Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Estan Dares
Estan Dares
Poltica
Cumplimiento Regulaciones Reducir Riesgos Limitar Exposicin Legal Cumplimiento Personas Observancia y Recurso Reglas Claras Consecuencias Claras Lnea Base Para Reglamento
Arquitectura
Mejorar Eficiencia de Procesos Reducir Costos Administrativos Costo de Propiedad Uso de las Tecnologas Cumplimiento Estndares Administracin Integrada Proceso de Actualizacin y Soporte Retorno de la Inversin
Diseo
Rendimiento Importancia Tcnica Cumplimiento Estndares Herramientas Integradas Licenciamiento Uso de las Tecnologas Proceso de Actualizacin y Soporte Facilidad de Uso Escalabilidad Flexibilidad Soporte MultiPlataforma
Implementacin
Rendimiento Importancia Tcnica Cumplimiento Estndares Herramientas Integradas Uso de las Tecnologas Proceso de Actualizacin y Soporte Facilidad de Uso Escalabilidad Flexibilidad Costo Licenciamiento
Negocio
2
Tcnico
ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera
Voces de la Industria
Muchas compaas de tecnologa de informacin han desarrollado tecnologas para manejar los retos de los negocios. Sin embargo, muchas de esas tecnologas slo atienden necesidades especficas dentro de todo el ambiente de seguridad de la informacin. Pocas compaas tienen desarrolladas tecnologas para integrar, fcilmente, con otras tecnologaspara ayudar a proveer un ms uniforme, ms controlado y, por tanto, ms seguro ambiente operativo.
Especialista en Seguridad, PricewaterhouseCoopers
Estndares
Polticas de Seguridad y Seguridad Organizacional Clasificacin de Activos y su Control Personal de Seguridad Seguridad Fsica y Ambiental Administracin y Operacin de Comunicaciones Control de Acceso
ACTIVIDAD
CONTROLES Para identificar los controles se clasifican en: Informtica Atribuciones Procedimientos Documentacin Sistema de informacin gerencial
3 2 1 1 2 3
IMPACTO EN LA ORGANIZACION
3
2 1
C R I T I C I D A D
D E L R I E S G O
9 6 3 1 2 3
SITUACION ACTUALCONTROL INTERNO
PROBABILIDAD DE OCURRENCIA (P.O) 1 2 3 Es poco probable que ocurra Es medianamente probable que ocurra Es altamente probable que ocurra
IMPACTO EN LA ORGANIZACIN (I) 1 2 3 Sera de bajo impacto Sera de mediano impacto Sera de alto impacto
SITUACION ACTUAL (SA) DEL CONTROL INTERNO 1 Cubre en gran parte el riesgo 2 Cubre medianamente el riesgo 3 No existe ningn tipo de medida
El estndar de seguridad ISO 17799 fue preparado por la British Standard Institution (con el nombre de BS 7799) y fue adoptado por el comit tcnico de la ISO en Diciembre del ao 2000. El estndar hace referencia a diez aspectos primordiales para la seguridad informtica. Estos aspectos son: Planes de Contingencia, Control de Acceso a los sistemas, Mantenimiento y desarrollo de aplicaciones, Seguridad Fsica, Cumplimiento, Seguridad Personal, Seguridad de la Organizacin, Administracin de Operaciones, Control y Clasificacin de la Informacin y Polticas de Seguridad.
Polticas de Seguridad:
Documento de la Poltica de Seguridad Revisin y Evaluacin
Outsourcing
Requisitos en Contratos de Outsourcing ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera
8
Clasificacin de Informacin
Clasificacin de Activos y su Control
Guas de Clasificacin. Manipulacin y marcacin de Informacin
Entrenamiento de Usuarios
Entrenamiento y Educacin en SI
10
Areas Seguras
Permetro de Seguridad Fsica Controles de entrada fsica Oficinas de Seguridad Trabajo en reas seguras Areas aisladas de cargue y descargue
Equipos de Seguridad
Ubicacin y protecin de Equipos Suministros de potencia Cableados de seguridad Mantenimiento de equipos Seguridad de equipos premisas de apagado Reuso o desecho de equipos
Controles Generales
Poltica de limpieza de escritorios y pantallas Manipulacin de Propiedad
11
Planeacin de Sistemas
Capacity Planning Planeamiento de capacidades Aceptacin del sistema
Housekeeping Mantenimiento
Back Ups de Informacin Logs de Operacin Fallas de Logging
Administracin de Red
Controles de red
12
13
ESTANDAR ISO 17799 - Control de Acceso Requerimientos de Negocios para Control de Acceso
Polticas de Control de Acceso
Control de Acceso
Responsabilidad de Usuarios
Utilizacin de contraseas Equipo de usuarios desatendidos ACIS 2002 Estndares de Seguridad Informtica Fernando Jaramillo Aguilera
14
Control de Acceso
15
Control de Acceso
16
Seguridad en Aplicaciones
Validacin de ingreso de datos Control de procesamiento Autenticacin de mensajes Validacin de salida de datos
Controles de Encripcin
Poltica de uso de controles de encripcin Encripcin Firmas digitales Servicios de No repudiacin Administracin de claves PKI
17
Seguridad de Archivos
Control de Sistemas Operativos Proteccin de Datos Control de acceso a librera de programas
18
19
Cosideraciones de Auditora
Controles de auditora de sistemas Proteccin de las herramientas de auditora
20
OUTSOURCING : Objetivo: Mantener la seguridad de la informacin cuando la responsabilidad del procesamiento esta en manos de otra organizacin. Las negociaciones de outsourcing deben tener definidos claramente en los contratos suscritos, los riesgos, los controles de seguridad y los procedimientos para los sistemas de informacin que se encuentren dentro de los procesos que estarn en manos de la organizacin proveedora del outsourcing.
21
SEGURIDAD EN CONEXIONES CON TERCEROS: Objetivo: Mantener la seguridad de la informacin de la organizacin que es accesada por terceros. El acceso a la informacin de la organizacin por parte de terceros debe ser controlado. Se debe hacer un anlisis de riesgos para determinar las implicaciones en seguridad y los requerimientos de control. Los controles que se definan deben ser definidos en el contrato que se firme con el tercero.
22
POLITICA DE SEGURIDAD INFORMATICA: Objetivo: Proveer directrices a la administracin y soporte para la seguridad de la informacin. La administracin debe ser capaz de definir la direccin de las polticas de Seguridad de la informacin. Adems debe establecer un claro y firme compromiso con estas polticas y divulgarlas a travs de toda la organizacin.
23
ISO. Si la empresa est sometida a un proceso de compra/venta, alianza estratgica o hace parte de una cadena de valor B2B. Renegociacin de primas y reaseguros.
PORQUE
24