La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas:

Presentaciones similares


Presentación del tema: "Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas:"— Transcripción de la presentación:

1 Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas: Antivirus, Firewalls, Intrusion Detection/Prevention Sistems –Criptografía Aplicada: Seguridad en el Correo Electrónico, Firma Digital y Métodos de Pago. –Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría. –Normativa y Legislación Vigente: ISO - IEC - IRAM 17799, Habeas Data, Firma Digital, Sabarnes Oxley. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

2 Paradigma actual de la Seguridad Informática Sostener la Continuidad Segura de los Negocios por medio de una estructura que mantenga la –Integridad –Disponibilidad –Confidencialidad »Autenticación (de origen de una información) »No repudio en un grado acorde a la criticidad de la Misión de Negocio del Sistema Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

3 Definición de Virus Informático Modelo DAS –Dañino –Autorreproductor –Subrepticio Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

4 Modelo de Virus Informático entorno módulo de reproducción módulo de ataque (optativo) módulo de defensa (optativo) (signature) Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

5 Concepto de daño de un virus informático Modo de daño –Implícito –Explícito Tipo de daño –Performance –Información –Hardware Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

6 Concepto de daño de un virus informático Potencial de daño –El daño que puede producir un virus informático no depende de su complejidad sino del entorno donde actúa. Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

7 Funcionamiento de un virus informático Debe ejecutarse para, desde la memoria, tomar control de la computadora. Genera copias de sí mismo en la computadora ya infectada para garantizar su supervivencia. Vía LAN, WAN, Internet, diskette u otras formas de transportar archivos, infecta a otras computadoras. Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

8 Spyware Spyware - Troyanos Spyware - Web Bugs Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

9 Modelo de Sistema Antivirus Módulo de Control Administración de recursos Identificación de código Verificación de integridad Módulo de Respuesta Alarma Reparar Evitar Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

10 Sniffing Permite la obtención de gran cantidad de información sensible enviada sin encriptar –Usuarios, direcciones de , claves, números de tarjetas de crédito, etc. Consiste en emplear sniffers en entornos de red basados en difusión, como por ejemplo ethernet (mediante el uso de concentradores o hubs). El análisis de la información trasmitida permite a su vez extraer relaciones y topologías de las redes y organizaciones. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas

11 IP spoofing En TCP/IP se basa en la generación de paquetes IP con una dirección origen falsa. El motivo para realizar el envío de paquetes con esa IP puede ser, por ejemplo, que desde la misma se disponga de acceso hacia un sistema destino objetivo, porque existe undispositivo de filtrado (screening router o firewall) que permite el tráfico de paquetes con esa dirección IP origen, o porque existe una relación de confianza entre esos dos sistemas. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas

12 SMTP Spoofing y Spamming El SMTP Spoofing a nivel de aplicación se basa en que, en el protocolo SMTP (puerto TCP 25) es posible falsear la dirección fuente de un enviando mensajes en nombre de otra persona. –Es así porque el protocolo no lleva a cabo ningún mecanismo de autenticación cuando se realiza la conexión TCP al puerto asociado. El spamming consiste en el envío masivo de un mensaje de correo a muchos usuarios destino, pudiendo llegar a saturarse los servidores de correo. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas

13 DoS Denial of Service Este tipo de ataques no supone ningún peligro para la seguridad de las máquinas, ya que no modifica los contenidos de la información, por ejemplo páginas Web, ni permite obtener información sensible. El objetivo es entorpecer el acceso de los usuarios a los servicios de un sistema. Normalmente, una vez que el ataque finaliza, se vuelve a la situación normal. En algunas ocasiones se han empleado para encubrir otros ataques simultáneos cuyo objetivo sí era comprometer el sistema. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas

14 DDoS Distributed Denial of Service El proceso esta compuesto de 4 pasos principales: 1) Fase de escaneo con un conjunto objetivo de sistemas muy elevado, o más. Se prueban éstos frente a una vulnerabilidad conocida. 2) Se obtiene acceso a parte de esos sistemas a través de la vulnerabilidad. 3) Se instala la herramienta de DDoS en cada sistema comprometido. 4) Se utilizan estos sistemas para escanear y comprometer nuevos sistemas. Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas

15 Firewall de capa 7 Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

16 Verificador de Vulnerabilidades Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

17 IDS/IPS Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

18 Limitaciones de la tecnología de Inspección Profunda de Paquetes con respecto a la Protección Completa de Contenido Evolución de las Amenazas Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas

19 Protección Completa de Contenidos y Performance de Red Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas

20 Introducción a la Criptografía Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

21 Problemas que resuelve la Criptografía Privacidad Integridad Autenticación No rechazo Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

22 Criptografía Asimétrica Este tipo de criptografía se conoce también como criptografía de clave privada o criptografía de llave privada. Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

23 AB Mensaje Canal Inseguro C Criptografía Aplicada Criptografía Asimétrica Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

24 AB Privada APrivada B Pública APública B Mensaje Canal Inseguro C Criptografía Aplicada Criptografía Asimétrica Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

25 AB Privada APrivada B Pública A Pública B Mensaje Canal Inseguro C Criptografía Aplicada Criptografía Asimétrica Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

26 AB Privada APrivada B Pública A Pública B Mensaje Canal Inseguro C Pública B Pública A Criptografía Aplicada Criptografía Asimétrica Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

27 AB Privada APrivada B Pública A Pública B Mensaje Encripción con Pública B Canal Inseguro C Pública B Pública A Criptografía Aplicada Criptografía Asimétrica Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

28 AB Privada APrivada B Pública A Pública B Mensaje Encripción con Pública B Canal Inseguro C Pública B Pública A Mensaje Apócrifo Encripción con Pública B Criptografía Aplicada Criptografía Asimétrica Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

29 AB Privada APrivada B Pública A Pública B Mensaje Encripción con Pública B Encripción con Privada de A Canal Inseguro C Pública B Pública A Mensaje Apócrifo Encripción con Pública B Criptografía Aplicada Criptografía Asimétrica Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

30 AB Privada APrivada B Pública A Pública B Mensaje Encripción con Pública B Encripción con Privada de A Canal Inseguro C Pública B Pública A Mensaje Apócrifo Encripción con Pública B ConfidencialidadAutenticidad de Origen Criptografía Aplicada Criptografía Asimétrica Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

31 Criptografía Asimétrica La criptografía asimétrica o de clave pública se divide en tres familias (según el problema matemático en el cual basan su seguridad) –Problema de Factorización Entera PFE (RSA y Rabin Williams RW) –Problema del Logaritmo Discreto PLD (Diffie Hellman DH de intercambio de claves y sistema DSA de firma digital) –Problema del Logaritmo Discreto Elíptico PLDE, hay varios esquemas tanto de intercambio de claves como de firma digital como el DHE (Diffie Hellman Elíptico), DSAE, (Nyberg-Rueppel) NRE, (Menezes, Qu, Vanstone) MQV, etcétera. Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

32 Firma Digital Existen dos tipos de esquemas sobre firma digital –Esquema de firma digital con apéndice –Esquema de firma digital con mensaje recuperable Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

33 Firma Digital Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Criptografía Aplicada FIRMANTE MENSAJE FINGERPRINT DEL MENSAJE ALGORITMO HASH

34 Firma Digital Criptografía Aplicada ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL MENSAJE NUEVO FINGERPRINT FINGERPRINT DEL MENSAJE Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

35 Firma Digital Criptografía Aplicada FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL MENSAJE NUEVO FINGERPRINT DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

36 Firma Digital Criptografía Aplicada FINGERPRINT DEL MENSAJE ENCRIPCION CON PRIVADA DEL FIRMANTE FIRMA DIGITAL MENSAJE NUEVO FINGERPRINT DESENCRIPCION CON PUBLICA DEL FIRMANTE FINGERPRINT DEL MENSAJE COMPARACION Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

37 Certificados Digitales Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

38 Infraestructura de Claves Públicas Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

39 SSL Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

40 SET Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Este protocolo esta especialmente diseñado para asegurar las transacciones por Internet que se pagan con tarjeta de crédito. La principal característica de SET, es que cubre estos huecos en la seguridad que deja SSL.

41 SET Criptografía Aplicada Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

42 Determinación de Responsables Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Objetivo de la Infraestructura de seguridad de la información –Administrar la seguridad de la información dentro de la organización. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización. Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

43 Determinación de Responsables Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Foro gerencial sobre seguridad de la información –La seguridad de la información es una responsabilidad de la empresa compartida por todos los miembros del equipo gerencial. –Por consiguiente, debe tenerse en cuenta la creación de un foro gerencial para garantizar que existe una clara dirección y un apoyo manifiesto de la gerencia a las iniciativas de seguridad. –Este foro debe promover la seguridad dentro de la organización mediante un adecuado compromiso y una apropiada reasignación de recursos. –El foro podría ser parte de un cuerpo gerencial existente. Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

44 Determinación de Responsables Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Coordinación de la seguridad de la información –En una gran organización, podría ser necesaria la creación de un foro ínter funcional que comprenda representantes gerenciales de sectores relevantes de la organización para coordinar la implementación de controles de seguridad de la información. Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

45 Determinación de Responsables Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Asignación de responsabilidades en materia de seguridad de la información –Deben definirse claramente las responsabilidades para la protección de cada uno de los recursos y por la implementación de procesos específicos de seguridad. –La política de seguridad de la información debe suministrar una orientación general acerca de la asignación de funciones de seguridad y responsabilidades dentro la organización. –Esto debe complementarse, cuando corresponda, con una guía más detallada para sitios, sistemas o ser-vicios específicos. –Deben definirse claramente las responsabilidades locales para cada uno de los procesos de seguridad y recursos físicos y de información, como la planificación de la continuidad de los negocios. Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

46 Determinación de Responsables Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Proceso de autorización para instalaciones de procesamiento de información –Debe establecerse un proceso de autorización gerencial para nuevas instalaciones de procesamiento de información.. Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

47 Determinación de Responsables Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Asesoramiento especializado en materia de seguridad de la información –Es probable que muchas organizaciones requieran asesoramiento especializado en materia de seguridad. –Idealmente, éste debe ser provisto por un asesor interno experimentado en seguridad de la información. –No todas las organizaciones desean emplear aun asesor especializado. En esos casos, se recomienda que se identifique a una persona determinada para coordinar los conocimientos y experiencias disponibles en la organización a fin de garantizar coherencia, y brindar ayuda para la toma de decisiones en materia de seguridad. También debe tener acceso a calificados asesores externos para brindar asesoramiento especializado más allá de su propia experiencia. Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

48 Determinación de Normas y Procedimientos Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Las Políticas de Seguridad son los documentos que describen la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos que tanto usuarios como administradores tienen y qué hacer ante un incidente de seguridad. Mientras las políticas indican el qué, los procedimientos indican el cómo. Los procedimientos son los que nos permiten llevar a cabo las políticas. Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

49 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Las políticas son parte fundamental de cualquier esquema de seguridad eficiente. Como administradores, nos aminoran los riesgos, y nos permiten actuar de manera rápida y acertada en caso de haber una emergencia de cómputo. Como usuarios, nos indican la manera adecuada de usar un sistema, indicando lo que puede hacerse y lo que debe evitarse en un sistema de cómputo, contribuyendo a que no seamos malos vecinos de la red sin saberlo. El tener un esquema de políticas facilita grandemente la introducción de nuevo personal, teniendo ya una base escrita y clara para capacitación; dan una imagen profesional a la organización y facilitan una auditoría. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

50 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Al diseñar un esquema de políticas de seguridad, conviene que dividamos nuestro trabajo en varias diferentes políticas específicas a un campo. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

51 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Políticas de cuentas –Establecen qué es una cuenta de usuario de un sistema de cómputo, cómo está conformada, a quién puede serle otorgada, quién es el encargado de asignarlas, cómo deben ser creadas y comunicadas. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

52 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Políticas de contraseñas –Son una de las políticas más importantes, ya que por lo general, las contraseñas constituyen la primera y tal vez única manera de autenticación y, por tanto, la única línea de defensa contra ataques. –Establecen quién asignará la contraseña, qué longitud debe tener, a qué formato deberá apegarse, cómo será comunicada, etc. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

53 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Políticas de control de acceso –Especifican cómo deben los usuarios acceder al sistema, desde dónde y de qué manera deben autentificarse. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

54 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Políticas de uso adecuado –Especifican lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, así como lo que está permitido y lo que está prohibido dentro del sistema de cómputo. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

55 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Políticas de uso adecuado –Existen dos enfoques Permisivo (todo lo que no esté explícitamente prohibido está permitido) Paranoico (todo lo que no esté explícitamente permitido está prohibido). –Cuál de estas elegir dependerá del tipo de organización y el nivel de seguridad que esta requiera. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

56 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Políticas de respaldos –Especifican qué información debe respaldarse, con qué periodicidad, qué medios de respaldo utilizar, cómo deberá ser restaurada la información, dónde deberán almacenarse los respaldos, etc. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

57 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Políticas de correo electrónico –Establece tanto el uso adecuado como inadecuado del servicio de correo electrónico, los derechos y obligaciones que el usuario debe hacer valer y cumplir al respecto. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

58 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Políticas de contabilidad del sistema –Establecen los lineamientos bajo los cuales pueden ser monitoreadas las actividades de los usuarios del sistema de cómputo, así como la manera en que debe manejarse la contabilidad del sistema y el propósito de la misma. Determinación de Normas y Procedimientos Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

59 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Plan de Contingencia - Contingency Plan (CP) Plan de Continuidad de Negocio - Business Continuity Plan (BCP) Plan de Recuperación de Desastres - Disaster Recovery Plan (DRP) Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Desastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

60 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Toda planificación de Recuperación ante Contingencias debe ser realizada antes de la ocurrencia de los eventos. Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

61 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Causas de Contingencia –Eventos naturales –Eventos ocasionados por personas –Eventos debidos a fallas de tecnología Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

62 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Definición de Alcance e Inicio del Plan. Evaluación del Impacto en el Negocio (Business Impact Assessment – BIA). Desarrollo del Plan. Aprobación e Implantación del Plan. Prueba y Mantenimiento del Plan. Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

63 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Alcance del Plan –Roles y Responsabilidades Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

64 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Evaluación del Impacto en el Negocio (BIA) –Objetivos –Tareas Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

65 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Evaluación del Impacto en el Negocio (BIA) –Risk Assessment Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

66 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Desarrollo de la Estrategia (Selección de Alternativas) Definición de la Estrategia Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

67 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Implantación (Desarrollo del Plan) Prevención/ Mitigación de Riesgos. Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

68 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Toma de decisiones ¿Qué incluye el BCP? Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

69 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Disaster Recovery Plan –Objetivos –Procesos –Mantenimiento Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

70 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Testeo de DRP Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

71 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Equipos de Trabajo Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

72 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Otros aspecto a considerar Conclusiones Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

73 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Objetivo –Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo. Implementación de un sistema de Control por Oposición o Auditoría Interna Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

74 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Controles de auditoría Protección de las herramientas de auditoría Implementación de un sistema de Control por Oposición o Auditoría Interna Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

75 Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Relación con la empresa Convenio de Confidencialidad Limitaciones del entorno a auditar Manejo de Auditorías Externas Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría

76 Ley de Habeas Data Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani ARTICULO 1°.- (Objeto) La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional. Normativa y Legislación Vigente

77 Ley de Firma Digital Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani ARTICULO 3°.- Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia. Normativa y Legislación Vigente

78 Antecedentes 1995 se publica BS se revisa BS se adopta como ISO se homologa como IRAM lo adopta la ONTI como base para las Políticas de Seguridad de Gestión Pública Normativa y Legislación Vigente Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

79 Las diez Areas de Control Existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles No todos los controles podrán aplicarse a cada empresa, sin embargo la norma ayuda a identificar los controles relevantes para cada empresas. 1) Política de Seguriad 2) Organización de la Seguridad 3) Clasificación y Control de Activos 4) Seguridad Personal 5) Seguridad Física y Ambiental 6) Control de Comunicaciones y Operaciones 7) Control de Accesos 8) Desarrollo y Mantenimiento de Sistemas 9) Administración de la Continuidad de Negocios 10) Cumplimiento Normativa y Legislación Vigente Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani

80 Sarbanes Oxley Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Qué es la ley Sarbanes Oxley Act Que relación hay entre la ley SOX en las TI Normativa y Legislación Vigente

81 Sarbanes Oxley Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani Cómo afecta la ley Sarbanes Oxley a la cadena de valor Y las empresas Argentinas? Que deben hacer las empresas Normativa y Legislación Vigente


Descargar ppt "Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas:"

Presentaciones similares


Anuncios Google