SUNEDU - Superintendencia Nacional de Educación superior Universitaria
Gestión Riesgo TI
1. Las operaciones de negocios y su administración dependen en gran parte
de la tecnología, específicamente de las tecnologías de información (TI)
(IT – Information Technologies). Por lo tanto, las estrategias de TI deben
estar perfectamente alineadas con las estrategias de negocio.
La tendencia actual esta orientada al incremento gradual del soporte que
las TIs brindan a las estrategias de negocio. Esto genera un alto grado de
dependencia.
Conforme las empresas alcanzan mayores grados de madurez, necesitan
implementar dentro de su cultura de negocios, el aseguramiento de los
sistemas de información y el Gobierno de TI (IT Governance). Esto
significa, la adopción de políticas y normativas generalmente aceptadas,
mejores prácticas, para incrementar el aseguramiento de uno de sus
mayores capitales, la información relativa a sus negocios.
La administración del riesgo operativo y del riesgo financiero regularán
las estrategias de negocio. La administración del riesgo tecnológico
regulará el aseguramiento de los sistemas de información.
2. En la actualidad las tecnologías de información (TI) conforman el apoyo
más importante en cualquier tipo de empresa.
El aseguramiento de los sistemas de información es un proceso continuo,
conforme varían y se incrementan las estrategias de negocio, aunado a
las amenazas y vulnerabilidades que se presentan en el mercado, se
elevarán los niveles de riesgo inherente a la utilización de tecnología.
De acuerdo con lo anterior, es necesario brindar al estudiante los
conocimientos sobre las principales metodologías para el aseguramiento
de los sistemas de información y la implementación del Gobierno de TI.
13/07/2012 2Curso: Seguridad de Sistemas
Seguridad de Sistemas
Descripción del curso
3. Proporcionar al estudiante los conocimientos esenciales que le sirven
para administrar de forma eficiente el riesgo tecnológico, en aquellas
empresas que utilizan el procesamiento electrónico de datos para
procesar la información económica, contable y de toma de decisiones.
Esto implica, la capacidad de realizar diagnósticos, desarrollar proyectos
de implementación de políticas, normativas y mejores prácticas que estén
correctamente alineadas a las estrategias de negocio y a la situación real
de las empresas.
13/07/2012 3Curso: Seguridad de Sistemas
Seguridad de Sistemas
Objetivos generales del curso
4. Unidad I: Seguridad Informática: Conceptos, Finalidades, Fundamentos,
Objetivos, Metodologías, Etapas de Madurez.
Unidad II: Seguridad Informática y Riesgos de TI: Procesos, Campos de Acción,
Relación con otras ciencias. Riesgos.
Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI.
Unidad IV: Metodologías, políticas y normativas, Organizaciones internacionales,
Mejores practicas, Hacking ético, Herramientas administrativas.
Unidad V: Ámbitos de control físico y lógico, Controles, Aseguramiento del Data
Center, Aseguramiento de la calidad de los servicios, Estrategias tecnológicas.
Unidad VI: Análisis forense informático: Manejo de incidentes, Marco normativo,
Metodologías, Experiencias concretas, Evidencia digital.
Unidad VII: Logística: Toma de decisiones criticas, Manejo de presupuestos,
Dificultades, Reseña sobre BCP & DRP, Retos y proyecciones de TI,
Especializaciones.
13/07/2012 4Curso: Seguridad de Sistemas
Seguridad de Sistemas
Relación de Contenidos programáticos
5. “Lo que no se puede medir, no se puede mejorar, al menos
por metodologías cuantitativas”
Los métodos de medición utilizados en Ingeniería, deben ser
precisos, concisos y concretos, para que puedan convertirse en
poderosas herramientas, tanto para la resolución de problemas,
como para la optimización de procesos.
13/07/2012 5Curso: Seguridad de Sistemas
Seguridad de Sistemas
Principios de Ingeniería
6. 13/07/2012 6Curso: Seguridad de Sistemas
Conceptos Básicos
Fase I:
Auditoría Interna
Fase IV:
Corporativos
Fase II:
Auditoría Externa
Fase III:
Regulatorios
Fases de la
Seguridad
Informática
7. Fase I: Auditoría Interna
En sus componentes básicos, aquella entidad interna en la Organización,
que realiza las funciones administrativas del control y supervisión,
especialmente de los gastos (ej. Departamento de Contabilidad, Jefe de
Administración).
En sus componentes avanzados, aquella entidad interna en la
Organización, que realiza funciones de Auditoría, implementando aquellos
controles necesarios.
Fase II: Auditoría Externa
Aquella entidad externa a la Organización, que realiza funciones de
Auditoría, realizando las observaciones y recomendaciones resultantes, a
la Gerencia de la Organización.
Puede presentarse de manera opcional o de manera mandatoria (caso de
los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras).
Definición de Auditoría de Sistemas:
El examen o revisión de carácter objetivo (independiente), critico
(evidencia), sistemático (normas), selectivo (muestras) de las políticas,
normas, prácticas, funciones, procesos, procedimientos e informes
relacionados con los sistemas de información computarizados.
13/07/2012 7Curso: Seguridad de Sistemas
Conceptos Básicos
Fases de la Seguridad Informática
8. Fase III: Regulatorios
Aquellos regulaciones que son establecidas por medio de:
Legislatorios normales:
Leyes de aplicación a nivel nacional, regional o internacional (ej. Código de
Trabajo, Ley de Acceso a la Información Pública)
Legislatorios por Mandato:
Leyes de aplicación especialmente dirigidas al sector de negocios al que se
dedica la Organización (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y
Contrataciones del Estado)
Normativas generalmente aceptadas:
Aquellas normativas plenamente establecidas a nivel nacional o internacional,
que se han convertido en el estándar de facto, para la implementación de
políticas, procesos y procedimientos (ej. ISO/9001 - Estándares de Calidad,
COBIT – Auditoría de Sistemas, ITIL – Procesos y Procedimientos)
Fase IV: Corporativos
Aquellas Organizaciones que pertenecen a un Corporativo de orden superior,
sea a nivel nacional o internacional, regularmente realizan la implementación
de políticas, procesos y procedimientos Internos, que se originan desde la
Casa Matriz.
Estas implementaciones regularmente están regidas en base a Políticas
Globales, las cuales se tropicalizan para el ámbito de aplicación de cada país
(ej. Políticas Globales de Gestión de Talento Humano)
13/07/2012 8Curso: Seguridad de Sistemas
Conceptos Básicos
Fases de la Seguridad Informática
9. Esquema Prohibitivo
Características:
Bastante laborioso
Bastante desgastante
Proceso a largo plazo
Alta periodicidad
Orientación:
Listas negras
Listas de prohibiciones
Listas de actividades
Aplicaciones ejemplo:
Regular el tiempo de navegación en la Web, a los usuarios finales,
estableciendo horarios para el uso de redes sociales y servicios públicos
(Facebook, BlogSpot, WordPress, etc)
Emisión de correos electrónicos al exterior, regulados por el dominio del
destinatario, evitando el envío a dominios de correo electrónico públicos
(Hotmail, Gmail, Yahoo, etc)
13/07/2012 9Curso: Seguridad de Sistemas
Conceptos Básicos
Esquemas de Aseguramiento de Información
Establecer
elementos de
juicio
Prohibir
TODO lo
necesario
Evaluar
10. Esquema Permisivo
Características:
Bastante laborioso
Poco desgastante
Proceso a corto o mediano plazo
Baja periodicidad
Orientación:
Hardening de servicios
Restricción de recursos compartidos
Focalizar servicios de telecomunicaciones
Asegurar la conectividad
Aplicaciones ejemplo:
Hardening de servicios tecnológicos, al establecer aquellas funciones de
Bases de Datos, sistemas Operativos, etc, que deben permanecer habilitadas
y/o reguladas, deshabilitando el resto
Restricción de recursos compartidos, como Carpetas, Impresoras, Multi-
Funcionales, etc, que deben estar disponibles solamente para aquellos
usuarios que estén autorizados para utilizarlos
13/07/2012 10Curso: Seguridad de Sistemas
Conceptos Básicos
Esquemas de Aseguramiento de Información
Esquema
Permisivo
Permitir
SOLAMENTE lo
necesario
Prohibir
TODO
Establecer
elementos de
juicio
Evaluar
11. Propuestas de Prácticas a desarrollar al finalizar este Día:
1. Desarrollo de Foros sobre los siguientes temas:
Dependencia de las empresas sobre las TICs (Tecnologías de
Información y Comunicaciones), factores que generan ALZAS en dichas
dependencias
Importancia del conocimiento y experiencia, sobre Seguridad de
Sistemas, Auditoría de Sistemas, Riesgo Tecnológico
Reconocimiento de las Fases de la Seguridad Informática
2. Propuestas de Ante-Proyectos:
Presentar propuestas de Ante-Proyectos relacionados con aplicación del
Esquema PROHIBITIVO de Aseguramiento de Información
Presentar propuestas de Ante-Proyectos relacionados con aplicación del
Esquema PERMISIVO de Aseguramiento de Información
13/07/2012 11Curso: Seguridad de Sistemas
Prácticas