Está en la página 1de 24

Control de los Sistemas de Negocios

Seguridad Informtica

Docente: Mg. Elisa Pauro Asillo


Seguridad Informtica
No es solamente implementar usuarios y contraseas

La seguridad es

Control de Accesos Plan de Continuidad de Negocio Gestin de Incidentes


Anlisis de Vulnerabilidades Concientizacin de usuarios
Encripcin
Evaluacin de Software Anlisis de Eventos Anlisis de Riesgo
Anlisis Forense ABM de Usuarios
Desarrollo de Polticas Normas y Estndares

Debe implementarse utilizando

Criterio de Negocio
Seguridad Informtica
No es solamente implementar usuarios y contraseas

La seguridad es

Servicio

Debe implementarse utilizando


Test de
AntiSpam AntiVirus Firewalls
Penetracin
Doble Factor de Autenticacin PKI Controles
Sistemas de deteccin de Intrusos AntiPhishing
Herramientas Forenses Marcos Normativos
Permisos mnimos necesarios Correlacin de eventos
NORMATIVA

Polticas

Normas

Procedimientos Estndares Tcnicos


MODELO CONCEPTUAL
COMIT DE TECNOLOGA
Continuidad de Negocio
Controles

Software
Negocio Informacin y Aplicaciones Hardware Canales Usuarios

PLANIFICACIN
ANLISIS DE RIESGO
POLTICAS / NORMAS / PROCEDIMIENTOS / ESTANDARES
COMO CONCIENTIZAR ?
Cursos presenciales de concientizacin a usuarios finales
Induccin / Mandos Medios / Gerencia
Cursos a distancia (elearning)
Circulares
Publicaciones en revista corporativa
Algunos temas tratados:
Navegar Protegido
Prevencin contra Virus
Consejos sobre Redes Sociales
Buenas Prcticas de Contraseas
Uso de Medios extrables
Consejos sobre Home Banking
Resguardo de Archivos Personales
La importancia de Reporte de Incidentes
ASPECTOS A TENER EN CUENTA
Apoyo de la Alta Gerencia
Independencia del rea de Sistemas
Implementacin de un Sistema de Gestin de Seguridad (SGSI)

Presupuesto Propio para adquirir herramientas

Cumplimiento Legal y Normativo

Planificacin estratgica orientada a segurizar el negocio

Plan de Concientizacin de usuarios

Monitoreo y Controles basados en


mtricas preestablecidas (Tablero de Control)
Auditoria Interna

SEGURIDAD INFORMTICA
ASPECTOS A TENER EN CUENTA

Los gerentes de seguridad de la informacin eficientes entienden que


las auditoras constituyen tanto un proceso esencial de
aseguramiento como un aliado crtico e influyente para alcanzar
un nivel adecuado de gobierno y cumplimiento de la seguridad
Los auditores pueden ser un factor clave en la implementacin
de los estndares de seguridad al comunicar informacin de
retroalimentacin basada en los resultados de las auditoras a la alta
direccin para influir en la posicin de los ejecutivos y conseguir
su apoyo para actividades relacionadas con la seguridad
Incluir auditores en la gestin general de la seguridad puede ser una
herramienta poderosa para mejorar la cultura de seguridad de
una organizacin

Fuente: ISACA Manual CISM (Certified Information Security Manager)


AUDITORA INTERNA
Normas Internacionales para el ejercicio profesional
(sobre Atributos sobre Desempeo)
La actividad de auditora interna debe proporcionar servicios
independientes y objetivos de aseguramiento y consulta, concebidos
para agregar valor y mejorar las operaciones de la organizacin
(Atributos: 1100 Independencia y objetividad)

Estatuto Cdigo de tica Comit de Auditora


(Atributos: 1000 Propsito, Autoridad y Responsabilidad)

Capacitacin continua
(Atributos: 1200 Aptitud y cuidado profesional)

Debe evaluar y contribuir a la mejora de los procesos de gobierno,


gestin de riesgos y control, utilizando un enfoque sistemtico y
disciplinado
(Desempeo: 2000, 2100, 2200, 2300, 2400, 2500, 2600)

Planes Procedimientos Matriz de Riesgo Herramientas


(Desempeo: 2000, 2100, 2200, 2300, 2400, 2500, 2600)

Aseguramiento y mejora de la calidad


(Atributos: 1300 Programa de aseguramiento y mejora de la calidad)
AUDITORA INTERNA
Normas Internacionales para el ejercicio profesional de la AI
(de implementacin)
AUDITORIA DE SISTEMAS
Norma (D) 2100 - Naturaleza del
Trabajo Incorpora / Utiliza
Herramientas y Soporte en TI
2110.A2: evaluar si el gobierno de TI
Herramientas adquiridas
apoya las estrategias y objetivos de la
Desarrollos propios
organizacin.
2120.A1: evaluar las exposiciones al Mejores Prcticas
riesgo referidas a gobierno, operaciones y COBIT
sistemas de informacin de la organizacin, ITIL / CMMI / PMBoK
con relacin a lo siguiente: ISO 20000/21500/27000/31000
Logro de los objetivos estratgicos de NIST 800
la organizacin,
Certificaciones
Fiabilidad de integridad de la
(22 auditores / 35 certificaciones
informacin financiera y operativa,
11 CISA / 2 CISM / 9 CRISC / 3
Eficacia y eficiencia de las operaciones y CGEIT
programas, 2 ISO 27001
Proteccin de activos, y 2 CISSP
Cumplimiento de leyes, regulaciones,
1 CPP
polticas, procedimientos y contratos 5 QAR
NORMATIVA DE SI
AUDITORIA DE SISTEMAS

Verifica / Evala
Existencia, adecuacin y
cumplimiento de las Polticas,
Normas, Procedimientos y
Estndares Tcnicos
Monitoreo ejercido por SI

Contribuye
al conocimiento de la normativa
por parte de reas auditadas,
Alta Direccin y Comit de
Auditora, a travs de sus
informes de auditora, donde
expone debilidades, riesgo
asociado y recomendaciones.
MODELO CONCEPTUAL SI
AUDITORIA DE SISTEMAS
Participa
Comit de TI y SI (proyectos
y Continuidad de Negocio

estratgicos, tcticos, presupuesto,


informes de gestin)
Controles

Proyectos de TI y SI
Proceso de Gestin de Riesgo de TI
Pruebas de Continuidad y Recuperacin
Evala
Comunicacin de las Aspiraciones y la
Direccin de las Gerencias
Normas Internacionales para el ejercicio Procesos, Organizacin y Relaciones de
profesional - Glosario: TI
Controles de TI: Soportan la gestin y el gobierno
del negocio, y proporcionan controles generales y Responsabilidad sobre el Riesgo, la
tcnicos sobre las infraestructuras de tecnologa de la Seguridad y el Cumplimiento
informacin tales como aplicaciones, informacin, Gestin de Riesgo de TI
infraestructura y personas.
Gobierno de TI: Consiste en el liderazgo, las Planeacin de Proyectos y Mtodos de
estructuras de la organizacin y los procesos que Aseguramiento
aseguran que la tecnologa de la informacin de la Controles de TI (Generales/de
empresa soporta las estrategias y objetivos de la
organizacin. Aplicacin)
Plan y Pruebas de Continuidad
Negocio
AUDITORIA DE SISTEMAS

Elabora
Plan Anual de Auditora basado en
riesgo (considerando el BIA)
Efecta
Auditoras por Procesos
y Continuidad de Negocio

Auditoras Especficas
Verifica / Evala
Controles

que las actividades de TI y SI se


encuentren alineadas al Negocio.
la efectividad del Plan de
Continuidad de Procesamiento y
sus pruebas
cumplimiento regulatorio
Contribuye
a travs de sus informes, a la
asignacin de recursos de TI y SI
Informacin
AUDITORIA DE SISTEMAS

Verifica / Evala
Esquema de Clasificacin de
Datos
Controles de Acceso segn
y Continuidad de Negocio

necesidad de conocer / mnimo


privilegio
Controles

Procesamiento, Resguardo y
Recuperacin de Datos
Administracin de Contratos y
Riesgos con Proveedores
Gestin de Incidentes y
problemas de seguridad
Gestin de Usuarios sensitivos
Monitoreo ejercido por SI
Software y Aplicaciones
AUDITORIA DE SISTEMAS

Verifica / Evala
Seguridad y Disponibilidad de las
Aplicaciones y SW de base (SOs,
BDs)
y Continuidad de Negocio

Monitoreo ejercido por TI


Controles

Ciclo de Vida (Adquisicin /


Desarrollo, Pruebas, Instalacin,
Configuracin, Cambios)
Administracin de Contratos y
Riesgos con Proveedores
Gestin de Incidentes y Problemas
Gestin de Usuarios sensitivos
Monitoreo ejercido por SI
Hardware
AUDITORIA DE SISTEMAS

Verifica / Evala
Seguridad y Disponibilidad de la
Infraestructura tecnolgica
Monitoreo ejercido por TI
Ciclo de Vida (Adquisicin,
y Continuidad de Negocio

Instalacin, Mantenimiento,
Controles

Configuracin, Cambios)
Gestin de la Capacidad
Continuidad de Servicio
Administracin de Contratos y
Riesgos con Proveedores
Gestin de Incidentes y Problemas
Gestin de Usuarios sensitivos
Monitoreo ejercido por SI
Canales
AUDITORIA DE SISTEMAS

Verifica / Evala
Seguridad y Disponibilidad de
Canales (ATM/TAS/BI/BT/BM)
Protocolos / Encripcin
Monitoreo ejercido por TI
y Continuidad de Negocio

Ciclo de Vida (Adquisicin,


Controles

Instalacin, Mantenimiento,
Configuracin, Cambios)
Gestin de la Capacidad
Continuidad del servicio
Administracin de Contratos y
Riesgos con Proveedores
Gestin de Incidentes y
Problemas
Gestin de Usuarios sensitivos
Monitoreo ejercido por SI
Usuarios
AUDITORIA DE SISTEMAS

Verifica / Evala
Concientizacin sobre temas de
seguridad / Compromiso de
confidencialidad
Roles sobre activos de informacin
Asignacin de perfiles por funcin
y Continuidad de Negocio

segn necesidad de conocer /


Controles

mnimo privilegio
Generacin, Distribucin y
Revocacin de Usuarios
Monitoreo ejercido por SI
Monitorea
Usuarios sensitivos de SI
Contribuye
a generar conciencia en temas de
seguridad a travs de sus informes
de auditora
PARA GESTIN DE RIESGOS
3LOD
Modelo de las tres lneas de defensa (3LoD, en ingls)

aplicable a Seguridad Informtica?


Fuente: IAIA (Plataforma Global de Defensa y Promocin)
PARA GESTIN DE RIESGOS Y SEGURIDAD INFORMTICA

3LOD
Primera lnea de defensa (Gerencia operativa)
GR Tiene la propiedad, responsabilidad y obligacin de evaluar, controlar y mitigar los
riesgos, a la vez que mantiene controles internos eficaces.
SI Tiene la propiedad, responsabilidad y obligacin de definir la adecuada segregacin
de funciones, otorgar acceso a la informacin con los principios de necesidad de
conocer y mnimo privilegio, cumplimiento de Polticas, Normas y Procedimientos
de Seguridad.

Segunda lnea de defensa (Contralor, Gestin de riesgos, Seguridad


Informtica, otras funciones de cumplimiento)

GR Facilitan y supervisan la implementacin de prcticas de gestin de riesgos


eficaces por parte de la gerencia operativa y ayudan a los responsables de riesgos a
distribuir la informacin adecuada sobre riesgos hacia arriba y hacia abajo en la
organizacin
SI Facilitan y supervisan la implementacin de las Polticas de Seguridad por parte
de la gerencia operativa, ayudan a difundir la cultura de seguridad de la informacin.
Administra el SGSI, informa a la Alta Direccin el estado de la Seguridad.

Fuente: IAIA (Plataforma Global de Defensa y Promocin)


PARA GESTIN DE RIESGOS Y SEGURIDAD INFORMTICA

3LOD
Tercera lnea de defensa (Auditora interna)
GR A travs de enfoque basado en el riesgo, proporcionar aseguramiento sobre la
SI
eficacia de gobierno, gestin de riesgos y control interno en el organismo de
gobierno y la alta direccin de la organizacin, incluidas las maneras en que
funcionan la primera y segunda lnea de defensa.
Esta responsabilidad cubre todos los elementos del enfoque de gestin de riesgos
de la institucin: identificacin de riesgo, evaluacin de riesgo y respuesta a
comunicaciones de informacin relativa a riesgos (de toda la organizacin y hacia la
alta direccin y el organismo de gobierno).

Auditora externa y Organismos reglamentarios externos


GR Se ubican fuera de la estructura de la organizacin. Cumplen un rol en la estructura
SI
de gobierno general y de control de la organizacin (este es especficamente el caso
en los sectores regulados como el sector de bancos). Se pueden considerar como
una lnea de defensa adicional que proporciona aseguramiento a los
accionistas, al consejo y a la alta direccin.

Fuente: IAIA (Plataforma Global de Defensa y Promocin)


GESTIN DE RIESGOS DE TI
Proporciona una visin singular de cmo es cada sistema, qu valor posee, a
qu amenazas est expuesto y de qu salvaguardas se ha dotado
GR Activos
SI
AS Amenazas
Salvaguardas

AUDITORIA DE SISTEMAS
Verifica / Evala / Utiliza Gestin de
Riesgo
la Gestin de Riesgos de TI Gestin de Operacional
Riesgos de
Activos de
Anlisis de Informacin
Riesgos de
Activos de
Informacin
Clasificacin Mejores prcticas / Regulaciones
de Activos de ISO 27005 framework Risk Analysis and Evaluation
Informacin ISO 31000 Risk Management
Risk IT Framework (ISACA)
NIST SP 800 30 framework for Mitigation
Magerit Methodology for IT Risk Analysis
BCRA 4609 / 4793 / 5374
RIESGOS DE TI
Seguridad Informtica
Auditora de Sistemas

Seguridad Informtica
Clasificacin de Activos, Anlisis y Gestin de Riesgos

Auditora por proceso


Modelo conceptual

Servidor Servidor

Auditora especfica por aplicativo / plataforma / canal / UF (Aspecto Seguridad)


Resumen / Conclusiones
Apoyo de la Alta Gerencia, Presupuesto Propio, Independencia del rea de TI
Cumplimiento Legal y Normativo
Planificacin estratgica orientada al negocio
Sistema de Gestin de Seguridad de la Informacin (SGSI)
Concientizacin a Usuarios
Monitoreo y control con mtricas pre-establecidas
Apoyo de Auditora
Proceso de aseguramiento de la seguridad
Factor clave en la implementacin de los estndares de seguridad
Herramienta poderosa para mejorar la cultura de seguridad de una
organizacin
Aliado crtico e influyente para alcanzar un nivel adecuado de gobierno y
cumplimiento de la seguridad
MIRADA HOLISTICA
SINERGIA