SEGURIDAD Y AUDITORIA DE

SISTEMAS
ING. HANS QUISPE ARCOS
QUISPEARCOSH@GMAIL.COM
POLITICAS DE SEGURIDAD
POLITICAS DE SEGURIDAD INFORMATICA

Kevin Mitnick
POLITICAS DE SEGURIDAD INFORMATICA
Una poltica de seguridad es un conjunto de
directrices, normas, procedimientos e
instrucciones que gua las actuaciones de trabajo y
define los criterios de seguridad para que sean
adoptados a nivel local o institucional, con el
objetivo de establecer, estandarizar y normalizar la
seguridad tanto en el mbito humano como en el
tecnolgico.
 COMO DESARROLLAR UNA POLITICA DE
SEGURIDAD?
Identifique y evale los activos
Hardware: Terminales, computadoras personales, router.
Software: Sistemas Operativos, programas de comunicacin.
Datos: Base de datos, Back ups.
Personas: Usuarios, personas para operar los sistemas.
Documentacin: Procedimientos administrativos locales.
 COMO DESARROLLAR UNA POLITICA DE
SEGURIDAD?
Identifique las amenazas
Cules son las causas de los potenciales problemas de seguridad?
Considere la posibilidad de violaciones a la seguridad y el impacto
que tendran si ocurrieran.
Amenazas externas: Se originan fuera de la organizacin y son los
malware, ataques de hackers o espionajes.
Amenazas internas: Son las amenazas que provienen del interior de
la empresa y que pueden ser muy costosas porque se tiene mayor
acceso al requerido.
 COMO DESARROLLAR UNA POLITICA DE
SEGURIDAD?
Evalu los riesgos
ste puede ser uno de los componentes ms desafiantes del
desarrollo de una poltica de seguridad. Debe calcularse la
probalidad de que ocurran ciertos sucesos y determinar cules
tienen el potencial para causar mucho dao.
 COMO DESARROLLAR UNA POLITICA DE
SEGURIDAD?
Asigne las responsabilidades
Seleccione un equipo de desarrollo que ayude a identificar las
amenazas potenciales en todas las reas de la empresa. Sera
ideal la participacin de un representante de cada
departamento. Los principales integrantes seran: El
administrador de redes, un asesor jurdico, un ejecutivo
superior y representantes de los departamentos de RRHH.
 COMO DESARROLLAR UNA POLITICA DE
SEGURIDAD?
Establezca polticas de seguridad
Cree una poltica que apunte a los documentos asociados;
parmetros y procedimientos, normas, as como los contratos
de empleados.
Desarrolle un proceso de monitoreo peridico.
Comunique a todo el personal involucrado en el desarrollo
de las PSI.
 COMO DESARROLLAR UNA POLITICA DE
SEGURIDAD?
Implemente una poltica en toda la organizacin
La poltica debe establecer claramente las responsabilidades
en cuanto a la seguridad y reconocer quien es el propietario
de los sistemas y datos especficos.
GESTIN DE RIESGOS
GESTIN DE RIESGOS
 GESTIN DE RIESGOS
Actividades para el tratamiento:
Eliminar; Es cuando el activo deja de tener valor.
Mitigar; Consiste en implementar algn control que reduzca el riesgo.
Transferir; Ocurre cuando se delega la accin de mitigacin a un
tercero.
Aceptar; Se presenta cuando el impacto es suficientemente bajo para
que la organizacin decida no tomar ninguna accin de mitigacin o
cuando el costo de la aplicacin de un control supera el valor del activo.
GESTIN DE RIESGOS
IMPLEMENTACIN DEL PLAN
DE SEGURIDAD
 Medidas de seguridad
Las medidas de seguridad son acciones que podemos tomar
con la finalidad de reducir las vulnerabilidades existentes en
los activos de la empresa.
Son varias las medidas de proteccin que recomendamos para
la reduccin de las vulnerabilidades desde la informacin.
 Medidas de seguridad
Control de acceso a los recursos de la red

Proteccin contra virus

Seguridad para equipos porttiles

ICP Infraestructura de llaves pblicas

 Medidas de seguridad

Deteccin y control de invasiones

Firewall

VPN Virtual Private Network

Acceso remoto seguro

 Medidas de seguridad

Seguridad en correo electrnico

Seguridad para las aplicaciones

Monitoreo y gestin de la seguridad

Seguridad en comunicacin Mvil

 Medidas de seguridad

Seguridad para servidores

Firewall interno
 Administrador de seguridad
Definir la misin de seguridad informtica de la organizacin en conjunto con
las autoridades de la misma.
Aplicar una metodologa de anlisis de riesgo para evaluar la seguridad
informtica en la organizacin.
Definir la Poltica de seguridad informtica de la organizacin.
Definir los procedimientos para aplicar la Poltica de seguridad informtica.
Seleccionar los mecanismos y herramientas adecuados que permitan aplicar
las polticas dentro de la misin establecida.
 Administrador de seguridad
Crear un grupo de respuesta a incidentes de seguridad, para atender
los problemas relacionados a la seguridad informtica dentro de la
organizacin.
Promover la aplicacin de auditorias enfocadas a la seguridad, para
evaluar las prcticas de seguridad informtica dentro de la organizacin.
Crear y vigilar los lineamientos necesarios que coadyuven a tener los
servicios de seguridad en la organizacin.
Crear un grupo de seguridad informtica en la organizacin.