CICLO 2013-II Mdulo: II

Unidad: IV Semana: 8

AUDITORA DE SISTEMAS CONTABLES

ING. CSAR CRDOVA VLIZ

SEGURIDAD INFORMTICA

ORIENTACIONES

Estimados alumnos, se recomienda la lectura del libro de texto para reforzar las clases, adems de revisar los enlaces interesantes y responder las autoevaluaciones.

CONTENIDOS TEMTICOS
Seguridad de la Informacin Seguridad Informtica Seguridad Fsica y Lgica Proceso de Seguridad de los sistemas informticos. Normas internacionales ISO 27000 Modelo de Gobierno TI

Seguridad de la Informacin
La seguridad de la informacin, consiste en gestionar el aseguramiento del recurso informacin. La informacin es: Crtico, indispensable para operacin/negocio Valioso, activo importante Sensible, confidencialidad Diferentes formas, como electrnico, impreso, audio u otros

Seguridad Informtica
La seguridad informtica, consiste en asegurar (mediante controles de proteccin, mtodos, tecnologas, polticas, procedimientos, etc.) que los recursos de los sistemas de informacin (Equipos tecnolgicos, software, datos, procesos) de una organizacin sean utilizados de la manera que se decidi, a fin de prevenir amenazas accidentales y deliberadas que pudieran resultar en una prdida de confidencialidad, integridad y disponibilidad.1
1Definicion

Combinada de wikipedia y Robert English (e-Security, OSIPTEL, Lima 2001).

Se tienen en cuenta
Fsica

La seguridad de los equipos y medios de comunicaciones. Controles de acceso a las instalaciones. Mecanismos de Contingencias La seguridad de las bases de datos. La seguridad de las aplicaciones. Los controles de acceso a los programas y datos.
Lgica

Necesidades de seguridad
Confidencialidad.
Asegurar que slo los autorizados tengan acceso a los recursos que se intercambian

Integridad.
Garantizar que los datos no puedan ser alterados sin autorizacin.

Disponibilidad.
Garantizar que la informacin est disponible en forma oportuna segn lo convenido.

Necesidades de seguridad
No-repudio.
Garanta de que ninguna de las partes involucradas pueda negar en el futuro una
operacin realizada.

Control de acceso

Identificacin y Autenticacin: Asegurar que slo los individuos autorizados tengan acceso a los recursos

Consistencia
Asegurar que el sistema se comporte como se supone que debe hacerlo ante los usuarios que corresponda.

Planificacin de las necesidades de seguridad

Control Consistencia

No repudio

Autenticacin Disponibilidad

Confidencialidad

Integridad

Para un Banco

Confidencialidad

Autenticacin

No repudio

Integridad

Para Universidades

Integridad
Disponibilidad

Para instituciones de inteligencia

Confidencialidad

El proceso de implantacin de Seguridad abarca .

1. Identificacin de necesidades. 2. Anlisis y estimacin de riesgos.

3. Determinacin de Controles.
Evaluacin de Costo Beneficio. Definicin de polticas. Implementacin de controles. 4. Evaluacin: Auditora.

La implantacin de seguridad de sistemas incluyen

Polticas + Procedimientos + Medidas tcnicas

.. Y su aplicacin correcta permite:

Proteger los activos de la entidad, incluyendo los secretos comerciales.
Mantener una posicin e imagen competitiva.

.. entonces

Seguridad

Inversin

Auditoria

Polticas recomendadas

Plan de Seguridad Informtica.

Cdigos de tica.
Plan de Contingencia. Evaluacin de Seguridad Informtica

Normas ISO 27000

Seguridad de la Informacin
ISO 27000: Descripcin general y vocabulario de toda la serie ISO 27001: Requisitos para el SGSI (Sistemas de Gestin de Seguridad de la Informacin) ISO 27002: Gua de objetivos de control y controles recomendados (antes ISO 17799) ISO 27003: Gua de implementacin de SGSI ISO 27004: Gua de medicin de eficiencia y eficacia de los SGSI ISO 27005: Gua para la gestin de riesgos de SI ISO 27006: Gua de acreditacin de auditora y certificacin de SGSI

Normas ISO 27002

Permite la implantacin de controles y medidas de seguridad en TI Es un paso para establecer un SGSI Son 11 secciones con recomendaciones de:
Objetivos de Control (39): Resultados a alcanzar Controles (133): procedimientos, mtodos, herramientas

Normas ISO 27002

Secciones: 1. Polticas de seguridad. Proporciona las directivas y el soporte de la direccin general de la empresa para la seguridad de la informacin. 2. Organizacin de la Seguridad de la Informacin Gestionar (administrar y mantener) la seguridad de la informacin: Recursos, activos, tercerizacin, etc. Mantener la seguridad de la informacin de los servicios de procesamiento de informacin de la organizacin a los cuales tiene acceso externos o que son procesados o usados por stas.

Normas ISO 27002

3. Clasificacin y control de activos. Deber mantenerse la proteccin adecuada de los activos corporativos y garantizar que los activos informticos reciban un nivel adecuado de proteccin

4. Seguridad del personal.

Reducir el riesgo de error humano, robo, fraude, abuso de la informacin, sistemas y equipos. Asegurarse que el personal est consciente de las amenazas a la informacin y sus implicaciones. 5. Seguridad fsica y ambiental. Previene el acceso no autorizado a las instalaciones para evitar prdida, robo, dao de los bienes o interrupcin de las actividades productivas

Normas ISO 27002

6. Gestin de Comunicaciones y Operaciones. Integrar los procedimientos de operacin y controles de seguridad de la infraestructura TI:
Control de operatividad (funcionamiento) Control de cambios y configuracin Gestin de Incidentes y de problemas Documentacin de los controles de seguridad Administracin de aceptacin de sistemas: Capacidad de TI Respaldo de la Informacin

Gestin de la seguridad de las redes, intercambio de informacin y monitoreo Controles para mitigar riesgo de fallas en el sistema, incluido el hardware y software

Normas ISO 27002

7. Sistemas de control de acceso. Control del acceso a la informacin; previene los accesos no autorizados a sistemas de informacin (Sistemas operativos, aplicaciones de negocios, etc)

Garantiza la proteccin de servicios de red; impide los accesos no autorizados a las computadoras; detecta actividades no autorizadas; salvaguarda la informacin cuando se utiliza cmputo mvil o remoto. 8. Adquisicin, Desarrollo y Mantenimiento de sistemas.
Garantiza que la seguridad del sistema est construida dentro de la aplicacin para prevenir prdidas, abusos y modificaciones de los datos, si es necesario usando controles criptogrficos. Seguridad en los procesos de desarrollo y mantenimiento

Normas ISO 27002

9. Gestin de incidentes de la seguridad de informacin
Reporte de los eventos y debilidades de la seguridad de la informacin, gestionando los incidentes y mejoras en la seguridad de la informacin

10. Plan de continuidad del negocio.

El objetivo es estar preparado para evitar las interrupciones de las actividades crticas del negocio, en el caso se presenten fallas importantes o desastres en los sistemas de informacin, asegurando la recuperacin oportuna. 11. Cumplimiento Legal. Cumplimiento de los requisitos legales, de las polticas y las normas de seguridad y cumplimiento tcnico, as como las consideraciones de la auditora de sistemas de informacin.

Normas ISO 27002

Fuente: ISO 17799

Incidencias de Seguridad (2 Objetivo, 5 Controles)

Normas ISO 27002

Grfico 6. Normas ISO 17799 Seguridad de la Informacin

Fuente: Elaboracin propia

Normas ISO 27002

Adoptar las normas incrementa: La seguridad efectiva de los SI La Gestin de Seguridad y su planificacin La garanta de la continuidad de negocios La confianza de los clientes y socios La imagen y valor comercial
La seguridad de informacin compete a la alta gerencia, seguridad informtica al rea tecnolgica. Las decisiones de seguridad generalmente se toman en base a los riesgos percibidos, no a riesgos reales => Es fundamental hacer Anlisis de Riesgos

Modelo de Gobierno TI
Sarbanes Oxley
US Securities & Exchange Commission

COSO

COBIT
Seguridad de la Informacin
C M M I ISO 900 x
TI/ SI Desarrollo Aplicacion es de Negocios Tecnolog ay Comunicaciones Explotaci n TI

ISO 17799

Gestin de Servicios Sistemas de Calidad Gestin de Proyectos Planificacin TI

ITI L

PM I

Estndares, Regulaciones y mejores prcticas

COSO (Committee of Sponsoring Organizations)
Es el Marco Integrado que proporciona criterios para evaluar el Control Interno

COBIT (Control Objectives for Information and related Technology)

Es un Marco de control de TI, que propone dominios de accin, asociando los recursos de la empresa con categoras de informacin

ITIL (Information Technology Infrastructure Library)

Es un Marco de trabajo de las mejores prcticas para facilitar la entrega de los servicios de TI

Estndares, Regulaciones y mejores prcticas

Risk Response Plan and Organize Business Continuity Management Physical and Environmental Security Internal Environment Service Delivery / Support Security Policy Asset Classification and Control Control Activities Personnel Security Information and Communications Security Management Acquire and Implement

Organizational Security

ITIL
Monitoring

COSO
Objective Setting

ISO 27001

COBiT
Planning to Implement Service Management Application Management

Systems Development Communications Access Control Compliance and and Maintenance Operations Management Define Risk ICT Infrastructure and Assessment Management Support Event Identification Business Perspective

Monitor and Support

ITIL
Modelo ITIL v3.
Modelo ITIL v2.
Planificacin para Implementar la Gestin de Servicios L A E M P R E S A
La perspectiva Empresarial

Gestin de Servicios

Gestin de la Infraestructura

L A
T E C N O L O G I A

Soporte Servicios

ICT (Tecnologa de Informacin y Comunicacin)

ITIL

Provisin de Servicios Gestin de Seguridad Gestin de Aplicaciones

Modelo de Procesos

Ciclo de Vida de Servicio