SlideShare una empresa de Scribd logo

alianza nuevo.pdf

S
SilvyAndreaCaicedo

alianza nuevo.pdf

Economía y finanzas
1 de 26
Descargar para leer sin conexión
MANUAL DEL PROCESO GESTIÓN DE SEGURIDAD INFORMÁTICA Dirección de Gobernanza de TI e Innovación Versión 1.0 Noviembre, 2017
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 2 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 3 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación IDENTIFICACIÓN Y TRAZABILIDAD DEL DOCUMENTO Proceso Nivel 0: Gestión de Tecnologías de Información y Comunicación (TIC) Proceso Nivel 1: Gestión de Gobernanza de TI e Innovación Proceso Nivel 2: Gestión de Seguridad Informática Proceso Nivel 3: n/a Versión del Documento: 1.0 Número de Páginas: 26 Responsable del proceso: Director de Gobernanza de TI e Innovación Frecuencia de ejecución: Continua REGISTRO DE VERSIONES Versión Descripción de la versión (motivos y cambios) Realizado / Aprobado por Cargo Fecha de elaboración Documentos que se dan de baja con la vigencia de este documento 1.0 Creación Lic. Benjamín Nicolalde / Ing.Celene Vargas Experto en Administración Técnica 2 / Coordinadora General de Planificación y Mejoramiento Continuo
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 4 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación ÍNDICE Y CONTENIDO 1. DESCRIPCIÓN DEL MANUAL DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA....................... 5 1.1. FICHA DEL MANUAL ........................................................................................................................ 5 1.2. ALCANCE DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA ........................................... 6 1.3. NORMAS GENERALES DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA ........................ 6 2. DIAGRAMA DE FLUJO DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA................................. 8 3. DESCRIPCIÓN DEL SUBPROCESO......................................................................................................... 9 3.1. FICHA DEL SUBPROCESO................................................................................................................. 9 3.2. NORMAS ESPECÍFICAS DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA. ............................................................................................................................................ 9 3.3. DIAGRAMA DE FLUJO DEL SUBPROCESO PLANIFICACIÓN PARA DE CONTROLES DE SEGURIDAD INFORMÁTICA. .......................................................................................................................................... 12 3.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA. ...................................................................................................................... 13 4. DESCRIPCIÓN DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA 16 4.1. FICHA DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA ........ 16 5. DESCRIPCIÓN DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA ....................................................................................................................... 21 5.2. NORMAS ESPECÍFICAS DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA.................................................................................................................. 21 5.3. DIAGRAMA DE FLUJO DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA ....................................................................................................................... 23 5.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA. ....................................................................................................... 24 6. INDICADORES DE GESTIÓN DEL PROCESO GESTION DE LA SEGURIDAD INFORMATICA. ................. 25 7. TÉRMINOS Y DEFINICIONES............................................................................................................... 25 8. LISTADO DE DOCUMENTOS YANEXOS. ............................................................................................. 25 8.1. DOCUMENTOS............................................................................................................................... 25 8.2. ANEXOS ......................................................................................................................................... 26 N/A ............................................................................................................................................................ 26
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 5 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 1. DESCRIPCIÓN DEL MANUAL DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA 1.1. FICHA DEL MANUAL Descripción: PROPÓSITO:  Proteger la integridad y privacidad de la información almacenada y procesada por la infraestructura tecnológica institucional que soportan los procesos de supervisión y administrativos internos, administrando los riesgos tecnológicos, creando controles, procesos, procedimientos, políticas y reglamentos que permitan asegurar la confidencialidad, disponibilidad e integridad de la información. DISPARADOR:  Necesidad de aplicar controles de seguridad informática determinados en el Plan Director de Seguridad de la Información y producto de la incorporación o cambios en los componentes de la infraestructura tecnológica institucional.  Necesidad de mantener una plataforma tecnológica que opere bajo niveles aceptables de seguridad y permita mantener confidencialidad, disponibilidad e integridad de la información.  Necesidad de cumplir requerimientos establecidos por organismos de control. ENTRADAS:  Plan Director de Seguridad de la Información.  Reportes de análisis de monitoreo de la plataforma, eventos o incidentes detectados.  Análisis ethical hacking.  Leyes, reglamentos, normas.  Plan Anual de Contratación de la SB (PAC). SUBPROCESOS:  Planificación de Controles de Seguridad Informática.  Implementación del Plan de Seguridad Informática.  Monitoreo de la Implementación del Plan de Seguridad Informática. Productos/Servicios del proceso:  Plan de Seguridad Informática.  Políticas, estándares y marcos de referencia para el gobierno de TI.  Informes de ejecución del Aseguramiento de Calidad y Seguridad Informática. Responsable del  Director/a de Gobernanza de TI e Innovación.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 6 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación proceso: Tipo de cliente:  Cliente interno. Marco Legal:  Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.  Ley Orgánica del Sistema Nacional de Contratación Pública.  Normas de Control Interno de la Contraloría General del Estado.  Reglamento de adquisición de software del Código Ingenios. Marcos y estándares de referencia:  Normas ISO familia 27000, Seguridad de la Información  COBIT Gobierno de TI.  ITIL Gestión de Servicios de Tecnología. 1.2. ALCANCE DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA El proceso de gestión de la seguridad informática comprende la implementación de controles definidos en el Plan Director de Seguridad de la Información sobre los componentes de la infraestructura tecnológica institucional y otras necesidades que permitan mantener la operación normal y segura de los servicios informáticos institucionales y finaliza con el monitoreo, que permite establecer la correcta y eficiente operación de los controles implementados. 1.3. NORMAS GENERALES DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA  Las políticas de seguridad informática son de aplicación obligatoria para todos los funcionarios de la institución.  El Plan Director de Seguridad de la Información priorizará controles generales aplicados a los activos de la información almacenados o procesados por medios tecnológicos, para los que se deberán definir controles técnicos a implementarse en la infraestructura tecnológica y servicios informáticos institucionales.  La implementación de controles informáticos deberá someterse a un proceso de monitoreo previa su aprobación y salida a producción.  La definición de controles técnicos se efectuará tomando como base la aplicación de estándares, marcos legales y normativos.  Se aplicará el criterio del mínimo privilegio en la aplicación de controles informáticos, dependiendo de la necesidad de acceso, de acuerdo a los criterios de disponibilidad, confidencialidad e integridad.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 7 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  Todo control de seguridad informática implementado, deberá someterse a un proceso de monitoreo que permita establecer su adecuada operación.  Los informes de monitoreo de controles informáticos implementados que contengan novedades relacionadas con su aplicación efectiva, deberán ser canalizados para la revisión por el Subproceso del Planificación de Controles de Seguridad Informática.  La información generada por el monitoreo de los controles informáticos implementados, deberá alimentar la base de conocimiento de monitoreo, efectuado por el responsable del Equipo de Gestión de Seguridad Informática.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 8 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 2. DIAGRAMA DE FLUJO DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 9 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 3. DESCRIPCIÓN DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA 3.1. FICHA DEL SUBPROCESO Descripción: DISPARADOR:  Necesidad de mantener una plataforma tecnológica que opere bajo niveles aceptables de seguridad y permita mantener la confidencialidad, disponibilidad e integridad de los activos de información almacenados y procesados por medios tecnológicos, así también como identificar oportunamente las amenazas y debilidades de la infraestructura y procesos de la gestión tecnológica. ENTRADAS:  Plan Director de seguridad de la información.  Plan de implementación de Control de Seguridad Informática histórico.  Informes del Plan de Tratamiento de Riesgos Tecnológicos.  Reportes de auditoría y riesgos tecnológicos.  Eventos o incidentes de seguridad informática.  Análisis ethical hacking.  Leyes, reglamentos y normas.  Plan de Tratamiento de Riesgos Tecnológicos  Eventos e incidentes de seguridad informática. Productos/Servicios del proceso:  Plan de seguridad informática. 3.2. NORMAS ESPECÍFICAS DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA.  La planificación de controles de seguridad informática definirá controles técnicos a implementarse en la infraestructura tecnológica y servicios informáticos institucionales, según requerimientos establecidos por el Plan Director de Seguridad de la Información, el plan de seguridad informática histórico, reportes de análisis de monitoreo de la plataforma, análisis ethical hacking, leyes, reglamentos, normas, eventos e incidentes de seguridad informática.  La definición de controles técnicos se efectuará tomando como base la aplicación de estándares, marcos legales y normativos.  Se aplicará el criterio del mínimo privilegio en la aplicación de controles informáticos.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 10 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  El Equipo de Gestión de Seguridad Informática será conformado por un Líder de Equipo de la Dirección de Gobernanza de TI e Innovación y al menos un técnico de cada unidad de la Coordinación General de Tecnologías de Información y Comunicación con conocimientos afines al control a implementar.  La formalización de los equipos de trabajo se efectuará mediante la suscripción del acta de constitución del proyecto u orden de trabajo (incluyendo el cronograma de actividades), dependiendo de la complejidad del control a implementar, será suscrita por el Director de Gobernanza de TI e Innovación y el Coordinación General de Tecnologías de Información y Comunicación.  La definición de controles de seguridad informática deberá efectuarse mediante el análisis de alternativas tecnológicas que permitan evaluar y seleccionar las que más se ajusten a las necesidades institucionales.  El seguimiento de la implementación de los controles de seguridad informática, dependiendo de la complejidad de implementación, se efectuará mediante los instrumentos de gestión de proyectos tecnológicos o el cronograma respectivo de implementación.  La periodicidad de la actualización del Plan de Implementación de Controles de Seguridad Informática dependerá de la frecuencia con que se reciban los disparadores del proceso y cada vez que el Subproceso de Monitoreo de la Implementación del Plan de Seguridad Informática emita informes de incidencias.  La socialización del Plan de Implementación de Controles de Seguridad Informática y sus actualizaciones, se efectuará formalmente mediante memorando interno, la información se publicará en el Sistema Documental Alfresco.  El Coordinador General de Tecnologías de Información y Comunicación será responsable de la aprobación del Plan de Implementación de Controles de Seguridad Informática.  El Plan de Tratamiento de Riesgos Tecnológicos definirá controles ISO para los componentes informáticos asociados a cada control informático requerido por el Plan Director de Seguridad de la Información.  El Equipo de Gestión de Riesgos Tecnológicos será conformado por un Líder de Equipo de la Dirección de gobernanza de TI e Innovación y al menos un técnico de cada unidad de la Coordinación General de Tecnologías de Información y Comunicación con conocimientos afines al control analizado.  La formalización de los equipos de trabajo se efectuará mediante acta suscrita por el Coordinador de General de Tecnologías de Información y Comunicación, el Director de Gobernanza de TI e Innovación y el Director de Soluciones Tecnológicas y/o el Director de Infraestructura y Operaciones, según la proveniencia de los recursos involucrados.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 11 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  El seguimiento para la ejecución del proceso se efectuará mediante el cronograma respectivo.  La periodicidad de la actualización del Plan de Tratamiento de Riesgos Tecnológicos dependerá de la frecuencia con que se reciban los disparadores del proceso.  El Plan de Tratamiento de Riesgos Tecnológicos y sus actualizaciones, será aprobado por el Coordinador General de Tecnologías de la Información y Comunicación.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 12 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 3.3. DIAGRAMA DE FLUJO DEL SUBPROCESO PLANIFICACIÓN PARA DE CONTROLES DE SEGURIDAD INFORMÁTICA.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 13 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 3.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA. # Actividad Descripción Responsable Documentos generados 1 Revisar entradas del proceso y elaborar informe , plan de trabajo para la actualización del Plan de Seguridad Informática Se revisará de manera detallada la documentación que sustenta el inicio de la gestión o actualización del Plan de Seguridad Informática, la documentación inicial a considerar para esta actividad es el Plan Director de Seguridad de la Información, plan de seguridad informática histórico, reportes de análisis de monitoreo de la plataforma, análisis ethical hacking, leyes, reglamentos, normas, eventos e incidentes de seguridad informática. Se definirá el equipo de trabajo para revisar los requerimientos y plan de trabajo. En esta epata se debe estipular las estrategias para la implementación, recursos a ser usados( tecnológicos y no tecnológicos), cronogramas Director de Gobernanza de TI e Innovación Informe y plan de trabajo para la actualización Plan de Seguridad Informática, propuesta. 2 Establecer el alcance. y contexto de análisis Se analizará los aspectos internos y externos a fin de determinar el alcance y las limitaciones existentes para la gestión del Plan de Tratamiento de Riesgos Tecnológicos. Equipo de Gestión de Riesgos Tecnológicos Definición de alcance. 3 Identificar y evaluar los riesgos tecnológicos Se efectuará el reconocimiento y análisis de los elementos activos de información tecnológica crítica, amenazas, vulnerabilidades, controles existentes, consecuencias, entre otros, midiendo el impacto y la probabilidad de ocurrencia de cada problema de TI en los servicios de la institución para el cálculo o Equipo de Gestión de Riesgos Tecnológicos Informe de contexto de análisis, Propuesta Plan de Tratamiento de Riesgos Tecnológicos
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 14 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados evaluación del impacto; se incluirá las consecuencias y la priorización del tratamiento de los riesgos. 4 Proponer los controles técnicos por cada riesgo Definir controles técnicos por componente tecnológico para cada riesgo incluido en el informe de tratamiento de riesgos tecnológicos, de tal forma que permitan atender la recomendación de implementación de controles tecnológicos emitidos por el Plan Director de Seguridad de la Información. Equipo de Gestión de Seguridad Informática Matriz de riesgos tecnológicos priorizados y definición de controles tecnológicos. 5 Definir los controles por riesgo tecnológico y realizar correcciones Se definirá y priorizará los controles ISO que permitan gestionar cada riesgo Equipo de Gestión de Riesgos Tecnológicos Declaración de Aplicabilidad – SoA 6 Elaborar o Corregir el plan de Tratamiento de Riesgos Tecnológicos Elaborar el plan de Tratamiento de Riesgos Tecnológicos, con los controles establecidos y proyectos de implementación de los mismos. Equipo de Gestión de Riesgos Tecnológicos Plan de Tratamiento de Riesgos Tecnológicos propuesto. 7 Revisar integralmente el Plan de Tratamiento de Riesgos Tecnológicos propuesto Se realizar el Tratamiento de Riesgos Tecnológicos desarrollado por el Equipo de Gestión de Riesgos Tecnológicos. ¿Está correcto? SI: Actividad 6 NO: Actividad 8 Director de Gobernanza de TI e Innovación Avance del Plan de Tratamiento de Riesgos Tecnológicos propuesto, Matriz tecnológicas priorizados, Definiciones de controles ISO 8 Aprobar el Plan de Tratamiento de Riesgos Tecnológicos y publicar en el gestor documental Alfresco. Se aprobará el Plan de Tratamiento de Riesgos Tecnológicos. Una vez que esté aprobado se entrega la matriz de riesgos actualizada al equipo de seguridad informática y se publica en el gestor documental Alfresco. ¿Se aprueba? SI: Actividad 9 NO: Actividad 7 Coordinador General de Tecnologías de Información y Comunicación Plan de Tratamiento de Riesgos Tecnológicos aprobado 9 Elaborar y/o El Equipo de Gestión de Equipo de Avance del Plan de
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 15 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados corregir el Plan de Seguridad Informática propuesto Seguridad Informática elabora el Plan de Seguridad Informática, tomando como insumo el Plan de Tratamiento de Riesgo Tecnológicos aprobado, adicionalmente en este plan se debe definir y actualizar las políticas (específicas, operativas, entre otras.)objetivos y alcance de la seguridad informática Gestión de Seguridad Informática Seguridad Informática, matriz de controles 10 Autorizar el Plan de Seguridad informática propuesto Se autorizará el Plan de Seguridad Informática propuesto. ¿Está correcto? SI: Actividad 11 NO: Actividad 9. Director de Gobernanza de TI e Innovación Plan de Seguridad Informática revisado. 11 Revisar el Plan de Seguridad Informática Revisa el Plan de Seguridad Informática, actualizado. ¿Se aprueba? SI: Actividad 12 NO: Actividad 9 Coordinador General de Tecnologías de Información y Comunicación Plan de Seguridad Informática propuesto 12 Aprobar suscribir el Plan de Seguridad Informática El Comité de Tecnologías de Información y Comunicación, aprueba el Plan de Seguridad Informática, ¿Se aprueba? SI: FIN NO: Actividad 11 Comité de Tecnologías de Información y Comunicación Plan de Seguridad Informática aprobado
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 16 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 4. DESCRIPCIÓN DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA 4.1. FICHA DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA Descripción: DISPARADOR: Necesidad de implementar los controles definidos en Plan de Implementación de Controles de Seguridad Informática. ENTRADAS:  Plan de Implementación de Controles de Seguridad Informática.  Informes de monitoreo por aplicación de controles de seguridad informática. Productos/Servicios del proceso:  Políticas, estándares y marcos de referencia para el gobierno de TI.  Informes de la ejecución del Aseguramiento de Calidad y Seguridad Informática. 4.2. NORMAS ESPECÍFICAS DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA.  La aprobación y actualizaciones del Plan de Implementación de Controles de Seguridad Informática, sustenta el inicio de la Implementación del Plan de Seguridad Informática, el cual contiene los controles técnicos priorizados a ser implementados en los activos informáticos en base al análisis de riesgos tecnológicos.  El Equipo de Gestión de Seguridad Informática será conformado por un Líder de Equipo de la Dirección de Gobernanza de TI e Innovación y al menos un técnico de cada unidad de la Coordinación General de Tecnologías de Información y Comunicación con conocimientos afines al control a ser implementado.  La formalización de los equipos de trabajo se efectuará mediante acta suscrita por el Coordinador de General de Tecnologías de Información y Comunicación, el Director de Gobernanza de TI e Innovación y el Director de Soluciones Tecnológicas y/o el Director de Infraestructura y Operaciones, según la proveniencia de los recursos involucrados.  El seguimiento y aplicación de controles de seguridad informática se controlará mediante el Plan de Trabajo para Implementación de la Planificación de Seguridad Informática que incluye el cronograma de trabajo.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 17 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  La implementación de controles de seguridad informática se registrará en la Matriz de Controles de Seguridad Informática, la cual será alimentada por el Equipo de Gestión de Seguridad Informática bajo la supervisión del Director de Gobernanza de TI e Innovación, incluirá información referencial a su operación, así como la definición de indicadores de alerta.  La Matriz de Controles de Seguridad Informática, será comunicada formalmente al responsable del Plan Director de Seguridad de Información, cada vez que se implemente un control programado, esta matriz será publicada en el servidor documental Alfresco con la autorización del Director de Gobernanza de TI e Innovación.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 18 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 4.3. DIGRAMA DE FLUJO DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 19 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 4.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA # Actividad Descripción Responsable Documentos generados 1 Disponer la ejecución del Plan de Implementación de Control de Seguridad Informática Se emitirá los lineamientos para ejecución del Plan de Implementación de Control de Seguridad Informática, dirigido al Director de Gobernanza de TI e Innovación. Coordinador General de Tecnologías de Información y Comunicación Memorando 2 Definir el Plan de trabajo para implementación de la Planificación de Seguridad Informática y equipo de trabajo. Se revisará de manera detallada los controles, prioridades establecidas en el Subproceso Planificación de Controles de Seguridad informática para determinar el plan de trabajo tomando en cuenta cronogramas de implementación, recursos tecnológicas, no tecnológicos y definir el equipo de trabajo, con la participación del Director de Gobernanza de TI e Innovación, Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones. Director de Gobernanza de TI e Innovación Plan de Trabajo y Matriz de Controles de Seguridad Informática a aplicar 3 Revisar y aprobar el plan de trabajo, cronograma y Matriz de controles a aplicar. Se presentará el Plan de Trabajo y Matriz de Controles a aplicar para aprobación del Coordinador General de Tecnologías de Información y Comunicación, con la participación del Director de Gobernanza de TI e Innovación, Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones. ¿Aprueba? SI: Actividad 4 NO: Actividad 2. Coordinador General de Tecnologías de Información y Comunicación Acta / Plan de Trabajo y Matriz de Controles de Seguridad Informática aprobados 4 Comunicar y socializar matriz de cumplimiento y cronograma de Se efectuará la comunicación formal de la matriz de cumplimiento y cronograma de trabajo al Equipo de Trabajo con la participación Director de Gobernanza de TI e Innovación Acta de reunión y memorando con los controles a aplicar por cada Dirección.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 20 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados trabajo del Director de Gobernanza de TI e Innovación, Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones. 5 Implementar controles de seguridad informática Se implementará los controles de seguridad informática bajo el plan de trabajo aprobado según la disponibilidad de recursos, esta actividad estará a cargo del Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones. Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones Informes de avance 6 Seguimiento del avance de implementación de controles de seguridad informática Se efectuará el seguimiento del avance de la implementación de controles de seguridad informática. ¿Implementación satisfactoria? SI: Actividad 7 NO: Actividad 5 Equipo de Gestión de Seguridad Informática Informe de seguimiento 7 Actualizar la matriz de cumplimiento de controles de seguridad informática Se procederá con la actualización de la matriz de cumplimiento de controles respecto de la implementación efectuada para cada control. Equipo de Gestión de Seguridad Informática Matriz de Controles de Seguridad Informática actualizada 8 Revisar actualización de los controles de seguridad informática Se revisará la implementación de cada control de seguridad informática para aprobación del Coordinador General de Tecnologías de Información y Comunicación ¿Aprueba? SI: Actividad 9 NO: Actividad 5. Director de Gobernanza de TI e Innovación Matriz de Controles de Seguridad Informática 9 Aprobar la actualización de los controles de seguridad informática El Coordinador General de Tecnologías de Información y Comunicación revisa la Matriz de Controles de Seguridad Informática para publicar el cumplimiento de actualización. ¿Aprueba? SI: Actividad 10 NO: Actividad 8 Coordinador General de Tecnologías de Información y Comunicación Matriz de Controles de Seguridad Informática, aprobación de controles implementados 10 Publicar matriz de cumplimiento Se procederá con la publicación de la Matriz de Director de Gobernanza de Publicación de la Matriz de
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 21 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados actualizada Controles de Seguridad Informática actualizada, en el Servidor Documental Alfresco para uso interno TI e Innovación Controles de Seguridad Informática, actualizada Subproceso Monitoreo de la Implementación de Plan de Seguridad Informática Director de Gobernanza de TI e Innovación 5. DESCRIPCIÓN DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA 5.1. FICHA DEL SUBPROCESO Descripción: DISPARADOR:  Necesidad de establecer la vigencia y efectividad de la implementación de los controles de seguridad informática.  La ejecución de este subproceso es permanente para cada control implementado por recurso tecnológico, finalizará únicamente cuando el recurso sea cambiado o eliminado del inventario tecnológico. ENTRADAS:  Plan de Implementación de Controles de Seguridad Informática. Productos/Servicios del proceso:  Informes de la ejecución del aseguramiento de calidad y seguridad informática. 5.2. NORMAS ESPECÍFICAS DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA  Una vez implementados los controles informáticos, serán incluidos en el proceso de monitoreo periódico y continuo para establecer su vigencia y operación adecuada.  El Equipo de Monitoreo de Implementación de Controles de Seguridad Informática será conformado por un Líder de Equipo de la Dirección de Gobernanza de TI e Innovación y al menos un técnico de cada unidad de la Coordinación General de Tecnologías de Información y Comunicación con conocimientos afines al control a ser implementado.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 22 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  La formalización de los equipos de trabajo se efectuará mediante acta suscrita por el Coordinador de General de Tecnologías de Información y Comunicación, el Director de Gobernanza de TI e Innovación y el Director de Soluciones Tecnológicas y/o el Director de Infraestructura y Operaciones, según la proveniencia de los recursos involucrados.  El Equipo de Trabajo definirá las técnicas de recolección de datos más aplicables para monitorear cada control implementado, así como la periodicidad de su obtención.  La detección de vulnerabilidades de operación de los controles de seguridad informática implementados deberá ser puesta en conocimiento del Director de Gobernanza de TI e Innovación.  La operación anómala verificada de cualquier control implementado, deberá ser notificada por el Director de Gobernanza de TI e Innovación al proceso de Planificación de Controles de Seguridad Informática para que se inicie su revisión técnica.  Los informes generados por el proceso de Monitoreo de Implementación de Controles de Seguridad Informática, serán publicados en el servidor documental Alfresco con la autorización del Director de Gobernanza de TI e Innovación.
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 23 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 5.3. DIAGRAMA DE FLUJO DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 24 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 5.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA. # Actividad Descripción Responsable Documentos generados 1 Autorizar el monitoreo de controles implementados. Se establecerán responsabilidades, periodicidad, herramientas, indicadores, estadísticas, métricas de monitoreo. Director de Gobernanza de TI e Innovación Plan de monitoreo 2 Definir y ejecutar las técnicas de recolección de datos Se definirán las técnicas de recolección de datos para construir o seleccionar los instrumentos que permitan obtener datos del recurso monitoreado. Equipo de monitoreo de implementación de controles de seguridad informática Informe de técnicas de recolección 3 Realizar la observación, medición e interpretación de datos Se efectuará la observación, medición e interpretación de los datos observados. Mediante indicadores, métricas. Equipo de monitoreo de implementación de controles de seguridad informática Informe de registro de datos 4 Identificar vulnerabilidades Se identificarán vulnerabilidades o deficiencias de la operación de los controles de seguridad implementados, estableciendo el nivel de afectación en la operación del recurso tecnológico, incluye recomendaciones. ¿Vulnerabilidad alta? SI: Actividad 5 NO: Actividad 3 Equipo de monitoreo de implementación de controles de seguridad informática Informe propuesto de monitoreo por aplicación de controles de seguridad informática por recurso tecnológico 5 Aprobar y enviar el informe de monitoreo del recurso Se aprobará y enviará el informe de monitoreo del recurso para la aplicación de acciones correctivas en el Subproceso del Planificación de Controles de Seguridad Informática. ¿Aprueba? SI: Subproceso del Planificación de Controles de Seguridad Informática NO: Actividad 4 Director de Gobernanza de TI e Innovación Informe aprobado de monitoreo por aplicación de controles de seguridad informática por recurso tecnológico Subproceso Planificación de Controles de Seguridad Informática 6 Monitorear continuamente Se efectuará el monitoreo periódico de los controles Equipo de Gestión de Informes de la ejecución del
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 25 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados de controles implementados. implementados, incluye métricas vulnerabilidades. ¿Existen novedades? SI: Actividad 2 NO: (FIN) Seguridad Informática aseguramiento de calidad y seguridad informática aprobado. 6. INDICADORES DE GESTIÓN DEL PROCESO GESTION DE LA SEGURIDAD INFORMATICA. Los indicadores se encuentran descritos como anexos en el formato F-GPP-01 - Fichas de Indicadores de Procesos. 7. TÉRMINOS Y DEFINICIONES Controles de Seguridad Informática: Establece las acciones técnicas implementadas en la infraestructura tecnológica y sistemas de información orientadas a mantener niveles aceptados de confidencialidad, integridad y disponibilidad aceptados por la organización. Ethical hacking: Comprende la ejecución de pruebas de penetración, pruebas de intrusión o equipo rojo, con la finalidad de localizar debilidades y vulnerabilidades de los servicios informáticos y la infraestructura tecnológica sobre la cual operan mediante la duplicación de la intención y las acciones de ataques informáticos. ISO: Organización Internacional de Estandarización. PAC: Plan Anual de Contratación. PEI: Plan Estratégico Institucional. PETI: Plan Estratégico Tecnológico. 8. LISTADO DE DOCUMENTOS YANEXOS. 8.1. DOCUMENTOS. Código Nombre del documento Ubicación Física Ubicación Digital F-GSI-1 Plan de Implementaci ón de Controles de Seguridad Informática Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática F-GSI-2 Plan de Riesgos Servidor documental: Documentos> C.G.T> GCS> Seguridad
MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 26 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación Tecnológicos Informática F-GSI -3 Matriz de Controles de Seguridad Informática Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática F-GSI -4 Plan de trabajo Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática F-GSI -5 Plan de monitoreo Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática F-GSI -6 Informes técnicos Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática 8.2. ANEXOS N/A

Recomendados

Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦nsena
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
MANUAL DE SISTEMA INTEGRADO
MANUAL DE SISTEMA INTEGRADO MANUAL DE SISTEMA INTEGRADO
MANUAL DE SISTEMA INTEGRADO COMERCIALIZADORA JE TOURS SAS
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
NTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNoemiMaitheRomeroBau
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799Fipy_exe
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 

Recomendados

Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n3. res. 856 de 2008 manual seguridad sistemas de informaci+¦n
3. res. 856 de 2008 manual seguridad sistemas de informaci+¦nsena
 
Federico Colas Rubio
Federico Colas RubioFederico Colas Rubio
Federico Colas RubioTecnimap
 
MANUAL DE SISTEMA INTEGRADO
MANUAL DE SISTEMA INTEGRADO MANUAL DE SISTEMA INTEGRADO
MANUAL DE SISTEMA INTEGRADO COMERCIALIZADORA JE TOURS SAS
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Internet Security Auditors
 
NTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNoemiMaitheRomeroBau
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799Fipy_exe
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Cap6
Cap6Cap6
Cap6Sara Gonzàlez
 
Metodologia psi-nueva proyecto
Metodologia psi-nueva proyectoMetodologia psi-nueva proyecto
Metodologia psi-nueva proyectoEdith Forrest
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14Ingeniería e Integración Avanzadas (Ingenia)
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticarossana mendieta
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...Miguel A. Amutio
 
Protección de infraestructuras críticas
Protección de infraestructuras críticasProtección de infraestructuras críticas
Protección de infraestructuras críticasEnrique Martin
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabián Descalzo
 
436228723-Fase-2-Planeacion-de-La-Auditoria.pdf
436228723-Fase-2-Planeacion-de-La-Auditoria.pdf436228723-Fase-2-Planeacion-de-La-Auditoria.pdf
436228723-Fase-2-Planeacion-de-La-Auditoria.pdfDiego Corrales
 
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...cgroportunidadestrategica
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...Ingeniería e Integración Avanzadas (Ingenia)
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoMiguel Angel Sandoval Calderon
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoArthurMorales2
 
Memoria auditoria
Memoria auditoriaMemoria auditoria
Memoria auditoriawarraf
 
Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceFabián Descalzo
 
Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdfSilvyAndreaCaicedo
 
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....SilvyAndreaCaicedo
 

Más contenido relacionado

Similar a alianza nuevo.pdf

Metodologia psi-nueva proyecto
Metodologia psi-nueva proyectoMetodologia psi-nueva proyecto
Metodologia psi-nueva proyectoEdith Forrest
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevoWendy Perez Diaz
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...Miguel A. Amutio
 
Protección de infraestructuras críticas
Protección de infraestructuras críticasProtección de infraestructuras críticas
Protección de infraestructuras críticasEnrique Martin
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Miguel A. Amutio
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tyuliaranda
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabián Descalzo
 
436228723-Fase-2-Planeacion-de-La-Auditoria.pdf
436228723-Fase-2-Planeacion-de-La-Auditoria.pdf436228723-Fase-2-Planeacion-de-La-Auditoria.pdf
436228723-Fase-2-Planeacion-de-La-Auditoria.pdfDiego Corrales
 
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...cgroportunidadestrategica
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...Javier Tallón
 
Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoArthurMorales2
 
Memoria auditoria
Memoria auditoriaMemoria auditoria
Memoria auditoriawarraf
 
Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceFabián Descalzo
 

Similar a alianza nuevo.pdf (20)

Cap6
Cap6Cap6
Cap6
 
Metodologia psi-nueva proyecto
Metodologia psi-nueva proyectoMetodologia psi-nueva proyecto
Metodologia psi-nueva proyecto
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Catalogo de servicio itevo
Catalogo de servicio itevoCatalogo de servicio itevo
Catalogo de servicio itevo
 
Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14Miguel Ángel Amutio_Ciberseg14
Miguel Ángel Amutio_Ciberseg14
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
SEGURIDAD: SITUACIÓN ACTUAL. EVOLUCIÓN DEL RD 3/2010. OBLIGATORIEDAD DE AUDIT...
 
Protección de infraestructuras críticas
Protección de infraestructuras críticasProtección de infraestructuras críticas
Protección de infraestructuras críticas
 
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
Progreso de la adecuación al Esquema Nacional de Seguridad, en la reunión de ...
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Diapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.tDiapositivas politicas de seguridad de la m.p.t
Diapositivas politicas de seguridad de la m.p.t
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
 
436228723-Fase-2-Planeacion-de-La-Auditoria.pdf
436228723-Fase-2-Planeacion-de-La-Auditoria.pdf436228723-Fase-2-Planeacion-de-La-Auditoria.pdf
436228723-Fase-2-Planeacion-de-La-Auditoria.pdf
 
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
DOCUMENTO DE RECOMENDACIONES DE SOSTENIBILIDAD DEL SISTEMA DE ASEGURAMIENTO E...
 
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib... IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
IV Jornadas de Ciberseguridad en Andalucía: Cumplimiento como base de la cib...
 
CLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinternoCLASE 2 - 02 controlinterno
CLASE 2 - 02 controlinterno
 
La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...La ventaja de implementar una solución de ciberseguridad certificada por el C...
La ventaja de implementar una solución de ciberseguridad certificada por el C...
 
Hoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyectoHoja de trabajo 01 acta de_constitucion_del_proyecto
Hoja de trabajo 01 acta de_constitucion_del_proyecto
 
Memoria auditoria
Memoria auditoriaMemoria auditoria
Memoria auditoria
 
Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y compliance
 

Más de SilvyAndreaCaicedo

PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....SilvyAndreaCaicedo
 
tabla editada Auditoria Informatica.docx
tabla editada Auditoria Informatica.docxtabla editada Auditoria Informatica.docx
tabla editada Auditoria Informatica.docxSilvyAndreaCaicedo
 
Silvana Caicedo- actividad 7- mapeo de metas y procesos..pdf
Silvana Caicedo- actividad 7- mapeo de metas y procesos..pdfSilvana Caicedo- actividad 7- mapeo de metas y procesos..pdf
Silvana Caicedo- actividad 7- mapeo de metas y procesos..pdfSilvyAndreaCaicedo
 
Silvana Caicedo- actividad 7- mapeo de metas y procesos..docx
Silvana Caicedo- actividad 7- mapeo de metas y procesos..docxSilvana Caicedo- actividad 7- mapeo de metas y procesos..docx
Silvana Caicedo- actividad 7- mapeo de metas y procesos..docxSilvyAndreaCaicedo
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxSilvyAndreaCaicedo
 
CUBRIR LA COMPAÑÍA DE PUNTA A PUNTA..docx
CUBRIR LA COMPAÑÍA DE PUNTA A PUNTA..docxCUBRIR LA COMPAÑÍA DE PUNTA A PUNTA..docx
CUBRIR LA COMPAÑÍA DE PUNTA A PUNTA..docxSilvyAndreaCaicedo
 
FLUJOGRAMA - TRABAJO ASINCRONICO6.docx
FLUJOGRAMA - TRABAJO ASINCRONICO6.docxFLUJOGRAMA - TRABAJO ASINCRONICO6.docx
FLUJOGRAMA - TRABAJO ASINCRONICO6.docxSilvyAndreaCaicedo
 
CAICEDO_SILVANA_EVIDENCIA1.pdf
CAICEDO_SILVANA_EVIDENCIA1.pdfCAICEDO_SILVANA_EVIDENCIA1.pdf
CAICEDO_SILVANA_EVIDENCIA1.pdfSilvyAndreaCaicedo
 
CAICEDO_SILVANA_EVIDENCIA1-comprimido.pdf
CAICEDO_SILVANA_EVIDENCIA1-comprimido.pdfCAICEDO_SILVANA_EVIDENCIA1-comprimido.pdf
CAICEDO_SILVANA_EVIDENCIA1-comprimido.pdfSilvyAndreaCaicedo
 
Cooperativa de Ahorro y Crédito Alianza del Valle departamento TI.docx
Cooperativa de Ahorro y Crédito Alianza del Valle departamento TI.docxCooperativa de Ahorro y Crédito Alianza del Valle departamento TI.docx
Cooperativa de Ahorro y Crédito Alianza del Valle departamento TI.docxSilvyAndreaCaicedo
 
AUDI SISTEMAS ACTIVIDAD 5.docx
AUDI SISTEMAS ACTIVIDAD 5.docxAUDI SISTEMAS ACTIVIDAD 5.docx
AUDI SISTEMAS ACTIVIDAD 5.docxSilvyAndreaCaicedo
 
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....SilvyAndreaCaicedo
 

Más de SilvyAndreaCaicedo (20)

Principios de COBIT.pdf
Principios de COBIT.pdfPrincipios de COBIT.pdf
Principios de COBIT.pdf
 
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
 
TRABAJO ASINCRONICO 12.docx
TRABAJO ASINCRONICO 12.docxTRABAJO ASINCRONICO 12.docx
TRABAJO ASINCRONICO 12.docx
 
TRABAJO ASINCRONICO 12.pdf
TRABAJO ASINCRONICO 12.pdfTRABAJO ASINCRONICO 12.pdf
TRABAJO ASINCRONICO 12.pdf
 
TRABAJO ASINCRONICO 1.docx
TRABAJO ASINCRONICO 1.docxTRABAJO ASINCRONICO 1.docx
TRABAJO ASINCRONICO 1.docx
 
MAPAS 5.docx
MAPAS 5.docxMAPAS 5.docx
MAPAS 5.docx
 
tabla editada Auditoria Informatica.docx
tabla editada Auditoria Informatica.docxtabla editada Auditoria Informatica.docx
tabla editada Auditoria Informatica.docx
 
Silvana Caicedo- actividad 7- mapeo de metas y procesos..pdf
Silvana Caicedo- actividad 7- mapeo de metas y procesos..pdfSilvana Caicedo- actividad 7- mapeo de metas y procesos..pdf
Silvana Caicedo- actividad 7- mapeo de metas y procesos..pdf
 
Silvana Caicedo- actividad 7- mapeo de metas y procesos..docx
Silvana Caicedo- actividad 7- mapeo de metas y procesos..docxSilvana Caicedo- actividad 7- mapeo de metas y procesos..docx
Silvana Caicedo- actividad 7- mapeo de metas y procesos..docx
 
PRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptxPRESENTACION TRABAJO ASINCRONICO 6.pptx
PRESENTACION TRABAJO ASINCRONICO 6.pptx
 
CUBRIR LA COMPAÑÍA DE PUNTA A PUNTA..docx
CUBRIR LA COMPAÑÍA DE PUNTA A PUNTA..docxCUBRIR LA COMPAÑÍA DE PUNTA A PUNTA..docx
CUBRIR LA COMPAÑÍA DE PUNTA A PUNTA..docx
 
FLUJOGRAMA - TRABAJO ASINCRONICO6.docx
FLUJOGRAMA - TRABAJO ASINCRONICO6.docxFLUJOGRAMA - TRABAJO ASINCRONICO6.docx
FLUJOGRAMA - TRABAJO ASINCRONICO6.docx
 
CAICEDO_SILVANA_EVIDENCIA1.pdf
CAICEDO_SILVANA_EVIDENCIA1.pdfCAICEDO_SILVANA_EVIDENCIA1.pdf
CAICEDO_SILVANA_EVIDENCIA1.pdf
 
CAICEDO_SILVANA_EVIDENCIA1-comprimido.pdf
CAICEDO_SILVANA_EVIDENCIA1-comprimido.pdfCAICEDO_SILVANA_EVIDENCIA1-comprimido.pdf
CAICEDO_SILVANA_EVIDENCIA1-comprimido.pdf
 
Cooperativa de Ahorro y Crédito Alianza del Valle departamento TI.docx
Cooperativa de Ahorro y Crédito Alianza del Valle departamento TI.docxCooperativa de Ahorro y Crédito Alianza del Valle departamento TI.docx
Cooperativa de Ahorro y Crédito Alianza del Valle departamento TI.docx
 
AUDI DEBER 7.docx
AUDI DEBER 7.docxAUDI DEBER 7.docx
AUDI DEBER 7.docx
 
asincronica 4.docx
asincronica 4.docxasincronica 4.docx
asincronica 4.docx
 
AUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptxAUDITORIA INFORMATICA.pptx
AUDITORIA INFORMATICA.pptx
 
AUDI SISTEMAS ACTIVIDAD 5.docx
AUDI SISTEMAS ACTIVIDAD 5.docxAUDI SISTEMAS ACTIVIDAD 5.docx
AUDI SISTEMAS ACTIVIDAD 5.docx
 
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
PRESENTACION DE IMPLEMENTACION DE COBIT 5 EN LA COOPERATIVA ALINZA DEL VALLE....
 

Último

Politicas publicas para el sector agropecuario en México.pptx
Politicas publicas para el sector agropecuario en México.pptxPoliticas publicas para el sector agropecuario en México.pptx
Politicas publicas para el sector agropecuario en México.pptxvladisse
 
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdfQUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdflupismdo
 
Sistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionSistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionPedroSalasSantiago
 
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdfemerson vargas panduro
 
5.2 ENLACE QUÍMICO manual teoria pre universitaria
5.2 ENLACE QUÍMICO manual teoria pre universitaria5.2 ENLACE QUÍMICO manual teoria pre universitaria
5.2 ENLACE QUÍMICO manual teoria pre universitariamkt0005
 
Análisis de la Temporada Turística 2024 en Uruguay
Análisis de la Temporada Turística 2024 en UruguayAnálisis de la Temporada Turística 2024 en Uruguay
Análisis de la Temporada Turística 2024 en UruguayEXANTE
 
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptxS. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptxMayraTorricoMaldonad
 
TEMA 3 DECISIONES DE INVERSION Y FINANCIACION UNIVERISDAD REY JUAN CARLOS
TEMA 3 DECISIONES DE INVERSION Y FINANCIACION UNIVERISDAD REY JUAN CARLOSTEMA 3 DECISIONES DE INVERSION Y FINANCIACION UNIVERISDAD REY JUAN CARLOS
TEMA 3 DECISIONES DE INVERSION Y FINANCIACION UNIVERISDAD REY JUAN CARLOSreyjuancarlosjose
 
Administración del capital de trabajo - UNR.pdf
Administración del capital de trabajo - UNR.pdfAdministración del capital de trabajo - UNR.pdf
Administración del capital de trabajo - UNR.pdfMarcelo732474
 
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptxHUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptxGerardoOroc
 
Estructura y elaboración de un presupuesto financiero
Estructura y elaboración de un presupuesto financieroEstructura y elaboración de un presupuesto financiero
Estructura y elaboración de un presupuesto financieroMARTINMARTINEZ30236
 
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdfEL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdfssuser2887fd1
 
puntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfpuntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfosoriojuanpablo114
 
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdfMANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdflupismdo
 
Mercado de factores productivos - Unidad 9
Mercado de factores productivos - Unidad 9Mercado de factores productivos - Unidad 9
Mercado de factores productivos - Unidad 9NahuelEmilianoPeralt
 
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptxPRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptxmanuelrojash
 
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZASVALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZASJhonPomasongo1
 
Sección 13 Inventarios, NIIF PARA PYMES
Sección 13 Inventarios, NIIF PARA PYMESSección 13 Inventarios, NIIF PARA PYMES
Sección 13 Inventarios, NIIF PARA PYMESssuser10db01
 
Contratos bancarios en Colombia y sus carcteristicas
Contratos bancarios en Colombia y sus carcteristicasContratos bancarios en Colombia y sus carcteristicas
Contratos bancarios en Colombia y sus carcteristicasssuser17dd85
 
Proyecto de catálogo de cuentas EMPRESA.
Proyecto de catálogo de cuentas EMPRESA.Proyecto de catálogo de cuentas EMPRESA.
Proyecto de catálogo de cuentas EMPRESA.ssuser10db01
 

Último (20)

Politicas publicas para el sector agropecuario en México.pptx
Politicas publicas para el sector agropecuario en México.pptxPoliticas publicas para el sector agropecuario en México.pptx
Politicas publicas para el sector agropecuario en México.pptx
 
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdfQUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
QUE REQUISITOS DEBO CUMPLIR PARA PENSIONARME.pdf
 
Sistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacionSistema de Control Interno aplicaciones en nuestra legislacion
Sistema de Control Interno aplicaciones en nuestra legislacion
 
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
383348624-324224192-Desnaturalizacion-de-Los-Contratos-Modales-pdf.pdf
 
5.2 ENLACE QUÍMICO manual teoria pre universitaria
5.2 ENLACE QUÍMICO manual teoria pre universitaria5.2 ENLACE QUÍMICO manual teoria pre universitaria
5.2 ENLACE QUÍMICO manual teoria pre universitaria
 
Análisis de la Temporada Turística 2024 en Uruguay
Análisis de la Temporada Turística 2024 en UruguayAnálisis de la Temporada Turística 2024 en Uruguay
Análisis de la Temporada Turística 2024 en Uruguay
 
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptxS. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
S. NICSP Nº 42 normas internacionales de contabilidad del sector publico.pptx
 
TEMA 3 DECISIONES DE INVERSION Y FINANCIACION UNIVERISDAD REY JUAN CARLOS
TEMA 3 DECISIONES DE INVERSION Y FINANCIACION UNIVERISDAD REY JUAN CARLOSTEMA 3 DECISIONES DE INVERSION Y FINANCIACION UNIVERISDAD REY JUAN CARLOS
TEMA 3 DECISIONES DE INVERSION Y FINANCIACION UNIVERISDAD REY JUAN CARLOS
 
Administración del capital de trabajo - UNR.pdf
Administración del capital de trabajo - UNR.pdfAdministración del capital de trabajo - UNR.pdf
Administración del capital de trabajo - UNR.pdf
 
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptxHUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
HUERTO FAMILIAR JUSTIFICACION DE PROYECTO.pptx
 
Estructura y elaboración de un presupuesto financiero
Estructura y elaboración de un presupuesto financieroEstructura y elaboración de un presupuesto financiero
Estructura y elaboración de un presupuesto financiero
 
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdfEL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
EL ESTADO Y LOS ORGANISMOS AUTONOMOS.pdf
 
puntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdfpuntos-clave-de-la-reforma-pensional-2023.pdf
puntos-clave-de-la-reforma-pensional-2023.pdf
 
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdfMANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
MANUAL PARA OBTENER MI PENSIÓN O RETIRAR MIS RECURSOS.pdf
 
Mercado de factores productivos - Unidad 9
Mercado de factores productivos - Unidad 9Mercado de factores productivos - Unidad 9
Mercado de factores productivos - Unidad 9
 
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptxPRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
PRESUPUESTOS COMO HERRAMIENTA DE GESTION - UNIAGUSTINIANA.pptx
 
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZASVALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
VALOR DEL DINERO EN EL TIEMPO - 2024 - SEMINARIO DE FINANZAS
 
Sección 13 Inventarios, NIIF PARA PYMES
Sección 13 Inventarios, NIIF PARA PYMESSección 13 Inventarios, NIIF PARA PYMES
Sección 13 Inventarios, NIIF PARA PYMES
 
Contratos bancarios en Colombia y sus carcteristicas
Contratos bancarios en Colombia y sus carcteristicasContratos bancarios en Colombia y sus carcteristicas
Contratos bancarios en Colombia y sus carcteristicas
 
Proyecto de catálogo de cuentas EMPRESA.
Proyecto de catálogo de cuentas EMPRESA.Proyecto de catálogo de cuentas EMPRESA.
Proyecto de catálogo de cuentas EMPRESA.
 

alianza nuevo.pdf

  • 1. MANUAL DEL PROCESO GESTIÓN DE SEGURIDAD INFORMÁTICA Dirección de Gobernanza de TI e Innovación Versión 1.0 Noviembre, 2017
  • 2. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 2 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación
  • 3. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 3 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación IDENTIFICACIÓN Y TRAZABILIDAD DEL DOCUMENTO Proceso Nivel 0: Gestión de Tecnologías de Información y Comunicación (TIC) Proceso Nivel 1: Gestión de Gobernanza de TI e Innovación Proceso Nivel 2: Gestión de Seguridad Informática Proceso Nivel 3: n/a Versión del Documento: 1.0 Número de Páginas: 26 Responsable del proceso: Director de Gobernanza de TI e Innovación Frecuencia de ejecución: Continua REGISTRO DE VERSIONES Versión Descripción de la versión (motivos y cambios) Realizado / Aprobado por Cargo Fecha de elaboración Documentos que se dan de baja con la vigencia de este documento 1.0 Creación Lic. Benjamín Nicolalde / Ing.Celene Vargas Experto en Administración Técnica 2 / Coordinadora General de Planificación y Mejoramiento Continuo
  • 4. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 4 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación ÍNDICE Y CONTENIDO 1. DESCRIPCIÓN DEL MANUAL DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA....................... 5 1.1. FICHA DEL MANUAL ........................................................................................................................ 5 1.2. ALCANCE DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA ........................................... 6 1.3. NORMAS GENERALES DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA ........................ 6 2. DIAGRAMA DE FLUJO DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA................................. 8 3. DESCRIPCIÓN DEL SUBPROCESO......................................................................................................... 9 3.1. FICHA DEL SUBPROCESO................................................................................................................. 9 3.2. NORMAS ESPECÍFICAS DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA. ............................................................................................................................................ 9 3.3. DIAGRAMA DE FLUJO DEL SUBPROCESO PLANIFICACIÓN PARA DE CONTROLES DE SEGURIDAD INFORMÁTICA. .......................................................................................................................................... 12 3.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA. ...................................................................................................................... 13 4. DESCRIPCIÓN DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA 16 4.1. FICHA DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA ........ 16 5. DESCRIPCIÓN DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA ....................................................................................................................... 21 5.2. NORMAS ESPECÍFICAS DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA.................................................................................................................. 21 5.3. DIAGRAMA DE FLUJO DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA ....................................................................................................................... 23 5.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA. ....................................................................................................... 24 6. INDICADORES DE GESTIÓN DEL PROCESO GESTION DE LA SEGURIDAD INFORMATICA. ................. 25 7. TÉRMINOS Y DEFINICIONES............................................................................................................... 25 8. LISTADO DE DOCUMENTOS YANEXOS. ............................................................................................. 25 8.1. DOCUMENTOS............................................................................................................................... 25 8.2. ANEXOS ......................................................................................................................................... 26 N/A ............................................................................................................................................................ 26
  • 5. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 5 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 1. DESCRIPCIÓN DEL MANUAL DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA 1.1. FICHA DEL MANUAL Descripción: PROPÓSITO:  Proteger la integridad y privacidad de la información almacenada y procesada por la infraestructura tecnológica institucional que soportan los procesos de supervisión y administrativos internos, administrando los riesgos tecnológicos, creando controles, procesos, procedimientos, políticas y reglamentos que permitan asegurar la confidencialidad, disponibilidad e integridad de la información. DISPARADOR:  Necesidad de aplicar controles de seguridad informática determinados en el Plan Director de Seguridad de la Información y producto de la incorporación o cambios en los componentes de la infraestructura tecnológica institucional.  Necesidad de mantener una plataforma tecnológica que opere bajo niveles aceptables de seguridad y permita mantener confidencialidad, disponibilidad e integridad de la información.  Necesidad de cumplir requerimientos establecidos por organismos de control. ENTRADAS:  Plan Director de Seguridad de la Información.  Reportes de análisis de monitoreo de la plataforma, eventos o incidentes detectados.  Análisis ethical hacking.  Leyes, reglamentos, normas.  Plan Anual de Contratación de la SB (PAC). SUBPROCESOS:  Planificación de Controles de Seguridad Informática.  Implementación del Plan de Seguridad Informática.  Monitoreo de la Implementación del Plan de Seguridad Informática. Productos/Servicios del proceso:  Plan de Seguridad Informática.  Políticas, estándares y marcos de referencia para el gobierno de TI.  Informes de ejecución del Aseguramiento de Calidad y Seguridad Informática. Responsable del  Director/a de Gobernanza de TI e Innovación.
  • 6. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 6 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación proceso: Tipo de cliente:  Cliente interno. Marco Legal:  Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.  Ley Orgánica del Sistema Nacional de Contratación Pública.  Normas de Control Interno de la Contraloría General del Estado.  Reglamento de adquisición de software del Código Ingenios. Marcos y estándares de referencia:  Normas ISO familia 27000, Seguridad de la Información  COBIT Gobierno de TI.  ITIL Gestión de Servicios de Tecnología. 1.2. ALCANCE DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA El proceso de gestión de la seguridad informática comprende la implementación de controles definidos en el Plan Director de Seguridad de la Información sobre los componentes de la infraestructura tecnológica institucional y otras necesidades que permitan mantener la operación normal y segura de los servicios informáticos institucionales y finaliza con el monitoreo, que permite establecer la correcta y eficiente operación de los controles implementados. 1.3. NORMAS GENERALES DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA  Las políticas de seguridad informática son de aplicación obligatoria para todos los funcionarios de la institución.  El Plan Director de Seguridad de la Información priorizará controles generales aplicados a los activos de la información almacenados o procesados por medios tecnológicos, para los que se deberán definir controles técnicos a implementarse en la infraestructura tecnológica y servicios informáticos institucionales.  La implementación de controles informáticos deberá someterse a un proceso de monitoreo previa su aprobación y salida a producción.  La definición de controles técnicos se efectuará tomando como base la aplicación de estándares, marcos legales y normativos.  Se aplicará el criterio del mínimo privilegio en la aplicación de controles informáticos, dependiendo de la necesidad de acceso, de acuerdo a los criterios de disponibilidad, confidencialidad e integridad.
  • 7. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 7 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  Todo control de seguridad informática implementado, deberá someterse a un proceso de monitoreo que permita establecer su adecuada operación.  Los informes de monitoreo de controles informáticos implementados que contengan novedades relacionadas con su aplicación efectiva, deberán ser canalizados para la revisión por el Subproceso del Planificación de Controles de Seguridad Informática.  La información generada por el monitoreo de los controles informáticos implementados, deberá alimentar la base de conocimiento de monitoreo, efectuado por el responsable del Equipo de Gestión de Seguridad Informática.
  • 8. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 8 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 2. DIAGRAMA DE FLUJO DEL PROCESO DE GESTIÓN DE SEGURIDAD INFORMÁTICA.
  • 9. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 9 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 3. DESCRIPCIÓN DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA 3.1. FICHA DEL SUBPROCESO Descripción: DISPARADOR:  Necesidad de mantener una plataforma tecnológica que opere bajo niveles aceptables de seguridad y permita mantener la confidencialidad, disponibilidad e integridad de los activos de información almacenados y procesados por medios tecnológicos, así también como identificar oportunamente las amenazas y debilidades de la infraestructura y procesos de la gestión tecnológica. ENTRADAS:  Plan Director de seguridad de la información.  Plan de implementación de Control de Seguridad Informática histórico.  Informes del Plan de Tratamiento de Riesgos Tecnológicos.  Reportes de auditoría y riesgos tecnológicos.  Eventos o incidentes de seguridad informática.  Análisis ethical hacking.  Leyes, reglamentos y normas.  Plan de Tratamiento de Riesgos Tecnológicos  Eventos e incidentes de seguridad informática. Productos/Servicios del proceso:  Plan de seguridad informática. 3.2. NORMAS ESPECÍFICAS DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA.  La planificación de controles de seguridad informática definirá controles técnicos a implementarse en la infraestructura tecnológica y servicios informáticos institucionales, según requerimientos establecidos por el Plan Director de Seguridad de la Información, el plan de seguridad informática histórico, reportes de análisis de monitoreo de la plataforma, análisis ethical hacking, leyes, reglamentos, normas, eventos e incidentes de seguridad informática.  La definición de controles técnicos se efectuará tomando como base la aplicación de estándares, marcos legales y normativos.  Se aplicará el criterio del mínimo privilegio en la aplicación de controles informáticos.
  • 10. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 10 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  El Equipo de Gestión de Seguridad Informática será conformado por un Líder de Equipo de la Dirección de Gobernanza de TI e Innovación y al menos un técnico de cada unidad de la Coordinación General de Tecnologías de Información y Comunicación con conocimientos afines al control a implementar.  La formalización de los equipos de trabajo se efectuará mediante la suscripción del acta de constitución del proyecto u orden de trabajo (incluyendo el cronograma de actividades), dependiendo de la complejidad del control a implementar, será suscrita por el Director de Gobernanza de TI e Innovación y el Coordinación General de Tecnologías de Información y Comunicación.  La definición de controles de seguridad informática deberá efectuarse mediante el análisis de alternativas tecnológicas que permitan evaluar y seleccionar las que más se ajusten a las necesidades institucionales.  El seguimiento de la implementación de los controles de seguridad informática, dependiendo de la complejidad de implementación, se efectuará mediante los instrumentos de gestión de proyectos tecnológicos o el cronograma respectivo de implementación.  La periodicidad de la actualización del Plan de Implementación de Controles de Seguridad Informática dependerá de la frecuencia con que se reciban los disparadores del proceso y cada vez que el Subproceso de Monitoreo de la Implementación del Plan de Seguridad Informática emita informes de incidencias.  La socialización del Plan de Implementación de Controles de Seguridad Informática y sus actualizaciones, se efectuará formalmente mediante memorando interno, la información se publicará en el Sistema Documental Alfresco.  El Coordinador General de Tecnologías de Información y Comunicación será responsable de la aprobación del Plan de Implementación de Controles de Seguridad Informática.  El Plan de Tratamiento de Riesgos Tecnológicos definirá controles ISO para los componentes informáticos asociados a cada control informático requerido por el Plan Director de Seguridad de la Información.  El Equipo de Gestión de Riesgos Tecnológicos será conformado por un Líder de Equipo de la Dirección de gobernanza de TI e Innovación y al menos un técnico de cada unidad de la Coordinación General de Tecnologías de Información y Comunicación con conocimientos afines al control analizado.  La formalización de los equipos de trabajo se efectuará mediante acta suscrita por el Coordinador de General de Tecnologías de Información y Comunicación, el Director de Gobernanza de TI e Innovación y el Director de Soluciones Tecnológicas y/o el Director de Infraestructura y Operaciones, según la proveniencia de los recursos involucrados.
  • 11. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 11 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  El seguimiento para la ejecución del proceso se efectuará mediante el cronograma respectivo.  La periodicidad de la actualización del Plan de Tratamiento de Riesgos Tecnológicos dependerá de la frecuencia con que se reciban los disparadores del proceso.  El Plan de Tratamiento de Riesgos Tecnológicos y sus actualizaciones, será aprobado por el Coordinador General de Tecnologías de la Información y Comunicación.
  • 12. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 12 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 3.3. DIAGRAMA DE FLUJO DEL SUBPROCESO PLANIFICACIÓN PARA DE CONTROLES DE SEGURIDAD INFORMÁTICA.
  • 13. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 13 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 3.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO PLANIFICACIÓN DE CONTROLES DE SEGURIDAD INFORMÁTICA. # Actividad Descripción Responsable Documentos generados 1 Revisar entradas del proceso y elaborar informe , plan de trabajo para la actualización del Plan de Seguridad Informática Se revisará de manera detallada la documentación que sustenta el inicio de la gestión o actualización del Plan de Seguridad Informática, la documentación inicial a considerar para esta actividad es el Plan Director de Seguridad de la Información, plan de seguridad informática histórico, reportes de análisis de monitoreo de la plataforma, análisis ethical hacking, leyes, reglamentos, normas, eventos e incidentes de seguridad informática. Se definirá el equipo de trabajo para revisar los requerimientos y plan de trabajo. En esta epata se debe estipular las estrategias para la implementación, recursos a ser usados( tecnológicos y no tecnológicos), cronogramas Director de Gobernanza de TI e Innovación Informe y plan de trabajo para la actualización Plan de Seguridad Informática, propuesta. 2 Establecer el alcance. y contexto de análisis Se analizará los aspectos internos y externos a fin de determinar el alcance y las limitaciones existentes para la gestión del Plan de Tratamiento de Riesgos Tecnológicos. Equipo de Gestión de Riesgos Tecnológicos Definición de alcance. 3 Identificar y evaluar los riesgos tecnológicos Se efectuará el reconocimiento y análisis de los elementos activos de información tecnológica crítica, amenazas, vulnerabilidades, controles existentes, consecuencias, entre otros, midiendo el impacto y la probabilidad de ocurrencia de cada problema de TI en los servicios de la institución para el cálculo o Equipo de Gestión de Riesgos Tecnológicos Informe de contexto de análisis, Propuesta Plan de Tratamiento de Riesgos Tecnológicos
  • 14. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 14 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados evaluación del impacto; se incluirá las consecuencias y la priorización del tratamiento de los riesgos. 4 Proponer los controles técnicos por cada riesgo Definir controles técnicos por componente tecnológico para cada riesgo incluido en el informe de tratamiento de riesgos tecnológicos, de tal forma que permitan atender la recomendación de implementación de controles tecnológicos emitidos por el Plan Director de Seguridad de la Información. Equipo de Gestión de Seguridad Informática Matriz de riesgos tecnológicos priorizados y definición de controles tecnológicos. 5 Definir los controles por riesgo tecnológico y realizar correcciones Se definirá y priorizará los controles ISO que permitan gestionar cada riesgo Equipo de Gestión de Riesgos Tecnológicos Declaración de Aplicabilidad – SoA 6 Elaborar o Corregir el plan de Tratamiento de Riesgos Tecnológicos Elaborar el plan de Tratamiento de Riesgos Tecnológicos, con los controles establecidos y proyectos de implementación de los mismos. Equipo de Gestión de Riesgos Tecnológicos Plan de Tratamiento de Riesgos Tecnológicos propuesto. 7 Revisar integralmente el Plan de Tratamiento de Riesgos Tecnológicos propuesto Se realizar el Tratamiento de Riesgos Tecnológicos desarrollado por el Equipo de Gestión de Riesgos Tecnológicos. ¿Está correcto? SI: Actividad 6 NO: Actividad 8 Director de Gobernanza de TI e Innovación Avance del Plan de Tratamiento de Riesgos Tecnológicos propuesto, Matriz tecnológicas priorizados, Definiciones de controles ISO 8 Aprobar el Plan de Tratamiento de Riesgos Tecnológicos y publicar en el gestor documental Alfresco. Se aprobará el Plan de Tratamiento de Riesgos Tecnológicos. Una vez que esté aprobado se entrega la matriz de riesgos actualizada al equipo de seguridad informática y se publica en el gestor documental Alfresco. ¿Se aprueba? SI: Actividad 9 NO: Actividad 7 Coordinador General de Tecnologías de Información y Comunicación Plan de Tratamiento de Riesgos Tecnológicos aprobado 9 Elaborar y/o El Equipo de Gestión de Equipo de Avance del Plan de
  • 15. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 15 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados corregir el Plan de Seguridad Informática propuesto Seguridad Informática elabora el Plan de Seguridad Informática, tomando como insumo el Plan de Tratamiento de Riesgo Tecnológicos aprobado, adicionalmente en este plan se debe definir y actualizar las políticas (específicas, operativas, entre otras.)objetivos y alcance de la seguridad informática Gestión de Seguridad Informática Seguridad Informática, matriz de controles 10 Autorizar el Plan de Seguridad informática propuesto Se autorizará el Plan de Seguridad Informática propuesto. ¿Está correcto? SI: Actividad 11 NO: Actividad 9. Director de Gobernanza de TI e Innovación Plan de Seguridad Informática revisado. 11 Revisar el Plan de Seguridad Informática Revisa el Plan de Seguridad Informática, actualizado. ¿Se aprueba? SI: Actividad 12 NO: Actividad 9 Coordinador General de Tecnologías de Información y Comunicación Plan de Seguridad Informática propuesto 12 Aprobar suscribir el Plan de Seguridad Informática El Comité de Tecnologías de Información y Comunicación, aprueba el Plan de Seguridad Informática, ¿Se aprueba? SI: FIN NO: Actividad 11 Comité de Tecnologías de Información y Comunicación Plan de Seguridad Informática aprobado
  • 16. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 16 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 4. DESCRIPCIÓN DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA 4.1. FICHA DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA Descripción: DISPARADOR: Necesidad de implementar los controles definidos en Plan de Implementación de Controles de Seguridad Informática. ENTRADAS:  Plan de Implementación de Controles de Seguridad Informática.  Informes de monitoreo por aplicación de controles de seguridad informática. Productos/Servicios del proceso:  Políticas, estándares y marcos de referencia para el gobierno de TI.  Informes de la ejecución del Aseguramiento de Calidad y Seguridad Informática. 4.2. NORMAS ESPECÍFICAS DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA.  La aprobación y actualizaciones del Plan de Implementación de Controles de Seguridad Informática, sustenta el inicio de la Implementación del Plan de Seguridad Informática, el cual contiene los controles técnicos priorizados a ser implementados en los activos informáticos en base al análisis de riesgos tecnológicos.  El Equipo de Gestión de Seguridad Informática será conformado por un Líder de Equipo de la Dirección de Gobernanza de TI e Innovación y al menos un técnico de cada unidad de la Coordinación General de Tecnologías de Información y Comunicación con conocimientos afines al control a ser implementado.  La formalización de los equipos de trabajo se efectuará mediante acta suscrita por el Coordinador de General de Tecnologías de Información y Comunicación, el Director de Gobernanza de TI e Innovación y el Director de Soluciones Tecnológicas y/o el Director de Infraestructura y Operaciones, según la proveniencia de los recursos involucrados.  El seguimiento y aplicación de controles de seguridad informática se controlará mediante el Plan de Trabajo para Implementación de la Planificación de Seguridad Informática que incluye el cronograma de trabajo.
  • 17. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 17 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  La implementación de controles de seguridad informática se registrará en la Matriz de Controles de Seguridad Informática, la cual será alimentada por el Equipo de Gestión de Seguridad Informática bajo la supervisión del Director de Gobernanza de TI e Innovación, incluirá información referencial a su operación, así como la definición de indicadores de alerta.  La Matriz de Controles de Seguridad Informática, será comunicada formalmente al responsable del Plan Director de Seguridad de Información, cada vez que se implemente un control programado, esta matriz será publicada en el servidor documental Alfresco con la autorización del Director de Gobernanza de TI e Innovación.
  • 18. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 18 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 4.3. DIGRAMA DE FLUJO DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA.
  • 19. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 19 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 4.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO DE IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA # Actividad Descripción Responsable Documentos generados 1 Disponer la ejecución del Plan de Implementación de Control de Seguridad Informática Se emitirá los lineamientos para ejecución del Plan de Implementación de Control de Seguridad Informática, dirigido al Director de Gobernanza de TI e Innovación. Coordinador General de Tecnologías de Información y Comunicación Memorando 2 Definir el Plan de trabajo para implementación de la Planificación de Seguridad Informática y equipo de trabajo. Se revisará de manera detallada los controles, prioridades establecidas en el Subproceso Planificación de Controles de Seguridad informática para determinar el plan de trabajo tomando en cuenta cronogramas de implementación, recursos tecnológicas, no tecnológicos y definir el equipo de trabajo, con la participación del Director de Gobernanza de TI e Innovación, Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones. Director de Gobernanza de TI e Innovación Plan de Trabajo y Matriz de Controles de Seguridad Informática a aplicar 3 Revisar y aprobar el plan de trabajo, cronograma y Matriz de controles a aplicar. Se presentará el Plan de Trabajo y Matriz de Controles a aplicar para aprobación del Coordinador General de Tecnologías de Información y Comunicación, con la participación del Director de Gobernanza de TI e Innovación, Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones. ¿Aprueba? SI: Actividad 4 NO: Actividad 2. Coordinador General de Tecnologías de Información y Comunicación Acta / Plan de Trabajo y Matriz de Controles de Seguridad Informática aprobados 4 Comunicar y socializar matriz de cumplimiento y cronograma de Se efectuará la comunicación formal de la matriz de cumplimiento y cronograma de trabajo al Equipo de Trabajo con la participación Director de Gobernanza de TI e Innovación Acta de reunión y memorando con los controles a aplicar por cada Dirección.
  • 20. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 20 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados trabajo del Director de Gobernanza de TI e Innovación, Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones. 5 Implementar controles de seguridad informática Se implementará los controles de seguridad informática bajo el plan de trabajo aprobado según la disponibilidad de recursos, esta actividad estará a cargo del Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones. Director de Soluciones Tecnológicas y el Director de Infraestructura y Operaciones Informes de avance 6 Seguimiento del avance de implementación de controles de seguridad informática Se efectuará el seguimiento del avance de la implementación de controles de seguridad informática. ¿Implementación satisfactoria? SI: Actividad 7 NO: Actividad 5 Equipo de Gestión de Seguridad Informática Informe de seguimiento 7 Actualizar la matriz de cumplimiento de controles de seguridad informática Se procederá con la actualización de la matriz de cumplimiento de controles respecto de la implementación efectuada para cada control. Equipo de Gestión de Seguridad Informática Matriz de Controles de Seguridad Informática actualizada 8 Revisar actualización de los controles de seguridad informática Se revisará la implementación de cada control de seguridad informática para aprobación del Coordinador General de Tecnologías de Información y Comunicación ¿Aprueba? SI: Actividad 9 NO: Actividad 5. Director de Gobernanza de TI e Innovación Matriz de Controles de Seguridad Informática 9 Aprobar la actualización de los controles de seguridad informática El Coordinador General de Tecnologías de Información y Comunicación revisa la Matriz de Controles de Seguridad Informática para publicar el cumplimiento de actualización. ¿Aprueba? SI: Actividad 10 NO: Actividad 8 Coordinador General de Tecnologías de Información y Comunicación Matriz de Controles de Seguridad Informática, aprobación de controles implementados 10 Publicar matriz de cumplimiento Se procederá con la publicación de la Matriz de Director de Gobernanza de Publicación de la Matriz de
  • 21. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 21 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados actualizada Controles de Seguridad Informática actualizada, en el Servidor Documental Alfresco para uso interno TI e Innovación Controles de Seguridad Informática, actualizada Subproceso Monitoreo de la Implementación de Plan de Seguridad Informática Director de Gobernanza de TI e Innovación 5. DESCRIPCIÓN DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA 5.1. FICHA DEL SUBPROCESO Descripción: DISPARADOR:  Necesidad de establecer la vigencia y efectividad de la implementación de los controles de seguridad informática.  La ejecución de este subproceso es permanente para cada control implementado por recurso tecnológico, finalizará únicamente cuando el recurso sea cambiado o eliminado del inventario tecnológico. ENTRADAS:  Plan de Implementación de Controles de Seguridad Informática. Productos/Servicios del proceso:  Informes de la ejecución del aseguramiento de calidad y seguridad informática. 5.2. NORMAS ESPECÍFICAS DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA  Una vez implementados los controles informáticos, serán incluidos en el proceso de monitoreo periódico y continuo para establecer su vigencia y operación adecuada.  El Equipo de Monitoreo de Implementación de Controles de Seguridad Informática será conformado por un Líder de Equipo de la Dirección de Gobernanza de TI e Innovación y al menos un técnico de cada unidad de la Coordinación General de Tecnologías de Información y Comunicación con conocimientos afines al control a ser implementado.
  • 22. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 22 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación  La formalización de los equipos de trabajo se efectuará mediante acta suscrita por el Coordinador de General de Tecnologías de Información y Comunicación, el Director de Gobernanza de TI e Innovación y el Director de Soluciones Tecnológicas y/o el Director de Infraestructura y Operaciones, según la proveniencia de los recursos involucrados.  El Equipo de Trabajo definirá las técnicas de recolección de datos más aplicables para monitorear cada control implementado, así como la periodicidad de su obtención.  La detección de vulnerabilidades de operación de los controles de seguridad informática implementados deberá ser puesta en conocimiento del Director de Gobernanza de TI e Innovación.  La operación anómala verificada de cualquier control implementado, deberá ser notificada por el Director de Gobernanza de TI e Innovación al proceso de Planificación de Controles de Seguridad Informática para que se inicie su revisión técnica.  Los informes generados por el proceso de Monitoreo de Implementación de Controles de Seguridad Informática, serán publicados en el servidor documental Alfresco con la autorización del Director de Gobernanza de TI e Innovación.
  • 23. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 23 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 5.3. DIAGRAMA DE FLUJO DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA
  • 24. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 24 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación 5.4. DESCRIPCIÓN DE ACTIVIDADES DEL SUBPROCESO DE MONITOREO DE LA IMPLEMENTACIÓN DEL PLAN DE SEGURIDAD INFORMÁTICA. # Actividad Descripción Responsable Documentos generados 1 Autorizar el monitoreo de controles implementados. Se establecerán responsabilidades, periodicidad, herramientas, indicadores, estadísticas, métricas de monitoreo. Director de Gobernanza de TI e Innovación Plan de monitoreo 2 Definir y ejecutar las técnicas de recolección de datos Se definirán las técnicas de recolección de datos para construir o seleccionar los instrumentos que permitan obtener datos del recurso monitoreado. Equipo de monitoreo de implementación de controles de seguridad informática Informe de técnicas de recolección 3 Realizar la observación, medición e interpretación de datos Se efectuará la observación, medición e interpretación de los datos observados. Mediante indicadores, métricas. Equipo de monitoreo de implementación de controles de seguridad informática Informe de registro de datos 4 Identificar vulnerabilidades Se identificarán vulnerabilidades o deficiencias de la operación de los controles de seguridad implementados, estableciendo el nivel de afectación en la operación del recurso tecnológico, incluye recomendaciones. ¿Vulnerabilidad alta? SI: Actividad 5 NO: Actividad 3 Equipo de monitoreo de implementación de controles de seguridad informática Informe propuesto de monitoreo por aplicación de controles de seguridad informática por recurso tecnológico 5 Aprobar y enviar el informe de monitoreo del recurso Se aprobará y enviará el informe de monitoreo del recurso para la aplicación de acciones correctivas en el Subproceso del Planificación de Controles de Seguridad Informática. ¿Aprueba? SI: Subproceso del Planificación de Controles de Seguridad Informática NO: Actividad 4 Director de Gobernanza de TI e Innovación Informe aprobado de monitoreo por aplicación de controles de seguridad informática por recurso tecnológico Subproceso Planificación de Controles de Seguridad Informática 6 Monitorear continuamente Se efectuará el monitoreo periódico de los controles Equipo de Gestión de Informes de la ejecución del
  • 25. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 25 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación # Actividad Descripción Responsable Documentos generados de controles implementados. implementados, incluye métricas vulnerabilidades. ¿Existen novedades? SI: Actividad 2 NO: (FIN) Seguridad Informática aseguramiento de calidad y seguridad informática aprobado. 6. INDICADORES DE GESTIÓN DEL PROCESO GESTION DE LA SEGURIDAD INFORMATICA. Los indicadores se encuentran descritos como anexos en el formato F-GPP-01 - Fichas de Indicadores de Procesos. 7. TÉRMINOS Y DEFINICIONES Controles de Seguridad Informática: Establece las acciones técnicas implementadas en la infraestructura tecnológica y sistemas de información orientadas a mantener niveles aceptados de confidencialidad, integridad y disponibilidad aceptados por la organización. Ethical hacking: Comprende la ejecución de pruebas de penetración, pruebas de intrusión o equipo rojo, con la finalidad de localizar debilidades y vulnerabilidades de los servicios informáticos y la infraestructura tecnológica sobre la cual operan mediante la duplicación de la intención y las acciones de ataques informáticos. ISO: Organización Internacional de Estandarización. PAC: Plan Anual de Contratación. PEI: Plan Estratégico Institucional. PETI: Plan Estratégico Tecnológico. 8. LISTADO DE DOCUMENTOS YANEXOS. 8.1. DOCUMENTOS. Código Nombre del documento Ubicación Física Ubicación Digital F-GSI-1 Plan de Implementaci ón de Controles de Seguridad Informática Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática F-GSI-2 Plan de Riesgos Servidor documental: Documentos> C.G.T> GCS> Seguridad
  • 26. MANUAL MAN-GTI-GSI-13- Gestión de Seguridad Informática 26 Dirección de Gobernanza de TI e Innovación Coordinación General de Tecnologías de Información y Comunicación Tecnológicos Informática F-GSI -3 Matriz de Controles de Seguridad Informática Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática F-GSI -4 Plan de trabajo Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática F-GSI -5 Plan de monitoreo Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática F-GSI -6 Informes técnicos Servidor documental: Documentos> C.G.T> GCS> Seguridad Informática 8.2. ANEXOS N/A