1 / 28

Seguridad y Auditoria de Sistemas Ciclo 2009-2

Conceptos de seguridad. Seguridad y Auditoria de Sistemas Ciclo 2009-2. Ing. Yolfer Hernández, CIA. Temario. Definición de Seguridad Informática Seguridad Física y Lógica Proceso de Seguridad de los sistemas informáticos. Normas internacionales ISO 17799 Modelo de Gobierno TI.

rosemarie
Télécharger la présentation

Seguridad y Auditoria de Sistemas Ciclo 2009-2

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Conceptos de seguridad Seguridad y Auditoria de SistemasCiclo 2009-2 Ing. Yolfer Hernández, CIA

  2. Temario • Definición de Seguridad Informática • Seguridad Física y Lógica • Proceso de Seguridad de los sistemas informáticos. • Normas internacionales ISO 17799 • Modelo de Gobierno TI

  3. Seguridad Informática “La seguridad informática, consiste en asegurar (mediante controles de protección, métodos, técnicas, etc.) que los recursos de los sistemas de información (Equipos tecnológicos, software, datos, procesos) de una organización sean utilizados de la manera que se decidió, a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una pérdida de confidencialidad, integridad y disponibilidad.1 1Definicion Combinada de wikipedia y Robert English (e-Security, OSIPTEL, Lima 2001).

  4. La seguridad de los equipos y medios de comunicaciones. Controles de acceso a las instalaciones. Mecanismos de Contingencias La seguridad de las bases de datos. La seguridad de las aplicaciones. Los controles de acceso a los programas y datos. Física Lógica Se tienen en cuenta …

  5. Necesidades de seguridad • Confidencialidad. • Asegurar que sólo los autorizados tengan acceso a los recursos que se intercambian • Integridad. • Garantizar que los datos no puedan ser alterados sin autorización. • Disponibilidad. • Garantizar que la información esté disponible en forma oportuna según lo convenido.

  6. Necesidades de seguridad • No-repudio. • Garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada. • Control de acceso • Identificación y Autenticación: Asegurar que sólo los individuos autorizados tengan acceso a los recursos • Consistencia • Asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda.

  7. No repudio Planificación de las necesidades de seguridad Autenticación Control Disponibilidad Consistencia Confidencialidad Integridad

  8. Para un Banco Confidencialidad Autenticación No repudio Integridad

  9. Para Universidades Integridad Disponibilidad

  10. Para instituciones de inteligencia Confidencialidad

  11. El proceso de implantación de Seguridad abarca …. 1. Planificación de las necesidades. 2. Estimación de riesgos. 3. Análisis de Costos – Beneficios. 4. Definición de políticas. 5. Implementación. 6. Auditoría.

  12. La implantación de seguridad de sistemas incluyen Políticas + Procedimientos + Medidas técnicas

  13. .. Y su aplicación correcta permite: • Proteger los activos de la entidad, incluyendo los secretos comerciales. • Mantener una posición e imagen competitiva.

  14. .. entonces Seguridad Inversión Auditoria

  15. Políticas recomendadas Plan de Seguridad Informática. Códigos de Ética. Plan de Contingencia. Evaluación de Seguridad Informática

  16. Recomendaciones de Controles, para realizar la Gestión de Seguridad de la Información. Permite la implantación y evaluación de las medidas de seguridad en TI Es un “paso” para establecer un SGSI (Sistema de Gestión de Seguridad de Información) Son 11 dominios para derivar los: Objetivos de Control: Resultados a alcanzar Controles: procedimientos, métodos, herramientas Normas ISO 17799

  17. Secciones: Políticas de seguridad. Proporciona las directivas y el soporte de la dirección general de la empresa para la seguridad de la información. Organización de la Seguridad de la Información Gestionar (administrar y mantener) la seguridad de la información: Recursos, activos, tercerización, etc. Mantener la seguridad de la información de los servicios de procesamiento de información de la organización a los cuales tiene acceso externos o que son procesados o usados por éstas. Normas ISO 17799

  18. Clasificación y control de activos. Deberá mantenerse la protección adecuada de los activos corporativos y garantizar que los activos informáticos reciban un nivel adecuado de protección Seguridad del personal. Reducir el riesgo de error humano, robo, fraude, abuso de la información, sistemas y equipos. Asegurarse que el personal esté consciente de las amenazas a la información y sus implicaciones. Seguridad física y ambiental. Previene el acceso no autorizado a las instalaciones para evitar pérdida, robo, daño de los bienes o interrupción de las actividades productivas Normas ISO 17799

  19. Gestión de Comunicaciones y Operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso. Respaldo de información, gestión de la seguridad de las redes, intercambio de información y monitoreo Evita al máximo el riesgo de fallas en el sistema, incluido el hardware y software Normas ISO 17799

  20. Sistemas de control de acceso. Control del acceso a la información; previene los accesos no autorizados a sistemas de información (Sistemas operativos, aplicaciones de negocios, etc) Garantiza la protección de servicios de red; impide los accesos no autorizados a las computadoras; detecta actividades no autorizadas; salvaguarda la información cuando se utiliza cómputo móvil o remoto. Adquisición, Desarrollo y Mantenimiento de sistemas. Garantiza que la seguridad del sistema esté construida dentro de la aplicación para prevenir pérdidas, abusos y modificaciones de los datos, si es necesario usando controles criptográficos. Seguridad en los procesos de desarrollo y mantenimiento Normas ISO 17799

  21. Gestión de incidentes de la seguridad de información Reporte de los eventos y debilidades de la seguridad de la información, gestionando los incidentes y mejoras en la seguridad de la información Plan de continuidad del negocio. El objetivo es estar preparado para evitar las interrupciones de las actividades críticas del negocio, en el caso se presenten fallas importantes o desastres en los sistemas de información, asegurando la recuperación oportuna. Cumplimiento Legal. Cumplimiento de los requisitos legales, de las políticas y las normas de seguridad y cumplimiento técnico, así como las consideraciones de la auditoría de sistemas de información. Normas ISO 17799

  22. Normas ISO 17799

  23. Normas ISO 17799

  24. Adoptar las normas incrementa: La seguridad efectiva de los SI Gestión de Seguridad y su planificación Garantizar la continuidad de negocios La confianza de los clientes y socios Imagen y Valor comercial La seguridad de información compete a la alta gerencia no al área tecnológica Las decisiones de seguridad generalmente se toman en base a los riesgos percibidos, no a riesgos reales => Es fundamental hacer “Análisis de Riesgos” Normas ISO 17799

  25. COSO (Committee of Sponsoring Organizations) Es el Marco Integrado que proporciona criterios para evaluar el Control Interno COBIT (Control Objectives for Information and related Technology) Es un Marco de control de TI, que propone dominios de acción, asociando los recursos de la empresa con categorías de información ITIL (Information Technology Infrastructure Library) Es un Marco de trabajo de las mejores prácticas para facilitar la entrega de los servicios de TI Estándares, Regulaciones y mejores prácticas

  26. Estándares, Regulaciones y mejores prácticas Security Risk Response Management Plan Service Acquire Control and Delivery / and Activities Organize Support Implement Physical Business and Personnel Continuity Security Policy Environmental Security Management Security Information Asset and Internal Organizational Classification Communications Environment Security and Control ISO 27001 COSO ITIL COBiT Planning to Objective Implement Application Monitoring Setting Service Management Management Systems Development Communications Access Control Compliance and and Maintenance Operations Management Define Monitor Risk ICT Infrastructure and and Assessment Management Support Support Event Business Identification Perspective

  27. Conocimientos y Habilidades Estudios de Caso Planificación para Implementar la Gestión de Servicios Mejora contínua de Servicios L A T E C N O L O G I A L A E M P R E S A Gestión de Servicios Gestión de la Infraestructura ICT (Tecnología de Información y Comunicación) Calificaciones Alineamiento a Estándares Soporte Servicios La perspectiva Empresarial Diseño de Servicio Estrategia de Servicio Transición de Servicio ITIL Provisión de Servicios Mejora contínua de Servicios Planes de Choque Mejora contínua de Servicios Gestión de Seguridad Métodos de Gobierno Gestión de Aplicaciones Operación de Servicio Herramientas de Aprendizaje Modelo ITIL v3. ITIL Modelo ITIL v2. Modelo de Procesos Ciclo de Vida de Servicio

  28. Sarbanes Oxley US Securities & Exchange Commission COSO COBIT Service Mgmt. Applic. Devel. Project Mgmt. IT Planning IT Security Quality System ISO CMM Six Sigma ITIL ASL 17799 PMI TSO IS Strategy Modelo de Gobierno TI IT Governance Quality Systems & Frameworks IT OPERATIONS

More Related