2. Seguridad de la Información
Herramientas y Leyes
Impacto de Omitir Riesgo
Gestión de la Seguridad de la Información
Necesidad de Controles
Solución Security
Información Confidencial Mayo de 2012 2
3. Riesgo, es todo tipo de problema potencial
que puede ocurrir sin previo aviso.
Seguridad Es una forma de protección contra
los riesgos.
Información Confidencial Mayo de 2012 3
4. Los principales objetivos CIA
◦ Confidencialidad (Confidentiality) Las personas
autorizadas tienen acceso a la información.
◦ Integridad (Integrity) La información no cambia al
transferirse o almacenarse y nadie puede
modificarla.
◦ Disponibilidad (Availability) Las personas
autorizadas siempre tienen acceso a la
información.
Información Confidencial Mayo de 2012 4
5. ITIL (Information Technology Infrastructure
Library)
◦ Políticas Organizacionales
◦ Procedimientos administrativos
◦ Controles tecnológicos
Ley SOX (Ley Sarbanes Oxley)
◦ Ley para monitorear a las empresas que
cotizan en la bolsa. Su finalidad es evitar
fraude y riesgo de bancarrota.
Información Confidencial Mayo de 2012 5
6. Se expone a los empleados
Consecuencias legales y económicas al
incurrir en violación de contratos y
licenciamiento.
Uso de la plataforma tecnológica para fines
ajenos a la empresa.
Consecuencias sociales de credibilidad
Información Confidencial Mayo de 2012 6
7. Inventario de activos
Tratamiento de riesgos
Políticas de Seguridad
Controles Tecnológicos
◦ Segmentación de red, control de accesos, filtrado
de contenido, antivirus, cuentas de usuarios y
backup
Procedimientos
Información Confidencial Mayo de 2012 7
8. Control de acceso en los sistemas de la
empresa
◦ Permitir o detener el acceso de las personas a
información de la empresa.
Seguimiento de los accesos en los sistemas
◦ Registro de actividades de una persona dentro de un
sistema que maneja información de la empresa.
Granulación de privilegios en los sistemas
◦ Otorgar los privilegios estrictamente necesarios a
cada persona.
Información Confidencial Mayo de 2012 8
9. Security es un sistema de manejo de control de accesos con las
siguientes características:
Administración centralizada de la seguridad para las aplicaciones
Marco regulatorio de trabajo para unificar el control de acceso a las
aplicaciones
Autentificación con Windows ó a través de una pantalla de autentificación
Delegación de la administración de la Seguridad por aplicación
Administración de Permisos a través de roles
Asociación de Permisos en función a las Posiciones de los empleados dentro
de la organización
Administración de Cadenas de Conexión a BD (Actualmente Oracle y SQL
Server)
Administración de Permisos a Nivel Control (utilizando los lineamientos de
programación de Security)
Bitácora de Sucesos
Información Confidencial Mayo de 2012 9
10. System Id: jperez System Id: jrodriguez
Posición
Posición Vacante
Vacante
Proceso de
Proceso de
Notificación:
Notificación:
Supervisor
Empleado
Administrador de la
Supervisor
•Posición o Puesto : Aux aplicación
•Posición o Puesto: Jefe de
Administrador de la
Contable Aplicación
Contabilidad
•Id de Posición: 54321 •Id de Posición: 12345
•Aplicaciones: •Aplicaciones:
•APP 05 •SCGO
•APP 06 •Applications:
•APP 02
Mayo de 2012 10
Información Confidencial
12. Capa de Capa de Capa de
Servicios Entidades Presentación
de
Negocio
Capa de Negocio
Capa de Acceso a Datos
Capa de Persistencia
Información Confidencial Mayo de 2012 12
19. Concepto Precio
Licencia del Software e Implementación $ 400,000.00
(Incluye una semana de Capacitación en Sitio para 4
personas)
Costo anual de mantenimiento (Incluye actualizaciones) $ 60,000.00
Adecuación de Autenticación por aplicación $ 60,000.00
Adecuación de un módulo completo de aplicación para el $60,000.00
uso de toda la funcionalidad de Security (considerando
que un módulo no contiene más de 10 pantallas)
Información Confidencial Mayo de 2012 19