ANALISIS DE RIESGO RESPECTO A LA SEGURIDAD INFORMATICA DE UNA ORGANIZACIÓN CORRESPONDIENTE AL SECTOR PÚBLICO 1RA. PARTE

Documentos relacionados
ANALISIS DE RIESGO RESPECTO A LA SEGURIDAD INFORMATICA DE UNA ORGANIZACIÓN CORRESPONDIENTE AL SECTOR PÚBLICO 3RA. PARTE

CÓDIGO MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE TECNOLOGIA DE LA INFORMACIÓN

República de Panamá Superintendencia de Bancos

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 21 de diciembre de 2015 POL-01-03

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00

Martes, 23 de abril de para fomentar el crecimiento económico con equidad social; PCM

Apruébase la estructura organizativa del primer nivel operativo de la Subsecretaría de Coordinación Técnica y Administrativa.

COMITES DEL BANCO DE FORMOSA S.A.

REGLAMENTO INTERNO COMITÉ INTEGRAL DE RIESGOS RG-006 VERSIÓN 002

GOBIERNO SOCIETARIO DESAFÍOS PARA LA REGION Y LAS PEQUEÑAS Y MEDIANAS EMPRESAS

MANUAL DE ORGANIZACIÓN Y FUNCIONES TÉCNICA DEL FONDO DE INVERSIÓN EN TELECOMUNICACIONES (FITEL)

ADMINISTRACIÓN INTEGRAL DE RIESGOS EN LAS COOPERATIVAS DE AHORRO Y CRÉDITO Y CAJAS CENTRALES

MODIFICACIONES A LA LEY y CREACIÓN DE LA SUBSECRETARÍA DE LA NIÑEZ

ESTRUCTURA ORGANIZATIVA FUNCIONES Y ACTIVIDADES

POLÍTICA DE GESTIÓN DE RIESGOS

TABLA DE CONTENIDO 1. Objetivo. 2. Alcance. 3. Referencias. 4. Definiciones. 5. Descripción. 6. Registros. 7. Anexos

Estatuto del Comité de Riesgos

PROPUESTA DE ANTEPROYECTO REGLAMENTO DE LA COMISIÓN ESPECIAL DE IMPLEMENTACIÓN DEL CÓDIGO PROCESAL PENAL

Dirección y Gerencia

MINISTERIO DE AGRICULTURA, GANADERÍA Y PESCA SECRETARÍA DE AGRICULTURA, GANADERÍA Y PESCA. Resolución 339/2015. Buenos Aires, 1 de septiembre de 2015.

Informe sobre el Código de Gobierno Societario

Resolución N.º 629/2016. Montevideo, 07 de septiembre de 2016.

Manual de conformación, organización y funcionamiento del Comité de Tecnologías de Información del IDA

LABORATORIO COSTARRICENSE DE METROLOGÍA LACOMET. Manual de Calidad

Dirección de Calidad de los Servicios de Salud

REGLAMENTO DE FONDOS EN AVANCE

Integración. Estructura organizativa. Organigrama. Objetivos. Responsabilidad Primaria. Acciones.

MANUAL DE ORGANIZACIÓN Y FUNCIONES

Lineamientos para el funcionamiento del Comité Técnico, Grupo Permanente de Trabajo y Comités Estatales del Programa de Empleo Temporal

UNIVERSIDAD CENTRAL DE VENEZUELA FACULTAD DE CIENCIAS

REGLAMENTO INTERNO DEL SISTEMA INSTITUCIONAL DE ARCHIVO DEL SISTEMA DE TRANSPORTE COLECTIVO TÍTULO PRIMERO DISPOSICIONES GENERALES CAPÍTULO I

CÓDIGO MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE SERVICIO AL CLIENTE

MANUAL PARA LA GESTIÓN DEL RIESGO OPERATIVO

NORMATIVA DEL CENTRO DE INVESTIGACIÓN Y DOCUMENTACIÓN GOYA

PROTOCOLO DE SEGUIMIENTO Y EVALUACIÓN DEL PLAN ESTRATÉGICO DE LA UNIVERSIDAD DE JAÉN

DIRECCION NACIONAL DEL ANTARTICO

NORMAS DE FUNCIONAMIENTO DE LA COMISIÓN PERMANENTE DEL CONSEJO ESTATAL DE RESPONSABILIDAD SOCIAL DE LAS EMPRESAS (CERSE) Y DE SUS GRUPOS DE TRABAJO

NORMATIVA REGULADORA DEL PRESUPUESTO DE LA UOC

COMITÉ DE GESTIÓN INTEGRAL DE RIESGOS - REGLAMENTO - GERENCIA DE RIESGOS - REGLAMENTO DEL CGIR

OFICINA NACIONAL DE TECNOLOGÍAS DE LA INFORMACIÓN

ENTIDAD 205 AGENCIA DE ADMINISTRACIÓN DE BIENES DEL ESTADO 205-1

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA GENERAL

INSTITUTO DE PREVISIÓN SOCIAL GABINETE DE PRESIDENCIA UNIDAD DE TRANSPARENCIA INSTITUCIONAL MANUAL DE ORGANIZACIÓN Y FUNCIONES

REGLAMENTO INTERNO DEL CONSEJO DEL MERCADO COMUN

Que la DIRECCIÓN GENERAL DE ASUNTOS JURÍDICOS de la JEFATURA DE GABINETE DE MINISTROS ha tomado la intervención de su competencia.

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

REGLAMENTO ESPECÍFICO DEL SISTEMA DE PROGRAMACIÓN DE OPERACIONES DEL MINISTERIO DE COMUNICACIÓN TITULO I GENERALIDADES

ANEXO 05 CONVOCATORIA PROCESO CAS N OCAyDP-UNE

Gerencia de Proyectos

REGLAMENTO INTERNO DEL

Anexo O. Cálculo de la Inversión del Proyecto

REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A

REGLAMENTO PARA LA AUTOEVALUACIÓN

CAPÍTULO VEINTIUNO ADMINISTRACIÓN DEL TRATADO

POLÍTICA CUMPLIMIENTO

REGLAMENTO DE COMITÉ DE AUDITORÍA Y DE BUEN GOBIERNO CORPORATIVO CONTENIDO

CRITERIOS Y ACCIONES QUE RIGEN EL FUNCIONAMIENTO DEL SISTEMA FEDERAL DE INFORMACIÓN EDUCATIVA

Capítulo 20. Administración del Tratado y Fortalecimiento de Capacidades Comerciales. Sección A: Administración del Tratado

VISTO la Ley Nº de Presupuesto General de la Administración Nacional para el Ejercicio 2012, y

La seguridad de la Información en el Gobierno Peruano. Lima, Noviembre, 2013

REGLAMENTO INTERNO DEL COMITÉ DE CALIDAD

Plan Estratégico Objetivos, Estrategias e Iniciativas

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

c) Poner de manifiesto los movimientos y situación del Tesoro Público.

CAPÍTULO 17 ADMINISTRACIÓN DEL TRATADO

LEGISLACIÓN CONSOLIDADA. Real Decreto 1886/2011, de 30 de diciembre, por el que se establecen las Comisiones Delegadas del Gobierno.

CURRICULUM VITAE. Carlos Roberto Ospital. Universidad Nacional de Buenos Aires Licenciado en Ciencias Geológicas

SECRETARÍA TÉCNICA MANUAL DE ORGANIZACIÓN Y PROCEDIMIENTOS

Capítulo Diecinueve. Administración del Tratado y Creación de Capacidades relacionadas con el Comercio. Sección A: Administración del Tratado

Ministerio de Educación

MANUAL DE ORGANIZACIÓN DIRECCIÓN FIDUCIARIA. Dirección General MNO

DIRECCIÓN DE CONTROL DEL SECTOR DE LA ECONOMÍA MINISTERIO DEL PODER POPULAR PARA LA ENERGÍA Y PETRÓLEO (MPPEP)

Aprobado mediante: Resolución Ministerial N 059 de 8 de marzo de 2016

RESOLUCIÓN JEFATURAL N J/ONPE

Decreto 1228/2004 MINISTERIO DE ECONOMÍA, OBRAS Y SERVICIOS PÚBLICOS

Boletín Oficial de Castilla y León I. COMUNIDAD DE CASTILLA Y LEÓN

CICI Servicio de Información

MANUAL DE ORGANIZACIÓN Y FUNCIONES DE LA OFICINA GENERAL DE ADMINISTRACION INDICE. Pág.

REGLAMENTO INTERNO DEL

CAPÍTULO 2 PRESENTACIÓN DEL ÓRGANO DE CONTROL

Lineamiento Corporativo: Lineamiento Corporativo para el funcionamiento de la Red de Negocios de las Empresas de Distribución Eléctrica

DESPLIEGUE DE MACROPROCESO DE GESTIÓN DE INFORMACIÓN (GESTIÓN DE TECNOLOGÍA INFORMÁTICA Y DE TELECOMUNICACIONES Y GESTIÓN DOCUMENTAL)

UNIVERSIDAD NACIONAL DE TRUJILLO GERENCIA DE RECURSOS HUMANOS

DESCRIPCION DEL CARGO FRH - 01 VERSIÓN: PAGINA 1 DE 5

DETALLE DE SERVICIOS CONVOCADOS PROCESO CAS N PERÚ COMPRAS

DIRECCIÓN NACIONAL ESCUELA DE ALTA DIRECCIÓN PÚBLICA

REGLAMENTO ESPECÍFICO DEL SISTEMA DE TESORERÍA

Universidad Nacional de Asunción FACULTAD DE CIENCIAS ECONOMICAS

PROGRAMA DE INNOVACIÓN PARA LA INCLUSIÓN SOCIAL Y LA PRODUCTIVIDAD PN-L1117

PRESENTACIÓN INSTITUCIONAL Sistema Nacional de Emergencias

1. Ejecutar las tareas necesarias en las distintas etapas de registración.

MINISTERIO DE HACIENDA Código:PSC-AI-04.3 DIRECCION GENERAL DE RENTAS Revisión: 1 AUDITORIA INTERNA

La estructura para la administración del riesgo operativo de Citivalores-Colombia S.A. es la siguiente:

El Sistema Nacional de Información Estadística y Geográfica en México

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

Ley que crea el Sistema Estatal de Archivos de Tabasco

ANEXO NO. 8 BANCO HIPOTECARIO DE LA VIVIENDA REGLAMENTO INTERNO DEL COMITÉ DE TECNOLOGÍA DE INFORMACIÓN CAPITULO I DISPOSICIONES GENERALES

Que, resulta conveniente denominar como JUNTOS al Programa Nacional de Apoyo Directo a los Más Pobres;

PERFILES DE PUESTOS ANEXO 03 RESPONSABLE DE LA OFICINA DE CENTRAL DE ADQUISICIONES Y CONTRATACIONES

UNIVERSIDAD DE EXTREMADURA

Transcripción:

ANALISIS DE RIESGO RESPECTO A LA SEGURIDAD INFORMATICA DE UNA ORGANIZACIÓN CORRESPONDIENTE AL SECTOR PÚBLICO 1RA. PARTE TECNOLOGÍA SUSANA NOEMÍ TOMASI INTRODUCCIÓN: El objetivo de éste trabajo es mostrar la manera de llevar a cabo un análisis del riesgo respecto a la seguridad informática, de un Organismo correspondiente al sector público, que puede adaptarse a cualquier organización. Para efectuar el análisis del riesgo de una organización es necesario: 1. Evaluar la normativa vigente. 2. La organización de un comité de seguridad. 3. Un relevamiento de los sistemas informáticos, clasificándolos, armando una planilla con el nivel de riesgo e importancia que poseen. 4. Determinar que contingencias pueden surgir a través del contrato con terceros contratados. 5. Evaluación del riesgo a través de la confección de: a. Una tabla de amenazas. b. Una tabla de vulnerabilidades - probabilidad de ocurrencia - impacto 1

c. Una tabla de controles. d. Una tabla de riesgos 6. Reunión del comité de seguridad a fin de decidir respecto a las modificaciones propuestas por las distintas gerencias y sub gerencias. El Organismo dependiente de la Administración Pública Nacional se compone de: - Una Dirección General, a cargo de un Director. - Dos gerencias. - Seis subgerencias. No poseen, hasta el momento, como casi toda la Administración Pública Nacional, una política de seguridad de la información formalizada, sino que han aplicado medidas tendientes a asegurar la información durante los últimos años, y están tratando de cumplir la nueva normativa vigente. 1. DESCRIPCIÓN DE LA NORMATIVA VIGENTE: Normativa vigente en cuanto a la Seguridad Informática, para la Administración Pública Argentina, es la siguiente: - Decisión Administrativa 669/2004 ( Política de Seguridad de la Información) de la Jefatura de Gabinete de Ministros del 22-12-2004 : A través de la misma se establece que los organismos del Sector Público Nacional integrados por: 2

- La Administración Nacional, conformada por la Administración Central y los Organismos Descentralizados, comprendiendo en estos últimos a las Instituciones de Seguridad Social. - Las Empresas y Sociedades del Estado que abarcan a las Empresas del Estado, las Sociedades del Estado, las Sociedades Anónimas con Participación Estatal Mayoritaria, las Sociedades de Economía Mixta y todas aquellas otras organizaciones empresariales donde el Estado nacional tenga participación mayoritaria en el capital o en la formación de las decisiones societarias. - Los Entes Públicos excluidos expresamente de la Administración Nacional, que abarca a cualquier organización estatal no empresarial, con autarquía financiera, personalidad jurídica y patrimonio propio, donde el Estado nacional tenga el control mayoritario del patrimonio o de la formación de las decisiones, incluyendo aquellas entidades públicas no estatales donde el Estado nacional tenga el control de las decisiones. - Los Fondos Fiduciarios integrados total o mayoritariamente con bienes y/o fondos del Estado nacional. Deberán dictar o bien adecuar sus políticas de seguridad de la información conforme a la Política de Seguridad Modelo a dictarse, dentro del plazo de 180 días. Que las máximas autoridades de los organismos deberán conformar en sus ámbitos un Comité de Seguridad de la Información integrado por representantes de las Direcciones Nacionales o Generales o equivalentes del organismo, el cual será coordinado por el Subsecretario o su equivalente en cada área Ministerial o Secretaría de la Presidencia de la Nación o por el funcionario designado por las máximas autoridades de cada organismo descentralizado, que tenga a su cargo las áreas de apoyo. Las funciones del Comité de Seguridad de la Información, serán las siguientes: 1. Revisar y proponer a la máxima autoridad del organismo para su aprobación, la Política y las responsabilidades generales en materia de seguridad de la información. 2. Monitorear cambios significativos en los riesgos que afectan a los recursos de 3

información frente a las amenazas más importantes. 3. Tomar conocimiento y supervisar la investigación y el monitoreo de los incidentes relativos a la seguridad. 4. Aprobar las principales iniciativas para incrementar la seguridad de la información. 5. Acordar y aprobar metodologías y procesos específicos relativos a la seguridad de la información. 6. Garantizar que la seguridad sea parte del proceso de planificación de la información. 7. Evaluar y coordinar la implementación de controles específicos de seguridad de la información para nuevos sistemas o servicios. 8. Promover la difusión y apoyo, a la seguridad de la información dentro del Organismo. 9. Coordinar el proceso de administración de la continuidad de la operatoria de los sistemas de tratamiento de información del Organismo frente a interrupciones imprevistas. Además las máximas autoridades de los organismos, deberán asignar las funciones relativas a la seguridad de sus sistemas de información a un funcionario de su planta dentro del plazo de 180 días de aprobada la Política de Seguridad Modelo, y la asignación de funciones relativas a la seguridad informática y la integración del Comité de Seguridad de la Información, no deberá implicar erogaciones presupuestarias adicionales. Resolución 45/2005, de la Subsecretaria de Gestión Pública, del 24 de junio del 2005, a través de la cual se faculta al Director Nacional de la Oficina Nacional de Tecnologías de Información a aprobar la Política de Seguridad de la Información Modelo y dictar las normas aclaratorias y complementarias que requiera la aplicación de la Decisión Administrativa 669/2004. Disposición 6/2005, de la Oficina Nacional de Tecnologías de la Información (ONTI), del 3 de agosto del 2005, a través de la cual se aprueba la "Política de Seguridad de la Información Modelo" que como Anexo I forma parte de la presente Disposición, y que se encuentra publicada en la dirección de Internet http://www.sgp.gov.ar/sitio/psi_modelov1_200507.pdf, y que servirá como base para la elaboración de las políticas de seguridad a dictarse por cada organismo alcanzado por la Decisión Administrativa 669/2004. 4

Este modelo debe ser interpretado como un compendio de mejores prácticas en materia de seguridad de la información para las entidades, públicas y adaptada a la realidad y recursos de cada organismo, y las funciones a las que hace alusión la Política de Seguridad Modelo deberán ser asignadas de acuerdo a las particularidades y operatoria de cada organismo, siendo que dicha asignación deberá realizarse evitándose la duplicación de tareas y asegurando la segregación de funciones incompatibles siempre que sea posible, o bien mediante la implementación de controles para mitigar dicho riesgo. 2. ORGANIZACIÓN DE UN COMITÉ DE SEGURIDAD: Por lo cual y para dar cumplimiento a la Política de Seguridad se ha conformado un Comité de Seguridad con representantes de las 2 gerencias, ( Administrativa y de Prestaciones) las 6 subgerencias ( Contable/ Impositiva De personal de Sistemas de Compras) ( De prestaciones De atención a los ciudadanos)-, el director general, siendo designado el Director General del Organismo coordinador general de dicho comité, como indica la normativa. 1ra. Reunión del Comité de Seguridad Temas tratados: - Relevancia del comité, funciones que va a cumplimentar, notificación al personal del Organismo respecto al mismo, ( que queda a cargo del Sub -Gerente de Personal) acta correspondiente, fecha de la nueva reunión. - Seguridad de la información, para que sirve, que urgencia tiene su implementación. - Análisis de la normativa vigente para la Administración Pública Nacional respecto a la Seguridad Informática. - Implementación de un área dentro de la estructura organizacional del Organismo, que proteja los activos de información, de manera tal que administre y controle la seguridad sobre el acceso lógico y físico de sus distintos ambientes tecnológicos y recursos de información. 5

- Recursos disponibles humanos y económicos para efectuar dicha implementación. - Evaluación del estado en que se encuentra el Organismo respecto a las políticas de seguridad, con que documentación cuentan y quienes se van a hacer cargo de dicha evaluación. - Evaluación del riesgo posible por la tercerización con una empresa por la provisión y mantenimiento ( remoto y on-site) de los enlaces WAN, y por el hosteo de la página WEB del Organismo, que cuenta con un sistema on-line de registro donde se almacena información personal de los ciudadanos. La base de datos que almacena la información también se archiva en los equipos del proveedor. Modificaciones a efectuar en el contrato vigente. - Acuerdos, términos y condiciones de confidencialidad de los datos, para todo el personal propio y contratados por los terceristas. - Se decide la división por temas entre los 6 gerentes y sub-gerentes, y una nueva reunión de urgencia en 30 días. 6

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback