SlideShare una empresa de Scribd logo

Gsi t09c (seguridad, aseguramiento y auditoria si)

Carmen Hevia Medina
Carmen Hevia Medina
1 de 28
Descargar para leer sin conexión
Tema 9 SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS SI D.O.E. GSI. Seguridad, calidad y auditoría SI -1-
SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS SI 1. Seguridad de los SI 2. La gestión de la seguridad de los SI 3. Aseguramiento de la calidad 4. Auditoría de los SI 5. Técnicas de auditoría de los SI 6. Contenido de la auditoría de los SI D.O.E. GSI. Seguridad, calidad y auditoría SI -2-
1. SEGURIDAD DE LOS SI SI a proteger Exposición a amenazas Valor del Sistema Daño potencial de la Nivel de seguridad amenaza Impacto en el Sistema Coste de la Frecuencia de la seguridad amenaza Análisis de riesgo D.O.E. GSI. Seguridad, calidad y auditoría SI -3-
2. GESTIÓN DE LA SEGURIDAD SI Por Seguridad Informática se entiende el conjunto de Por Seguridad Informática se entiende el conjunto de procedimientos orientados a evitar la destrucción, procedimientos orientados a evitar la destrucción, modificación, utilización y difusión no autorizada de modificación, utilización y difusión no autorizada de los datos y la información de la organización los datos y la información de la organización ● Confidencialidad ● Integridad ● Disponibilidad D.O.E. GSI. Seguridad, calidad y auditoría SI -4-
2. GESTIÓN DE LA SEGURIDAD SI Personas Procesos { Seguridad Lógica Informática Seguridad (sw, comunicaciones, datos e información) Seguridad Física (hw, y redes de comunicaciones) Entorno: local, instalaciones y suministros (eléctrico, comunicaciones telefónicas y de Internet, etc.) D.O.E. GSI. Seguridad, calidad y auditoría SI -5-
2. GESTIÓN DE LA SEGURIDAD SI El papel de las personas en la seguridad ● Hacia una cultura de la seguridad ➢ Tecnología ➢ Empresa ➢ Personas usuarias del SI ● Comité de seguridad ➢ Composición multidisciplinar ➢ Director del Comité ➢ Plan Integral de Seguridad D.O.E. GSI. Seguridad, calidad y auditoría SI -6-
2. GESTIÓN DE LA SEGURIDAD SI El papel de los procesos y procedimientos en la seguridad Procesos de negocio que usan el SI Sistema de Información de soporte a los procesos Riesgos asociados Medidas de seguridad Impacto en el Sistema Amenazas y vulnerabilidades D.O.E. GSI. Seguridad, calidad y auditoría SI -7-
2. GESTIÓN DE LA SEGURIDAD SI Ejemplo matriz de riesgo Impacto si la Amenazas que pueden provocar la pérdida de datos Probabilidad amenaza se de que cierta hace realidad amenaza cause Error Incendio Sabotaje cierto impacto: Destrucción del 0 3 1 0: despreciable Hw 1: improbable 2: probable 3: seguro Borrado de 3 2 2 información D.O.E. GSI. Seguridad, calidad y auditoría SI -8-
2. GESTIÓN DE LA SEGURIDAD SI El papel de los procesos y procedimientos en la seguridad ● Certificado de seguridad ISO/TEC 17799 ● Políticas de seguridad (pública) ● Clasificación de la información ● Acceso a la información por parte de terceros D.O.E. GSI. Seguridad, calidad y auditoría SI -9-
2. GESTIÓN DE LA SEGURIDAD SI Seguridad Lógica ● Seguridad del software ● Seguridad de los datos y de la información ● Errores humanos ● Accesos no autorizados ● Virus, troyanos, phishing, y programas espía ● Seguridad de las comunicaciones PREVENCIÓN ANTE TODO D.O.E. GSI. Seguridad, calidad y auditoría SI - 10 -
2. GESTIÓN DE LA SEGURIDAD SI Amenazas y posibles soluciones a la seguridad del e_business Amenaza Medida de seguridad Función Datos interceptados , Encriptación Los datos se codifican leídos o modificados para evitar su alteración ilícitamente Los usuarios asumen otra Autentificación mediante Verifica la identidad de identidad para cometer firma digital receptor y emisor fraude Un usuario no autorizado Cortafuegos (firewall) Filtran y evitan accesos obtiene acceso a una red Uso de redes privadas indeseados a la red o al virtuales (VPN) servidor de red D.O.E. GSI. Seguridad, calidad y auditoría SI - 11 -
2. GESTIÓN DE LA SEGURIDAD SI Seguridad Física ● Mantenimiento de los equipos ● Información a los usuarios ● Planes de contingencia D.O.E. GSI. Seguridad, calidad y auditoría SI - 12 -
2. GESTIÓN DE LA SEGURIDAD SI Amenazas del entorno a la seguridad del SI ● Condiciones ambientales ● Incendios, inundaciones ● Cortes suministro eléctrico ● Robos / vandalismo ● Interferencias en comunicaciones ● Ubicación servidores y demás equipos uso comp. ➢ Perímetro de seguridad D.O.E. GSI. Seguridad, calidad y auditoría SI - 13 -
2. GESTIÓN DE LA SEGURIDAD SI Planes de contingencia Planes de Contingencia: planes de recuperación, o Planes de Contingencia: planes de recuperación, o planes de continuidad, ante desastres que restauren el planes de continuidad, ante desastres que restauren el SI o palíen los daños sufridos SI o palíen los daños sufridos • Imposibilidad seguridad absoluta • Implicar a todo el personal • Seguridad preventiva • Copias de Seguridad y equipos alternativos D.O.E. • Empresas especializadas GSI. Seguridad, calidad y auditoría SI - 14 -
3. ASEGURAMIENTO DE LA CALIDAD SI • Dirección • Usuarios • Personal del Departamento de SI ➢ Biblioteca ➢ Control procesamiento ➢ Control acceso ➢ Administración BBDD ➢ Respaldo y recuperación ➢ Aseguramiento calidad desarrollo sw D.O.E. GSI. Seguridad, calidad y auditoría SI - 15 -
3. ASEGURAMIENTO DE LA CALIDAD SI Características de la Calidad Descripción Integridad de los datos Los datos almacenados son exactos y carecen de errores Confidencialidad de los datos Los datos y la información están protegidos contra accesos o divulgación ilegal Disponibilidad de los datos Los resultados de salida no presentan errores Resultados fiables Los resultados de salida están disponibles en el momento preciso para la TD o la acción Resultados relevantes Los resultados de salida son importantes e interesan al destinatario Resultados selectivos El Sistema sólo suministra los resultados de salida necesarios para el fin asignado Operación e interpretación El Sistema proporciona una interfaz de usuario intuitiva y amigable resultados fácil para usuario Operaciones resistentes a errores Ofrecen procedimientos de prevención y detección de errores Existen procedimientos para reportar y corregir errores, Se aplican procedim. de auditoría Autenticidad Solamente el personal autorizado tiene acceso a las instalaciones, aplicaciones y datos Trazabilidad Existen mecanismos que permiten determinar qué datos han sido modificados, cuándo y por quién Respaldo y recuperación Existen planes de contingencia y mecanismos para la recuperación en el caso eventual de fallo o destrucción de una parte o de todo el sistema Seguridad D.O.E. El Sistema y su funcionamiento están protegidos de riesgos ambientales y de operación - 16 - Calidad en los SI GSI. Seguridad, calidad y auditoría SI
3. ASEGURAMIENTO DE LA CALIDAD SI Procedimientos • Implantar estándares, metodologías y procesos de calidad de datos en E/S • Implantar acciones para garantizar calidad datos en las plataformas BI D.O.E. GSI. Seguridad, calidad y auditoría SI - 17 -
4. AUDITORÍA SI La auditoría de los SI es el conjunto de técnicas y La auditoría de los SI es el conjunto de técnicas y métodos que se aplican para la evaluación y control métodos que se aplican para la evaluación y control del SI de una organización del SI de una organización • Adecuación a las necesidades organización • Eficacia / eficiencia obtención objetivos • Coherencia objetivos con planes organización D.O.E. GSI. Seguridad, calidad y auditoría SI - 18 -
4. AUDITORÍA SI Objetivos Objetivos de la auditoría de SI Elementos a auditar Salvaguardar los activos Seguridad del SI Garantizar operatividad del SI Mantener integridad datos Calidad del SI Alcanzar metas organizativas Aspectos organiozativos y de gestión Contribución a los objetivos de Garantizar adecuación la empresa del SI a las necesidades de la organización Uso eficiente/eficaz de los Adecuación de los RRHH a las recursos TIC´s Integración de BBDD y aplicac. Formación del personal D.O.E. GSI. Seguridad, calidad y auditoría SI - 19 -
4. AUDITORÍA SI Elementos a revisar • de carácter organizativo: ➢ rentabilidad ➢ relación con otras áreas organización ➢ personal TI / usuarios • de carácter técnico: ➢ hardware, software, comunicaciones ➢ seguridad informática D.O.E. GSI. Seguridad, calidad y auditoría SI - 20 -
4. AUDITORÍA SI Problemas • equipos infrautilizados • equipos sobredimensionados • aplicaciones, BD desintegradas, incompatibles • aplicaciones difíciles de mantener / no estándar • exceso / falta personal TI • falta de formación personal TI / usuarios • falta de seguridad • datos poco fiables D.O.E. GSI. Seguridad, calidad y auditoría SI - 21 -
4. AUDITORÍA SI Pasos auditoría • Diagnóstico • Evaluación puntos fuertes / débiles • Emisión informe con recomendaciones D.O.E. GSI. Seguridad, calidad y auditoría SI - 22 -
4. AUDITORÍA SI Formación equipo Proceso trabajo Elementos de gestión Objetivos y alcance Adecuación necesidades auditoría El personal La organización Asignación tareas y Técnicas de auditoría Las compras responsabilidades Cuestionarios La legalidad Análisis documentos La seguridad física Análisis situación actual Entrevistas Observación Comparación con el plan Sw de interrogación Elementos técnicos de SI Experimentación Seguridad lógica Equipamiento Comprobar coherencia Aplicaciones y BBDD con objetivos globales Integración de Sistemas Comunicaciones Evaluación necesidades problemas detectados Informe final •Objetivos y alcance •Puntos débiles / amenazas D.O.E. •Temas considerados •Consecución objetivos - 23 - •Situación actual, tendencias •Recomendaciones y planes acción GSI. Seguridad, calidad y auditoría SI
4. AUDITORÍA SI Metodología • Establecer objetivos / alcance auditoría • Asignación tareas / responsabilidades • Análisis situación actual (doble pdv) • Comparación situación actual / prevista • Coherencia con objetivos globales Org. • Evaluación necesidades / problemas detectados • Informe final D.O.E. GSI. Seguridad, calidad y auditoría SI - 24 -
4. AUDITORÍA SI Informe final 1.- Objetivos y alcance 2.- Enumeración aspectos considerados 3.- Exposición situación actual / tendencias, puntos fuertes / puntos débiles 4.- Recomendaciones / planes de acción D.O.E. GSI. Seguridad, calidad y auditoría SI - 25 -
5. TÉCNICAS AUDITORÍA SI Técnicas • Cuestionarios • Análisis de documentación • Entrevistas • Observación • Software de interrogación / muestreos • Experimentación • Combinación de todos los anteriores D.O.E. GSI. Seguridad, calidad y auditoría SI - 26 -
6. CONTENIDO AUDITORÍA SI Elementos de gestión • Adecuación necesidades • El personal • La organización (totalidad / homogeneidad) • Normas que guíen las compras • La legalidad • La seguridad física (errores humanos) • Servicios del Departamento de SI • Prácticas de gestión informática (CDVDS) D.O.E. GSI. Seguridad, calidad y auditoría SI - 27 -
6. CONTENIDO AUDITORÍA SI Elementos técnicos • Seguridad lógica • Equipamiento • Aplicaciones y BD • Integración de sistemas • Comunicaciones D.O.E. GSI. Seguridad, calidad y auditoría SI - 28 -

Recomendados

Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
seguridad física
seguridad física seguridad física
seguridad físicaMario Adolfo Suarez
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisicaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 

Recomendados

Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
Riesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadRiesgos medidas y_ciclo_de_seguridad
Riesgos medidas y_ciclo_de_seguridadMilton Garcia
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
seguridad física
seguridad física seguridad física
seguridad físicaMario Adolfo Suarez
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisicaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Primera parte
Primera partePrimera parte
Primera parteMike Plane
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones EstratégicasIntegración de Soluciones Estrategicas
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Marcos Harasimowicz
 
Marco
MarcoMarco
Marcomarco080030557
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Marco
MarcoMarco
Marcomarco080030557
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informaticaAnahi1708
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. IdentidadFrancisco Medina
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCamilo Hernandez
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadJesus Vilchez
 
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...Gabriel Marcos
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 
Gsi t08c (implantacioìn si y cambio organizativo)
Gsi t08c (implantacioìn si y cambio organizativo)Gsi t08c (implantacioìn si y cambio organizativo)
Gsi t08c (implantacioìn si y cambio organizativo)Carmen Hevia Medina
 
Gsi t12 (erpâ´s)
Gsi t12 (erpâ´s)Gsi t12 (erpâ´s)
Gsi t12 (erpâ´s)Carmen Hevia Medina
 
Gsi t06c (planificacioìn y disenìƒo del si)
Gsi t06c (planificacioìn y disenìƒo del si)Gsi t06c (planificacioìn y disenìƒo del si)
Gsi t06c (planificacioìn y disenìƒo del si)Carmen Hevia Medina
 

Más contenido relacionado

La actualidad más candente

Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cniEdwin mendez
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informaticaAnahi1708
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadJesus Vilchez
 
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...Gabriel Marcos
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redesJuan MmnVvr Aguila
 

La actualidad más candente (19)

Seguridad informática cni
Seguridad informática cniSeguridad informática cni
Seguridad informática cni
 
Primera parte
Primera partePrimera parte
Primera parte
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Marco
MarcoMarco
Marco
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
 
Marco
MarcoMarco
Marco
 
Seguridad fisica e informatica
Seguridad fisica e informaticaSeguridad fisica e informatica
Seguridad fisica e informatica
 
Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridad
 
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
Gestión del riesgo para entidades financieras: buenas prácticas en el mundo r...
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridad
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 

Destacado

Gsi t08c (implantacioìn si y cambio organizativo)
Gsi t08c (implantacioìn si y cambio organizativo)Gsi t08c (implantacioìn si y cambio organizativo)
Gsi t08c (implantacioìn si y cambio organizativo)Carmen Hevia Medina
 
Gsi t06c (planificacioìn y disenìƒo del si)
Gsi t06c (planificacioìn y disenìƒo del si)Gsi t06c (planificacioìn y disenìƒo del si)
Gsi t06c (planificacioìn y disenìƒo del si)Carmen Hevia Medina
 
Gsi t07c (planificacioìn si y ventajas comp)
Gsi t07c (planificacioìn si y ventajas comp)Gsi t07c (planificacioìn si y ventajas comp)
Gsi t07c (planificacioìn si y ventajas comp)Carmen Hevia Medina
 
Llega el empleado 3.0 ¿estamos preparados — www.expansion
Llega el empleado 3.0 ¿estamos preparados — www.expansionLlega el empleado 3.0 ¿estamos preparados — www.expansion
Llega el empleado 3.0 ¿estamos preparados — www.expansionCarmen Hevia Medina
 
950 de cada mil adultos dicen no saber cómo se utiliza la nube — m.rcnradio
950 de cada mil adultos dicen no saber cómo se utiliza la nube — m.rcnradio950 de cada mil adultos dicen no saber cómo se utiliza la nube — m.rcnradio
950 de cada mil adultos dicen no saber cómo se utiliza la nube — m.rcnradioCarmen Hevia Medina
 
Evolucioncalidad
EvolucioncalidadEvolucioncalidad
Evolucioncalidadhguzman65
 
Gsi t04c (si soporte decisiones)
Gsi t04c (si soporte decisiones)Gsi t04c (si soporte decisiones)
Gsi t04c (si soporte decisiones)Carmen Hevia Medina
 
Gsi t03c (si soporte pl, act y crtl)
Gsi t03c (si soporte pl, act y crtl)Gsi t03c (si soporte pl, act y crtl)
Gsi t03c (si soporte pl, act y crtl)Carmen Hevia Medina
 
Gsi t06c (planificacio¦ün y disen¦âo del si)
Gsi t06c (planificacio¦ün y disen¦âo del si)Gsi t06c (planificacio¦ün y disen¦âo del si)
Gsi t06c (planificacio¦ün y disen¦âo del si)Carmen Hevia Medina
 

Destacado (20)

Gsi t08c (implantacioìn si y cambio organizativo)
Gsi t08c (implantacioìn si y cambio organizativo)Gsi t08c (implantacioìn si y cambio organizativo)
Gsi t08c (implantacioìn si y cambio organizativo)
 
Gsi t12 (erpâ´s)
Gsi t12 (erpâ´s)Gsi t12 (erpâ´s)
Gsi t12 (erpâ´s)
 
Gsi t06c (planificacioìn y disenìƒo del si)
Gsi t06c (planificacioìn y disenìƒo del si)Gsi t06c (planificacioìn y disenìƒo del si)
Gsi t06c (planificacioìn y disenìƒo del si)
 
Gsi t07c (planificacioìn si y ventajas comp)
Gsi t07c (planificacioìn si y ventajas comp)Gsi t07c (planificacioìn si y ventajas comp)
Gsi t07c (planificacioìn si y ventajas comp)
 
Llega el empleado 3.0 ¿estamos preparados — www.expansion
Llega el empleado 3.0 ¿estamos preparados — www.expansionLlega el empleado 3.0 ¿estamos preparados — www.expansion
Llega el empleado 3.0 ¿estamos preparados — www.expansion
 
Copia datos bancarios
Copia datos bancariosCopia datos bancarios
Copia datos bancarios
 
950 de cada mil adultos dicen no saber cómo se utiliza la nube — m.rcnradio
950 de cada mil adultos dicen no saber cómo se utiliza la nube — m.rcnradio950 de cada mil adultos dicen no saber cómo se utiliza la nube — m.rcnradio
950 de cada mil adultos dicen no saber cómo se utiliza la nube — m.rcnradio
 
Panorama tic latam_dic11
Panorama tic latam_dic11Panorama tic latam_dic11
Panorama tic latam_dic11
 
Informe mensual sep_2012
Informe mensual sep_2012Informe mensual sep_2012
Informe mensual sep_2012
 
Alerta ne 08-2012 bi_móvil
Alerta ne 08-2012 bi_móvilAlerta ne 08-2012 bi_móvil
Alerta ne 08-2012 bi_móvil
 
Participantes upv semestre b
Participantes upv semestre bParticipantes upv semestre b
Participantes upv semestre b
 
Calidad total
Calidad totalCalidad total
Calidad total
 
Evolucioncalidad
EvolucioncalidadEvolucioncalidad
Evolucioncalidad
 
Gsi t04c (si soporte decisiones)
Gsi t04c (si soporte decisiones)Gsi t04c (si soporte decisiones)
Gsi t04c (si soporte decisiones)
 
Gsi t05c (los sio's)
Gsi t05c (los sio's)Gsi t05c (los sio's)
Gsi t05c (los sio's)
 
Gsi t12 (erp-¦s)
Gsi t12 (erp-¦s)Gsi t12 (erp-¦s)
Gsi t12 (erp-¦s)
 
Gsi t03c (si soporte pl, act y crtl)
Gsi t03c (si soporte pl, act y crtl)Gsi t03c (si soporte pl, act y crtl)
Gsi t03c (si soporte pl, act y crtl)
 
Gsi t06c (planificacio¦ün y disen¦âo del si)
Gsi t06c (planificacio¦ün y disen¦âo del si)Gsi t06c (planificacio¦ün y disen¦âo del si)
Gsi t06c (planificacio¦ün y disen¦âo del si)
 
Trabajo fin de mo¦üdulo
Trabajo fin de mo¦üduloTrabajo fin de mo¦üdulo
Trabajo fin de mo¦üdulo
 
Trabajo b2 b y b2c
Trabajo b2 b y b2cTrabajo b2 b y b2c
Trabajo b2 b y b2c
 

Similar a Gsi t09c (seguridad, aseguramiento y auditoria si)

La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Introducción si
Introducción siIntroducción si
Introducción siHayGomez
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
Seg Inf Sem01
Seg Inf Sem01Seg Inf Sem01
Seg Inf Sem01lizardods
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Gabriel Marcos
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionOscar Huanca
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónDavid Narváez
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpeigugarte
 
Seguridad de la información en instituciones financieras: retos y prácticas c...
Seguridad de la información en instituciones financieras: retos y prácticas c...Seguridad de la información en instituciones financieras: retos y prácticas c...
Seguridad de la información en instituciones financieras: retos y prácticas c...bdoriesgosytecnologia
 

Similar a Gsi t09c (seguridad, aseguramiento y auditoria si) (20)

La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocio
 
Introducción si
Introducción siIntroducción si
Introducción si
 
La Convergencia de la Seguridad
La Convergencia de la SeguridadLa Convergencia de la Seguridad
La Convergencia de la Seguridad
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
Infosecu
InfosecuInfosecu
Infosecu
 
Politicas parte02
Politicas parte02Politicas parte02
Politicas parte02
 
Seg Inf Sem01
Seg Inf Sem01Seg Inf Sem01
Seg Inf Sem01
 
Egsi
EgsiEgsi
Egsi
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integral
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridad
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Evaluacion final
Evaluacion finalEvaluacion final
Evaluacion final
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 CorpeiSistema De Gestion De Seguridad Norma Iso 27001 Corpei
Sistema De Gestion De Seguridad Norma Iso 27001 Corpei
 
Seguridad de la información en instituciones financieras: retos y prácticas c...
Seguridad de la información en instituciones financieras: retos y prácticas c...Seguridad de la información en instituciones financieras: retos y prácticas c...
Seguridad de la información en instituciones financieras: retos y prácticas c...
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 

Más de Carmen Hevia Medina

CLIMA OGANIZACIONAL DE LA DEFENSORIA DEL PUEBLO SECCIONAL NORTE DE SANTANDE...
CLIMA OGANIZACIONAL DE LA DEFENSORIA DEL PUEBLO SECCIONAL NORTE DE SANTANDE...CLIMA OGANIZACIONAL DE LA DEFENSORIA DEL PUEBLO SECCIONAL NORTE DE SANTANDE...
CLIMA OGANIZACIONAL DE LA DEFENSORIA DEL PUEBLO SECCIONAL NORTE DE SANTANDE...Carmen Hevia Medina
 
Resultados clima laboral actual icbf
Resultados clima laboral actual icbfResultados clima laboral actual icbf
Resultados clima laboral actual icbfCarmen Hevia Medina
 
Grupo fundacion medico preventiva
Grupo fundacion medico preventivaGrupo fundacion medico preventiva
Grupo fundacion medico preventivaCarmen Hevia Medina
 
Grupo fundacion medico preventiva
Grupo fundacion medico preventivaGrupo fundacion medico preventiva
Grupo fundacion medico preventivaCarmen Hevia Medina
 
Anexo a hospital universitario erasmo meoz
Anexo a hospital universitario erasmo meozAnexo a hospital universitario erasmo meoz
Anexo a hospital universitario erasmo meozCarmen Hevia Medina
 
Listado alumnos 3er cohorte 2011 mayo 2012
Listado alumnos 3er cohorte 2011 mayo 2012Listado alumnos 3er cohorte 2011 mayo 2012
Listado alumnos 3er cohorte 2011 mayo 2012Carmen Hevia Medina
 
Planificacion y auditorias de marketing
Planificacion y auditorias de marketingPlanificacion y auditorias de marketing
Planificacion y auditorias de marketingCarmen Hevia Medina
 
Mapa mental proceso de la decision (3)
Mapa mental proceso de la decision (3)Mapa mental proceso de la decision (3)
Mapa mental proceso de la decision (3)Carmen Hevia Medina
 

Más de Carmen Hevia Medina (20)

E business
E businessE business
E business
 
CLIMA OGANIZACIONAL DE LA DEFENSORIA DEL PUEBLO SECCIONAL NORTE DE SANTANDE...
CLIMA OGANIZACIONAL DE LA DEFENSORIA DEL PUEBLO SECCIONAL NORTE DE SANTANDE...CLIMA OGANIZACIONAL DE LA DEFENSORIA DEL PUEBLO SECCIONAL NORTE DE SANTANDE...
CLIMA OGANIZACIONAL DE LA DEFENSORIA DEL PUEBLO SECCIONAL NORTE DE SANTANDE...
 
Grupo cj oriente
Grupo cj orienteGrupo cj oriente
Grupo cj oriente
 
Presentacion icbf
Presentacion icbfPresentacion icbf
Presentacion icbf
 
Resultados clima laboral actual icbf
Resultados clima laboral actual icbfResultados clima laboral actual icbf
Resultados clima laboral actual icbf
 
Grupo fundacion medico preventiva
Grupo fundacion medico preventivaGrupo fundacion medico preventiva
Grupo fundacion medico preventiva
 
Grupo fundacion medico preventiva
Grupo fundacion medico preventivaGrupo fundacion medico preventiva
Grupo fundacion medico preventiva
 
Grupo bomberos
Grupo bomberosGrupo bomberos
Grupo bomberos
 
Grupo rodsam & asociados
Grupo rodsam & asociadosGrupo rodsam & asociados
Grupo rodsam & asociados
 
Grupo rodsam & asociados
Grupo rodsam & asociadosGrupo rodsam & asociados
Grupo rodsam & asociados
 
Trabajo hospital erasmo meoz
Trabajo hospital erasmo meozTrabajo hospital erasmo meoz
Trabajo hospital erasmo meoz
 
Anexo a hospital universitario erasmo meoz
Anexo a hospital universitario erasmo meozAnexo a hospital universitario erasmo meoz
Anexo a hospital universitario erasmo meoz
 
Trabajo co impec
Trabajo co impecTrabajo co impec
Trabajo co impec
 
Cultura organizacion icbf
Cultura organizacion icbfCultura organizacion icbf
Cultura organizacion icbf
 
Trabajo clima organizacional
Trabajo clima organizacionalTrabajo clima organizacional
Trabajo clima organizacional
 
Quia pijamas
Quia pijamasQuia pijamas
Quia pijamas
 
Listado alumnos 3er cohorte 2011 mayo 2012
Listado alumnos 3er cohorte 2011 mayo 2012Listado alumnos 3er cohorte 2011 mayo 2012
Listado alumnos 3er cohorte 2011 mayo 2012
 
4 casos emprendedores_sae
4 casos emprendedores_sae4 casos emprendedores_sae
4 casos emprendedores_sae
 
Planificacion y auditorias de marketing
Planificacion y auditorias de marketingPlanificacion y auditorias de marketing
Planificacion y auditorias de marketing
 
Mapa mental proceso de la decision (3)
Mapa mental proceso de la decision (3)Mapa mental proceso de la decision (3)
Mapa mental proceso de la decision (3)
 

Gsi t09c (seguridad, aseguramiento y auditoria si)

  • 1. Tema 9 SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS SI D.O.E. GSI. Seguridad, calidad y auditoría SI -1-
  • 2. SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS SI 1. Seguridad de los SI 2. La gestión de la seguridad de los SI 3. Aseguramiento de la calidad 4. Auditoría de los SI 5. Técnicas de auditoría de los SI 6. Contenido de la auditoría de los SI D.O.E. GSI. Seguridad, calidad y auditoría SI -2-
  • 3. 1. SEGURIDAD DE LOS SI SI a proteger Exposición a amenazas Valor del Sistema Daño potencial de la Nivel de seguridad amenaza Impacto en el Sistema Coste de la Frecuencia de la seguridad amenaza Análisis de riesgo D.O.E. GSI. Seguridad, calidad y auditoría SI -3-
  • 4. 2. GESTIÓN DE LA SEGURIDAD SI Por Seguridad Informática se entiende el conjunto de Por Seguridad Informática se entiende el conjunto de procedimientos orientados a evitar la destrucción, procedimientos orientados a evitar la destrucción, modificación, utilización y difusión no autorizada de modificación, utilización y difusión no autorizada de los datos y la información de la organización los datos y la información de la organización ● Confidencialidad ● Integridad ● Disponibilidad D.O.E. GSI. Seguridad, calidad y auditoría SI -4-
  • 5. 2. GESTIÓN DE LA SEGURIDAD SI Personas Procesos { Seguridad Lógica Informática Seguridad (sw, comunicaciones, datos e información) Seguridad Física (hw, y redes de comunicaciones) Entorno: local, instalaciones y suministros (eléctrico, comunicaciones telefónicas y de Internet, etc.) D.O.E. GSI. Seguridad, calidad y auditoría SI -5-
  • 6. 2. GESTIÓN DE LA SEGURIDAD SI El papel de las personas en la seguridad ● Hacia una cultura de la seguridad ➢ Tecnología ➢ Empresa ➢ Personas usuarias del SI ● Comité de seguridad ➢ Composición multidisciplinar ➢ Director del Comité ➢ Plan Integral de Seguridad D.O.E. GSI. Seguridad, calidad y auditoría SI -6-
  • 7. 2. GESTIÓN DE LA SEGURIDAD SI El papel de los procesos y procedimientos en la seguridad Procesos de negocio que usan el SI Sistema de Información de soporte a los procesos Riesgos asociados Medidas de seguridad Impacto en el Sistema Amenazas y vulnerabilidades D.O.E. GSI. Seguridad, calidad y auditoría SI -7-
  • 8. 2. GESTIÓN DE LA SEGURIDAD SI Ejemplo matriz de riesgo Impacto si la Amenazas que pueden provocar la pérdida de datos Probabilidad amenaza se de que cierta hace realidad amenaza cause Error Incendio Sabotaje cierto impacto: Destrucción del 0 3 1 0: despreciable Hw 1: improbable 2: probable 3: seguro Borrado de 3 2 2 información D.O.E. GSI. Seguridad, calidad y auditoría SI -8-
  • 9. 2. GESTIÓN DE LA SEGURIDAD SI El papel de los procesos y procedimientos en la seguridad ● Certificado de seguridad ISO/TEC 17799 ● Políticas de seguridad (pública) ● Clasificación de la información ● Acceso a la información por parte de terceros D.O.E. GSI. Seguridad, calidad y auditoría SI -9-
  • 10. 2. GESTIÓN DE LA SEGURIDAD SI Seguridad Lógica ● Seguridad del software ● Seguridad de los datos y de la información ● Errores humanos ● Accesos no autorizados ● Virus, troyanos, phishing, y programas espía ● Seguridad de las comunicaciones PREVENCIÓN ANTE TODO D.O.E. GSI. Seguridad, calidad y auditoría SI - 10 -
  • 11. 2. GESTIÓN DE LA SEGURIDAD SI Amenazas y posibles soluciones a la seguridad del e_business Amenaza Medida de seguridad Función Datos interceptados , Encriptación Los datos se codifican leídos o modificados para evitar su alteración ilícitamente Los usuarios asumen otra Autentificación mediante Verifica la identidad de identidad para cometer firma digital receptor y emisor fraude Un usuario no autorizado Cortafuegos (firewall) Filtran y evitan accesos obtiene acceso a una red Uso de redes privadas indeseados a la red o al virtuales (VPN) servidor de red D.O.E. GSI. Seguridad, calidad y auditoría SI - 11 -
  • 12. 2. GESTIÓN DE LA SEGURIDAD SI Seguridad Física ● Mantenimiento de los equipos ● Información a los usuarios ● Planes de contingencia D.O.E. GSI. Seguridad, calidad y auditoría SI - 12 -
  • 13. 2. GESTIÓN DE LA SEGURIDAD SI Amenazas del entorno a la seguridad del SI ● Condiciones ambientales ● Incendios, inundaciones ● Cortes suministro eléctrico ● Robos / vandalismo ● Interferencias en comunicaciones ● Ubicación servidores y demás equipos uso comp. ➢ Perímetro de seguridad D.O.E. GSI. Seguridad, calidad y auditoría SI - 13 -
  • 14. 2. GESTIÓN DE LA SEGURIDAD SI Planes de contingencia Planes de Contingencia: planes de recuperación, o Planes de Contingencia: planes de recuperación, o planes de continuidad, ante desastres que restauren el planes de continuidad, ante desastres que restauren el SI o palíen los daños sufridos SI o palíen los daños sufridos • Imposibilidad seguridad absoluta • Implicar a todo el personal • Seguridad preventiva • Copias de Seguridad y equipos alternativos D.O.E. • Empresas especializadas GSI. Seguridad, calidad y auditoría SI - 14 -
  • 15. 3. ASEGURAMIENTO DE LA CALIDAD SI • Dirección • Usuarios • Personal del Departamento de SI ➢ Biblioteca ➢ Control procesamiento ➢ Control acceso ➢ Administración BBDD ➢ Respaldo y recuperación ➢ Aseguramiento calidad desarrollo sw D.O.E. GSI. Seguridad, calidad y auditoría SI - 15 -
  • 16. 3. ASEGURAMIENTO DE LA CALIDAD SI Características de la Calidad Descripción Integridad de los datos Los datos almacenados son exactos y carecen de errores Confidencialidad de los datos Los datos y la información están protegidos contra accesos o divulgación ilegal Disponibilidad de los datos Los resultados de salida no presentan errores Resultados fiables Los resultados de salida están disponibles en el momento preciso para la TD o la acción Resultados relevantes Los resultados de salida son importantes e interesan al destinatario Resultados selectivos El Sistema sólo suministra los resultados de salida necesarios para el fin asignado Operación e interpretación El Sistema proporciona una interfaz de usuario intuitiva y amigable resultados fácil para usuario Operaciones resistentes a errores Ofrecen procedimientos de prevención y detección de errores Existen procedimientos para reportar y corregir errores, Se aplican procedim. de auditoría Autenticidad Solamente el personal autorizado tiene acceso a las instalaciones, aplicaciones y datos Trazabilidad Existen mecanismos que permiten determinar qué datos han sido modificados, cuándo y por quién Respaldo y recuperación Existen planes de contingencia y mecanismos para la recuperación en el caso eventual de fallo o destrucción de una parte o de todo el sistema Seguridad D.O.E. El Sistema y su funcionamiento están protegidos de riesgos ambientales y de operación - 16 - Calidad en los SI GSI. Seguridad, calidad y auditoría SI
  • 17. 3. ASEGURAMIENTO DE LA CALIDAD SI Procedimientos • Implantar estándares, metodologías y procesos de calidad de datos en E/S • Implantar acciones para garantizar calidad datos en las plataformas BI D.O.E. GSI. Seguridad, calidad y auditoría SI - 17 -
  • 18. 4. AUDITORÍA SI La auditoría de los SI es el conjunto de técnicas y La auditoría de los SI es el conjunto de técnicas y métodos que se aplican para la evaluación y control métodos que se aplican para la evaluación y control del SI de una organización del SI de una organización • Adecuación a las necesidades organización • Eficacia / eficiencia obtención objetivos • Coherencia objetivos con planes organización D.O.E. GSI. Seguridad, calidad y auditoría SI - 18 -
  • 19. 4. AUDITORÍA SI Objetivos Objetivos de la auditoría de SI Elementos a auditar Salvaguardar los activos Seguridad del SI Garantizar operatividad del SI Mantener integridad datos Calidad del SI Alcanzar metas organizativas Aspectos organiozativos y de gestión Contribución a los objetivos de Garantizar adecuación la empresa del SI a las necesidades de la organización Uso eficiente/eficaz de los Adecuación de los RRHH a las recursos TIC´s Integración de BBDD y aplicac. Formación del personal D.O.E. GSI. Seguridad, calidad y auditoría SI - 19 -
  • 20. 4. AUDITORÍA SI Elementos a revisar • de carácter organizativo: ➢ rentabilidad ➢ relación con otras áreas organización ➢ personal TI / usuarios • de carácter técnico: ➢ hardware, software, comunicaciones ➢ seguridad informática D.O.E. GSI. Seguridad, calidad y auditoría SI - 20 -
  • 21. 4. AUDITORÍA SI Problemas • equipos infrautilizados • equipos sobredimensionados • aplicaciones, BD desintegradas, incompatibles • aplicaciones difíciles de mantener / no estándar • exceso / falta personal TI • falta de formación personal TI / usuarios • falta de seguridad • datos poco fiables D.O.E. GSI. Seguridad, calidad y auditoría SI - 21 -
  • 22. 4. AUDITORÍA SI Pasos auditoría • Diagnóstico • Evaluación puntos fuertes / débiles • Emisión informe con recomendaciones D.O.E. GSI. Seguridad, calidad y auditoría SI - 22 -
  • 23. 4. AUDITORÍA SI Formación equipo Proceso trabajo Elementos de gestión Objetivos y alcance Adecuación necesidades auditoría El personal La organización Asignación tareas y Técnicas de auditoría Las compras responsabilidades Cuestionarios La legalidad Análisis documentos La seguridad física Análisis situación actual Entrevistas Observación Comparación con el plan Sw de interrogación Elementos técnicos de SI Experimentación Seguridad lógica Equipamiento Comprobar coherencia Aplicaciones y BBDD con objetivos globales Integración de Sistemas Comunicaciones Evaluación necesidades problemas detectados Informe final •Objetivos y alcance •Puntos débiles / amenazas D.O.E. •Temas considerados •Consecución objetivos - 23 - •Situación actual, tendencias •Recomendaciones y planes acción GSI. Seguridad, calidad y auditoría SI
  • 24. 4. AUDITORÍA SI Metodología • Establecer objetivos / alcance auditoría • Asignación tareas / responsabilidades • Análisis situación actual (doble pdv) • Comparación situación actual / prevista • Coherencia con objetivos globales Org. • Evaluación necesidades / problemas detectados • Informe final D.O.E. GSI. Seguridad, calidad y auditoría SI - 24 -
  • 25. 4. AUDITORÍA SI Informe final 1.- Objetivos y alcance 2.- Enumeración aspectos considerados 3.- Exposición situación actual / tendencias, puntos fuertes / puntos débiles 4.- Recomendaciones / planes de acción D.O.E. GSI. Seguridad, calidad y auditoría SI - 25 -
  • 26. 5. TÉCNICAS AUDITORÍA SI Técnicas • Cuestionarios • Análisis de documentación • Entrevistas • Observación • Software de interrogación / muestreos • Experimentación • Combinación de todos los anteriores D.O.E. GSI. Seguridad, calidad y auditoría SI - 26 -
  • 27. 6. CONTENIDO AUDITORÍA SI Elementos de gestión • Adecuación necesidades • El personal • La organización (totalidad / homogeneidad) • Normas que guíen las compras • La legalidad • La seguridad física (errores humanos) • Servicios del Departamento de SI • Prácticas de gestión informática (CDVDS) D.O.E. GSI. Seguridad, calidad y auditoría SI - 27 -
  • 28. 6. CONTENIDO AUDITORÍA SI Elementos técnicos • Seguridad lógica • Equipamiento • Aplicaciones y BD • Integración de sistemas • Comunicaciones D.O.E. GSI. Seguridad, calidad y auditoría SI - 28 -