Daniela Ovando Santander Auditoria de Sistemas

Slides:

Advertisements

Presentaciones similares

T A L L E R IMPLEMENTACION DEL CONTROL INTERNO EN LAS UNIDADES DE TECNOLOGIA DE LA INFORMACION (TI)

Advertisements

OUTSOURCING O SUBCONTRATACION

information technology service

UNIVERSIDAD "ALONSO DE OJEDA"

UNIVERSIDAD "ALONSO DE OJEDA"

UNIVERSIDAD "ALONSO DE OJEDA"

UNIVERSIDAD "ALONSO DE OJEDA"

Control Interno Informático. Concepto

EVALUACION DEL PERSONAL

Auditoria de Sistemas de Gestión

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Centro de Datos de Internet

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

1 ESTRATEGIA DE IMPLEMENTACION DE MEDIDAS DE GOBIERNO DE LAS TECNOLOGIAS DE LA INFORMACION La Antigua, Guatemala 23 de Septiembre de 2008.

PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

Introducción a los sistemas de Información Hospitalarios

AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA DE SISTEMAS Conceptos introductorios

Control INTERNO componentes Información Y Comunicación

12.4 Seguridad de los archivos del sistema

ESCUELA POLITÉCNICA DEL EJÉRCITO

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

Ciclo de vida de la información histórica INEGI – Aguascalientes 2008.

AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.

AUDITORIA DE SISTEMAS DE INFORMACIÓN

PLAN ANUAL DE TRABAJO DEL ÓRGANO DE ADMINISTRACIÓN DE ARCHIVOS

La información y la comunicación son dos elementos claves en el quehacer institucional en función del cumplimiento de sus objetivos BUENOS DÍAS.

AUDITORÍA DE SISTEMAS UNIDAD 2.

Red nacional de información

CGR (Contraloría general de la república) Steven Oviedo Rodríguez

UTP – FACULTAD INGENIERIA INDUSTRIAL Y SISTEMAS AlumnoAcosta Guillen Víctor Raúl ProfesorCarlos Zorrilla V. Proyectos de ingeniería sistemas I.

MODELO ESTANDAR DE CONTROL INTERNO

“Adopción de SGSI en el Sector Gobierno del PERÚ”

DISTRIBUCIÓN DE MEDICAMENTOS

UNIDAD No. 5 ESTUDIO Y EVALUACION DEL CONTROL INTERNO EN INFORMATICA

SEGURIDAD INFORMÁTICA

Administración del riesgo en las AFP

PARTICIPACIÓN DEL AUDITOR EN EL DESARROLLO DE SISTEMAS

AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.

CONTROL INTERNO GENERAL

AUDITORIA DE LA OFIMATICA

ADIESTRAMIENTO DE AUDITORES INTERNOS DEL GOBIERNO 2007 Estado Libre Asociado de Puerto Rico OFICINA DEL CONTRALOR 1 SISTEMAS DE INFORMACIÓN Ricardo Acosta.

PLAN DE INTEGRACIÓN DE LAS TIC EN EL CENTRO

InfoGLOBAL · Virgilio, 2 · Ciudad de la Imagen · Pozuelo de Alarcón · Madrid (España) · Tel: · Fax: ·

“condición que necesita el usuario para resolver un problema o conseguir un objetivo determinado”. Los requisitos de un sistema son los aspectos que el.

CONTROL INTERNO CONTABLE CONTADURÍA GENERAL DE LA NACIÓN

Políticas de defensa en profundidad: - Defensa perimetral

Proveedores de servicios externos

UNIVERSIDAD LATINA II. FUNCIONES DEL ADMINISTRADOR.

DISEÑO CURRICULAR Presentado por: Cesar Augusto Sáenz María Alejandra Hernández 1.contenidos curriculares de competencia.

Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto

Procesos itil Equipo 8.

Disponibilidad de los recursos útiles para realizar los objetivos o metas planteadas. Se basa o se orienta hacia un proyecto.

 Los datos son uno de los recursos más valiosos. Por lo cual se debe tener presente: 1. La responsabilidad de los datos es compartida. 2. Un problema.

(Control Objectives for Information and related Technology)

Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.

ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.

Riesgo de Lavado de Activos

Universidad Latina CONTROL INTERNO.

EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)

Ingeniería del Software

SISTEMA DE GESTIÓN DE LA CALIDAD

Auditoría y Seguridad de Sistemas de Información Impacto Comercio Electrónico MBA Luis Elissondo.

Ministerio de Educación Decreto No. 4 Corte de Cuentas de la República.

Fundamentos de Auditoria PRIMERA NORMA DE AUDITORIA RELATIVA AL TRABAJO.

AUDITORIA. NORMAS DE AUDITORÍA. La contaduría pública, a través del Instituto Mexicano de Contadores Públicos, estableció una serie de requisitos mínimos.

Órgano de Control Institucional

Transcripción de la presentación:

Daniela Ovando Santander Auditoria de Sistemas REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA LA ADMINISTRACIÓN DE SISTEMAS DE INFORMACIÓN EN EL SISTEMA FINANCIERO BOLIVIANO Daniela Ovando Santander Auditoria de Sistemas

Antecedentes El crecimiento de Tecnologías de la Información, está cambiando la forma de hacer negocios. Las entidades financieras deben controlar los riesgos tecnológicos y contar con políticas y normas de seguridad informática para brindar un ambiente seguro y adecuado. La Autoridad de Supervisión del Sistema Financiero (ASFI)/(SBEF), mediante Resolución SB Nº79/2003 de 12.08.2003, ha aprobado y puesto en vigencia los “Requisitos Mínimos de Seguridad Informática para la Administración de Sistemas de Información y Tecnologías relacionadas” Deben ser cumplidos por las entidades financieras, con el propósito de minimizar el riesgo tecnológico existente en las transferencias electrónicas de datos, las transacciones electrónicas de fondos y cajeros automáticos.

REQUISITOS MÍNIMOS DE SEGURIDAD INFORMÁTICA PARA EL SISTEMA FINANCIERO Responsable de la Seguridad Informática: El Directorio es responsable de aprobar y tener actualizadas las políticas y normas de seguridad informática para la administración y control de los sistemas de información. Características y criterios de la información: Los datos deben contener un alto grado de seguridad y cumplir con los siguientes criterios básicos: Confiabilidad Confidencialidad Integridad Disponibilidad Efectividad Eficiencia Cumplimiento

Políticas, normas y procedimientos Políticas, normas y procedimientos.- El área de TI ,deberá tener implementadas y actualizadas, políticas, normas y procedimientos de seguridad informática para las siguientes áreas informáticas: a) Gestión i. Plan informático. ii. Comité de informática. iii. Comité operativo del área. iv. Desarrollo y mantenimiento de sistemas. v. Administración de contratos externos. b) Operaciones i. Seguridad física de sala de servidores y el entorno que la rodea. ii. Respaldos y recuperación de información. iii. Registro de caídas de los sistemas o no disponibilidad de servicios que afecten la atención normal al público. iv. Administración de cintoteca interna y externa. v. Control y políticas de administración de antivirus. vi. Administración de licencias de software y programas. vii. Traspaso de aplicaciones al ambiente de explotación. viii. Inventario de hardware y software. ix. Seguridad de redes. − Características, topología y diagrama de la red − Seguridad física de sitios de comunicacion − Seguridad y respaldo de enlaces. − Equipos de seguridad y telecomunicaciones. − Seguridad de acceso Internet/Intranet.

c) Administración de Usuarios i. Administración de privilegios de acceso a sistemas. ii. Administración y rotación de password. iii. Asignación y responsabilidad de hardware y software. iv. Administración de estación de trabajo ó PC. v. Uso de comunicaciones electrónicas. vi. Administración y control de usuarios Intranet/Internet. Plan de Contingencias Tecnológicas: Objetivo y metodología del plan de contingencias tecnológicas. Procedimientos de recuperación de operaciones críticas. Descripción de responsabilidades e identificación de personal clave. Medidas de prevención y recursos mínimos necesarios para la recuperación. Pruebas del Plan de Contingencias Tecnológicas: Efectuar al menos una prueba al año del Plan de Contingencias Tecnológicas.

CONTRATO CON PROVEEDORES DE TECNOLOGÍAS DE LA INFORMACIÓN Procesamiento de datos o ejecución de sistemas en lugar externo Asegurarse que la empresa proveedora cuente con la necesaria experiencia y capacidad en el procesamiento de datos y servicios bancarios. Infraestructura tecnológica y los sistemas que se utilizarán para la comunicación, almacenamiento y procesamiento de datos, ofrecen suficiente seguridad para resguardar la continuidad operacional y la confidencialidad, integridad, exactitud y calidad de la información y los datos. Suscripción del contrato con la empresa proveedora, señalando la naturaleza y especificaciones del servicio, la responsabilidad para mantener políticas, normas y procedimientos que garanticen la seguridad informática, el secreto bancario y la confidencialidad de la información, la facultad de la entidad financiera para practicar evaluaciones periódicas.

Desarrollo y mantenimiento de programas, sistemas o aplicaciones Contar con la necesaria solidez financiera, organización y personal adecuado, con conocimiento y experiencia en el desarrollo de sistemas y/o en servicios de intermediación financiera. Estructura tecnológica, sistemas operativos y las herramientas de desarrollo, referidos a licencias de software, que se utilizarán estén debidamente licenciados por el fabricante o representante de software. Relación Contractual con el Proveedor Externo de Tecnologías Programas Fuente Propiedad intelectual Plataforma de Desarrollo Formalización de Recursos Humanos Cronograma y plan de trabajo Atrasos y Riesgos Acceso remoto Seguridad Informática del Proveedor

TRANSFERENCIAS Y TRANSACCIONES ELECTRÓNICAS Requisitos de los sistemas de transferencia y transacción electrónica Adquirir e implementar elementos de hardware y software necesarios para la protección y control de su plataforma tecnológica, cumplir con los siguientes requisitos mínimos: Seguridad del Sistema Canal de Comunicación Difusión de Políticas de Seguridad Certificación Continuidad Operativa Disponibilidad de la Información (Informes) Registro de pistas de control Acuerdos privados

Encriptación de mensajes y archivos Contrato formal Establecer derechos y responsabilidades de cada una de las partes que intervienen en este tipo de operaciones electrónicas. El cliente, será responsable del uso y confidencialidad de PIN. Bloqueo automático de su clave después de tres intentos fallidos y el procedimiento para desbloqueo. Debe detallarse el tipo de operaciones que puede efectuar el cliente. Debe quedar establecido el horario de cierre diario y el procedimiento alternativo en caso de no disponibilidad del servicio. Hacer conocer al cliente las medidas de seguridad para la transferencia electrónica de información y transacción electrónica de fondos. Los sistemas que permitan ejecutar transacciones de fondos, además de reconocer la validez de la operación que el usuario realice, deben controlar que los importes girados no superen el saldo disponible o el límite que se haya fijado. Encriptación de mensajes y archivos

preguntas ¿USTEDES CREEN QUE ES ADECUADA LA CONTRATACION DE PROVEEDORES DE TI? ¿NO ES UN PELIGRO PARA LA SEGURIDAD DE LA INFORMACION?