Universidad Nacional Federico VillarrealFacultad de Ingeniería Industrial y de Sistemas    Escuela de Ingeniería de Sistem...
CASACHAHUA                 MEDINA, JOSÉ                  RODOLFO                   ALBERTO  GARCÍAMORAUSKY,               ...
Caso Practico 1   Poniendo en marcha las defensas
Caso: Poniendo en marcha lasdefensas  DTI entidad cuya funcionalidad es de apoyar a las empresas  ser mas productivas en l...
Caso: Poniendo en marcha lasdefensas     • Personal de seguridad     • Conciencia de la seguridad de información     • La ...
Caso: Poniendo en marcha lasdefensas     • La fijación de las vulnerabilidades     • del software     • Acceso, autorizaci...
Caso Practico 2        Tipos de controles
• “Creemos que nos han robado….”• “Creemos que nos están  atacando…”• “Creemos que alguien no es  quien dice ser…”• “Creem...
• Evitar problemas antes de que  aparezcan.• Tratar de predecir problemas  potenciales antes de que ocurran y  hacer ajust...
• Monitorear tanto las operaciones  como las transacciones de entrada.• Prevenir la ocurrencia de un error,  omisión o act...
Ejemplos     Emplear únicamente     personal calificado       Controlar el acceso a las       instalaciones físicas     Us...
Auditoría e Informes de ActiveDirectory
Monitoreo de redes Active conNAGIOS
• “Algo que conoces”: TU PASSWORD• “Algo que tienes”: DISPOSITIVO FISICO• “Algo sobre ti”: HUELLA, IRIS, VOZAutenticación ...
CONTROL DETECTIVO    Doble verificación de los    cálculos      Mensajes de error    Auditoría interna
Verificación de los cálculos
Mensajes de error
Caso Practico 3       Estimación de Riesgo
BS7799 BS7799   es un estándar desarrollado  por la DTI (actualmente el BSI-  Department of Bussiness Innovation  and Ski...
Secuencia de cumplimiento deBS7799                                    Política de seguridad        Definir políticas de   ...
Estimación de Riesgo(casos)Inventario de recursos: Una empresa cuenta con un servidor  de correos El dueño del servidor ...
Estimación de Riesgo(casos)Valor del recurso:    Confidencialidad                        ¿Qué sucede cuando alguien no aut...
Estimación de Riesgo(casos)Valor del recurso:   Integridad                ¿Qué sucedería si el gerente hace un donativo y ...
Estimación de Riesgo(casos)Valor del recurso:    Disponibilidad                     ¿Qué sucedería si hay una falla de har...
Estimación de Riesgo(casos) Valor del riesgo:  En el caso del Servidor de correos                                   Error...
Caso Practico 4        Telefónica del Perú
Puntos Previos   BSI    (antes     DTI)    es  una    organización independiente y    global de servicios que permite a  ...
Telefónica del Perú obtiene la    certificación ISO 27001   Telefónica del Perú alcanzó la Certificación Internacional   ...
CARACTERISTICA DELESTANDAR           • Fue aprobado y publicado como estándar             internacional   en   octubre   d...
¿Cómo se implementa?          • Suele tener una duración entre 6 y 12 meses,            dependiendo del grado de madurez e...
¿Cómo te certificas?Tener en cuenta La certificación de un SGSI es un proceso mediante el cual una entidad de certificació...
VENTAJAS    • Posiciona a Telefónica del Perú como la operadora de Latinoamérica      con la certificación ISO 27001 de ma...
Caso Práctico 5   Sistema de Indicadores de Riesgos     VP. Operaciones - Interbank
Página Oficial
Gráfico Principal
Dti   auditoria de sistemas
Próxima SlideShare
Cargando en…5
×

Dti auditoria de sistemas

888 visualizaciones

Publicado el

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
888
En SlideShare
0
De insertados
0
Número de insertados
20
Acciones
Compartido
0
Descargas
16
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Dti auditoria de sistemas

  1. 1. Universidad Nacional Federico VillarrealFacultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas AUDITORIA DE SISTEMAS DTI
  2. 2. CASACHAHUA MEDINA, JOSÉ RODOLFO ALBERTO GARCÍAMORAUSKY, FLORIAN CESAR ARTEAGA, ED RICARDO UARDO MIGUEL Integrantes GONZALES BENITEZ BERNAL, JAIR PEREYRA, ANTONIO PAUL FRANCISCO
  3. 3. Caso Practico 1 Poniendo en marcha las defensas
  4. 4. Caso: Poniendo en marcha lasdefensas DTI entidad cuya funcionalidad es de apoyar a las empresas ser mas productivas en los diferentes aspectos como en la seguridad de la información. Por lo cual la empresa XYZ S.A.C requiere saber que defensas necesita y que medidas reforzar para ayudar a reducir los riesgos de perdida de información.
  5. 5. Caso: Poniendo en marcha lasdefensas • Personal de seguridad • Conciencia de la seguridad de información • La política de seguridad y procedimientos
  6. 6. Caso: Poniendo en marcha lasdefensas • La fijación de las vulnerabilidades • del software • Acceso, autorización y autenticación • Antivirus y sistemas de filtrado de contenido • Cortafuegos y defensas de red
  7. 7. Caso Practico 2 Tipos de controles
  8. 8. • “Creemos que nos han robado….”• “Creemos que nos están atacando…”• “Creemos que alguien no es quien dice ser…”• “Creemos que el servidor está off…”• “Creemos que….”La teoría del“Creemos”
  9. 9. • Evitar problemas antes de que aparezcan.• Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes.CONTROLPREVENTIVO
  10. 10. • Monitorear tanto las operaciones como las transacciones de entrada.• Prevenir la ocurrencia de un error, omisión o acto delictivo.CONTROLPREVENTIVO
  11. 11. Ejemplos Emplear únicamente personal calificado Controlar el acceso a las instalaciones físicas Uso de software para el control de acceso
  12. 12. Auditoría e Informes de ActiveDirectory
  13. 13. Monitoreo de redes Active conNAGIOS
  14. 14. • “Algo que conoces”: TU PASSWORD• “Algo que tienes”: DISPOSITIVO FISICO• “Algo sobre ti”: HUELLA, IRIS, VOZAutenticación Multi-factorn
  15. 15. CONTROL DETECTIVO Doble verificación de los cálculos Mensajes de error Auditoría interna
  16. 16. Verificación de los cálculos
  17. 17. Mensajes de error
  18. 18. Caso Practico 3 Estimación de Riesgo
  19. 19. BS7799 BS7799 es un estándar desarrollado por la DTI (actualmente el BSI- Department of Bussiness Innovation and Skills) Presenta una normativa que le permite a las instituciones desarrollar un buen Sistema de Gestión de Seguridad de la Información (ISMS por sus siglas en ingles)
  20. 20. Secuencia de cumplimiento deBS7799 Política de seguridad Definir políticas de de información seguridad Definir el alcance del Alcance del ISMS sistema de seguridad de información Valor de los activos Estimación de riesgo Llevar a cabo una estimación de riesgo Resultados y conclusiones Áreas de riesgo a ser gestionadas Gestionar el riesgo Opciones de control selectas Seleccionar objetivos de Selección racional control y controles para ser implementados Objetivos de control y controles seleccionados Enunciado de Preparar enunciado aplicación para su aplicación
  21. 21. Estimación de Riesgo(casos)Inventario de recursos: Una empresa cuenta con un servidor de correos El dueño del servidor (hardware) sería el equipo de servidor. El dueño de data contenida en este, es toda persona que hace uso del servidor
  22. 22. Estimación de Riesgo(casos)Valor del recurso: Confidencialidad ¿Qué sucede cuando alguien no autorizado lee un mail de alta gerencia? Puede ser catastrófico puesto que se maneja información muy sensible Puede ser no tan importante puesto que se manejan firmas digitales de encriptación en los mensajes
  23. 23. Estimación de Riesgo(casos)Valor del recurso: Integridad ¿Qué sucedería si el gerente hace un donativo y este es interceptado y modificado para que se mande a otro lado? Bastante crítico pues se esta robando dinero Se cuenta con encriptación para mensajes de salida así que es difícil de interceptar
  24. 24. Estimación de Riesgo(casos)Valor del recurso: Disponibilidad ¿Qué sucedería si hay una falla de hardware y el servidor no está disponible? Bastante crítico puesto que se pueden perder mails recibidos y pueden corromperse Los servidores se ejecutan en redundancia y se cuenta con un servidor de respaldo
  25. 25. Estimación de Riesgo(casos) Valor del riesgo:  En el caso del Servidor de correos Error de Fallas Intrusiones destinatari eléctricas o Virus e Errores de inyección Acceso no Hardware de código autorizado malicioso
  26. 26. Caso Practico 4 Telefónica del Perú
  27. 27. Puntos Previos BSI (antes DTI) es una organización independiente y global de servicios que permite a las empresas, gobiernos y otras organizaciones incrementar los beneficios y el acceso al mercado, y ensalza la reputación de éstos con soluciones basadas en normas y servicios de seguridad.
  28. 28. Telefónica del Perú obtiene la certificación ISO 27001 Telefónica del Perú alcanzó la Certificación Internacional ISO/IEC 27001:2005, para su Data Center, que brinda servicios de:  Outsourcing de TI  Disaster Recovery/Businnes Continuity  Hosting  Housing Para sus centros de gestión de móviles, de banda ancha y de redes empresariales, que han sido elevados a estándares de clase mundial.
  29. 29. CARACTERISTICA DELESTANDAR • Fue aprobado y publicado como estándar internacional en octubre de 2005 por INTERNATIONAL ORGANIZATION FOR 1 PUNTO STANDARDIZATIOn y por la comisión INTERNATIONAL ELECTROTECHNICAL COMMISSION. • Especifica los requisitos necesarios para establecer, 2 PUNTO implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). • Tiene su origen en la norma BS 7799-2:2002, 3 PUNTO desarrollada por la entidad de normalización británica (BSI).
  30. 30. ¿Cómo se implementa? • Suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad1 Punto de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al en adelante SGSI elegido. • El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la2 Punto dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática
  31. 31. ¿Cómo te certificas?Tener en cuenta La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado. Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2. Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
  32. 32. VENTAJAS • Posiciona a Telefónica del Perú como la operadora de Latinoamérica con la certificación ISO 27001 de mayor alcance y la única con la Gestión de los Servicios Móviles y de Gestión del Data Center1 certificada. • Marca la Diferencia no solo en el Perú, sino también en Latinoamérica, dentro y fuera del Grupo Telefónica.2 • Cuentan con un Sistema de Gestión de la Seguridad de la Información certificado bajo una Norma Internacional tanto para las3 redes como para los servicios de TI.
  33. 33. Caso Práctico 5 Sistema de Indicadores de Riesgos  VP. Operaciones - Interbank
  34. 34. Página Oficial
  35. 35. Gráfico Principal

×