ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA
|
|
- Roberto Plaza Juárez
- hace 8 años
- Vistas:
Transcripción
1 ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA 1.1. INTRODUCCION. De acuerdo con la definición del ITGI 1 se entiende por Gobierno de Tecnología como la: Responsabilidad de la Junta de Directores por el liderazgo, las estructuras organizacionales y los procesos que aseguren a la empresa que la función de tecnología de la información soporta apropiadamente el alcance de los objetivos y estrategias de la organización 2 Un elemento esencial para la implementación exitosa de un programa de Gobierno de TI es que la organización adopte las mejores prácticas de un Sistema de Gestión de Seguridad de la Información (SGSI). La adopción de un modelo como el ISO 27000, exige que la organización realice un diagnóstico de su estado de seguridad. Así las cosas, la Federación Colombiana de Municipios - Dirección Nacional Simit, dadas las políticas de seguridad de la información vigentes en la entidad requiere que la solución y objeto de este procesos sea completamente cubierto bajo el marco de la política de seguridad de la información que está alineada con la Norma ISO y la ISO 27002, por lo cual cada hito, componente, servicio, infraestructura y asesoría debe estar enmarcada en la norma, dejando plena documentación y evidencia de su cumplimiento OBJETIVO La Federación Colombiana de Municipios requiere de un diagnóstico de seguridad y emitir las recomendaciones pertinentes para su fortalecimiento alineado con el modelo ISO e ítemes planteados en el alcance de la solución requerida. 1 IT Governance Institute, ITGI. 2 Win Van Grembergen and Steven De Haes, Implementing information technology governance, Igi Publishing, 2008, pág, 5
2 ENFOQUE TÉCNICO Y METODOLOGIA A SER PROPUESTA: OBJETIVOS ESPECIFICOS a) Determinar el nivel de exposición a ataques mediante la realización de pruebas de vulnerabilidad externas e internas de la infraestructura aquí provista ó requerida. b) Realizar un análisis de brecha frente a la norma ISO Anexo A - Objetivos de control y controles c) Definir las plantillas de aseguramiento apropiadas para la infraestructura crítica de la Federación Colombiana de Municipios. d) Realizar aseguramientos a servidores críticos de LA FEDERACIÓN. e) Transferir conocimientos a los responsables de la seguridad de la información en la Federación Colombiana de Municipios METODOLOGIA PROPUESTA El diagnóstico de seguridad de la información se debe llevar a cabo mediante la realización de tres servicios: Pruebas de vulnerabilidad externas e internas Análisis gap ISO Aseguramientos 1.3. PRUEBAS DE VULNERABILIDAD EXTERNAS E INTERNAS OBJETIVO Identificar las vulnerabilidades presentes en la infraestructura tecnológica conectada a internet y desde la red local DESCRIPCION Se deben realizar pruebas de vulnerabilidad externas con el fin de identificar riesgos sobre la plataforma tecnológica de la organización conectada hacia Internet. Durante las pruebas, se debe buscar evaluar la funcionalidad de los diferentes sistemas de seguridad perimetrales implementados en la plataforma
3 tecnológica tales como Firewalls, sistemas de detección de Intrusos, sistemas de encripción, sistemas de autenticación, entre otros. Se deben realizar pruebas de vulnerabilidad internas de la red de la organización con el fin de identificar riesgos sobre la plataforma tecnológica considerada como crítica. En este aspecto el consultor obra como un funcionario de la entidad, en donde se garantiza que tiene acceso a la red local. Se revisan servidores, bases de datos, firewalls, sistemas de detección de Intrusos, sistemas de encripción, sistemas de autenticación, entre otros ACTIVIDADES Metodología de pruebas La metodología utilizada debe estar soportada por los estándares Open- Source Security TestingMethodology (OSSTMM) e ISSAF (informationsystemssecurityassessmentframework). El equipo consultor que se debe presentar a la FCM la metodología de pruebas de vulnerabilidad externas. Dentro de los temas que se deben tratar son: Tipos de pruebas a realizar Alcance de las pruebas Mecanismos de comunicación con el cliente ante posibles incidentes Solución a inquietudes Definición de direcciones IP públicas e IP privadas a analizar Junto con la organización se deben confirmar las direcciones IP objetivos para las pruebas de vulnerabilidad. Definición de las fechas y horas para la realización de las pruebas Junto con la organización se establecen las fechas y horas más convenientes para la realización de las pruebas tanto externas como internas. Realización de pruebas de vulnerabilidad En las fechas y horas establecidas, desde las instalaciones del proveedor, se deben llevar a cabo las pruebas de vulnerabilidad externas. Para las internas se acuerdan los puntos de la red de la Federación Colombiana de
4 Municipios desde donde se llevaran a cabo los análisis. Durante el desarrollo de las pruebas el equipo de consultores debe estar en permanente comunicación con la organización para informar el avance y los resultados de las mismas. Son de especial importancia el reporte de los hallazgos críticos los cuales requieren acciones correctivas inmediatas. Informe de pruebas de vulnerabilidad. Finalizadas las pruebas de vulnerabilidad, el equipo consultor debe analizar los hallazgos encontrados y debe realizar un informe borrador el cual se presenta a la FCM. Con base en la retroalimentación que se reciba, se debe proceder a realizar los ajustes en el informe y se programa la presentación del informe final. Validación del informe de pruebas de vulnerabilidad El informe final de las pruebas debe estar sustentado ante las diferentes instancias que considere la organización. El objetivo de estas presentaciones es crear conciencia sobre las remediaciones (acciones correctivas) que debe emprender la organización sobre las vulnerabilidades detectadas ASEGURAMIENTOS OBJETIVO Se debe elevar el nivel de protección de sistemas operacionales, bases de datos, aplicaciones, dispositivos de comunicaciones, elementos de seguridad y componentes inalámbricos, mediante ajustes en su configuración actual tendientes a mitigar la probabilidad de explotación de las vulnerabilidades técnicas identificadas en cada uno de ellos DESCRIPCION De acuerdo con los resultados de las pruebas de vulnerabilidad internas y externas se deben seleccionar los servidores, bases de datos, aplicaciones y dispositivos a asegurar (hardening). El objetivo del aseguramiento es elevar el nivel de protección de los dispositivos seleccionados y comprobar que los niveles de exposición se reducen después de realizada la maniobra.
5 ACTIVIDADES Definición de los componentes a asegurar En conjunto con la organización se deben definir los elementos de la infraestructura a asegurar, esta infraestructura está limitada dentro de la arquitectura e infraestructura provista en el marco de ejecución del presente proceso/contrato. Como buena práctica se deben desarrollar talleres y presentaciones necesarias ante los administradores de plataformas y dispositivos y los usuarios funcionales y finales de las aplicaciones sobre la mecánica a seguir en los aseguramientos y los posibles efectos de los mismos. Igualmente se acuerdan las condiciones ideales para la maniobra incluyendo las medidas preventivas que debe adoptar la organización: copias de datos, configuraciones, planes de contingencia, etc. Se debe construir conjuntamente el cronograma de aseguramientos en las ventanas de tiempo más apropiadas de acuerdo con las instrucciones de la organización. Generación de las plantillas de aseguramiento Para cada uno de los elementos e infraestructura a asegurar se deben buscar las plantillas de aseguramiento más actualizadas y disponibles en diferentes fuentes: buenas prácticas y recomendaciones del fabricante. El equipo consultor revisa las planillas e introduce los ajustes necesarios de acuerdo con las condiciones particulares de la organización y las entrega a la misma para su revisión y aprobación. En la revisión de las plantillas es necesario que participen los funcionarios de tecnología, los responsables de soporte y mantenimiento, los líderes de seguridad, administradores de aplicaciones y los usuarios finales. Aseguramiento En las fechas y horas pactadas (ventanas) se debe proceder con la realización de la maniobra de aseguramiento prevista. Previo a la misma, el
6 equipo consultor junto con la organización verifican que se hayan cumplido las tareas de alistamiento: Copias de respaldo de configuraciones Copias de respaldo de aplicaciones y de datos Presencia en sitio de los responsables convocados: Proveedores, administradores, usuarios funcionales, etc. Si alguna de las premisas anteriores no se cumple es necesario cancelar la maniobra y programarla de nuevo. Es esencial tener en cuenta estas premisas pues la logística de preparación es bastante compleja y una ventana que se cancela significa un retraso de al menos dos semanas en el cronograma de trabajo. Pruebas post aseguramiento Finalizada la maniobra y verificado el correcto funcionamiento de las aplicaciones dependientes de los dispositivos asegurados, se programa lo que se conoce como un re-test. Este re-test consiste en evaluar las vulnerabilidades presentes en el dispositivo o componente después que este ha sido asegurado. El resultado del re-test se compara contra los resultados de las pruebas de vulnerabilidad inicialmente realizadas y se establecen: Vulnerabilidades que se corrigen Vulnerabilidades que continúan y la causa de esta situación Nuevas vulnerabilidades Los dueños de los componentes deben conocer y aceptar el nivel de riesgo residual presente. Elaboración del informe Finalizados los aseguramientos y las pruebas post-aseguramiento, el equipo del contratista analiza los resultados de los mismos y realiza un informe borrador el cual se presenta a la entidad. Con base en la retroalimentación que se reciba, se procede a realizar los ajustes en el informe y se programa la presentación del informe final.
7 Validación del informe El informe final con los resultados del aseguramiento es sustentado ante las diferentes instancias que considere la Federación Colombiana de Municipios: Dirección TIC, Dirección Nacional Simit, usuarios finales, proveedores, entre otros. El objetivo de estas presentaciones es crear conciencia sobre las remediaciones (acciones correctivas) emprendidas y la necesidad de realizar este tipo de labores de manera periódica. Presentación del informe El informe del aseguramiento se da a conocer a la entidad. La presentación se sustenta ante las diferentes instancias que considere la misma ENTREGABLES En la tabla 3 a continuación se presenta la lista de entregables de Seguridad de la Información: Servicio Entregables Pruebas de vulnerabilidad externas e internas Análisis Gap ISO Aseguramientos Resumen de los problemas encontrados desde Internet, organizados por nivel de criticidad. Resumen de los hallazgos encontrados a nivel interno Recomendaciones para elevar los niveles de protección Presentaciones para las charlas de sustentación y sensibilización Declaración de aplicabilidad (SOA) Informe de análisis GAP Lista de dispositivos a asegurar Plantillas genéricas de aseguramiento Plantillas finales con los cambios efectuados a los componentes Informe con los resultados del aseguramiento Resultados de las pruebas post-aseguramiento Tabla 1. Entregables del servicio de gestión de seguridad.
Proceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesSistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001
Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC
Más detallesARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD
ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: 2009-2010 APUNTES TEMA 1: CONTROL DE CALIDAD. CONCEPTO. EVOLUCIÓN CON EL TIEMPO. NORMA UNE EN ISO 9001:2000 Profesor: Victoriano García
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesPROGRAMA DE GESTIÓN DOCUMENTAL
PROGRAMA DE GESTIÓN DOCUMENTAL PROGRAMA DE SEGUIMIENTO Y CONTROL Aprobó: Olga Sanabria Amín Vicepresidente Financiera y Administrativa Reviso: Carlos Alejandro Vanegas Gerente de Elaboró: Grupo de Gestión
Más detallesI. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesREVISION POR LA DIRECCION PLANEACION INTEGRAL CODIGO: PI-PRC17
1. OBJETIVO: Establecer las actividades para revisar el Sistema de Integrado de Gestión Institucio nal () de la entidad, a intervalos planificado,(por lo menos una vez al año), para asegurarse de su conveniencia,
Más detallesPROCEDIMIENTO DE AUDITORIAS INTERNAS. CALIDAD INSTITUCIONAL Versión: 02
1. OBJETIVO Realizar la planificación, estructuración y ejecución de las auditorías internas, con el objeto de garantizar el cumplimiento de los requisitos de la Norma ISO 9001:2008 y los fijados por la
Más detallesOHSAS 18001: 2007. Sistema de Gestión de la Seguridad y Salud en el trabajo
OHSAS 18001: 2007 Sistema de Gestión de la Seguridad y Salud en el trabajo El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre OHSAS 18001 u otras
Más detallesModelo de Seguridad de la Información. Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013
Modelo de Seguridad de la Información Luis Mauricio Vergara Jiménez lvergara@mintic.gov.co @maovergara Enero de 2013 AGENDA Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea
Más detallesINFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DE TRABAJO DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA
INFORME Nº1 PROPUESTA METODOLÓGICA Y PLAN DESARROLLO DE UN SISTEMA INTEGRADO DE GESTIÓN PARA EL GOBIERNO REGIONAL DE ATACAMA con destino a GORE DE ATACAMA ELIMCO SISTEMAS Alfredo Barros Errázuriz 1954
Más detalles[Guía de auditoría AudiLacteos]
[Guía de auditoría AudiLacteos] La siguiente es una guía para realizar la auditoria a la empresa AudiLacteos en procesos de CobiT. Los procesos contemplados en esta guía son: Adquirir y mantener software
Más detallesPOLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN
PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO
Más detalles1.1. Sistema de Gestión de la Calidad
1.1. Sistema de Gestión de la Calidad ÁREA: GESTIÓN DE LA CALIDAD SISTEMA: GESTIÓN DE LA CALIDAD ETAPA I - OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución realiza un diagnóstico del estado actual
Más detallesMetodología básica de gestión de proyectos. Octubre de 2003
Metodología básica de gestión de proyectos Octubre de 2003 Dentro de la metodología utilizada en la gestión de proyectos el desarrollo de éstos se estructura en tres fases diferenciadas: Fase de Éjecución
Más detallesTecnología de la Información. Administración de Recursos Informáticos
Tecnología de la Información Administración de Recursos Informáticos 1. Recursos informáticos: Roles y Responsabilidades 2. Áreas dentro del Departamento de Sistemas 3. Conceptos asociados a proyectos
Más detallesSEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO
SEGURIDAD PARA EL ACCESO A LA INFORMACIÓN DE LAS ENTIDADES DEL ESTADO Programa de Gobierno en Línea Oficina de Coordinación de Investigación, Política y Evaluación. RESUMEN La seguridad de la información
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesDOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013
DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 Agosto 2012 VERSIÓN N 01- PMB 2013 AGOSTO 2012 1 de 18 DOCUMENTO ELABORADO POR EL DEPTO. DE GESTIÓN DE LA DIVISIÓN
Más detallesPROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO Y CORRECTIVO PROCESO GESTIÓN TECNOLÓGICA
Página: 1 de 6 1. OBJETIVO Definir las acciones para brindar soporte de mantenimiento preventivo y correctivo de la plataforma tecnológica (equipos, software y redes de comunicación) de la Fundación FES,
Más detallesPROCESO SEGUIMIENTO INSTITUCIONAL PROCEDIMIENTO DE AUDITORÍAS INTERNAS DE LOS SISTEMAS DE GESTIÓN. Norma NTC ISO 15189:2009. Norma NTC ISO 5906:2012
Página 1 de 10 Revisó: Director de Control Interno y Evaluación de Gestión Vicerrector Administrativo Aprobó: Vicerrector Académico Fecha de aprobación: Noviembre 19 de 2007 Resolución N 1736 OBJETIVO
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesEMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA
DCI-PN-EA-01 VERSIÓN 02 Página 2 de 12 TABLA DE CONTENIDO 1. INTRODUCCIÓN... 3 2. ROL... 3 3. PROFESIONALIDAD... 3 4. AUTORIDAD... 4 5. ORGANIZACIÓN... 4 6. INDEPENDENCIA Y OBJETIVIDAD... 5 7. ALCANCE...
Más detallesProcedimiento de Auditoria Interna Revisión: 3. Facultad de Ciencias PROCEDIMIENTO: DE AUDITORIA INTERNA
Página 1 de 6 PROCEDIMIENTO: DE AUDITORIA INTERNA Página 2 de 6 1 PROPOSITO 1.1 El Objetivo de este Procedimiento es definir las líneas a seguir para planificar y realizar el proceso de auditoria interna
Más detalles-OPS/CEPIS/01.61(AIRE) Original: español Página 11 5. Estructura del programa de evaluación con personal externo
Página 11 5. Estructura del programa de evaluación con personal externo 5.1 Introducción Esta sección presenta la estructura del programa de evaluación con personal externo. Describe las funciones y responsabilidades
Más detallesALCALDIA DE MONTERIA SECRETARIA DE EDUCACION PROCEDIMIENTO AUDITORIAS INTERNAS DE CALIDAD CONTENIDO
PAGINA 1/14 CONTENIDO 1. INTRODUCCIÓN...2 2. OBJETIVO...3 3. ALCANCE...3 4. EXPLICACIÓN DETALLADA DEL SUBPROCESO N01.01 AUDITORÍAS INTERNAS...4 5. ÁREAS INVOLUCRADAS EN SU EJECUCIÓN Y ROLES DE CADA UNA...10
Más detallesCURSO TALLER. Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información
CURSO TALLER Implementador Norma ISO 27001 sobre Gestión de Seguridad de la Información DESCRIPCIÓN DEL CURSO El curso explicará los fundamentos para liderar una iniciativa en seguridad de la información,
Más detallesGLOSARIO DE TÉRMINOS
GLOSARIO DE TÉRMINOS A Alcance de la auditoría. El marco o límite de la auditoría y las materias, temas, segmentos o actividades que son objeto de la misma. Auditores externos. Profesionales facultados
Más detallesINSTITUCIÓN EDUCATIVA LA ESPERANZA AUDITORIAS INTERNAS. CÓDIGO: A1-IN01 VERSIÓN: 1 PÁGINA 1 de 6
CÓDIGO: A1-IN01 VERSIÓN: 1 PÁGINA 1 de 6 1. ESPECIFICACIONES GENERALES NOMBRE: AUDITORÌAS INTERNAS OBJETIVO: Evaluar el nivel de implementación y eficacia del S.G.C RESPONSABLE: Líder de la Gestión de
Más detallesEMPRESA DE ENERGÍA DE BOGOTÁ PROCESO DE CONVERGENCIA A NORMAS INTERNACIONALES DE INFORMACIÓN FINANCIERA NIIF
EMPRESA DE ENERGÍA DE BOGOTÁ PROCESO DE CONVERGENCIA A NORMAS INTERNACIONALES DE INFORMACIÓN FINANCIERA NIIF Presentación a Asamblea de Accionistas Marzo de 2013 ANTECEDENTES CTCP: Consejo Técnico de la
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesMACROPROCESO GESTIÓN TECNOLÓGICA
Versión 1.0 Página 1 de 5 1. OBJETIVO Suministrar las fases para la puesta en producción de aplicaciones y sistemas de información desarrollados o adquiridos por el Instituto Colombiano de Bienestar Familiar
Más detallesCurso. Introducción a la Administracion de Proyectos
Curso Introducción a la Administracion de Proyectos Tema 5 Procesos del área de Integración INICIAR PLANEAR EJECUTAR CONTROL CERRAR Desarrollar el Acta de Proyecto Desarrollar el Plan de Proyecto Dirigir
Más detallesPRU. Fundamento Institucional. Objetivos. Alcance
PRU INSTRUCCIONES: a continuación se describe el flujo de trabajo correspondiente al área de procesos de PRUEBAS para el desarrollo de software, en el cual se debe apoyar para la ejecución de sus actividades;
Más detallesINFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 1. MÓDULO DE CONTROL DE PLANEACIÓN Y GESTIÓN
INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO Noviembre de 2014 a febrero de 2015 En cumplimiento de lo dispuesto en al artículo 9 de la Ley 1474 de 2011, a continuación se presenta el informe del
Más detallesNorma ISO 14001: 2004
Norma ISO 14001: 2004 Sistema de Gestión Ambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesRevisión y Análisis de los Procesos para la Mejora Continua
Página 1 de 7 1. Objetivo y Alcance Determinar los criterios y actividades para el adecuado funcionamiento de los grupos de mejoramiento en cada uno de los procesos que conforman el Sistema, como espacios
Más detallesCUESTIONARIO DE AUTOEVALUACIÓN
CUESTIONARIO DE AUTOEVALUACIÓN El presente Cuestionario permite conocer en qué estado de madurez se encuentra el Sistema de Gestión Ambiental (en adelante, SGA) de su organización, de acuerdo a los requisitos
Más detallesPROCEDIMIENTO DE ACTUALIZACIÓN TECNOLÓGICA PROCESO GESTIÓN TECNOLÓGICA
Página: 1 de 5 1. OBJETIVO Definir las acciones para actualizar la plataforma tecnológica de la Fundación FES con base en el plan estratégico, las necesidades administrativas y de ejecución de los proyectos,
Más detallesPROCEDIMIENTO DE AUDITORIA INTERNA
Página 1 de 7 1. OBJETIVO Establecer la metodología para realizar las auditorías internas, hacer seguimiento a los hallazgos y oportunidades de mejora, con el fin de verificar el cumplimiento de los requisitos
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesOperación 8 Claves para la ISO 9001-2015
Operación 8Claves para la ISO 9001-2015 BLOQUE 8: Operación A grandes rasgos, se puede decir que este bloque se corresponde con el capítulo 7 de la antigua norma ISO 9001:2008 de Realización del Producto,
Más detallesMarco Normativo de IT
Marco Normativo de IT PC0901 - Proceso de control de cambios en software de aplicación provisto por Organismos Gobierno de la Ciudad Autónoma de Buenos Aires PC0901 - Proceso de control de cambios en software
Más detallesÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN
ETAPA I OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución, en conjunto con las áreas que la componen, realiza un Diagnóstico de la situación de seguridad de la información institucional, e identifica
Más detallesSUBSISTEMA DE CONTROL DE GESTION
INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 JEFE DE CONTROL INTERNO, O QUIEN HAGA SUS VECES: GLORIA HELENA RIASCOS RIASCOS Periodo evaluado: Noviembre de 2013 a Marzo de 2014
Más detallesUniversidad Tecnológica de Panamá Calidad Institucional. Procedimiento para Auditoría Interna de Calidad
1. Introducción: Este procedimiento es relativo a la realización de auditorías internas dentro del Sistema de Gestión de la Calidad\ 2. Objetivos del procedimiento: Determinar el procedimiento a seguir
Más detallesPROCEDIMIENTO DE AUDITORÍA INTERNA DE CALIDAD
Página 1 de 9 1. OBJETIVO Establecer el proceso para realizar las auditorias internas de calidad a fin de que permitan verificar que el Sistema de Gestión de la Calidad cumple con lo establecido en la
Más detallesSoluciones Integrales que brindan Calidad, Seguridad y Confianza
Soluciones Integrales que brindan Calidad, Seguridad y Confianza Agenda Introducción Objetivos y Alcance nfoque Metodológico strategia de Implementación 2 Introducción Presidencia instruyó a la Secretaría
Más detallesPROCEDIMIENTO GESTIÓN TICS
. OBJETIVO Asesorar, preservar y mantener toda la infraestructura en tecnologías de la información y de comunicaciones en equipos de programas informáticos y medios de comunicación para reunir, almacenar,
Más detallesCUESTIONARIO AUDITORIAS ISO 14001 2
CUESTIONARIO AUDITORIAS ISO 14001 Ignacio Gómez hederaconsultores.blogspot.com CUESTIONARIO AUDITORIAS ISO 14001 2 4. REQUISITOS DEL SISTEMA DE GESTIÓN AMBIENTAL 4.1 Requisitos generales Se encuentra definido
Más detalles6 - Aspectos Organizativos para la Seguridad
Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesEn proceso. En proceso
SUBSISTEMA : CONTROL ESTRATÉGICO COMPONENTE AMBIENTE DE CONTROL Fecha Diligenciamiento :14/02/2012 12:00:07 p.m. El documento que contiene los principios éticos de la entidad fue construido participativamente
Más detallesProcedimiento General Auditorías Internas (PG 02)
(PG 02) Elaborado por: Jaime Larraín Responsable de calidad Revisado por: Felipe Boetsch Gerente técnico Aprobado por: Gonzalo Lira Gerente general Firma: Firma: Firma: Página: 2 de 7 ÍNDICE 1. OBJETO...
Más detallesISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458
ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD
Más detallesCÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD
CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD BUCARAMANGA - COLOMBIA 2013 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto
Más detallesInformation Security Network Management Solutions
SM@RT-IT Information Security Network Management Solutions SERVICIO DE CONSULTORIA DE RED INTRODUCCIÓN El servicio de consultoría de red, considera actividades conducentes a obtener una visión holistica
Más detallesPROCEDIMIENTO AUDITORÍA INTERNA
PROCEDIMIENTO AUDITORÍA INTERNA CONTENIDO 1. OBJETO... 2 2. ALCANCE... 2 3. DEFINICIONES... 2 5. PROCEDIMIENTO... 4 5.1 Planificación de la Auditoría... 4 5.2 Calificación de Auditores... 4 5.3 Preparación
Más detallesAUDITORIA DEL SISTEMA DE GESTIÓN Y ENSAYOS PARA LA EMISIÓN DE DECLARACIÓN DE CONFORMIDAD LISTA DE VERIFICACIÓN
Instituto Nacional de Tecnología Industrial Programa de Metrología Legal Sede Central - Av. Gral. Paz 5445 e/ Albarellos y Av. Constituyentes - B1650KNA C.C. 157 B1650WAB San Martín, Prov. Buenos Aires
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesLista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1
Lista de la Verificación de la Gestión de la Seguridad y Salud Ocupacional 1 Sección Punto de Control Cumplimiento 4. Requisitos del Sistema de gestión de la seguridad y salud ocupacional 4.1 Requisitos
Más detallesI. Información General del Procedimiento
PR-DGSE-5 Octubre 211 I. Información General del Objetivo: Describir los pasos a seguir para la realización de las al Sistema de Gestión de Calidad de la, del MINERD. Alcance: Este procedimiento aplica
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesPREPARADO POR: FECHA DE EMISIÓN: 20-05-05 FECHA DE VALIDACIÓN: 20-05-05
3. MONITORÍA Y EVALUACIÓN DE LA GESTIÓN SS-UPEG-3 PREPARADO POR: EQUIPO CONSULTOR FECHA DE EMISIÓN: 20-05-05 FECHA DE VALIDACIÓN: 20-05-05 VERSIÓN Nº: 1 Secretaría de Salud de Honduras - 2005 PÁGINA 2
Más detallesXITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO
Auditorias de seguridad en TI Presentación del servicio Agenda: 1. Qué es una auditoria de Seguridad? 2. Metodología de Implementación 3. Ejemplos de entregables 4. Porqué es necesaria? 5. Beneficios Qué
Más detallesSEGURIDAD GESTIONADA
SEGURIDAD GESTIONADA Hoy día, la mayor parte de las organizaciones están conectadas a Internet, con la consiguiente exposición de sus activos a amenazas reales. La solución más habitual para afrontar estos
Más detallesAUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS
AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS Las auditorias técnicas según el Reglamento 211/2011 de la Unión Europea y según el Reglamento de
Más detallesMejora de la Seguridad de la Información para las Pymes Españolas
Mejora de la Seguridad de la Información para las Pymes Españolas Noviembre 2010 1 Objetivos Los objetivos de esta jornada de presentación a las Empresas participantes en PYMESecurity son: Presentar la
Más detallesPLAN DE CAPACITACIÓN
DP-MA-A2-03 1 de 13 MUNICIPIO DE TELLO PLAN DE CAPACITACIÓN 24 DP-MA-A2-03 2 de 13 1. OBJETIVO Diseñar el Plan de Capacitación para los funcionarios de la administración municipal, teniendo como base el
Más detallesPOLITICA DE SISTEMA DE CONTROL INTERNO
POLITICA DE SISTEMA DE CONTROL INTERNO POLITICA DE SISTEMA DE CONTROL INTERNO Introducción y Objetivos El sistema de control interno de SURA Asset Management busca proveer seguridad razonable en el logro
Más detallesCOMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL
COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO 1. 2. 3. 4. 5. Ambiente de Control. Evaluación de Riesgos. Actividades de Control
Más detallesSISTEMA DE GESTION DE LA CALIDAD INFORME DE CONTROL INTERNO LEY 1474 DE 2011
P-SGC-GA-06 Página 1 de 10 DEPARTAMENTO DE BOYACA ALCALDIA MUNICIPAL DE INFORME CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno GERSON AYMER RUIZ CARREÑO Alcalde municipal Período evaluado:
Más detallesPROCEDIMIENTO PARA AUDITORÍAS INTERNAS PC-TESI-10
.2.2 1. Objetivo Determinar si el SGC es conforme con las disposiciones planificadas con los requisitos de la Norma con los requisitos del Sistema de Gestión de la Calidad establecidos por el TESI, así
Más detalles3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE
3. GESTIÓN DE CONFIGURACIÓN DE SOFTWARE Software Configuration Management (SCM) es una disciplina de la Ingeniería de Software que se preocupa de [Ber92] [Ber84] [Bou98] [Mik97]: Identificar y documentar
Más detallesTaller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013
Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013 Ing. CIP Maurice Frayssinet Delgado mfrayssinet@gmail.com www.ongei.gob.pe Oficina Nacional de Gobierno Electrónico e Informática
Más detallesGuía de usuario CUBO TI
Guía de usuario CUBO TI Soluciones Administrativo Financieras y Comerciales para Empresas Departamento de Ingeniería de Software TI Contenido Guía de usuario de Cubos Suite para Windows... 3 Introducción...
Más detalleswww.hederaconsultores.com // hedera@hederaconsultores.com http://hederaconsultores.blogspot.com
CUESTIONARIO AUDITORÍA INTERNA ISO 9001:2008 Página 1 de 19 4. SISTEMA DE GESTIÓN DE LA CALIDAD 4.1 Requisitos generales Se encuentran identificados los procesos del sistema? Se identifican y controlan
Más detallesGestión de la Configuración
Gestión de la ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ESTUDIO DE VIABILIDAD DEL SISTEMA... 2 ACTIVIDAD EVS-GC 1: DEFINICIÓN DE LOS REQUISITOS DE GESTIÓN DE CONFIGURACIÓN... 2 Tarea EVS-GC 1.1: Definición de
Más detallesCOBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a
5. METODOLOGIAS COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a incrementar su valor a través de las tecnologías, y permite su alineamiento con los objetivos del negocio
Más detallesPROPUESTA DE CERTIFICACION
PROPUESTA DE CERTIFICACION Ofrecemos asesorías para cualquier tipo de empresa en cuanto al diseño, implementación, certificación, mantenimiento y mejoramiento del Sistema de Gestión de Calidad (ISO 9001:2008),
Más detallesTIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO AUDITORIAS INTERNAS PÁGINA: 1 de 7
PROCESO CONTROL INTERNO CÓDIGO SUBPROCESO CONTROL INTERNO 1.1.2-CI-001 TIPO DE PROCESO EVALUACION VERSIÓN 1 PROCEDIMIENTO PÁGINA: 1 de 7 1.OBJETIVO Proporcionar metodología para realizar las s internas
Más detallesPROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES
MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES
Más detallesISO 9001:2015 Cuestionario de autoevaluación
ISO 9001:2015 Cuestionario de autoevaluación Qué tan preparado estás para la norma ISO 9001: 2015? Este documento ha sido diseñado para evaluar la preparación de su empresa para un Sistema de Gestión Calidad
Más detallesCertificación. Contenidos WWW.ISO27000.ES. 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.
Certificación Contenidos 1. Implantación del SGSI 2. Auditoría y certificación 3. La entidad de certificación 4. El auditor La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto
Más detallesGUÍA DE ADMINISTRACIÓN TÉCNICA DE LA INFRAESTRUCTURA TECNOLÓGICA
Número de página 1 de 5 GUÍA DE ADMINISTRACIÓN TÉCNICA DE LA Número de página 2 de 5 1. INFORMACION GENERAL 1.1 OBJETIVO Mantener en operación la infraestructura de acuerdo a los requerimientos de la Entidad.
Más detallesCONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA
CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesPolítica de Gestión Integral de Riesgos Compañía Sud Americana de Vapores S.A.
de Riesgos Compañía Sud Americana de Vapores S.A. Elaborado Por Revisado Por Aprobado por Nombre Cargo Fecha Claudio Salgado Comité de Directores Contralor Comité de Directores Diciembre 2015 21 de diciembre
Más detallesInstituto Nacional de Conservación y Desarrollo Forestal, Áreas Protegidas y Vida Silvestre
1.-PROPOSITO DEL MANUAL El presente manual de Auditoria Técnica tiene como propósito el de proveer al Departamento un sistema que le permita realizar actividades de Fiscalización de Regionales. Por medio
Más detallesSIG ANALISIS DE SEGURIDAD EN EL TRABAJO
PAGINA: 1 de 6 1. OBJETIVO Definir una metodología para realizar el análisis de los peligros en las tareas de alto riesgo llevadas a cabo en la organización y definir los controles para realizar los trabajos
Más detallesCurso Fundamentos de ITIL
Curso Fundamentos de ITIL 1 Curso El curso de Fundamentos de ITIL introduce el concepto de Gestión de Servicio TI (IT Service Management o ITSM), el Ciclo de Vida del Servicio y un marco para identificar
Más detallesINFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011
INFORME SOBRE LA AUTOEVALUACIÓN DE CALIDAD DE LA ACTIVIDAD DE AUDITORÍA INTERNA 2011 CONTENIDO RESUMEN EJECUTIVO... 01 OBJETIVOS Y ALCANCE... 03 1. Objetivos de la auto-evaluación. 03 2. Alcance 03 RESULTADOS...
Más detallesIntroducción. Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los Procesos
CobiT 75.46 Administración i ió y Control de Proyectos II Abril de 2008 Agenda Presentación Introducción Pi Principios ii dl del Modelo dl Enfoque de Control de CobiT Los Procesos del Modelo Mapeo de los
Más detallesDentro del subsistema de control estratégico se tienen establecidos 3 componentes:
INFORME PORMENORIZADO DEL ESTADO DEL CONTROL INTERNO - LEY 1474 DE 2011 Jefe de Control Interno, o quien haga sus veces: EDGAR JAIMES MATEUS. Período evaluado: ENERO OCTUBRE DE 2.011 Fecha de elaboración:
Más detallesVersión 10 Fecha de Elaboración: 21/10/2015 Página 1 de 8
21/10/2015 Página 1 de 8 1. OBJETIVO Definir las responsabilidades y los requisitos para planificar y realizar las auditorías, establecer los registros e informar resultados, con el fin de determinar si
Más detallesBoletín Informativo SIGMC
Boletín Informativo SIGMC En el marco de la actualización de las normas de sistemas de gestión: ISO 9001, ISO14001 Y OHSAS 18001, se han generado preguntas frecuentes en nuestros clientes. En este sitio,
Más detallesEquipos a Presión. Condiciones de Seguridad Industrial y Laboral. Marco Normativo. Calderas. Lugo, 25 de octubre de 2011 1 CAMPAÑA EUROPEA SOBRE MANTENIMIENTO SEGURO Principales Objetivos: Sensibilizar
Más detalles