Seguridad, Control y Auditoria de los

Sistemas de Información

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Seguridad de la Información
La información es un recurso que, como el resto de los importantes
activos comerciales, tiene valor para una organización y por
consiguiente debe ser debidamente protegida.

La seguridad de la información protege ésta de una amplia gama de

amenazas, a fin de garantizar la continuidad comercial, minimizar el
daño al mismo y maximizar el retorno sobre las inversiones y las
oportunidades.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Seguridad de la Información
La seguridad de la información se define aquí como la preservación de
las siguientes características:

Confidencialidad: se garantiza que la información sea accesible

sólo a aquellas personas autorizadas a tener acceso a ella.

Integridad: se salvaguarda la exactitud y totalidad de la

información y los métodos de procesamiento.

Disponibilidad: se garantiza que los usuarios autorizados tengan

acceso a la información y a los recursos relacionados con ella
toda vez que se requiera.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Importancia de la seguridad de la
información
Para retener una ventaja competitiva y satisfacer los requerimientos
básicos del negocio, las organizaciones deben:

• Preservar la confidencialidad de los datos sensitivos.

• Asegurar la integridad de la información almacenada en sus

sistemas.

• Asegurar la disponibilidad continua de sus sistemas de

información

• Asegurar que los sistemas de información se ajusten a las leyes,

regulaciones y normas

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Importancia de la seguridad de la
información
Las organizaciones y sus redes y sistemas de información, se
enfrentan en forma creciente con amenazas relativas a la seguridad,
de diversos orígenes, incluyendo el fraude asistido por computadora,
espionaje, sabotaje, vandalismo, incendio o inundación.

Daños tales como los ataques mediante virus informáticos, "hacking" y

denegación de servicio se han vuelto más comunes, ambiciosos y
crecientemente sofisticados.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Importancia de la seguridad de la
información
Las fallas de seguridad pueden ser costosas para el negocio. Las
pérdidas pueden ocurrir como resultado de la falla misma o pueden ser
incurridas en la recuperación del incidente, seguidos por más costos
para asegurar los sistemas y prevenir más fallas.

Un conjunto bien definido de políticas y procedimientos de seguridad

puede prevenir pérdidas y ahorrar dinero.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Estándares de seguridad de la información

ISO 27001:2005 – Estándar para la gestión de la seguridad de la

información basada en riesgo.

ISO 17799:2005 (ISO 27002:2005) - Estándar internacional de

administración de la seguridad de la información.

ISO 15408:2005 - Técnica y criterio de evaluación de seguridad

tecnológica (Common Criteria)

ISO 13335:2004 (ISO 27005:2005) - Guía para la

administración de riesgos de seguridad de información.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Factores críticos de éxito de la seguridad de

la información
• Política de seguridad, objetivos y actividades que reflejen los
objetivos de la empresa.
• Una estrategia de implementación de seguridad que sea
consecuente con la cultura organizacional.
• Apoyo y compromiso manifiestos por parte de la gerencia.
• Un claro entendimiento de los requerimientos de seguridad, la
evaluación de riesgos y la administración de los mismos.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Factores críticos de éxito de la seguridad de

la información
• Comunicación eficaz de los temas de seguridad a todos los
gerentes y empleados;
• Distribución de guías sobre políticas y estándares de seguridad
de la información a todos los empleados y contratistas;
• Instrucción y entrenamiento adecuados;
• Un sistema integral y equilibrado de medición que se utilice para
evaluar el desempeño de la gestión de la seguridad de la
información y para brindar sugerencias tendientes a mejorarlo.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Alineación
Estratégica Administración
• Patrocinio de de la
Seguridad
La Dirección continuidad del
• Asignación de
define sus
Protección de negocio
Oficiales de
Seguridad expectativas y Protección recursos de
• Tolerancia de requerimientos física de información
Riesgos y nivel de de seguridad
inversión los • Evaluación de Riesgos
• Privacidad
• Estrategia recursos • Securidad de Mantenimiento
• Seguridad física aplicaciones/Bases de de la
y ambiental Datos Operación
Programa de • Seguridad de la
Seguridad infraestructura de red

• Modelo de
gobernabilidad, Oficiales
de seguridad, comité
Formalización ejecutivo de seguridad. Protección de
del programa y • Roles y Activos
organización responsabilidades
de seguridad organizacionales
inicial
Implementación Administración
de la Seguridad Administración
de Procesos
de Usuarios
• Clasificación de los
activos de información. • Administración de
Políticas y • Principios de la Identidades
arquitectura y los • Concientización del
Gobernabilidad Estándares procesos en sitio para usuario
orientada a las Conciencia y administrar las
• Nivel deseado de
estrategias de funciones claves de
negocio.
gobernabilidad basado Entrenamiento seguridad.
en las políticas que • Assessment del • Operación y monitoreo
debe de seguir la usuario final y de las operaciones
empresa en base a entrenamiento • Integración con las
seguridad • Entrenamiento de TI operaciones de TI
• Definición clara de los
estándares de
seguridad Soporte a Usuarios

Alineación con BS-7799

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Política de seguridad de la información

Objetivo: Proporcionar dirección y apoyo gerencial para brindar
seguridad de la información.

El nivel gerencial debe establecer una dirección política clara y

demostrar apoyo y compromiso con respecto a la seguridad de la
información, mediante la formulación y mantenimiento de una política
de seguridad de la información a través de toda la organización.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Política de seguridad de la información

Una política de seguridad de la información debe cumplir como mínimo
las siguientes pautas:

• Definición de la seguridad de la información, sus objetivos y

alcance generales y la importancia de la seguridad como un
mecanismo que permite la distribución de la información.

• Una declaración del propósito de los responsables del nivel

gerencial, apoyando los objetivos y principios de la seguridad
de la información;

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Política de seguridad de la información

• Una breve explicación de las políticas, principios, normas y
requisitos de cumplimiento en materia de seguridad, que son
especialmente importantes para la organización, por ejemplo:

Cumplimiento de requisitos legales y contractuales.

Requisitos de instrucción en materia de seguridad.

Prevención y detección de virus y demás software
malicioso.

Administración de la continuidad comercial.

Consecuencias de las violaciones a la política de
seguridad

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Política de seguridad de la información

• Una definición de las responsabilidades generales y
específicas en materia de gestión de la seguridad de la
información, incluyendo la comunicación de los incidentes
relativos a la seguridad;

• Referencias a documentos que puedan respaldar la política,

por ej. , políticas y procedimientos de seguridad más
detallados para sistemas de información específicos o normas
de seguridad que deben cumplir los usuarios.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Organización para la seguridad de la

información
Las responsabilidades para la protección de activos de información
deben ser claramente definidas. Las responsabilidades consideradas
por posición incluyen:

• Comité de Seguridad
• Gerencia Ejecutiva
• Propietarios de los datos
• Propietarios del proceso
• Especialistas / Asesores de seguridad
• Usuarios
• Auditores de SI
Ing. Carlos Castañeda Reátegui, CISA, CISM
 Protección de los activos de información

Seguridad frente a terceros

El acceso a las instalaciones de procesamiento de información de la
organización por parte de terceros debe ser controlado.

Cuando existe una necesidad de la empresa para permitir dicho

acceso, debe llevarse a cabo una evaluación de riesgos para
determinar las incidencias en la seguridad y los requerimientos de
control.

Los controles deben ser acordados y definidos en un contrato con la

tercera parte.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Clasificación de información
La información debe ser clasificada para señalar la necesidad, la
prioridades y el grado de protección.

La información tiene diversos grados de sensibilidad y criticidad.

Algunos ítems pueden requerir un nivel de protección adicional o un
tratamiento especial.

Se debe utilizar un sistema de clasificación de la información para

definir un conjunto apropiado de niveles de protección y comunicar la
necesidad de medidas de tratamiento especial.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Responsabilidad por activos de información

Se debe rendir cuentas por todos los recursos de información
importantes y se debe designar un propietario para cada uno de ellos.
La rendición de cuentas por los activos ayuda a garantizar que se
mantenga una adecuada protección.

Se deben identificar a los propietarios para todos los activos

importantes y se debe asignarse la responsabilidad por el
mantenimiento de los controles apropiados.

La responsabilidad por la implementación de los controles puede ser

delegada. En último término, el propietario designado del activo debe
rendir cuentas por el mismo.
Ing. Carlos Castañeda Reátegui, CISA, CISM
 Protección de los activos de información

Seguridad del personal

Las responsabilidades en materia de seguridad deben ser explicitadas
en la etapa de reclutamiento, incluidas en los contratos y monitoreadas
durante el desempeño del individuo como empleado.

Los candidatos a ocupar los puestos de trabajo deben ser

adecuadamente seleccionados, especialmente si se trata de tareas
críticas.

Todos los empleados y usuarios externos del ambiente de

procesamiento deben firmar un acuerdo de confidencialidad.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Seguridad del personal

Se debe garantizar que los usuarios están al corriente de las
amenazas e incumbencias en materia de seguridad de la información,
y están capacitados para respaldar la política de seguridad de la
organización en el transcurso de sus tareas normales.

Los usuarios deben ser capacitados en relación con los

procedimientos de seguridad y el correcto uso de las instalaciones de
procesamiento de información, a fin de minimizar eventuales riesgos
de seguridad.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Seguridad física y ambiental

Las instalaciones de procesamiento de información crítica o sensible
de la empresa deben estar ubicadas en áreas protegidas y
resguardadas por un perímetro de seguridad definido, con vallas de
seguridad y controles de acceso apropiados.

El equipamiento debe estar físicamente protegido de las amenazas a

la seguridad y los peligros del entorno (condiciones ambientales y de
aislamiento), para reducir el riesgo de acceso no autorizado a los datos
y para prevenir pérdidas o daños.

Ing. Carlos Castañeda Reátegui, CISA, CISM

 Protección de los activos de información

Controles de acceso físico

Los controles de acceso físico están diseñados para proteger a la
organización contra accesos no autorizados al CPD. Estos pueden
incluir:
• Cerraduras - Cerrojo, Combinación, electrónicas,
biométricas
• Bitácora o registro de acceso
• Cámaras de video
• Guardias de seguridad
• Ambiente cerrado
• Desconocimiento de la ubicación del CPD
• Puertas esclusa
Ing. Carlos Castañeda Reátegui, CISA, CISM
 Protección de los activos de información

Controles ambientales
Los equipos deben salvaguardarse de las exposiciones ambientales
mediante los siguientes controles:

• Panel de control de alarmas

• Detector de agua / humedad
• Detectores de humo
• Sistemas de supresión de incendios
• Extintores manuales de incendios
• Aire acondicionado / sensor de temperatura
• Generador de energía ininterrumpida (UPS)
• Falso Piso, Falso Techo

Ing. Carlos Castañeda Reátegui, CISA, CISM

Protección de los activos de información

¿Preguntas?

Ing. Carlos Castañeda Reátegui, CISA, CISM