provoca: -Una pérdida económica inferior a $, o -La pérdida, divulgación o modificación no autorizada de información de criticidad baja, o -Un daño no significativo a las actividades, o -Un daño no significativo a la imagen o reputación [1] Esta clasificación de la información en criticidad alta, media o baja, se encuentra definida en el Modelo de Política de Seguridad de la Información emitido por la ONTI.
80 Metodología 7 Cálculo del nivel de riesgo de cada activo Probabilidad de ocurrencia N I V E L D E R I E S G O Nivel de impacto
81 Metodología 7 Cálculo del nivel de riesgo de cada activo Probabilidad de ocurrencia BAJO (10) Impacto MEDIO (50) ALTO (100) ALTO (1,0) MEDIO 10 x 1,0 = 10 ALTO 50 x 1,0 = 50 ALTO 100 x 1,0 = 100 MEDIO (0,5) BAJO 10 x 0,5 = 5 MEDIO 50 x 0,5 = 25 ALTO 100 x 0,5 = 50 BAJO (0,1) BAJO 10 x 0.1 = 1 BAJO 50 x 0,1 = 5 MEDIO 100 x 0,1 = 10 ESCALA APLICADA: Riesgo ALTO: de 50 a 100 Riesgo MEDIO: de 10 a 49 Riesgo BAJO: de 1 a 9
82 Toma de decisión EVITAR TRANSFERIR MITIGAR ACEPTAR IGNORAR
83 Muchas Gracias! Preguntas y Comentarios Ing. Lorena B. Ferreyro info@arcert.gov.ar
ArCERT. Lic. Gastón Franco. Oficina Nacional de Tecnologías de Información Subsecretaría de la Gestión Pública. 26 de junio de 2007
ArCERT Lic. Gastón Franco Oficina Nacional de Tecnologías de Información Subsecretaría de la Gestión Pública 26 de junio de 2007 ArCERT Coordinación de Emergencias en Redes Teleinformáticas de la Administración
Más detallesTaller Regional sobre Ciberseguridad y Protección de la Infraestructura Crítica. Sesión 4: Supervisión, alerta y respuesta en caso de incidente.
Taller Regional sobre Ciberseguridad y Protección de la Infraestructura Crítica Sesión 4: Supervisión, alerta y respuesta en caso de incidente. Lic. Gastón Franco ArCERT Oficina Nacional de Tecnologías
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesAutorizan ejecución de la "Encuesta de Seguridad de la Información en la RESOLUCIÓN MINISTERIAL N 187-2010-PCM
Autorizan ejecución de la "Encuesta de Seguridad de la Información en la Administración Pública - 2010" 15 de junio de 2010 CONSIDERANDO: RESOLUCIÓN MINISTERIAL N 187-2010-PCM Que, el artículo 2 o del
Más detallesDominio 2. Organización de la Seguridad
Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.
Más detallesResumen Norma ISO-27001.
Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesCURSO DE ESQUEMA NACIONAL DE SEGURIDAD
CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer
Más detallesPolíticas de Seguridad
Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesPROGRAMA DEL CURSO. SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO DURACION:
PROGRAMA DEL CURSO ACCION: DURACION: NIVEL: SEGURIDAD EN EQUIPOS INFORMATICOS MF0486_3 90 horas MEDIO-AVANZADO OBJETIVOS: CE1.1 Identificar la estructura de un plan de implantación, explicando los contenidos
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesMaterial adicional del Seminario Taller Riesgo vs. Seguridad de la Información
Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información Gestión del riesgo Desde hace varias décadas la ha pasado de ser un producto del desarrollo de las actividades de las organizaciones
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesREPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ
1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesOBJETIVOS DE APRENDIZAJE
PLAN DE ESTUDIOS: SEGUNDO CICLO ESPECIALIDAD COMPUTACIÓN 4 to AÑO CAMPO DE FORMACIÓN: ESPECIALIZACIÓN ÁREA DE ESPECIALIZACIÓN: EQUIPOS, INSTALACIONES Y SISTEMAS UNIDAD CURRICULAR: ADMINISTRACIÓN DE SISTEMAS
Más detallesLista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)
Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la
Más detallesEstrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad
Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesProcedimiento de Gestión de Incidentes de Seguridad de la Información
SERVICIO NACIONAL PARA LA PREVENCIÓN Y REHABILITACIÓN DEL CONSUMO DE DROGAS Y ALCOHOL Procedimiento de Gestión de Incidentes de Seguridad de la Información Sistema de Gestión de la Seguridad de Código:
Más detallesMODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA
MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control
UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1
Más detallesUNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS
UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo
Más detallesPOLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detallesSeguridad de la Información & Norma ISO27001
Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detalles1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Módulo Profesional: Seguridad informática. Código: 0226. Resultados de aprendizaje y criterios de evaluación. 1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características
Más detallesAgrupamiento Familia Puesto Alcance del puesto Requisitos excluyentes
TIC-1-1 Analista de monitoreo de redes Monitorear y controlar las redes del GCABA con el fin de detectar incidentes y reportarlos. Analizar las métricas utilizadas para el monitoreo de la red, la configuración
Más detallesLa seguridad según Batman
La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA
Más detallesSistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei
Sistemas de Gestión de Seguridad de la Información Ana Cecilia Vargas Alonso Castro Mattei Indice Conceptos básicos SGSI ISO/IEC 27000 Implementaciones de ISO/IEC 27000 La seguridad del lado del usuario.
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesPOLÍTICAS Y PROCEDIMIENTOS. Grupo: Gestión de Seguridad y Salud Laboral Proceso: Gestión Administrativa. Descripción del cambio
Página: 2 de 11 Cambios o actualizaciones Nivel de revisión Páginas modificadas Descripción del cambio Fecha Aprobador del cambio Página: 3 de 11 Índice 1. Propósito del Documento... 4 2. Objetivo del
Más detallesMicrosoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.
Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega
Más detallesModelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional
Modelo de Política de Seguridad de la Información para Organismos de la Administración Pública Nacional Versión 1 Julio-2005 Política Modelo Documento Público A fin de garantizar la autoría e integridad
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesSUBDIRECCIÓN DE ADMINISTRACIÓN
SUBDIRECCIÓN DE ADMINISTRACIÓN DEPARTAMENTO DE INFORMÁTICA Plan de Contingencia El objetivo del Plan de Contingencia es proporcionar la continuidad y recuperación de los servicios de Tecnologías de la
Más detallesNTP - ISO/IEC 27001:2008
NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo
Más detallesPOLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el
Más detallesLISTA DE CHEQUEO NORMA NTC ISO 9001:2000 No. REQUISITOS EXISTE ESTADO OBSERVACIONES D: Documentado I: Implementado M: Mejorar SI NO D I M
No. REQUISITOS EXISTE ESTADO OBSERVACIONES 4. SISTEMA DE GESTION DE LA CALIDAD 4.1 Requisitos Generales La organización debe establecer, documentar, implementar y mantener un S.G.C y mejorar continuamente
Más detallesMETODOLOGIAS DE AUDITORIA INFORMATICA
METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para
Más detallesTaller Regional sobre Ciberseguridad y Protección de la Infraestructura Crítica. Sección 2: Desarrollo de una Estrategia Nacional
Taller Regional sobre Ciberseguridad y Protección de la Infraestructura Crítica Sección 2: Desarrollo de una Estrategia Nacional Carlos Achiary Director de la Oficina Nacional de Tecnologías de Información
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesTECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO
TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD
Más detallesPOLITICAS DE USO ACEPTABLE
PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detallesCOPEG 4. SISTEMA DE GESTIÓN DE CALIDAD
4.1 Requisitos Generales COPEG ha establecido, documentado, implementado y mantiene un Sistema de Gestión de Calidad con el objetivo de mejorar continuamente la eficacia del sistema y de sus procesos basados
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesSOLUCIONES EN SEGURIDAD INFORMATICA
SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para
Más detallesGuía: Controles de Seguridad y Privacidad de la Información
Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesControl de Acceso: Detección de Intrusiones, Virus, Gusanos, Spyware y Phishing
Control de Acceso: Detección de Intrusiones, Virus, Gusanos, Spyware y Phishing Leandro Meiners lmeiners@cybsec.com Agosto de 2005 Buenos Aires - ARGENTINA Temario Temario Estadísticas y Cifras Detección
Más detallesCapítulo IV. Manejo de Problemas
Manejo de Problemas Manejo de problemas Tabla de contenido 1.- En qué consiste el manejo de problemas?...57 1.1.- Ventajas...58 1.2.- Barreras...59 2.- Actividades...59 2.1.- Control de problemas...60
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesImplantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo
Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec
Más detallesXXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina
XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos
Más detallesCAS-CHILE S.A. DE I. 2013
CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR
Más detallesMACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO
PAGINA: 1 de 7 OBJETIVO Identificar los riesgos, realizar el análisis y valoración de los mismos, con el fin de determinar las acciones de mitigación, que permitan intervenir los eventos internos y externos,
Más detallesCONTROL DE DOCUMENTOS
CONTROL DE DOCUMENTOS ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Henry Giraldo Gallego Angela Viviana Echeverry Díaz Armando Rodríguez Jaramillo Cargo: Profesional Universitario
Más detallesDiplomado: Administración de Centros de Cómputo (Sites)
Diplomado: Administración de Centros de Cómputo (Sites) Duración: 162 hrs. Horario: viernes de 18:00 a 22:00 y sábados de 9:00 a 13:00 hrs. Sede: Campus Santa Fe (UIA y HP) Fundamentación Las empresas
Más detallesHospital Nacional de Maternidad UNIDAD DE INFORMATICA
Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesTecnología de la Información. Administración de Recursos Informáticos
Tecnología de la Información Administración de Recursos Informáticos 1. Recursos informáticos: Roles y Responsabilidades 2. Áreas dentro del Departamento de Sistemas 3. Conceptos asociados a proyectos
Más detallesCURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO
CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO Escuela de Informática y Telecomunicaciones El
Más detallesPolíticas de Seguridad de la información
2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.
Más detallesDIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME
DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesMÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED
MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas
Más detallesMANUAL DE PLAN DE CONTINGENCIA INFORMATICA
PÁGINA: 1 DE 12 MANUAL DE PLAN DE REVISÓ SECRETARIO DE SALUD APROBÓ REPRESENTANTE DE LA DIRECCIÓN PÁGINA: 2 DE 12 TABLA DE CONTENIDO 1. INTRODUCCION........................................... 3 2. GENERALIDADES..........................................
Más detallesSEMANA 12 SEGURIDAD EN UNA RED
SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de
Más detallesINDICE DE CARGOS Cargo Pagina
INDICE DE CARGOS Cargo Pagina Director de Sistemas 1 Coordinador de Sistemas 2 Analista de Sistemas 3 Analista de Calidad del Software 4 Arquitecto del Software 5 Analista de Desarrollo 6 GUÍA DE COMPETENCIAS
Más detallesBOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA
BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA Señor usuario a continuación le daremos a conocer nuestro protocolo de seguridad para garantizarle un servicio de calidad
Más detallesMANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA
MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,
Más detallesINSTRUCTIVO DE PROCEDIMIENTOS
INSTRUCTIVO DE PROCEDIMIENTOS INSTRUCTIVO DE PROCEDIMIENTOS DE LA DIRECCIÓN DE INFORMÀTICA MINISTERIO DE INFRAESTRUCTURA DIRECCION GENERAL DE ADMINISTRACION 47 MISIONES Y FUNCIONES 4 1. Propiciar la elaboración
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO PARA ADMINISTRACIÓN DE INVENTARIO DE EQUIPOS DE CÓMPUTO GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE DE INVENTARIO DE EQUIPOS DE GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Evaluar el estado tecnológico de los equipos de cómputo a nivel de hardware y software
Más detallesDefinición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS
Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de
Más detallesUnidad 6: Protección Sistemas de Información
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad
Más detallesQué pasa si el entorno de seguridad falla?
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detalles1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS
1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS OBJETIVOS La formación del módulo contribuye a alcanzar los objetivos generales de este ciclo formativo que se relacionan a continuación: a. Analizar la
Más detallesSEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA
2ª evaluación 1ª evaluación DEPARTAMENTO MATERIA CURSO INFORMÁTICA SEGURIDAD INFORMÁTICA 2º SISTEMAS MICROINFORMÁTICOS Y REDES 1. CONTENIDOS MÍNIMOS PARA LA EVALUACIÓN POSITIVA - Conocer las diferencias
Más detallesPlan de Estudios. Diploma de Especialización en Seguridad Informática
Plan de Estudios Diploma de Especialización en Seguridad Informática Antecedentes y Fundamentación El surgimiento de la sociedad de la información, y con ello el incremento en el uso de las Tecnologías
Más detallesNombre del Puesto. Jefe Departamento de Presupuesto. Jefe Departamento de Presupuesto. Director Financiero. Dirección Financiera
Nombre del Puesto Jefe Departamento de Presupuesto IDENTIFICACIÓN Nombre / Título del Puesto: Puesto Superior Inmediato: Dirección / Gerencia Departamento: Jefe Departamento de Presupuesto Director Financiero
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesTaller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC
Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones
Más detallesNorma Técnica Peruana:
Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con
Más detallesLa auditoría operativa cae dentro de la definición general de auditoría y se define:
AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos
Más detallesInformación General del Servicio de Hosting
Información General del Servicio de Hosting CONTENIDO INTRODUCCIÓN I OBJETIVOS II BENEFICIOS SIVU III VENTAJAS DEL SERVICIO HOSTING CARACTERÍSTICAS FUNCIONALES CARACTERÍSTICAS TECNOLÓGICAS ÁMBITO DE APLICACIÓN
Más detalles