Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LAS HERRAMIENTAS DE CONTROL, son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control
Metodologas cuantitativas :
Basadas en FIPS 65 Mtodo de IBM : basado en tcnica de DELPHI = consenso de expertos para determinar los costos. RISKCALC BDSS Metodologas cualitativas:
LAVA: Los Alamos Vulnerability/ Risk Assessment RISKPAC No se tiene en cuenta la frecuencia para valorar los riesgos. MARION La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza para CRAMM
Probabilidad de ocurrencia
determinar el nivel de riesgo que se tiene. "Aqu el riesgo indica las prdidas ante la posibilidad de presentarse la amenaza
Mtodo cuantitativo basado en una encuesta anual al CLUSIF(base de Incidentes francesa) * No contempla probabilidades. * Contempla esperanzas matemticas (aprox. numricas)
Comprende seis etapas: 1. Identificar los incidentes e impactos sobre el SI. 2. Decidir la perdida mxima aceptable y por lo tanto los incidentes a cubrir. 3. Estimar la calidad de medidas de seguridad existentes (a partir de una lista cuestionario), identificando vulnerabilidades y contra-medidas a implementar. 4. Identificar los factores financieros que dificulten la implementacin de las contra-medidas. 5. Producir una lista priorizada de contra-medidas 6. Desarrollar un plan de accin. Presenta resultados en forma grfica, tabular y provee un gestionador del proyecto de seguridad.
Utiliza cuestionarios para valorar la seguridad (SI=4,NO=0,No_aplicable=3). Parmetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categoras) categora de factores 1. Seguridad informtica general 2. Factores socioeconmicos 3. Concienciacin sobre la seguridad de soft 4. Concienciacin sobre la seguridad de materiales. 5. Seguridad en explotacin. 6. Seguridad en desarrollo.
El anlisis de riesgo lo hace bajo 10 reas problemas: Riesgos materiales Sabotajes fsicos Averas Comunicaciones. Errores de desarrollo Errores de explotacin Fraude Robo de informacin Robo de software Problemas de personal.
Nota: - Las prdidas posibles no deben nunca sobrepasar el VALOR DE RIESGO MAXIMO ADMISIBLE
Valor dado por un estudio del banco de Francia para las distintas reas sectoriales
Metodologa aplicada en
Herramientas de software
Profile Analysis Corporation con DATAPRO(1994) enfoque cualitativa subjetiva resultados exportables a procesadores de texto BD. Hojas de clculo sistemas grficos
Ponderacin
valoracin de contramedidas
Informe final
Plan de Contingencia
Contingencia: evento posible pero no muy probable. (antes) Plan de recuperacin ante desastre. (ahora) Plan de continuidad del negocio. Estadsticas: 90% de empresas victimas de un desastre dejan de existir despus de 18 meses. Casos ms tpicos: Fuego, Prdida de personal, cada de sistema crtico. Plan de contingencia: Anticipar problemas conflictivos y resolverlos. Identificar individuos claves. Aspectos geogrficos. Factor de Confianza.
Estrategia planificada formado por un conjunto de respaldos, Procedimientos de Emergencias para Recuperar la continuidad Del negocio
Plan de Contingencia
Fases I. Anlisis y Diseo Estudia la problemtica, alternativas de respaldo se analiza el costo/beneficio de las mismas Existen dos metodologas para desarrollar esta fase RISK ANALISIS (posibles riesgos)
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Identificar amenazas Anlisis de probabilidad de amenaza Seleccin de amenazas Entornos amenazados Servicios afectados Estimacin del impacto econmico/servicio afectado Servicios a cubrir Seleccin del mbito del plan Alternativa para los entornos Seleccin de alternativas Diseo de estrategias de respaldo Seleccin de estrategias de respaldo
1. 2. 3. 4. 5. 6. 7. 8.
Identificar servicios finales Anlisis del impacto (daos econmicos) Seleccin de servicios crticos Recursos de soporte Alternativas para entornos Seleccin de alternativas Diseo de estrategias de respaldo Seleccin de estrategias de respaldo
Plan de Contingencia
II. Desarrollo del Plan Desarrollo de la estrategia seleccionada Desarrollo de procedimientos de accin
III. Pruebas y Mantenimiento Se definen las pruebas, sus caractersticas y ciclos Se define la estrategia de mantenimiento
Herramientas Deben contener: BD relacional Mdulos de entrada Mdulos de consulta Procesador de textos * Generador de informes * ayuda,etc
Herramienta-Meycor Cobit
Herramienta-Meycor Cobit
Herramienta-Meycor Cobit
Auditorias Internas .-
- Funciones - Procedimientos para las distintas tareas de las auditorias - Tipos de auditoria - Sistema de evaluacin - Nivel de exposicin - Lista de distribucin de informes - Seguimiento de acciones correctorias - Plan quincenal - Plan de trabajo anual
Ventajas entajas de la auditoria interna Puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. normal. Los auditados conocen estos planes y se habitan a las Auditori Auditorias, as, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. trabajo. Por otro lado, la auditori auditoria externa es realizada por personas afines a la empresa auditada auditada; ; se presupone una mayor objetividad que en la Auditori Auditor ia Interna, debido al mayor distanciamiento entre auditores y auditados. auditados .
3.5 CONTROL INTERNO INFORMTICO. SUS MTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL
3.5.1 La funcin del control automtico independiente, debe ser independiente del departamento controlado - El rea informtica monta los procesos informticos seguros seguros. . - El control interno monta los controles. controles. -La auditoria informtica evala el grado de control LA AUDITORIA INFORMTICA -Tiene la funcin de vigilancia y evaluacin mediante dictmenes y todas sus metodologas van encaminadas a esta funcin funcin. . -Tiene sus propios objetivos distintos a los auditores de cuentas aunque necesarios para que stas puedan utilizar la informacin de sus sistemas para sus evaluaciones financieras y operativas. operativas . Evalan eficiencia, costo y seguridad en su ms amplia visin, esto es todo los riesgos informativos y ya sean los clsicos (confidencialidad, integridad y disponibilidad) o los costos y los jurdicos, dado que ya no hay una clara separacin en la mayora de los casos. casos. -Operan segn el plano auditor -Utilizan metodologas de evaluacin de tipo cualitativo. -Establecen planes quinquenales como ciclos completos -Sistemas de evaluacin de repeticin de la auditoria por nivel de exposicin del rea auditada y el resultado de la ltima auditoria de sta rea. -La funcin de soporte informtico de todos los auditores (opcionalmente), aunque dejando claro que no se debe pensar con esto que la auditoria informtica consiste en esto solamente.
FUNCIONES DE CONTROL INTERNO Control de informacin comprometida o sensible. Control de micro informtica y usuarios Control de calidad de software Control de calidad del servicio informtico Control de costes Responsable del departamento (gestin de recursos humanos y tcnicos) Control de licencias y relaciones contractuales con terceros. Control y manejo de claves de cifrado Relaciones externas con entidades relacionadas con la seguridad de la informacin. Definicin de requerimientos de seguridad de proyectos nuevos. Vigilancia del cumplimiento de las normas y controles. Control de cambios y versiones Control de paso de aplicaciones a explotaciones Control de medidas de seguridad fsica o corporativa en la informtica Responsable de datos personales (LOPD y cdigo penal) Otros controles que se designen Otras funciones que se designen.
Anlisis de riesgo
SI IDENTIFICAMOS DISTINTOS NIVELES DE CONTRAMEDIDIAS PARA DISTINTSAS ENTIDADES DE INFORMACIN CON DISTINTOS NIVELES DE CRITICIDAD, ESTAREMOS OPTIMIZAMOS LA EFICIENCIA DE LAS CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS. ENTIDAD DE INFORMACIN.INFORMACIN.- ES EL OBJETIVO A PROTEGER EN EL ENTORNO INFORMTICO Y QUE LA CLASIFICACIN DE LA INFORMACIN AYUDA A PROTEGER, ESPECIALIZANDO LAS CONTRAMEDIDAS SEGN EL NIVEL DE CONFIDENCIALIDAD O IMPORTANCIA QUE TENGAN. METODOLOGA DEL TIPO CUALITATIVO/SUBJETIVO CON JERARQUAS QUE SEGN SEAN PRESERVACIN: VITALVITAL-CRITICA VALUADA -NO SENSIBLE. O PROTECCIN: ALTAMENTE CONFIDENCIALCONFIDENCIAL-CONFIDENCIALCONFIDENCIAL-RESTRINGIDA -NO SENSIBLE. PRIMA DEFINE BASICAMENTE: - ESTRATEGICA (MUY CONFIDENCIAL, MUY RESTRINGIDA) - RESTRINGIDA (A LOS PROPIETARIOS DE LA INFORMACIN) - DE USO INTERNO (A TODOS LOS EMPLEADOS) - DE USO GENERAL (SIN RESTRICCIN)
2. 3. 4. 5. 6. 7. 8.
Inventario de entidades de informacin residentes y operativas Identificacin de propietarios Definicin de jerarquas de informacin Definicin de la matriz de clasificacin Confeccin de la matriz de clasificacin Realizacin del plan de acciones Implantacin y mantenimiento
OBTENCIN DE LOS PROCEDIMIENTOS DE CONTROL: METODOLOGA: METODOLOGA :
Fase 1.1.- Definicin de objetivos de control: Tarea 1: Anlisis de la empresa Tarea 2: Recopilacin de estndares Tarea 3: Definicin de los objetivos de control Fase 2.2.- Definicin de los controles: Tarea 1: Definicin de los controles Tarea 2: Definicin de necesidades tecnolgicas Tarea 3: Definicin de los procedimientos de control Tarea 4: Definicin de las necesidades de recursos humanos
Fase 3: Implantacin de los controles: - Procedimientos propios de control de la actividad informtica - Procedimiento de distintas reas usuarias de la informtica, mejorados - Procedimientos de reas informticas mejorados - Procedimiento de control dual entre control interno informtica y el rea informtica, los usuarios informticos y el rea de control no informtico.
jefes de proyecto, tcnico de sistemas, operadores de explotacin, operadores de telecomunicaciones, grupo de usuarios de aplicaciones, administrador de la seguridad lgica, auditoria, y tantos como se designen designen. . Integridad de los LOG e imposibilidad de desactivarlos por ningn perfil para poder revisarlos . Gestin centralizada de la seguridad o al menos nica nica. . Contrasea nica para los distintos sistemas de la red y la autentificacin de entrada una sola vez. vez. Y una vez dentro, controlar los derechos de uso uso. . La contrasea y archivos con perfiles y derechos y la inaccesibles a todos, incluso a los administradores de seguridad seguridad. . El sistema debe rechazar a los usuarios que no usan la clave del sistema correctamente, inhabilitando y avisando a control que tomar las medidas oportunas. oportunas. Separacin de entornos El LOG o los LOGs de actividad no podrn desactivarse a voluntad, y si se duda de su integridad o carencia, resolver con un terminal externo controlado controlado. . El sistema debe obligar al usuario a cambiar la contrasea, de forma que slo la conozca l, que es la nica garanta de autenticidad de sus datos datos. . Es frecuente encontrar mecanismos de auto auto-LOGOUT, que expulsan del sistema la terminal que permanece inactiva ms de un tiempo determinado. determinado.
EST CONTROLADA LA SEGURIDAD LGICA EN LA ACTUALIDAD? SE CUMPLE EL MARCO JURDICO SIN SEGURIDAD LGICA? LGICA?; ; LA FORMA MS APROPIADA DE RESOLVER ESTE PROBLEMA ES UTILIZAR UN MTODO PRCTICO QUE DESARROLLAREMOS: DESARROLLAREMOS :
ANLISIS DE PLATAFORMA CATLOGO DE REQUERIMIENTO PREVIOS DE IMPLANTACIN ANLISIS DE APLICACIONES INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS (en este punto trataremos todo el esquema de funcionalidades de la seguridad lgica actual; actual; crear nuevas jerarquas de estndares a cumplir y tratar de definir los controles que se deberan tener, ya sea de usuario de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas) ADMINISTRACIN DE LA SEGURIDAD; nos interesa ver las siguientes funcionalidades u objetivos de control requeridos al nuevo sistema de control de acceso acceso: : - Permite el producto establecer un conjunto de reglas de control aplicables a todos los recursos del sistema? - Permite el producto al administrador de seguridad establecer un perfil de privilegios de acceso para un usuario o grupos de usuarios - Permite el producto al administrador de seguridad asignar diferentes administradores? - Permite el producto al administrador de seguridad asignar a estos administradores la responsabilidad de gestionar privilegios de acceso para grupos y recursos definidos? - Permite a un administrador pedir acceso para l mismo, tanto como para cualquier usuario de su rea de responsabilidad? - impide el producto que un administrador se provea l mismo de sus propias peticiones?
FACTORES GESTIN Y ADMINISTRACIN DE LA SEGURIDAD SINGLE SIGNSIGN-ON FUNCIONALIDADES DE LA RED SEGURIDADES SE PUEDEN CONSEGUIR LOS OBJETIVOS DE CONTROL? USUARIO USUARIO
RED
ADMINISTRACION ADMINISTRACION
SINGLE SIGN ON (que es necesario slo un password y un user ID para un usuario acceder y usar su informacin y sus recursos de todos los sistemas como si de un solo entorno se tratara) FACILIDADES DE USO Y REPORTING (se valora la interfase de usuario y la calidad de la misma) SEGURIDADES (se trata de ver aspectos de seguridad clsico del propio producto como que el administrador no vea los password de los usuarios, longitud del password mnimo, que el producto requiera un ID y password de longitud mnima para el acceso del propio producto etc. etc.) ADQUISICION, INSTALACION E IMPLANTACION , FORMACION DE MANUALES DE PROCESAMIENTO DE CONTROL
PORCENTAJE DE PARTICIPACIN
Apellidos y Nombres % 100 100 100 100 100
DIAZ ESTRADA, Diana Margarita FLORES JOSEPH, Hugo FLORES SALDAA, Len NAVARRO SOLSOL, Linda SALINAS MENDOZA, Evelina G.