La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ACI – 425 SEGURIDAD INFORMÁTICA

Publicada porXimen Monte Modificado hace 9 años

Presentaciones similares

Presentación del tema: "ACI – 425 SEGURIDAD INFORMÁTICA"— Transcripción de la presentación:

1 ACI – 425 SEGURIDAD INFORMÁTICA
Unidad 2: Gestión de la continuidad del negocio

2 Objetivos Conocer los estándares internacionales de gestión en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.

3 Contenidos Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto. Planificación y planeación de contingencia. Recuperación de desastres. Business Continuity Management (BCM): definición, y relación con otros modelos de control interno. Estándares internacionales. NIST y DRI. HB 221:2004 Business Continuity Management. Tipos de planes.

4 Evolución, Enfoque y Lenguaje de Continuidad
+20 años Respaldo & Recuperación Software de Mainframe BCM 10-20 Años Recuperación Infraestructura de TI BCP BRP DRP B&R 73% 5-10 Años Recuperación Procesos del Negocio y Capital Humano Últimos 5 Años Continuidad Procesos Críticos del Negocio 13% < 5%

5 Estándares de TI ITIL COBIT COBIT OBJETIVOS DEL NEGOCIO INFORMACION
RECURSOS DE TI EFECTIVIDAD EFICIENCIA CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD CUMPLIMIENTO LEGAL CONFIABILIDAD PLANEACION Y ORGANIZACION MONITOREO ADQUISICION E IMPLEMENTACION ENTREGA Y SOPORTE DATOS APLICATIVOS TECNOLOGIA FACILIDADES PERSONAS ITIL COBIT

6 Estándares de Continuidad

7 NIST National Institute of Standards and Technology Computer Security Division Computer Security Resource Center: El National Institute of Standards and Technology (NIST) es un organismo de Estados Unidos que se ocupa del control y administración de normas y estándares en ciencia y tecnología.

8 DRI Disaster Recovery Institute International
Disaster Recovery Institute Canada

9 Business Continuity Institute

10 HB 221:2004 Normativa australiana referenciada en Handbook Business Continuity Management (BCM) Define que entiende por manejo de la continuidad del negocio y bosqueja su evolución desde un enfoque estrecho, basado en tecnología de información hacia una herramienta de planificación que puede ayudar a la organización en su estrategia y planificación del negocio. Establece un marco de trabajo para BCM que puede ser desarrollado por cualquier tipo de organización, así como el detalle discutido de los pasos necesarios para implementar prácticamente un adecuado manejo de la continuidad del negocio. El libro de trabajo consiste de varias plantillas y suministra un proceso simple de seguir, que puede ser implementado a todos los niveles de la organización, tanto en un área especializada para desarrollo de los planes de recuperación en tecnología de información como para enlazar con el manejo de riesgos, la gerencia corporativa y el programa de BCM.

11 Enfoque de Continuidad- BCI
“Las estrategias, planes y soluciones de continuidad deben ser apropiadas y dirigidas por la organización ” “La administración de la continuidad y el manejo de crisis son parte integral del Gobierno Corporativo” ADMINISTRACION DE CONTINUIDAD DE NEGOCIO ADMINISTRACION DE RIESGOS RECUPERACION DE DESASTRES INSTALACIONES CADENA SUMINISTRO ADMINITRACION DE LA CALIDAD OCUPACIONAL SALUD ADMINITRACION DEL CONOCIMIENTO EMERGENCIAS FISICA Y LÓGICA SEGURIDAD COMUNICACION DE CRISIS “Las implicaciones de la continuidad deben ser consideradas como parte esencial del proceso de administración del cambio en la organización” “Las actividades de administración de la continuidad deben estar enfocadas a soportar las estrategias y metas del negocio”

12 Tipos de Planes

13 Tipos de Planes (2) (según NIST)
OBJETIVO ALCANCE Business Continuity Plan (BCP) Suministra procedimientos para sostener las operaciones esenciales de negocio mientras se recupera de una interrupción significante. Direcciona los procesos de negocio y la tecnología que los soporta. Business Recovery (or Resumption) Plan (BRP) Suministra procedimientos para recuperación de las operaciones de negocio inmediatamente después de un desastre. Direcciona los procesos de negocio; La TI está direccionada sólo al soporte para los procesos de negocio. Continuity Of Operations Plan (COOP) Suministra procedimientos y capacidades para sostener lo esencial de una organización, funciones estratégicas en un sitio alterno por más de 30 días. Direcciona el conjunto de operaciones de la organización definidas como mas críticas. Continuity of Support Plan / IT Contingency Plan Suministra procedimientos y capacidades para recuperar grandes aplicaciones o sistemas de soporte general. Los mismo que el plan de contingencia de TI; se centra en la interrupción de los sistemas de TI; no se centra en los procesos del negocio.

14 Tipos de Planes (3) (según NIST)
OBJETIVO ALCANCE Crisis Communications Plan Proporciona los procedimientos para comunicarse con el personal y con el público en general. Direcciona las comunicaciones con el personal y el publico; no se centra en la TI Cyber Incident Response Plan Suministra estrategias para detectar, responder, y limitar las consecuencias de incidentes de seguridad que afectan la continuidad. Se centra sobre respuestas de seguridad de la información a incidentes que afectan los sistemas y / o las redes. Disaster Recovery Plan (DRP) Suministra procedimientos detallados para facilitar la recuperación de operaciones en un sitio alterno. A menudo centrado en la TI; limitado a interrupciones mayores con efectos a largo plazo. Occupant Emergency Plan (OEP) Suministra procedimientos coordinados para minimizar las perdidas de vidas o daños a la propiedad en respuesta a amenazas físicas. Se centra en el personal y las instalaciones; no esta diseñada para procesos de negocio o funcionalidad de los sistemas de TI.

15 Fases en una Metodología de Continuidad
Definición Requerimientos Func. Req. Funcionales En cualquier momento es posible devolverse a efectuar cambios en una fase previa. Diseño y Desarrollo Implementación Pruebas y ejercicios Mantenimiento Ejecución

16 Tendencias en BCM Como administro la información
Puedo recuperar mi información en el evento de un desastre Puedo recuperar mis operaciones críticas en caso de un desastre o interrupción inesperada Siempre estoy ahí cuando mis Clientes me necesitan Los servicios de mi negocio exceden las expectativas de mis clientes Mi arquitectura de datos ofrece y entrega información cuando y como los clientes la necesitan Como administro la información es una ventaja competitiva.

17 Soluciones que ofrece el mercado
Servidores Cluster, Fault Tolerance, etc. Redundancia en dispositivos de red (fault tolerance) y/o arquitecturas de alta disponibilidad Sitios alternos de procesamiento (hot site, cold site, entre otros) Software de replicación en Bases de Datos, Sistemas Operativos, Aplicaciones Arquitecturas de almacenamiento (Robots, SAN, NAS, CAS) Procesos de administración de la continuidad basado en estándares tales como ITIL, COBIT, NIST entre otros

18 A manera de conclusiones …
La Administración de la Continuidad, además de ser un acto de responsabilidad con los accionistas, la economía y la sociedad, es un requerimiento de los clientes y el mercado: Las empresas cada día vez son mas dependientes de la TI (ERP, CRM, sistemas integrados). Las áreas de TI juegan un papel fundamental en la continuidad de los negocios. Administración de la continuidad no es un simple plan de contingencias vas mas allá. El personal de TI debe ser consciente de la importancia y la necesidad de capacitarse en los temas de continuidad La calidad de los servicios depende mucho de la oportunidad en la solución de los problemas o incidentes relacionados con la TI. El mercado ofrece soluciones.

19 Bibliografía “El papel de las áreas de TI en la Administración de la Continuidad” Juan Carlos Camargo. “Basilea II Planificación de la Continuidad del Negocio en el Sector Financiero” José I. Castro M. “El Papel de la Tecnología en la Habilitación de los Procesos de TI” Alfredo Zayas

20 Páginas Web http://csrc.nist.gov/ http://www.drii.org/

21 Cuestiones legales en la Seguridad de la Información
Basado en: Eric Maiwald “Fundamentos de Seguridad de Redes”, pp Ampliado con información sobre las leyes vigentes en Chile.

22 Contenido Legalidad en USA y sus estados, otros países, Chile
Cuestiones relacionadas con acción judicial Cuestiones civiles Privacidad

23 Delitos legislados en USA
Abuso y fraude por computadora (18 US Code 1030) – modificado por la Ley Patriota en respuesta al 11 de septiembre. Fraude con tarjetas de crédito (18 US Code 1029). Derechos de autor (18 US Code 2319). Intercepción (18 US Code 2511). Acceso a la información electrónica (18 US Code 2701) Ley de Seguridad Nacional (Cyber Security Enhancement Act 2002)

24 Herramientas en la legislación chilena
Ley , Delitos Informáticos Ley , Propiedad Intelectual Ley , Protección Datos Personales Ley , Firma Electrónica Ley , General de Telecomunicaciones Código Penal: Ejemplo-> Fraude con tarjetas de crédito Código de Procedimiento Penal Código Procesal Penal

25 Ley 19.223: Delitos informáticos (1)
SABOTAJE INFORMÁTICO : Destrucción o alteración de un STI. Destrucción o daño de la información contenida en un STI. Alteración de la información contenida en un STI. Responsabilidad : Ley , Art. 1 y 3 Art. 1 : Destruya o inutilice un STI o sus partes o componentes u obstaculice o modifique su funcionamiento. Presidio menor en grado medio a máximo. Art. 3 : Altere, dañe o destruya datos contenidos en un STI. Presidio menor en grado medio.

26 Ley 19.223: Delitos informáticos (2)
ESPIONAJE INFORMÁTICO : Intrusión ilegítima o acceso indebido. Divulgación indebida o revelación de datos. Responsabilidad : Ley , Art. 2 y 4 Art. 2 : Ánimo de apoderarse, usar o conocer indebidamente la información contenida en un STI. Intercepte, interfiera o acceda a él. Presidio menor en un grado mínimo a medio. Art. 4 : Maliciosamente revele o difunda datos contenidos en un STI. Presidio menor en grado medio. Responsable del STI, aumenta en un grado.

27 Ley 19.927: Pornografía infantil
Producción de material pornográfico. Comercialización, importación, exportación, distribución, difusión, exhibición, adquisición o almacenamiento.

28 Otros delitos Propiedad Intelectual, ley 17.336. Fraudes financieros
Piratería Fraudes financieros Evasión de impuestos Tráfico y venta de drogas Robo de especies (computadores) Homicidios y suicidios

29 Recopilación de evidencias
Copias de respaldo de imágenes con evidencia Sumas de control seguras de la información para validar cambios Informática forense

30 Requerimientos de la regla de seguridad
La norma de seguridad expone varias regulaciones generales y luego proporciona detalladas regulaciones en cinco áreas específicas: Protecciones administrativas Protecciones físicas Protecciones técnicas Requerimientos organizacionales Políticas, procedimientos y documentación de los requerimientos Información de Salud protegida (Protected Health Information PHI)

31 Objetivo global Asegurar que se mantenga la confidencialidad, integridad y disponibilidad de la información protegida. Alientan a la organización a utilizar un buen enfoque de administración de riesgos.

32 Protecciones administrativas
Proceso de administración de seguridad: Análisis de riesgos regular, medidas de seguridad para administrar riesgos Responsabilidad de seguridad asignada: Individuo Seguridad del personal ó fuerza de trabajo Administración del acceso a la información Concientización y entrenamiento de la seguridad Políticas y procedimientos para abordar los incidentes de seguridad Planes de contingencia: respaldo de datos, recuperación de desastres, operación en modo de emergencia Evaluación, ante cambios en operaciones ó en el entorno Contratos de negocios asociados y otros arreglos

33 Protecciones físicas Controles de acceso a las instalaciones
Uso de estaciones de trabajo Seguridad de las estaciones de trabajo Control de dispositivos y medios

34 Protecciones técnicas
Control de acceso Controles de auditoría Integridad Autentificación de persona ó entidad Seguridad en las transmisiones

35 Requerimientos del programa de seguridad
Programa de seguridad de la información Participación del consejo Evaluación del riesgo: Control de acceso a la información Restricciones de acceso físico a sistemas y registros Encriptación de la información confidencial en tránsito Procedimientos de cambio de sistema Procedimientos de control duales, separación de obligaciones y verificaciones de antecedentes Sistemas de detección de intrusos para monitorear ataques Procedimientos de respuesta a incidentes para identificar acciones si ocurre un ataque Protección ambiental contra la destrucción de registros

36 Reflexiones y preguntas
Suponiendo que su organización fuera atacada con éxito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Evalúe el daño total sufrido por su organización. ¿Cómo mostraría y protegería la evidencia del ataque? ¿Puede identificar la fuente del ataque?

37 Bibliografía “Guía Metodológica 2006 – Sistema de Gobierno Electrónico. Programa de Mejoramiento de la Gestión” Gobierno de Chile ( ) “Gobierno electrónico en Chile 2000 – 2005” Estado del Arte II ( ) “Tecnología de la Información – Código de práctica para la Seguridad de la Información” NCh2777.Of2003 (ISO/IEC : 2000) ''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO'‘ Decreto 83 Fecha de Publicación: ; Fecha de Promulgación:

38 Bibliografía (2) “Planes para continuidad de negocio ante desastres. Algunos conceptos” (archivo Gestión BCM.ppt) “Diplomado en Peritaje Informático”– Universidad de Santiago de Chile. “Mejores prácticas y estándares internacionales en gestión de riesgos y control interno” Gloria Peña y Lillo (archivo BCM (4742)COSO1.pdf) "Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero “Enfoque Integral de BCM” Yves Dávila ¿Garantizan las empresas la Continuidad de su Negocio? GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO Business continuity planning

39 Páginas complementarias
National Institute for Standards (NIST) National Vulnerabilities Database Common Vulnerabilities and Exposures Business Continuity, Contingency Planning & Disaster Recovery The Business Continuity Planning & Disaster Recovery Planning Directory Business Continuity Planning: Ten Common Mistakes

40 Páginas complementarias (2)
Acuerdo Capital de Basilea II Encuesta de los desafios para los jefes de gerencia en riesgo de instituciones financieras Graham-Leach-Bliley Act (GLBA) Sarbanes-Oxley(SOX).

41 Herramientas adicionales
MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las Administraciones Públicas. NIST Special Publication SP : An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. (disponible también una versión como libro digital) Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit).

42 Textos Sandoval López, Ricardo, “Seguridad en el comercio electrónico”, Lexisnexis 2004. Kaeo, Merike, “Diseño de seguridad en redes”, Pearson Educación 2003. Maiwald, Eric, “Fundamentos de seguridad en redes”, McGraw-Hill Interamericana Parte II pp Stallings,William “Fundamentos de Seguridad en Redes. Aplicaciones y Estándares”, Pearson 2004

43 Documentos en CriptoRed
Jorge Ramió Aguirre “LIBRO ELECTRÓNICO DE SEGURIDAD INFORMÁTICA Y CRIPTOGRAFÍA” Documento de libre distribución en Internet a través de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip) Antonio Villalón Huerta “SEGURIDAD DE LOS SISTEMAS DE INFORMACION” Julio, 2005 (seguridad_sist_inf.zip)

44 Libros digitales: Seguridad
National Institute of Standards and Technology “An Introduction to Computer Security: The NIST Handbook”, Special Publication ((ebook) computer security handbook.pdf) Simson Garfinkel & Eugene H. Spafford “Web Security & Commerce” ISBN: (O'Reilly - Web Security & Commerce.pdf) Mitch Tulloch ”Microsoft Encyclopedia of Security” (eBook.MS.Press.-.Microsoft.Encyclopedia.of.Security.ShareReactor.pdf)

Descargar ppt "ACI – 425 SEGURIDAD INFORMÁTICA"

Presentaciones similares

Entidades de Intermediación Financiera

Entidades de Intermediación Financiera
Academia Latinoamericana de Seguridad Informática

Academia Latinoamericana de Seguridad Informática
Revisiones de Control enfocadas a la Evaluación de Control Interno

Revisiones de Control enfocadas a la Evaluación de Control Interno
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)

T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)
XXX Aniversario del CENIDS 1975-2005 4ª Reunión de Coordinación Regional de la BVS COMPROMISO CON LA EQUIDAD 19 y 20 de septiembre de 2005 Dr. José Armando.

XXX Aniversario del CENIDS ª Reunión de Coordinación Regional de la BVS COMPROMISO CON LA EQUIDAD 19 y 20 de septiembre de 2005 Dr. José Armando.
1 PRINCIPALES INDICADORES DEL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN EN GALICIA CUADRO DE MANDO Apartado: Empresas Septiembre de 2004.

1 PRINCIPALES INDICADORES DEL DESARROLLO DE LA SOCIEDAD DE LA INFORMACIÓN EN GALICIA CUADRO DE MANDO Apartado: Empresas Septiembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.

RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Alumno: Carlos Enrique Ramirez Palomo

Alumno: Carlos Enrique Ramirez Palomo
Auditoria de Sistemas de Gestión

Auditoria de Sistemas de Gestión
1 Reporte Componente Impacto 6.1.2 Por Orden Territorial - 6.1.2.1 Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.

1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
Universidad Nacional Autónoma de Honduras

Universidad Nacional Autónoma de Honduras
COLEGIO DE CONTADORES DE CHILE

COLEGIO DE CONTADORES DE CHILE

Presentaciones similares

Anuncios Google