La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Evaluación de sistemas de cómputo

Publicada porWilfredo Gutierez Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Evaluación de sistemas de cómputo"— Transcripción de la presentación:

1 Evaluación de sistemas de cómputo
Temas IX. Seguridad Física y Lógica

2 IX. Seguridad Física y lógica
Evaluación de selección IX. Seguridad Física y lógica Definición de seguridad Antecedentes Objetivos de la seguridad Responsabilidad en el manejo de información Atributos de la información Principales funciones de la seguridad La información Controles básicos Diseño de seguridad

3 Definición Seguridad física y lógica
En algunos casos se requiere comprar software, hardware y equipo de oficina especializado para mantener la seguridad lógica y física de los datos. Esto genera un costo el cual se debe calcular y contemplar en este análisis

4 Definición Seguridad física y lógica
La siguiente información no es exhaustiva, sólo pretende dar una idea general de conceptos de seguridad. La seguridad es la tranquilidad que se tiene de que nada malo va a pasar. Para lograr esta tranquilidad se deben establecer varios mecanismos. La seguridad física corresponde la implantación de mecanismo que protegen los recursos materiales (edificios, equipo de computo, personal, etc.) La seguridad logia corresponde la implantación de mecanismos que protegen los recursos no materiales como los datos, la información, etc. La responsabilidad de esta seguridad recae principalmente en el sistema operativo y en el software.

5 Definición Seguridad informática Seguridad Nivel Organizacional
La calidad de un sistema de computo involucra su protección contra un sin número de fallas y errores. Además de siniestros, robos y sabotajes. Seguridad Calidad de seguro. Libre de todo daño. Que no admite duda o error Firme, estable. Garantía que da una persona a otra de que cumplirá con algo. Nivel Organizacional Unidad que define y orienta políticas, normas y procedimientos . Definición de seguridad Calidad de seguro. Libre de todo daño. Que no admite duda o error. Firme, estable. Garantía que da una persona a otra de que cumplirá con algo. Seguridad informática La calidad que se encuentra dentro de un sistema de computo involucra su protección contra un sin numero de fallas y errores, como lo son catástrofes naturales (sismos, huracanes, lluvia, etc..), Además de siniestros, robos y sabotajes que pueden de esta forma lograr que el fin del sistema no sea cumplido en su totalidad. Nivel organizacional Es responsable de definir y orientar las estrategias, políticas, normas y procedimientos corporativos para el control de los usuarios en el acceso y uso de la información, así como la protección de los activos informáticos. Valida que los requerimientos se ajusten a la normatividad y estrategias corporativas definidas y da seguimiento y apoyo a las diferentes unidades organizacionales para su cumplimiento

6 Definición de Seguridad
SEGURIDAD POR HARDWARE * SEGURIDAD CONTRA DESASTRE * SEGURIDAD CONTRA INTRUSOS SEGURIDAD DE SOFTWARE * SEGURIDAD PARA ACCESAR IDENTIFICADOR DEL USUARIO (PASSWORD) * SEGURIDAD EN LA MEMORIA DISPONIBILIDAD DE LOS ARCHIVOS - COPIAS DE SEGURIDAD - ARCHIVOS LOG PRIVACIDAD DE LOS ARCHIVOS

7 Antecedentes Información
Seguridad de la Información = Protección de Activos Información Decisión Gente Datos Software Hardware Mayor Automatización Mayor Dependencia Mayor Riesgo LA INFORMACIÓN ES LA BASE SOBRE LA CUAL DEBEN HACERSE TODAS LAS DECISIONES, POR LO TANTO SEGURIDAD DE LA INFORMACIÓN = PROTECCIÓN DE ACTIVOS. COMO ACTIVOS DE LA INFORMÁTICA, TENEMOS: GENTE DATOS SOFTWARE HARDWARE

8 Antecedentes Resultados de encuestas
La seguridad en México 5% 5% 11% 79% Mucho Mas o Menos No Conozco No Opinó FUENTE: PLAN DE DESARROLLO INFORMÁTICO

9 Antecedentes No Existen 53% ¿Cuál es el nivel de desarrollo
de estándares de seguridad de informática en México? Se están Desarrollando 47% Completamente Desarrollados 0% No Existen 53% FUENTE: PLAN DE DESARROLLO INFORMÁTICO

10 formalización de la función de seguridad Informática?
Antecedentes ¿Cuál es el grado de formalización de la función de seguridad Informática? Informal 47% Formal 48% No Implementada 5% FUENTE: PLAN DE DESARROLLO INFORMÁTICO

11 Ataques a la organización
¿Quién fue? Ataques Por Actos Origen Interno 76% externos 24% Es la Administración y protección de los recursos cómputo Seguridad Establece los controles para disminuir los riesgos Una investigación sobre el tema revela que el 90% de los delitos informáticos de carácter económico podían ser cometido por los empleados de las empresas víctimas. Según otra investigación realizada en estados unidos y parte de Europa, el 76% de los riesgos de violación de seguridad informática es de origen interno y sólo el 24% se debe a actos provenientes del exterior. Su objetivo es el proteger el patrimonio informático

12 Objetivos de la seguridad
Es la Administración y protección de los recursos cómputo Establece los controles para disminuir los riesgos La seguridad informática es la administración y protección de los recursos de cómputo que tiene la empresa y que accesan los usuarios. El objetivo es el proteger el patrimonio informático de la institución, entendiendo por tal, instalaciones, equipos e información, ésta última en todas sus formas (en cualquier dispositivo de almacenamiento magnético como son los disquetes, discos duros, cintas, cartuchos, etcétera) Seguridad en informática debe de establecer los controles suficientes para disminuir los riesgos que se generan en el ámbito informático. Su objetivo es el proteger el patrimonio informático

13 Objetivos de la seguridad
Es el de reducir el impacto de un fenómeno que pueda causar perdidas económicas y que deberá encontrarse en posibilidades de recuperación a un mínimo nivel aceptable, a un costo razonable y asegurando la adecuada estabilización de la operatividad. .

14 Objetivos de la seguridad
Asegurar la integridad y exactitud de los datos. Proteger la confidencialidad y exactitud de los datos. Proteger y conservar los activos de la organización fuera del alcance de riesgos, de desastres naturales o actos mal intencionados. Asegurar la capacidad de supervivencia de la organización ante eventos que pongan en peligro su existencia. Proveer el ambiente que asegure el manejo adecuado de los datos sustantivos. . Objetivos Que persigue un sistema de seguridad informática son los siguientes: Asegurar la integridad y exactitud de los datos. Proteger la confidencialidad y exactitud de los datos. Proteger y conservar los activos de la organización fuera del alcance de riesgos, de desastres naturales o actos mal intencionados. Asegurar la capacidad de supervivencia de la organización ante eventos que pongan en peligro su existencia. Proveer el ambiente que asegure el manejo adecuado de los datos sustantivos.

15 Clasificación de la Información.
PUBLICA INTERNA CONFIDENCIAL RESTRINGIDA NO CRITICA NECESARIA VITAL POR NIVEL DE CONFIDENCIALIDAD

16 Clasificación de la Información.
PUBLICA Que puede circular fuera de la organización y que no necesita modificarse para ofrecerse a los clientes o accionistas. Nivel de riesgo: ninguno Ejemplo: Folletos publicitarios Boletines de prensa Tipos de cambio Tasas de interés INTERNA Circula dentro de la organización Su divulgación, modificación o destrucción no autorizada podría tener un impacto significativo en la organización, en cualquier cliente o empleado. No requiere protección especial a menos que se quieran prevenir intentos externos de divulgación. Nivel de riesgo: medio o bajo Ejemplo: Manuales administrativos Memos entre oficinas Reglamento interno de trabajo

17 Clasificación de la Información.
RESTRINGIDA Sirve a la organización para su posicionamiento en el mercado y solo puede ser conocida por un grupo muy pequeño. Su divulgación, modificación o destrucción puede ocasionar perdidas económicas y poner en desventaja competitiva a la organización. Nivel de riesgo: alto Ejemplo: Passwords para transferencia de dinero Características de productos y/o servicios en desarrollo Diseños de campañas publicitarias Información acerca de adquisiciones u otras actividades del Mercado de capitales CONFIDENCIAL Se usa dentro de la organización. Su divulgación, modificación o destrucción no autorizada podría afectar a la propia organización, clientes y empleados. Nivel de riesgo: medio o bajo Ejemplo: Registros de empleos Planes de salarios Información de clientes Manuales de referencia al sistema y procedimientos

18 Clasificación de la Información.
NO CRITICA Soporta servicios/procesos que pueden ser interrumpidos por un periodo largo de tiempo. La actualización de la información desde el punto en que fue interrumpida puede ser: A. De bajo costo o sin costo. B. De bajo consumo de tiempo o sin gasto de tiempo. C. Una combinación de ambas. Nivel de riesgo: bajo NECESARIA Soporta servicios/procesos que pueden ser ejecutados por medios manuales con dificultad, pero a un costo tolerable y por un periodo largo de tiempo. La actualización de la información, una vez que se vuelve a condiciones normales de operación, puede requerir recursos considerables. Nivel de riesgo: bajo

19 Clasificación de la Información
Vital Soporta servicio/procesos que pueden ser ejecutados por medios manuales, o por periodos muy cortos de tiempo. Puede existir una tolerancia intermedia de interrupción entre los necesarios y los críticos. Una suspensión corta de procesamiento puede ser tolerada, sin embargo, aumentara considerablemente el esfuerzo que será necesario para actualizar los datos desde el momento en que se interrumpieron. Nivel de riesgo: alto moderado

20 Medios y formas en que se maneja la información
ESCRITA -PAPEL -REPORTES -MICROFICHAS -ACETATOS GRABADA -CINTAS -CARTUCHOS -DISQUETES -COMPAC DISC -DISCOS DUROS -CASSETTES -VIDEOCASSETTES ORAL -CONFERENCIAS -JUNTAS -EXPOSICIONES -REUNIONES -VIA TELEFONICA -PLATICA INFORMAL TECNOLOGIA PORTATIL -FAX -FOTOCOPIADO -DIGITALIZADA -CELULARES -BIPERS

21 Principales funciones de la seguridad
Minimizar los riegos de quebrantos y fraudes. Proteger la información de acuerdo a su importancia y valor. Asegurar que siempre se incorporen en los proyectos y procedimientos las normas, medidas y procedimientos de prevención y seguridad. Investigar administrativamente hechos dolosos . Sancionar conforme a la normatividad interna y al marco jurídico,las acciones dolosas y negligentes de su personal. Realizar diagnóstico de riesgos y proponer acciones de solución. Minimizar los riegos de quebrantos y fraudes, a través del establecimiento de normas, medidas y procedimientos preventivos y de seguridad en los productos, servicios y procesos que los soportan. Proteger la información de acuerdo a su importancia y valor, así como resguardar los demás activos informáticos en donde se procesan. Asegurar que desde su inicio, incorporen en cada uno de los proyectos y procedimientos las normas, medidas y procedimientos de prevención y seguridad, que en coordinación con seguridad informática se establezcan. Investigar administrativamente hechos dolosos que por su trascendencia o impacto económico afecten los intereses de la empresa. Sancionar conforme a la normatividad interna y al marco jurídico,las acciones dolosas y negligentes de su personal, que afecten el patrimonio institucional. Realizar diagnóstico de riesgos en las diferentes áreas de la empresa y proponer acciones de solución.

22 Principales Funciones
Identificar necesidades y problemática, que afecten de manera general la seguridad de la información. Definir políticas y procedimientos generales de seguridad informática. Orientar y dar seguimiento a estrategias y planes de seguridad Dar seguimiento al cumplimiento de estrategias, normas,requerimientos y liberaciones, en forma conjunta con el auditor en informática (socios del control). Concientizar y difundir los conceptos de seguridad, en toda la empresa. Crear un proceso de evaluación y justificación para todos los proyectos de inversión de informática. Participar en la creación de los planes informáticos institucionales mediante la revisión, adecuación y evaluación del uso de los recursos tecnológicos requeridos por cada área. Identificar necesidades y problemática, con base en el análisis de riesgos previamente realizado e identificar problemas que afecten de manera general la seguridad de la información. Definir políticas y procedimientos generales de seguridad informática, para todo el ámbito informático. Orientar y dar seguimiento a estrategias y planes corporativos de seguridad, dentro de la empresa. Dar seguimiento al cumplimiento de estrategias, normas,requerimientos y liberaciones, en forma conjunta con el auditor en informática (socios del control). Concientizar y difundir los conceptos de seguridad, en toda la empresa. Crear un proceso de evaluación y justificación para todos los proyectos de inversión de informática. Participar en la creación de los planes informáticos institucionales mediante la revisión, adecuación y evaluación del uso de los recursos tecnológicos requeridos por cada área.

23 Lineamientos para el desarrollo de la función de seguridad en informática
Definición de una política de seguridad Aspectos administrativos (pólizas de seguros) El control para mantenimiento preventivo y correctivo de los equipos (contratos) Deben incluir todos los recursos informáticos, proteger datos, equipo, tecnología y usuarios. Establecer una política que impulse al desarrollo de la seguridad. Establecer un análisis costo-beneficio sobre controles de seguridad antes de ser instalados. Un sistema integral de seguridad debe comprender la definición de una política de seguridad, aspectos administrativos incluyendo pólizas de seguros de los equipos, el control para mantenimiento preventivo y correctivo de los equipos, en su caso contratos con los proveedores; debe organizarse de modo que se dividan responsabilidades. Los aspectos de seguridad se deben orientar a todos los recursos informáticos, proteger datos, equipo, tecnología y usuarios. Se debe establecer una política que impulse al desarrollo de la seguridad. Establecer un análisis costo - beneficio sobre controles de seguridad antes de ser instalados.

24 Definición de Políticas de Seguridad
Estas deben contemplar La prevención del rezago administrativo en tiempo y costo por el mal manejo de la tecnología de punta. Concientizar la necesidad permanente de aplicar la seguridad en informática. Apoyarse en estándares nacionales e internacionales. Difundir formalmente los planes de seguridad en informática. Evaluar periódicamente el nivel de cumplimiento de la ejecución. Actualizar de manera oportuna las políticas de seguridad implantadas.

25 Tip´s para la Implementación del programa de seguridad informática
Nombrar una persona responsable del programa. Asegurarse de que los gerentes entiendan de que son responsables de la protección de los activos de su propia área. Desarrollar una estrategia. Anunciar el programa

26 Estrategia de Seguridad
Identificación de usuarios Definición de accesos y facultades Personalización de usuarios Activación y monitoreo de bitácoras Nombre. No. Nómina. Ubicación, ext. Departamento. Sistema responsable. Ip/address. Acceso a : Volúmenes. Subvolúmenes Utilerías Programas De acuerdo a estándar definido. Seguimiento a eventos relevantes de seguridad. Mantenimiento a usuarios Bajas. Cambios. Modificaciones.

27 Controles básicos de seguridad informática
A. Politicas y concientización Planear y desarrollar políticas, procedimientos, estándares y lineamientos de seguridad informática. Establecer un programa de capacitación para dar a conocer aspectos de seguridad informática. Establecer y definir procedimientos para el manejo de la información y un código de ética. Obtener respaldo y soporte de la alta dirección y de todos los niveles gerenciales.

28 Controles básicos de Seguridad Informática
Apoyar el fortalecimiento de las medidas de seguridad en la información a través del establecimiento de un programa de concientización y sensibilización, que permita el conocimiento y desarrollo de las actividades del personal de la empresa o entidad. Lograr una cultura de seguridad de la información a nivel corporativo que permita fortalecer la confidencialidad, integridad, disponibilidad y auditabilidad de la información. Hacer del conocimiento del personal los medios y controles que permitan por medio de su implantación una disminución de los riesgos.

29 Controles básicos de seguridad informática
B. Responsabilidades de la organización Debe de establecerse la función de seguridad informática corporativa. Deben de establecerse políticas y procedimientos internos donde se definan los conceptos de propietarios de la información y sus responsabilidades. Establecer coordinadores y administradores de seguridad informática (custodios). Tener claramente identificados a todos los usuarios de la información.

30 Controles Básicos de Seguridad Informática
Conjuntamente con el área de organización, incluir en las descripciones de puestos, contratos de trabajo conceptos de seguridad informática. Establecer el comité directivo de seguridad informática. Conformar y capacitar al staff de seguridad informática

31 Controles Básicos de Seguridad Informática
C. Resguardos, contratos y convenios Manejar contratos internos de confidencialidad para todo el personal. Incluir en contratos con proveedores y/o servicios profesionales,cláusulas de confidencialidad y propiedad de la información. Realizar todos los resguardos necesarios que aseguren los activos informáticos.

32 Controles Básicos de Seguridad Informática
D. Auditoria de seguridad informática, revisiones y administración de riesgos Definir principios para realizar auditorías y revisiones de seguridad informática. Coordinarse con el área de auditoría en informática para realizar revisiones (socios del control). Desarrollar todo un programa para la administración de riesgos. Formalizar la generación y tratamiento de reportes de pérdidas y análisis de riesgos.

33 Controles Básicos de Seguridad Informática
E. Seguridad física Establecer políticas y procedimientos sobre todos los aspectos de seguridad física de los recursos informáticos (ubicación, construcción, acceso físico, soporte ambiental, etcétera) Definir e implementar mecanismos de respaldos de información. Definir controles de acceso físico y cerraduras, medios intercambiables y tecnología portátil.

34 Controles Básicos de Seguridad Informática
F. Seguridad en redes y comunicaciones Preservar la confidencialidad de los datos que pasan a través de cualquier canal de comunicación. Asegurar que el mensaje permanezca inalterado durante su transmisión. Verificar que existan los controles para probar que un mensaje transmitido ha recibido exitosamente. Control de acceso a los componentes y recursos de la red. En general los controles fundamentales de seguridad son: de integridad, de autenticidad, de confirmación, de confidencialidad, de auditoría y de control de acceso.

35 Controles Básicos de Seguridad Informática
G. Seguridad en sistemas distribuidos Establecimiento de políticas y procedimientos de seguridad en las conexiones y para compartir recursos. Implementar en la metodología de desarrollo de sistemas, controles a considerar en el diseño de aplicaciones distribuidas. Medidas de seguridad del servidor. Técnicas de autentificación cliente / servidor. Mecanismos de protección de datos distribuidos y recursos del sistema.

36 Controles Básicos de Seguridad Informática
H. Identificación y autentificación de usuarios Establecimiento de políticas y procedimientos para la administración y uso de claves de acceso. Administración de usuarios y cuentas Protección de password. Monitoreo de usuarios y detección de intrusos. Procedimientos de emergencia y excepción para identificación y autentificación.

37 Controles Básicos de Seguridad Informática
I. Bitácora de seguridad y monitoreo Registro y monitoreo de seguridad de eventos. Registro y monitoreo de seguridad de sistemas y aplicaciones. J. PROTECCION CONTRA SOFTWARE NOCIVO Políticas y procedimientos preventivos y correctivos. Establecimiento y capacitación del uso de software antivirus. Revisiones periódicas y estadísticas de incidentes de software nocivo.

38 Controles Básicos de Seguridad Informática
K. RESPALDOS Y RECUPERACIÓN Planes de contingencia. Capacitación y prueba de planes de contingencia. Respaldo de datos y protección fuera de sitio. Respaldo de sistemas para servidores y estaciones de trabajo. Políticas y procedimientos para el manejo de respaldos de información. Prevención de emergencias. Equipo y servicios de recuperación en contingencias. Financiamiento de contingencias.

39 Controles Básicos de Seguridad Informática
L. ADMINISTRACIÓN Y CONFIGURACIÓN DE SOFTWARE Políticas y procedimientos para la adquisición, instalación y uso del software. Supervisión continua del uso del software oficial. Inventario de licencias de software y control de versiones Protección de copias. Distribución de copias.

40 Controles Básicos de Seguridad Informática
M. DESARROLLO DE SISTEMAS Y ADQUISICION Metodologías y estándares de desarrollo Responsabilidades de los desarrolladores de sistemas. Diseño de estándares formales de seguridad. Procedimientos de control de desarrollo y cambios. Documentación del software desarrollado. Pruebas de sistemas y control de calidad.

41 Controles Básicos de Seguridad Informática
N. SEGURIDAD EN SISTEMAS DE VOZ Protección de comunicaciones de larga distancia. Protección de aparatos de correo de voz. Monitoreo de llamadas.

42 Controles Básicos de Seguridad Informática
O. REPORTES DE EVENTOS DE SEGURIDAD Intentos de violación Claves de acceso. Uso de aplicaciones. Ejecución de procesos. Acceso a datos y recursos de alto riesgo.

43 Controles Básicos de Seguridad Informática
O. REPORTES DE EVENTOS DE SEGURIDAD Bloqueo de cuentas de usuarios. Afectación de la disponibilidad de información o recursos de cómputo Cambios de atributos de seguridad no autorizados. Uso indebido de identificadores de usuarios y claves de acceso. Acceso de usuarios temporales. Actualización de información fuera del proceso de las aplicaciones. Ejecución de rutinas y comandos de alto riesgo.

44 Controles Básicos de Seguridad Informática
P. MANEJO DE INFORMACIÓN Clasificación de la información de acuerdo con el grado de riesgo. Identificar y manejar la información de acuerdo con su grado de riesgo. Procedimientos que disminuyan el riesgo de la información que se maneja en forma verbal, escrita o grabada. Capacitación al personal para un manejo adecuado de la información.

45 Responsabilidad en el Manejo de la Información
Autoridad que delega la organización para el manejo de la información. PROPIETARIO Utiliza la información para fines propios de su función. Responsable del almacenamiento y disponibilidad de la información CUSTODIO USUARIO

46 Atributos de la Información
1. Asegura el acceso a personal autorizado de acuerdo a funciones y responsabilidades. 5 MONITOREO 1. CONFIDENCIALIDAD 4 AUDITABILIDAD 2. Certifica que la información es genuina, completa y exacta. 3. Asegura la continuidad y oportunidad en el otorgamiento del SERVICIO. 2. INTEGRIDAD 4. Permite rastrear y registrar los eventos ocurridos. 5. Registro de eventos fuera de parámetros permitidos. 3. DISPONIBILIDAD 6. Manejo y control de los recursos. Permite rastrear y registrar los eventos ocurridos.

47 Diseño de la seguridad El ingeniero en informática debe contemplar en el análisis y diseño del sistema de computo procedimientos que eviten fallas, accidentes, acciones que dañen a la información y al mismo software, pasos a seguir en caso de existir problemas, etc. Algunas consideraciones pueden ser: Definir los elementos que requieren seguridad, (datos, archivos, etc.) Definir los elementos que pueden poner en peligro la seguridad. Definir los elementos y procedimientos que ayudarán a establecer la seguridad. Definir las políticas y procedimientos que sostendrán dicha seguridad.

48 Diseño de la seguridad Elaborar una lista de las medidas preventivas y correctivas en caso de desastre, señalando cada actividad con una prioridad. Generar políticas de seguridad para la información. Organizar y asignar responsabilidades para establecer la seguridad. Obtener los elementos técnicos que apoyen a la generación de la seguridad de la información. Generar procedimientos computacionales y administrativos que establezcan seguridad física y contra catástrofes. Generar o contratar productos de seguridad para el hardware, software y las comunicaciones.

49 Diseño de la seguridad Efectuar pláticas con el usuario sobre la seguridad. En estas pláticas es importante establecer la importancia y responsabilidad del usuario con relación a mantener la seguridad del sistema de computo. Efectuar prácticas con el cliente sobre seguridad. Contratar pólizas de seguros y contra desastres. Efectuar auditorias periódicas y eventuales al sistema de cómputo una vez que esta instalado para determinar el nivel de seguridad existente. El implantar seguridad para los sistemas de cómputo puede reducir la flexibilidad pero no debe reducir la eficiencia.

50 Ejemplos de medidas de seguridad para el manejo de la información
RESTRINGIDA O ALTA SEGURIDAD CONFIDENCIAL SEGURIDAD MEDIA INTERNA O MINIMA SEGURIDAD PÚBLICA SIN SEGURIDAD DESCRIPCIÓN q ACCESO DOBLE PASSWORD 8 0 MAS DIGITOS 4 A 8 DIGITOS PASSWORD ENTRADA SIN TRANSPORTA- CIÓN CON UN PROPIO O CAMINONETAS DE SEGURIDAD DENTRO DE BOLSAS CERRADAS CON CINTIILLO DE SEGURIDAD EN SOBRES CERRADOS RESTRICCIÓN ENCRIPCIÓN ARCHIVO PARTICIONADO, ENVIANDO CODIGO Y LLAVE POR SEPARADO ENVIO DE CODIGO Y LLAVE POR SEPARADO NO REQUERIDA NO REQUERIDA FOTOCOPIADO RECOMENDADO CONTROLAR MEDIANTE SELLOS EL NUM. DE COPIAS OBTENIDAS CONSULTA DE INFORMACIÓN PRIVADA Y MONITOREADA PRIVADA Y EN ALGUNOS CASOS CON CONSULTA BAJO FACULTADES USO TELEFONO CELULAR, FAX PROHIBIDO SU USO, CONTRATO DE CONFIDENCIALIDAD PERMITIDO SÓLO EN PRIVADO O MONITOREADO EVITAR LUGARES PÚBLICOS REUNIONES EN PRIVADO Y EN OFICINAS DE LA EMPRESA EN PRIVADO Y DE PREFERENCIA EN EXCLUIR ÁREAS PUBLICAS

51 Diseño de la seguridad Por último realizar una lista de los datos, archivos, accesos, procesos, áreas, etc. que se debe establecer seguridad y el grado de seguridad requerida. Matriz de consideraciones para la seguridad en el sistema de cómputo Nivel de seguridad 1 – Alta 2 - Media 3 – Mínima 4 – Sin seguridad Elemento(s) a establecer seguridad (datos, archivos, procesos, etc.) Nivel de seguridad Especificación de consideraciones y procesos de seguridad ---- ------

52 Administración de la seguridad
Esta debe de contemplar el: Confirmar la existencia de una función responsable de la seguridad. Decretar políticas y procedimientos aplicados a la utilización de los equipos de cómputo y al aprovechamiento de los bienes y sistemas informáticos.

53 Actividades una vez establecida la seguridad
La elaboración de planes de trabajo, de asignación de actividades, seguimiento y revisión periódica de documentación y de bitácoras. Revisión de las políticas creadas de la metodología para el análisis de sistemas. Estandarizar interfaces, funciones de programación y uniformizar los sistemas. Elaborar y revisar constantemente bitácoras de procesos ejecutados, de requerimientos, de errores en la implantación y los planes y programas bimestrales y anuales de los procesos que se van a ejecutar.

54 Costo de seguridad Una vez que Usted ha determinado el nivel de seguridad que debe incluir su sistema de computo. Paso 1 - Enlistará los requerimientos de seguridad y si es necesario actualizará y/o añadirá a los requerimientos de generales y los requerimientos funcionales y no funcionales los elementos de seguridad. Paso 2 – Estimará el costo de la seguridad, efectuando bench mark y eligiendo la mejor opción para el sistema de computo. Paso 3 – Se agregarán los costos de seguridad al software de aplicación y a los costos técnicos de la operación

Descargar ppt "Evaluación de sistemas de cómputo"

Presentaciones similares

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD ALONSO DE OJEDA

UNIVERSIDAD "ALONSO DE OJEDA"
Control Interno Informático. Concepto

Control Interno Informático. Concepto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.
Auditoria en Informatica Lic. Enrique Hernandez H.

Auditoria en Informatica Lic. Enrique Hernandez H.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Enrique Cardenas Parga

Enrique Cardenas Parga
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Proceso de Certificación en Industria Limpia

Proceso de Certificación en Industria Limpia
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.

Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
Sistema de Control de Gestión.

Sistema de Control de Gestión.

Presentaciones similares

Anuncios Google