Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS



Documentos relacionados
Grupo Organización y Sistemas UPTC

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

METODOLOGIAS DE AUDITORIA INFORMATICA

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

ISO Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA WENDY CARRASCAL VILLAMIZAR

Material adicional del Seminario Taller Riesgo vs. Seguridad de la Información

POLITICA DE PRIVACIDAD DE LA PAGINA WEB

En el artículo del mes pasado,

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Política de Control de Hojas de Cálculo. Prorrectoría

Módulo 7: Los activos de Seguridad de la Información

Infraestructura Extendida de Seguridad IES

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Gestión de Seguridad Informática

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Test de intrusión (Penetration Test) Introducción

Norma ISO 9001: Sistema de Gestión de la Calidad

SEMANA 12 SEGURIDAD EN UNA RED

AVISO PRIVACIDAD PUBLIKTMAX S.A. DE C. V.

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

NTP - ISO/IEC 27001:2008

ACUERDO 3 DE (febrero 17) Diario Oficial No de 20 de febrero de 2015 ARCHIVO GENERAL DE LA NACIÓN JORGE PALACIOS PRECIADO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

CONTROL DE DOCUMENTOS

Gestión de la Configuración

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

Medidas de seguridad ficheros automatizados

PROCEDIMIENTO GESTIÓN DE CAMBIO

ANÁLISIS DE RIESGOS EN LA GESTIÓN DE PROYECTOS. Los riesgos son eventos o condiciones inciertas que, si se producen, tienen un

Resumen de los protocolos de seguridad del Registro Telemático

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

Soporte y mantenimiento. Generalidades

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

PRC-DTI-006 Administración de Roles de los Sistemas de Información de la DTI Procedimiento Dirección de TI - COSEVI

PROCEDIMIENTO PARA EL CONTROL DE REGISTROS. GESTIÓN DE CALIDAD Versión: 01

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de Mario López de Ávila Muñoz

Guía para la Administración de Software

USO DE EXCEL Y ACCESS PARA EL DESARROLLO DE APLICACIONES ADMINISTRATIVAS EMPRESARIALES

Política de Privacidad y Condiciones de Uso del Portal

El USUARIO manifiesta que es jurídicamente capaz de realizar el procedimiento a utilizar y que está facultado para hacer uso del mismo.

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

Unidad 1. Fundamentos en Gestión de Riesgos

TEMA XIV. Concepto de seguridad

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

CODIGO DEL DOCUMENTO: CONTROL DE CAMBIOS. Versión Fecha Descripción del Cambio

Bechtle Solutions Servicios Profesionales

Política de Respaldo de la DGTI. Prorrectoría. Dirección General de Tecnologías de la Información (DGTI) Centro de Costos. Unidad

Políticas de seguridad de la información. Empresa

DESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL

Introducción a la Firma Electrónica en MIDAS

Técnico y sus funciones. 5. Función de los líderes. 6 Función del analista de datos. 6. Metas del Help Desk. 7 Definir el alcance del Help Desk.

Tratamiento del Riesgo

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;

Manual de Procedimiento. CREACION-ADMINISTRACION, RESPALDO DE DATOS Y CONTINUIDAD DEL NEGOCIO Procesos y Responsabilidades ECR Evaluadora Prefin S.A.

ESCUELA POLITECNICA NACIONAL

Contenido Derechos Reservados DIAN - Proyecto MUISCA

CAS-CHILE S.A. DE I. 2013

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

Como sabemos, en un Sistema de Comunicación de Datos, es de vital importancia

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

POLÍTICAS DE SEGURIDAD PARA EL DESARROLLO DE SISTEMAS DE CAPUFE

PLANTILLA ARTICULO CÓMO

Workflow, Gestión Documental y Tecnologías Web.

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia

Mantenimiento de Sistemas de Información

Elementos requeridos para crearlos (ejemplo: el compilador)

MANUAL DE CALIDAD ISO 9001:2008

Principios de Privacidad y Confidencialidad de la Información

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

ISO Gestión de Seguridad de la Información. Versión 1

Sistema Gestión Licitación para la compra del desarrollo y migración del Sistema de Gestión de Activos y Configuraciones para Plan Ceibal

Política de Gestión de Incidentes de Seguridad de la Información

ADMIRAL MARKETS AS. Normas de Ejecución Óptima. medida en que ha actuado de acuerdo con las correspondientes instrucciones del cliente.

APLICACIÓN DE LOS PRINCIPIOS DE BUENAS PRÁCTICAS DE LABORATORIO A LOS SISTEMAS INFORMATIZADOS

Soporte y mantenimiento. Generalidades

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION

MANUAL DE SEGURIDAD DE LA INFORMACIÓN PARA LT GEOPERFORACIONES Y MINERIA LTDA LEIDY ZULIETH BONILLA MAHECHA

Guía sobre los cambios del nuevo sitio Web de Central Directo

Capítulo IV. Manejo de Problemas

MACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO

ISO/IEC Sistema de Gestión de Seguridad de la Información

PROGRAMA DE GESTIÓN DOCUMENTAL

Manual Operativo SICEWeb

Transcripción:

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS ALCANCE El alcance del SGSI se define como la manera en que la alcaldía municipal de Santa Rosa de Osos, diseña, implanta y da mantenimiento a un conjunto de procesos para gestionar eficientemente la accesibilidad a la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información. DEFINICIÓN DE TIPOS DE INFORMACIÓN El SGSI se define en los siguientes tipos de información: información Este se define como toda aquella forma de comunicación o representación de conocimiento, como datos, en cualquier forma, con inclusión de formas textuales, numéricas, gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea digital, en papel, en pantallas de computadoras, audiovisual u otro. Sistema de Información Se refiere a un conjunto independiente de recursos de información organizados para la recopilación, procesamiento, mantenimiento, transmisión y difusión de información según determinados procedimientos, tanto automatizados como manuales.

Tecnología de la información Se refiere al hardware y software operado por la entidad o por un tercero que procese información en su nombre, para llevar a cabo una función propia de la entidad, sin tener en cuenta la tecnología utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo. POLÍTICAS DE INFORMACIÓN Se entiende como la preservación de las siguientes características: Confidencialidad: garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a la misma. Integridad: salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. Disponibilidad: garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran. Autenticidad: busca asegurar la validez de la información en tiempo, forma y distribución. Asimismo, se garantiza el origen de la información, validando el emisor para evitar suplantación de identidades. Auditabilidad: define que todos los eventos de un sistema deben poder ser registrados para su control posterior. Protección a la duplicación: consiste en asegurar que una transacción sólo se realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe una transacción para luego reproducirla, con el objeto de simular múltiples peticiones del mismo remitente original. No repudio: se refiere a evitar que una entidad que haya enviado o recibido información alegue ante terceros que no la envió o recibió. Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones.

INVENTARIO DE ACTIVOS DE INFORMACIÓN Este consiste en reconocer y determinar que activos de información harán parte del inventario y clasificación de activos de información. Para esto se determina y clasifica toda la información en la organización para determinar su relevancia o valor en el negocio y así identificar cuales harán parte y cuales no del inventario y activos de información. Esta clasificación debe hacer en cada proceso y procedimiento de las reglas del negocio para identificar e incluir estos nuevos datos de información al inventario de activos de la alcaldía de Santa Rosa de Osos. Se tomara toda aquella información relevante para la administración, procesos o actividades como necesarios a pertenecer en el inventario de activos. Para la definición del inventario de activos debe definirse los siguientes roles en los procesos y actividades de la alcaldía de la administración: Líder del proceso: define el director, autor o líder responsable de un proceso o grupo de procesos, indicando sus actividades, responsabilidades y los activos de información de mayor relevancia para la correcta ejecución de sus actividades. Definición de tecnología de información: el líder de cada proyecto define el tipo al cual pertenece el activo y lo clasifica según su tecnología o presentación. Información: corresponden a este tipo bases de datos y archivos de datos, contratos y acuerdos, documentación del sistema, información sobre investigación, manuales de usuario, procedimientos operativos o de soporte, planes para la continuidad del negocio, acuerdos sobre retiro, pruebas de auditoria e información archivadas, físicas o electrónicamente. Software: software de aplicación, software del sistema, herramientas de desarrollo y utilidades. Físico: equipos de cómputo, equipos de comunicaciones, medios removibles y otros medios. Servicios: Servicios de computación y comunicaciones (Acceso a internet, aplicativos Web, acceso a red, etc.) Valor de la información: se define la calidad e importancia de la información y se categoriza en un rango desde muy bajo hasta muy alto. Este valor nos indica la

importancia que tiene el dato en determinado proceso o a la entidad como tal y nos ayuda a determinar si este hará parte del inventario de activos. Muy Alto: apoya el cumplimiento de los objetivos misionales de la administración. Alta: apoya el cumplimiento de los objetivos misionales del proceso o Bajo: Apoya levemente los objetivos misionales del proceso o Muy Bajo: No apoya el cumplimiento de los objetivos. Confidencialidad: aquí es donde se define qué nivel de acceso tiene la información y que implicaciones tiene su libre acceso, para esto también se categoriza el dato en el siguiente rango: Muy Alto: información disponible solo para un pequeño grupo de individuos, la divulgación de dicha información podría impactar negativamente la administración o alguno de sus integrantes. Alta: Información disponible solo a nivel institucional, su divulgación podría impactar negativamente la ejecución o desarrollo del proceso o la Bajo: la divulgación de esta información podría impactar levemente el proceso o la Muy Bajo: la divulgación de esta información no impacta el proceso o la Integridad: define la veracidad, integridad y calidad de la información y su impacto frente a una pérdida o inexactitud de información. Se categoriza en el siguiente rango:

Muy Alto: la inexactitud de la información impacta negativamente la administración o alguno de sus individuos. Alto: la inexactitud de la información impacta negativamente el proceso o Bajo: la inexactitud de la información impacta levemente el proceso o la Muy Bajo: La inexactitud de la información no afecta el proceso o la Disponibilidad: define disponibilidad de la información para un determinado usuario o proceso. Se categoriza en el siguiente rango: Muy Alto: la falta de la información impacta negativamente a la administración. Alto: la falta de la información impacta negativamente el proceso o Bajo: la falta de la información impacta levemente el proceso o la Muy Bajo: la falta de la información no afecta el proceso o la ANÁLISIS DEL RIESGO Es la consideración sistemática del daño probable que pueda causarse en la administración, ante un fallo en la seguridad de la información, con las consecuencias potenciales de pérdida de confidencialidad, integridad y disponibilidad de la información.

Para el análisis de riesgo tenemos los siguientes componentes: RIESGOS: Es la posibilidad de que se produzca un impacto sobre algún activo y se incurra en la pérdida del mismo. AMENAZAS: son los eventos que pueden desencadenar un incidente en la organización, produciendo daños materiales o perdidas inmateriales en sus activos. Las consecuencias de las amenazas si se materializan, es un incidente que modifica el estado de seguridad de los activos amenazados. Además de esto los activos están expuestos a muchas clases de amenazas que pueden explotar sus vulnerabilidades. VULNERABILIDADES: también llamada debilidad, agujero, falla o error en la seguridad del sistema de información. En si misma no causa daño, es una condición o un conjunto de condiciones que pueden permitir a una amenaza afectar a un activo. IMPACTO: es la consecuencia sobre un activo de la materialización de una amenaza, el impacto mide la diferencia entre el estado de seguridad de un activo. RIESGO INTRÍNSECO: es el estudio que se realiza sin tener en consideración las diferentes medidas de seguridad que ya están implantadas en una organización.

RIESGO RESIDUAL: es el estudio que se realiza teniendo en consideración las medidas de seguridad que la organización ya tiene implantadas.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback