2. SEGURIDAD, ASEGURAMIENTO CALIDAD
Y AUDITORÍA DE LOS SI
1. Seguridad de los SI
2. La gestión de la seguridad de los SI
3. Aseguramiento de la calidad
4. Auditoría de los SI
5. Técnicas de auditoría de los SI
6. Contenido de la auditoría de los SI
D.O.E.
GSI. Seguridad, calidad y auditoría SI
-2-
3. 1.
SEGURIDAD DE LOS SI
SI
a proteger
Exposición a
amenazas
Valor del Sistema
Daño potencial de la
Nivel de seguridad
amenaza
Impacto en el
Sistema Coste de la
Frecuencia de la seguridad
amenaza
Análisis de riesgo
D.O.E.
GSI. Seguridad, calidad y auditoría SI
-3-
4. 2.
GESTIÓN DE LA SEGURIDAD SI
Por Seguridad Informática se entiende el conjunto de
Por Seguridad Informática se entiende el conjunto de
procedimientos orientados a evitar la destrucción,
procedimientos orientados a evitar la destrucción,
modificación, utilización y difusión no autorizada de
modificación, utilización y difusión no autorizada de
los datos y la información de la organización
los datos y la información de la organización
●
Confidencialidad
●
Integridad
●
Disponibilidad
D.O.E.
GSI. Seguridad, calidad y auditoría SI
-4-
5. 2.
GESTIÓN DE LA SEGURIDAD SI
Personas
Procesos
{ Seguridad Lógica
Informática
Seguridad
(sw, comunicaciones, datos e información)
Seguridad Física
(hw, y redes de comunicaciones)
Entorno: local, instalaciones y suministros
(eléctrico, comunicaciones telefónicas y de Internet, etc.)
D.O.E.
GSI. Seguridad, calidad y auditoría SI
-5-
6. 2.
GESTIÓN DE LA SEGURIDAD SI
El papel de las personas en la seguridad
●
Hacia una cultura de la seguridad
➢
Tecnología
➢
Empresa
➢
Personas usuarias del SI
●
Comité de seguridad
➢
Composición multidisciplinar
➢
Director del Comité
➢
Plan Integral de Seguridad
D.O.E.
GSI. Seguridad, calidad y auditoría SI
-6-
7. 2.
GESTIÓN DE LA SEGURIDAD SI
El papel de los procesos y procedimientos en la seguridad
Procesos de negocio que usan el SI
Sistema de Información
de soporte a los procesos
Riesgos asociados Medidas de seguridad
Impacto en el Sistema
Amenazas y vulnerabilidades
D.O.E.
GSI. Seguridad, calidad y auditoría SI
-7-
8. 2.
GESTIÓN DE LA SEGURIDAD SI
Ejemplo matriz de riesgo
Impacto si la Amenazas que pueden provocar la pérdida de datos Probabilidad
amenaza se de que cierta
hace realidad amenaza cause
Error Incendio Sabotaje cierto impacto:
Destrucción del 0 3 1 0: despreciable
Hw 1: improbable
2: probable
3: seguro
Borrado de 3 2 2
información
D.O.E.
GSI. Seguridad, calidad y auditoría SI
-8-
9. 2.
GESTIÓN DE LA SEGURIDAD SI
El papel de los procesos y procedimientos en la seguridad
●
Certificado de seguridad ISO/TEC 17799
●
Políticas de seguridad (pública)
●
Clasificación de la información
●
Acceso a la información por parte de terceros
D.O.E.
GSI. Seguridad, calidad y auditoría SI
-9-
10. 2.
GESTIÓN DE LA SEGURIDAD SI
Seguridad Lógica
●
Seguridad del software
●
Seguridad de los datos y de la información
●
Errores humanos
●
Accesos no autorizados
●
Virus, troyanos, phishing, y programas espía
●
Seguridad de las comunicaciones
PREVENCIÓN ANTE TODO
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 10 -
11. 2.
GESTIÓN DE LA SEGURIDAD SI
Amenazas y posibles soluciones a la seguridad del e_business
Amenaza Medida de seguridad Función
Datos interceptados , Encriptación Los datos se codifican
leídos o modificados para evitar su alteración
ilícitamente
Los usuarios asumen otra Autentificación mediante Verifica la identidad de
identidad para cometer firma digital receptor y emisor
fraude
Un usuario no autorizado Cortafuegos (firewall) Filtran y evitan accesos
obtiene acceso a una red Uso de redes privadas indeseados a la red o al
virtuales (VPN) servidor de red
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 11 -
12. 2.
GESTIÓN DE LA SEGURIDAD SI
Seguridad Física
●
Mantenimiento de los equipos
●
Información a los usuarios
●
Planes de contingencia
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 12 -
13. 2.
GESTIÓN DE LA SEGURIDAD SI
Amenazas del entorno a la seguridad del SI
●
Condiciones ambientales
●
Incendios, inundaciones
●
Cortes suministro eléctrico
●
Robos / vandalismo
●
Interferencias en comunicaciones
●
Ubicación servidores y demás equipos uso comp.
➢
Perímetro de seguridad
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 13 -
14. 2.
GESTIÓN DE LA SEGURIDAD SI
Planes de contingencia
Planes de Contingencia: planes de recuperación, o
Planes de Contingencia: planes de recuperación, o
planes de continuidad, ante desastres que restauren el
planes de continuidad, ante desastres que restauren el
SI o palíen los daños sufridos
SI o palíen los daños sufridos
• Imposibilidad seguridad absoluta
• Implicar a todo el personal
• Seguridad preventiva
• Copias de Seguridad y equipos alternativos
D.O.E. • Empresas especializadas
GSI. Seguridad, calidad y auditoría SI
- 14 -
15. 3.
ASEGURAMIENTO DE LA CALIDAD SI
• Dirección
• Usuarios
• Personal del Departamento de SI
➢
Biblioteca
➢
Control procesamiento
➢
Control acceso
➢
Administración BBDD
➢
Respaldo y recuperación
➢
Aseguramiento calidad desarrollo sw
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 15 -
16. 3.
ASEGURAMIENTO DE LA CALIDAD SI
Características de la Calidad Descripción
Integridad de los datos Los datos almacenados son exactos y carecen de errores
Confidencialidad de los datos Los datos y la información están protegidos contra accesos o divulgación ilegal
Disponibilidad de los datos Los resultados de salida no presentan errores
Resultados fiables Los resultados de salida están disponibles en el momento preciso para la TD o la acción
Resultados relevantes Los resultados de salida son importantes e interesan al destinatario
Resultados selectivos El Sistema sólo suministra los resultados de salida necesarios para el fin asignado
Operación e interpretación El Sistema proporciona una interfaz de usuario intuitiva y amigable
resultados fácil para usuario
Operaciones resistentes a errores Ofrecen procedimientos de prevención y detección de errores
Existen procedimientos para reportar y corregir errores, Se aplican procedim. de auditoría
Autenticidad Solamente el personal autorizado tiene acceso a las instalaciones, aplicaciones y datos
Trazabilidad Existen mecanismos que permiten determinar qué datos han sido modificados, cuándo y
por quién
Respaldo y recuperación Existen planes de contingencia y mecanismos para la recuperación en el caso eventual de
fallo o destrucción de una parte o de todo el sistema
Seguridad D.O.E. El Sistema y su funcionamiento están protegidos de riesgos ambientales y de operación
- 16 - Calidad en los SI GSI. Seguridad, calidad y auditoría SI
17. 3.
ASEGURAMIENTO DE LA CALIDAD SI
Procedimientos
• Implantar estándares, metodologías y procesos
de calidad de datos en E/S
• Implantar acciones para garantizar calidad
datos en las plataformas BI
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 17 -
18. 4.
AUDITORÍA SI
La auditoría de los SI es el conjunto de técnicas y
La auditoría de los SI es el conjunto de técnicas y
métodos que se aplican para la evaluación y control
métodos que se aplican para la evaluación y control
del SI de una organización
del SI de una organización
• Adecuación a las necesidades organización
• Eficacia / eficiencia obtención objetivos
• Coherencia objetivos con planes organización
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 18 -
19. 4.
AUDITORÍA SI
Objetivos
Objetivos de la auditoría de SI Elementos a auditar
Salvaguardar los activos Seguridad del SI
Garantizar operatividad
del SI Mantener integridad datos Calidad del SI
Alcanzar metas organizativas Aspectos organiozativos y de
gestión
Contribución a los objetivos de
Garantizar adecuación la empresa
del SI a las necesidades
de la organización Uso eficiente/eficaz de los Adecuación de los RRHH a las
recursos TIC´s
Integración de BBDD y aplicac.
Formación del personal
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 19 -
20. 4.
AUDITORÍA SI
Elementos a revisar
• de carácter organizativo:
➢
rentabilidad
➢
relación con otras áreas organización
➢
personal TI / usuarios
• de carácter técnico:
➢
hardware, software, comunicaciones
➢
seguridad informática
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 20 -
21. 4.
AUDITORÍA SI
Problemas
• equipos infrautilizados
• equipos sobredimensionados
• aplicaciones, BD desintegradas, incompatibles
• aplicaciones difíciles de mantener / no estándar
• exceso / falta personal TI
• falta de formación personal TI / usuarios
• falta de seguridad
• datos poco fiables
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 21 -
22. 4.
AUDITORÍA SI
Pasos auditoría
• Diagnóstico
• Evaluación puntos fuertes / débiles
• Emisión informe con recomendaciones
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 22 -
23. 4.
AUDITORÍA SI
Formación equipo Proceso
trabajo
Elementos de gestión
Objetivos y alcance Adecuación necesidades
auditoría El personal
La organización
Asignación tareas y Técnicas de auditoría Las compras
responsabilidades Cuestionarios La legalidad
Análisis documentos La seguridad física
Análisis situación actual Entrevistas
Observación
Comparación con el plan Sw de interrogación Elementos técnicos
de SI Experimentación Seguridad lógica
Equipamiento
Comprobar coherencia Aplicaciones y BBDD
con objetivos globales Integración de Sistemas
Comunicaciones
Evaluación necesidades
problemas detectados Informe final
•Objetivos y alcance •Puntos débiles / amenazas
D.O.E. •Temas considerados •Consecución objetivos
- 23 - •Situación actual, tendencias •Recomendaciones y planes acción
GSI. Seguridad, calidad y auditoría SI
24. 4.
AUDITORÍA SI
Metodología
• Establecer objetivos / alcance auditoría
• Asignación tareas / responsabilidades
• Análisis situación actual (doble pdv)
• Comparación situación actual / prevista
• Coherencia con objetivos globales Org.
• Evaluación necesidades / problemas detectados
• Informe final
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 24 -
25. 4.
AUDITORÍA SI
Informe final
1.- Objetivos y alcance
2.- Enumeración aspectos considerados
3.- Exposición situación actual / tendencias, puntos fuertes /
puntos débiles
4.- Recomendaciones / planes de acción
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 25 -
26. 5.
TÉCNICAS AUDITORÍA SI
Técnicas
• Cuestionarios
• Análisis de documentación
• Entrevistas
• Observación
• Software de interrogación / muestreos
• Experimentación
• Combinación de todos los anteriores
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 26 -
27. 6.
CONTENIDO AUDITORÍA SI
Elementos de gestión
• Adecuación necesidades
• El personal
• La organización (totalidad / homogeneidad)
• Normas que guíen las compras
• La legalidad
• La seguridad física (errores humanos)
• Servicios del Departamento de SI
• Prácticas de gestión informática (CDVDS)
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 27 -
28. 6.
CONTENIDO AUDITORÍA SI
Elementos técnicos
• Seguridad lógica
• Equipamiento
• Aplicaciones y BD
• Integración de sistemas
• Comunicaciones
D.O.E.
GSI. Seguridad, calidad y auditoría SI
- 28 -