República de Colombia

Ministerio de Defensa Nacional

MDN

Autocontrol y
Administración de Riesgos
Oficina Informática

Gloria Esperanza Calderón Fuentes

Taller Administración de Riesgos Coordinadora Grupo
Bogotá, D.C. Octubre 8 de 2003 Proyección y Gestión
Oficina Contrtol Interno
 Objetivos MDN

 Suministrar orientaciones técnicas fortalecimiento

sistema control interno fase administración riesgo.

 Fomentar cultura autocontrol y autoevaluación

procesos, procedimientos, puntos de control y
riesgos inherentes
 Objetivos MDN

 Desarrollar habilidades y competencias funcionarios

oficina informática, permitan identificar, valorar y
controlar riesgos asociados procesos misionales y
apoyo en que participan.

 Estructurar mapas de riesgos procesos

seleccionados.
 Agenda MDN

 Administración de riesgos.

 Autocontrol en procesos informáticos.

 Objetivos Administración del
Riesgo MDN

Garantizar cumplimiento misión - objetivos

institucionales a través prevención y
administración riesgos

 Fortalecer sistema de control interno

 Proteger recursos estado

 Objetivos Administración del
Continuación….. Riesgo MDN

 Integrar riesgos a procesos y procedimientos

 Asegurar cumplimiento normas, leyes y
regulaciones.
 Hacer partícipes a los funcionarios prevención
riesgos.
 Evaluar y entender el riesgo, reducirlo a través
controles efectivos para mantener calidad
productos, servicios y personas.
 Guías y Normas
MDN

 Guía Administración Riesgos (DAFP)

 Guía Mapa Riesgos Corrupción (PPLCC).

 Decreto 1537/2001.

 Resolución 196/2001 CGN

 Circular Ministerial 10169/2001

 Guía Evaluación SCI (DAFP)

 Administración Riesgo MDN

• ÁREA RESPONSABLE
• OFICINA CONTROL INTERNO

• REVALUAR ASPECTOS
INTERNOS – EXTERNOS
• REPRESENTEN AMENAZAS
• CONSECUCIÓN OBJETIVOS

• IDENTIFICAR ANALIZAR
EVALUAR MONITOREAR,
COMUNICAR RIESGOS
ASOCIADOS AL PROCESO.

• OBJETIVO MINIMIZAR PÉRDIDAS

MAXIMIZAR VENTAJAS
 Administración Riesgo MDN

FACTORES EXTERNOS

RECORTES NORMATIVIDAD
PRESUPUESTALES FACTORES INTERNOS
POLÍTICAS
ENTIDAD
JURISPRU-
DENCIA
TECNOLÓGICOS
TALENTO MANEJO
HUMANO RECURSOS

ORGANIZACIÓN
REFORMAS
ORDEN PÚBLICO ADMINISTRACIÓN
PROCESOS Y
PROCEDIMIENTOS

ACCIDENTES DESASTRES
LABORALES NATURALES
 Proceso Administración
Proactiva de riesgos MDN

ACTIVIDADES IDENTIFICACIÓN ANÁLISIS Y

PRELIMINARES RIESGOS VALORACIÓN

EVALUAR LISTA 10 PLANIFICAR

RIESGOS MÁS ACTIVIDADES
CONTROLAR IMPORTANTES CONTROL

IDENTIFICACIÓN Y SEGUIMIENTO
ADMINISTRACIÓN DURANTE MONITOREAR
TODAS ETAPAS PROYECTO
PROCESO
 Proceso Administración
MDN
Proactiva de riesgos
Razones o causas

R Posibilidad de ocurrencia Personales

I de aquella situación
E que puede entorpecer Administrativas
S el normal desarrollo
funciones de la entidad Operativas
G
O y le impidan el Normativas
logro de sus objetivos.
Estructurales
 Identificación
MDN

RIESGO DESCRIPCION POSIBLES

CONSECUENCIAS

. CARACTERÍSTICAS POSIBLES
EFECTOS
 Administración de Riesgos
Seguridad Informática - Activos MDN

Hardware

Software Datos

Medios de almacenamiento
Redes
Acceso
Gente clave
 Seguridad en Redes – Activos MDN

MDN
(Componentes)
 Hardware
 Servidores, estaciones cliente, dispositivos de
comunicación (router, bridge, hub, gateway,
modem), dispositivos periférico, cables, fibras

 Software (o Servicios)
 Sistemas operativos de red, sistemas operativos en
estaciones cliente, aplicaciones, herramientas
(administrativas, mantenimiento, backup), software
bajo desarrollo.
 Seguridad en Redes – Activos MDN

Continuación………. (Componentes) MDN

 Datos
 De la organización: bases de datos, hojas electrónicas,

procesamiento de palabra, e-mail.

 De la red: Privilegios de acceso a usuarios, password

de usuarios, pistas de auditoria, configuración y
parámetros de la red.

 De los usuarios: datos procesados personal, archivos

de propiedad del usuario
 Administración de Riesgos
Seguridad Informática - Amenazas MDN

 Naturales
 Accidentales
 Deliberadas
 Seguridad Informática –
Vulnerabilidades MDN

Características o debilidades en el sistema de

seguridad que pueden ser explotadas para causar
daños o perdidas (facilitan la ocurrencia de una
amenaza)
 Interrupción: un activo se pierde, no está
disponible, o no se puede utilizar.
 Seguridad Informática –
Continuación………. Vulnerabilidades MDN

 Intercepción: alguna parte (persona, programa o

sistema de computo) no autorizada accede un
activo.

 Modificación: una parte no autorizada accede y

manipula indebidamente un activo.

 Fabricación: Fabricar e insertar objetos falsos en

un sistema computacional.
 Administración de Riesgos
Continuación……….
Seguridad Informática – MDN

Vulnerabilidades
Interrupción (Negación del
Servicio) Intercepción (Robo)

Hardware

Actos Involuntarios/Accidentales – Intencionales/Voluntarios

que limitan la disponibilidad

Destrucción
Agua, Fuego, Problemas de potencia, Alimentos, Ratones,
Cenizas, Ataques físicos, Bombas

Robo
 Seguridad Informática –
Continuación………. Vulnerabilidades MDN

Software Borrado accidental o destrucción de

programas

Interrupción (Borrado) Robo - Copia ilícita de programas

Intercepción Causar fallas o errores
Modificación Salvar una copia mala de un
programa destruyendo una buena,
Programas modificados (cambio de
bits, de instrucciones – bombas
lógicas, efectos colaterales)
Caballos de Troya, Virus, Puerta
falsa, Fuga de Información
 Seguridad Informática –
Continuación………. Vulnerabilidades MDN

Robo Datos
Confidencialidad – líneas
derivadas, recipientes de
basura, soborno a empleados Interrupción (Perdida)
claves, inferencia, Intercepción
preguntando, compra
Modificación
Programas maliciosos – Fabricación
Técnica de salami, utilidades
del sistema de archivos,
facilidades de comunicación
defectuosas
Reprocesamiento de datos
utilizados, adicionar registros
en una base de datos
 Análisis de Riesgo MDN

O
B Establecer:
J Valoración priorización
E
Clasificar – proveer información nivel de riesgo
T
Y acciones a implementar
O

Probabilidad:
Posibilidad de ocurrencia.
Para realizar
Análisis: Impacto:
Consecuencias de la
materialización del Riesgo
 Seguridad en redes – Impactos
Significativos MDN

 Violación de la privacidad
 Demandas legales
 Perdida de tecnología propietaria
 Multas
 Perdida de confianza
 Decisiones erróneas
 CUALITATIVO:
UTILIZACIÓN DE FORMAS DESCRIPTIVAS MDN
CUANTITATIVO:
UTILIZACIÓN DE VALORES NUMÉRICOS
DEPENDE DE LA EXACTITUD Y CALIDAD
DE LAS CIFRAS UTILIZADAS.

CUALITATIVO:

ALTA : ES MUY FACTIBLE QUE EL HECHO SE PRESENTE

MEDIA : ES FACTIBLE QUE EL HECHO SE PRESENTE

BAJA : ES MUY POCO FACTIBLE QUE EL HECHO

SE PRESENTE

ALTA : SI… TENDRÍA ALTO IMPACTO SOBRE LA ENT.

MEDIA : SI.. TENDRÍA MEDIO IMPACTO SOBRE LA ENT.

BAJO : SI.. TENDRÍA BAJO IMPACTO SOBRE LA ENT.

 Matriz de Evaluación de Riesgos
MDN

Probabilidad e Impacto del Riesgo (C) Riesgo Remanente (R)

CALIFICACION DEL RIESGO

P
R 3 Alto 3 C D 9
O R E
B I L
A 2 Medio 2 T 6
B I R
C I
I
L 1 Bajo 1 I
D
E
S
3
I A G
D 1 2 3 D O
1 2 3
A IMPACTO EN LA SITUACION ACTUAL-
D ORGANIZACION CONTROL INTERNO

PROBABILIDAD DE IMPACTO EN LA SITUACION ACTUAL (SA)

OCURRENCIA (P.O) ORGANIZACIÓN (I) DEL CONTROL INTERNO

1 Es poco probable que 1 Sería de bajo impacto 1 Cubre en gran parte el riesgo
ocurra 2 Sería de mediano 2 Cubre medianamente el riesgo
2 Es medianamente probable impacto 3 No existe ningún tipo de
que ocurra 3 Sería de alto impacto medida
3 Es altamente probable que
ocurra
 Determinación del Nivel del
MDN
Riesgo

CONTROLES
EXISTENTES PARA
IMPACTO LOS PROCESOS Y
PROBABILIDAD PROCEDIMIENTOS,
DENTRO DE LA
ORGANIZACIÓN.

* ESTA ETAPA REQUIERE DEL CONOCIMIENTO DE LOS

* * PUNTOS DE CONTROL ESTABLECIDOS PARA CADA
PROCESO O PROCEDIMIENTO.
ALTO MEDIO BAJO
FRENTE A UN NIVEL DE VULNERABILIDAD
 Plan de Riesgos MDN

 LAS ACCIONES PROPUESTAS REDUCEN

SU MATERIALIZACIÓN?
TENER EN
CUENTA:  CONSIDERAR LA VIABILIDAD DE SU
ADOPCIÓN.

LA SELECCIÓN DE ACCIONES
DEPENDE DE:

1. RELACIÓN COSTO BENEFICIO

2. EL NIVEL DE RIESGO
 Administración del Riesgo
MDN
Controles en Seguridad
Controles
Administrativos

Politícas, Estándares,
Procedimientos,
Guías, Controles Técnicos
Entrenamiento
Acceso lógico,
controles,
encripción,
dispositivos Controles físicos
de seguridad,
Identificación y Protección
autenticación de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
 Manejo de Riesgo MDN

 Evitar
 Reducir
 Dispersar y atomizar
 Transferir
 Asumir
 Monitoreo y Evaluación MDN

Factores
 Nuevas Normas
 Rediseño Procesos  Evaluar Riesgos
 Tecnología
 Sistemas De Información  Efectividad Controles
 Ocurrencia Fraudes
 Nuevos Proyectos  Autoevaluación
 Incremento Quejas
 Reestructuraciones
 Responsabilidades Relacionadas
con la Administración del Riesgo MDN

RESPONSABLE ACTIVIDAD
 COMANDANTE GENERAL FUERZAS  DETERMINAR POLÍTICAS ESPECÍFICAS
MILITARES. ADMINISTRACIÓN RIESGOS DE
CONFORMIDAD NATURALEZA Y MISIÓN.
 COMANDANTE EJÉRCITO, ARMADA Y
FUERZA AÉREA.
 DIRECTOR POLICÍA NACIONAL.
 SECRETARIO GENERAL.
 JEFES DEPENDENCIAS MDN.
 REPRESENTANTE LEGAL ENTIDADES
ADSCRITAS Y VINCULADAS.
 OFICINAS CONTROL INTERNO  BRINDAR ASESORÍA EQUIPOS TRABAJO Y
DEPENDENCIAS MINISTERIO DE A RESPONSABLES ÁREAS Y PROCESOS EN
DEFENSA NACIONAL Y ENTIDADES ADMINISTRACIÓN DE RIESGOS.
ENTIDADES ADSCRITAS Y VINCULADAS.
 Responsabilidades Relacionadas
con la Administración del Riesgo
Continuación……….
MDN

RESPONSABLE
 EQUIPO TRABAJO CADA ENTIDAD.
ACTIVIDAD
 PLANEAR EN FORMA COORDINADA Y
ARMÓNICA DESARROLLO PROCESO
ADMINISTRACIÓN RIESGOS EN
DEPENDENCIAS Y ENTIDADES.

 INFORMES CONSOLIDADOS SOBRE

AVANCE Y LOGROS.
 RESPONSABLES ÁREAS - PROCESOS.  ACTUALIZAR RIESGOS.

 SERVIDORES PÚBLICOS.  EVALUAR EFECTIVIDAD ACCIONES DE

CONTROL.
 Documentación de Riesgos MDN

D
EP
EN
DE
NCI
A O
ENT
I
D A
DDE
SC
EN
TR
AL
IZA
DA
: P
ROC
ES
O:
M
I
N I
S T
ERI
O D
EDE
FE
NS
ANA
CI
O N
AL P
ROC
ED
IMI
E N
TO
:

O
FI
C I
N A
,D
I
R E
CCI
Ó N
,G
RU
POO
SUE
QUI
V A
LE
NT
E: A
MB I
E N
TE T
ECN
O L
ÓG I
C O(M an
ua
l,S is
t
ema
t
iza
do
p
ar
cialm
en
t
e oS
is
t
emat
izado
Tot
a lm
en
te)
:

M
AP
ADE
RI
E S
GOS N
I
V E
LES
TR
UC
TU
RA
CI
Ó N
MAP
ADE
RI
E S
GOS
D
OC U
MENTAD
O EN MAN
UA
L DE
G
LO
BA
LDE
LAD
EP
EN
DE
NCI
A O
ENT
I
D A
D__
__
_ P
RO C
ED
IMI
E N
TO
SDEL
A E
NT
IDA
D (
Par
cia
l o
I
D E
NT
IFI
C A
CI
Ó N Y
VAL
ORA
CI
Ó ND
ERI
E S
GOS T
ot
alm
en
t
e):
A C
TI
V I
D A
DE
SDEC
ON T
ROL PR
OC
ES
OS _
__
__
_

P
ROY
EC
TO
S _
__
__
_

NIVEL DE
No. DESCRIPCIÓN DEL RIESGO POSIBLES CONSECUENCIAS RIESGO ACCIÓN DE CONTROL RESPONSABLE INDICADOR

Elaborado por: Revisado por: Aprobado por:

Cargo: Cargo: Cargo:

Fecha: Fecha: Fecha:

Firma: Firma: Firma:

 Autocontrol Gestión
MDN
Administrativa Recursos
Informáticos
Políticas Sobre
Políticas Sobre Talento
Talento
Plan
Plan Utilización
Utilización Humano:
Humano:
Necesidades
Necesidades Recursos
Recursos Capacitación,
Capacitación,
de Servicios
de Servicios Informáticos,
Informáticos, Funciones
Funciones
Informáticos
Informáticos Internet,
Internet, definidas
definidas
(Hardware,
(Hardware, Equipos,
Equipos, en
enManual
Manual
Software,
Software, Niveles De
Niveles De Continuidad,
Continuidad,
Sistemas de
Sistemas de Acceso,
Acceso, Segregación
Segregación
Información)
Información) Seguridades
Seguridades Funciones
Funcionesee
Físicas.
Físicas. Idoneidad
Idoneidad
 Autocontrol - Adquisición
y Recepción de Recursos MDN

Informáticos
 Identificación Necesidades
 Viabilidad Técnica - Económica
Planeación  Definición Alternativas
 Criterios De Selección

Hardware

Especificaciones  Dimensionamiento
Técnicas  Tecnología
 Compatibilidad
 Adecuaciones Locativas
 Requisitos Ambientales Y
Técnicos
 Autocontrol - Adquisición y
Recepción de Recursos Informáticos MDN

Software

Especificaciones
 Funciones Básicas
 Requerimientos De Software
Técnicas  Versión
 Licencias De Uso
 Soporte Vendedor

Acuerdos Software Contratado

Contractuales  Especificaciones Funcionales
 Cronogramas De Desarrollo
Recepción Bienes Y  Evaluaciones Periódicas
Servicios (Inventario)  Responsabilidad Partes
 Autocontrol Equipo
MDN
Sistematización

 Inventario equipos, programas, responsable

 Procedimientos de operación

 Administración medios magneticos

 Plan mantenimiento preventivo correctivo

 Control de fallas

 Seguros
 Autocontrol - Aplicaciones
MDN
en Funcionamiento
Origen y Preparación de Datos

 Elaboración de documentación fuente

 Autorización de transacciones
 Clasificación de documentos
 Consolidación de cifras y documentos
 Cuadres previos a la captura
 Autocontrol - Aplicaciones
MDN
Continuación………. en Funcionamiento
Origen y Preparación de Datos

 Envío de documentos fuentes

 Capacitación e instructivos para diligenciar
documentos fuentes.
 Diseño de funciones
 Segregación de funciones
 Autocontrol - Aplicaciones
en Funcionamiento MDN

 Captura o Grabación de Datos

 Validación de Campos en la Captura
 Generación de Reportes para Revisión Previa.
 Proceso de Corrección de Errores
 Niveles de Seguridad en la Entrada
 Control de Documentos Negociables
 Autocontrol - Aplicaciones
en Procesamiento MDN

 Claves de Seguridad en Archivos de Datos

 Generación de Archivos para Interfaces
 Validación Edición de Transacciones Monetarias y
no Monetarias
 Generación de Transacciones Automáticas
 Rutinas de Liquidación
 Autocontrol Planes de
MDN
Contingencia

 Propiedad del Plan

 Recursos Criticos

 Entrenamiento y Seguridad del Personal en

Procedimientos de Emergencia

 Procedimientos de Respaldo
 Autocontrol - Controles
MDN
Ambientales y Seguridades Físicas

 Planes politicas
 Responsables seguridad
 Ubicación física
 Acceso físico
 Medidas protección incendios - inundaciones
 Autocontrol, Control y Seguridad
Datos y Software MDN

 Politicas seguridad lógica

 Administracción claves acceso

 Clasificación información para seguridad

 Autocontrol aplicaciones en
MDN
Funcionamiento

Documentación
Suficiencia,
 Manual técnico
disponibilidad,
calidad y
 Manual de usuario
actualidad
 Autocontrol - Aplicaciones
MDN
en Funcionamiento
Archivos de Datos

Comprende los procedimientos de acceso a

la información de los archivos de
computador especialmente:

 Perfil de autorización
 Copias de archivos
 Ubicación y organización física de los
archivos
 Autocontrol - Aplicaciones
MDN
en Funcionamiento
Acceso y Seguridades de los
Programas

I. Procedimientos de acceso a los programas

fuente - objeto

 Solicitud del cambio

 Priorización de los cambios
 Solicitud del programa a modificar
 Desarrollo del cambio
 Autocontrol - Aplicaciones
MDN
Continuación………. en Funcionamiento
Acceso y Seguridades de los
Programas

 Pruebas
 Autorización
 Proceso de catalogación de cambios
 Rastro pistas de los cambios
 Actualización de documentación
 Autocontrol - Aplicaciones
MDN
en Funcionamiento
Backup y Recuperación

 Identificación de archivos importantes

 Tiempo de retención definido para cada archivo

 Ubicación de backups del sistema a evaluar

 Procedimientos de reinicio en caso de

cancelación de procesos
 Autocontrol - Aplicaciones
MDN
en Funcionamiento
Satisfacción del Usuario
Se evaluará la aplicación o sistema de
información en relación con:

 Sus expectativas
 Exactitud y confiabilidad del procesamiento de
información
 Relación costo-beneficio (Dllo. y Operación)
 Eficiencia técnica
 Cumplimiento normas convenciones
codificación
 MDN

 POLÍTICA DE SEGURIDAD DE LA ORGANIZACIÓN

 AUDITORÍA

 SISTEMAS DE SEGURIDAD A NIVEL ROUTER -

FIREWALL.

 SISTEMAS DE DETECCIÓN DE INTRUSOS

 PLAN DE RESPUESTA A INCIDENTES (EQUIPO)

 PRUEBAS DE PENETRACIÓN
 República de Colombia
Ministerio de Defensa Nacional
MDN

ASPECTOS A RESALTAR
SEMINARIO EVALUACION
DE LA SEGURIDAD EN TI,
COBIT E ISO 17799

Taller Riesgos Oficina de Informática PU. Liliana A. Moreno Duque

Bogotá, D.C. Octubre de 2003 Grupo Evaluación
Oficina Control Interno
 EVALUACION DE LA SEGURIDAD
EN TI COBIT E ISO 17799 MDN

SON EL CONJUNTO DE MEDIDAS A FIN DE PREVENIR, DETECTAR Y

CORREGIR (RECUPERAR) LOS EFECTOS DE LOS RIESGOS QUE
PUEDEN AMENAZAR EL CUMPLIMIENTO DE LOS OBJETIVOS Y METAS
DE LA ORGANIZACIÓN AL COMPROMETER LA CIA.
INFORMACIÓN SENSITIVA

CONFIABILIDAD DIVULGACIÓN NO AUTORIZADA

EXACTITUD Y COMPLETITUD

INTEGRIDAD
VALIDEZ

AHORA Y EN FUTURO
DISPONIBILIDAD
SALVAGUARDA DE RECURSOS Y
CAPACIDAD
DE LOS RECURSOS DE TI.
 AMENAZAS A LA SEGURIDAD MDN

AFECTAN PRINCIPALMENTE AL HARDWARE, SOFTWARE Y

DATOS CLASES:

INTERRUPCIÓN

INTERCEPTACIÓN

MODIFICACIÓN

FABRICACIÓN
 MDN

(CONTROL OBJETIVES FOR INFORMATION SYSTEMS AND RELATED

TECHNOLOGYS)

OBJETIVOS DEL NEGOCIO

COBIT

INFORMACION

•EFECTIVIDAD
•EFICIENCIA
•CONFIDENCIALIDAD
•INTEGRIDAD
MONITOREO •DISPONIBILIDAD
•CUMPLIMIENTO PLANEACION Y
•CONFIABILIDAD ORGANIZACION

RECURSOS DE TI

• DATOS
• APLICACIONES
ENTREGA Y
• TECNOLOGIA
SOPORTE • INSTALACIONES
• PERSONAS ADQUISICION E
IMPLEMENTACION
 MDN

ALTO
NIVEL
D
AI DS
E
PO M T
A
4 DOMINIOS L
DE TI L
(MACROPROCESOS) E
34 SUBDOMINIOS S
(PROCESOS)

318 OBJETIVOS
DE CONTROL
34 GUÍAS DE AUDITORÍA
EN 376 PASOS
 MDN

DOMINIO 1: PLANEACIÓN Y
ORGANIZACIÓN

 DEFINIR PLAN ESTRATÉGICO TECNOLOGÍA INFORMACIÓN.

 DEFINIR ARQUITECTURA INFORMACIÓN
 DETERMINAR DIRECCIÓN TECNOLOGÍA
 DEFINIR ORGANIZACIÓN FUNCIÓN TECNOLOGÍA INFORMACIÓN
 ADMINISTRAR INVERSION EN TECNOLOGÍA INFORMACIÓN
 COMUNICAR DIRECCIÓN Y OBJETIVOS DE LA GERENCIA
 ADMINISTRACIÓN RECURSOS HUMANOS
 ASEGURAR CUMPLIMIENTO REQUERIMIENTOS EXTERNOS
 ESTIMAR RIESGOS
 ADMINISTRACIÓN PROYECTOS
 ADMINISTRACIÓN CALIDAD
 MDN

 IDENTIFICAR SOLUCIONES AUTOMATIZADAS

 ADQUISICIÓN Y MANTENIMIENTO SOFTWARE DE

APLICACIÓN

 ADQUISICIÓN Y MANTENIMIENTO ARQUITECTURA

TECNOLÓGICA

 DESARROLLO Y MANTENIMIENTO PROCEDIMIENTOS DE

TECNOLOGÍA DE INFORMACIÓN

 INSTALAR Y ACREDITAR SISTEMAS

 ADMINISTRACIÓN CAMBIOS.
 MDN

 DEFINIR NIVELES DE SERVICIO

 ADMINISTRACIÓN SERVICIOS TERCERAS PARTES
 ADMINISTRACIÓN DE CAPACIDAD Y DESEMPEÑO
 ASEGURAR EL SERVICIO CONTINUO
 GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS
 IDENTIFICAR Y ASIGNAR COSTOS
 EDUCAR Y ENTRENAR A LOS USUARIOS
 ASISTIR Y ACONSEJAR A LOS CLIENTES DE
TECNOLOGÍA DE INFORMACIÓN
 ADMINISTRAR LA CONFIGURACIÓN
 ADMINISTRACIÓN DE PROBLEMAS E INCIDENTES
 ADMINISTRACIÓN DE DATOS
 ADMINISTRACIÓN DE LAS INSTALACIONES
 ADMINISTRACIÓN DE LAS OPERACIONES
 MDN

 MONITOREAR LOS PROCESOS.

 EVALUAR QUE TAN ADECUADO

ES EL CONTROL INTERNO.

 OBTENER ASEGURAMIENTO
INDEPENDIENTE.

 PROVEER AUDITORÍA
INDEPENDIENTE.
ESTANDARES INTERNACIONALES
ISO 17799 MDN

(THE INTERNATIONAL ORGANIZATION FOR

STANDARDIZATION)

ISO 17799
 ES UN CONJUNTO DE CONTROLES QUE
PROVEE UNA BASE GENERAL PARA
DESARROLLAR ESTÁNDARES Y MEJORES
PRÁCTICAS DE SEGURIDAD RECONOCIDO A
NIVEL MUNDIAL.

 SEGURIDAD DE LA INFORMACIÓN ES
CARACTERIZADA POR LA PRESERVACIÓN
DE CIA.
 BENEFICIOS
ISO 17799 MDN

 METODOLOGÍA ESTRUCTURADA RECONOCIDA

MUNDIALMENTE PROCESO DEFINIDO PARA:

 IMPLEMENTAR
 MANTENER
 ADMINISTRAR A SI.

 CONJUTNO COMÚN DE POLÍTICAS , ESTÁNDARRES,

PROCEDIMIENTOS Y GUIAS.

 LA CERTIFICACIÓN PERMITE A LA ORGANIZACIÓN

DEMOSTRAR SU NIVEL DE SEGURIDAD DE LA
INFORMACIÓN.
 SELECCIONES O CONTROLES
ISO 17799 MDN

 POLÍTICAS DE SEGURIDAD
 ORGANIZACIÓN DE LA SEGURIDAD
 CONTROL Y CLASIFICACIÓN ACTIVOS
 SEGURIDAD DEL PERSONAL
 SEGURIDAD FÍSICA Y DEL ENTORNO
 ADMINISTRACIÓN DE REDES Y OPERACIONES
 CONTROL DE ACCESO
 DESARROLLO Y MÉTODOS
 PLANES DE CONTINUIDAD DEL NEGOCIO
 CUMPLIMIENTO
MDN
MDN

GRACIAS POR
SU ATENCION

MINISTERIO DE DEFENSA NACIONAL

OFICINA DE CONTROL INTERNO