Auditoría de Sistemas de Información Auditoría de Sistemas de Información

Bibliografía

• ALFARO, E. (2011) MAIGTI: METODOLOGÍA PARA LA AUDITORÍA INTEGRAL DE LA GESTIÓN DE

Auditoría a la LAS TECNOLOGÍAS DE LA INFORMACIÓN. 1ra. ed., Lima, Ed. Universidad Privada Norbert Wiener
S.A. - Fondo Editorial.
confidencialidad del • AREITIO, J. (2013) SEGURIDAD DE LA INFORMACIÓN: REDES, INFORMÁTICA Y SISTEMAS DE
INFORMACIÓN. 2da. ed., Madrid, Editorial PARANINFO. Código 005.8/A68. Ubicación BIBLIOTECA
Sistemas de Información CENTRAL - Piso 1A-1 - Estante 01.
• ISACA (2011) MANUAL DE PREPARACIÓN AL EXAMEN CERTIFIED INFORMATION SECURITY
MANAGER.
• ISO (2013) ISO/IEC-IEEE ISO/IEC 27002:2013 TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE
SEGURIDAD SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN – CONTROLES.
Jaime E. Díaz Sánchez 2da. ed., Ginebra-Suiza, International Organization for Standardization.
Ing. Sistemas – C.I.P. 73304
• PIATTINI, M., Emilio DEL PESO, E. y DEL PESO, M. AUDITORÍA DE TECNOLOGÍAS Y SISTEMAS DE
jdiazs@upao.edu.pe
INFORMACIÓN (2008). 1ra. ed., Madrid, RA-MA EDITORIAL. Código 657.453/P52. Ubicación
BIBLIOTECA CENTRAL - Piso 2A-2 - Estante 10.

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 2 Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 3

Auditoría de Sistemas de Información Auditoría de Sistemas de Información

Agenda Información

Introducción
Crea Almacena Procesa

Confidencialidad

Trasmite Usa
Controles

Auditoría Destruya Corrompa Pierda

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 4 Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 5

Auditoría de Sistemas de Información Auditoría de Sistemas de Información

¿Problemas? ¿Problemas?

¿Quién?

¿Cuánto? ¿A qué?
Preguntas
repetitivas

¿Cuándo? ¿Desde?

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 6 Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 7

1
 Auditoría de Sistemas de Información Auditoría de Sistemas de Información

¿Solución? ¿Solución?

Estándares de
Contraseñas

Estándares de
Estándares de
Seguridad de
Encriptación
Dominio
Inclusión de
Estándares
Técnicos y No
Estándares de Estándares de
Arquitectura Técnicos Backup/Restore

Estándares de Estándares de
Configuración de Políticas y
¿Intervención Divina? ¿Super Poderes? ¿Balas de Plata? Firewalls Procedimientos

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 8 Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 9

Auditoría de Sistemas de Información Auditoría de Sistemas de Información

Confidencialidad Confidencialidad: Seguridad de la Información

ISO/IEC 27001:2013 define

Confidencialidad
“La Seguridad de la Información es la
preservación de la confidencialidad,
Información es accesible solo a usuarios integridad y disponibilidad de la
autorizados información; además, también
pueden estar involucradas otras
Proteger de la difusión no autorizada,
propiedades como la autenticidad,
como información parcial, personal o
responsabilidad, no-repudio y
comercial patentada
confiabilidad”

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 10 Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 11

Auditoría de Sistemas de Información Auditoría de Sistemas de Información

Confidencialidad: Seguridad de la Información Confidencialidad: ISO/IEC 13335-1:2004

Confidencialidad
Asegurar que la información • Garantizar que la información sea accesible únicamente
es accesible solo para Confidencialidad
aquellos autorizados a tener para quienes tengan acceso autorizado
acceso

• Salvaguardar la exactitud e integridad de la información

Integridad
y activos asociados

Disponibilidad
Integridad • Garantizar que los usuarios autorizados tengan acceso a
Asegurar que los usuarios Disponibilidad
Garantizar la exactitud y
tienen acceso cuando lo la información y activos asociados cuando sea necesario
complejidad de la
requieran a la
información y los
información y sus activos
métodos de su proceso ISO/IEC 13335-1:2004 Information technology -- Security techniques -- Management of information and communications
asociados technology security -- Part 1: Concepts and models for information and communications technology security management

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 12 Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 13

2
 Auditoría de Sistemas de Información Auditoría de Sistemas de Información

Confidencialidad: Objetivos Controles: ISO/IEC 27001-2013

A.9 Control de acceso
A.9.1 Requisitos del negocio para el control del acceso
Comprobar su
Comprobar su acceso A.9.1.1 Política de control de acceso
exclusividad para A.9.1.2 Control de acceso a la redes y a los servicios asociados
con caracteres
funcionarios A.9.2 Gestión del acceso al usuario
reservados
autorizados A.9.2.1 Gestión del altas/bajas de usuarios (registro/desregistro)
A.9.2.2 Gestión de los derechos de acceso asignados a usuarios
A.9.2.3 Gestión de los derechos de acceso con privilegios especiales
Asegurar una mayor A.9.2.4. Gestión de la información confidencial de autenticación de usuarios
A.9.2.5 Verificación de los derechos de acceso de los usuarios
confidencialidad de la A.9.2.6 Retiro o ajuste de los derechos de acceso
A.9.3 Responsabilidades del usuario
información A.9.3.1 Uso de información confidencial para autenticación
A.9.4 Control de acceso a sistemas y aplicaciones
Verificar si las A.9.4.1 Restricción del acceso a la información
Verificar el acceso sólo
transacciones A.9.4.2 Procedimiento de inicio de sesión seguro
del personal A.9.4.3 Sistema de gestión de contraseñas
realizadas quedan
autorizado A.9.4.4 Uso de programas utilitarios con privilegios
registradas A.9.4.5 Control del acceso para el código fuente de los programas

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 14 Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 15

Auditoría de Sistemas de Información Auditoría de Sistemas de Información

Controles: ISO/IEC 27001-2013 Controles: ISO/IEC 27001-2013

A.12 Seguridad de las operaciones
A.12.1 Procedimientos y responsabilidades operaciones A.14 Adquisición, desarrollo y mantenimiento del sistema
A.12.1.1 Documentación de los procedimientos operacionales
A.14.1 Requisitos de seguridad de los sistemas de información
A.12.1.2 Gestión de Cambios
A.14.1.1 Análisis y especificaciones de los requisitos de seguridad
A.12.1.3 Gestión de las capacidades
A.14.1.2 Seguridad de las comunicaciones en servicios accesibles por redes
A.12.1.4 Separación de ambientes de desarrollo, prueba y de operaciones
públicas
(producción)
A.14.1.3 Protección de las transacciones de los servicios de aplicación por redes
A.12.2 Protección contra el código malicioso
telemáticas
A.12.2.1 Controles contra el código malicioso
A.14.2 Seguridad en los procesos del programa de desarrollo y soporte
A.12.3 Backup A.14.2.1 Política del programa de desarrollo seguro
A.12.3.1 Backup de la información
A.14.2.2 Procedimiento de control de los cambios de sistemas
A.12.4 Registro de actividad y supervisión (logeo y monitoreo)
A.14.2.3 Revisión técnica de las aplicaciones luego de los cambios de la
A.12.4.1 Registro y gestión de eventos de actividad
plataforma operacional
A.12.4.2 Protección de la información del logeo A.14.2.4 Restricciones a los cambios de los paquetes de software
A.12.4.3 Registros de actividad del administrador y operador del sistema
A.14.2.5 Uso de principios de ingeniería en protección de sistemas
A.12.4.4 Sincronización de los relojes
A.14.2.6 Seguridad en entornos de desarrollo
A.12.5 Control del software operacional (en explotación)
A.14.2.7 Programa de desarrollo subcontratado
A.12.5.1 Instalación del software en los sistemas operacionales (en producción)
A.14.2.8 Revisión de la seguridad del sistema
A.12.6 Gestión de las vulnerabilidades técnicas
A.14.2.9 Revisión de la aceptación del sistema
A.12.6.1 Gestión de las vulnerabilidades técnicas
A.12.6.2 Restricciones en la instalación de software A.14.3 Datos de prueba
A.14.3.1 Protección de los datos de prueba
A.12.7 Consideraciones de las auditorías sobre los sistemas de información
A.12.7.1 Controles de la auditoría sobre los sistemas de información

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 16 Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 17

Auditoría de Sistemas de Información

Confidencialidad: Auditoría

Gestión de Gestión de
Usuarios Accesos

Matriz de Controles
Seguridad implementados

Docente: Ing. Jaime E. Díaz Sánchez, jdiazs@upao.edu.pe Auditroría a la confidencialidad del SI 18