Proyecto AMPARO INFORME DE AVANCE. Sitio Web Rebeca Pilco Vivanco Julia Pineda Arévalo
|
|
- Adrián Villanueva Méndez
- hace 7 años
- Vistas:
Transcripción
1 Proyecto AMPARO INFORME DE AVANCE Identificación del Proyecto Título: Creación e Implementación de un CSIRT Académico para No. A000 la Universidad Técnica Particular de Loja Organización Universidad Técnica Particular de Loja Proponente Jefe de Proyecto Msc. María Paula Espinoza Período Informado Septiembre- Enero/ 2011 Sitio Web Dirección del Msc. María Paula Espinoza Proyecto Investigadores participantes Rebeca Pilco Vivanco Julia Pineda Arévalo Contenido Contenido Actividades Realizadas (Resumen de los avances) Objetivo General Objetivos Específicos... 3 Actividades del período Agosto/2010 Diciembre/2010: Indicadores de Avance: Verificación de Resultados Participación efectiva de todos los intervinientes en el proyecto Reuniones de Coordinación Actividades de Difusión Referencias Anexos
2 1. Actividades Realizadas (Resumen de los avances) El proyecto de Creación e Implementación de un CSIRT Académico para la Universidad Técnica Particular de Loja, tiene como objetivo fundamental, el construir y proponer una normativa de seguridad aplicable al entorno local, la implementación del equipo permitirá compartir la experiencia y resultados obtenidos con otras universidades a través de organismos como CEDIA 1 con el objetivo de proponer la creación de una red nacional de CSIRTs académicos y contribuir así a la investigación y desarrollo de metodologías y buenas prácticas que permitan mejorar la seguridad de las redes ecuatorianas. La implementación del CSIRT-UTPL permitirá también: Contar con un equipo capacitado para la atención de incidentes brindando servicios proactivos, reactivos y de aseguramiento de la calidad en temas de seguridad de la información. Concientizar a la comunidad universitaria y usuarios finales sobre los riesgos y beneficios del uso de internet, pero, sobre todo de la importancia de tomar en cuenta las medidas de seguridad adoptadas en la Universidad. Por otra parte como objetivo fundamental el construir y proponer una normativa de seguridad aplicable al entorno local, la implementación del equipo permitirá compartir la experiencia y resultados obtenidos con otras universidades a través de organismos como CEDIA con el objetivo de proponer la creación de una red nacional de CSIRTs académicos y contribuir así a la investigación y desarrollo de metodologías y buenas prácticas que permitan mejorar la seguridad de las redes ecuatorianas. Los beneficiarios de la implementación de este proyecto serán principalmente la UTPL y con la implementación del proyecto: Otras Universidades Organizaciones públicas y privadas que mantienen Equipos de Seguridad. Empresas y profesionales que brindan servicios de atención de incidentes. CEDIA, y las universidades que forman parte de este organismo, con la finalidad de profundizar y proponer temas de investigación. Debe indicarse, que durante el proceso de creación e implementación del CSIRT-UTPL se ha hecho conocer de esta iniciativa a CEDIA a través de la presentación del proceso de creación seguido, y con la emisión de un informe ejecutivo de las actividades que se han 1 Consorcio Ecuatoriano para el Desarrollo de Internet Avanzado ( 2
3 realizado, esto con la finalidad de compartir la experiencia del proceso de creación del CSIRT-UTPL. Se conoce que la SUPERTEL 2 y las Fuerzas Armadas del Ecuador actualmente están implementando un equipo CSIRT, se han enviado comunicaciones a cada uno de ellos, informándoles del CSIRT-UTPL, para de esta manera establecer futuros vínculos de colaboración. Se han establecido comunicaciones con UNAM-CERT de México, con quienes se ha compartido información en el tema de malware que podría afectar a organizaciones ecuatorianas. El proyecto es propuesto por la Universidad Técnica Particular de Loja, bajo la dirección de Msc. María Paula Espinosa, tiene una duración de 12 meses. Las actividades de proyecto se planificaron desde enero de 2010, pero por motivos de asignación de fondos se inició el 22 de febrero de 2010, el proyecto finaliza el 22 de febrero de Hasta la presente fecha el proyecto se encuentra en el onceavo mes de ejecución, las diferentes actividades programadas se han realizado de acuerdo a lo planificado y hasta el momento se han cumplido las actividades propuestas, de acuerdo al cronograma planificado. (Ver Anexo 1) El detalle de las actividades realizadas hasta la fecha se detalla a continuación: 2. Objetivo General Construir y proponer una normativa de seguridad aplicable al entorno local mediante la implementación de un Equipo de Respuesta a Incidentes para la Universidad Técnica Particular de Loja. 3. Objetivos Específicos Objetivo específico 3 (agosto Diciembre) Objetivo específico 4 Definir una metodología para la detección, la atención, manejo y respuesta de incidentes de seguridad adaptada al entorno local. Convertirse en un grupo de investigación en temas de 2 Superintendencia de Telecomunicaciones 3
4 (enero 2011) Objetivo específico 5 (febrero 2011) seguridad de la información que permita generar estadísticas de los principales incidentes y vulnerabilidades reportadas en los sistemas de la UTPL y que servirán como insumo para otros grupos e investigaciones a fines. Proponer la creación de Equipos CSIRT a nivel de Universidades a través de organismos como CEDIA para impulsar la creación de un CSIRT Nacional. Actividades del período Septiembre/2010 Enero/2010: Actividades para el cumplimiento del Objetivo Específico Nº 3 Definir una metodología para la detección, la atención, manejo y respuesta de incidentes de seguridad adaptada al entorno local. 3.1 Proponer el uso de una metodología para la atención, manejo y respuesta de incidentes en base a la problemática de la UTPL. 3.2 Evaluación y modificación de la metodología propuesta para la atención, manejo y respuesta de incidentes Presentación de la metodología y políticas que van a ser utilizadas en el CSIRT-UTPL. 3.4 Capacitación a los integrantes del equipo en el uso y manejo de la metodología realizada para la atención, manejo y respuesta de incidentes 3.5. Capacitación a los administradores de servidores en el uso de formularios para el reporte de incidentes y vulnerabilidades Evaluación a los administradores e integrantes del equipo en el tema de políticas de seguridad y de la metodología para la atención, manejo y respuesta de incidentes. Plazo de ejecución planificado Mes/Año Mayo /2010 Plazo de ejecución realizado Mes/Año diciembre /2010 Mayo /2010 Julio /2010 Agosto/2010 Agosto /2010 Septiembre/2010 Septiembre/2010 Octubre/2010 Noviembre /2010 Octubre/2010 Noviembre/2010 Diciembre /2010 Diciembre /2010 Actividades para el cumplimiento del Objetivo Específico Nº 4 Convertirse en un grupo de investigación en Plazo de ejecución planificado Plazo de ejecución realizado 4
5 temas de seguridad de la información que permita generar estadísticas de los principales incidentes y vulnerabilidades reportadas en los sistemas de la UTPL y que servirán como insumo para otros grupos e investigaciones a fines Realizar el Monitoreo de las actividades que se registran en los servidores de la UTPL, y registrar los hallazgos presentados. 4.2 Realizar el Triage de la información recibida en el CSIRT en base a la metodología propuesta. Mes/Año enero /2011 Mes/Año enero /2011 enero /2011 enero /2011 enero /2011 enero / Consolidación de Resultados enero /2011 enero /2011 Actividades para el cumplimiento del Objetivo Específico Nº 5 Proponer la creación de Equipos CSIRT a nivel de Universidades a través de organismos como CEDIA para impulsar la creación de un CSIRT Nacional. 5.1 Presentar la experiencia y resultados obtenidos de la implementación del CSIRT UTPL a través del portal del equipo, de presentaciones y publicaciones.. Plazo de ejecución planificado Mes/Año febrero /2011 Plazo de ejecución realizado Mes/Año febrero /2011 febrero /2011 febrero /2011 5
6 4. Indicadores de Avance: Verificación de Resultados Se recomienda crear un sitio Web del Proyecto, de ser posible, a fin de acceder a Indicadores y Medios de Verificación. Los indicadores deben estar muy precisados y los medios de verificación deben ser verificables. Nº Actividad 3.1 Proponer el uso de una metodología para la atención, manejo y respuesta de incidentes en base a la problemática de la UTPL. 3.2 Evaluación y modificación de la metodología propuesta para la atención, manejo y respuesta de incidentes. Nº Resultado Metodología para el manejo de incidentes para la UTPL. Metodología aprobada por autoridades para el manejo de incidentes en la UTPL. Indicador Versión 1 de la metodología propuesta para su revisión. Metodología para el manejo de incidentes aprobada. 30% de la comunidad objetivo hacen uso de la metodología desarrollada para el manejo de incidentes del CSIRT- UTPL. Medio de Verificación Metodología para el Manejo de Incidentes CSIRT-UTPL versión 1. Metodología Final (Actualmente en proceso de aprobación). Ver anexo 2 y 3 Nota: Actualmente a la interno del equipo, se está haciendo uso de la metodología. 3.4 Capacitación a los integrantes del equipo en el uso y manejo de la metodología realizada para la atención, Integrantes del área de Seguridad conocen de la metodología para el Uso de reportes para la respuesta de incidentes Clasificación de la Información (Triage) Los integrantes del equipo conocen y hacen uso de la metodología para el manejo 6
7 manejo y respuesta de incidentes manejo de incidentes Detección (Monitoreo de servicios críticos haciendo uso de herramientas de seguridad) 3.5. Capacitación a los administradores de servidores en el uso de formularios para el reporte de incidentes y vulnerabilidades. Comunidad objetivo hace uso de formularios para el reporte y registro de incidentes y vulnerabilidades. Disminución del número de incidentes en los usuarios finales porque hacen uso de políticas. de incidentes. Uso de la metodología para el manejo de incidentes y de los procesos que son parte de la metodología para el proceso de manejo de incidentes en el CSIRT-UTPL Cantidad de reportes recibidos. Nota: Mediante una reunión, se hizo conocer a los administradores de servidores sobre el uso de los reportes de incidentes y vulnerabilidades, las políticas para el reporte y respuesta de incidentes. La última semana de enero se inicia con la campaña a lo interno de la UTPL para que los usuarios finales de la universidad conozcan del CSIRT. 7
8 4.1 Realizar el Monitoreo de las actividades que se registran en los servidores de la UTPL, y registrar los hallazgos presentados. Contar con herramientas adecuadas para el análisis de incidentes y estudio de tráfico. Reportes estadísticos de incidentes y vulnerabilidades de los primeros meses. Clasificación de los reportes recibidos en: incidentes y vulnerabilidades durante los primeros meses. Reportes Estadísticos de incidentes y vulnerabilidades recibidas. Ver: Portal WEB Sección: Estadísticas. Nota: Diariamente se realiza el monitoreo de los sistemas, se emiten reportes mensuales, si se detecta algún anomalía, esta es reportada al administrador del equipo, haciendo uso de los reportes establecidos para que el mismo sea atendido. 4.2 Realizar el Triage de la información recibida en el CSIRT en base a la metodología propuesta Consolidación de Resultados Contar con herramientas adecuadas para el análisis de incidentes y estudio de tráfico. Resultados de las actividades realizadas Reportes estadísticos de incidentes y vulnerabilidades de los primeros meses. Clasificación de los reportes recibidos en: incidentes y vulnerabilidades durante los primeros meses. Implementación CSIRT-UTPL Procesos y metodologías Reportes clasificados por categorías, y por incidentes, vulnerabilidades e información recibida. Ver portal: sección de estadísticas Metodología para el manejo de incidentes 8
9 hasta la fecha establecidas y aprobadas (Anexo 2). Políticas para el reporte de incidentes y vulnerabilidades; y de manejo y respuesta de incidentes (Anexo 4) Boletín para publicidad CSIRT-UTPL (Ver Anexo 5) 5.1 Presentar la experiencia y resultados obtenidos de la implementación del CSIRT UTPL a través del portal del equipo, de presentaciones y publicaciones. Universidades conozcan del equipo CSIRT-UTPL Al menos una universidad toma la iniciativa de crear un CSIRT Documentación presentada Se realizó la presentación de un paper en el evento LACNOG LACNIC XIV 4º PTT Fórum realizado en Sao Paulo Brasil en Octubre de Ver portal WEB Nota: Adicionalmente se envió un informe ejecutivo a CEDIA en el que se explicaba el proceso de creación del CSIRT-UTPL 9
10 5. Participación efectiva de todos los intervinientes en el proyecto. Hasta la fecha la participación de los integrantes del equipo se ve reflejada en el cumplimiento de las actividades, estas se han realizado acorde a lo planificado. Se ha involucrado a personal de Marketing para la publicidad del CSIRT. 6. Reuniones de Coordinación Se mantuvieron reuniones con: Grupo de seguridad para la presentación de la metodología para el manejo de incidentes. Grupo de Administradores para comunicarles la existencia del CSIRT-UTPL, uso de reportes de incidentes y políticas. 7. Actividades de Difusión Emisión de boletines con tips de seguridad para usuarios, los mismos que se emitirán mensualmente. Como estrategia de marketing, durante el primer mes se emitirán boletines semanalmente, con el objetivo de posicionar el CSIRT-UTPL en la comunidad universitaria. En conjunto con el área de marketing de la UTPL se está preparando una estrategia de comunicación para realizar la difusión del CSIRT-UTPL, lo que incluye boletines informativos, notas periodísticas, etc. Emisión de un boletín sobre el CSIRT-UTPL al área de marketing para que sea difundido a nivel interno en la UTPL. 10
11 8. Referencias [1] Defining Incident Management Processes for CSIRTs: A Work in Progress [2] Computer Security Incident Handling Guide 11
12 9. Anexos Anexo 1: Cronograma de Actividades Archivo Adjunto: Cronograma 12
13 Anexo 2: Metodología para el Manejo de Incidentes CSIRT UTPL La metodología implementada se basa fuertemente en [1] y [2], básicamente se ha estructurado de acuerdo al siguiente esquema: Cada uno de los pasos propuestos se describe a continuación: 1. Preparación y Protección La fase de preparación consiste, principalmente, en la implementación de un equipo de Respuesta a Incidentes de Seguridad Informática 3 (CSIRT), las actividades propuestas, que se deben realizar en esta fase son: Planificación del CSIRT UTPL Implementación del CSIRT UTPL Evaluación y funcionamiento del CSIRT Lecciones Aprendidas. A más de definir un proceso de implementación de un equipo de CSIRT, es importante tomar en cuenta la Protección de la infraestructura de la Universidad para de esta manera asegurar que los 3 Computer Security Incident Response Team 13
14 sistemas, redes y aplicaciones tengan un nivel de seguridad adecuado. Las actividades de esta fase se realizan en conjunto con el área de Seguridad, pero básicamente el área de Manejo de incidentes tiene a su cargo la prevención de ataques, y si estos suceden mitigar el impacto. El área de seguridad realiza actividades de protección, en cuanto a configuraciones y garantiza la infraestructura informática de la Universidad. 2. Detección de Incidentes de Seguridad Esta fase está compuesta de varias actividades (Ver: Fig. 4), tales como: detección de incidentes, análisis inicial y documentación del incidente y tiene como objetivo la búsqueda de toda posible señal de ocurrencia de un incidente. Todas las actividades e información generada en esta fase en enviada al proceso de Triage, haciendo uso de los reportes establecidos Detección de Incidentes La Detección de incidentes es un proceso que permite identificar las actividades inusuales que pueden comprometer la misión del CSIRT, consiste en la detección y evaluación de posibles incidentes, determinar si un incidente ha ocurrido, y de ser así, el tipo, extensión y magnitud del problema. Estas actividades se pueden identificar de manera reactiva y proactiva. Los incidentes se pueden detectar a través de muchos medios tales como: IDS basados en red (NIDS) y en host (HIDS), software antivirus, software de control de integridad de archivos, sistemas de monitoreo de red, analizadores de logs, etc. Los incidentes también pueden ser detectados por medios manuales, tales como reportes de incidentes de usuarios. En el proceso de detección están involucrados: Área de Seguridad, CSIRT-UTPL, Gestión de Servicios TI, Infraestructura de TI, usuarios que han sido víctimas de algún ataque y otras áreas, incluye los siguientes aspectos: Señales de un incidente Detección de incidentes mediante la utilización de herramientas Detección de incidentes mediante el reporte de terceros Señales de un Incidente: 14
15 En el proceso de detección, la información sobre potenciales incidentes, vulnerabilidades, información de seguridad informática o de manejo de incidentes, puede ser obtenida de dos maneras: Detección Reactiva Un incidente puede haber ocurrido o estar ocurriendo en este momento, puede ser detectado de varias maneras: El antivirus detecta que un equipo está contaminado con algún tipo de virus. Incidentes en el servidor web Envío de alertas y notificaciones por parte de otras organizaciones. Detección Proactiva Involucra el monitoreo de posibles actividades sospechosas a través de: Reportes de IDS, pueden ayudar a la detección de actividades antes de que suceda un incidente. Monitoreo de Red Escaneo de vulnerabilidades Investigación Análisis de Riesgos Detección de incidentes mediante la utilización de herramientas La detección de incidentes es un proceso que permite saber si el sistema está en peligro o si los servidores corren el riesgo de detener sus servicios. Esta actividad va de la mano con la detección proactiva, se debe tomar en cuenta el personal que se encargue del monitoreo y detección de actividad sospechosa, análisis de logs, uso de software de detección de intrusos, para cada una de estas actividades se deben tomar en cuenta los procesos establecidos en el Área de Seguridad para estas actividades. Todos los datos analizados y los considerados sospechosos se envían al proceso de Triage Detección de incidentes mediante el reporte de terceros Va de la mano con la detección reactiva, el usuario notifica del incidente al área de Gestión de Servicios, si el incidente se encuentra en la base de conocimiento de esta área, es atendido por 15
16 ellos, caso contrario se envía el reporte del incidente al equipo CSIRT UTPL, en donde, primeramente se verifica que sea un incidente de seguridad (Fig.5). Los incidentes que se envían al CSIRT-UTPL y los que se atienden, son los que constan en la categorización de incidentes del CSIRT-UTPL Análisis de Incidentes de Seguridad En este proceso se busca analizar cada reporte de incidentes presentado, tanto por los usuarios y por los reportes obtenidos de las herramientas utilizadas, con la finalidad de verificar si realmente se trata de un incidente de seguridad, o son falsos positivos. Se debe recalcar que el equipo CSIRT debe trabajar rápidamente en el análisis y validación de los incidentes, todas las acciones realizadas deben ser documentadas Documentación del Incidente Uno de los mecanismos que sirve de soporte para Detección es la documentación del incidente, se han definido varios formatos para el reporte y respuesta de incidentes y vulnerabilidades, el uso de reportes ayuda a: Proveer información completa de un incidente al equipo Organizar la información recibida Priorizar reportes La información que se solicita en el reporte de incidente es: Información de contacto Fecha de reporte Sistemas afectados Descripción del incidente Observaciones A más de los reportes de incidentes, parte de la documentación incluye un documento en el que se detalla el cómo los usuarios deben realizar el reporte de los incidentes al equipo, etc. Adicional al reporte de incidente enviado por el usuario, por parte del Equipo CSIRT-UTPL se debe enviar un documento de respuesta a incidentes, en el que se detalle la información relativa a la atención y respuesta del incidente reportado, dependiendo del tipo de incidente, esta 16
17 información será enviada a autoridades, y personal que requiera de esta información. (Esta sección, se detalla en la fase de la respuesta a incidentes). Es importante la implementación de herramientas que permitan realizar el seguimiento de los incidentes, la información almacenada debe contener información sobre: El estado actual del incidente. Un resumen del incidente Las acciones tomadas en el manejo del incidente Información de contacto de las partes involucradas Comentarios del personal que atendió el incidente. Acciones a tomar, recomendaciones a administradores, parches, etc. Algunas herramientas que se utilizan son: RTIR Request Tracker 3. Triage En la metodología propuesta se ha incluido una nueva fase, el proceso del triage, esta fase reemplaza al apartado titulado: Preparación ante un incidente de seguridad, que consta de: Categorizar un Incidente Clasificar los incidentes. El objetivo de la función de triage es: asegurar que toda la información destinada para el manejo de incidentes sea canalizada a través un único punto de contacto. El Triage consiste en recibir la información, clasificarla y ordenarla con la finalidad de determinar si el reporte que se recibe está relacionado con eventos pasados, o con nuevos eventos, luego, asignar una prioridad que esté de acuerdo al esquema de prioridades definido y, asignar el reporte al experto para su respuesta En qué consiste el Proceso de Triage definido para la UTPL? El proceso de triage involucra la revisión de la información entrante, en determinar su validez y clasificar la información en Incidentes, Vulnerabilidades e Información general. Cuando la 17
18 información es recibida primero se envía un acuse de recibo de la información indicando que la información fue recibida, y que será atendida en el menor tiempo posible. Luego, la información es clasificada, correlacionada y priorizada, la información que está catalogada como incidente es asignada al experto para su respuesta. El proceso se realiza de acuerdo a los siguientes subprocesos: Categorización y Correlación Proceso que primeramente consiste en categorizar y establecer criterios para lo que se ha definido como incidente en la UTPL, por ejemplo: denegación de servicios, robo de identidad, etc. Una vez definida la categorización de los incidentes, el proceso consiste en determinar el tipo de evento reportado, luego, en correlacionar esta información con otros incidentes atendidos, con el objetivo de determinar si es un incidente nuevo, si ha sido tratado anteriormente y está archivado en la base de conocimientos del CSIRT. Si es un evento nuevo este es categorizado y enviado al proceso de priorización, para posteriormente enviarlo al proceso de respuesta. Durante el proceso de Categorización y Clasificación de la información es importante hacer uso de una nomenclatura que permita un mejor manejo y clasificación de la información que es remitida al CSIRT. Para un mejor manejo de la información, esta puede clasificarse en: reporte de incidente, reporte de vulnerabilidades e información general. La nomenclatura propuesta para el CSIRT UTPL es CSIRT#: para el seguimiento de incidentes. VUL#: es el prefijo utilizado para el seguimiento de vulnerabilidades. INFO#: prefijo usado para la identificación de otro tipo de información. La información clasificada como incidente y luego de pasar por el proceso de triage, es enviada al proceso de respuesta para su atención Priorización Consiste en determinar los incidentes que son de alta prioridad, las decisiones se realizan en base a la misión del CSIRT y sus políticas, por ejemplo: por tipo de incidente reportado y dependiendo de la persona que reporta el incidente, si un incidente es reportado desde el 18
19 Rectorado de la Universidad independientemente del tipo de incidente que sea tiene alta prioridad de respuesta. La prioridad se establece en base a dos factores: Efecto técnico actual y potencial del incidente. Los encargados de la respuesta de incidentes deben considerar no sólo el efecto técnico negativo del incidente (por ejemplo, acceso no autorizado a nivel de usuario a los datos), sino también el probable efecto futuro del incidente, si no es contenido inmediatamente Criticidad de los recursos afectados. Recursos afectados por un incidente, por ejemplo, firewalls, servidores web, conectividad a Internet, estaciones de trabajo de usuario y aplicaciones. Más Información: sección 1.2 del Anexo 3: priorización Asignación La asignación del incidente es el proceso que sigue a la priorización, este proceso tiene como objetivo asignar el incidente a un experto para su resolución, lo que significa que toda la información es enviada al proceso de Respuesta. La asignación se realiza en base al tipo de incidente y a la carga de trabajo de los expertos. NOTA Información adicional en el archivo adjunto. 19
20 Anexo 3: Fundamentación Para la estructuración de la metodología para la atención y manejo de incidentes, el estudio se baso en dos documentos, el uno publicado por la Carneguie Mellon [1] y otro por la SANS [2], en estos documentos se describen las diferentes fases para la gestión y manejo de incidentes, (Ver: fig. 2 y 3). Fig 2: modelo presentado por SANS Fig 2: modelo presentado por Carneguie Mellon Actualmente en base al estudio de los documentos mencionados y en base a la metodología para el manejo de incidentes elaborada en la UTPL se realizará la propuesta para la definición de la metodología que se utilizará en la UTPL. NOTA Se adjunta documentación de [1] y [2]. 20
21 Anexo 4: Políticas para el reporte y manejo de incidentes Nota: Documentación Política para el Reporte de Incidentes y Vulnerabilidades Política para el Manejo y respuesta de Incidentes 21
22 Anexo 5: Información enviada al Departamento de Marketing de la UTPL El siguiente modelo de boletín se envió al Departamento de Marketing para la difusión del equipo. 22
23 23
PROCEDIMIENTO FORMULACIÓN DEACCIONES CORRECTIVAS, PREVENTIVAS Y DE MEJORA PROCESO GESTION MEJORAMIENTO CONTINUO
Página: 1 de 7 1. OBJETIVO: Establecer la metodología para formular, implementar, hacer seguimiento y evaluar las acciones correctivas, preventivas y de mejora orientadas a eliminar las causas de las No
Antes de imprimir este documento piense en el medio ambiente!
Versión 1.0 Página 1 de 6 1. OBJETIVO: Recuperar el normal funcionamiento de los servicios informáticos en el menor tiempo posible, a través de diagnóstico, investigación y escalamiento de incidentes para
Análisis de Vulnerabilidades
Análisis de Vulnerabilidades Las Vulnerabilidades de seguridad informática han existido siempre. A medida que se hacían conocidas diferentes vulnerabilidades, también se publicaban herramientas de seguridad
Unidad Sistema de Aseguramiento de la Gestión de la Calidad
PAGINA: 1 de 5 1. OBJETIVO: Definir los pasos a seguir en la planeación, ejecución, reporte, registro y seguimiento de las Auditorias Internas para. 2. DEFINICIONES Y ABREVIATURAS: Auditoria La norma ISO
TERMINOS DE REFERENCIA CONSULTORÍA NACIONAL EN SERIES ESTADÍSTICAS ECONOMICAS
TERMINOS DE REFERENCIA CONSULTORÍA NACIONAL EN SERIES ESTADÍSTICAS ECONOMICAS I. ANTECEDENTES El Instituto Nacional de Estadística e Informática (INEI) del Perú se encuentra en una fase de fortalecimiento
NORMAS Y MODELOS DE REFERENCIA DE CIBERSEGURIDAD PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD
NORMAS Y MODELOS DE REFERENCIA DE CIBERSEGURIDAD PARA LA GESTIÓN DE INCIDENTES DE SEGURIDAD MARCELO GALVÁN - Director Departamento de Seguridad de la Información Banco Central del Paraguay DEBO GESTIONAR
MANUAL DE ORGANIZACIÓN Y FUNCIONES DE LA OFICINA DE COMUNICACIONES APROBADO POR: R.D.Nº SA-DS-HNCH/DG
MINISTERIO DE SALUD HOSPITAL CAYETANO HEREDIA MANUAL DE ORGANIZACIÓN Y FUNCIONES DE LA OFICINA DE COMUNICACIONES APROBADO POR: R.D.Nº 350-2009-SA-DS-HNCH/DG FECHA DE APROBACIÓN: 13-07-2009 1 INDICE CAPITULO
APORTES TEMA TECNICO N 2 EFS CONTRALORÍA GENERAL DE LA REPÚBLICA DE COLOMBIA XXV ASAMBLEA GENERAL ORDINARIA - OLACEFS
APORTES TEMA TECNICO N 2 EFS CONTRALORÍA GENERAL DE LA REPÚBLICA DE COLOMBIA XXV ASAMBLEA GENERAL ORDINARIA - OLACEFS 1. BASES DE DATOS Y MINERÍA DE DATOS: HERRAMIENTAS Y TÉCNICAS EMPLEADAS POR LAS EFS
REGLAMENTO PARA LA AUTOEVALUACIÓN
REGLAMENTO PARA LA AUTOEVALUACIÓN TÍTULO I. Principios, políticas TÍTULO II. Objetivo TÍTULO III. De la organización para la autoevaluación TÍTULO IV. Del alcance de la autoevaluación TÍTULO V. Del proceso
Primera respuesta: antes de que llegue la policía. Luis A. Gorgona S. Csirt-CR
Primera respuesta: antes de que llegue la policía Luis A. Gorgona S. Csirt-CR Contenidos Conceptos básicos Los objetivos de la respuesta a Incidentes Funciones de un CSIRT El Rol de los CSIRTS El rol del
Gerencia de Proyectos
3. Planificación y Dirección del Proyecto a. Plan del Proyecto b. Proceso de Dirección 1 Esfuerzo Ciclo de vida del proyecto Ciclo de vida del proyecto Imagen tomada de: http://www.formasminerva.com/bancoproceso/c/como_administrar_proyectos_de_desarrollo_de_software/como_administrar_proyectos_de_desarrollo_de_software.asp?codidioma=esp
UNIVERSIDAD NACIONAL DEL CALLAO - UNAC DIRECCIÓN UNIVERSITARIA DE GESTIÓN Y ASEGURAMIENTO DE LA CALIDAD
UNIVERSIDAD NACIONAL DEL CALLAO - UNAC DIRECCIÓN UNIVERSITARIA DE GESTIÓN Y ASEGURAMIENTO DE LA CALIDAD MANUAL DE ORGANIZACIÓN Y FUNCIONES (MOF-DUGAC) CALLAO 2017 1 INDICE TÍTULO I: GENERALIDADES 5 1.1
POLÍTICA DE SEGURIDAD PARA LA GESTIÓN DE INCIDENTES P06
POLÍTICA DE SEGURIDAD PARA LA GESTIÓN DE P06 Esta política define los lineamientos a seguir para la Gestión de Incidentes de Seguridad de la Información que afecten o pongan en riesgo los activos de información
Procedimiento para Mantenimiento de Centrales de Generación
Procedimiento para Mantenimiento de Centrales de Generación Objetivo: Establecer los lineamientos para realizar las actividades necesarias para asegurar la funcionalidad de los equipos e infraestructura
PROCESO GESTIÓN DE RECURSOS TECNOLOGICOS PROCEDIMIENTO GESTIÓN Y MONITOREO DE LA PLATAFORMA TECNOLOGICA SENADO DE LA REPÚBLICA
1. OBJETIVO Establecer las actividades de gestión y monitoreo en la operatividad de los, aplicaciones y (bajo condiciones normales) que son prestados desde la División de Planeación y Sistemas, además
SISTEMA DE HIGIENE, SEGURIDAD Y MEJORAMIENTO DE AMBIENTES DE TRABAJO
AREA SISTEMA 4. SISTEMA DE HIGIENE, SEGURIDAD Y MEJORAMIENTO DE AMBIENTES DE TRABAJO GESTIÓN DESARROLLO DE LAS PERSONAS SISTEMA DE HIGIENE, SEGURIDAD Y MEJORAMIENTO DE AMBIENTES DE TRABAJO Objetivo General
PROCEDIMIENTO ACCIONES PREVENTIVAS, CORRECTIVAS Y DE MEJORA
Página 1 de 6 1. OBJETIVO Describir los criterios y metodología para la formulación de acciones preventivas y correctivas, que permitan eliminar la causa de una no conformidad real o potencial del SGC.
PROCEDIMIENTO GENERAL. Auditorias Internas
Página 1 de 8 1 OBJETO Establecer los lineamientos generales para efectuar las Auditorias del Sistema de Gestión de la Calidad, registrar sus resultados y los no-cumplimientos hallados, y verificar la
Rol del auditor interno para evaluar la gestión del riesgo de Ciber Seguridad Gabriel Santiago Alderete
Rol del auditor interno para evaluar la gestión del riesgo de Ciber Seguridad Gabriel Santiago Alderete Auditor Interno de Sistemas Banco Macro S.A. Agenda Introducción: Qué es Ciber Seguridad? Qué framework
ANEXO TECNICO. Fábrica de Software
Contratar el servicio de desarrollo e implementación de sistemas de información para la ESAP mediante el modelo de fábrica de software, de acuerdo con las especificaciones técnicas definidas por la entidad.
INSTRUCCIONES PARA LA EVALUACIÓN DE DESEMPEÑO
INSTRUCCIONES PARA LA EVALUACIÓN DE DESEMPEÑO 1. OBJETIVOS. Establecer la metodología para la implementación, ejecución y control de un Programa de Evaluación de Desempeño sistematizado. El propósito de
Procedimiento para la Gestión de la Seguridad Laboral
Procedimiento para la Gestión de la Seguridad Laboral Objetivo: Establecer los lineamientos para la aplicación de técnicas y actividades para la prevención de accidentes, enfermedades profesionales, riesgos
MANUAL DEL PROCESO DE COMUNICACIÓN INTERNA CA-SGI-01-P02
MANUAL DEL PROCESO DE COMUNICACIÓN INTERNA CA-SGI-01-P02 Versión 1.0 22/07/2015 Página: Página 1 de 9 Contenido 1. INFORMACIÓN BÁSICA... 2 2. LINEAMIENTOS DEL SUBPROCESO... 3 3. ROLES... 3 4. GLOSARIO
PROCEDIMIENTO ACCIONES CORRECTIVAS Y PREVENTIVAS
Página 1 de 5 Original Firmado por: Preparado por: Representante de la Gerencia Aprobado por: Gerente General RED-SUR TABLA DE CONTENIDOS 1. OBJETIVO. 2. ALCANCE. 3. DEFINICIONES. 4. RESPONSABILIDADES.
Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores
1 ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores Datos Identificativos del Rol Denominación del Puesto: Línea de Supervisión: Supervisa a: Analista Zonal de Tecnologías de Información
MANUAL DE PROCEDIMIENTOS DEL SUBPROCESO
SECRETARIA DE HACIENDA Y CREDITO PÚBLICO SUBPROCESO 9.13.5 Proceso: 9.13 Control de la Operación AGS 1 de 22 FIRMAS DE VALIDACIÓN DEL SUBPROCESO 9.13.5 OFICIALÍA DE. NO. DE VERSIÓN FECHA 20-04-2007 V A
PROCESO DE VERIFICACIÓN OCI
PROCESO DE VERIFICACIÓN DE LA INFORMACIÓN REGISTRADA EN EL INFOBRAS POR PARTE DE LOS ÓRGANOS DE CONTROL INSTITUCIONAL Descripción del Preguntas Comunicado Video Formatos procedimiento frecuentes Link de
FUNDACION CENTRO COLOMBIANO DE ESTUDIOS PROFESIONALES Aquí Comienzan a ser realidad tus sueños ACCIONES CORRECTIVAS
Página: 2 de 17 TABLA DE CONTENIDO 1 Datos de identificación 1.1 Nombre del procedimiento 1.2 Objetivo 1.3 Alcance 1.4 Responsable del procedimiento 1.5 Relación con otros macroprocesos procesos o subprocesos
ORDINARIO. Calle 23 No. 801 e/ A y B Vedado. La Habana, Cuba. Teléf.: , ,
1 REF. COLABORACIÓN TÉCNICA DE LA CONTRALORÍA GENERAL DE LA REPÚBLICA DE CUBA AL TEMA TÉCNICO NO. 2 LA IMPORTANCIA DEL USO DE BASES DE DATOS Y DE LA SEGURIDAD DE LA INFORMACIÓN PARA EL FORTALECIMIENTO
Plan Informático II. APLICACIÓN
I N S T I T U T O N A C I O N A L D E E S T A D Í S T I C A Y C E N S O S D I R E C C I O N D E D E S A R R O L L O T E C N O L Ó G I C O E S T A D Í S T I C O Plan Informático I. PROPOSITO Presentar un
Manual: GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA
Proyecto AMPARO Manual: GESTIÓN DE INCIDENTES DE SEGURIDAD INFORMÁTICA AMÉRICA LATINA Y CARIBE Página 1 Consideraciones Iniciales El presente manual ha sido desarrollado en el marco de las actividades
MARCO DE REFERENCIA SERVICIOS TECNOLÓGICOS PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO
MARCO DE REFERENCIA PARA LA GESTIÓN DE TI EN EL ESTADO COLOMBIANO SERVICIOS TECNOLÓGICOS ARQUITECTURA DE INFRAESTRUCTURA TECNOLÓGICA 65. Aplicar mejores prácticas para infraestructura tecnológica La entidad
Art. 7 de la Ley Orgánica de Transparencia y Acceso a la Información Pública - LOTAIP
PROCESOS GOBERNANTES / NIVEL DIRECTIVO 11.15 EFIC: Porcentaje de procesos sustantivos 100% de procesos sustantivos priorizados priorizados mejorados mejorados 11.16 Porcentaje de proyectos de inversión
INSTRUMENTOS TÉCNICOS PARA EL ASEGURAMIENTO DE LA CALIDAD DE LAS ESTADÍSTICAS OFICIALES. Noviembre de 2013
INSTRUMENTOS TÉCNICOS PARA EL ASEGURAMIENTO DE LA CALIDAD DE LAS ESTADÍSTICAS OFICIALES Noviembre de 2013 Sistema Estadístico Nacional Estadísticas relevantes Toma de decisiones Requerimientos de información
COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez
COBIT 4.1 DS5 Garantizar la Seguridad de los Sistemas By Juan Antonio Vásquez La necesidad de mantener la integridad de la información y proteger los activos de TI, requiere de un proceso de administración
SISTEMA DE CONTROL DE PROYECTOS
PROCEDIMIENTO REPORTES SISTEMA DE CONTROL DE PROYECTOS Referencia Revisión Fecha Preparado Revisado Autorizado Autorizado para uso 0 14/07/2011 Enthalpy Enthalpy C. Martínez BDCo PCS_PR_004,006, 010,012,014,015,
ACCIONES CORRECTIVAS Y PREVENTIVAS
Página 1 de 9 ELABORADO POR: Centro Nacional de Salud Pública REVISADO POR: APROBADO CON: Centro Nacional de Salud Pública RD 011-2005-DG-CNSP/INS FECHA: 2005-12-23 Página 2 de 9 INDICE Pág. CARÁTULA 1
Proceso de gestión financiera del proyecto/programa
Proceso de gestión financiera del proyecto/programa Proyecto Control del documento Información del documento Identificación del documento Responsable del documento Fecha de emisión Fecha de última modificación
SISTEMA DE MEJORA CONTINUA DE LA GESTIÓN DE LOS GOBIERNOS REGIONALES
SISTEMA DE MEJORA CONTINUA DE LA GESTIÓN DE LOS GOBIERNOS REGIONALES Encuentro nacional de secretarías ejecutivas y técnicas de comités de calidad de Gobiernos Regionales. Departamento de Fortalecimiento
ROBERTO DIAZGRANADOS DIAZ
Ciberseguridad Acciones y Estrategias ROBERTO DIAZGRANADOS DIAZ roberto.diazgranados@crcom.gov.co Noviembre de 2009 Agenda 1 Contexto General 2 Acciones adelantadas 3 4 Resultados preliminares Tareas previstas
PROCEDIMIENTO GENERAL PARA LA ELABORACIÓN, CONTROL Y MODIFICACIÓN DE PROCEDIMIENTOS
PÁGINA 1 de 15 PROCEDIMIENTO GENERAL PARA LA ELABORACIÓN, CONTROL Y MODIFICACIÓN DE PROCEDIMIENTOS Copia nº: Destinatario: Fecha de Aplicación: Octubre de 1998 Elaborado y revisado por: APROBADO POR: DIRECTOR
PROYECTO PLATAFORMA DE SOFTWARE PÚBLICO
PROYECTO PLATAFORMA DE SOFTWARE PÚBLICO A. Información General Nombre del Proyecto Preparado por: Plataforma de Software Público Peruano Jenny Suarez Landeo Yonsy Solis Ponce Fecha de Preparación 23/11/2012
PREGUNTAS FRECUENTES DEL PROCESO DE GESTIÓN DE RIESGOS
1. Dentro del Establecimiento del contexto, Se toma en cuenta el presupuesto? Las políticas? Las Legislaciones? Respuesta: Sí, se toma en cuenta ya que se tienen que considerar todas las variables, tanto
EJECUTAR PLAN ANUAL DE CAPACITACIÓN CONTROL DE CAMBIOS. Descripción de la modificación
EJECUTAR PLAN ANUAL DE CÓDIGO: AP-01.3.3.02 VERSION: 02 CONTROL DE CAMBIOS Versión Sección y/o página 02 1-16 Descripción de la modificación Actualización de acuerdo al Estatuto Orgánico de Gestión Organizacional
Educación superior desde Curso de Prevención de Fraudes. Auditoría. Duración 6 horas. Conocimiento en acción
Curso de Prevención de Fraudes Auditoría Duración 6 horas Conocimiento en acción C Prevención de Fraudes. Auditoría Presentación La Escuela Bancaria Comercial y Kreston CSM forman una exitosa colaboración
AUDITORÍA Y REVISIÓN POR LA ALTA DIRECCIÓN
AUDITORÍA Y REVISIÓN POR LA ALTA DIRECCIÓN SG-SST Sistema de Gestión de la Seguridad y Salud en el Trabajo Facultad Nacional de Salud Pública Héctor Abad Gómez Universidad de Antioquia. Objetivo: Hacer
INSTRUCTIVO MODULO ADMINISTRATIVO CANCELACIÓN
[Escriba aquí] INSTRUCTIVO MODULO ADMINISTRATIVO CANCELACIÓN CONTENIDO 1. INSTRUCTIVO TRÁMITE CANCELACIÓN --------------------------------------------------- 3 1.1 CARACTERÍSTICAS DEL INSTRUCTIVO -----------------------------------------------
SISTEMA DE CONTROL INTERNO. Secretaría General
SISTEMA DE CONTROL INTERNO Secretaría General CONTROL INTERNO Definición Proceso integral de gestión que realiza el titular, funcionarios y servidores de ESSALUD a fin de administrar y gestionar sus recursos
ANEXO H-3 Metodología para la Administración de Problemas
ANEXO H-3 Metodología para la Administración de Este folio es consecutivo en orden alfabético por empresa: 07223 Logotipo Página 2 de 3 ANEXO H-3 Logotipo ANEXO H-3 METODOLOGÍA DE Responsable de Cambios:
V Procesamiento de la información (validación)
V Procesamiento de la información (validación) Todas las sub-actividades del procesamiento de información se realizaron con la ayuda de diferentes sistemas basados en una única plataforma tecnológica de
MATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS
MATRIZ DE CONTROL INTERNO COMPONENTES Y NORMAS No. COMPONENTE AMBIENTE DE CONTROL EVALUACIÓN DE RIESGOS Valor Añadido 5 8 Norma Valor NORMA ASOCIADA No. Desagregado DOCUMENTO. Integridad y valores éticos.
Universidad Nacional del Litoral
Universidad Nacional del Litoral Documento de Proyecto y Acción. Código y título del proyecto Código Título Programa integral de Higiene y Seguridad de la FCE. 2. Propósitos Incorporar un programa integral
Experiencias en el manejo de Incidentes de Seguridad
Experiencias en el manejo de Incidentes de Seguridad Hernán n Costante 21 de Noviembre de 2008 Asunción - PARAGUAY Qué es un incidente de Seguridad de la Información? n? Cualquier
PROCESO:IG10.00 GESTIÓN DE NO CONFORMIDADES IG NO CONFORMIDADES, ACCIONES CORRECTIVAS Y PREVENTIVAS
IG10.00.1_NO, ACCIONES PROCESO:IG10.00 GESTIÓN DE NO IG10.00.1 NO, ACCIONES Elaborado por: Revisado por: Aprobado por: Comisión de Calidad Oficina Técnica Aprobado por: Consejo Rector (pendiente) José
GERENCIA DE TECNOLOGÍAS DE LA INFORMACIÓN. Procedimiento de Backup de Servidores y Estaciones de Trabajo
GERENCIA DE TECNOLOGÍAS DE LA INFORMACIÓN Procedimiento de Backup de Servidores y Estaciones de Trabajo Código : Versión : 1C Fecha : 2013-11-18 Página : 1 de 8 ÍNDICE ÍNDICE 1 FLUJOGRAMAS 2 1. OBJETIVO
Seguridad de la información, políticas y casos de éxito
Seguridad de la información, políticas y casos de éxito Del dicho al hecho Ing. Fabiana Santellán (AGESIC) Ing. Fernando Cócaro (AGESIC) Ing. Fernando García (MTSS) 1 Agenda Principios de la seguridad
SISTEMA DE CONTROL INTERNO GENERALIDADES.
PÁGINA: 1 de 6 INTRODUCCION El Sistema de Control Interno se incorpora al Sistema Integral de Gestión de la Cámara de Comercio de Duitama y comprende el conjunto de las normas legales, planes, métodos,
XXV ASAMBLEA GENERAL OLACEFS SANTIAGO DE QUERÉTARO, MÉXICO
XXV ASAMBLEA GENERAL OLACEFS SANTIAGO DE QUERÉTARO, MÉXICO Adaptado de: Ramírez-Alujas y Dassen, 2012 Noviembre 23 al 27 de 2015 La importancia del uso de base de datos y de la seguridad de la información
Sistema de Certificación de la Calidad Estadística en el SEN
Sistema de Certificación de la Calidad Estadística en el SEN Contenido 1. Antecedentes del Sistema de Certificación 2. Implementación del Sistema de Certificación 3. Resultados 1. ANTECEDENTES DEL SISTEMA
PROCEDIMIENTO CONTROL DE PRODUCTO NO CONFORME SGC.CPNC
CONTROL DE PRODUCTO NO CONFORME SGC.CPNC Elaborado por Revisado por Aprobado por Nombre Cargo Fecha Firma Macarena Guzmán Cornejo Paulina Fernández Pérez Jimena Moreno Hernández Analista de Planificación
Sistema Higiene, Seguridad y Mejoramiento de Ambientes de Trabajo MEI Superintendencia de Seguridad Social Marzo 2012
Sistema Higiene, Seguridad y Mejoramiento de Ambientes de Trabajo MEI 2012 Superintendencia de Seguridad Social Marzo 2012 OBJETIVO GENERAL Formalizar y fortalecer los procesos asociados al mejoramiento
Aplica para todas las sedes de la Universidad de Santander.
Versión: 01 Página 1 de 6 PROCESO y/o SUBPROCESO: PROCEDIMIENTO: SEGURIDAD INFORMÁTICA TOPOLOGÍA DE LA RED CONDICIONES GENERALES Se deben cumplir los lineamientos institucionales, leyes, normas, políticas,
Toma de Acciones Correctivas
Página 1 de 6 1. Objetivo y Alcance Identificar, dimensionar, analizar y eliminar las causas s No Conformidades detectadas en el Sistema, definiendo las acciones que permitan mitigar cualquier impacto
5.9 OS - OPERACION DE SERVICIOS OMS - Operación de la mesa de servicios. Secretaría de la Función Pública, MÉXICO Página 116 de 141
5.9 OS - OPERACION DE SERVICIOS 5.9.1 OMS - Operación de la mesa de servicios Secretaría de la Función Pública, MÉXICO Página 116 de 141 5.9.1.1 Objetivos del proceso General: Establecer y operar una Mesa
GUÍA DE OPERACIÓN DEL COMITÉ DE ADMINISTRACIÓN DE RIESGOS
1. Presentación Tras establecerse en el año 2006 el primer marco normativo de control interno para toda la Administración Pública Federal, surgió la necesidad de establecer un mecanismo que vinculara la
ANEXO E AVANCES DEL DOCUMENTO INSTITUCIONAL
SEGUIMIENTO A ASPECTOS SUSCEPTIBLES DE MEJORA CLASIFICADOS COMO INSTITUCIONALES, DERIVADOS DE INFORMES Y EVALUACIONES EXTERNAS Secretaría de Desarrollo Social Avance del Documento Institucional S057- del
ISO Gestión de Riesgos de Ciberseguridad. Krav Maga Hacking Information Security Services
ISO 27032 Gestión de Riesgos de Ciberseguridad whoami Una fork en GitLife que seguro será mucho mejor software! Padre [ no mucho ultimamente :-( ] cat /dev/sec grep * >> /dev/mind Curioso, navegante empedernido
LINEAMIENTOS PARA LA CONSTRUCCIÓN DEL MAPA DE RIESGO PARA ALIMENTOS Y BEBIDAS
LINEAMIENTOS PARA LA CONSTRUCCIÓN DEL MAPA DE RIESGO PARA ALIMENTOS Y BEBIDAS Subdirección de Salud Nutricional, Alimentos y Bebidas Ministerio de Salud y Protección Social Octubre de 2016 ALEJANDRO GAVIRIA
Plan de Acción para la implementación de la Política Institucional de Género ( ) Línea de Base y Meta
Plan de Acción para la implementación de la Política Institucional de Género (2017 2020) Área estratégica: Programas Once (11) y Doce (12) Objetivo General Institucionalizar la perspectiva de género en
ETAPAS Y ACTIVIDADES MÍNIMAS A REALIZAR POR EL CONSULTOR
ANEXO N 1 PROPONENTE : ETAPAS Y ACTIVIDADES MÍNIMAS A REALIZAR POR EL CONSULTOR 0. ETAPA 0 0.1. Hito 0 0.1.1. Elaborar un diagnóstico determinando brecha existente. 1. ETAPA 1 1.1. Hito 1 1.1.2. Elaboración
Encuesta Nacional a Instituciones Educativas INEI. Plan de Trabajo. 1
Plan de Trabajo. 1 PLAN DE TRABAJO 1. OBJETIVOS 1.1. GENERAL: Obtener información para estimar los indicadores que permitan evaluar la aplicación de los diferentes programas presupuestales en las instituciones
CONTROL INTERNO PLAN OPERATIVO
CONTROL INTERNO PLAN OPERATIVO Código 1115-F10 Versión 1 Fecha 20/08/2010 Pagina 1 de 2 FECHA: ENERO A DICIEMBRE DE RESULTADO OBJETIVOS METAS ACTIVIDADES MEDICIÓN DE LOGROS RESPONSABLES 1, Planear estrategias
Programa presupuestal 0114 Protección al Consumidor
Programa presupuestal 0114 Protección al Consumidor 1 Programa presupuestal 0114 PROTECCIÓN AL CONSUMIDOR Aspectos generales del diseño del Programa Presupuestal PROBLEMA IDENTIFICADO Creciente incidencia
Detalle de la Matriz. Objetivo Orden Supuestos. Tipo de Valor de la Meta Unidad de Medida Tipo de Indicador. Propósito. Objetivo Orden Supuestos
Matriz de es para Resultados 2015 Finalidad: Función: Subfunción: Actividad Institucional: Clasificación Funcional: 3 - Desarrollo Económico 7 - Turismo 1 - Turismo 4 - Turismo con sello propio de calidad
GUIA METODOLÓGICA PARA LA ELABORACIÓN DEL INFORME DE GESTIÓN
GUIA METODOLÓGICA PARA LA 000000000000000000000000000000000000000000000000000000000000000000 ELABORACIÓN DEL INFORME DE GESTIÓN PRESENTACIÓN La Universidad Francisco de Paula Santander Ocaña en su fortalecimiento
MINISTERIO DE HACIENDA Código:PSC-AI-04.3 DIRECCION GENERAL DE RENTAS Revisión: 1 AUDITORIA INTERNA
1. Objetivo Establecer el criterio, métodos y responsabilidades para la ejecución de Auditorías Internas tendientes a verificar la implementación y eficacia del Sistema de Calidad. 2. Definiciones Registro
POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00
POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00 Este documento presenta las características principales de la Seguridad de la Información, el uso aceptable y prohibido de los recursos por los funcionarios
DIRECCION EJECUTIVA DE SALUD DE LAS PERSONAS
170. CATEGORIZACION DE ESTABLECIMIENTOS DE SALUD DEL PRIMER NIVEL DE ATENCION Dirección Regional de Salud: Recepciona, verifica y deriva al Director Regional de Salud Aprueba y establece observaciones
PROGRAMA PRESUPUESTO PARTICIPATIVO
PROGRAMA PRESUPUESTO PARTICIPATIVO 1. RELACIÓN CON EL PLAN MUNICIPAL Eje rector Sub eje rector Programa general Meta Estrategia Línea de acción Fechas 5. Guadalupe transparente 5.9 Gestión por resultados
Procedimiento. Validación del Software
COOPERATIVA DE AHORO Y CREDITO CAMARA DE COMERCIO DE AMBATO LTDA PROCESO: GESTIÓN OPERATIVA SUBPROCESO: GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN PROCEDIMIENTO: VALIDACIÓN DEL SOFTWARE Código: DOCOGEGG7.7.01.01
DC-PG 056 Proceso de Certificación IRAM para Buenas Prácticas de Manufactura- BPM Revisión 02 DIRECCIÓN DE CERTIFICACIÓN
1 de 8 1. OBJETO Establecer el procedimiento para el otorgamiento y mantenimiento de las certificaciones y recertificaciones de los programas detallados en el alcance. 2. ALCANCE Para los Programas de
MANUAL DE ORGANIZACIÓN Y FUNCIONES DEL DEPARTAMENTO DE CONSULTA EXTERNA APROBADO POR: R.D.Nº SA-HCH/DG
MINISTERIO DE SALUD HOSPITAL CAYETANO HEREDIA MANUAL DE ORGANIZACIÓN Y FUNCIONES DEL DEPARTAMENTO DE CONSULTA EXTERNA APROBADO POR: R.D.Nº 277-2008-SA-HCH/DG FECHA DE APROBACIÓN: 30-07-2008 1 INDICE CAPITULO
ESTÁNDARES SISTÉMICOS. Definición: Es un nivel de calidad de un conjunto de actividades relacionadas entre sí para cumplir un objetivo común.
ESTÁNDARES SISTÉMICOS Definición: Es un nivel de calidad de un conjunto de actividades relacionadas entre sí para cumplir un objetivo común. Qué evaluar? Documentos que evidencien el funcionamiento del
PROYECTO CERO HALLAZGOS POR PARTE DE LOS ENTES DE CONTROL JOHANA LEÓN JAIMES DIRECTORA CONTROL INTERNO Y EVALUACIÓN DE GESTIÓN
PROYECTO CERO HALLAZGOS POR PARTE DE LOS ENTES DE CONTROL JOHANA LEÓN JAIMES DIRECTORA CONTROL INTERNO Y EVALUACIÓN DE GESTIÓN UNIVESIDAD INDUSTRIAL DE SANTANDER DIRECCIÓN DE CONTROL INTERNO Y EVALUACIÓN
Gestión Documental Bogotá. 16 de Julio 2013
INFORME DE GESTIÓN CUATRIMESTRAL MAYO-JUNIO DE 2013 Gestión Documental Bogotá. 16 de Julio 2013 1. Relación de actividades de Grupo de Gestión Documental 1.1. Actividad 1: Diseñar la estrategia para aplicar
Guía para verificación de equipo de Tecnologías de Información y Comunicaciones nuevo. Gobierno del Estado de México
Guía para verificación de equipo de Tecnologías de Información y Comunicaciones nuevo Gobierno del Estado de México Página: 2 de 17 Contenido Revisiones... 3 Introducción... 4 Objetivo... 4 Alcance...
PLAN DE INCENTIVOS A LA MEJORA DE LA GESTIÓN Y MODERNIZACIÓN MUNICIPAL PARA EL AÑO 2013
Ministerio de Desarrollo e Inclusión Social PLAN DE INCENTIVOS A LA MEJORA DE LA GESTIÓN Y MODERNIZACIÓN MUNICIPAL PARA EL AÑO 2013 GUÍA PARA EL CUMPLIMIENTO DE LA META SISFOH DEL I SEMESTRE DEL 2013 SISTEMA
Anexo Acuerdo de Nivel de Servicio: Atención a Usuarios CSU Gestión de Nivel de Servicio
Gestión de Nivel de Servicio Vicerrectorado de TIC, Calidad e Innovación Área de Tecnologías de la Información [SISTEMA DE GESTIÓN DEL SERVICIO (SGS) ] Título Nombre del Fichero Autor SLA_ANEXO_S13.doc
DEMANDAS JUDICIALES Y ARBITRALES EN CONTRA DEL ESTADO. judiciales/
Viceministro de Hacienda Dirección Nacional de Contabilidad Pública APLICATIVO WEB: DEMANDAS JUDICIALES Y ARBITRALES EN CONTRA DEL ESTADO http://apps3.mineco.gob.pe/sentencias judiciales/ PRIORIZACION
INSTRUCTIVO MODULO ADMINISTRATIVO ADICION PRESUPUESTAL
[Escriba aquí] INSTRUCTIVO MODULO ADMINISTRATIVO ADICION PRESUPUESTAL CONTENIDO 1. MANUAL ADICIÓN PRESUPUESTAL ------------------------------------------------------------------ 3 1.1 CARACTERÍSTICAS DEL
Auditoría Externa al ASIC, TIE, LAC Informe Ejecutivo. Junio de Deloitte Asesores y Consultores
Auditoría Externa al ASIC, TIE, LAC 2014 Informe Ejecutivo Junio de 2015 Contenido Objetivo y Alcance Enfoque y Metodología Administrador del Sistema de Intercambios Comerciales (ASIC) Liquidador y Administrador
PROCEDIMIENTO DE ADMINISTRACIÓN DEL SISTEMA ACCIONES CORRECTIVAS Y PREVENTIVAS
INDICE 1. OBJETIVO 2. ALCANCE 3. DOCUMENTACIÓN APLICABLE 4. RESPONSABILIDADES 5. DEFINICIONES 6. DESCRIPCION DEL PROCEDIMIENTO. 7. ANEXOS Confeccionado por: Revisado por: Aprobado por: Nombre Carolina
PROCEDIMIENTO DE ACCIONES CORRECTIVAS Y ACCIONES PREVENTIVAS
Vigente desde: Pág. Página 1 de 14 PROCEDIMIENTO DE ACCIONES CORRECTIVAS Y ACCIONES PREVENTIVAS Vigente desde: Pág. Página 2 de 14 Tabla de Aprobación del Documento Revisión Elaborado por: Revisado por:
Creación de un CSIRT
Creación de un CSIRT CSIRT: Computer Security Incident Response Team (Equipo de Respuesta a Incidentes de Seguridad Informática) Un CERT es un CSIRT pero el término CERT es una marca registrada por Carnegie
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03
DE SEGURIDAD DE LA INFORMACIÓN 21 de diciembre de 2015 POL-01-03 INDICE 1. Antecedentes... 2 2. Objeto... 2 3. Contexto del Desarrollo del SGSI en ZERTIFIKA... 2 4. Partes Interesadas, sus necesidades
ANEXO H-4 Metodología para la Administración de Cambios
ANEXO H-4 Metodología para la Administración de Cambios Este folio es consecutivo en orden alfabético por empresa: 07236 Página 2 de 6 REVISIÓN: ANEXO H-4 Logotipo ANEXO H-4 METODOLOGÍA DE Responsable
La Protección de las Infraestructuras Críticas: el caso de España
La Protección de las Infraestructuras Críticas: el caso de España CNPIC Creación en el año 2.007 Dependencia del Ministerio del Interior a través de la Secretaría de Estado de Seguridad Misión: Desarrollo
MANUAL DE ORGANIZACIÓN. DIRECCIÓN GENERAL Fecha: JUN 15 DESCRIPCIÓN Y PERFIL DE PUESTOS
Hoja: 1 de 5 Nombre del puesto: Coordinador de Infraestructura de Voz y Cableado Estructurado Área: Departamento de Gestión de Arquitectura e Infraestructura de Tecnológica Nombre del puesto al que reporta
NOMBRE DE LA ASIGNATURA: VERIFICACIÓN Y VALIDACIÓN DEL SOFTWARE INTEGRANTES DEL EQUIPO: RAFAEL VALLE CASTELÁN JUAN DE DIOS RAMÍREZ VIVAR
TEMA: MONITOREO Y SEGUIMIENTO DEL PROYECTO. NOMBRE DE LA ASIGNATURA: VERIFICACIÓN Y VALIDACIÓN DEL SOFTWARE INTEGRANTES DEL EQUIPO: RAFAEL VALLE CASTELÁN JUAN DE DIOS RAMÍREZ VIVAR NOMBRE DEL PROFESOR:
1. DIAGRAMA DE PROCESO SOLICITUD DE PRÓRROGAS AL CONTRATO TRÁMITE DE LA MODIFICACIÓN (proveeduría)...11
Prórrogas al Contrato previstas en el Cartel. P-PS-090-04-2013 Contenido 1. DIAGRAMA DE PROCESO... 3 2. SOLICITUD DE PRÓRROGAS AL CONTRATO... 4 3. TRÁMITE DE LA MODIFICACIÓN (proveeduría)...11 4. VERIFICACIÓN