Carmen R. Cintrón Ferrer, 2010, Derechos Reservados.

Slides:



Advertisements
Presentaciones similares
Academia Latinoamericana de Seguridad Informática
Advertisements

SEGURIDAD CORPORATIVA
Juan Antonio Pérez-Campanero Atanasio
INFORMATION SECURITY Programa Integral de Formación Profesional en
Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto
Sisdata, C.A..
Security Business Continuity Somos la solución de negocio en Seguridad Integral.
Sisdata, C.A..
Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo
AUDITORIA TECNOLOGIAS DE INFORMACION
AUDITORIA DE SISTEMAS Conceptos introductorios
Definición del problema Para las unidades operativas: Pocos recursos, requerimientos de productividad, incrementar la visión, actualización tecnológica.
La Convergencia entre la Seguridad Lógica y la Seguridad Física
Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas
Lorena Pérez Chiluiza Bolívar Pazmiño Merchán  La Seguridad de la Información  Es el Conjuntos de Medidas Preventivas y Reactivas de las Organizaciones.
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
TENDENCIAS Y ESCENARIOS DE LAS TIC
AUDITORÍA DE SISTEMAS UNIDAD 2.
Red nacional de información
Estructura Sistema de Control Interno
Las PyMEs son máquinas de crecimiento PyMEs representan hasta un 75% de todos los empleos en algunas economías (PyMEs) con conocimientos en tecnología.
Programa de Mantenimiento Anual Gerencia de Producción Roadmap 2010.
Octubre V3.7 Presentación Corporativa. ¿Quiénes somos? Misión Ayudamos a mejorar la competitividad de nuestros clientes al proveerles Soluciones.
Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer , Derechos Reservados.
Auditoría de Sistemas de Información
El papel de los estándares como referencia: Del IT Governance al IT Security Governance.
EJERCICIOS MÓDULO III Carmen R. Cintrón Ferrer, 2010, Derechos Reservados Auditoría de Redes.
Análisis y Diseño Módulo de Implantación Carmen R. Cintrón Ferrer, Derechos Reservados.
Soluciones de seguridad Febrero 2014 Juan Ramón Fontán Sales Director Security Accenture España.
Análisis y Gestión de Riesgos
Seguridad Informática
Ejercicios Auditoría de Redes Carmen R. Cintrón Ferrer, 2007, Derechos Reservados.
Normas Internacionales
Entrega de Servicios de TI1Copyright 2008 Tecnotrend SC Entrega de Servicios de TI.
COBIT 4.1 SISTESEG.
Programa de Mantenimiento Anual Gerencia de Producción Roadmap 2010.
1.8.3 Métricas de Alineación Estratégica
FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.
©Copyright 2013 ISACA. Todos los derechos reservados El estado deseado ISO/IEC 27002/ISO/IEC 27001— Las 11 Divisiones Principales: —Política de.
Solución Integrada para la Continuidad del Negocio
Auditoría de Redes AUD 721 Módulo 7 Carmen R. Cintrón Ferrer , Derechos Reservados.
1.17 Implementación del gobierno de la seguridad—Ejemplo
OFICINA DEL CONTRALOR DE P.R.
©Copyright 2013 ISACA. Todos los derechos reservados. 1.5 Gobierno Efectivo de la Seguridad de la Información BMIS - Una clara estrategia organizacional.
EJERCICIOS MÓDULO VI Carmen R. Cintrón Ferrer, , Derechos Reservados Auditoría de Redes.
Proveedores de servicios externos
 
Procesos itil Equipo 8.
(Control Objectives for Information and related Technology)
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
INTRODUCCIÓN.
Cómo lograr Aseguramiento de TI Utilizando COBIT 5
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Universidad Latina CONTROL INTERNO.
ABGR XI International Risk management and Insurance Seminar “Governance, Compliance & Risk Management: Limits and Interactions” ALARYS Latin American Risk.
La Importancia del uso de bases de datos y de la seguridad de la información para el fortalecimiento de las TIC y para el ejercicio eficiente del control.
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Esquema Nacional de Seguridad
Servicio de Auditoría Interna Auditoría de Sistemas de Información Auditoría de Sistemas de Información Servicio de Auditoría Interna Fernando Rodríguez.
Auditoría y Seguridad de Sistemas de Información Normativas Vinculadas Al Tema de Auditoría y Seguridad en los SI MBA Luis Elissondo.
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
Auditoría y Seguridad de Sistemas de Información Auditoria de Sistemas un Desafío Principales Actividades de la Auditoría de Sistemas Cr. Luis Elissondo.
MODULO 4 Sistema Integrado de gestión 1 Sistema Integrado de gestión – conceptos, fundamentos y requisitos comunes MÓDULO 4.
Transcripción de la presentación:

Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Contribuir a lograr una cultura de seguridad organizacional sobre la base de confiabilidad. 2Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Expresión visión  Metas  Expectativas  Objetivos 3Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Gestión Ética ( Governance: Honesty & Integrity -Ethics)  Manejo de Riesgos ( Risk Management )  Cumplimiento ( Compliance )  Estabilidad de operaciones (Business Resilience)  Madurez colectiva (Awareness & Training)  Fiscalización (Monitoring)  Divulgación y ajuste (Reporting, feedback & adjusting) 4Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Gestión ética (Governance) : – Visión – Código de Ética organizacional – Políticas – Estándares y Guías (Best Practices) – Procedimientos  Roles y responsabilidades: ◦ Segregación de funciones ◦ Responsabilidad (Accountability) ◦ Métricas de cumplimiento  Compromiso con enfoque de continuidad (Business resilience)  Planificación del proceso 5Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Manejo de riesgo: ◦ Identificación de riesgos y Gap Analisys ◦ Metodologías y estándares:  NIST SP , 14, 18, 26, 30, 37  Octave  CobIT & ValIT  COSO  ISO 17799:2002 & ITIL  OCEG Red Book  RFC 2196 Site Security Handbook  PCI & VISA Cardholder InfoSec Program ◦ Controles y métricas:  Preventivos  Mitigación  Correctivos ◦ Avalúo de controles 6Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Avalúo regulatorio ( Legal Assessment): ◦ Identificación del entorno regulatorio aplicable ◦ Estimación de impacto organizacional ◦ Integración y contacto con asesores legales externos  Cumplimiento con regulaciones (Compliance ) : ◦ Tecnológicas (IT Regulatory Compliance) ◦ Operacionales (Non – IT Regulations) ◦ De la industria o negocio (Industry related regulations)  Gestión de incidentes: ◦ Manejo de evidencia electrónica ◦ Computación forense ◦ Integración y contacto con agencias del orden público 7Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Estabilidad y confiabilidad (Business resilience) : ◦ Continuidad de operaciones ( Business Continuity Plan) ◦ Recuperación frente a desastres (Disaster Recovery Plan) ◦ Confiabilidad en permanencia (Business Resilience)  Madurez colectiva organizacional: ◦ Plan de concienciación (Awareness & Training Plan) ◦ Lealtad y compromiso del personal (Employee Adherence) ◦ Responsabilidad personal (Non-Compliance consequences) ◦ Métricas de cumplimiento 8Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Avalúo de sistemas : ◦ Configuración de sistemas y servicios ◦ Pruebas de sistemas y de TI’s ◦ Autenticación y controles de acceso ◦ Análisis de vulnerabilidades ( Vulnerability Assessment) ◦ Administración de seguridad de la Red ( Network Security Administration)  Respuesta a incidentes (Risk and Emergency Response): ◦ Comité de Emergencias ◦ Procedimientos: detección, respuesta, recuperación y corrección ◦ Comunicación y colaboración 9Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Fiscalización de cumplimiento (Monitoring): – Sistémico Systemic monitoring – Periódico mediante: Auditorías internas Auditoriás externas Auditorías por agencia(s) reguladoras Divulgación y ajuste (Reporting, feedback & adjusting): Divulgación de hallazgos (Disclosure) Mitigación efectiva (Remediation & Due Dilligence) Actualización y ajustes (Plan modification & update) 10Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Redifinición de Prácticas  Modificación de Roles  Integración de tecnologías 11Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Políticas  Procedimientos  Guías o prácticas generalmente aceptadas  Manuales  Controles 12Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Fisica & Lógica  Uso aceptable de la(s) tecnología(s): ◦ Estaciones de trabajo ◦ Navegación ◦ Servidores y servicios en red ◦ Laptops-Netbooks ◦ Telefonía integral ◦ Unidades de almacenamiento móviles (Pen/Jump drives)  Herramientas de comunicación: ◦ Correo electrónico ◦ Mensajería instantánea & Chat ◦ Sedes virtuales de socialización ◦ Servicios de conexión (P2P) y transferencia de archivos ◦ Servicios de transmisión de voz & vídeo  Acceso local y remoto a servicios ◦ Autenticación ◦ Copias de resguardo  Auditoría (monitoring) de la seguridad 13Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Flujo de información (entre & dentro) procesos: ◦ Seguridad de los depósitos transitorios y permanentes ◦ Controles y protección mientras navega dentro de la organización ◦ Controles y protección cuando sale del perímetro  Integridad de la información: ◦ Disponibilidad (a tiempo, precisa, completa, actualizada) ◦ Certeza de su veracidad e integridad (no adulterada accidental o intencionalmente) ◦ Protegida frente acceso indebido (ie. Cifrada) ◦ Reproducible de forma consistente ◦ Recuperable en caso de destrucción o pérdida 14Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Balance entre seguridad y necesidad de acceso: ◦ Controles efectivos que contribuyan a la eficiencia ◦ Protección de la privacidad asegurando cumplimiento ◦ Acopio de métricas para estimar productividad y efectividad (tecnología(s) & control(es))  Implicaciones de seguridad en procesos críticos: ◦ Disponibilidad ATH/DTP ◦ Intercambio/Integración de información entre procesos ◦ Integridad de almacenes de datos/transacciones  Impacto en Human-Computer Interaction: ◦ Integración de servicios & aplicaciones & herramientas ◦ Destrezas tecnológicas & dominio de procesos ◦ Apoyo técnico (interno/externo) 15Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Estándares de la industria  Controles: ◦ Manuales ◦ Sistémicos ◦ Tecnológicos  Percepción vs. realidad 16Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Jerarquía de roles: Top level management Legal Counsel Compliance Officer Internal auditor Security Officer IT Human Resources Business units  Responsabilidades IT: Descripción plazas – tareas – competencias Distribución de tiempo Asignación de recursos Fiscalización de cumplimiento 17Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Diseño estratégico de seguridad: ◦ ¿Qué controlar? ◦ ¿Cuáles controles integrar? ◦ ¿Qué medidas de respuesta ?  Implantación: ◦ Herramientas  Afinamiento  Fiscalización: ◦ Baselines ◦ Patrones o Tendencias  Acción: ◦ Comité de respuesta ◦ Alertas y nivel de escalada ◦ Controles de mitigación y recuperación  Avalúo: ◦ Periódico ◦ Extraordinario 18Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Tecnología: ◦ Controles de acceso ◦ Copias de resguardo ◦ Cifrado ◦ Control y fiscalización de la(s) Red(es):  Firewall’s  Proxy’s  IDS/IPS – Net & Hosts  Net Monitoring & Net Scanning ◦ Configuración, Parchos y Actualizaciones ◦ Redundancia y replicación  Personas: ◦ Políticas ◦ Plan de concienciación ◦ Programa de seguridad (Security Plan- IR, DR & BC) 19Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Sistemas y/o Servicios: ◦ Instalación & Mantenimiento ◦ SaaS ◦ Cloud computing  Fiscalización de la infraestructura (red)  Prevención y recuperación: ◦ DRP ◦ BCP  Prevención y anticipo (nuevas tendencias): ◦ Computación forense ◦ Análisis de penetración ◦ Análisis de vulnerabilidades 20Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Protección de propiedad intelectual: ◦ Terceros ◦ Proveedores ◦ Organización  Control de duplicación o diseminación: ◦ Programación ◦ Bancos de datos ◦ Secretos de negocio ◦ Publicaciones en medio electrónico  Digital Rights Management 21Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 OCTAVE OCTAVE  COBit  ValIT  Ernst & Young Ernst & Young  Network Security Illustrated, Albanese & Sonnenreich, McGraw Hill, NY, Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Otras Referencias 23Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Modelo Organizacional de confiabilidad Modelo Organizacional de confiabilidad  Modelo CobiT Modelo CobiT  CobiT Security Baseline CobiT Security Baseline  ISACA, Business Model for Information Security ISACA, Business Model for Information Security  UCISA Information Security Toolkit UCISA Information Security Toolkit  Solutionary, Security Measurement Solutionary, Security Measurement 24Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 NIST Risk Management Guide NIST Risk Management Guide  NIST Risk Management Framework NIST Risk Management Framework  GAO, Information Security Risk Assessment GAO, Information Security Risk Assessment  ITCi, Risk Management: Practical guidance on how to prepare for successful audits ITCi, Risk Management: Practical guidance on how to prepare for successful audits  IT Policy Compliance Group – CMM Capabilities practices IT Policy Compliance Group – CMM Capabilities practices  IT Governance Institute, Information Risks IT Governance Institute, Information Risks  IT Governance, Risk & Complaince (Basado en CobiT) IT Governance, Risk & Complaince (Basado en CobiT)  OCEG, Foundation Guidelines (RedBook) OCEG, Foundation Guidelines (RedBook)  OCEG, GRC Capability Model (Redbook) OCEG, GRC Capability Model (Redbook) 25Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

 Deloitte, Defining and Classifying Operational Risk, 2007 Deloitte, Defining and Classifying Operational Risk, 2007  NIST Risk Management Framework – Roles & Responsibilities NIST Risk Management Framework – Roles & Responsibilities  CERT, First Responders Guide to Computer Forensics CERT, First Responders Guide to Computer Forensics  NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática NETYK Technologies, Auditoría de Sistema y políticas de Seguridad Informática  Amador et als., Seguridad Computacional Amador et als., Seguridad Computacional  ent, Network Auditing Strategies ent, Network Auditing Strategies  CyberIntelligence Report (2009) CyberIntelligence Report (2009) 26Carmen R. Cintrón Ferrer, 2010, Derechos Reservados

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.