ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

Tamaño: px
Comenzar la demostración a partir de la página:

Download "ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES"

Transcripción

1 ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados Bogotá, D.C., Diciembre de 2011

2 2.0 FORMATO PRELIMINAR AL DOCUMENTO Título: Fecha elaboración aaaa-mm-dd: Sumario: Palabras Claves: ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - MODELO DE SEGURIDAD DE LA INFORMACIÓN PARA LA ESTRATEGIA DE GOBIERNO EN LÍNEA Este documento presenta la correspondencia de estándares entre el Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea y otros de amplia utilización. Correspondencia, estándares, dominios, políticas, Modelo de Seguridad de la Información, MECI, COBIT, ITIL, NTC GP 1000, ISO Formato: DOC Lenguaje: Español Dependencia: Ministerio de Tecnologías de la información y las Comunicaciones: Programa Agenda de Conectividad Estrategia Gobierno en línea Coordinación de Investigación, Políticas y Evaluación. Código: N/A Versión: Estado: Aprobado Categoría: Autor (es): Revisó: Aprobó: Información Adicional: Documento técnico Centro de Investigación de las Telecomunicaciones - CINTEL Julio Cesar Mancipe Caicedo Líder de Seguridad de la Información, Coordinación de Operaciones. Estrategia Gobierno en línea. Ana Carolina Rodríguez Rivero Coordinadora Coordinación de Investigación, Políticas y Evaluación Estrategia de Gobierno en línea Firmas: Ubicación: Página 2 de 47

3 2.0 CONTROL DE CAMBIOS VERSIÓN FECHA No. SOLICITUD RESPONSABLE DESCRIPCIÓN /12/2010 Extracción de documento de Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea /11/2011 Equipo de trabajo Actualización del documento /12/2011 Equipo de trabajo Ajustes al documento /12/2011 Equipo de trabajo Versión aprobada Página 3 de 47

4 2.0 TABLA DE CONTENIDO 1. INTRODUCCIÓN PROPÓSITO CORRESPONDENCIA DE ESTÁNDARES POLÍTICA DEL SISTEMA DE GESTIÓN POLÍTICAS Y OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD OBJETIVOS DE SEGURIDAD CORRESPONDENCIA DE ESTÁNDARES POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS AL CONTROL DE ACCESO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA NO REPUDIACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PRIVACIDAD Y CONFIDENCIALIDAD POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA INTEGRIDAD POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA DISPONIBILIDAD DEL SERVICIO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA DISPONIBILIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS A LA PROTECCIÓN DEL SERVICIO POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ASOCIADAS AL REGISTRO Y AUDITORIA Página 4 de 47

5 2.0 DERECHOS DE AUTOR Todas las referencias a los documentos del Modelo de Seguridad de la Información con derechos reservados por parte del Ministerio de Tecnologías de la Información y las Comunicaciones, por medio del Programa Gobierno en línea. Todas las referencias a las políticas, definiciones o contenido relacionado, publicadas en la norma técnica colombiana NTC ISO/IEC 27001, así como a los anexos con derechos reservados por parte de ISO/ICONTEC. Se puede consultar un cuadro exhaustivo que muestra la correspondencia entre los estándares directamente en Inglés COBIT,ITILV3,ISO27002-Bus-Benefit-12Nov08-Research.pdf y en Español en-beneficio-de-la-empresa-v2,7.pdf Página 5 de 47

6 INTRODUCCIÓN Existen muchos estándares a nivel internacional y algunos nacionales que abordan la problemática de seguridad de la información, en su mayoría plantean aproximaciones particulares al aseguramiento de la información y a las características que se deben cumplir para poder garantizar la misma. Este documento realiza un barrido de varios estándares de uso nacional con el fin de demostrar cómo los dominios planteados en el Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea se ajustan a estos. Los estándares abarcados son: MECI NTC GP: 1000:2004 ISO27001 COBIT 4.1 ITIL v3 Página 6 de 47

7 PROPÓSITO El propósito de este documento es ofrecer una comparativa entre los dominios planteados en el modelo y varios estándares relacionados con seguridad de la información que son de amplio uso nacional, con el fin de brindar un marco informativo para las entidades que proveen servicios para la estrategia de Gobierno en línea. Página 7 de 47

8 CORRESPONDENCIA DE ESTÁNDARES Es importante mantener una relación de las políticas de seguridad de la información aplicables al programa Gobierno en línea, que se han desarrollado a lo largo del presente documento, y todas aquellas políticas y buenas prácticas condensadas en otros estándares que se han aplicado en las entidades públicas, por tal motivo se presentan a continuación el conjunto de consideraciones y la interrelación de políticas adaptadas del capítulo 6 del documento MODELO DE SEGURIDAD DE LA INFORMACIÓN SISTEMA SANSI - SGSI -, la cual complementa las políticas planteadas Política del Sistema de Gestión La Estrategia de Gobierno en línea requiere que la información que se gestiona a través de los servicios y trámites disponibles para los ciudadanos, funcionarios públicos y entidades públicas y privadas esté adecuadamente asegurada con el fin de proteger los intereses públicos y nacionales y preservar la privacidad personal. Esta política se enfoca a la protección de la confidencialidad, integridad, disponibilidad y no repudiación de la información y servicios electrónicos que ofrecen las entidades públicas del orden nacional y territorial en cumplimiento del decreto 1151 de La máxima autoridad de las entidades públicas y privadas que participan en la cadena de prestación de servicios para la Estrategia de Gobierno en línea es responsable por implementar los requerimientos de seguridad que se plantean en la política con el fin proteger la información y activos públicos. El nivel de protección que cada entidad debe implementar para la información y los servicios de la Estrategia de Gobierno en línea, debe corresponder a un proceso de análisis y evaluación de riesgos. La gestión de riesgos es un requerimiento del sistema de gestión de seguridad de la información. Este proceso se ha fortalecido en las entidades públicas como resultado de la implantación del sistema integrado de gestión y control MECI y del sistema de gestión de la calidad NTC GP 1000:2004 para las entidades públicas. El sistema de gestión de seguridad de la información para la Estrategia de Gobierno en línea es complementario con los sistemas de calidad, control interno y desarrollo administrativo. Es posible, para una entidad, adaptar su(s) sistema(s) de gestión y control existente(s) para que cumplan con los requisitos de este sistema. En la implementación del sistema de gestión, se debe tener cuidado especial en la identificación de los elementos comunes, para evitar que se dupliquen esfuerzos Políticas y Objetivos de Seguridad de la Información Políticas de Seguridad Las políticas de seguridad que se plantean en este documento se basan en un análisis y evaluación de riesgos para cada una de las fases de la Estrategia de Gobierno en línea. Estas políticas representan directrices generales de alto nivel que deben ser adoptadas por todos los participantes en la cadena de prestación de servicios durante las fases de implementación de la Estrategia de Gobierno en línea. Página 8 de 47

9 2.0 Política de Control de Acceso Las entidades que provean servicios de Gobierno en línea que requieran mayor nivel de seguridad como resultado de un análisis y evaluación de riesgos, deben implementar mecanismos y controles que aseguren un efectivo registro, identificación y autenticación de los clientes y usuarios de dichos servicios. Así mismo, deben implementar mecanismos y controles que aseguren el acceso bajo el principio del mínimo privilegio necesario para realizar las labores de cada cliente o usuario de dichos servicios. Igualmente, se deben implementar controles para una efectiva administración de usuarios y derechos de acceso. Política de no repudiación Las entidades que provean servicios de transacciones electrónicas para Gobierno en línea, deben garantizar la no repudiación de las transacciones implementando mecanismos de seguridad que permitan crear un ambiente de confianza entre los clientes (ciudadanos, funcionarios públicos, empresas), los proveedores del servicio (entidades certificadoras) y la entidad estatal con relación a la autenticidad, trazabilidad y no repudiación de las transacciones electrónicas. Política de Privacidad y Confidencialidad Los datos personales de los clientes y demás información enviada a través de los servicios de Gobierno en línea deben ser protegidos y manejados de manera responsable y segura. Política de Integridad La información que se recibe o se envía a través de los servicios de Gobierno en línea debe conservar los atributos de correcta y completa durante la transmisión, el procesamiento y el almacenamiento. Política de Disponibilidad del Servicio Las entidades que provean servicios de Gobierno en línea deben asegurar la disponibilidad continua de los servicios bajo su control. Política de Disponibilidad de la Información Las entidades que provean servicios de Gobierno en línea deben asegurar que los datos de los usuarios y clientes se mantienen protegidos contra pérdida por actos accidentales o intencionales o por fallas de los equipos. Política de Protección del Servicio Las entidades que provean servicios de Gobierno en línea deben asegurar que los servicios y sus activos de información relacionados estén adecuadamente protegidos contra ataques externos o internos. Página 9 de 47

10 2.0 Política de Registro y Auditoría Las entidades que provean servicios de Gobierno en línea deben mantener y proteger los registros de las transacciones electrónicas como evidencia para los requerimientos de las auditorias (internas o externas) y como mecanismo para establecer responsabilidades de los clientes y usuarios Objetivos de Seguridad Para asegurar el cumplimiento de las políticas de seguridad para Gobierno en línea, se establecieron objetivos de control asociados a cada política. Por otra parte, considerando que las entidades públicas como parte del proceso de modernización de la gestión pública han implementado el sistema de gestión integrado de control interno, MECI y el sistema de gestión de calidad NTC GP 1000:2004, se hace necesario identificar donde sea aplicable, alineamiento de los requerimientos de seguridad de la información con estos sistemas con el fin de evitar duplicación de esfuerzos. Igualmente, es necesario tener presente las iniciativas de las entidades públicas y privadas encaminadas a implementar estándares y mejores prácticas tales como: Sistema de Gestión de Seguridad de la Información (ISO27001), Gobierno de tecnología de la información (COBIT), Prestación de Servicios de TI (ITIL) entre otros. En ese sentido, a continuación se identifica el alineamiento de los requerimientos de seguridad con éstas mejores prácticas. Página 10 de 47

11 3.3. Correspondencia de estándares Políticas de Seguridad de la Información asociadas al control de acceso Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos CONTROL DE ACCESO PO2.3 Esquema de clasificación de datos OPERACIÓN DEL SERVICIO Direccionamiento estratégico 4.2 Gestión documental Requisito de la entidad para el control de acceso PO3.4 Estándares tecnológicos SO 4.5 Administración del acceso Administración del riesgo 5 Responsabilidad de la dirección Política de control de acceso PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI SO Objetivo/Meta/Propósito 2.1 Actividades de Control Comunicación interna Gestión del acceso de usuarios AI1.2 Reporte de análisis de riesgos SO Alcance 2.2 Información Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Registro de usuarios DS5.2 Plan de seguridad de TI SO Valor para el negocio 2.3 Comunicación pública 6.3 Infraestructura Gestión de privilegios DS5.3 Administración de identidad SO Políticas/principios/conceptos

12 básicos 5 Roles y responsabilidades 6.4 Ambiente de trabajo Gestión de contraseñas para usuarios DS5.4 Administración de cuentas del usuario SO Procesos, actividades, métodos y técnicas 7.1 Planificación de la realización del producto y/o prestación del servicio Revisión de los derechos de acceso de los usuarios DS5.7 Protección de la tecnología de seguridad SO4.5.6 Triggers, entradas, salidas, interfaces entre procesos 7.2 Procesos relacionados con el cliente Responsabilidades de los usuarios DS5.8 Administración de llaves criptográficas SO Administración de Información Comunicación con el cliente Uso de contraseñas DS5.10 Seguridad de la red SO Métricas 7.3 Diseño y desarrollo Equipo de usuario desatendido DS5.11 Intercambio de datos sensitivos SO Desafíos, factores críticos de éxito y riesgos Revisión del diseño y desarrollo Política de escritorio despejado y pantalla despejada SO 5.3 Administración de mainframe Verificación del diseño y desarrollo Control de acceso a las redes SO 5.4 Administración y soporte de servidores 7.4 Adquisición de bienes Política de uso de los SO 5.5 Administración de la Página 12 de 47

13 y servicios servicios de red red 7.5 Producción y prestación del servicio Autenticación de usuarios para conexiones externas. SO 5.7 Administración de bases de datos Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación de los equipos en las redes SO 5.8 Administración de servicios de directorio Identificación y trazabilidad Protección de los puertos de configuración y diagnóstico remoto SO 5.10 Administración del middleware 8.4 Análisis de datos Separación en las redes SO 5.11 Administración de Internet y servicios web Control de conexión a las redes Control de enrutamiento en la red Control de acceso al sistema operativo Procedimientos de ingresos seguros Página 13 de 47

14 Identificación y autenticación de usuarios Sistema de gestión de contraseñas Uso de las utilidades del sistema Tiempo de inactividad de la sesión Limitación del tiempo de conexión Control de acceso a las aplicaciones y a la información. Restricción de acceso a la información Aislamiento de sistemas sensibles Computación móvil y trabajo remoto Computación y Página 14 de 47

15 comunicaciones móviles Trabajo remoto Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Controles criptográficos Política sobre el uso de los controles criptográficos Gestión de llaves Página 15 de 47

16 Políticas de Seguridad de la Información asociadas a la no repudiación Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos Servicios de Comercio Electrónico AC4 Integridad y validez del procesamiento de datos SO 5.10 Administración del middleware Direccionamiento estratégico 4.2 Gestión documental Comercio electrónico AC6 Autenticidad e integridad de las transacciones SD Diseño de las soluciones del servicio Administración del riesgo 5 Responsabilidad de la dirección Transacciones en línea PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI SD 5.2 Administración de información y datos Actividades de Control Comunicación interna Información disponible al público AI2.3 Control y auditabilidad de las aplicaciones Información Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Requisitos de seguridad de los sistemas de información AI2.4 Seguridad y disponibilidad de las aplicaciones. Página 16 de 47

17 Comunicación pública 6.3 Infraestructura Análisis y especificación de los requisitos de seguridad DS5.8 Administración de llaves criptográficas 5 Roles y responsabilidades 6.4 Ambiente de trabajo Controles criptográficos DS5.11 Intercambio de datos sensitivos 7.1 Planificación de la realización del producto y/o prestación del servicio Política sobre el uso de los controles criptográficos DS11.6 Requerimientos de seguridad para administración de datos 7.2 Procesos relacionados con el cliente Gestión de llaves Comunicación con el cliente 7.3 Diseño y desarrollo Revisión del diseño y desarrollo Verificación del diseño y desarrollo 7.4 Adquisición de bienes y servicios 7.5 Producción y prestación del servicio Página 17 de 47

18 7.5.1 Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad 8.4 Análisis de datos Página 18 de 47

19 Políticas de Seguridad de la Información asociadas a la privacidad y confidencialidad Ambiente de control riesgos Gestión de la prestación del servicio por terceras partes Direccionamiento estratégico 4.2 Gestión documental Prestación del servicio Administración del riesgo Actividades de Control Información 5. Responsabilidad de la dirección Comunicación interna Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Monitoreo y revisión de los servicios por terceras partes Gestión de los cambios en los servicios por terceras partes Gestión de la seguridad de las redes Comunicación pública 6.3 Infraestructura Controles de las redes AC4 Integridad y validez del procesamiento de datos AC6 Autenticidad e integridad de las transacciones PO2.3 Esquema de clasificación de datos PO3.4 Estándares tecnológicos PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de análisis de riesgos SO 4.5 Administración del acceso SO Objetivo/Meta/Propósito SO Alcance SO Valor para el negocio SO Políticas/principios/conce ptos básicos SO Procesos, actividades, métodos y técnicas 5 Roles y responsabilidades 6.4 Ambiente de trabajo Seguridad de los servicios de la red AI2.3 Control y auditabilidad de las aplicaciones SO Triggers, entradas, salidas, interfaces entre procesos Página 19 de 47

20 7.1 Planificación de la realización del producto y/o prestación del servicio 7.2 Procesos relacionados con el cliente Comunicación con el cliente 7.3 Diseño y desarrollo Revisión del diseño y desarrollo Verificación del diseño y desarrollo 7.4 Adquisición de bienes y servicios 7.5 Producción y prestación del servicio Respaldo Respaldo de la información. Intercambio de la información Políticas y procedimientos para el intercambio de información Acuerdos para el intercambio Medios físicos en tránsito Mensajería electrónica Sistemas de información de la entidad AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos de la entidad para administración de datos DS5.2 Plan de seguridad de TI DS5.3 Administración de identidad DS5.4 Administración de cuentas del usuario DS5.7 Protección de la tecnología de seguridad DS5.8 Administración de llaves criptográficas DS5.10 Seguridad de la red SO Administración de Información SO Métricas SO Desafíos, factores críticos de éxito y riesgos SO Copia de respaldo y restauración SO 5.3 Administración de mainframe SO 5.4 Administración y soporte de servidores SO 5.5 Administración de la red SO 5.6 Almacenamiento y archivo Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad Servicios de Comercio Electrónico Comercio electrónico DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos de la entidad para administración de datos SO 5.7 Administración de bases de datos SO 5.8 Administración de servicios de directorio Página 20 de 47

21 8.4 Análisis de datos Transacciones en línea Información disponible al público DS11.2 Acuerdos de almacenamiento y conservación DS11.3 Sistema de administración de librerías de medios SO 5.10 Administración del middleware SO 5.11 Administración de Internet y servicios web Requisito de la entidad para el control de acceso Política de control de acceso Gestión del acceso de usuarios Registro de usuarios Gestión de privilegios Gestión de contraseñas para usuarios DS11.4 Eliminación DS11.5 Copias de seguridad y restauración DS11.6 Requerimientos de seguridad para administración de datos SD Diseño de las soluciones del servicio SD 5.2 Administración de información y datos Revisión de los derechos de acceso de los usuarios Responsabilidades de los usuarios Uso de contraseñas Equipo de usuario desatendido Política de escritorio despejado y pantalla despejada Control de acceso a las redes Página 21 de 47

22 Política de uso de los servicios de red Autenticación de usuarios para conexiones externas. Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de conexión a las redes Control de enrutamiento en la red Control de acceso al sistema operativo Procedimientos de ingresos seguros Identificación y autenticación de usuarios Sistema de gestión de contraseñas Uso de las utilidades del sistema Tiempo de inactividad de la sesión Limitación del tiempo de conexión Página 22 de 47

23 Control de acceso a las aplicaciones y a la información. Restricción de acceso a la información Aislamiento de sistemas sensibles Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Controles criptográficos Política sobre el uso de los controles criptográficos Gestión de llaves Página 23 de 47

24 Políticas de Seguridad de la Información asociadas a la integridad Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos Respaldo AC4 Integridad y validez del procesamiento de datos SO 4.5 Administración del acceso Direccionamiento estratégico 4.2 Gestión documental Respaldo de la información. AC6 Autenticidad e integridad de las transacciones Administración del riesgo Actividades de Control Información 5 Responsabilidad de la dirección Comunicación interna Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Gestión de la seguridad de las redes Controles de las redes Seguridad de los servicios de la red Comunicación pública 6.3 Infraestructura Requisito de la entidad para el control de acceso Página 24 de 47 PO2.3 Esquema de clasificación de datos PO3.4 Estándares tecnológicos PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI AI1.2 Reporte de análisis de riesgos 5 Roles y responsabilidades 6.4 Ambiente de trabajo Política de control de acceso AI2.3 Control y auditabilidad de las aplicaciones 7.1 Planificación de la realización del producto y/o prestación del servicio 7.2 Procesos relacionados con el cliente Gestión del acceso de usuarios Registro de usuarios AI2.4 Seguridad y disponibilidad de las aplicaciones. DS11.1 Requerimientos de la entidad para administración de datos SO Objetivo/Meta/Propósito SO Alcance SO Valor para el negocio SO Políticas/principios/conce ptos básicos SO Procesos, actividades, métodos y técnicas SO Triggers, entradas, salidas, interfaces entre procesos SO Administración de Información SO Métricas

25 7.2.3 Comunicación con el cliente Gestión de privilegios DS5.2 Plan de seguridad de TI SO Desafíos, factores críticos de éxito y riesgos 7.3 Diseño y desarrollo Gestión de contraseñas para usuarios DS5.3 Administración de identidad SO Copia de respaldo y restauración Revisión del diseño y desarrollo Revisión de los derechos de acceso de los usuarios DS5.4 Administración de cuentas del usuario SO 5.3 Administración de mainframe Verificación del diseño y desarrollo Control de acceso a las redes DS5.7 Protección de la tecnología de seguridad SO 5.4 Administración y soporte de servidores 7.4 Adquisición de bienes y servicios Política de uso de los servicios de red DS5.8 Administración de llaves criptográficas SO 5.5 Administración de la red 7.5 Producción y Autenticación de usuarios DS5.10 Seguridad de la SO 5.6 Almacenamiento prestación del servicio Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad para conexiones externas. Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Página 25 de 47 red DS5.11 Intercambio de datos sensitivos DS11.1 Requerimientos de la entidad para administración de datos 8.4 Análisis de datos Separación en las redes DS11.2 Acuerdos de almacenamiento y conservación Control de conexión a las redes Control de enrutamiento en la red Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto DS11.3 Sistema de administración de librerías de medios DS11.4 Eliminación DS11.5 Copias de seguridad and restoration DS11.6 Requerimientos de seguridad para administración de datos y archivo SO 5.7 Administración de bases de datos SO 5.8 Administración de servicios de directorio SO 5.10 Administración del middleware SO 5.11 Administración de Internet y servicios web SD Diseño de las soluciones del servicio SD 5.2 Administración de información y datos

26 Controles criptográficos Política sobre el uso de los controles criptográficos Gestión de llaves Página 26 de 47

27 Políticas de Seguridad de la Información asociadas a la disponibilidad del servicio Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos Planificación y aceptación del sistema DS3 Administrar el desempeño y la capacidad Direccionamiento estratégico Administración del riesgo Actividades de Control Información 4.2 Gestión documental Gestión de la capacidad DS3.1 Planeación del desempeño y la capacidad 5 Responsabilidad de la dirección Comunicación interna Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Aspectos de seguridad de la información, de la gestión de la continuidad de la entidad. Inclusión de la seguridad de la información en el proceso de gestión de la continuidad de la entidad. Continuidad de la entidad y evaluación de riesgos Comunicación pública 6.3 Infraestructura Desarrollo e implementación de planes de continuidad que incluyen la seguridad de la información. 5 Roles y responsabilidades 6.4 Ambiente de trabajo Estructura para la planificación de la continuidad de la entidad Página 27 de 47 DS3.2 Capacidad y desempeño actual DS3.3 Capacidad y desempeño futuros DS3.4 Disponibilidad de recursos de TI DS3.5 Monitoreo y reporte DS4 Garantizar la continuidad del servicio SO 4.1 Administración de eventos SD 4.3 Administración de la capacidad SD 4.4 Administración de la disponibilidad SD Actividades de administración de la disponibilidad SD 4.5 Administración de la continuidad del servicio SD Etapa 1 - Inicio SD Etapa 2 Requerimientos y estrategia

28 7.1 Planificación de la realización del producto Pruebas, mantenimiento y reevaluación de los DS4.1 IT Marco de trabajo de continuidad SD Etapa 3 implementación y/o prestación del servicio planes de continuidad de la entidad 7.2 Procesos relacionados con el cliente DS4.2 Planes de continuidad de TI SD Etapa 4 - Operación continua Comunicación con DS4.3 Recursos críticos SO Copia de el cliente de TI 7.3 Diseño y desarrollo DS4.4 Mantenimiento del plan de continuidad de TI Revisión del diseño y desarrollo Verificación del diseño y desarrollo Control de los cambios del diseño y desarrollo 7.4 Adquisición de bienes y servicios 7.5 Producción y prestación del servicio Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad DS4.5 Pruebas del plan de continuidad de TI DS4.6 Entrenamiento del plan de continuidad de TI DS4.7 Distribución del plan de continuidad de TI DS4.8 Recuperación y reanudación de los servicios de TI DS4.9 Almacenamiento de respaldos fuera de las instalaciones DS4.10 Revisión postreanudación respaldo y restauración SD Apéndice K Contenido de un plan de recuperación de desastres Página 28 de 47

29 8.4 Análisis de datos Página 29 de 47

30 Políticas de Seguridad de la Información asociadas a la disponibilidad de la información Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y diseñar puntos de control sobre los riesgos Respaldo DS4.9 Almacenamiento de respaldos fuera de las instalaciones Direccionamiento estratégico Administración del riesgo Actividades de Control Información Comunicación pública 5 Roles y responsabilidades 4.2 Gestión documental Respaldo de la información Control de documentos Control de los registros 5 Responsabilidades de la dirección Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad DS11.2 Acuerdos de almacenamiento y conservación DS11.5 Respaldo y restauración DS11.6 Requerimientos de seguridad para la administración de datos SO Copia de respaldo y restauración SD 5.2 Administración de información y datos Página 30 de 47

31 Políticas de Seguridad de la Información asociadas a la protección del servicio Ambiente de control 4.1 Requisitos Generales, subnumeral g) Identificar y Gestión de la seguridad de las redes PO4.11 Segregación de funciones SD Diseñando soluciones y servicios diseñar puntos de control sobre los riesgos Direccionamiento estratégico 4.2 Gestión documental Controles de las redes PO3.4 Estándares tecnológicos SO 4.5 Administración del acceso Administración del 5 Responsabilidad de la Seguridad de los PO6.1 Ambiente de políticas SO riesgo dirección servicios de la red y de control Actividades de Control Comunicación interna Monitoreo PO6.2 Riesgo Corporativo y Marco de Referencia de Control Interno de TI Información Información para la revisión, subnumeral h) Riesgos actualizados e identificados para la entidad Registro de auditorias Comunicación pública 6.3 Infraestructura Monitoreo del uso del sistema 5 Roles y responsabilidades 6.4 Ambiente de trabajo Protección de la información del registro 7.1 Planificación de la realización del producto y/o prestación del servicio 7.2 Procesos relacionados con el cliente Registros del administrador y del operador Registro de fallas Página 31 de 47 PO8.3 Estándares de desarrollo y de adquisición AI1.2 Reporte de análisis de riesgos AI2.3 Control y auditabilidad de las aplicaciones AI2.4 Seguridad y disponibilidad de las aplicaciones. AI2.5 Configuración e implantación de software aplicativo adquirido Objetivo/Meta/Propósito SO Alcance SO Valor para el negocio SO Políticas/principios/conceptos básicos SO Procesos, actividades, métodos y técnicas SO Triggers, entradas, salidas, interfaces entre procesos SO Administración de Información

32 7.2.3 Comunicación con el Sincronización de relojes AI2.6 Actualizaciones SO Métricas cliente importantes en sistemas existentes 7.3 Diseño y desarrollo Control de acceso a las redes AI2.7 Desarrollo de software aplicativo SO Desafíos, factores críticos de éxito y riesgos Revisión del diseño y Política de uso de los AI2.8 Aseguramiento de la SO Copia de respaldo y desarrollo Verificación del diseño y desarrollo 7.4 Adquisición de bienes y servicios 7.5 Producción y prestación del servicio Control de la producción y de la prestación del servicio, subnumeral g) Los riesgos de mayor probabilidad Identificación y trazabilidad servicios de red Autenticación de usuarios para conexiones externas. Identificación de los equipos en las redes Protección de los puertos de configuración y diagnóstico remoto Separación en las redes Control de conexión a las redes 8.4 Análisis de datos Control de enrutamiento en la red Control de acceso al sistema operativo Procedimientos de ingresos seguros Identificación y autenticación de usuarios Calidad del Software AI2.9 Administración de los requerimientos de aplicaciones AI2.10 Mantenimiento de software aplicativo AI3.2 Protección y disponibilidad del recurso de infraestructura AI3.3 Mantenimiento de la Infraestructura AI4.2 Transferencia de conocimiento a la gerencia de la entidad AI4.3 Transferencia de conocimiento a usuarios finales AI4.4 Transferencia de conocimiento al personal de operaciones y soporte AI5.2 Administración de contratos con proveedores AI6.1 Estándares y procedimientos para cambios restauración SO 5.3 Administración de mainframe SO 5.4 Administración y soporte de servidores SO 5.5 Administración de la red SO 5.6 Almacenamiento y archivo SO 5.7 Administración de bases de datos SO 5.8 Administración de servicios de directorio SO 5.10 Administración del middleware SO 5.11 Administración de Internet y servicios web SD Diseño de las soluciones del servicio Página 32 de 47

33 Sistema de gestión de contraseñas AI6.2 Evaluación de impacto, priorización y SD 5.2 Administración de información y datos autorización Uso de las utilidades del sistema AI6.3 Cambios de emergencia Tiempo de inactividad de la sesión AI6.4 Seguimiento y reporte del estatus de cambio Limitación del tiempo de AI6.5 Cierre y conexión Control de acceso a las aplicaciones y a la información Restricción de acceso a la información Aislamiento de sistemas sensibles Computación móvil y trabajo remoto Computación y comunicaciones móviles Trabajo remoto Requisitos de seguridad de los sistemas de información Análisis y especificación de los requisitos de seguridad Seguridad en los procesos de desarrollo y soporte Procedimientos de control de cambios Revisión técnica de las aplicaciones después de los cambios en el Página 33 de 47 documentación del cambio AI7.1 Entrenamiento AI7.2 Plan de prueba AI7.3 Plan de implantación AI7.4 Ambiente de prueba AI7.5 Conversión de sistema y datos AI7.6 Prueba de cambios AI7.7 Prueba final de aceptación AI7.8 Transferencia a producción AI7.9 Liberación de software AI7.10 Distribución del sistema AI7.11 Registro y rastreo de cambios

34 sistema operativo Restricción en los cambios a los paquetes de software Fuga de información Desarrollo de software contratado externamente Gestión de la vulnerabilidad técnica Control de vulnerabilidades técnicas Gestión de los incidentes y las mejoras en la seguridad de la información Responsabilidades y procedimientos. Aprendizaje debido a los incidentes de seguridad de la información Recolección de evidencia AI7.12 Revisión posterior a la implantación DS2.3 Administración de riesgos del proveedor DS2.4 Monitoreo del desempeño del proveedor DS 5.7 Protección de la tecnología de seguridad DS5.10 Seguridad de la red DS9 Administrar la configuración DS9.1 Repositorio de configuración y línea base DS9.2 Identificación y mantenimiento de elementos de configuración DS9.3 Revisión de integridad de la configuración ME1.2 Definición y recolección de datos de monitoreo ME2.2 Revisiones de Auditoría ME2.5 Aseguramiento del control interno ME4.7 Aseguramiento independiente. Página 34 de 47

35 DS5.1 Administración de la seguridad de TI DS5.2 Plan de seguridad de TI DS5.3 Administración de identidad DS5.4 Administración de cuentas del usuario DS5.5 Pruebas, vigilancia y monitoreo de la seguridad DS5.6 Definición de incidente de seguridad DS5.7 Protección de la tecnología de seguridad DS5.8 Administración de llaves criptográficas DS5.9 Prevención, detección y corrección de software malicioso DS5.10 Seguridad de la red DS8 Administrar la mesa de servicio y los incidentes DS8.1 Mesa de Servicios DS8.2 Registro de consultas de clientes DS8.3 Escalamiento de incidentes DS8.4 Cierre de incidentes DS8.5 Análisis de tendencias DS10 Administración de problemas DS10.1 Identificación y clasificación de problemas DS10.2 Rastreo y resolución de problemas Página 35 de 47

36 DS10.3 Cierre de problemas DS10.4 Integración de las administraciones de cambios, configuración y problemas Página 36 de 47

37 Políticas de Seguridad de la Información asociadas al registro y auditoria 3.1 Autoevaluación Revisión del diseño y Monitoreo AI2.3 Control y auditabilidad SO 5.1 Monitoreo y control desarrollo de las aplicaciones 3.2 Evaluación independiente Verificación del diseño y desarrollo Registro de auditorias DS5.5 Pruebas, vigilancia y monitoreo de la seguridad SD 8.5 Medición del diseño del servicio 3.3 Planes de mejoramiento Validación de los procesos de producción y de la prestación del servicio 7.6 Control de los dispositivos de seguimiento y de medición 8 Medición, análisis y mejora Auditoría interna del sistema de gestión de la calidad 8.2 Seguimiento y medición de los procesos Seguimiento y medición del producto y/o servicio 8.3 Control del producto y/o servicio no conforme Monitoreo del uso del sistema Protección de la información del registro Registros del administrador y del operador Registro de fallas Sincronización de relojes DS5.7 Protección de la tecnología de seguridad ME1.2 Definición y recolección de datos de monitoreo ME2.2 Revisiones de Auditoria ME2.5 Aseguramiento del control interno ME4.7 Aseguramiento independiente. CSI 4.1 Los siete pasos del proceso de mejoramiento del servicio CSI 5.3 Benchmarking CSI 4.1g Siete pasos para implementar acciones correctivas CSI 8 Implementar mejoramiento continuo del servicio Página 37 de 47

38 En la Tabla 1 y en la Tabla 2 se puede observar la relación existente entre varios estándares de seguridad de la información, las características comunes y los elementos en los que concuerdan o difieren. Este análisis permite tomar elementos de estándares ya implementados en las entidades del estado y alinearlos a las políticas de seguridad de la información planteadas. Tabla 1: Interrelación de estándares de seguridad de la información PROPÓSITO ISO ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI Brindar un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de la seguridad de la información (SGSI). Prevenir y mitigar ataques, errores y accidentes que puedan comprometer la seguridad de los sistemas de información y los procesos organizacionales que los soportan. Optimizar el uso de los recursos (la información, las inversiones y gastos, las personas, el tiempo y la infraestructura). Promover buenas prácticas de seguridad de la información en las organizaciones. Ayudar a mejorar el nivel de seguridad para reducir los riesgos de información a un nivel aceptable. Conjunto de buenas prácticas para el gobierno, control y aseguramiento de TI cuyo propósito es asegurar efectividad en la implantación de TI de manera que minimice los riesgos tecnológicos y maximice los beneficios de las inversiones de TI. Promover un enfoque da calidad para lograr efectividad y eficiencia en la prestación de servicios de TI. Proporcionar guía para permitir que las empresas públicas, privadas o comunitarias, los grupos y los individuos logren entre otros: Una base más rigurosa, y confiable para la toma de decisiones y la planificación; mejor identificación de las oportunidades y las amenazas; Ganar valor a partir de la incertidumbre y la variabilidad; una gestión proactiva y no reactiva. Establecer los requisitos para la implementación de un sistema de gestión de la calidad aplicable a la rama ejecutiva del poder público y otras entidades prestadoras de servicios. Establecer las políticas, los métodos y mecanismos de prevención, control, evaluación y de mejoramiento permanente de la entidad pública, que le permiten el cumplimiento de sus objetivos institucionales y la finalidad social del estado en su conjunto. PRINCIPIOS

39 PRINCIPIOS ISO ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 Adhesión a los principios de la OCDE para la seguridad de sistemas y redes: Toma de conciencia Responsabilidad Respuesta Valoración de riesgos Diseño e Implantación de seguridad Gestión de la seguridad Reevaluación Plantea los siguientes objetivos básicos de seguridad: El uso de servicios y el acceso a repositorios está restringido a usuarios autorizados; La disponibilidad de los repositorios, servicios y canales excede las expectativas de los clientes; La confiabilidad y el desempeño de los servicios y canales excede las expectativas de los clientes; La existencia de repositorios y servicios está asegurada tanto como las expectativas de los clientes; Los repositorios que terminen su ciclo de vida son destruidos; Se asegura la precisión, importancia y consistencia de los repositorios; La fecha y el tiempo exacto se refleja en todos los registros; Se propicia que los usuarios sean responsables por los repositorios y mensajes que ellos crean o modifican; Se propicia que los usuarios sean responsables por el uso de servicios y aceptación de contratos y acuerdos; Define como principios los controles de seguridad para cada una de las seis secciones que componen el documento. Los principios de más alto nivel se resumen así: Compromiso demostrado de la alta dirección con la seguridad de la información. Especificación de responsabilidades por la seguridad de la información en los contratos del personal. El Comité directivo o su equivalente debería tener el control sobre la seguridad de la información. El marco de referencia de Cobit se basa en el siguiente principio: Con el fin de proporcionar la información que la empresa necesita para alcanzar sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos de TI agrupados en forma natural". Administración integrada de servicios Orientación hacia los clientes y usuarios de la tecnología Los principios se pueden inferir como: Identificación de amenazas y oportunidades Conciencia y cultura Responsabilidad en la toma de decisiones Comunicación Relación de costo beneficio Página 39 de 47

40 PRINCIPIOS NTC GP 1000 MECI Enfoque hacia el cliente Liderazgo Participación activa Enfoque basado en los procesos Enfoque del sistema para la gestión Mejora continua Enfoque basado en hechos para la toma de decisiones Relaciones mutuamente beneficiosas con proveedores de bienes o servicios Coordinación, cooperación y articulación Transparencia Principios de la función administrativa: Responsabilidad, transparencia, moralidad, igualdad, imparcialidad, eficiencia, eficacia, economía, celeridad, publicidad, preservación del medio ambiente. Los fundamentos que lo enmarcan: Autocontrol, autogestión y autorregulación. MODELO PHVA ISO ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI La norma adopta el modelo de procesos PHVA. Enfoque basado en procesos. Para cada proceso se identifica el nivel de la organización responsable del proceso, dueño del proceso, objetivo del proceso, métricas, entradas, salidas y actividades del proceso entre otros. Es aplicable el modelo PHVA. El enfoque está orientado a controles. Describe un conjunto de objetivos de control y controles para seguridad de información en 6 áreas claves. La estructura de procesos de TI definida en Cobit se enfoca en el modelo PHVA. Orientado a procesos y es aplicable el modelo PHVA. Enfoque orientado a procesos aplicando PHVA Enfoque orientado a procesos aplicando PHVA Enfoque de operación basado en procesos. NIVELES DE MADUREZ ISO No se especifican Página 40 de 47

41 ISM3 ISF-SOGP COBIT ITIL AS NZ 4360 NTC GP 1000 MECI Niveles de madurez de capacidad: Indefinido; Definido; Administrado; Controlado; Optimizado. Niveles de madurez de cubrimiento: Nivel 1 inversión mínima con mínima reducción del riesgo; Nivel 2 inversión moderada con reducción adicional de riesgo; Nivel 3 inversión significativa con alta reducción del riesgo; Nivel 4 inversión alta con alta reducción del riesgo; Nivel 5 similar a la anterior más el uso obligatorio de métricas. No hay especificación. Para cada proceso de TI se define un modelo de madurez: 0 - Inexistente (No existe el proceso); 1 - Inicial (Proceso adhoc y desorganizado); 2 - Repetible (sigue un patrón regular); 3 - Definido (proceso documentado y comunicado); 4 - Administrado (proceso monitoreado y medido) ; 5 - Optimizado (las mejores prácticas seguidas y automatizadas); No se especifican No se especifican No se especifican No se especifican ESTABLECIMIENTO DEL SISTEMA DE GESTIÓN ISO Establecimiento y gestión del SGSI Establecimiento del SGSI Implementación y Operación del SGSI Seguimiento y revisión del SGSI Mantenimiento y mejora del SGSI ISM Establecer y mejorar el SGSI ISF-SOGP SM Administración de la seguridad COBIT La implementación de los procesos de TI de Cobit apoya el SGSI que se adopte. Los criterios de confidencialidad, integridad, disponibilidad y cumplimiento son impactados principalmente por los procesos: P02, P09, AI6, DS45, DS5, DS11, DS12 y ME3. ITIL Se direcciona en el libro Estrategia del Servicio AS NZ 4360 Se direcciona en el numeral 4 Establecimiento de una Gestión eficaz de riesgo. NTC GP , Sistema de Gestión de la calidad 4.1 Requisitos Generales Seguimiento y medición de los procesos Seguimiento y medición del producto MECI 1.Subsistema de Control Estratégico 2. Subsistema de Control de Gestión. 2.1 Componente actividades de control GESTIÓN DE RIESGOS Página 41 de 47

42 GESTIÓN DE RIESGOS ISO Establecimiento del SGSI, numerales c) al j) c) Definir enfoque organizacional para la valoración de riesgos d) Identificar los riesgos e) Analizar y evaluar los riesgos f) Identificar y evaluar las opciones de tratamiento de los riesgos g) Seleccionar objetivos de control y controles para el tratamiento de riesgos h) Obtener Aprobación de la dirección sobre los riesgos residuales propuestos i) Obtener aprobación de la dirección para implementar y operar el SGSI j) Elaborar declaración de aplicabilidad ISM3 GP-01G Política de administración de riesgos GP-3 Diseño y evolución ISF-SOGP SM3.3 Gestionar Análisis de riesgos de información SM3.4 Metodologías de Análisis de riesgos de información CB5.3 Análisis de Riesgos de Información CI5.4 Análisis de Riesgos de Información NW4.4 Análisis de Riesgos de Información SD3.5 Análisis de riesgos de información COBIT P09 Administrar y evaluar los riesgos de TI. Otros procesos con impacto primario en la gestión de riesgos: P04,P06, P09, DS2, DS4, DS5, DS11, DS12, ME2, ME3, ME4 ITIL Se menciona en los 5 libros a través del ciclo de vida del servicio. Se focaliza en los riesgos relacionados con la disponibilidad del servicio y con la efectividad y eficiencia en la prestación del servicio. AS NZ 4360 Es el fundamento de la norma. Las etapas del proceso son: a) Comunicación y consulta b) Establecimiento del contexto c) Identificación de los riesgos d) Análisis de los riesgos e) Evaluación de los riesgos f) Tratamiento de los riesgos g) Monitoreo y Revisión NTC GP Requisitos generales g) identificar y diseñarlos puntos de control sobre losriesgos de mayor probabilidad de ocurrencia en las materias y funciones que le competen a cada entidad Control de la producción y de la prestación del servicio g) los riesgos de mayor probabilidad Acción preventiva MECI 1.3 Componente Administración de Riesgos Contexto estratégico Identificación de riesgos Análisis de Riesgos Valoración del Riesgo Políticas de administración del riesgo Página 42 de 47

43 REQUISITOS DE DOCUMENTACIÓN ISO Requisitos de documentación Generalidades Control de documentos Control de Registros ISM3 GP-1 Administración de Documentos ISF-SOGP Se hace referencia a la documentación en las 6 secciones del documento. COBIT Cobit hace referencia a la documentación en los controles de los procesos, PC6 Políticas, Planes y Procedimientos, además de los procesos: AI4.4, AI6.5, AI7.9, DS13.1. ITIL Se menciona en varios lugares de los libros, como por ejemplo: SD Apéndice C Documentación de Procesos, SO 3.7 Documentación, ST 4.7 Administrar el conocimiento, SD Apéndice D Diseñando y planeando documentos y su contenido. AS NZ 4360 Es tratado en las siguientes secciones: 3.8 Registro del Proceso de Gestión del Riesgo Desarrollo y comunicación de la política de gestión de riesgo NTC GP Requisitos de la documentación Generalidades Manual de la calidad Control de los documentos Control de los registros MECI Manual de procedimientos RESPONSABILIDAD Y COMPROMISO DE LA DIRECCIÓN ISO Responsabilidad de la dirección 5.1 Compromiso de la dirección ISM3 Explícitamente no se mencionan aspectos de responsabilidad y compromiso de la dirección para establecer y mantener el modelo, no obstante, uno de los factores críticos de éxito de implementación del modelo es la alineación de los objetivos de seguridad con los objetivos y necesidades de la entidad, lo cual permite suponer acuerdos y consenso entre la administración y TI para la implementación del Modelo. Cada proceso de seguridad tiene un dueño identificado. Numerales relacionados: 4.3 Objetivos de seguridad y 5. Requerimientos de certificación. ISF-SOGP SM1 Direccionamiento de Alto Nivel COBIT Los procesos con impacto primario en alineamiento estratégico y que implican compromiso de la dirección son: PO1, PO2, PO6 - PO10, AI1, AI2, DS1, ME3, ME4 ITIL Se direcciona en el libro Estrategia del Servicio. Página 43 de 47

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados

Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos Reservados ANEXO 3: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA Coordinación de Operación y Desarrollo Programa Agenda de Conectividad Estrategia de Gobierno en línea República de Colombia - Derechos

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Sistemas de Información para la Gestión

Sistemas de Información para la Gestión Sistemas de Información para la Gestión UNIDAD 5_Tema 1: Procesos de TI U.N.Sa. Facultad de Cs.Económicas SIG 2013 UNIDAD 5: SERVICIOS DE TECNOLOGÍA DE INFORMACIÓN 1. Procesos de TI: Planeamiento y Organización.

Más detalles

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]:

RESUMEN DE COBIT 4.1. Los recursos de TI identificados en COBIT se pueden definir como sigue [2]: RESUMEN DE COBIT 4.1 COBIT es un marco de trabajo y un conjunto de herramientas de Gobierno de Tecnología de Información (TI) que permite a la Gerencia cerrar la brecha entre los requerimientos de control,

Más detalles

LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0

LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0 LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0 LINEAMIENTOS PARA LA IMPLEMENTACIÓN DEL MODELO DE SEGURIDAD DE LA INFORMACIÓN 2.0. Ministerio de Tecnologías de la Información

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos

Introducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013

Modelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO

SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información

Más detalles

ARMONIZACIÓN MECI-CALIDAD

ARMONIZACIÓN MECI-CALIDAD ANTES DE INICIAR ARMONIZACIÓN MECI-CALIDAD CONTENIDO 1. Objetivos de la Sesión 2. Marco Legal para ambos sistemas 3. Generalidades 4. Conceptualización sobre la armonización 5. Elementos de articulación

Más detalles

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do.

Gobernabilidad de TI. Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur. 2do. Gobernabilidad de TI COBIT Elsa Estevez Departamento de Ciencias e Ingeniería de la Computación Universidad Nacional del Sur 2do. Cuatrimestre 2010 T. 2 Contenido Introducción a la Gobernabilidad de TI

Más detalles

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010

Definición del Catalogo de Servicios V3. José Ricardo Arias Noviembre de 2010 Definición del Catalogo de Servicios V3 José Ricardo Arias Noviembre de 2010 ITIL vs COBIT Agenda Descripciones Generales ITIL vs COBIT Por dónde iniciar? Cuál es la importancia de la presentación? Las

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información

CURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,

Más detalles

Trabajo final de Máster

Trabajo final de Máster MÁSTER INTERUNIVERSITARIO EN SEGURIDAD DE LAS TIC Trabajo final de Máster Actualización del Sistema de Gestión de Seguridad de la Información de una empresa a la norma ISO/IEC Fase 5 Auditoria de cumplimiento

Más detalles

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO

UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO UNIVERSIDAD DE LA REPUBLICA FACULTAD DE CIENCIAS ECONOMICAS Y DE ADMINISTRACION TRABAJO MONOGRÁFICO PARA OBTENER EL TITULO DE CONTADOR PÚBLICO PROPUESTA DE IMPLEMENTACION DEL MARCO DE GESTION COBIT por

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN DE LA SECRETARÍA DISTRITAL DE SALUD MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 2015 SISTEMA INTEGRADO DE MANUAL DEL SISTEMA INTEGRADO DE DE LA SECRETARÍA DISTRITAL DE SALUD 1 SISTEMA INTEGRADO DE CONTENIDO 1. INTRODUCCIÓN...

Más detalles

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000

Boletín de Asesoría Gerencial* Aplicabilidad de estándares internacionales y mejores prácticas: CobiT, ITIL, Serie ISO / IEC 27000 Espiñeira, Sheldon y Asociados * No. 3-2009 *connectedthinking Contenido Haga click en los enlaces para navegar a través del documento Haga click en los enlaces para llegar directamente a cada sección

Más detalles

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster

Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Máster Interuniversitario en Seguridad de las TIC (MISTIC) Trabajo de final de máster Elaboración de un plan de implementación de la Norma ISO/IEC 27001:2013 en una empresa prestadora de servicios de acueducto

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

ESCUELA POLITÉCNICA NACIONAL

ESCUELA POLITÉCNICA NACIONAL ESCUELA POLITÉCNICA NACIONAL FACULTAD DE INGENIERÍA EVALUACIÓN DEL NIVEL DE MADUREZ DE LA GESTIÓN DE LAS TIC s EN LA EMPRESA ASTAP PROYECTO PREVIO A LA OBTENCIÓN DEL TITULO DE INGENIERO EN SISTEMAS INFORMÁTICOS

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO

LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

Na segurança da tecnologia da informação

Na segurança da tecnologia da informação Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance

Más detalles

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B.

PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. PLAN DE IMPLEMENTACIÓN SGSI BASADO EN LA NORMA ISO 27001:2013 ISAGXXX 2014 TFM MISTIC UOC 2014-2015 ROBIN J.SALCEDO B. Agenda de la presentación PLAN DE IMPLEMENTACIÓN SGSI ISO 27001:2013 TFM MISTIC 2014-2015

Más detalles

SISTEMA INTEGRADO DE GESTION DE CALIDAD Y CONTROL INTERNO ALCALDIA MUNICIPAL DE SABANAGRANDE

SISTEMA INTEGRADO DE GESTION DE CALIDAD Y CONTROL INTERNO ALCALDIA MUNICIPAL DE SABANAGRANDE SISTEMA INTEGRADO DE GESTION DE CALIDAD Y CONTROL INTERNO ALCALDIA MUNICIPAL DE SABANAGRANDE MODELO ESTANDAR DE CONTROL INTERNO MECI 1000:2005 CONTROL INTERNO Conjunto de principios, fundamentos, reglas,

Más detalles

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO

OFICINA ASESORA DE PLANEACIÓN, Junio 2013. Elaborado por : Carlos Fernando Campos Sosa CONTENIDO OFICINA ASESORA DE PLANEACIÓN, Junio 2013 Elaborado por : Carlos Fernando Campos Sosa CONTENIDO QUÉ ES EL SISTEMA INTEGRADO DE GESTIÓN?... 1 POR QUÉ ES ÚTIL EL SIG?... 3 CÓMO CONTRIBUIMOS A IMPLEMENTAR

Más detalles

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a 5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio

Más detalles

Unidad 4 Sistema Integrado de Gestión

Unidad 4 Sistema Integrado de Gestión Unidad 4 Sistema Integrado de Gestión 4.1 Componentes del Sistema Integrado de Gestión Un sistema integrado de gestión es aquel que reúne un conjunto de actividades relacionadas entre sí que tiene por

Más detalles

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO

GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO GUIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO 1 METODOLOGIA PARA LA IMPLEMENTACION Y SEGUIMIENTO DE PLANES DE MEJORAMIENTO INES SIERRA RUIZ JEFE OFICINA Bucaramanga, 2008 2 CONTENIDO

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12

Plan de Mejora Regulatoria RACSA 2015. Código:DAP-PM-01 Versión: 1 Página 1 de 12 Código:DAP-PM-01 Versión: 1 Página 1 de 12 PLAN DE MEJORA REGULATORIA RACSA 2015 1 Código: DAP-PM-001 Versión: 1 Página 2 de 12 Contenido 1. INTRODUCCIÓN... 3 2. MARCO LEGAL... 3 3. MARCO DE REFERENCIA

Más detalles

DOCUMENTO DE REFERENCIA MECI SISTEMA INTEGRADO DE GESTIÓN. Contenido DOCUMENTO MECI - CALIDAD... 3 1. ARMONIZACIÓN CONCEPTUAL... 3

DOCUMENTO DE REFERENCIA MECI SISTEMA INTEGRADO DE GESTIÓN. Contenido DOCUMENTO MECI - CALIDAD... 3 1. ARMONIZACIÓN CONCEPTUAL... 3 Contenido DOCUMENTO MECI - CALIDAD... 3 1. ARMONIZACIÓN CONCEPTUAL... 3 1.1 SISTEMA DE GESTIÓN... 3 1.2 SISTEMA DE GESTIÓN EN EL ESTADO COLOMBIANO... 4 2. : MODELO ESTANDAR DE CONTROL INTERNO MECI Y SISTEMA

Más detalles

- Copyright Bureau Veritas SEMINARIO DIS - ISO 9001:2015 / DIS - ISO 14001:2015

- Copyright Bureau Veritas SEMINARIO DIS - ISO 9001:2015 / DIS - ISO 14001:2015 SEMINARIO DIS - ISO 9001:2015 / DIS - ISO 14001:2015 GRUPO BUREAU VERITAS Fundado en 1828. Más de 61,000 empleados. Más de 940 ubicaciones y 340 laboratorios en 140 países. 2 OBJETIVOS Proporcionar a los

Más detalles

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA

ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA ESQUEMA DE CLASIFICACIÓN PARA LA GESTIÓN DOCUMENTAL DE LAS TECNOLOGÍAS DE LA INFORMACIÓN EN LA JUNTA DE ANDALUCÍA Gabinete de Sistema Servicio de Producción Dirección General de Sistemas de Información

Más detalles

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993

SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de la República, con sujeción a lo dispuesto en las Leyes 87 de 1993 y 489

Más detalles

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO

ITIL MOF COBIT A QUIEN ESTA DIRIGIDO DESCRIPCION La Biblioteca de Infraestructura de Tecnologías de Información, frecuentemente abreviada ITIL (del inglés Information Technology Infrastructure Library), es un marco de trabajo de las buenas

Más detalles

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA

UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA 2009 UNIVERSIDAD RAFAEL BELLOSO CHACIN MAESTRIA EN TELEMATICA ESTANADRES COBIT, ITIL, ISO 27001 En este documento encontrar un artículo sobre los tres estándares mencionados. El cual contienen resumen,

Más detalles

7th CANSO Latin America & Caribbean Conference

7th CANSO Latin America & Caribbean Conference 7th CANSO Latin America & Caribbean Conference Ing. José Manuel Peña Alcázar. Director Servicios Aeronáuticos. ECASA S.A 18-20 de Octubre 2015. Punta Cana. República Dominicana (AIDC) a la República Situación

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

Ing. Nicolás Serrano nserrano@bcu.gub.uy

Ing. Nicolás Serrano nserrano@bcu.gub.uy Ing. Nicolás Serrano nserrano@bcu.gub.uy Detalles del trabajo Problema Objetivos Antecedentes en la FIng Temas tratados Estado del arte Caso de estudio Conclusiones Tesis de Grado Junio a Diciembre del

Más detalles

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL

SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL VII JORNADAS RIOPLATENSES DE AUDITORIA INTERNA 2011 MONTEVIDEO - URUGUAY SERIE DE NORMAS ISO 27000 E ISO 31000: IMPLICANCIAS PARA EL AUDITOR INTERNO GUBERNAMENTAL Ricardo Correa F. - CIA, CGAP, CCSA, MCAG

Más detalles

DECRETO No. 09 05 21 02 21 de Mayo de 2009

DECRETO No. 09 05 21 02 21 de Mayo de 2009 DECRETO No. 09 05 21 02 21 de Mayo de 2009 Por el cual se adopta el Modelo Estándar de Control Interno (MECI 1000:2005) en la Alcaldía Municipal de Guamal El Alcalde Municipal de Guamal en uso de sus atribuciones

Más detalles

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005

MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 MODELO ESTÁNDAR DE CONTROL INTERNO PARA EL ESTADO COLOMBIANO MECI 1000:2005 SISTEMA DE CONTROL INTERNO PARA LAS ENTIDADES REGIDAS POR LA LEY 87 DE 1993 1. INTRODUCCIÓN 1.1 GENERALIDADES Al Presidente de

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

TITULO. Gobernabilidad de TI & Seguridad de la Información

TITULO. Gobernabilidad de TI & Seguridad de la Información TITULO Temas Gobernabilidad de TI & Seguridad de la Información Guillermo Angarita Morris CISA, CISSP La gobernabilidad de TI: Una responsabilidad y reto para los directivos de TI Objetivo Identificar

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN CALIDAD CON CALIDEZ VERSIÓN

MANUAL DEL SISTEMA INTEGRADO DE GESTIÓN CALIDAD CON CALIDEZ VERSIÓN CALIDAD CON CALIDEZ VERSIÓN 01 SERVICIO NACIONAL DE APRENDIZAJE - SENA - La Excelencia un Compromiso de Todos! Tabla de contenido 1. Presentación por parte de la Dirección.... 3 2. Criterios que orientan

Más detalles

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información?

Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? 1 Título diapositiva Auditoría documental y seguridad de la información: Como generar un Sistema de Seguridad de la Información? Alicia Barnard Amozorrutia Quito, Ecuador, abril 25, 2014 2 Contenido Auditoría

Más detalles

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de:

SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS. Tesis previa a la obtención del título de: SEDE GUAYAQUIL FACULTAD DE INGENIERÍAS CARRERA: INGENIERÍA EN SISTEMAS Tesis previa a la obtención del título de: Ingeniero en Sistemas con mención en Informática para la Gestión Tema: Diagnóstico para

Más detalles

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C.

GESTIÓN DE RIESGO. Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. GESTIÓN DE RIESGO Subdirección de Desarrollo Organizacional Agosto 09 de 2013 Bogotá D.C. MARCO NORMATIVO Con el propósito de desarrollar un sistema eficiente para la gestión de riesgos, el Ministerio

Más detalles

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012

COBIT - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 - Control Objectives for Information and related Technology (Objetivos de Control para la Información y la Tecnología relacionada) Mayo de 2012 Antecedentes Ante la necesidad de crear y fortalecer el ambiente

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA Implementando COBIT Por: Víctor Julio Zúñiga.MBA 1 LOS MODELOS DE MEJORES PRÁCTICAS Y LAS METAS DE TI tiempo 2 Alineado Soporte al Negocio Controlados Mejor seguros Calidad del Servicio Riesgos De TI tiempo

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

Buenas prácticas: Auditoría en Sistemas Informáticos

Buenas prácticas: Auditoría en Sistemas Informáticos Programa de Certificación para Auditores Internos Gubernamentales y Municipales Buenas prácticas: Auditoría en Sistemas Informáticos Lic. Guillermo de León Sosa Auditor en Sistemas Informáticos gdeleons@contraloria.gob.gt

Más detalles

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS

LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS ELECTRÓNICOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS LINEAMIENTOS GENERALES PARA LA IMPLEMENTACIÓN DE PROCESOS Ministerio de Tecnologías de la Información y las Comunicaciones Programa de Gobierno

Más detalles

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013

Introducción. ISO /IEC 27001: Gestión de la seguridad. Actualización ISO/IEC27001 2005 -> 2013 Introducción ISO /IEC 27001: Gestión de la seguridad Desde la publicación inicial de norma internacional ISO/IEC 27001 en el año 2005 el número de implantaciones de los Sistemas para la Gestión de la Seguridad

Más detalles

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza

DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza DECRETO No. ( ) Por el cual se adopta el Modelo Estándar de Control Interno MECI 1000:2005 en el Municipio de Matanza El Alcalde del municipio de Matanza, en uso de sus atribuciones Constitucionales y

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

PROGRAMA DE GESTIÓN DOCUMENTAL

PROGRAMA DE GESTIÓN DOCUMENTAL PROGRAMA DE GESTIÓN DOCUMENTAL CÁMARA DE COMERCIO Bogotá, D.C.; Octubre de 2015 Versión 1.0 Tabla de contenido 1 INTRODUCCIÓN... 5 2 ALCANCE... 6 3 OBJETIVO GENERAL... 6 3.1 OBJETIVOS ESPECÍFICOS... 6

Más detalles

CÓMO CONSTRUIR UN SISTEMA DE GESTIÓN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN (SGTI)

CÓMO CONSTRUIR UN SISTEMA DE GESTIÓN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN (SGTI) CÓMO CONSTRUIR UN SISTEMA DE GESTIÓN DE LAS TECNOLOGÍAS DE LA INFORMACIÓN (SGTI) Gabinete de Sistema Servicio de Producción Dirección General de Sistemas de Información Económico-Financiera Consejería

Más detalles

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES,

RESOLUCIÓN. Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, RESOLUCIÓN Por medio de la cual se modifica la resolución No. 511-004064 de 2012 EL SUPERINTENDENTE DE SOCIEDADES, En uso de sus atribuciones legales, reglamentarias, y en especial las conferidas por el

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Entendiendo mi ambiente de Control

Entendiendo mi ambiente de Control Riesgos y controles de TI, Entendiendo mi ambiente de Control Victor Vasquez AGENDA Agenda Retos de TI Gobierno de TI Concepto riesgo Control Cobit 3 Objetivo Objetivo Lograr que los participantes entiendan

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

MANUAL DE REFERENCIA

MANUAL DE REFERENCIA GOBIERNO DE CHILE MINISTERIO DE HACIENDA Dirección de Presupuestos MANUAL DE REFERENCIA GUÍA PARA IMPLEMENTACIÓN ISO 9001:2000 SISTEMA DE AUDITORÍA INTERNA Versión 05 Diciembre 2008 INDICE Introducción...

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

[Guía de auditoría AudiLacteos]

[Guía de auditoría AudiLacteos] [Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software

Más detalles

MANUAL DE ADMINISTRACIÓN

MANUAL DE ADMINISTRACIÓN SISTEMA DE CONTROL INTERNO MECI 1000:2009 Nit: 891,800,475-0 MANUAL DE ADMINISTRACIÓN MARTHA ISABEL LÓPEZ LUGO Personera Municipal CHIQUINQUIRÁ FEBRERO DE 2014 Nit: 891,800,475-0 República de Colombia

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Informe de resumen sobre avance en la implementación del MECI 1000-2005: INDICADOR DE MADUREZ MECI 73,85%

Informe de resumen sobre avance en la implementación del MECI 1000-2005: INDICADOR DE MADUREZ MECI 73,85% ENTIDAD: ARCHIVO GENERAL DE LA NACIÓN OFICINA DE CONTROL INTERNO BIMESTRE: Septiembre y Octubre de 2014 NÚMERO DE HALLAZGOS: 0 Programa Presidencial de Modernización, Eficiencia, Transparencia y Lucha

Más detalles

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000

TCM ProactivaNET. Cómo lograr una implementación exitosa de ITIL /ISO20000 TCM ProactivaNET Cómo lograr una implementación exitosa de ITIL /ISO20000 Gestión de Servicios de TI ITIL e ISO/IEC 20000 TCM 2011 Qué es la Gestión de Servicios de TI? La Gestión del Servicio es un conjunto

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTION INSTITUCIONAL-SIGI MEJORA, INNOVACION Y APRENDIZAJE ES NUESTRO COMPROMISO

MANUAL DEL SISTEMA INTEGRADO DE GESTION INSTITUCIONAL-SIGI MEJORA, INNOVACION Y APRENDIZAJE ES NUESTRO COMPROMISO MANUAL DEL SISTEMA INTEGRADO DE GESTION INSTITUCIONAL-SIGI BOGOTA D.C. 2014 CONTENIDO 1. INTRODUCCIÓN... 4 2. PILARES FUNDAMENTALES DEL SIGI... 6 2.1. GESTIÓN DE LAS PERSONAS... 6 2.2 APRENDIZAJE Y GESTIÓN

Más detalles

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento Cumplimiento En Forma y Fondo Cumplimiento En Forma: Requerimientos y herramientas

Más detalles

BOLETIN INFORMATIVO SISTEMA INTEGRADO DE GESTION MECI CALIDAD

BOLETIN INFORMATIVO SISTEMA INTEGRADO DE GESTION MECI CALIDAD Estructura del modelo estadar de control interno y la norma tecnica de calidad MECI 1000:2005 NTCGP 1000:2009 3 Subsistemas A P 3 Capítulos Generales 9 Componentes V H 5 Capítulos Específicos 29 elementos

Más detalles

MANUAL DEL SISTEMA INTEGRADO DE GESTION

MANUAL DEL SISTEMA INTEGRADO DE GESTION Página: 1 de 30 MANUAL DEL SISTEMA INTEGRADO Página: 2 de 30 TABLA DE CONTENIDO 1. PRESENTACION... 4 2. OBJETIVO... 5 3. ALCANCE... 5 3.1 Alcance del Sistema Integrado de Gestión... 5 3.2 Exclusiones...

Más detalles

4.22 ITIL, Information Technology Infrastructure Library v3.

4.22 ITIL, Information Technology Infrastructure Library v3. 4.22 ITIL, Information Technology Infrastructure Library v3. Introducción. Es un conjunto de conceptos y prácticas en la gestión de servicios de tecnologías de la información, para lograr calidad y eficiencia

Más detalles