Haga clic para cambiar el estilo de título

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Haga clic para cambiar el estilo de título"

Transcripción

1 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Seguridad Tercer nivel la Información Cuarto nivel Quinto nivel Curso de Capacitación Mayo de 2008 Introducción Objetivos del curso Este curso tiene tres objetivos principales: Exponer a los asistentes las mejores prácticas del mercado en relación a la gestión de la seguridad de la información. Presentar los principales riesgos y dificultades que encuentran las organizaciones a la hora de gestionar la seguridad de la información. Presentar las tecnologías y procesos vigentes involucrados en la gestión de la seguridad de la información. Página 1 Introducción Logística del curso Lugar de clases: Laboratorio de Redes. Horarios: Viernes: 17:00 a 21:00 Sábado: 9: 00 a 1:30 Modalidad del curso: Teórico. Datos expositor: Carlos Facundo Jamardo Ing. En Computación (UNT) Posgrado en Redes de Datos (ITBA) Certified Information Systems Security Professional (CISSP) Gerente de sevicios de gestión de riesgos de Deloitte Argentina (Bs.As.) fjamardo@fibertel.com.ar Página 2 1

2 Introducción Temario Cronograma tentativo del curso: Tema Fecha Tentativa Introducción a la Seguridad de la Información. 9 de Mayo de 2008 Políticas de Seguridad de la Información 10 de Mayo de 2008 Estructura y Organización de Gestión de Seguridad. 23 de Mayo de 2008 Seguridad Física y Ambiental. 24 de Mayo de 2008 Seguridad de Sistemas Operativos. 6 de Junio de 2008 Seguridad de Redes y Comunicaciones. 7 de Junio de 2008 Seguridad de Bases de Datos. 20 de Junio de 2008 Seguridad en Aplicaciones. 21 de Junio de 2008 Tecnologías y Herramientas de Seguridad. 4 de Julio de 2008 Continuidad y Recuperación ante Desastres. 5 de Julio de 2008 Procesos de Gestión del Área de Seguridad. 18 de Julio o 15 de Agosto Página 3 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Curso de Seguridad de la Información Introducción a la Seguridad de la Información Agenda Introducción a la Seguridad de la Información Introducción Conceptos Básicos de Seguridad Administración de la Seguridad de la Información Claves en la Administración de la Seguridad de la Información Introducción a la Norma ISO Marco Regulatorio Página 5 2

3 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Introducción Introducción La información y los sistemas que la procesan representan un pilar fundamental para el negocio de las compañías y en muchas de ellas se han convertido en recursos estratégicos que constituyen la base para alcanzar ventajas competitivas. Clientes Internet Sucursales Otras Redes Asistencia al cliente Outsourcing Proveedores Entes Legales En un mundo competitivo y globalizado, las compañías para llevar a cabo sus negocios, deben interactuar con diferentes entes involucrando recursos internos y externos Página 7 Introducción Conceptos de Seguridad de la Información En un entorno de negocios cada vez más complejo, contar con controles eficientes que permitan salvaguardar la información crítica de la organización es fundamental para proyectar una imagen de solidez y confianza entre los clientes y para proteger las ventajas competitivas. En este entorno, resulta clave proteger a la Organización de riesgos que podrían afectar su negocio, por ejemplo porque: La información ha sido accedida por personas no autorizadas. La información no está donde y cuando se requiere. La información que manejan los sistemas no es la generada por los usuarios. La Seguridad de la Información es el conjunto de medidas preventivas, detectivas y correctivas destinadas a preservar la integridad, disponibilidad y confidencialidad de la Información y los Recursos Informáticos involucrados Página 8 3

4 Introducción Por qué implementar Seguridad de la Información? Para proteger a la Organización y sus recursos de riesgos que podrían derivar en la divulgación de información confidencial, evasión o corrupción de la información y/o impactar en la disponibilidad y continuidad del negocio. Riesgos Divulgación de la información Interrupción del Negocio Corrupción o Pérdida de información vital Información y Sistemas de Información Página 9 Introducción Por qué implementar Seguridad de la Información? La tendencia global ha sido sistematizar el manejo de esta información utilizando tecnología. Las crecientes demandas en servicios de IT requieren una mejor planificación de cada uno de los proyectos. A su vez, el entorno donde se mueven las organizaciones está cada vez controlado. Más regulaciones Mayor presión competitiva Mayor Eficiencia Demandas crecientes de IT Mejor eficiencia y consistencia Mayor transparenci a y registros Mayor demanda de accionistas Página 10 Introducción Los Desafíos Al implementar seguridad y controles, los desafíos son predominantemente organizacionales y culturales, por eso no es suficiente una visión técnica. Iniciativas no alineadas con las necesidades de las áreas de negocio Principales razones por las que un número significativo de organizaciones fallan en la implementación de programas e iniciativas de seguridad Definiciones que no se basan en estándares o mejores prácticas (Ej. ISO17799 / 27001) Inadecuada comunicación de objetivos y alcances a los distintos niveles Concepción como proyecto y no como proceso Expectativas irreales, a partir de una inadecuada definición de que es considerado un éxito y en cuanto tiempo se lograría Carencia del ROI / Análisis de factibilidad adecuados Falta de un marco dentro del cual diseñar e implementar las soluciones para nuevos problemas Concebir la seguridad como un aspecto técnico y no como un requerimiento de negocio Página 11 4

5 12 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Conceptos Básicos de Seguridad Conceptos Básicos de Seguridad Principios de Seguridad Informática Todos los objetivos de Seguridad alcanzan al menos uno de estos tres principios: Disponibilidad Objetivos de Seguridad Integridad Confidencialidad Página 14 5

6 Conceptos Básicos de Seguridad Principios de Seguridad Informática (Cont.) Confidencialidad: Asegurar que sólo las personas autorizadas accedan a la información almacenada o que se quiere distribuir. Pérdida de confidencialidad significa revelación o divulgación de información a personas no autorizadas. Disponibilidad: Asegurar que la información correcta se encuentre disponible en el momento oportuno. Se debe asegurar la disponibilidad de la información y de toda la estructura física y tecnológica que permite el acceso, tránsito y almacenamiento de la misma. Integridad: Asegurar que la información no ha sido alterada en su contenido de forma indebida o no autorizada. Una violación de la integridad ocurre cuando la información se corrompe, falsifica o altera sin autorización. Página 15 Conceptos Básicos de Seguridad Principios de Seguridad Informática (Cont.) Algunos Ejemplos: Confidencialidad Página 16 Conceptos Básicos de Seguridad Principios de Seguridad Informática (Cont.) Algunos Ejemplos: Confidencialidad Integridad Página 17 6

7 Conceptos Básicos de Seguridad Principios de Seguridad Informática (Cont.) Algunos Ejemplos: Confidencialidad Disponibilidad Integridad Página 18 Conceptos Básicos de Seguridad Clasificación La Seguridad Informática tiene asociada la protección lógica de los datos (ej: permisos de acceso a archivos, roles en aplicaciones, puertos TCP permitidos). El personal que desempeña estas tareas tiene un perfil netamente de sistemas. Por su parte, la Seguridad de la Información brinda un enfoque más global comprende todas las posibles variantes de seguridad de los datos, desde el control de acceso físico hasta la seguridad lógica. Página

8 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Administración de la Seguridad de la Información Administración de la Seguridad de la Información Términos y Conceptos Básicos Administración de la Seguridad de la Información: Es el proceso de gestión que permite garantizar un nivel de seguridad definido para la información y los servicios que la soportan. Incluye: Administración de Riesgos. Políticas, procedimientos y estándares de Seguridad. Clasificación y protección de la información. Capacitación y concientización del personal, entre otros. Amenazas: Representan cualquier peligro potencial, los cuales pueden generar pérdidas o daños a los activos de la Organización. Son materializadas por Agentes capaces de explotar las vulnerabilidades de seguridad existentes (puntos débiles). Por ej.: Virus, divulgación de contraseñas, etc. Las Organizaciones son cada vez mas dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez mas vulnerables a las amenazas concernientes a su seguridad. Página 22 Administración de la Seguridad de la Información Términos y Conceptos Básicos (Cont.) Vulnerabilidades: Representan debilidades en el sistema, las cuales pueden facilitar que una amenaza sea materializada. Al ser explotadas, afectan la confidencialidad, disponibilidad e integridad de la información. El sistema representa a TODA la Organización, no solo los sistemas de información. El objetivo de la seguridad de la información es impedir que las amenazas exploten las vulnerabilidades existentes. Riesgo: Es la probabilidad de que las amenazas se concreten, a través de la explotación de las vulnerabilidades existentes, causando pérdidas o daños a la Organización, dado que ha sido comprometida la confidencialidad, integridad y/o disponibilidad de la información. Página 23 8

9 Administración de la Seguridad de la Información Términos y Conceptos Básicos (Cont.) Activo Amenaza Vulnerabilidad Materialización Página 24 Administración de la Seguridad de la Información Enfoques de la Administración de la Seguridad de la Información Quién es responsable de la administración de la seguridad? - La Gerencia de Sistemas? - Seguridad? - Auditoría? TODOS La administración de la seguridad es responsabilidad de todo el personal de una Organización Página 25 Administración de la Seguridad de la Información Medidas de Protección Una vez identificados los riesgos, existen las siguientes opciones: Aceptarlos -> No se toman medidas. Asignarlos / Transferirlos -> Un tercero se hace cargo del control y/o los costos asociados al riesgo. Normalmente implica un costo a modo de cuota o póliza (por ej. Seguro, soporte 24x360). Disminuirlos / Mitigarlos -> Se implementan controles para reducir la pérdida y/o disminuir la probabilidad de ocurrencia. Controles a implementar: Administrativos: Controles Físicos políticas, Controles Técnicos procedimientos, Controles Administrativos Datos y activos de la Compañía estándares, lineamientos, etc. Página 26 9

10 Administración de la Seguridad de la Información Medidas de Protección Una vez identificados los riesgos, existen las siguientes opciones: Aceptarlos -> No se toman medidas. Asignarlos / Transferirlos -> Un tercero se hace cargo del control y/o los costos asociados al riesgo. Normalmente implica un costo a modo de cuota o póliza (por ej. Seguro, soporte 24x360). Disminuirlos / Mitigarlos -> Se implementan controles para reducir la pérdida y/o disminuir la probabilidad de ocurrencia. Controles a implementar: Técnicos (Lógicos): Controles Físicos acceso lógico, Controles Técnicos encriptación, Controles Administrativos Datos y activos de la Compañía dispositivos de seguridad, etc Página 27 Administración de la Seguridad de la Información Medidas de Protección Una vez identificados los riesgos, existen las siguientes opciones: Aceptarlos -> No se toman medidas. Asignarlos / Transferirlos -> Un tercero se hace cargo del control y/o los costos asociados al riesgo. Normalmente implica un costo a modo de cuota o póliza (por ej. Seguro, soporte 24x360). Disminuirlos / Mitigarlos -> Se implementan controles para reducir la pérdida y/o disminuir la probabilidad de ocurrencia. Controles a implementar: Físicos: Protección de las instalaciones, guardias de seguridad, candados, etc. Controles Físicos Controles Técnicos Controles Administrativos Datos y activos de la Compañía Página

11 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Claves en la Administración de la Seguridad de la Información Claves de la Gestión de Seguridad Gestión de Riesgos La gestión de riesgos de Seguridad de la Información debe estar soportada por un Programa Corporativo que considere los siguientes aspectos claves: Tener una visión estratégica Ser eficiente Gestión de Riesgo Ser sustentable Ser medible Página 31 Claves de la Gestión de Seguridad Tener una Visión Estratégica El Modelo de Seguridad tomado como referencia debe basarse en estándares / mejores prácticas de administración de seguridad de la Información como ser la ISO/IEC 17799/27001 y estar complementado por otros marcos relacionados con controles, incluyendo COSO ERM, COBIT e ITIL. Todos los componentes utilizados para la Administración de la Seguridad trabajan de manera sinérgica para lograr un determinado nivel de seguridad Página 32 11

12 Claves de la Gestión de Seguridad Enfoque de Riesgo Alineado a la Visión Estratégica Evaluar los riesgos de la Organización, tomando en cuenta la estrategia y objetivos de la misma Considerar los requerimientos legales, regulatorios y contractuales Tener en cuenta los principios, objetivos y requerimientos de negocio para el procesamiento de la información Página 33 Claves de la Gestión de Seguridad Marco Sustentable Basarse en marcos de seguridad (ISO 17799) y de control de TI (COBIT) ampliamente desarrollados, evitando reinventar la rueda o soluciones ad hoc. Por su nivel de adopción y utilización, la Norma ISO se ha convertido en el estándar de facto a nivel mundial para gestionar aspectos de Seguridad. La Norma se complementa con los requerimientos y procesos de otros estándares y mejores prácticas, tales como: COBIT, CMM, ITIL e Curso ISO9000. de Seguridad de la Información - Módulo 1 Introducción a la Seguridad de la Información Página 34 Claves de la Gestión de Seguridad Horizonte de Planeamiento (Road Map) Como parte clave del proceso, se debe definir un Roadmap para la gestión del Programa de Seguridad y su modelo de evolución sostenible a largo plazo. Dónde estamos hoy? Hacia donde vamos? Estructura Organizacion Documentar al de Estrategias, Seguridad Políticas y Asignación clara de Estándares roles y Definir los responsabilidades Iniciar estándares de para soportar Programa seguridad a partir diferentes aspectos de la infraestructura Integral de de los requerimientos y de seguridad Seguridad estrategias de Programa con negocio apoyo a nivel ejecutivo, con un responsable formal de Capacidades de Seguridad seguridad informática Arquitectura y Procesos de Seguridad Definición de la arquitectura y los procesos de Integración Tecnológica de Seguridad Herramientas de seguridad y productos definidos, desarrollados e integrados en un ambiente para varias arquitecturas e infraestructuras de negocios Aseguramiento en el tiempo Auditar y monitorear los procesos y controles para asegurar el cumplimiento de políticas y estándares Forensics e Investigación Establecimiento de herramientas y procedimientos para el manejo de incidentes de Concientizacióseguridad n y entrenamiento Desarrollo de un programa de concientización Seguridad integral a toda la organización Evolución Métricas de Seguridad Medir la eficiencia, efectividad, valor y performance de la seguridad como proceso continuo Página 35 12

13 Claves de la Gestión de Seguridad Medible Los procesos que conforman la Administración de la Seguridad requieren la implementación de diferentes mecanismos de monitoreo y medición para asegurar la efectividad y eficiencia de los mismos. Lo que se puede monitorear se puede medir, lo que se puede medir se puede gestionar Para asegurar el éxito del Programa de Seguridad es necesario definir una metodología de medición y evaluación de cada uno de los procesos que lo conforman. Esta metodología debe incluir, al menos, lo siguiente: Registro de eventos para la generación de métricas. Definición los indicadores clave de rendimiento significativos. Generación de un índice de riesgo (KPX) que englobe uno o varios indicadores de rendimiento, y brinde una visión a alto nivel de los mismos. Generación de reportes que permitan demostrar la eficacia en la Gestión de Seguridad. Página 36 Claves de la Gestión de Seguridad Enfoques de la Gestión de Seguridad Enfoque de arriba hacia abajo (TOP-DOWN): La Alta Gerencia es responsable primaria de asegurar la vigencia y cumplimiento de las Políticas de Seguridad de la Información, dando soporte a la definición e implementación de las mismas. Personal de Seguridad Informática, Sistemas, Auditoría y el resto de las áreas serán los encargados de desarrollar e implementar en mayor o menor medida dichas Políticas de Seguridad, las cuales alcanzan a TODA la Organización. Riesgos de no implementar el enfoque adecuado (DOWN-TOP): Administradores de Seguridad, de plataforma y/o personal de IT, dictando e implementando sus propias políticas de seguridad. Inconsistencias, falta de alineación a la estrategia del negocio, falta de compromiso de otras áreas, falta de control sobre las medidas implementadas, etc. Página

14 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Introducción a la Norma ISO Introducción a la Norma ISO Aspectos Generales Por qué basarse en la norma ISO/IRAM para la definición del Modelo de Seguridad? Aumento de los niveles de seguridad en las Organizaciones: Ataca la problemática de Seguridad con un enfoque basado en riesgos, a partir de políticas y mejores prácticas. Planificación de actividades. Mejora continua. Posicionamiento estratégico. Cumplimiento de normativas y reglamentaciones. Posicionamiento en un esquema comparativo en materia de seguridad con otras organizaciones. Proporciona un link entre las decisiones relativas a seguridad (ISO 27001) y los objetivos de control (CobiT). ISO17799 es un estándar de administración de seguridad de la información reconocido internacionalmente, el cual define un conjunto de controles de alto nivel (genéricos) que comprenden las mejores prácticas en este área. Esto NO implica que se requiera la certificación por parte de la Organización en dicha norma. Página 40 Introducción a la Norma ISO El Modelo de Seguridad según ISO capítulos generales: Introducción. Términos y definiciones. Política de Seguridad de la información. 9 capítulos de contenido de las distintas áreas: Seguridad Organizacional. Clasificación y Control de Activos. Seguridad del Personal. Seguridad Física y Ambiental. Gestión de Comunicaciones y Operaciones. Control de Accesos. Desarrollo y Mantenimiento de Sistemas. Administración de la Continuidad de las Actividades del Organismo. Cumplimiento. Página 41 14

15 Introducción a la Norma ISO Arquitectura y Principales Dominios de la Norma Seguridad Organizacional: Creación de una estructura de gestión y marco normativo de Seguridad. Infraestructura de la Seguridad de la Información Clasificación y control de activos: Responsabilidad de los Bienes Clasificación de la Información Seguridad del personal: Contratación (Screening) / Desvinculación Definición de roles y responsabilidades Capacitación / Concientización del usuario Seguridad física y ambiental: Áreas Seguras Seguridad de los Equipos Controles generales Página 42 Introducción a la Norma ISO Arquitectura y Principales Dominios de la Norma (Cont.) Administración de las comunicaciones y operaciones: Procedimientos operativos y responsabilidades Administración de cambios Tratamiento de incidentes Separación de funciones Planeamiento de capacidades (Capacity Planning) Administración de redes y medios de almacenamiento Control de Acceso: Requisitos de la Organización para el control de acceso Administración del acceso de usuarios Responsabilidades de los usuarios Control de acceso de la Red Control de acceso al Sistema Operativo Control de acceso de las Aplicaciones Acceso y uso del Sistema de Monitoreo Computadoras móviles y trabajo a distancia Página 43 Introducción a la Norma ISO Arquitectura y Principales Dominios de la Norma (Cont.) Desarrollo y mantenimiento de sistemas: Requisitos de seguridad de los sistemas Seguridad de los sistemas de aplicación Controles criptográficos Seguridad de los archivos del sistema Seguridad de los procesos de desarrollo y soporte Administración de la continuidad del negocio: Aspectos de la administración de continuidad de la organización Cumplimiento: Cumplimiento con los requisitos legales Revisión de la política de seguridad y del cumplimiento técnico Consideraciones sobre auditoría del sistema Página 44 15

16 45 Haga clic para cambiar el estilo de título Haga clic para modificar el estilo de texto del patrón Segundo nivel Tercer nivel Cuarto nivel Quinto nivel Marco Regulatorio Marco Regulatorio Regulaciones Internacionales PCI: Payment Card Industry Security Standards (Global) Sarbanes Oxley 404 (Estados Unidos) - SOX Data Protection Directive (Europa) PIPEDA (Canadiense) PIPA (Japón) HIPAA (Estados Unidos) SB1386 (California) Muchas otras más! Página 47 16

17 Marco Regulatorio Regulaciones Locales Comunicación del Banco Central A4609: Objetivo: definir los requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática, sistemas de información y recursos asociados para las entidades financieras. Puntos tratados: Aspectos generales (confidencialidad, integridad, disponibilidad); Organización funcional y gestión de tecnología informática y sistemas; Protección de activos de información; Continuidad del Procesamiento electrónico de datos; Operaciones y procesamiento de datos; Controles de Banca electrónica; Delegación de actividades propias de la entidad a terceros; Sistemas aplicativos de información; Página 48 Ley La Problemática Existe una preocupación creciente acerca de la Privacidad y Protección de los Datos Personales debido a deficiencias en el manejo de los mismos. Página 49 Ley Respuesta a la problemática Las preocupaciones por como proteger los datos personales, derivaron en medidas específicas para asegurar la privacidad de los mismos. Algunas de estas medidas incluyen a: Economic Union Data Protection Directive España: Ley de Protección de Datos Personales, 1992 Argentina: Ley Protección de Datos Personales, 2000 The Canadian Personal Information Protection and Electronic Documents Act (PIPEDA) U.S. Gramm-Leach-Bliley Act (GLBA) Todas las reglamentaciones procuran definir como deben administrarse los datos personales, de forma tal de proteger los derechos de confidencialidad y privacidad de los individuos. Página 50 17

18 Ley Ley Protección de Datos Personales La promulgación de esta ley convierte a la Argentina en el primer país de Latino América considerado seguro por la Comunidad Económica Europea para el intercambio de datos personales. Esta ley Argentina tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean éstos públicos o privados, destinados a dar informes. Se ordena la creación de la Dirección Nacional de Datos Personales. Esta ley establece que las empresas deben adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales. Como primer requisito, esta Ley establece que las empresas alcanzadas deben registrar sus bases de datos en el Registro Nacional de Protección de Datos Personales (actualmente se registraron empresas). Asimismo, la ley define sanciones administrativas aplicando multas que llegan a los $ y sanciones penales con penas de prisión que van de un mes a 2 años. Página 51 Ley Ley Protección de Datos Personales Esta ley define como datos personales a toda información de cualquier tipo referida a personas físicas o jurídicas. Asimismo identifica, dentro de los datos personales, a los datos sensibles, los cuales requieren mayores niveles de control y seguridad. Entre estos se incluyen aquellos datos que revelan: origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical, información referente a la salud o a la vida sexual. Página 52 Ley Disposición 11/2006 La Disposición 11/2006 de la Dirección Nacional de Protección de Datos Personales establece las medidas de seguridad para el tratamiento y conservación de los datos personales contenidos en archivos, registros, bancos y bases de datos públicas no estatales y privadas que las empresas deben cumplir Esta disposición define el cómo deben protegerse los datos. Las medidas que se especifican son aplicables tanto sobre archivos informatizados como sobre aquellos que no lo son. Se definen tres niveles de seguridad, con medidas específicas a implementar para cada uno de los tres niveles. Estos niveles son: BASICO: datos de carácter personal. MEDIO: información de las empresas privadas que desarrollan actividades de prestación de servicios públicos, o que pertenece a entidades que cumplen una función pública y/o privada, que deben guardar secreto por expresa disposición legal. CRITICO: datos de carácter personal definidos como datos sensibles. Página 53 18

19 Ley Ejemplos de tipos de datos Ejemplos de datos de criticidad baja: Nombre y Apellido Edad Fecha de Nacimiento Documento Nacional de Identidad (DNI) Domicilio Ejemplos de datos de criticidad media: Detalle de consumos de servicios públicos Información Bancaria Ejemplos de datos de criticidad alta: Historias clínicas Documentos de afiliaciones sindicales Página 54 Ley Medidas de nivel de seguridad BASICO Para los datos de nivel básico, se deberá disponer del Documento de Seguridad de Datos Personales. Este tendrá que estar actualizado y deberá contener: Funciones y obligaciones del personal Descripción de los archivos con datos personales Seguimiento de las rutinas de control de ingreso de datos Notificación, gestión y respuesta de incidentes Procedimientos de copias de respaldo y de recuperación de datos Autenticación de acceso a los datos. Control de acceso de usuarios datos y recursos Adoptar medidas de prevención de software malicioso Vencimiento Septiembre 2007 Página 55 Ley Medidas de nivel de seguridad MEDIO Además de la seguridad de nivel Básico, deberán adoptar las siguientes medidas: La identificación del responsable de seguridad. Realización de auditorias que verifiquen el cumplimiento de los procedimientos. Limitación de intentos reiterados a accesos no autorizados. Control de acceso físico a los locales donde se encuentren situados los datos de carácter personal. Medidas necesarias para impedir cualquier recuperación de la información que vaya a ser desechada. Los registros de seguridad deberán identificar la persona que recuperó y/o modifico dichos datos. Las pruebas de funcionamientos de sistemas no se realizarán con datos reales, a menos que se aseguren los niveles de seguridad correspondientes. Vencimiento Septiembre 2008 Página 56 19

20 Ley Medidas de nivel de seguridad CRITICO Además de la seguridad de nivel Básico y nivel Medio deberán adoptar las siguientes medidas: Cuando se distribuyan soportes que contengan datos de carácter personal estos se deben cifrar a fin de garantizar que no pueden ser leídos ni manipulados por terceros. Disponer de un registro de acceso con información que identifique: Usuario que accedió. Fecha y hora de acceso. Tipo de acceso. Autorizado o denegado. Este registro de acceso debe ser analizado periódicamente y conservado como mínimo 3 años. Copias de seguridad por duplicado. Una a ser almacenada donde residen los datos y otra fuera de la localización, en caja ignifuga y a prueba de gases, situada a una distancia prudencial. Los datos de carácter personal que se transmitan a través de redes de comunicación, deberán ser cifrados de forma tal que impida su lectura y/o tratamiento por parte de personas no autorizadas. Vencimiento Septiembre 2009 Página

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria: Seminario Las medidas de seguridad y la Protección de los Datos Personales La implementación de medidas de seguridad en la óptica empresaria: Silvia G. Iglesias siglesias@itsb.com.ar 1 Agenda La Seguridad

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Medidas de seguridad ficheros automatizados

Medidas de seguridad ficheros automatizados RECOMENDACIÓN SOBRE MEDIDAS DE SEGURIDAD A APLICAR A LOS DATOS DE CARÁCTER PERSONAL RECOGIDOS POR LOS PSICÓLOGOS Para poder tratar datos de carácter personal en una base de datos adecuándose a la Ley 15/1999,

Más detalles

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación

Más detalles

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité

Más detalles

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES Artículo 1.- Ámbito de aplicación y fines. El presente Reglamento

Más detalles

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Anexo I. Politicas Generales de Seguridad del proyecto CAT Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

Mestrado em Tecnologia da Informação. Segurança da Informação

Mestrado em Tecnologia da Informação. Segurança da Informação Mestrado em Tecnologia da Informação Segurança da Informação La información Se utiliza para tomar decisiones con vistas a un accionar concreto. Esta es la importancia que tiene la Informática en la actualidad,

Más detalles

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países. Este documento es solo para fines informativos. MICROSOFT NO OTORGA NINGUNA GARANTÍA, YA SEA EXPLÍCITA, IMPLÍCITA O LEGAL, RESPECTO DE LA INFORMACIÓN CONTENIDA EN ESTE DOCUMENTO. Este documento se entrega

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)

Información de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard) PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por

Más detalles

Guía de Medidas de Seguridad

Guía de Medidas de Seguridad Guía de Artículo 29. Los entes públicos establecerán las medidas de seguridad técnica y organizativa para garantizar la confidencialidad e integridad de cada sistema de datos personales que posean Las

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

DOCUMENTO DE SEGURIDAD

DOCUMENTO DE SEGURIDAD CÁMARA DE COMERCIO DE OCAÑA DOCUMENTO DE SEGURIDAD Ocaña Norte de Santander 2014 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

POLÍTICAS DE TRATAMIENTO, PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DEL GRUPO TERRANUM

POLÍTICAS DE TRATAMIENTO, PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DEL GRUPO TERRANUM POLÍTICAS DE TRATAMIENTO, PRIVACIDAD Y PROTECCIÓN DE DATOS PERSONALES DEL GRUPO TERRANUM Dando cumplimiento a lo establecido en la Ley 1581 de 2012 y al Decreto 1377 de 2013, nos permitimos informar a

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

Todos los derechos están reservados.

Todos los derechos están reservados. Este documento y todos su contenido, incluyendo los textos, imágenes, sonido y cualquier otro material, son propiedad de ISMS Forum o de algún organismo vinculado a ésta, o de terceros que hayan autorizado

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

POLITICA DE SISTEMA DE CONTROL INTERNO

POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro

Más detalles

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina 18-19 y 20 de Septiembre de 2013 La Rioja - Argentina El uso de sistemas electrónicos

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.

Política de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A. de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre

Más detalles

Gestión de la Seguridad de Activos Intelectuales

Gestión de la Seguridad de Activos Intelectuales Gestión de la Seguridad de Activos Intelectuales 2012 Abril Cómo proteger los Activos Intelectuales de su organización? Los Activos Intelectuales de la organización son, entre otros, el KnowHow, los secretos

Más detalles

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

POLITICA DE PRIVACIDAD DE LA PAGINA WEB POLITICA DE PRIVACIDAD DE LA PAGINA WEB operamos el website de Simple Solutions.com y respetamos la privacidad de los individuos que utilizan este website. A continuación detallamos cómo utilizamos la

Más detalles

Resumen General del Manual de Organización y Funciones

Resumen General del Manual de Organización y Funciones Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de

Más detalles

Proceso: AI2 Adquirir y mantener software aplicativo

Proceso: AI2 Adquirir y mantener software aplicativo Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

Basado en la ISO 27001:2013. Seguridad de la Información

Basado en la ISO 27001:2013. Seguridad de la Información Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información

Más detalles

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT)

ORGANIZACIONAL DEL AREA DE SISTEMAS (CONTROLES SOBRE LAS ACTIVIDADES IT) EVALUACION FINAL Grupal Entre las semanas 17 y 18 se sarrolla la evaluación final que con base en el (trabajo realizado, resultados obtenidos y bilidas intificadas en la auditoría) dar recomendación y

Más detalles

I. INTRODUCCIÓN DEFINICIONES

I. INTRODUCCIÓN DEFINICIONES REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

0. Introducción. 0.1. Antecedentes

0. Introducción. 0.1. Antecedentes ISO 14001:2015 0. Introducción 0.1. Antecedentes Conseguir el equilibrio entre el medio ambiente, la sociedad y la economía está considerado como algo esencial para satisfacer las necesidades del presente

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Aspectos prácticos de implementación del Esquema Nacional de Seguridad Aspectos prácticos de implementación del Esquema Nacional de Seguridad 1 Contenidos Recordatorio rápido de la estructura del ENS Sobre la auditoría de seguridad en el ENS Las guías 800 del Centro Criptológico

Más detalles

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

MARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO

MARCO DE REFERENCIA SISTEMAS DE INFORMACIÓN PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO MARCO DE REFERENCIA PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO SISTEMAS DE INFORMACIÓN PLANEACIÓN Y GESTIÓN DE SIS-INF 80. Definición Estratégica de los SIS-INF Las entidades deben, en la Arquitectura

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS AUDITORIA DE SISTEMAS COMPUTACIONALES TIPOS DE AUDITORIA LIC. FRANCISCO D. LOVOS Tipos de Auditorías Auditoría de Base de Datos Auditoría de Desarrollo

Más detalles

Sistema de Administración del Riesgos Empresariales

Sistema de Administración del Riesgos Empresariales Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD

COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD COMISION DE REGLAMENTOS TECNICOS - CRT COMITÉ TECNICO DE NORMALIZACION DE GESTION Y ASEGURAMIENTO DE LA CALIDAD SUB COMITÉ SECTOR EDUCACION NORMAS APROBADAS NTP 833.920-2003 Guía de aplicación de la Norma

Más detalles

CAS-CHILE S.A. DE I. 2013

CAS-CHILE S.A. DE I. 2013 CAS-CHILE S.A. DE I. 2013 LA INFORMACIÓN ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIÓN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

1.8 TECNOLOGÍA DE LA INFORMACIÓN

1.8 TECNOLOGÍA DE LA INFORMACIÓN Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina

Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina Gestión de Riesgos de TI 1 Gestión de Riesgos de TI Conceptos Primarios Riesgo de

Más detalles

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas Protección de Datos y Adecuación al Esquema Nacional Puntos de encuentro y diferencias entre las normativas Acerca de Oesía CONSULTORÍA TECNOLÓGICA Desarrollo de software Seguridad Movilidad Business Intelligence

Más detalles

MANUAL DE CALIDAD ISO 9001:2008

MANUAL DE CALIDAD ISO 9001:2008 Página 1 de 21 MANUAL DE CALIDAD ISO 9001:2008 EMPRESA DE DISTRIBUCION DE ALUMINIO Y VIDRIO ELABORADO POR: APROBADO POR: REPRESENTANTE DE LA ALTA DIRECCIÓN GERENTE PROPIETARIO Página 2 de 21 CONTENIDO

Más detalles

Ing. Nicolás Serrano nserrano@bcu.gub.uy

Ing. Nicolás Serrano nserrano@bcu.gub.uy Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero. ANEXO II COMPROMISO RELATIVO AL TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL, DE OBLIGADA ACEPTACIÓN PARA AQUELLAS ENTIDADES QUE OBTENGAN LA CONDICIÓN DE ENTIDAD COLABORADORA DE LANBIDE-SERVICIO VASCO DE

Más detalles

POLÍTICAS PARA EL MANEJO DE BASES DE DATOS

POLÍTICAS PARA EL MANEJO DE BASES DE DATOS INTRODUCCIÓN POLÍTICAS PARA EL MANEJO DE BASES DE DATOS Teniendo como finalidad el cumplimiento de la normatividad sobre protección de datos personales definido en la ley 1581 de 2012 y legislación complementaria,

Más detalles

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)

Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación

Más detalles

L.O.P.D. Ley Orgánica de Protección de Datos

L.O.P.D. Ley Orgánica de Protección de Datos L.O.P.D. Ley Orgánica de Protección de Datos Texto de la ley El artículo 18.4 de la Constitución Española establece que la ley limitará el uso de la informática para garantizar el honor y la intimidad

Más detalles

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos

ACUERDO DE SERVICIO. Sistemas-Gestión de los Servicios Informáticos Páginas 1 de 7 1. OBJETIVO Brindar el marco normativo que fije las condiciones en que deben prestarse los Servicios de Tecnologías de Información a los procesos de la organización, estableciendo criterios

Más detalles

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo JIAP Montevideo Uruguay 17 de Agosto de 2011. Ing. Reynaldo C. de la Fuente, CISA, CISSP, CRISC, MBA DataSec

Más detalles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades

Más detalles

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO.

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO. LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO. Editado por el Departamento de Publicaciones del IE. María de Molina 13, 28006 Madrid, España. ahora: RESPONSABLE DE SEGURIDAD

Más detalles

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios

Más detalles

Elementos requeridos para crearlos (ejemplo: el compilador)

Elementos requeridos para crearlos (ejemplo: el compilador) Generalidades A lo largo del ciclo de vida del proceso de software, los productos de software evolucionan. Desde la concepción del producto y la captura de requisitos inicial hasta la puesta en producción

Más detalles

Estándares de Seguridad

Estándares de Seguridad Semana 4: Administración i ió De la Seguridad Estándares de Seguridad Aprendizajes esperados Contenidos: Estándares de Seguridad Problemas y Regulaciones de la privacidad Normas y Etá Estándares de Seguridad

Más detalles

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015

PLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015 1. Introducción Teniendo en cuenta que la administración de riesgos es estratégica para el logro de los objetivos institucionales a continuación se enuncian las principales guías o marcos de acción que

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Departamento de Nuevas Tecnologías Presentación LOPD Preguntas Demostración programa Federico Lardiés María

Más detalles

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA

CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio Proceso: GESTIÓN DE CALIDAD Página 1 de 7 NOMBRE DEL DOCUMENTO: En cumplimiento de la Ley 1581 de 2.012 y su Decreto Reglamentario 1377 de 2.013 CODIGO DEL DOCUMENTO: OD-GC-001 CONTROL DE CAMBIOS Versión

Más detalles

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES

SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES G OBIERNO D E L A CIUDAD DE BUENOS AIRES G OBIERNO D E L A CIUDAD DE BUENOS AIRES D irección General Adjunta de Sistemas Infor máticos SOLICITUD DE DESARROLLO Y ACTUALIZACIÓN DE APLICACIONES Página 1 de 16 Fecha de creación: 25/02/2009 Tabla

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...

Más detalles

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ 1 REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO DE LAS TICS EN EL EJERCICIO EFICIENTE

Más detalles

Gestión de riesgo operacional

Gestión de riesgo operacional Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA

RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. CONTENIDO Introducción Antecedentes Evolución de la Gestión de Riesgo Gestión

Más detalles

Auditorías Reglamentaria o Legal de Prevención de Riesgos Laborales

Auditorías Reglamentaria o Legal de Prevención de Riesgos Laborales Auditorías Reglamentaria o Legal de Prevención de Riesgos Laborales El art. 30.6 de la Ley de Prevención de Riesgos Laborales, establece que "la empresa que no hubiera concertado el servicio de prevención

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007 C/Fernando Macías 13; 1º izda. 15004 A CORUÑA Tel 981 160 247. Fax 981 108 992 www.pfsgrupo.com DEFINICIONES: RIESGOS

Más detalles

PROPUESTA DE CERTIFICACION

PROPUESTA DE CERTIFICACION PROPUESTA DE CERTIFICACION Ofrecemos asesorías para cualquier tipo de empresa en cuanto al diseño, implementación, certificación, mantenimiento y mejoramiento del Sistema de Gestión de Calidad (ISO 9001:2008),

Más detalles

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas Gestión de la inseguridad de las aplicaciones: Un enfoque práctico Algunas estadísticas Problemática actual Agenda Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

Más detalles

POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A.

POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A. POLÍTICAS DE PRIVACIDAD Y TRATAMIENTO DE DATOS PERSONALES TELEVISORA DE COSTA RICA S.A. Por favor lea cuidadosamente las siguientes Políticas de Privacidad y Tratamiento de Datos Personales de TELEVISORA

Más detalles

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa IT Project Portfolio Management y su vinculación con la Estrategia Corporativa Norberto Figuerola Mayo 2014 IT Management Los CIO deben gestionar eficazmente la entrega de los servicios de TI para lograr

Más detalles

PROCEDIMIENTO GESTIÓN DE CAMBIO

PROCEDIMIENTO GESTIÓN DE CAMBIO Pagina 1 1. OBJETO Asegurar la integridad del sistema de gestión en la cuando se hace necesario efectuar cambios debido al desarrollo o modificación de uno o varios procesos, productos y/o servicios, analizando

Más detalles

SEMANA 12 SEGURIDAD EN UNA RED

SEMANA 12 SEGURIDAD EN UNA RED SEMANA 12 SEGURIDAD EN UNA RED SEGURIDAD EN UNA RED La seguridad, protección de los equipos conectados en red y de los datos que almacenan y comparten, es un hecho muy importante en la interconexión de

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5

5.1 REGISTRO DE FICHEROS... 5. 5.1.1 Análisis de los datos tratados... 5 5.1.2 Inscripción de los ficheros... 5 1 INTRODUCCION... 3 2 PROTECCIÓN DE DATOS... 4 3 NORMATIVA BÁSICA REGULADORA... 4 4 AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS... 4 5 OBLIGACIONES DE LAS EMPRESAS.... 5 5.1 REGISTRO DE FICHEROS... 5 5.1.1

Más detalles