Académique Documents
Professionnel Documents
Culture Documents
Información
AGENDA
■ Auditoría de la Seguridad informática
– Concepto e Importancia
– Administración de la Seguridad
– Seguridad Física
– Seguridad Lógica
■ Visión Global del Enfoque de Seguridad
■ Qué es Seguridad de Información
■ El Porqué de la Seguridad de la Información
■ Establecimiento de Requerimientos de Seguridad
■ Evaluación de Riesgos
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Informática:
Es la estructura establecida para administrar la
integridad, confidencialidad y disponibilidad
de los sistemas de información, datos y recursos
T.I. utilizados.
Actualmente se trabaja el concepto de
Seguridad Integral para contrarrestar el riesgo
de afectar la Continuidad del Negocio.
Seguridad de la Información
Prevenir
Información Divulgación no autorizada de
Activos de Información
Confidencialidad
Escrita
Digital
Transmitida
Prevenir Prevenir
Cambios no autorizados en Información Destrucción no autorizada de
Activos de Información Activos de Información
Integridad Disponibilidad
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Importancia de la Seguridad
Informática:
Sustenta la viabilidad de todos los
procesos automatizados, inclusive el de la
misma empresa.
Equipos, sistemas y datos deben ser
valorizados y registrados como activos
para que se pueda dimensionar cualquier
eventualidad que los afecte.
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Los datos deben ser valorizados por las
siguientes razones:
■ Importancia estratégica de los datos: Los SI
contienen datos de importancia estratégica
que por su contenido y valor garantizan la
ventaja competitiva de la organización
Estos datos sustentan la toma de decisiones,
sean estas financieras u operativas
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
■Confidencialidad de los datos: Pertenecen a la
organización y pueden tener requerimiento
legal
■Expectativa de clientes, proveedores,....:
Mantener la confianza en el manejo de su
información
■Requerimientos externos: Leyes, Normas y
estándares (p.e.: Transferencia de fondos -
EFT, intercambio electrónico de datos - EDI)
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■ Clasificación de los datos: en función de
su seguridad, facilita su tratamiento a
los usuarios y dueños de la información
■ Razones de clasificación
Eficiencia
Implicancia Legal
Costos
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■ Criterios de clasificación:
Sensibles a la destrucción
Sensibles a la modificación
Sensibles a la intromisión
■ Categorías de clasificación: Niveles
(jerarquías), categorías (agrupaciones
independientes) y mixtas
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■ Determinación de responsabilidades
entre los usuarios propietarios de los
datos
■ Criterios de acceso: de lectura, borrado,
modificación/cambios, combinación de
fuentes separadas, ejecución de versión
compilada
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Administración de la Seguridad
■Políticas operacionales: relativas al:
Seguridad Lógica
Son los controles del software que
permiten identificar individualmente a
los usuarios, limitar los accesos y
establecer pistas de la actividad del
sistema y de los usuarios en el sistema
AUDITORÍA DE LA
SEGURIDAD INFORMÁTICA
Seguridad Lógica
■ Caminos de Acceso - Rutas:
1-8 9
Plan de Plan de
Seguridad Plan de Continuidad
de la Contingencias del
Información Negocio
•Identificación y Selección de
•Respuestas inmediatas ante eventos •Inventario de Procesos del
los Mejores Mecanismos de
que originen pérdida de datos o Negocio.
Seguridad
interrupción de las operaciones. •Identificación de Procesos
•Especificaciones de los
•Especificaciones del Plan de Acción a Críticos
Mecanismos de seguridad a
tomar de acuerdo al tipo de evento: •Especificaciones de los
Implantar.
•Planificación del proceso de Grupos de Trabajo y responsabilidades, mecanismos de Acción a
definición de Recursos, niveles de seguir para la continuidad
Implantación
Contingencia, escenarios de •Plan de Recuperación de los
•Concientización del personal
Contingencia. Activación de la estados de Seguridad
en la Seguridad.
Contingencia.
Revisión de Revisión del
la Estrategia 10 Plan Actual
Mejora
Continua
Revisión de
Pruebas del
Programas
Plan Actual
El Porqué de la Seguridad de la Información
Preocupación por Seguridad : en primer nivel
Consumidor Organización TI
TI
SD
PROLIA NT 8000
ESC
SD
RIESGO
DLT
Building 2
AHORA
Proceso de
Convergencia de TI y Proc. Negocio
Negocio
Negocios interorganizacionales (B2B; B2C)
TI
Modelos e-Business
SEGURIDAD COMO NECESIDAD AMPLIA DE LA EMPRESA
Necesidad de >
Análisis de Riesgos y Continuidad de Negocio
Mayor necesidad de entrenamiento de personal TI en Prácticas de Seguridad •Confianza
ESGO RI •Privacía
Consumidor TI
PROLIANT
8000
SD
Organización •Seguridad
ESC
SD
DLT
Building 2
Establecimiento de Requerimientos de Seguridad
ORIGENES PRINCIPALES:
REDUCIR VULNERABILIDAD
REDUCIR AMENAZA
COSTO-EFECTIVO
Proceso de Evaluación de Riesgos
Los 7 pasos:
1.- Identificar Activos
2.- Evaluar Amenazas (internas y externas)
3.- Evaluar Vulnerabilidades (Aplicaciones, BD, Red, Sw.
Base, Procesos)
4.- Determinar Impacto
5.- Evaluar Riesgos
6.- Seleccionar contramedidas
7.- Documento de Riesgo Residual
Proceso de Evaluación de Riesgos
Enfoques para evaluar riesgos:
1.- Cuantitativo: objetivo, basado en datos y fórmulas e
intensivo en tiempo y recursos
2.- Cualitativo: subjetivo, basado en experiencia y de
menor esfuerzo
Selección de controles: “basados en costo de
implementación en relación a riesgos a ser reducidos y a
pérdidas potenciales si ocurriera una ruptura a la
seguridad
LAS MEJORES PRACTICAS:
1.- Elaborar documento de políticas de seguridad
2.- Asignar responsabilidades en seguridad de información
3.- Entrenamiento al personal sobre conciencia en la seguridad
4.- Reportes y respuestas a incidentes de seguridad
5.- Gestión de Continuidad del negocio
CASO a desarrollar
• Grupos de 3 o 4
• Seleccionar la empresa objetivo (de uno de los participantes)
• Definir el problema o problemas de seguridad
(B2B, B2C, e-Business, etc)
• Evaluación del riesgo