SlideShare una empresa de Scribd logo

OFIN: Proyecto seguridad del producto software

Jack Daniel Cáceres Meza
Jack Daniel Cáceres Meza

Este documento establece la norma de seguridad para productos de software del Ministerio de Educación. Detalla las responsabilidades, normas consultadas, definiciones clave, condiciones generales y específicas, y el procedimiento para evaluar la seguridad de un producto de software. El objetivo es asegurar que los productos de software cumplan con los requisitos mínimos de seguridad de la información de la institución.

Empresariales
1 de 10
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 1 de 10 Norma de Seguridad del Producto Software
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 2 de 10 Identificación del documento Historial de cambios Rol Nombre Cargo Fecha Firma Elaboración Elia Muñoz Responsable del Equipo de Calidad 05/07/2013 Revisión Elia Muñoz Responsable del Equipo de Calidad 15/11/2013 Revisión Jack Cáceres Responsable del Área de Calidad, Seguridad de la Información y PIP 15/11/2013 Revisión Grover Cerquera Jefe del Área de Operaciones Aprobación Sandro Marcone Jefe de OFIN Versión Autor Descripción Fecha V 1.0 Elia Muñoz Documento original 05/07/2013 V 1.1 Jack Cáceres Actualización técnica 18/11/2013 V 1.2
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 3 de 10 Tabla de contenido 1 OBJETIVO............................................................................................................................... 4 2 ALCANCE................................................................................................................................ 4 3 RESPONSABILIDADES............................................................................................................. 4 4 NORMAS CONSULTADAS....................................................................................................... 4 5 DEFINICIONES........................................................................................................................ 5 6 CONDICIONES GENERALES..................................................................................................... 7 7 CONDICIONES ESPECÍFICAS.................................................................................................... 9 8 DESCRIPCION DEL PROCEDIMIENTO...................................................................................... 9 9 FORMATOS.......................................................................................................................... 10 10 ANEXOS ............................................................................................................................... 10
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 4 de 10 1 OBJETIVO Normar las actividades necesarias para asegurar que el producto software a implementarse en el Ministerio de Educación cuentecon las condiciones mínimasde seguridad lógica establecidas por la institución. 2 ALCANCE Incluye el producto software resultante de un proyecto, cuyo desarrollo ha sido realizado con recursos propios o ha sido encargado a terceros. Incluye el producto software sujeto a mantenimiento, y que ha sido realizado con recursos propios o por terceros. 3 RESPONSABILIDADES El equipo comprometido con la seguridad del producto software es el siguiente: • Gestor de Soluciones TIC: Promueve reuniones y participa en ellas, elabora las actas de reunión sobre los acuerdos tomados. Estarán informados acerca del avance del proyecto. Informan al líder usuario sobre la evaluación del aseguramiento y control de calidad y de la evaluación de seguridad del producto software que OFIN realizará. • Responsable de Desarrollo: Tiene a su cargo a los gestores de proyectos. Es responsable de controlar, cumplir y hacer cumplir las normas institucionales en cuanto al mantenimiento, desarrollo y seguridad del producto software. • Gestor de Proyecto: Es el responsable del proyecto. Tiene a su cargo al Analista Funcional, Líder Técnico, Programador. Es responsable de cumplir y hacer cumplir la norma. • Especialista de Seguridad de la Información: Valida que las condiciones de seguridad mínimas establecidas por la institución hayan sido incorporadas en el mantenimiento o desarrollo del producto software. 4 NORMAS CONSULTADAS RM Nº 246-2007-PCM, aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 5 de 10 la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática. RM Nº 129-2012-PCM, aprueban el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos” en todas las entidades integrantes del Sistema Nacional de Informática. NTP ISO 9000 2007 Sistemas de gestión de la calidad. Fundamentos y vocabulario. NTP ISO 9001:2009 Sistemas de gestión de la calidad. Requisitos. 5 DEFINICIONES Auditoría Una auditoría es un proceso sistémico, crítico, cuantitativo y detallista, basado en la evidencia, y realizado por un tercero, competente, distinto y sin relación con quien preparó o se relaciona con la información motivo de la auditoría, y que tampoco tiene relación directa con la información que se audita. Este proceso es necesario para determinar la autenticidad, integridad y calidad de la información que se produce, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidos. El objetivo de la auditoría es garantizar objetividad e imparcialidad durante el proceso. Es evitar que el auditor sea juez y parte en cuanto a la evaluación que se realiza ya que contraviene toda recomendación moderna de auditoría y buena práctica operativa. Requisito La ISO 9000 distingue entre requisitos para los sistemas de gestión de la calidad y requisitos para los productos. Los requisitos para los sistemas de gestión de la calidad se especifican en la norma ISO 9001. Los requisitos para los sistemas de gestión de la calidad son genéricos y aplicables a organizacionesdecualquiersector económico eindustrialcon dependencia de la categoría del producto ofrecido. La norma ISO 9001 no establece requisitos para los productos.
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 6 de 10 Los requisitos para los productos pueden ser especificados por los clientes, por la organización anticipándose a los requisitos del cliente, o por disposiciones reglamentarias. Los requisitos para los productos y, en algunos casos, los procesos asociados pueden estar contenidos en, por ejemplo: especificaciones técnicas, normas de producto, normas de proceso, acuerdos contractuales y requisitos reglamentarios. Según INTECO: un requisito es una condición o capacidad necesitada por un usuario para solucionar un problema o conseguir un objetivo que debe ser satisfecho o poseído por un sistema o un componente de un sistema para satisfacer un contrato, estándar, especificación u otro tipo de documento. Un requisito es parte del diseño del servicio. Es una declaración formal de lo que se necesita. Por ejemplo, un requisito de nivel de servicio, un requisito de proyecto o de los servicios a prestar que se requiere para un proceso. (ITIL® V3 Glosario v2.1, 30 de mayo del 2007). En este contexto, la seguridad de la información es un requisito que debe estar incorporado en el producto software, desde su concepción. Seguridad de la información La seguridad de la información implica "Preservar la confidencialidad, integridad y disponibilidad de la información; además, también pueden ser involucradas otras características como autenticación, responsabilidad, no-repudio y fiabilidad". [ISO/IEC 17799:2005] Según la ISO/IEC 13335-1:2004, norma que trata los conceptos y modelos para la gestión de la seguridad de las tecnologías de la información y comunicaciones: • La disponibilidad implica "Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario". • La confidencialidad implica "Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado". • La integridad implica "Salvaguardar la exactitud e integridad de la información y activos asociados".
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 7 de 10 6 CONDICIONES GENERALES La evaluación a realizar debe ser de conocimiento previo del propietario del producto software o líder usuario. El Comité de Proyectos (PMO, o la organización que cumpla este cometido o alguien que haga sus veces) deberá informar sobre los requerimientos de Proyectos que se desarrollarán con el fin de planificar la asignación del personal que estará a cargo de la Seguridad de la Información. El Gestor de Soluciones TIC o el Gestor del Proyecto deben concientizar al usuario que solicitó el desarrollo del proyecto a cerca de la propiedad de los activos de información. Según el control A.7.1.2 de la NTP ISO/IEC 27001:2008, la propiedad de los activos está descrita como sigue: La aplicabilidad del Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información dependerá, tanto de la envergadura del desarrollo o mantenimiento del producto software, como de su condición de haber sido desarrollado por OFIN o por terceros. La conducción de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información tiene carácter de auditoría interna. La auditoría interna se realiza en cumplimiento de la cláusula 6 de la NTP ISO/IEC 27001:2008:
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 8 de 10 Laspruebascontenidas en dicha lista de chequeo buscan verificarelcumplimiento delproducto software evaluado teniendo como referencia la norma técnica peruana NTP ISO/IEC 27001:2008. • "La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización [ISO/IEC 13335-1:2004] y requiere en consecuencia una protección adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios. Como resultado de esta creciente interconectividad, la información está expuesta a un mayor rango de amenazas y vulnerabilidades. • La información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 9 de 10 • La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio [enfoque social]. • La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software y hardware. • Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización". [RM Nº 246-2007-PCM: Uso obligatorio de la NTP ISO/IEC 17799:2007]. 7 CONDICIONES ESPECÍFICAS Durante la ejecución de las pruebas el Especialista en Seguridad de la Información actúa como Auditor Interno. El Especialista en Seguridad de la Información supervisará la ejecución de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información, y certificará los resultados obtenidos. La responsabilidad por la ejecución de las pruebas es del usuario o del especialista a quien se ha delegado la tarea. El Especialista en Seguridad de la Información anota el resultado obtenido (CONFORME / NO CONFORME) en la misma lista de chequeo. Todos los participantes en las pruebas firman la lista de chequeo. El Especialista en Seguridad de la Información emite el informe correspondiente con el detalle de los resultados obtenidos. 8 DESCRIPCION DEL PROCEDIMIENTO N° ACCIÓN RESPONSABLE 1 Ejecutar las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información Usuario o especialista responsabilizado
TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 10 de 10 N° ACCIÓN RESPONSABLE 2 Supervisar la ejecución de las pruebas Especialista en Seguridad de la Información 3 Anotar los resultados de la ejecución en la lista de chequeo: CONFORME o NO CONFORME Especialista en Seguridad de la Información 4 Firmar la lista de chequeo Todos los participantes en las pruebas 5 Emitir el informe correspondiente con el detalle de los resultados obtenidos Especialista en Seguridad de la Información 9 FORMATOS Ninguno. 10 ANEXOS  CheckList de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información

Recomendados

Norma de proyecto en calidad
Norma de proyecto en calidadNorma de proyecto en calidad
Norma de proyecto en calidadJack Daniel Cáceres Meza
 
Norma de Calidad de Mantenimiento al Software Aplicativo
Norma de Calidad de Mantenimiento al Software AplicativoNorma de Calidad de Mantenimiento al Software Aplicativo
Norma de Calidad de Mantenimiento al Software AplicativoJack Daniel Cáceres Meza
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Ramiro Cid
 
OFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareOFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareJack Daniel Cáceres Meza
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaJavier Tallón
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionAndres_84
 
Adquisición e Implementación
Adquisición e ImplementaciónAdquisición e Implementación
Adquisición e ImplementaciónPAMELA085IMBA
 
Implantación y mantenimiento de sistemas ISO con AGGIL SaaS
Implantación y mantenimiento de sistemas ISO con AGGIL SaaSImplantación y mantenimiento de sistemas ISO con AGGIL SaaS
Implantación y mantenimiento de sistemas ISO con AGGIL SaaSJuan Carlos Lopez
 

Recomendados

Norma de proyecto en calidad
Norma de proyecto en calidadNorma de proyecto en calidad
Norma de proyecto en calidadJack Daniel Cáceres Meza
 
Norma de Calidad de Mantenimiento al Software Aplicativo
Norma de Calidad de Mantenimiento al Software AplicativoNorma de Calidad de Mantenimiento al Software Aplicativo
Norma de Calidad de Mantenimiento al Software AplicativoJack Daniel Cáceres Meza
 
Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Lista de controles ISO/IEC 27001:2005
Lista de controles ISO/IEC 27001:2005Ramiro Cid
 
OFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareOFIN: Prroceso verificación de la calidad y seguridad del producto software
OFIN: Prroceso verificación de la calidad y seguridad del producto softwareJack Daniel Cáceres Meza
 
Introducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaIntroducción a la certificación Common Criteria
Introducción a la certificación Common CriteriaJavier Tallón
 
Adquisicion e implementacion
Adquisicion e implementacionAdquisicion e implementacion
Adquisicion e implementacionAndres_84
 
Adquisición e Implementación
Adquisición e ImplementaciónAdquisición e Implementación
Adquisición e ImplementaciónPAMELA085IMBA
 
Implantación y mantenimiento de sistemas ISO con AGGIL SaaS
Implantación y mantenimiento de sistemas ISO con AGGIL SaaSImplantación y mantenimiento de sistemas ISO con AGGIL SaaS
Implantación y mantenimiento de sistemas ISO con AGGIL SaaSJuan Carlos Lopez
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR cproano
 
Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Luis Enrique Castillo Leon
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwarePedro Garcia Repetto
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031Maricarmen García de Ureña
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobitjulioandres55
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjslMariaSalazarLopez
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...AGESTIC - Asociación Gallega Empresas TIC
 
Sqa ejemplo
Sqa ejemploSqa ejemplo
Sqa ejemploJose Limon
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicionHéctor Ardón Morga
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - IngertecGrupo Ingertec
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaPedro Garcia Repetto
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudioJonathan Imbaquingo Castillo
 
Norma tecnica peruana grupo paty
Norma tecnica peruana grupo patyNorma tecnica peruana grupo paty
Norma tecnica peruana grupo patygequito
 
Tecnicas de calidad del SQA
Tecnicas de calidad del SQATecnicas de calidad del SQA
Tecnicas de calidad del SQABoxcarpilot
 
aseguramiento de la calidad de software acs
aseguramiento de la calidad de software acsaseguramiento de la calidad de software acs
aseguramiento de la calidad de software acsMARCO POLO SILVA SEGOVIA
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.NYCE
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceFabián Descalzo
 
AI08 Auditoria producto software
AI08 Auditoria producto softwareAI08 Auditoria producto software
AI08 Auditoria producto softwarePedro Garcia Repetto
 

Más contenido relacionado

La actualidad más candente

Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR cproano
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwarePedro Garcia Repetto
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoManuel Medina
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobitjulioandres55
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjslMariaSalazarLopez
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...AGESTIC - Asociación Gallega Empresas TIC
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaPedro Garcia Repetto
 
Norma tecnica peruana grupo paty
Norma tecnica peruana grupo patyNorma tecnica peruana grupo paty
Norma tecnica peruana grupo patygequito
 
Tecnicas de calidad del SQA
Tecnicas de calidad del SQATecnicas de calidad del SQA
Tecnicas de calidad del SQABoxcarpilot
 
aseguramiento de la calidad de software acs
aseguramiento de la calidad de software acsaseguramiento de la calidad de software acs
aseguramiento de la calidad de software acsMARCO POLO SILVA SEGOVIA
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.NYCE
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 

La actualidad más candente (20)

Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
 
COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR COBIT-ADQUIRIR E IMPLEMENTAR
COBIT-ADQUIRIR E IMPLEMENTAR
 
Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Adquirir Implementar Cobit4
Adquirir Implementar Cobit4
 
AI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo softwareAI07 Auditoria proceso desarrollo software
AI07 Auditoria proceso desarrollo software
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Capitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practicoCapitulo 14,15,17. Auditoria informatica un enfoque practico
Capitulo 14,15,17. Auditoria informatica un enfoque practico
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Adquisicion e implementacion cobit
Adquisicion e implementacion cobitAdquisicion e implementacion cobit
Adquisicion e implementacion cobit
 
Adquisicion e implementacion mjsl
Adquisicion e implementacion mjslAdquisicion e implementacion mjsl
Adquisicion e implementacion mjsl
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
 
Sqa ejemplo
Sqa ejemploSqa ejemplo
Sqa ejemplo
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicion
 
Tisax - Ingertec
Tisax - IngertecTisax - Ingertec
Tisax - Ingertec
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria Informatica
 
Casos de estudio
Casos de estudioCasos de estudio
Casos de estudio
 
Norma tecnica peruana grupo paty
Norma tecnica peruana grupo patyNorma tecnica peruana grupo paty
Norma tecnica peruana grupo paty
 
Tecnicas de calidad del SQA
Tecnicas de calidad del SQATecnicas de calidad del SQA
Tecnicas de calidad del SQA
 
aseguramiento de la calidad de software acs
aseguramiento de la calidad de software acsaseguramiento de la calidad de software acs
aseguramiento de la calidad de software acs
 
Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.Experiencia NYCE S.C. en servicios de T.I.
Experiencia NYCE S.C. en servicios de T.I.
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 

Similar a OFIN: Proyecto seguridad del producto software

Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceFabián Descalzo
 
AF3-Investigación sobre SQA V1.docx
AF3-Investigación sobre SQA V1.docxAF3-Investigación sobre SQA V1.docx
AF3-Investigación sobre SQA V1.docxErickdowski9Gamer
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Xiva Sandoval
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxAriadneJaen1
 
Calidad del software
Calidad del softwareCalidad del software
Calidad del softwarejabal14
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidadEQ SOFT EIRL
 
Guia practica de_gestion_de_configuracion
Guia practica de_gestion_de_configuracionGuia practica de_gestion_de_configuracion
Guia practica de_gestion_de_configuracionChristian Taipe Ramos
 
Calidad de software alex
Calidad de software alexCalidad de software alex
Calidad de software alexAlexander Ortis
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software3134267271
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITDimitri Villamar
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Claudis Muñoz
 
Trabajo final sistemas de calidad
Trabajo final sistemas de calidadTrabajo final sistemas de calidad
Trabajo final sistemas de calidadOmar Hernandez
 

Similar a OFIN: Proyecto seguridad del producto software (20)

Cierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y complianceCierre de proyectos desde seguridad de la información y compliance
Cierre de proyectos desde seguridad de la información y compliance
 
AI08 Auditoria producto software
AI08 Auditoria producto softwareAI08 Auditoria producto software
AI08 Auditoria producto software
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
AF3-Investigación sobre SQA V1.docx
AF3-Investigación sobre SQA V1.docxAF3-Investigación sobre SQA V1.docx
AF3-Investigación sobre SQA V1.docx
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
Calidad de Software
Calidad de SoftwareCalidad de Software
Calidad de Software
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Unidad1_EMDS.pptx
Unidad1_EMDS.pptxUnidad1_EMDS.pptx
Unidad1_EMDS.pptx
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
Marco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptxMarco NIST vs ISO 2700-22.pptx
Marco NIST vs ISO 2700-22.pptx
 
Calidad del software
Calidad del softwareCalidad del software
Calidad del software
 
Estandares ieee
Estandares ieeeEstandares ieee
Estandares ieee
 
Desarrollando software de calidad
Desarrollando software de calidadDesarrollando software de calidad
Desarrollando software de calidad
 
Guia practica de_gestion_de_configuracion
Guia practica de_gestion_de_configuracionGuia practica de_gestion_de_configuracion
Guia practica de_gestion_de_configuracion
 
Calidad de software alex
Calidad de software alexCalidad de software alex
Calidad de software alex
 
Calidad de software
Calidad de softwareCalidad de software
Calidad de software
 
Objetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBITObjetivos de control para la infomación - COBIT
Objetivos de control para la infomación - COBIT
 
Estandares trabajo final unidad 2
Estandares trabajo final unidad 2Estandares trabajo final unidad 2
Estandares trabajo final unidad 2
 
Administracion seguridad
Administracion seguridadAdministracion seguridad
Administracion seguridad
 
Trabajo final sistemas de calidad
Trabajo final sistemas de calidadTrabajo final sistemas de calidad
Trabajo final sistemas de calidad
 

Más de Jack Daniel Cáceres Meza

MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINJack Daniel Cáceres Meza
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Jack Daniel Cáceres Meza
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposJack Daniel Cáceres Meza
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosJack Daniel Cáceres Meza
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeJack Daniel Cáceres Meza
 
MINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidoresMINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidoresJack Daniel Cáceres Meza
 

Más de Jack Daniel Cáceres Meza (20)

Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
ITIL® SLC Fundamentos
ITIL® SLC FundamentosITIL® SLC Fundamentos
ITIL® SLC Fundamentos
 
Ciclo de vida de un servicio de TI
Ciclo de vida de un servicio de TICiclo de vida de un servicio de TI
Ciclo de vida de un servicio de TI
 
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
 
Producto alcance política-v2
Producto alcance política-v2Producto alcance política-v2
Producto alcance política-v2
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
 
Curso: Unixware
Curso: UnixwareCurso: Unixware
Curso: Unixware
 
UPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporteUPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporte
 
UPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producciónUPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producción
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuarios
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -ppt
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informe
 
OFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma ColaboradoresOFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma Colaboradores
 
MINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidoresMINEDU: PIP solución integral componente 01 servidores
MINEDU: PIP solución integral componente 01 servidores
 

Último

Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasmaicholfc
 
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-ComunicacionesIMSA
 
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfJaquelinRamos6
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónlicmarinaglez
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónjesuscub33
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxCONSTRUCTORAEINVERSI3
 
Como Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasComo Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasoscarhernandez98241
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfguillencuevaadrianal
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Gonzalo Morales Esparza
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónBahamondesOscar
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfPriscilaBermello
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxRENANRODRIGORAMIREZR
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfjesuseleazarcenuh
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHilldanilojaviersantiago
 
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptxPRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptxaramirezc21
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfdanilojaviersantiago
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfConstructiva
 
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesFORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesjvalenciama
 

Último (20)

Buenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en drogueriasBuenas Practicas de Almacenamiento en droguerias
Buenas Practicas de Almacenamiento en droguerias
 
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
Teleconferencia Accionistas Q1 2024 . Primer Trimestre-
 
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdfDELITOS CONTRA LA GESTION PUBLICA PPT.pdf
DELITOS CONTRA LA GESTION PUBLICA PPT.pdf
 
Ejemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociaciónEjemplo Caso: El Juego de la negociación
Ejemplo Caso: El Juego de la negociación
 
ISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarizaciónISO 45001-2018.pdf norma internacional para la estandarización
ISO 45001-2018.pdf norma internacional para la estandarización
 
Efectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptxEfectos del cambio climatico en huanuco.pptx
Efectos del cambio climatico en huanuco.pptx
 
Como Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicasComo Construir Un Modelo De Negocio.pdf nociones basicas
Como Construir Un Modelo De Negocio.pdf nociones basicas
 
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdfADMINISTRACION FINANCIERA CAPITULO 4.pdf
ADMINISTRACION FINANCIERA CAPITULO 4.pdf
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de Gestión
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdf
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
 
cuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdfcuadro sinoptico tipos de organizaci.pdf
cuadro sinoptico tipos de organizaci.pdf
 
Capitulo-6.ppt-gestión del tiempo en pmi
Capitulo-6.ppt-gestión del tiempo en pmiCapitulo-6.ppt-gestión del tiempo en pmi
Capitulo-6.ppt-gestión del tiempo en pmi
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHill
 
Walmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdfWalmectratoresagricolas Trator NH TM7040.pdf
Walmectratoresagricolas Trator NH TM7040.pdf
 
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptxPRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
PRESENTACIÓN EDIFICIOS INDUSTRIALES.pptx
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdf
 
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdfClima-laboral-estrategias-de-medicion-e-book-1.pdf
Clima-laboral-estrategias-de-medicion-e-book-1.pdf
 
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesFORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
 

OFIN: Proyecto seguridad del producto software

  • 1. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 1 de 10 Norma de Seguridad del Producto Software
  • 2. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 2 de 10 Identificación del documento Historial de cambios Rol Nombre Cargo Fecha Firma Elaboración Elia Muñoz Responsable del Equipo de Calidad 05/07/2013 Revisión Elia Muñoz Responsable del Equipo de Calidad 15/11/2013 Revisión Jack Cáceres Responsable del Área de Calidad, Seguridad de la Información y PIP 15/11/2013 Revisión Grover Cerquera Jefe del Área de Operaciones Aprobación Sandro Marcone Jefe de OFIN Versión Autor Descripción Fecha V 1.0 Elia Muñoz Documento original 05/07/2013 V 1.1 Jack Cáceres Actualización técnica 18/11/2013 V 1.2
  • 3. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 3 de 10 Tabla de contenido 1 OBJETIVO............................................................................................................................... 4 2 ALCANCE................................................................................................................................ 4 3 RESPONSABILIDADES............................................................................................................. 4 4 NORMAS CONSULTADAS....................................................................................................... 4 5 DEFINICIONES........................................................................................................................ 5 6 CONDICIONES GENERALES..................................................................................................... 7 7 CONDICIONES ESPECÍFICAS.................................................................................................... 9 8 DESCRIPCION DEL PROCEDIMIENTO...................................................................................... 9 9 FORMATOS.......................................................................................................................... 10 10 ANEXOS ............................................................................................................................... 10
  • 4. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 4 de 10 1 OBJETIVO Normar las actividades necesarias para asegurar que el producto software a implementarse en el Ministerio de Educación cuentecon las condiciones mínimasde seguridad lógica establecidas por la institución. 2 ALCANCE Incluye el producto software resultante de un proyecto, cuyo desarrollo ha sido realizado con recursos propios o ha sido encargado a terceros. Incluye el producto software sujeto a mantenimiento, y que ha sido realizado con recursos propios o por terceros. 3 RESPONSABILIDADES El equipo comprometido con la seguridad del producto software es el siguiente: • Gestor de Soluciones TIC: Promueve reuniones y participa en ellas, elabora las actas de reunión sobre los acuerdos tomados. Estarán informados acerca del avance del proyecto. Informan al líder usuario sobre la evaluación del aseguramiento y control de calidad y de la evaluación de seguridad del producto software que OFIN realizará. • Responsable de Desarrollo: Tiene a su cargo a los gestores de proyectos. Es responsable de controlar, cumplir y hacer cumplir las normas institucionales en cuanto al mantenimiento, desarrollo y seguridad del producto software. • Gestor de Proyecto: Es el responsable del proyecto. Tiene a su cargo al Analista Funcional, Líder Técnico, Programador. Es responsable de cumplir y hacer cumplir la norma. • Especialista de Seguridad de la Información: Valida que las condiciones de seguridad mínimas establecidas por la institución hayan sido incorporadas en el mantenimiento o desarrollo del producto software. 4 NORMAS CONSULTADAS RM Nº 246-2007-PCM, aprueban uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de
  • 5. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 5 de 10 la seguridad de la información. 2a. Edición” en todas las entidades integrantes del Sistema Nacional de Informática. RM Nº 129-2012-PCM, aprueban el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 27001:2008 EDI Tecnología de la Información. Técnicas de seguridad. Sistemas de gestión de seguridad de la Información. Requisitos” en todas las entidades integrantes del Sistema Nacional de Informática. NTP ISO 9000 2007 Sistemas de gestión de la calidad. Fundamentos y vocabulario. NTP ISO 9001:2009 Sistemas de gestión de la calidad. Requisitos. 5 DEFINICIONES Auditoría Una auditoría es un proceso sistémico, crítico, cuantitativo y detallista, basado en la evidencia, y realizado por un tercero, competente, distinto y sin relación con quien preparó o se relaciona con la información motivo de la auditoría, y que tampoco tiene relación directa con la información que se audita. Este proceso es necesario para determinar la autenticidad, integridad y calidad de la información que se produce, con el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuantificable y los criterios establecidos. El objetivo de la auditoría es garantizar objetividad e imparcialidad durante el proceso. Es evitar que el auditor sea juez y parte en cuanto a la evaluación que se realiza ya que contraviene toda recomendación moderna de auditoría y buena práctica operativa. Requisito La ISO 9000 distingue entre requisitos para los sistemas de gestión de la calidad y requisitos para los productos. Los requisitos para los sistemas de gestión de la calidad se especifican en la norma ISO 9001. Los requisitos para los sistemas de gestión de la calidad son genéricos y aplicables a organizacionesdecualquiersector económico eindustrialcon dependencia de la categoría del producto ofrecido. La norma ISO 9001 no establece requisitos para los productos.
  • 6. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 6 de 10 Los requisitos para los productos pueden ser especificados por los clientes, por la organización anticipándose a los requisitos del cliente, o por disposiciones reglamentarias. Los requisitos para los productos y, en algunos casos, los procesos asociados pueden estar contenidos en, por ejemplo: especificaciones técnicas, normas de producto, normas de proceso, acuerdos contractuales y requisitos reglamentarios. Según INTECO: un requisito es una condición o capacidad necesitada por un usuario para solucionar un problema o conseguir un objetivo que debe ser satisfecho o poseído por un sistema o un componente de un sistema para satisfacer un contrato, estándar, especificación u otro tipo de documento. Un requisito es parte del diseño del servicio. Es una declaración formal de lo que se necesita. Por ejemplo, un requisito de nivel de servicio, un requisito de proyecto o de los servicios a prestar que se requiere para un proceso. (ITIL® V3 Glosario v2.1, 30 de mayo del 2007). En este contexto, la seguridad de la información es un requisito que debe estar incorporado en el producto software, desde su concepción. Seguridad de la información La seguridad de la información implica "Preservar la confidencialidad, integridad y disponibilidad de la información; además, también pueden ser involucradas otras características como autenticación, responsabilidad, no-repudio y fiabilidad". [ISO/IEC 17799:2005] Según la ISO/IEC 13335-1:2004, norma que trata los conceptos y modelos para la gestión de la seguridad de las tecnologías de la información y comunicaciones: • La disponibilidad implica "Garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario". • La confidencialidad implica "Garantizar que la información sea accesible únicamente para quienes tengan acceso autorizado". • La integridad implica "Salvaguardar la exactitud e integridad de la información y activos asociados".
  • 7. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 7 de 10 6 CONDICIONES GENERALES La evaluación a realizar debe ser de conocimiento previo del propietario del producto software o líder usuario. El Comité de Proyectos (PMO, o la organización que cumpla este cometido o alguien que haga sus veces) deberá informar sobre los requerimientos de Proyectos que se desarrollarán con el fin de planificar la asignación del personal que estará a cargo de la Seguridad de la Información. El Gestor de Soluciones TIC o el Gestor del Proyecto deben concientizar al usuario que solicitó el desarrollo del proyecto a cerca de la propiedad de los activos de información. Según el control A.7.1.2 de la NTP ISO/IEC 27001:2008, la propiedad de los activos está descrita como sigue: La aplicabilidad del Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información dependerá, tanto de la envergadura del desarrollo o mantenimiento del producto software, como de su condición de haber sido desarrollado por OFIN o por terceros. La conducción de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información tiene carácter de auditoría interna. La auditoría interna se realiza en cumplimiento de la cláusula 6 de la NTP ISO/IEC 27001:2008:
  • 8. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 8 de 10 Laspruebascontenidas en dicha lista de chequeo buscan verificarelcumplimiento delproducto software evaluado teniendo como referencia la norma técnica peruana NTP ISO/IEC 27001:2008. • "La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización [ISO/IEC 13335-1:2004] y requiere en consecuencia una protección adecuada. Esto es muy importante en el creciente ambiente interconectado de negocios. Como resultado de esta creciente interconectividad, la información está expuesta a un mayor rango de amenazas y vulnerabilidades. • La información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
  • 9. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 9 de 10 • La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio [enfoque social]. • La seguridad de la información se consigue implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones de software y hardware. • Estos controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario, para asegurar que se cumplan los objetivos específicos de seguridad y negocios de la organización". [RM Nº 246-2007-PCM: Uso obligatorio de la NTP ISO/IEC 17799:2007]. 7 CONDICIONES ESPECÍFICAS Durante la ejecución de las pruebas el Especialista en Seguridad de la Información actúa como Auditor Interno. El Especialista en Seguridad de la Información supervisará la ejecución de las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información, y certificará los resultados obtenidos. La responsabilidad por la ejecución de las pruebas es del usuario o del especialista a quien se ha delegado la tarea. El Especialista en Seguridad de la Información anota el resultado obtenido (CONFORME / NO CONFORME) en la misma lista de chequeo. Todos los participantes en las pruebas firman la lista de chequeo. El Especialista en Seguridad de la Información emite el informe correspondiente con el detalle de los resultados obtenidos. 8 DESCRIPCION DEL PROCEDIMIENTO N° ACCIÓN RESPONSABLE 1 Ejecutar las pruebas contenidas en el Checklist de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información Usuario o especialista responsabilizado
  • 10. TÍTULO CÓDIGO PÁGINA SEGURIDAD DEL PRODUCTO SOFTWARE OFIN-P01-N03 10 de 10 N° ACCIÓN RESPONSABLE 2 Supervisar la ejecución de las pruebas Especialista en Seguridad de la Información 3 Anotar los resultados de la ejecución en la lista de chequeo: CONFORME o NO CONFORME Especialista en Seguridad de la Información 4 Firmar la lista de chequeo Todos los participantes en las pruebas 5 Emitir el informe correspondiente con el detalle de los resultados obtenidos Especialista en Seguridad de la Información 9 FORMATOS Ninguno. 10 ANEXOS  CheckList de Seguridad para Desarrollo y Mantenimiento de Sistemas de Información