Académique Documents
Professionnel Documents
Culture Documents
13/07/2012
Seguridad de Sistemas
Descripcin del curso
En la actualidad las tecnologas de informacin (TI) conforman el apoyo
ms importante en cualquier tipo de empresa.
13/07/2012
Seguridad de Sistemas
Objetivos generales del curso
Proporcionar al estudiante los conocimientos esenciales que le sirven
para administrar de forma eficiente el riesgo tecnolgico, en aquellas
empresas que utilizan el procesamiento electrnico de datos para
procesar la informacin econmica, contable y de toma de decisiones.
Esto implica, la capacidad de realizar diagnsticos, desarrollar proyectos
de implementacin de polticas, normativas y mejores prcticas que estn
correctamente alineadas a las estrategias de negocio y a la situacin real
de las empresas.
13/07/2012
Seguridad de Sistemas
Relacin de Contenidos programticos
Unidad I: Seguridad Informtica: Conceptos,
Objetivos, Metodologas, Etapas de Madurez.
Finalidades,
Fundamentos,
13/07/2012
Seguridad de Sistemas
Principios de Ingeniera
Lo que no se puede medir, no se puede mejorar, al menos
por metodologas cuantitativas
13/07/2012
Conceptos Bsicos
Fase I:
Fase IV:
Auditora Interna
Corporativos
Fases de la
Seguridad
Informtica
Fase II:
Fase III:
Auditora Externa
Regulatorios
13/07/2012
Conceptos Bsicos
Fases de la Seguridad Informtica
Fase I: Auditora Interna
En sus componentes bsicos, aquella entidad interna en la Organizacin,
que realiza las funciones administrativas del control y supervisin,
especialmente de los gastos (ej. Departamento de Contabilidad, Jefe de
Administracin).
En sus componentes avanzados, aquella entidad interna en la
Organizacin, que realiza funciones de Auditora, implementando aquellos
controles necesarios.
Fase II: Auditora Externa
Aquella entidad externa a la Organizacin, que realiza funciones de
Auditora, realizando las observaciones y recomendaciones resultantes, a
la Gerencia de la Organizacin.
Puede presentarse de manera opcional o de manera mandatoria (caso de
los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras).
Definicin de Auditora de Sistemas:
El examen o revisin de carcter objetivo (independiente), critico
(evidencia), sistemtico (normas), selectivo (muestras) de las polticas,
normas, prcticas, funciones, procesos, procedimientos e informes
relacionados con los sistemas de informacin computarizados.
13/07/2012
Conceptos Bsicos
Fases de la Seguridad Informtica
Fase III: Regulatorios
Aquellos regulaciones que son establecidas por medio de:
Legislatorios normales:
Leyes de aplicacin a nivel nacional, regional o internacional (ej. Cdigo de
Trabajo, Ley de Acceso a la Informacin Pblica)
Legislatorios por Mandato:
Leyes de aplicacin especialmente dirigidas al sector de negocios al que se
dedica la Organizacin (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y
Contrataciones del Estado)
Normativas generalmente aceptadas:
Aquellas normativas plenamente establecidas a nivel nacional o internacional,
que se han convertido en el estndar de facto, para la implementacin de
polticas, procesos y procedimientos (ej. ISO/9001 - Estndares de Calidad,
COBIT Auditora de Sistemas, ITIL Procesos y Procedimientos)
Fase IV: Corporativos
Aquellas Organizaciones que pertenecen a un Corporativo de orden superior,
sea a nivel nacional o internacional, regularmente realizan la implementacin
de polticas, procesos y procedimientos Internos, que se originan desde la
Casa Matriz.
Estas implementaciones regularmente estn regidas en base a Polticas
Globales, las cuales se tropicalizan para el mbito de aplicacin de cada pas
(ej. Polticas Globales de Gestin de Talento Humano)
Curso: Seguridad de Sistemas
13/07/2012
Conceptos Bsicos
Esquemas de Aseguramiento de Informacin
Esquema Prohibitivo
Caractersticas:
Bastante laborioso
Bastante desgastante
Proceso a largo plazo
Alta periodicidad
Evaluar
Prohibir
TODO lo
necesario
Orientacin:
Listas negras
Listas de prohibiciones
Listas de actividades
Establecer
elementos de
juicio
Aplicaciones ejemplo:
Regular el tiempo de navegacin en la Web, a los usuarios finales,
estableciendo horarios para el uso de redes sociales y servicios pblicos
(Facebook, BlogSpot, WordPress, etc)
Emisin de correos electrnicos al exterior, regulados por el dominio del
destinatario, evitando el envo a dominios de correo electrnico pblicos
(Hotmail, Gmail, Yahoo, etc)
Curso: Seguridad de Sistemas
13/07/2012
Conceptos Bsicos
Esquemas de Aseguramiento de Informacin
Permitir
SOLAMENTE lo
necesario
Esquema Permisivo
Caractersticas:
Bastante laborioso
Poco desgastante
Proceso a corto o mediano plazo
Baja periodicidad
Evaluar
Orientacin:
Hardening de servicios
Restriccin de recursos compartidos
Focalizar servicios de telecomunicaciones
Asegurar la conectividad
Esquema
Permisivo
Prohibir
TODO
Establecer
elementos de
juicio
Aplicaciones ejemplo:
Hardening de servicios tecnolgicos, al establecer aquellas funciones de
Bases de Datos, sistemas Operativos, etc, que deben permanecer habilitadas
y/o reguladas, deshabilitando el resto
Restriccin de recursos compartidos, como Carpetas, Impresoras, MultiFuncionales, etc, que deben estar disponibles solamente para aquellos
usuarios que estn autorizados para utilizarlos
Curso: Seguridad de Sistemas
13/07/2012
10
Prcticas
13/07/2012
11