Seguridad de Sistemas

Justificacin del curso

Las operaciones de negocios y su administracin dependen en gran parte
de la tecnologa, especficamente de las tecnologas de informacin (TI)
(IT Information Technologies). Por lo tanto, las estrategias de TI deben
estar perfectamente alineadas con las estrategias de negocio.
La tendencia actual esta orientada al incremento gradual del soporte que
las TIs brindan a las estrategias de negocio. Esto genera un alto grado de
dependencia.
Conforme las empresas alcanzan mayores grados de madurez, necesitan
implementar dentro de su cultura de negocios, el aseguramiento de los
sistemas de informacin y el Gobierno de TI (IT Governance). Esto
significa, la adopcin de polticas y normativas generalmente aceptadas,
mejores prcticas, para incrementar el aseguramiento de uno de sus
mayores capitales, la informacin relativa a sus negocios.
La administracin del riesgo operativo y del riesgo financiero regularn
las estrategias de negocio. La administracin del riesgo tecnolgico
regular el aseguramiento de los sistemas de informacin.

Curso: Seguridad de Sistemas

13/07/2012

Seguridad de Sistemas
Descripcin del curso
En la actualidad las tecnologas de informacin (TI) conforman el apoyo
ms importante en cualquier tipo de empresa.

El aseguramiento de los sistemas de informacin es un proceso continuo,

conforme varan y se incrementan las estrategias de negocio, aunado a
las amenazas y vulnerabilidades que se presentan en el mercado, se
elevarn los niveles de riesgo inherente a la utilizacin de tecnologa.
De acuerdo con lo anterior, es necesario brindar al estudiante los
conocimientos sobre las principales metodologas para el aseguramiento
de los sistemas de informacin y la implementacin del Gobierno de TI.

Curso: Seguridad de Sistemas

13/07/2012

Seguridad de Sistemas
Objetivos generales del curso
Proporcionar al estudiante los conocimientos esenciales que le sirven
para administrar de forma eficiente el riesgo tecnolgico, en aquellas
empresas que utilizan el procesamiento electrnico de datos para
procesar la informacin econmica, contable y de toma de decisiones.
Esto implica, la capacidad de realizar diagnsticos, desarrollar proyectos
de implementacin de polticas, normativas y mejores prcticas que estn
correctamente alineadas a las estrategias de negocio y a la situacin real
de las empresas.

Curso: Seguridad de Sistemas

13/07/2012

Seguridad de Sistemas
Relacin de Contenidos programticos
Unidad I: Seguridad Informtica: Conceptos,
Objetivos, Metodologas, Etapas de Madurez.

Finalidades,

Fundamentos,

Unidad II: Seguridad Informtica y Riesgos de TI: Procesos, Campos de Accin,

Relacin con otras ciencias. Riesgos.
Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI.
Unidad IV: Metodologas, polticas y normativas, Organizaciones internacionales,
Mejores practicas, Hacking tico, Herramientas administrativas.
Unidad V: mbitos de control fsico y lgico, Controles, Aseguramiento del Data
Center, Aseguramiento de la calidad de los servicios, Estrategias tecnolgicas.
Unidad VI: Anlisis forense informtico: Manejo de incidentes, Marco normativo,
Metodologas, Experiencias concretas, Evidencia digital.

Unidad VII: Logstica: Toma de decisiones criticas, Manejo de presupuestos,

Dificultades, Resea sobre BCP & DRP, Retos y proyecciones de TI,
Especializaciones.

Curso: Seguridad de Sistemas

13/07/2012

Seguridad de Sistemas
Principios de Ingeniera
Lo que no se puede medir, no se puede mejorar, al menos
por metodologas cuantitativas

Los mtodos de medicin utilizados en Ingeniera, deben ser

precisos, concisos y concretos, para que puedan convertirse en
poderosas herramientas, tanto para la resolucin de problemas,
como para la optimizacin de procesos.

Curso: Seguridad de Sistemas

13/07/2012

Conceptos Bsicos

Fase I:

Fase IV:

Auditora Interna

Corporativos

Fases de la
Seguridad
Informtica

Fase II:

Fase III:

Auditora Externa

Regulatorios

Curso: Seguridad de Sistemas

13/07/2012

Conceptos Bsicos
Fases de la Seguridad Informtica
Fase I: Auditora Interna
En sus componentes bsicos, aquella entidad interna en la Organizacin,
que realiza las funciones administrativas del control y supervisin,
especialmente de los gastos (ej. Departamento de Contabilidad, Jefe de
Administracin).
En sus componentes avanzados, aquella entidad interna en la
Organizacin, que realiza funciones de Auditora, implementando aquellos
controles necesarios.
Fase II: Auditora Externa
Aquella entidad externa a la Organizacin, que realiza funciones de
Auditora, realizando las observaciones y recomendaciones resultantes, a
la Gerencia de la Organizacin.
Puede presentarse de manera opcional o de manera mandatoria (caso de
los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras).
Definicin de Auditora de Sistemas:
El examen o revisin de carcter objetivo (independiente), critico
(evidencia), sistemtico (normas), selectivo (muestras) de las polticas,
normas, prcticas, funciones, procesos, procedimientos e informes
relacionados con los sistemas de informacin computarizados.

Curso: Seguridad de Sistemas

13/07/2012

Conceptos Bsicos
Fases de la Seguridad Informtica
Fase III: Regulatorios
Aquellos regulaciones que son establecidas por medio de:
Legislatorios normales:
Leyes de aplicacin a nivel nacional, regional o internacional (ej. Cdigo de
Trabajo, Ley de Acceso a la Informacin Pblica)
Legislatorios por Mandato:
Leyes de aplicacin especialmente dirigidas al sector de negocios al que se
dedica la Organizacin (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y
Contrataciones del Estado)
Normativas generalmente aceptadas:
Aquellas normativas plenamente establecidas a nivel nacional o internacional,
que se han convertido en el estndar de facto, para la implementacin de
polticas, procesos y procedimientos (ej. ISO/9001 - Estndares de Calidad,
COBIT Auditora de Sistemas, ITIL Procesos y Procedimientos)
Fase IV: Corporativos
Aquellas Organizaciones que pertenecen a un Corporativo de orden superior,
sea a nivel nacional o internacional, regularmente realizan la implementacin
de polticas, procesos y procedimientos Internos, que se originan desde la
Casa Matriz.
Estas implementaciones regularmente estn regidas en base a Polticas
Globales, las cuales se tropicalizan para el mbito de aplicacin de cada pas
(ej. Polticas Globales de Gestin de Talento Humano)
Curso: Seguridad de Sistemas

13/07/2012

Conceptos Bsicos
Esquemas de Aseguramiento de Informacin
Esquema Prohibitivo
Caractersticas:
Bastante laborioso
Bastante desgastante
Proceso a largo plazo
Alta periodicidad

Evaluar

Prohibir
TODO lo
necesario

Orientacin:
Listas negras
Listas de prohibiciones
Listas de actividades

Establecer
elementos de
juicio

Aplicaciones ejemplo:
Regular el tiempo de navegacin en la Web, a los usuarios finales,
estableciendo horarios para el uso de redes sociales y servicios pblicos
(Facebook, BlogSpot, WordPress, etc)
Emisin de correos electrnicos al exterior, regulados por el dominio del
destinatario, evitando el envo a dominios de correo electrnico pblicos
(Hotmail, Gmail, Yahoo, etc)
Curso: Seguridad de Sistemas

13/07/2012

Conceptos Bsicos
Esquemas de Aseguramiento de Informacin
Permitir
SOLAMENTE lo
necesario

Esquema Permisivo
Caractersticas:
Bastante laborioso
Poco desgastante
Proceso a corto o mediano plazo
Baja periodicidad

Evaluar

Orientacin:
Hardening de servicios
Restriccin de recursos compartidos
Focalizar servicios de telecomunicaciones
Asegurar la conectividad

Esquema
Permisivo

Prohibir
TODO

Establecer
elementos de
juicio

Aplicaciones ejemplo:
Hardening de servicios tecnolgicos, al establecer aquellas funciones de
Bases de Datos, sistemas Operativos, etc, que deben permanecer habilitadas
y/o reguladas, deshabilitando el resto
Restriccin de recursos compartidos, como Carpetas, Impresoras, MultiFuncionales, etc, que deben estar disponibles solamente para aquellos
usuarios que estn autorizados para utilizarlos
Curso: Seguridad de Sistemas

13/07/2012

10

Prcticas

Propuestas de Prcticas a desarrollar al finalizar este Da:

1. Desarrollo de Foros sobre los siguientes temas:
Dependencia
de las empresas sobre las TICs (Tecnologas de
Informacin y Comunicaciones), factores que generan ALZAS en dichas
dependencias
Importancia del conocimiento y experiencia, sobre Seguridad de
Sistemas, Auditora de Sistemas, Riesgo Tecnolgico
Reconocimiento de las Fases de la Seguridad Informtica
2. Propuestas de Ante-Proyectos:
Presentar propuestas de Ante-Proyectos relacionados con aplicacin del
Esquema PROHIBITIVO de Aseguramiento de Informacin
Presentar propuestas de Ante-Proyectos relacionados con aplicacin del
Esquema PERMISIVO de Aseguramiento de Informacin

Curso: Seguridad de Sistemas

13/07/2012

11