Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 02.2. SAS01.2 3 - Conceptos de Seguridad

    Cargado por

    Santiago Chulde
    9 vistas28 páginas

    Derechos de autor

    © Attribution Non-Commercial (BY-NC)

    Formatos disponibles

    PPT, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PPT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    9 vistas28 páginas

    02.2. SAS01.2 3 - Conceptos de Seguridad

    Cargado por

    Santiago Chulde

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Descargue como PPT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 28

    Conceptos de seguridad

    Seguridad y Auditoria de Sistemas


    Ciclo 2009-2

    Ing. Yolfer Hernndez, CIA

    Temario
    Definicin de Seguridad Informtica Seguridad Fsica y Lgica Proceso de Seguridad de los sistemas informticos. Normas internacionales ISO 17799 Modelo de Gobierno TI

    Seguridad Informtica
    La seguridad informtica, consiste en asegurar (mediante controles de proteccin, mtodos, tcnicas, etc.) que los recursos de los sistemas de informacin (Equipos tecnolgicos, software, datos, procesos) de una organizacin sean utilizados de la manera que se decidi, a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una prdida de confidencialidad, integridad y disponibilidad.1

    1Definicion

    Combinada de wikipedia y Robert English (e-Security, OSIPTEL, Lima 2001).

    Se tienen en cuenta
    Fsica

    La seguridad de los equipos y medios de comunicaciones. Controles de acceso a las instalaciones. Mecanismos de Contingencias La seguridad de las bases de datos. La seguridad de las aplicaciones. Los controles de acceso a los programas y datos.
    Lgica

    Necesidades de seguridad
    Confidencialidad.
    Asegurar que slo los autorizados tengan acceso a los recursos que se intercambian

    Integridad.
    Garantizar que los datos no puedan ser alterados sin autorizacin.

    Disponibilidad.
    Garantizar que la informacin est disponible en forma oportuna segn lo convenido.

    Necesidades de seguridad
    No-repudio.
    Garanta de que ninguna de las partes involucradas pueda negar en el futuro una operacin realizada.

    Control de acceso

    Identificacin y Autenticacin: Asegurar que slo los individuos autorizados tengan acceso a los recursos

    Consistencia
    Asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda.

    Planificacin de las necesidades de seguridad


    Control Consistencia

    No repudio

    Autenticacin Disponibilidad

    Confidencialidad

    Integridad

    Para un Banco

    Confidencialidad

    Autenticacin

    No repudio

    Integridad

    Para Universidades

    Integridad
    Disponibilidad

    Para instituciones de inteligencia

    Confidencialidad

    El proceso de implantacin de Seguridad abarca .


    1. Planificacin de las necesidades. 2. Estimacin de riesgos. 3. Anlisis de Costos Beneficios. 4. Definicin de polticas. 5. Implementacin.

    6. Auditora.

    La implantacin de seguridad de sistemas incluyen

    Polticas + Procedimientos + Medidas tcnicas

    .. Y su aplicacin correcta permite:


    Proteger los activos de la entidad, incluyendo los secretos comerciales.
    Mantener una posicin e imagen competitiva.

    .. entonces

    Seguridad

    Inversin

    Auditoria

    Polticas recomendadas
    Plan de Seguridad Informtica.

    Cdigos de tica.
    Plan de Contingencia. Evaluacin de Seguridad Informtica

    Normas ISO 17799


    Recomendaciones de Controles, para realizar la Gestin de Seguridad de la Informacin. Permite la implantacin y evaluacin de las medidas de seguridad en TI Es un paso para establecer un SGSI (Sistema de Gestin de Seguridad de Informacin) Son 11 dominios para derivar los:
    Objetivos de Control: Resultados a alcanzar Controles: procedimientos, mtodos, herramientas

    Normas ISO 17799


    Secciones:
    1. Polticas de seguridad. Proporciona las directivas y el soporte de la direccin general de la empresa para la seguridad de la informacin. 2. Organizacin de la Seguridad de la Informacin Gestionar (administrar y mantener) la seguridad de la informacin: Recursos, activos, tercerizacin, etc. Mantener la seguridad de la informacin de los servicios de procesamiento de informacin de la organizacin a los cuales tiene acceso externos o que son procesados o usados por stas.

    Normas ISO 17799


    3. Clasificacin y control de activos. Deber mantenerse la proteccin adecuada de los activos corporativos y garantizar que los activos informticos reciban un nivel adecuado de proteccin

    4. Seguridad del personal.


    Reducir el riesgo de error humano, robo, fraude, abuso de la informacin, sistemas y equipos. Asegurarse que el personal est consciente de las amenazas a la informacin y sus implicaciones. 5. Seguridad fsica y ambiental. Previene el acceso no autorizado a las instalaciones para evitar prdida, robo, dao de los bienes o interrupcin de las actividades productivas

    Normas ISO 17799


    6. Gestin de Comunicaciones y Operaciones. Integrar los procedimientos de operacin de la infraestructura tecnolgica y de controles de seguridad documentados, que van desde el control de cambios en la configuracin de los equipos, manejo de incidentes, administracin de aceptacin de sistemas, hasta el control de cdigo malicioso. Respaldo de informacin, gestin de la seguridad de las redes, intercambio de informacin y monitoreo Evita al mximo el riesgo de fallas en el sistema, incluido el hardware y software

    Normas ISO 17799


    7. Sistemas de control de acceso. Control del acceso a la informacin; previene los accesos no autorizados a sistemas de informacin (Sistemas operativos, aplicaciones de negocios, etc)

    Garantiza la proteccin de servicios de red; impide los accesos no autorizados a las computadoras; detecta actividades no autorizadas; salvaguarda la informacin cuando se utiliza cmputo mvil o remoto.
    8. Adquisicin, Desarrollo y Mantenimiento de sistemas. Garantiza que la seguridad del sistema est construida dentro de la aplicacin para prevenir prdidas, abusos y modificaciones de los datos, si es necesario usando controles criptogrficos.

    Seguridad en los procesos de desarrollo y mantenimiento

    Normas ISO 17799


    9. Gestin de incidentes de la seguridad de informacin
    Reporte de los eventos y debilidades de la seguridad de la informacin, gestionando los incidentes y mejoras en la seguridad de la informacin

    10. Plan de continuidad del negocio.


    El objetivo es estar preparado para evitar las interrupciones de las actividades crticas del negocio, en el caso se presenten fallas importantes o desastres en los sistemas de informacin, asegurando la recuperacin oportuna. 11. Cumplimiento Legal. Cumplimiento de los requisitos legales, de las polticas y las normas de seguridad y cumplimiento tcnico, as como las consideraciones de la auditora de sistemas de informacin.

    Normas ISO 17799

    Normas ISO 17799

    Normas ISO 17799


    Adoptar las normas incrementa: La seguridad efectiva de los SI Gestin de Seguridad y su planificacin Garantizar la continuidad de negocios La confianza de los clientes y socios Imagen y Valor comercial
    La seguridad de informacin compete a la alta gerencia no al rea tecnolgica Las decisiones de seguridad generalmente se toman en base a los riesgos percibidos, no a riesgos reales => Es fundamental hacer Anlisis de Riesgos

    Estndares, Regulaciones y mejores prcticas

    COSO (Committee of Sponsoring Organizations)


    Es el Marco Integrado que proporciona criterios para evaluar el Control Interno

    COBIT (Control Objectives for Information and related


    Technology)

    Es un Marco de control de TI, que propone dominios de accin, asociando los recursos de la empresa con categoras de informacin

    ITIL (Information Technology Infrastructure Library)


    Es un Marco de trabajo de las mejores prcticas para facilitar la entrega de los servicios de TI

    Estndares, Regulaciones y mejores prcticas


    Risk Response Plan and Organize Business Continuity Management Physical and Environmental Security Internal Environment Service Delivery / Support Security Policy Asset Classification and Control Control Activities Personnel Security Information and Communications Security Management Acquire and Implement

    Organizational Security

    ITIL
    Monitoring

    COSO
    Objective Setting

    ISO 27001

    COBiT
    Planning to Implement Service Management Application Management

    Systems Development Communications Access Control Compliance and and Maintenance Operations Management Define Risk ICT Infrastructure and Assessment Management Support Event Identification Business Perspective

    Monitor and Support

    ITIL
    Modelo ITIL v3.
    Modelo ITIL v2.
    Planificacin para Implementar la Gestin de Servicios L A E M P R E S A
    La perspectiva Empresarial

    Gestin de Servicios

    Gestin de la Infraestructura

    L A
    T E C N O L O G I A

    Soporte Servicios

    ICT (Tecnologa de Informacin y Comunicacin)

    ITIL

    Provisin de Servicios Gestin de Seguridad Gestin de Aplicaciones

    Modelo de Procesos

    Ciclo de Vida de Servicio

    Modelo de Gobierno TI
    IT Governance

    COSO COBIT
    Service Mgmt.

    Sarbanes Oxley

    US Securities & Exchange Commission

    Quality System

    Project Mgmt.

    Applic. Devel.

    Quality Systems & Frameworks

    IT Planning

    IT Security

    ISO Six Sigma

    CMM

    ITIL

    IT OPERATIONS
    ASL
    17799 PMI
    TSO IS Strategy

    También podría gustarte