SlideShare una empresa de Scribd logo

Gestión Riesgo TI

K
Karin Adaly

seguridad de sistemas

Datos y análisis
1 de 11
Descargar para leer sin conexión
Las operaciones de negocios y su administración dependen en gran parte de la tecnología, específicamente de las tecnologías de información (TI) (IT – Information Technologies). Por lo tanto, las estrategias de TI deben estar perfectamente alineadas con las estrategias de negocio. La tendencia actual esta orientada al incremento gradual del soporte que las TIs brindan a las estrategias de negocio. Esto genera un alto grado de dependencia. Conforme las empresas alcanzan mayores grados de madurez, necesitan implementar dentro de su cultura de negocios, el aseguramiento de los sistemas de información y el Gobierno de TI (IT Governance). Esto significa, la adopción de políticas y normativas generalmente aceptadas, mejores prácticas, para incrementar el aseguramiento de uno de sus mayores capitales, la información relativa a sus negocios. La administración del riesgo operativo y del riesgo financiero regularán las estrategias de negocio. La administración del riesgo tecnológico regulará el aseguramiento de los sistemas de información.
En la actualidad las tecnologías de información (TI) conforman el apoyo más importante en cualquier tipo de empresa. El aseguramiento de los sistemas de información es un proceso continuo, conforme varían y se incrementan las estrategias de negocio, aunado a las amenazas y vulnerabilidades que se presentan en el mercado, se elevarán los niveles de riesgo inherente a la utilización de tecnología. De acuerdo con lo anterior, es necesario brindar al estudiante los conocimientos sobre las principales metodologías para el aseguramiento de los sistemas de información y la implementación del Gobierno de TI. 13/07/2012 2Curso: Seguridad de Sistemas Seguridad de Sistemas Descripción del curso
Proporcionar al estudiante los conocimientos esenciales que le sirven para administrar de forma eficiente el riesgo tecnológico, en aquellas empresas que utilizan el procesamiento electrónico de datos para procesar la información económica, contable y de toma de decisiones. Esto implica, la capacidad de realizar diagnósticos, desarrollar proyectos de implementación de políticas, normativas y mejores prácticas que estén correctamente alineadas a las estrategias de negocio y a la situación real de las empresas. 13/07/2012 3Curso: Seguridad de Sistemas Seguridad de Sistemas Objetivos generales del curso
Unidad I: Seguridad Informática: Conceptos, Finalidades, Fundamentos, Objetivos, Metodologías, Etapas de Madurez. Unidad II: Seguridad Informática y Riesgos de TI: Procesos, Campos de Acción, Relación con otras ciencias. Riesgos. Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI. Unidad IV: Metodologías, políticas y normativas, Organizaciones internacionales, Mejores practicas, Hacking ético, Herramientas administrativas. Unidad V: Ámbitos de control físico y lógico, Controles, Aseguramiento del Data Center, Aseguramiento de la calidad de los servicios, Estrategias tecnológicas. Unidad VI: Análisis forense informático: Manejo de incidentes, Marco normativo, Metodologías, Experiencias concretas, Evidencia digital. Unidad VII: Logística: Toma de decisiones criticas, Manejo de presupuestos, Dificultades, Reseña sobre BCP & DRP, Retos y proyecciones de TI, Especializaciones. 13/07/2012 4Curso: Seguridad de Sistemas Seguridad de Sistemas Relación de Contenidos programáticos
“Lo que no se puede medir, no se puede mejorar, al menos por metodologías cuantitativas” Los métodos de medición utilizados en Ingeniería, deben ser precisos, concisos y concretos, para que puedan convertirse en poderosas herramientas, tanto para la resolución de problemas, como para la optimización de procesos. 13/07/2012 5Curso: Seguridad de Sistemas Seguridad de Sistemas Principios de Ingeniería
13/07/2012 6Curso: Seguridad de Sistemas Conceptos Básicos Fase I: Auditoría Interna Fase IV: Corporativos Fase II: Auditoría Externa Fase III: Regulatorios Fases de la Seguridad Informática
Fase I: Auditoría Interna En sus componentes básicos, aquella entidad interna en la Organización, que realiza las funciones administrativas del control y supervisión, especialmente de los gastos (ej. Departamento de Contabilidad, Jefe de Administración). En sus componentes avanzados, aquella entidad interna en la Organización, que realiza funciones de Auditoría, implementando aquellos controles necesarios. Fase II: Auditoría Externa Aquella entidad externa a la Organización, que realiza funciones de Auditoría, realizando las observaciones y recomendaciones resultantes, a la Gerencia de la Organización. Puede presentarse de manera opcional o de manera mandatoria (caso de los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras). Definición de Auditoría de Sistemas: El examen o revisión de carácter objetivo (independiente), critico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados. 13/07/2012 7Curso: Seguridad de Sistemas Conceptos Básicos Fases de la Seguridad Informática
Fase III: Regulatorios Aquellos regulaciones que son establecidas por medio de: Legislatorios normales: Leyes de aplicación a nivel nacional, regional o internacional (ej. Código de Trabajo, Ley de Acceso a la Información Pública) Legislatorios por Mandato: Leyes de aplicación especialmente dirigidas al sector de negocios al que se dedica la Organización (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y Contrataciones del Estado) Normativas generalmente aceptadas: Aquellas normativas plenamente establecidas a nivel nacional o internacional, que se han convertido en el estándar de facto, para la implementación de políticas, procesos y procedimientos (ej. ISO/9001 - Estándares de Calidad, COBIT – Auditoría de Sistemas, ITIL – Procesos y Procedimientos) Fase IV: Corporativos Aquellas Organizaciones que pertenecen a un Corporativo de orden superior, sea a nivel nacional o internacional, regularmente realizan la implementación de políticas, procesos y procedimientos Internos, que se originan desde la Casa Matriz. Estas implementaciones regularmente están regidas en base a Políticas Globales, las cuales se tropicalizan para el ámbito de aplicación de cada país (ej. Políticas Globales de Gestión de Talento Humano) 13/07/2012 8Curso: Seguridad de Sistemas Conceptos Básicos Fases de la Seguridad Informática
Esquema Prohibitivo Características: Bastante laborioso Bastante desgastante Proceso a largo plazo Alta periodicidad Orientación: Listas negras Listas de prohibiciones Listas de actividades Aplicaciones ejemplo: Regular el tiempo de navegación en la Web, a los usuarios finales, estableciendo horarios para el uso de redes sociales y servicios públicos (Facebook, BlogSpot, WordPress, etc) Emisión de correos electrónicos al exterior, regulados por el dominio del destinatario, evitando el envío a dominios de correo electrónico públicos (Hotmail, Gmail, Yahoo, etc) 13/07/2012 9Curso: Seguridad de Sistemas Conceptos Básicos Esquemas de Aseguramiento de Información Establecer elementos de juicio Prohibir TODO lo necesario Evaluar
Esquema Permisivo Características: Bastante laborioso Poco desgastante Proceso a corto o mediano plazo Baja periodicidad Orientación: Hardening de servicios Restricción de recursos compartidos Focalizar servicios de telecomunicaciones Asegurar la conectividad Aplicaciones ejemplo: Hardening de servicios tecnológicos, al establecer aquellas funciones de Bases de Datos, sistemas Operativos, etc, que deben permanecer habilitadas y/o reguladas, deshabilitando el resto Restricción de recursos compartidos, como Carpetas, Impresoras, Multi- Funcionales, etc, que deben estar disponibles solamente para aquellos usuarios que estén autorizados para utilizarlos 13/07/2012 10Curso: Seguridad de Sistemas Conceptos Básicos Esquemas de Aseguramiento de Información Esquema Permisivo Permitir SOLAMENTE lo necesario Prohibir TODO Establecer elementos de juicio Evaluar
Propuestas de Prácticas a desarrollar al finalizar este Día: 1. Desarrollo de Foros sobre los siguientes temas: Dependencia de las empresas sobre las TICs (Tecnologías de Información y Comunicaciones), factores que generan ALZAS en dichas dependencias Importancia del conocimiento y experiencia, sobre Seguridad de Sistemas, Auditoría de Sistemas, Riesgo Tecnológico Reconocimiento de las Fases de la Seguridad Informática 2. Propuestas de Ante-Proyectos: Presentar propuestas de Ante-Proyectos relacionados con aplicación del Esquema PROHIBITIVO de Aseguramiento de Información Presentar propuestas de Ante-Proyectos relacionados con aplicación del Esquema PERMISIVO de Aseguramiento de Información 13/07/2012 11Curso: Seguridad de Sistemas Prácticas

Recomendados

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOscar Garces Torres
 
Auditoria de comunicacion y redes
Auditoria de comunicacion y redesAuditoria de comunicacion y redes
Auditoria de comunicacion y redesamanda_mozo
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
Legislación informatica
Legislación informaticaLegislación informatica
Legislación informaticaPatricio Guanipatin
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forensemmazonf
 
Sistemas de informacion y empresas digitales
Sistemas de informacion y empresas digitalesSistemas de informacion y empresas digitales
Sistemas de informacion y empresas digitalesGIOVANNY CASTRO MANJARREZ
 
Diseño y normas para data centers
Diseño y normas para data centersDiseño y normas para data centers
Diseño y normas para data centersCarlos Joa
 

Recomendados

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaOscar Garces Torres
 
Auditoria de comunicacion y redes
Auditoria de comunicacion y redesAuditoria de comunicacion y redes
Auditoria de comunicacion y redesamanda_mozo
 
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMAS
ESTANDARES INTERNACIONALES DE AUDITORIA DE SISTEMASAnaly Diaz
 
Legislación informatica
Legislación informaticaLegislación informatica
Legislación informaticaPatricio Guanipatin
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Informatica forense
Informatica forenseInformatica forense
Informatica forensemmazonf
 
Sistemas de informacion y empresas digitales
Sistemas de informacion y empresas digitalesSistemas de informacion y empresas digitales
Sistemas de informacion y empresas digitalesGIOVANNY CASTRO MANJARREZ
 
Diseño y normas para data centers
Diseño y normas para data centersDiseño y normas para data centers
Diseño y normas para data centersCarlos Joa
 
Marco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaMarco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaDaniel Valdivieso
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Informaciónjmarquez23
 
Datacenter
DatacenterDatacenter
DatacenterDavid Acuña
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Seguridad en redes (Nivel Basico)
Seguridad en redes (Nivel Basico)Seguridad en redes (Nivel Basico)
Seguridad en redes (Nivel Basico)Wimar Alexánder
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionjulio robles
 
Cuadro comparativo
Cuadro comparativoCuadro comparativo
Cuadro comparativoAdonai Herrera González
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentacióne-auditoria.org | Eduardo Ledesma & Asoc.
 
Marco teorico
Marco teoricoMarco teorico
Marco teoricoTerry Joel
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosDrakonis11
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Aplicaciones empresariales
Aplicaciones empresarialesAplicaciones empresariales
Aplicaciones empresarialesJoedsanch
 
Modelos emergentes de bases de datos
Modelos emergentes de bases de datos Modelos emergentes de bases de datos
Modelos emergentes de bases de datos Chucho Abundis
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobitArmando Perez
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Gestion de red
Gestion de redGestion de red
Gestion de redMarvin Solis
 
Monitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redesMonitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redesFernando Toc
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
 
Informe sobre seguridad en la red
Informe sobre seguridad en la redInforme sobre seguridad en la red
Informe sobre seguridad en la redI.E.S Teobaldo Power
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraLuis Fernando Aguas Bucheli
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 

Más contenido relacionado

La actualidad más candente

Marco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaMarco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaDaniel Valdivieso
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Informaciónjmarquez23
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Seguridad en redes (Nivel Basico)
Seguridad en redes (Nivel Basico)Seguridad en redes (Nivel Basico)
Seguridad en redes (Nivel Basico)Wimar Alexánder
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionjulio robles
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosDrakonis11
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la informaciónluisrobles17
 
Aplicaciones empresariales
Aplicaciones empresarialesAplicaciones empresariales
Aplicaciones empresarialesJoedsanch
 
Modelos emergentes de bases de datos
Modelos emergentes de bases de datos Modelos emergentes de bases de datos
Modelos emergentes de bases de datos Chucho Abundis
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
Monitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redesMonitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redesFernando Toc
 

La actualidad más candente (20)

Marco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaMarco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría Informática
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Información
 
Datacenter
DatacenterDatacenter
Datacenter
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Seguridad en redes (Nivel Basico)
Seguridad en redes (Nivel Basico)Seguridad en redes (Nivel Basico)
Seguridad en redes (Nivel Basico)
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacion
 
Cuadro comparativo
Cuadro comparativoCuadro comparativo
Cuadro comparativo
 
Cobit5 presentación
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
 
Marco teorico
Marco teoricoMarco teorico
Marco teorico
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
 
Modelos de seguridad de la información
Modelos de seguridad de la informaciónModelos de seguridad de la información
Modelos de seguridad de la información
 
Aplicaciones empresariales
Aplicaciones empresarialesAplicaciones empresariales
Aplicaciones empresariales
 
Modelos emergentes de bases de datos
Modelos emergentes de bases de datos Modelos emergentes de bases de datos
Modelos emergentes de bases de datos
 
Presentacion cobit
Presentacion cobitPresentacion cobit
Presentacion cobit
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
Gestion de red
Gestion de redGestion de red
Gestion de red
 
Monitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redesMonitoreo y-gestion-de-redes
Monitoreo y-gestion-de-redes
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Informe sobre seguridad en la red
Informe sobre seguridad en la redInforme sobre seguridad en la red
Informe sobre seguridad en la red
 

Similar a Gestión Riesgo TI

Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...Luis Fernando Aguas Bucheli
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?Fabián Descalzo
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Administracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de serviciosAdministracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de serviciosadriakuma
 
Doris Elizabeth admon
Doris Elizabeth admonDoris Elizabeth admon
Doris Elizabeth admonEBLIN
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redesbatuvaps
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticapiranha gt
 

Similar a Gestión Riesgo TI (20)

S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
10-Unidad 3: Tecnologías y sistemas de información y su impacto sociocultural...
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Conferencia
ConferenciaConferencia
Conferencia
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
EDI - Respuestas al cumplimiento ¿Cada vez más complejas?
 
Conferencia
ConferenciaConferencia
Conferencia
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Definiciones
DefinicionesDefiniciones
Definiciones
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Administracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de serviciosAdministracion de sistemas vs. administracion de servicios
Administracion de sistemas vs. administracion de servicios
 
Doris Elizabeth admon
Doris Elizabeth admonDoris Elizabeth admon
Doris Elizabeth admon
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 

Último

REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfREPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfIrapuatoCmovamos
 
bases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria debases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria deCalet Cáceres Vergara
 
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,juberrodasflores
 
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
17 PRACTICAS - MODALIDAAD FAMILIAAR.docxmarthaarroyo16
 
LA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechoLA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechojuliosabino1
 
CAPACITACION_higiene_industrial (1).ppt...
CAPACITACION_higiene_industrial (1).ppt...CAPACITACION_higiene_industrial (1).ppt...
CAPACITACION_higiene_industrial (1).ppt...jhoecabanillas12
 
2024 2024 202420242024PPT SESIÓN 03.pptx
2024 2024 202420242024PPT SESIÓN 03.pptx2024 2024 202420242024PPT SESIÓN 03.pptx
2024 2024 202420242024PPT SESIÓN 03.pptxccordovato
 
CUESTIONARIO A ADICCION A REDES SOCIALES.pdf
CUESTIONARIO A ADICCION A REDES SOCIALES.pdfCUESTIONARIO A ADICCION A REDES SOCIALES.pdf
CUESTIONARIO A ADICCION A REDES SOCIALES.pdfEDUARDO MAMANI MAMANI
 
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfPREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfluisccollana
 
HABILESASAMBLEA Para negocios independientes.pdf
HABILESASAMBLEA Para negocios independientes.pdfHABILESASAMBLEA Para negocios independientes.pdf
HABILESASAMBLEA Para negocios independientes.pdfGEINER22
 
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfREPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfIrapuatoCmovamos
 
Data Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosData Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosssuser948499
 
El Teatro musical (qué es, cuál es su historia y trayectoria...)
El Teatro musical (qué es, cuál es su historia y trayectoria...)El Teatro musical (qué es, cuál es su historia y trayectoria...)
El Teatro musical (qué es, cuál es su historia y trayectoria...)estebancitoherrera
 
tipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicacióntipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicaciónJonathanAntonioMaldo
 
La importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresaLa importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresamerca6
 
que son los planes de ordenamiento predial POP.pptx
que son los planes de ordenamiento predial POP.pptxque son los planes de ordenamiento predial POP.pptx
que son los planes de ordenamiento predial POP.pptxSergiothaine2
 
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior UniversitariaSUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior Universitariachayananazcosimeon
 

Último (17)

REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdfREPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
REPORTE DE INCIDENCIA DELICTIVA MARZO 2024.pdf
 
bases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria debases-cye-2024(2) una sola descarga en base de feria de
bases-cye-2024(2) una sola descarga en base de feria de
 
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
Ivu- taller de diseño arquitectonico l , adicion y sustraccion de cubos,
 
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
17 PRACTICAS - MODALIDAAD FAMILIAAR.docx
 
LA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derechoLA LEY DE LAS XII TABLAS en el curso de derecho
LA LEY DE LAS XII TABLAS en el curso de derecho
 
CAPACITACION_higiene_industrial (1).ppt...
CAPACITACION_higiene_industrial (1).ppt...CAPACITACION_higiene_industrial (1).ppt...
CAPACITACION_higiene_industrial (1).ppt...
 
2024 2024 202420242024PPT SESIÓN 03.pptx
2024 2024 202420242024PPT SESIÓN 03.pptx2024 2024 202420242024PPT SESIÓN 03.pptx
2024 2024 202420242024PPT SESIÓN 03.pptx
 
CUESTIONARIO A ADICCION A REDES SOCIALES.pdf
CUESTIONARIO A ADICCION A REDES SOCIALES.pdfCUESTIONARIO A ADICCION A REDES SOCIALES.pdf
CUESTIONARIO A ADICCION A REDES SOCIALES.pdf
 
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdfPREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
PREGRADO-PRESENCIAL-FASE-C-202401 (1).pdf
 
HABILESASAMBLEA Para negocios independientes.pdf
HABILESASAMBLEA Para negocios independientes.pdfHABILESASAMBLEA Para negocios independientes.pdf
HABILESASAMBLEA Para negocios independientes.pdf
 
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdfREPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
REPORTE-HEMEROGRÁFICO-MARZO-2024-IRAPUATO-¿CÓMO VAMOS?.pdf
 
Data Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datosData Warehouse.gestion de bases de datos
Data Warehouse.gestion de bases de datos
 
El Teatro musical (qué es, cuál es su historia y trayectoria...)
El Teatro musical (qué es, cuál es su historia y trayectoria...)El Teatro musical (qué es, cuál es su historia y trayectoria...)
El Teatro musical (qué es, cuál es su historia y trayectoria...)
 
tipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicacióntipos de organización y sus objetivos y aplicación
tipos de organización y sus objetivos y aplicación
 
La importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresaLa importancia de las pruebas de producto para tu empresa
La importancia de las pruebas de producto para tu empresa
 
que son los planes de ordenamiento predial POP.pptx
que son los planes de ordenamiento predial POP.pptxque son los planes de ordenamiento predial POP.pptx
que son los planes de ordenamiento predial POP.pptx
 
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior UniversitariaSUNEDU - Superintendencia Nacional de Educación superior Universitaria
SUNEDU - Superintendencia Nacional de Educación superior Universitaria
 

Gestión Riesgo TI

  • 1. Las operaciones de negocios y su administración dependen en gran parte de la tecnología, específicamente de las tecnologías de información (TI) (IT – Information Technologies). Por lo tanto, las estrategias de TI deben estar perfectamente alineadas con las estrategias de negocio. La tendencia actual esta orientada al incremento gradual del soporte que las TIs brindan a las estrategias de negocio. Esto genera un alto grado de dependencia. Conforme las empresas alcanzan mayores grados de madurez, necesitan implementar dentro de su cultura de negocios, el aseguramiento de los sistemas de información y el Gobierno de TI (IT Governance). Esto significa, la adopción de políticas y normativas generalmente aceptadas, mejores prácticas, para incrementar el aseguramiento de uno de sus mayores capitales, la información relativa a sus negocios. La administración del riesgo operativo y del riesgo financiero regularán las estrategias de negocio. La administración del riesgo tecnológico regulará el aseguramiento de los sistemas de información.
  • 2. En la actualidad las tecnologías de información (TI) conforman el apoyo más importante en cualquier tipo de empresa. El aseguramiento de los sistemas de información es un proceso continuo, conforme varían y se incrementan las estrategias de negocio, aunado a las amenazas y vulnerabilidades que se presentan en el mercado, se elevarán los niveles de riesgo inherente a la utilización de tecnología. De acuerdo con lo anterior, es necesario brindar al estudiante los conocimientos sobre las principales metodologías para el aseguramiento de los sistemas de información y la implementación del Gobierno de TI. 13/07/2012 2Curso: Seguridad de Sistemas Seguridad de Sistemas Descripción del curso
  • 3. Proporcionar al estudiante los conocimientos esenciales que le sirven para administrar de forma eficiente el riesgo tecnológico, en aquellas empresas que utilizan el procesamiento electrónico de datos para procesar la información económica, contable y de toma de decisiones. Esto implica, la capacidad de realizar diagnósticos, desarrollar proyectos de implementación de políticas, normativas y mejores prácticas que estén correctamente alineadas a las estrategias de negocio y a la situación real de las empresas. 13/07/2012 3Curso: Seguridad de Sistemas Seguridad de Sistemas Objetivos generales del curso
  • 4. Unidad I: Seguridad Informática: Conceptos, Finalidades, Fundamentos, Objetivos, Metodologías, Etapas de Madurez. Unidad II: Seguridad Informática y Riesgos de TI: Procesos, Campos de Acción, Relación con otras ciencias. Riesgos. Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI. Unidad IV: Metodologías, políticas y normativas, Organizaciones internacionales, Mejores practicas, Hacking ético, Herramientas administrativas. Unidad V: Ámbitos de control físico y lógico, Controles, Aseguramiento del Data Center, Aseguramiento de la calidad de los servicios, Estrategias tecnológicas. Unidad VI: Análisis forense informático: Manejo de incidentes, Marco normativo, Metodologías, Experiencias concretas, Evidencia digital. Unidad VII: Logística: Toma de decisiones criticas, Manejo de presupuestos, Dificultades, Reseña sobre BCP & DRP, Retos y proyecciones de TI, Especializaciones. 13/07/2012 4Curso: Seguridad de Sistemas Seguridad de Sistemas Relación de Contenidos programáticos
  • 5. “Lo que no se puede medir, no se puede mejorar, al menos por metodologías cuantitativas” Los métodos de medición utilizados en Ingeniería, deben ser precisos, concisos y concretos, para que puedan convertirse en poderosas herramientas, tanto para la resolución de problemas, como para la optimización de procesos. 13/07/2012 5Curso: Seguridad de Sistemas Seguridad de Sistemas Principios de Ingeniería
  • 6. 13/07/2012 6Curso: Seguridad de Sistemas Conceptos Básicos Fase I: Auditoría Interna Fase IV: Corporativos Fase II: Auditoría Externa Fase III: Regulatorios Fases de la Seguridad Informática
  • 7. Fase I: Auditoría Interna En sus componentes básicos, aquella entidad interna en la Organización, que realiza las funciones administrativas del control y supervisión, especialmente de los gastos (ej. Departamento de Contabilidad, Jefe de Administración). En sus componentes avanzados, aquella entidad interna en la Organización, que realiza funciones de Auditoría, implementando aquellos controles necesarios. Fase II: Auditoría Externa Aquella entidad externa a la Organización, que realiza funciones de Auditoría, realizando las observaciones y recomendaciones resultantes, a la Gerencia de la Organización. Puede presentarse de manera opcional o de manera mandatoria (caso de los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras). Definición de Auditoría de Sistemas: El examen o revisión de carácter objetivo (independiente), critico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados. 13/07/2012 7Curso: Seguridad de Sistemas Conceptos Básicos Fases de la Seguridad Informática
  • 8. Fase III: Regulatorios Aquellos regulaciones que son establecidas por medio de: Legislatorios normales: Leyes de aplicación a nivel nacional, regional o internacional (ej. Código de Trabajo, Ley de Acceso a la Información Pública) Legislatorios por Mandato: Leyes de aplicación especialmente dirigidas al sector de negocios al que se dedica la Organización (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y Contrataciones del Estado) Normativas generalmente aceptadas: Aquellas normativas plenamente establecidas a nivel nacional o internacional, que se han convertido en el estándar de facto, para la implementación de políticas, procesos y procedimientos (ej. ISO/9001 - Estándares de Calidad, COBIT – Auditoría de Sistemas, ITIL – Procesos y Procedimientos) Fase IV: Corporativos Aquellas Organizaciones que pertenecen a un Corporativo de orden superior, sea a nivel nacional o internacional, regularmente realizan la implementación de políticas, procesos y procedimientos Internos, que se originan desde la Casa Matriz. Estas implementaciones regularmente están regidas en base a Políticas Globales, las cuales se tropicalizan para el ámbito de aplicación de cada país (ej. Políticas Globales de Gestión de Talento Humano) 13/07/2012 8Curso: Seguridad de Sistemas Conceptos Básicos Fases de la Seguridad Informática
  • 9. Esquema Prohibitivo Características: Bastante laborioso Bastante desgastante Proceso a largo plazo Alta periodicidad Orientación: Listas negras Listas de prohibiciones Listas de actividades Aplicaciones ejemplo: Regular el tiempo de navegación en la Web, a los usuarios finales, estableciendo horarios para el uso de redes sociales y servicios públicos (Facebook, BlogSpot, WordPress, etc) Emisión de correos electrónicos al exterior, regulados por el dominio del destinatario, evitando el envío a dominios de correo electrónico públicos (Hotmail, Gmail, Yahoo, etc) 13/07/2012 9Curso: Seguridad de Sistemas Conceptos Básicos Esquemas de Aseguramiento de Información Establecer elementos de juicio Prohibir TODO lo necesario Evaluar
  • 10. Esquema Permisivo Características: Bastante laborioso Poco desgastante Proceso a corto o mediano plazo Baja periodicidad Orientación: Hardening de servicios Restricción de recursos compartidos Focalizar servicios de telecomunicaciones Asegurar la conectividad Aplicaciones ejemplo: Hardening de servicios tecnológicos, al establecer aquellas funciones de Bases de Datos, sistemas Operativos, etc, que deben permanecer habilitadas y/o reguladas, deshabilitando el resto Restricción de recursos compartidos, como Carpetas, Impresoras, Multi- Funcionales, etc, que deben estar disponibles solamente para aquellos usuarios que estén autorizados para utilizarlos 13/07/2012 10Curso: Seguridad de Sistemas Conceptos Básicos Esquemas de Aseguramiento de Información Esquema Permisivo Permitir SOLAMENTE lo necesario Prohibir TODO Establecer elementos de juicio Evaluar
  • 11. Propuestas de Prácticas a desarrollar al finalizar este Día: 1. Desarrollo de Foros sobre los siguientes temas: Dependencia de las empresas sobre las TICs (Tecnologías de Información y Comunicaciones), factores que generan ALZAS en dichas dependencias Importancia del conocimiento y experiencia, sobre Seguridad de Sistemas, Auditoría de Sistemas, Riesgo Tecnológico Reconocimiento de las Fases de la Seguridad Informática 2. Propuestas de Ante-Proyectos: Presentar propuestas de Ante-Proyectos relacionados con aplicación del Esquema PROHIBITIVO de Aseguramiento de Información Presentar propuestas de Ante-Proyectos relacionados con aplicación del Esquema PERMISIVO de Aseguramiento de Información 13/07/2012 11Curso: Seguridad de Sistemas Prácticas