La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Auditoría y Seguridad de Sistemas de Información Seguridad y Auditoría de la Seguridad Cr. Luis Elissondo.

Publicada porSantiago Romero Villanueva Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Auditoría y Seguridad de Sistemas de Información Seguridad y Auditoría de la Seguridad Cr. Luis Elissondo."— Transcripción de la presentación:

1 Auditoría y Seguridad de Sistemas de Información Seguridad y Auditoría de la Seguridad Cr. Luis Elissondo

2 Seguridad en los Sistemas

3 Que es un SI Sistema de Información EntradaProceso Salida Clientes ProveedoresBancos DGI Accionistas Competidores Almc

4 Flujo de los Procesos PERSONAS TECNOLOGIA Flujo Trabajo Flujo Información

5 ¿De que hablamos cuando decimos Tecnología Informática? Tecnología Informática (Oferta) – Hardware y Software – Tecnología de Comunicaciones y Base de datos – Metodología para la construcción de aplicaciones. Sistemas de Información (Demanda) – Necesidades de Información – Requermientos del Negocio A P L I C A C I O N E S

6 Ciclo de vida de la Información Generación Registro Modificación / Consulta Eliminación

7 Estadísticas Ernst & Young's Global Information Security Survey 2003: * The top three areas of information spending are technology (85 percent), business continuity (60 percent), and process (58 percent). * 67 percent rate as "adequate" their organisations' level of protection of critical business information. * 73 percent rate as "adequate" their ability to identify information system vulnerabilities. * 65 percent rate as "adequate" their ability to determine whether their information systems are under attack.

8 KPMG Reino Unido 2005 Key findings: Nearly 70% of the companies surveyed have business continuity plans in place. That percentage rises to over 80% in the financial and retails sectors. 27% of organisations have dedicated business continuity personnel. Business continuity management has emerged with a clear identity as a wide ranging management discipline and is no longer synonymous with disaster recovery. Over two-thirds of the companies surveyed do not outsource any of their core business activities. 18% outsource at least some of their IT, which is by far the most common area for outsourcing. However, only 27% of organisations actually involve themselves in helping their suppliers to develop a business continuity management plan and get involved in rehearsals of the plan. Too many companies are vulnerable to a failure in their supply chain. Only 16% of companies have a business continuity strategy with provision for protecting the company’s reputation.

9 Importancia de la Seguridad

10

11

12

13 Gasto

14 Gasto Seguridad

15 Incidentes Registrados

16 Vulnerabilidad acarreada por los computadores Concentración de la información Falta de Registros visibles Fraudes sin comprobación Rapidez de Actualización Concentración de funciones Problemas de diseño

17 Determinación de los Riesgos Qué se necesita proteger De quién protegerlo Cómo protegerlo

18 Evaluar Riesgos Identificar Origen Medir Continuamente medir el desempeño del proceso con las mejores prácticas a fin de identificar y reducir los riesgos Aceptar Si el riesgo se transfiere Si el riesgo se reduce a un nivel aceptable Continuamente evaluar los riesgos del negocio Inaceptable Rechazar Análisis de Riesgo/ Beneficio Aceptable Continuamente monitorear decisión ¿Existen y funcionan procesos de control de riesgos del negocio? SI NO Diseñar e instalar un proceso de control Al nivel de riesgo existente

19 Principales Riesgos de TI Falta de alineamiento de los objetivos de TI con los del negocio Incumplimiento con regulaciones locales e internacionales Fraudes a través de los sistemas de información Imposibilidad de adaptarse a los cambios tecnológicos constantes Robo de información confidencial Falta de concientización y conocimiento de los empleados

20 Como esta la administración de Riesgos de TI 0204060 37% 63% No Si ¿Qué porcentaje de organizaciones poseen un Oficial de Seguridad Informática? 051525 10% 18% 31% 26% 14% Grado 1 Grado 2 Grado 3 Grado 4 Grado 5 5 = Integrado ¿Qué grado de integración posee el Oficial de Seguridad Informática con el proceso global de administración de riesgos de la organización? 020406080 6% 10% 93% Otro Unidades de negocio Sistemas ¿Qué sector es responsable por la Gestión de la Seguridad Informática? 1 = No integrado 10 20 NOSI Fuente:

21 Riesgo de los Proveedores

22 Estándares ISO 17799 (Seguridad Informática) ITIL (Information Technology Infrastructure Library) BS 7799 (Seguridad Informática) COBIT (Control Objectives for Information and related Technology) CMM (Desarrollo de Software) COSO (Committee of Sponsoring Organisations of the Treadway Commission-Internal Control)

23 Cuanta Seguridad?

24 Fraude Frecuencia

25 Factor Humano

26 Seguridad Que debe cubrir la seguridad (es posible la seguridad absoluta?) Seguridad respecto de la destrucción revelación y procesamiento Privacidad y confidencialidad: que inf. se comparte Integridad

27 Diagrama para analizar un programa se seguridad

28 Que debe contemplar una estrategia de seguridad Minimizar la posibilidad de ocurrencia Reducir el perjuicio Establecer métodos de recuperación Lograr un adecuado aprovechamiento de la información.

29 Que son las Políticas de Seguridad Informática? Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos, importantes de la organización. No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.

30 Elementos que debe contener una política de Seg. Inf. Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política. Definición de violaciones y de las consecuencias del no cumplimiento de la política. Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.

31 Ejemplo de una Política Todos los usuarios deben estar adecuadamente registrados y acceder solo a los recursos que le fueron asignados.

32 Ejemplo de un Procedimiento Procedimiento de alta de cuenta de usuario Cuando un elemento de la organización requiere una cuenta de operación en el sistema, debe llenar un formulario que contenga, al menos los siguientes datos:  Nombre y Apellido  Puesto de trabajo  Jefe inmediato superior que avale el pedido  Descripción de los trabajos que debe realizar en el sistema  Explicaciones breves, pero claras de cómo elegir su password. Asimismo, este formulario debe tener otros elementos que conciernen a la parte de ejecución del área encargada de dar de alta la cuenta, datos como:  Tipo de cuenta  Fecha de caducidad  Fecha de expiración  Datos referentes a los permisos de acceso (por ejemplo, tipos de permisos a los diferentes directorios y/o archivos) Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el ingreso al sistema.

33 Seguridad: ámbitos de acción Seguridad física: abarca al hardware utilizado en la organización. Seguridad lógica: comprende la protección de acceso a los programas

34 Seguridad física Riesgo de incendio y riesgos naturales Ubicación física (lay out) Protección (sensores, extintores, etc) Almacenamiento de medios magnéticos Estrategias de Backup de equipos y programas.

35 Seguridad lógica –Controles físicos –Identificación y autentificación de usuarios Bases del proceso: Algo conocido por el usuario Algo que el usuario posee Algo que el usuario es –Definición del perfil de usuario –Administración de usuarios y claves

36 Claves Reutilizables La clave es secreta Tamaño adecuado para su memorización No se debe mostrar por pantalla Almacenada criptográficamente Debe ser periódicamente actualizada Se debe evitar la repetición de claves en la actualización.

37 Rutas hacia el objetivo Factor amenaza $ Networks/Internet Business Process Supporting Technologies Personnel Communications Systems Security Imitación de IP Método de ataque Punto de ataque Medida correctiva de seguridad Sistema objeto Firewall Procedimientos Procedimientos de seguridad Ataque por discado Dial- back SocialPolítica ExploraciónEncripció n Detección de contraseñas Señales

38 Plan de Contingencias

39 Plan de Contingencia Plan de Contingencia del Negocio Plan de Contingencia Tecnológica

40 Diferencia Plan de Contingencia Tecnológico Plan de Contingencia del Negocio Riesgo TecnologíaNegocio

41 Porque es necesario un Plan de Contingencia? Estadísticas Impacto Ejemplos Un problema cultural?

42 Desarrollo de Planes de Continuidad del Negocio Definición del Proyecto Análisis del impacto en el Negocio Selección de estrategias Desarrollo de planes Pruebas y Mantenimiento

43 Metod.: Definición del Proyecto Objetivo Alcance Supuesto (Peor de los escenarios)

44 Metod.: Análisis del Impacto en el Negocio Análisis de riesgo –Operacional –Físico Evaluación del Impacto –Financiero –Intangibles (imagen, reputación, legal, salud pública, etc) Identificación de Procesos y Aplicativos Críticos (metodos alternativos) Asignación de RTO´s (Recovery Time Objetives) Evaluación de coberturas de seguros y contratos

45 Metod.:Selección de Estrategias Identificación de recursos Evaluación de backups RTO´s Solución Interna vs. Externa Ventajas y Desventajas

46 Metod.: Desarrollo de Planes Planes de Emergencia Plan de Sistemas Planes por Unidad de Negocios

47 Metod.: Pruebas y Matenimiento Política de Mantenimiento Plan de Pruebas

48 Seguridad en Pymes Observatorio TIC´s Univ La Plata 2005

49 Auditoría de la Seguridad

50 Seguridad y Auditoría SeguridadAuditoría De la Seguridad

51 Fases de la Auditoría Objetivos, delimitación de alcance y profundidad del trabajo. Análisis de posibles fuentes y recopilación de información. Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad. Determinación de herramientas o perfiles de especialistas necesarios. Realización de entrevistas y pruebas. Análisis de Riesgos y Resultados Discusión del informe Provisional Informe Definitivo

52 Auditar la Seguridad Física Medidas de Protección Física Lay Out Riesgos posibles Controles de detección Políticas de Backup y almacenamiento Plan de Recuperación

53 Auditoría de la Seguridad Lógica Administración de Recursos Humanos Políticas de administración de Usuarios. Asignación de la contraseña. Longitud, vigencia, repetición,etc No cesión de clave – uso individual

54 Auditoría del Desarrollo de Aplicaciones Controles incorporados. Prueba de la Aplicación. Puesta en Producción

55 Auditoria de Redes y Comunicaciones Conexiones Cifrado Salidas gateway y routers Correo Electrónico Páginas WEB Firewalls

56 Auditoria de la continuidad de las operaciones Plan de Contingencia Completitud Divulgación Actualización

57 Fuentes de la Auditoría Políticas, estándares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, pólizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios

58 ? ? ? ? ? Conclusiones y Preguntas

Descargar ppt "Auditoría y Seguridad de Sistemas de Información Seguridad y Auditoría de la Seguridad Cr. Luis Elissondo."

Presentaciones similares

SEMINARIO DE AUDITORÍA INTEGRAL

SEMINARIO DE AUDITORÍA INTEGRAL
information technology service

information technology service
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Auditoría Informática

Auditoría Informática
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
La Necesidad de un Ambiente Eficaz de Controles Generales de TI

La Necesidad de un Ambiente Eficaz de Controles Generales de TI
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
AUDITORÍA INFORMÁTICA - SEGURIDAD

AUDITORÍA INFORMÁTICA - SEGURIDAD
CONCEPTOS INFORMATICA, TELEMATICA Y REDES

CONCEPTOS INFORMATICA, TELEMATICA Y REDES
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Auditoria Informática Unidad II

Auditoria Informática Unidad II
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

Presentaciones similares

Anuncios Google