Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Slides:



Advertisements
Presentaciones similares
Academia Latinoamericana de Seguridad Informática
Advertisements

CONTENIDOS 2. Objetivos de la seguridad informática
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
INFORMATION SECURITY Programa Integral de Formación Profesional en
Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Geovanni Aucancela Soliz
AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
GOBERNABILIDAD DE PROYECTOS
Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas
ESCUELA POLITECNICA DEL EJERCITO
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
AUDITORÍA DE SISTEMAS UNIDAD 2.
UNE-EN ISO/IEC Requisitos generales para la competencia de los laboratorios de ensayo y calibración.
Presentación de la Norma Técnica de Seguridad de la Información
“Adopción de SGSI en el Sector Gobierno del PERÚ”
Octubre V3.7 Presentación Corporativa. ¿Quiénes somos? Misión Ayudamos a mejorar la competitividad de nuestros clientes al proveerles Soluciones.
Glosarios de términos. TI: Tecnologías de información. Es la adquisición, procesamiento, almacenamiento y difusión de información de voz, imagen, texto.
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD EN EL TRABAJO (SG-SST)
Análisis y Gestión de Riesgos
DE SEGURIDAD INFORMÁTICA.
Seguridad Información De la Ing. Max Lazaro

EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Gestión de la Continuidad del negocio BS BCI
Normas Internacionales
Entrega de Servicios de TI1Copyright 2008 Tecnotrend SC Entrega de Servicios de TI.
SISTEMA DE GESTIÓN AMBIENTAL (SGA), ISO y 14001
SGSI y MAS Implantación en el M.H..
Auditoria en la infraestructura y seguridad de la información
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
CERTIFICACIONES EN AUDITORIA
¿Por qué implementar COBIT en una organización?
Analiza estándares internacionales de seguridad informática
Seguridad y Auditoria de Sistemas Ciclo
1ra Sesión Práctica – Informática II Semana No. 3 Período 2010 – II 1ra Sesión Práctica – Informática II Semana No. 3 Período 2010 – II Utilizar la hoja.
Information Technology Infrastructure Library
2.1 Definición & Antecedentes
Mauricio Casillas Ochoa
Proveedores de servicios externos
DELITOS EMERGENTES EN INTERNET Y EL DESAFIO DE CARABINEROS DE CHILE EN LA PREVENCIÓN Y CONTROL EN LA ERA INFORMÁTICA Para el desarrollo de este trabajo.
AUDITORIA Seguridad y Auditoria de Sistemas Ciclo Ing. Yolfer Hernández, CIA.
AUDITORIA TECNOLOGIAS DE INFORMACION - COBIT
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Procesos itil Equipo 8.
(Control Objectives for Information and related Technology)
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
INTRODUCCIÓN.
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Control Interno.
UNIVERSIDAD MANUELA BELTRAN Facultad de Ingeniería
Universidad Latina CONTROL INTERNO.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
Ingeniería del Software
Auditoría y Seguridad de Sistemas de Información Normativas Vinculadas Al Tema de Auditoría y Seguridad en los SI MBA Luis Elissondo.
Presentación de la Norma Técnica de Seguridad de la Información.
ISO
Transcripción de la presentación:

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo 2009-2 Ing. Yolfer Hernández, CIA

Temario Definición de Seguridad Informática Seguridad Física y Lógica Proceso de Seguridad de los sistemas informáticos. Normas internacionales ISO 17799 Modelo de Gobierno TI

Seguridad Informática “La seguridad informática, consiste en asegurar (mediante controles de protección, métodos, técnicas, etc.) que los recursos de los sistemas de información (Equipos tecnológicos, software, datos, procesos) de una organización sean utilizados de la manera que se decidió, a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una pérdida de confidencialidad, integridad y disponibilidad.1 1Definicion Combinada de wikipedia y Robert English (e-Security, OSIPTEL, Lima 2001).

Se tienen en cuenta … Física La seguridad de los equipos y medios de comunicaciones. Controles de acceso a las instalaciones. Mecanismos de Contingencias La seguridad de las bases de datos. La seguridad de las aplicaciones. Los controles de acceso a los programas y datos. Lógica

Necesidades de seguridad Confidencialidad. Asegurar que sólo los autorizados tengan acceso a los recursos que se intercambian Integridad. Garantizar que los datos no puedan ser alterados sin autorización. Disponibilidad. Garantizar que la información esté disponible en forma oportuna según lo convenido.

Necesidades de seguridad No-repudio. Garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada. Control de acceso Identificación y Autenticación: Asegurar que sólo los individuos autorizados tengan acceso a los recursos Consistencia Asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda.

Planificación de las necesidades de seguridad No repudio Autenticación Control Consistencia Disponibilidad Confidencialidad Integridad

Para un Banco Confidencialidad Autenticación No repudio Integridad

Para Universidades Integridad Disponibilidad

Para instituciones de inteligencia Confidencialidad

El proceso de implantación de Seguridad abarca …. 1. Planificación de las necesidades. 2. Estimación de riesgos. 3. Análisis de Costos – Beneficios. 4. Definición de políticas. 5. Implementación. 6. Auditoría.

La implantación de seguridad de sistemas incluyen Políticas + Procedimientos Medidas técnicas

.. Y su aplicación correcta permite: Proteger los activos de la entidad, incluyendo los secretos comerciales. Mantener una posición e imagen competitiva.

.. entonces Seguridad Inversión Auditoria

Políticas recomendadas Plan de Seguridad Informática. Códigos de Ética. Plan de Contingencia. Evaluación de Seguridad Informática

Normas ISO 17799 Recomendaciones de Controles, para realizar la Gestión de Seguridad de la Información. Permite la implantación y evaluación de las medidas de seguridad en TI Es un “paso” para establecer un SGSI (Sistema de Gestión de Seguridad de Información) Son 11 dominios para derivar los: Objetivos de Control: Resultados a alcanzar Controles: procedimientos, métodos, herramientas

Normas ISO 17799 Secciones: Políticas de seguridad. Proporciona las directivas y el soporte de la dirección general de la empresa para la seguridad de la información. Organización de la Seguridad de la Información Gestionar (administrar y mantener) la seguridad de la información: Recursos, activos, tercerización, etc. Mantener la seguridad de la información de los servicios de procesamiento de información de la organización a los cuales tiene acceso externos o que son procesados o usados por éstas.

Normas ISO 17799 Clasificación y control de activos. Deberá mantenerse la protección adecuada de los activos corporativos y garantizar que los activos informáticos reciban un nivel adecuado de protección Seguridad del personal. Reducir el riesgo de error humano, robo, fraude, abuso de la información, sistemas y equipos. Asegurarse que el personal esté consciente de las amenazas a la información y sus implicaciones. Seguridad física y ambiental. Previene el acceso no autorizado a las instalaciones para evitar pérdida, robo, daño de los bienes o interrupción de las actividades productivas

Normas ISO 17799 Gestión de Comunicaciones y Operaciones. Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso. Respaldo de información, gestión de la seguridad de las redes, intercambio de información y monitoreo Evita al máximo el riesgo de fallas en el sistema, incluido el hardware y software

Normas ISO 17799 Sistemas de control de acceso. Control del acceso a la información; previene los accesos no autorizados a sistemas de información (Sistemas operativos, aplicaciones de negocios, etc) Garantiza la protección de servicios de red; impide los accesos no autorizados a las computadoras; detecta actividades no autorizadas; salvaguarda la información cuando se utiliza cómputo móvil o remoto. Adquisición, Desarrollo y Mantenimiento de sistemas. Garantiza que la seguridad del sistema esté construida dentro de la aplicación para prevenir pérdidas, abusos y modificaciones de los datos, si es necesario usando controles criptográficos. Seguridad en los procesos de desarrollo y mantenimiento

Normas ISO 17799 Gestión de incidentes de la seguridad de información Reporte de los eventos y debilidades de la seguridad de la información, gestionando los incidentes y mejoras en la seguridad de la información Plan de continuidad del negocio. El objetivo es estar preparado para evitar las interrupciones de las actividades críticas del negocio, en el caso se presenten fallas importantes o desastres en los sistemas de información, asegurando la recuperación oportuna. Cumplimiento Legal. Cumplimiento de los requisitos legales, de las políticas y las normas de seguridad y cumplimiento técnico, así como las consideraciones de la auditoría de sistemas de información.

Normas ISO 17799

Normas ISO 17799

Normas ISO 17799 Adoptar las normas incrementa: La seguridad efectiva de los SI Gestión de Seguridad y su planificación Garantizar la continuidad de negocios La confianza de los clientes y socios Imagen y Valor comercial La seguridad de información compete a la alta gerencia no al área tecnológica Las decisiones de seguridad generalmente se toman en base a los riesgos percibidos, no a riesgos reales => Es fundamental hacer “Análisis de Riesgos”

Estándares, Regulaciones y mejores prácticas COSO (Committee of Sponsoring Organizations) Es el Marco Integrado que proporciona criterios para evaluar el Control Interno COBIT (Control Objectives for Information and related Technology) Es un Marco de control de TI, que propone dominios de acción, asociando los recursos de la empresa con categorías de información ITIL (Information Technology Infrastructure Library) Es un Marco de trabajo de las mejores prácticas para facilitar la entrega de los servicios de TI

Estándares, Regulaciones y mejores prácticas Risk Security Response Management Plan Service Acquire and Delivery / Control and Organize Support Activities Implement Physical Business and Continuity Personnel Environmental Security Policy Management Security Security Asset Information Internal Organizational and Classification Environment Security Communications and Control ISO 27001 ITIL COSO COBiT Planning to Objective Implement Monitoring Application Setting Service Management Management Systems Communications Development Access Control Compliance and and Operations Maintenance Management Define Risk Monitor and ICT Infrastructure and Assessment Support Management Support Event Business Identification Perspective

ITIL Modelo ITIL v3. Ciclo de Vida de Servicio ITIL Modelo de Procesos Estrategia de Servicio Diseño de Servicio Transición de Operación de Mejora contínua de Servicios Métodos de Gobierno Alineamiento a Estándares Estudios de Caso Conocimientos y Habilidades Calificaciones Planes de Choque Herramientas de Aprendizaje Planificación para Implementar la Gestión de Servicios Gestión de Servicios Soporte Servicios Provisión de L A E M P R S La perspectiva Empresarial Gestión de Aplicaciones Gestión de la Infraestructura ICT (Tecnología de Información y Comunicación) T C N O G I Gestión de Seguridad Modelo de Procesos Ciclo de Vida de Servicio

US Securities & Exchange Commission Modelo de Gobierno TI COBIT Sarbanes Oxley US Securities & Exchange Commission COSO IT Governance Service Mgmt. Applic. Devel. Project Mgmt. IT Planning IT Security Quality System Quality Systems & Frameworks ISO CMM Six Sigma ITIL ASL 17799 PMI TSO IS Strategy IT OPERATIONS

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.