La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo

Publicada porNovio Salome Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo"— Transcripción de la presentación:

1 Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo 2009-2
Ing. Yolfer Hernández, CIA

2 Temario Definición de Seguridad Informática Seguridad Física y Lógica
Proceso de Seguridad de los sistemas informáticos. Normas internacionales ISO 17799 Modelo de Gobierno TI

3 Seguridad Informática
“La seguridad informática, consiste en asegurar (mediante controles de protección, métodos, técnicas, etc.) que los recursos de los sistemas de información (Equipos tecnológicos, software, datos, procesos) de una organización sean utilizados de la manera que se decidió, a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una pérdida de confidencialidad, integridad y disponibilidad.1 1Definicion Combinada de wikipedia y Robert English (e-Security, OSIPTEL, Lima 2001).

4 Se tienen en cuenta … Física La seguridad de los equipos y medios de comunicaciones. Controles de acceso a las instalaciones. Mecanismos de Contingencias La seguridad de las bases de datos. La seguridad de las aplicaciones. Los controles de acceso a los programas y datos. Lógica

5 Necesidades de seguridad
Confidencialidad. Asegurar que sólo los autorizados tengan acceso a los recursos que se intercambian Integridad. Garantizar que los datos no puedan ser alterados sin autorización. Disponibilidad. Garantizar que la información esté disponible en forma oportuna según lo convenido.

6 Necesidades de seguridad
No-repudio. Garantía de que ninguna de las partes involucradas pueda negar en el futuro una operación realizada. Control de acceso Identificación y Autenticación: Asegurar que sólo los individuos autorizados tengan acceso a los recursos Consistencia Asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda.

7 Planificación de las necesidades de seguridad
No repudio Autenticación Control Consistencia Disponibilidad Confidencialidad Integridad

8 Para un Banco Confidencialidad Autenticación No repudio Integridad

9 Para Universidades Integridad Disponibilidad

10 Para instituciones de inteligencia
Confidencialidad

11 El proceso de implantación de Seguridad abarca ….
1. Planificación de las necesidades. 2. Estimación de riesgos. 3. Análisis de Costos – Beneficios. 4. Definición de políticas. 5. Implementación. 6. Auditoría.

12 La implantación de seguridad de sistemas incluyen
Políticas + Procedimientos Medidas técnicas

13 .. Y su aplicación correcta permite:
Proteger los activos de la entidad, incluyendo los secretos comerciales. Mantener una posición e imagen competitiva.

14 .. entonces Seguridad Inversión Auditoria

15 Políticas recomendadas
Plan de Seguridad Informática. Códigos de Ética. Plan de Contingencia. Evaluación de Seguridad Informática

16 Normas ISO 17799 Recomendaciones de Controles, para realizar la Gestión de Seguridad de la Información. Permite la implantación y evaluación de las medidas de seguridad en TI Es un “paso” para establecer un SGSI (Sistema de Gestión de Seguridad de Información) Son 11 dominios para derivar los: Objetivos de Control: Resultados a alcanzar Controles: procedimientos, métodos, herramientas

17 Normas ISO 17799 Secciones: Políticas de seguridad.
Proporciona las directivas y el soporte de la dirección general de la empresa para la seguridad de la información. Organización de la Seguridad de la Información Gestionar (administrar y mantener) la seguridad de la información: Recursos, activos, tercerización, etc. Mantener la seguridad de la información de los servicios de procesamiento de información de la organización a los cuales tiene acceso externos o que son procesados o usados por éstas.

18 Normas ISO 17799 Clasificación y control de activos.
Deberá mantenerse la protección adecuada de los activos corporativos y garantizar que los activos informáticos reciban un nivel adecuado de protección Seguridad del personal. Reducir el riesgo de error humano, robo, fraude, abuso de la información, sistemas y equipos. Asegurarse que el personal esté consciente de las amenazas a la información y sus implicaciones. Seguridad física y ambiental. Previene el acceso no autorizado a las instalaciones para evitar pérdida, robo, daño de los bienes o interrupción de las actividades productivas

19 Normas ISO 17799 Gestión de Comunicaciones y Operaciones.
Integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso. Respaldo de información, gestión de la seguridad de las redes, intercambio de información y monitoreo Evita al máximo el riesgo de fallas en el sistema, incluido el hardware y software

20 Normas ISO 17799 Sistemas de control de acceso.
Control del acceso a la información; previene los accesos no autorizados a sistemas de información (Sistemas operativos, aplicaciones de negocios, etc) Garantiza la protección de servicios de red; impide los accesos no autorizados a las computadoras; detecta actividades no autorizadas; salvaguarda la información cuando se utiliza cómputo móvil o remoto. Adquisición, Desarrollo y Mantenimiento de sistemas. Garantiza que la seguridad del sistema esté construida dentro de la aplicación para prevenir pérdidas, abusos y modificaciones de los datos, si es necesario usando controles criptográficos. Seguridad en los procesos de desarrollo y mantenimiento

21 Normas ISO 17799 Gestión de incidentes de la seguridad de información
Reporte de los eventos y debilidades de la seguridad de la información, gestionando los incidentes y mejoras en la seguridad de la información Plan de continuidad del negocio. El objetivo es estar preparado para evitar las interrupciones de las actividades críticas del negocio, en el caso se presenten fallas importantes o desastres en los sistemas de información, asegurando la recuperación oportuna. Cumplimiento Legal. Cumplimiento de los requisitos legales, de las políticas y las normas de seguridad y cumplimiento técnico, así como las consideraciones de la auditoría de sistemas de información.

22 Normas ISO 17799

23 Normas ISO 17799

24 Normas ISO 17799 Adoptar las normas incrementa:
La seguridad efectiva de los SI Gestión de Seguridad y su planificación Garantizar la continuidad de negocios La confianza de los clientes y socios Imagen y Valor comercial La seguridad de información compete a la alta gerencia no al área tecnológica Las decisiones de seguridad generalmente se toman en base a los riesgos percibidos, no a riesgos reales => Es fundamental hacer “Análisis de Riesgos”

25 Estándares, Regulaciones y mejores prácticas
COSO (Committee of Sponsoring Organizations) Es el Marco Integrado que proporciona criterios para evaluar el Control Interno COBIT (Control Objectives for Information and related Technology) Es un Marco de control de TI, que propone dominios de acción, asociando los recursos de la empresa con categorías de información ITIL (Information Technology Infrastructure Library) Es un Marco de trabajo de las mejores prácticas para facilitar la entrega de los servicios de TI

26 Estándares, Regulaciones y mejores prácticas
Risk Security Response Management Plan Service Acquire and Delivery / Control and Organize Support Activities Implement Physical Business and Continuity Personnel Environmental Security Policy Management Security Security Asset Information Internal Organizational and Classification Environment Security Communications and Control ISO 27001 ITIL COSO COBiT Planning to Objective Implement Monitoring Application Setting Service Management Management Systems Communications Development Access Control Compliance and and Operations Maintenance Management Define Risk Monitor and ICT Infrastructure and Assessment Support Management Support Event Business Identification Perspective

27 ITIL Modelo ITIL v3. Ciclo de Vida de Servicio ITIL Modelo de Procesos
Estrategia de Servicio Diseño de Servicio Transición de Operación de Mejora contínua de Servicios Métodos de Gobierno Alineamiento a Estándares Estudios de Caso Conocimientos y Habilidades Calificaciones Planes de Choque Herramientas de Aprendizaje Planificación para Implementar la Gestión de Servicios Gestión de Servicios Soporte Servicios Provisión de L A E M P R S La perspectiva Empresarial Gestión de Aplicaciones Gestión de la Infraestructura ICT (Tecnología de Información y Comunicación) T C N O G I Gestión de Seguridad Modelo de Procesos Ciclo de Vida de Servicio

28 US Securities & Exchange Commission
Modelo de Gobierno TI COBIT Sarbanes Oxley US Securities & Exchange Commission COSO IT Governance Service Mgmt. Applic. Devel. Project Mgmt. IT Planning IT Security Quality System Quality Systems & Frameworks ISO CMM Six Sigma ITIL ASL 17799 PMI TSO IS Strategy IT OPERATIONS

Descargar ppt "Conceptos de seguridad Seguridad y Auditoria de Sistemas Ciclo"

Presentaciones similares

Academia Latinoamericana de Seguridad Informática

Academia Latinoamericana de Seguridad Informática
CONTENIDOS 2. Objetivos de la seguridad informática

CONTENIDOS 2. Objetivos de la seguridad informática
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en
Seguridad Informática

Seguridad Informática
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Www.iso27002.es.

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
Geovanni Aucancela Soliz

Geovanni Aucancela Soliz
AUDITORIA TECNOLOGIAS DE INFORMACION

AUDITORIA TECNOLOGIAS DE INFORMACION
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
GOBERNABILIDAD DE PROYECTOS

GOBERNABILIDAD DE PROYECTOS
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN

Presentaciones similares

Anuncios Google