La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad y Auditoria de Sistemas Ciclo 2009-2 Conceptos de seguridad Ing. Yolfer Hernández, CIA.

Presentaciones similares


Presentación del tema: "Seguridad y Auditoria de Sistemas Ciclo 2009-2 Conceptos de seguridad Ing. Yolfer Hernández, CIA."— Transcripción de la presentación:

1 Seguridad y Auditoria de Sistemas Ciclo Conceptos de seguridad Ing. Yolfer Hernández, CIA

2 Definición de Seguridad Informática Seguridad Física y Lógica Proceso de Seguridad de los sistemas informáticos. Normas internacionales ISO Modelo de Gobierno TI Temario

3 La seguridad informática, consiste en asegurar (mediante controles de protección, métodos, técnicas, etc.) que los recursos de los sistemas de información (Equipos tecnológicos, software, datos, procesos) de una organización sean utilizados de la manera que se decidió, a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una pérdida de confidencialidad, integridad y disponibilidad. 1sistemas de información Seguridad Informática 1 Definicion Combinada de wikipedia y Robert English (e-Security, OSIPTEL, Lima 2001).

4 Se tienen en cuenta … La seguridad de los equipos y medios de comunicaciones. Controles de acceso a las instalaciones. Mecanismos de Contingencias La seguridad de las bases de datos. La seguridad de las aplicaciones. Los controles de acceso a los programas y datos. Física Lógica

5 Necesidades de seguridad Confidencialidad. Asegurar que sólo los autorizados tengan acceso a los recursos que se intercambian Integridad. Garantizar que los datos no puedan ser alterados sin autorización. Disponibilidad. Garantizar que la información esté disponible en forma oportuna según lo convenido.

6 Necesidades de seguridad No-repudio. Garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada. Control de acceso Identificación y Autenticación: Asegurar que sólo los individuos autorizados tengan acceso a los recursos Consistencia Asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda.

7 Planificación de las necesidades de seguridad ConfidencialidadIntegridad Disponibilidad Consistencia Control Autenticación No repudio

8 Para un Banco Confidencialidad No repudio Integridad Autenticación

9 Para Universidades Integridad Disponibilidad

10 Para instituciones de inteligencia Confidencialidad

11 El proceso de implantación de Seguridad abarca …. 1. Planificación de las necesidades. 2. Estimación de riesgos. 3. Análisis de Costos – Beneficios. 4. Definición de políticas. 5. Implementación. 6. Auditoría.

12 La implantación de seguridad de sistemas incluyen Políticas + Procedimientos + Medidas técnicas

13 .. Y su aplicación correcta permite: Proteger los activos de la entidad, incluyendo los secretos comerciales. Mantener una posición e imagen competitiva.

14 Seguridad Inversión Auditoria.. entonces

15 Políticas recomendadas Plan de Seguridad Informática. Códigos de Ética. Plan de Contingencia. Evaluación de Seguridad Informática

16 Recomendaciones de Controles, para realizar la Gestión de Seguridad de la Información. Permite la implantación y evaluación de las medidas de seguridad en TI Es un paso para establecer un SGSI (Sistema de Gestión de Seguridad de Información) Son 11 dominios para derivar los: –Objetivos de Control: Resultados a alcanzar –Controles: procedimientos, métodos, herramientas Normas ISO 17799

17 Secciones: 1.Políticas de seguridad. Proporciona las directivas y el soporte de la dirección general de la empresa para la seguridad de la información. 2.Organización de la Seguridad de la Información Gestionar (administrar y mantener) la seguridad de la información: Recursos, activos, tercerización, etc. Mantener la seguridad de la información de los servicios de procesamiento de información de la organización a los cuales tiene acceso externos o que son procesados o usados por éstas. Normas ISO 17799

18 3.Clasificación y control de activos. Deberá mantenerse la protección adecuada de los activos corporativos y garantizar que los activos informáticos reciban un nivel adecuado de protección 4.Seguridad del personal. Reducir el riesgo de error humano, robo, fraude, abuso de la información, sistemas y equipos. Asegurarse que el personal esté consciente de las amenazas a la información y sus implicaciones. 5.Seguridad física y ambiental. Previene el acceso no autorizado a las instalaciones para evitar pérdida, robo, daño de los bienes o interrupción de las actividades productivas Normas ISO 17799

19 6.Gestión de Comunicaciones y Operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso. Respaldo de información, gestión de la seguridad de las redes, intercambio de información y monitoreo Evita al máximo el riesgo de fallas en el sistema, incluido el hardware y software Normas ISO 17799

20 7.Sistemas de control de acceso. Control del acceso a la información; previene los accesos no autorizados a sistemas de información (Sistemas operativos, aplicaciones de negocios, etc) Garantiza la protección de servicios de red; impide los accesos no autorizados a las computadoras; detecta actividades no autorizadas; salvaguarda la información cuando se utiliza cómputo móvil o remoto. 8.Adquisición, Desarrollo y Mantenimiento de sistemas. Garantiza que la seguridad del sistema esté construida dentro de la aplicación para prevenir pérdidas, abusos y modificaciones de los datos, si es necesario usando controles criptográficos. Seguridad en los procesos de desarrollo y mantenimiento Normas ISO 17799

21 9.Gestión de incidentes de la seguridad de información Reporte de los eventos y debilidades de la seguridad de la información, gestionando los incidentes y mejoras en la seguridad de la información 10.Plan de continuidad del negocio. El objetivo es estar preparado para evitar las interrupciones de las actividades críticas del negocio, en el caso se presenten fallas importantes o desastres en los sistemas de información, asegurando la recuperación oportuna. 11.Cumplimiento Legal. Cumplimiento de los requisitos legales, de las políticas y las normas de seguridad y cumplimiento técnico, así como las consideraciones de la auditoría de sistemas de información. Normas ISO 17799

22

23

24 Adoptar las normas incrementa: La seguridad efectiva de los SI Gestión de Seguridad y su planificación Garantizar la continuidad de negocios La confianza de los clientes y socios Imagen y Valor comercial La seguridad de información compete a la alta gerencia no al área tecnológica Las decisiones de seguridad generalmente se toman en base a los riesgos percibidos, no a riesgos reales => Es fundamental hacer Análisis de Riesgos Normas ISO 17799

25 Estándares, Regulaciones y mejores prácticas COSO (Committee of Sponsoring Organizations) Es el Marco Integrado que proporciona criterios para evaluar el Control Interno COBIT (Control Objectives for Information and related Technology) Es un Marco de control de TI, que propone dominios de acción, asociando los recursos de la empresa con categorías de información ITIL (Information Technology Infrastructure Library) Es un Marco de trabajo de las mejores prácticas para facilitar la entrega de los servicios de TI

26 Estándares, Regulaciones y mejores prácticas ISO Communications and Operations Management Organizational Security Security Policy Asset Classification and Control Business Continuity Management Access Control Physical and Environmental Security Personnel Security Systems Development and Maintenance Compliance COBiT Monitor and Support Acquire and Implement Plan and Organize Define and Support COSO Monitoring Internal Environment Risk Assessment Control Activities Information and Communications ITIL ICT Infrastructure Management Service Delivery / Support Business Perspective Planning to Implement Service Management Application Management Security Management Objective Setting Risk Response Event Identification

27 Planificación para Implementar la Gestión de Servicios Gestión de Servicios Soporte Servicios Provisión de Servicios LAEMPRESALAEMPRESA La perspectiva Empresarial Gestión de Aplicaciones Gestión de la Infraestructura ICT (Tecnología de Información y Comunicación) LATECNOLOGIALATECNOLOGIA Gestión de Seguridad Modelo ITIL v2. Modelo de Procesos ITIL Ciclo de Vida de Servicio Modelo ITIL v3. ITIL

28 IT OPERATIONS Quality Systems & Frameworks Service Mgmt. Applic. Devel. Project Mgmt. IT Planning IT Security Quality System Modelo de Gobierno TI ITIL PMI ISO Six Sigma TSO IS Strategy ASL CMM IT Governance COBIT Sarbanes Oxley US Securities & Exchange Commission COSO


Descargar ppt "Seguridad y Auditoria de Sistemas Ciclo 2009-2 Conceptos de seguridad Ing. Yolfer Hernández, CIA."

Presentaciones similares


Anuncios Google