SlideShare una empresa de Scribd logo

Auditoria de la_seguridad

Descargar como PPT, PDF
oscar lopez
oscar lopez
1 de 23
Auditoria de la Seguridad Cr. Luis Elissondo
Seguridad y Auditoria Auditoría Seguridad De la Seguridad Auditoría
Con que tipo de controles puedo contar?  Controles Directivos  Controles Detectivos  Controles Preventivos  Controles Recuperación
Que son las Politicas de Seguridad Informática?  Una política de seguridad informática es una forma de comunicarse con losusuarios y los gerentes. Las PSI establecen el canal formal de actuacióndel personal, en relación con los recursos y servicios informáticos, importantes de la organización.  No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello.  Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.
Elementos que debe contener una política de Seg. Inf.       Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política. Definición de violaciones y de las consecuencias del no cumplimiento de la política. Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
Ejemplo de una Politica  Todos los usuarios deben estar adecuadamente registrados y acceder solo a los recursos que le fueron asignados.
Ejemplo de un Procedimiento Procedimiento de alta de cuenta de usuario Cuando un elemento de la organización requiere una cuenta de operación en el sistema, debe llenar un formulario que contenga, al menos los siguientes datos: • Nombre y Apellido • Puesto de trabajo • Jefe inmediato superior que avale el pedido • Descripción de los trabajos que debe realizar en el sistema • Explicaciones breves, pero claras de cómo elegir su password. Asimismo, este formulario debe tener otros elementos que conciernen a la parte de ejecución del área encargada de dar de alta la cuenta, datos como: • Tipo de cuenta • Fecha de caducidad • Fecha de expiración • Datos referentes a los permisos de acceso (por ejemplo, tipos de permisos a los diferentes directorios y/o archivos)  Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el ingreso al sistema.
Diagrama para analizar un programa se seguridad
Riesgos  No continuidad del Negocio  el acceso indebido a los datos (a veces a través de redes),  la cesión no autorizada de soportes magnéticos con información crítica (algunos dicen "sensible"),  los daños por fuego, por agua (del exterior como puede ser una inundación, opor una tubería interior),  la variación no autorizada de programas, su copia indebida, y tantos otros,persiguiendo el propio beneficio o causar un daño, a veces por venganza.
Niveles de Trabajo Confidencialidad Integridad Autenticidad No Repudio Disponibilidad de los recursos y de la información  Consistencia  Control de Acceso  Auditoría     
Determinación de los Riesgos  Qué se necesita proteger  De quién protegerlo  Cómo protegerlo
Que hacer con los riesgos  Eliminarlos  Disminuirlos  Transferirlos  Asumir los Riesgos
Fases de la Auditoria  Objetivos , delimitación de alcance y profundidad del trabajo.  Análisis de posibles fuentes y recopilación de información.  Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad.  Determinación de herramientas o perfiles de especialistas necesarios.  Realización de entrevistas y pruebas.  Analisis de Riesgos y Resultados  Discusión del informe Provisional  Informe Definitivo
Auditar la Seguridad Física  Medidas de Protección Fisica  Lay Out  Riesgos posibles  Controles de detección  Politicas de Backup y almacenamiento  Plan de Recuperación
Auditoria de la Seguridad Lógica  Administración de Recursos Humanos  Politicas de administración de Usuarios.  Asignación de la contraseña. Longitud, vigencia, repetición,etc  No cesión de clave – uso individual
Auditoria del Desarrollo de Aplicaciones  Controles incorporados.  Prueba de la Aplicación.  Puesta en Produccion
Seguridad en los Datos  Confidencialidad  Disponibilidad e Integridad  Ciclo de vida de los Datos
Ciclo de vida de la Información Generación Registro Eliminación Modificación / Consulta
Auditoria de Redes y Comunicaciones  Conexiones  Cifrado  Salidas gateway y routers  Correo Electrónico  Páginas WEB  Firewalls
Auditoria de la continuidad de las operaciones  Plan de Contigencia  Completitud  Divulgación  Actualización  Plan de Recuperación
Fuentes de la Auditoría           Politicas, estándares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, pólizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios
Desarrollo del caso práctico
Conclusiones y Preguntas ? ? ? ? ?  E-mail: luiseli@rec.unicen.edu.ar

Recomendados

Tarea 4 equipo
Tarea 4 equipoTarea 4 equipo
Tarea 4 equipoTavo Adame
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4rodrigonix
 
Auditoria
AuditoriaAuditoria
AuditoriaElenyz Vsqz Cabaniel
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasivanv40
 
Administracion de riesgos
Administracion de riesgosAdministracion de riesgos
Administracion de riesgosUniminuto - San Francisco
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticamaekma
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemasSiudy Infante Brito
 

Recomendados

Tarea 4 equipo
Tarea 4 equipoTarea 4 equipo
Tarea 4 equipoTavo Adame
 
Presentación seguridad informática
Presentación seguridad informáticaPresentación seguridad informática
Presentación seguridad informáticajason031988
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4rodrigonix
 
Auditoria
AuditoriaAuditoria
AuditoriaElenyz Vsqz Cabaniel
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasivanv40
 
Administracion de riesgos
Administracion de riesgosAdministracion de riesgos
Administracion de riesgosUniminuto - San Francisco
 
Auditoría informática
Auditoría informáticaAuditoría informática
Auditoría informáticamaekma
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemasSiudy Infante Brito
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Auditoría de sistemas
Auditoría de sistemasAuditoría de sistemas
Auditoría de sistemaskathia_mile
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informaticargabrielnaranjo
 
ARQSQL.docx
ARQSQL.docxARQSQL.docx
ARQSQL.docxArpecArmando
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemaskathia_mile
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría InformaticaUNEFA
 
Audiroria
Audiroria Audiroria
Audiroria yolanda22012
 
Autoría de sistemas
Autoría de sistemasAutoría de sistemas
Autoría de sistemasDoris Suquilanda
 
Auditoria Informática
Auditoria InformáticaAuditoria Informática
Auditoria InformáticaAstrid Timaure
 
Ay e juandelahoz
Ay e juandelahozAy e juandelahoz
Ay e juandelahozJuanHoz1955
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronicoSenobioQuispeMollo2
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticabryanchimbolema
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridadYESENIA CETINA
 
Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"Sisem Soluciones de Información S.A
 
Audisistem 2 paula oviedo
Audisistem 2 paula oviedoAudisistem 2 paula oviedo
Audisistem 2 paula oviedoOfficialFbPao
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistemagabych88
 
Funcionalismo sistêmico read
Funcionalismo sistêmico readFuncionalismo sistêmico read
Funcionalismo sistêmico readR D
 
Cómo ingresar
Cómo ingresarCómo ingresar
Cómo ingresarErika Ruiz
 
Biomoléculas
BiomoléculasBiomoléculas
BiomoléculasCamila Moreno
 

Más contenido relacionado

La actualidad más candente

Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Auditoría de sistemas
Auditoría de sistemasAuditoría de sistemas
Auditoría de sistemaskathia_mile
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informaticargabrielnaranjo
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemaskathia_mile
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría InformaticaUNEFA
 
Auditoria Informática
Auditoria InformáticaAuditoria Informática
Auditoria InformáticaAstrid Timaure
 
Ay e juandelahoz
Ay e juandelahozAy e juandelahoz
Ay e juandelahozJuanHoz1955
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridadYESENIA CETINA
 
Audisistem 2 paula oviedo
Audisistem 2 paula oviedoAudisistem 2 paula oviedo
Audisistem 2 paula oviedoOfficialFbPao
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistemagabych88
 

La actualidad más candente (19)

Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
Auditoría de sistemas
Auditoría de sistemasAuditoría de sistemas
Auditoría de sistemas
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informatica
 
ARQSQL.docx
ARQSQL.docxARQSQL.docx
ARQSQL.docx
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemas
 
Metodos de Auditoría Informatica
Metodos de Auditoría InformaticaMetodos de Auditoría Informatica
Metodos de Auditoría Informatica
 
Audiroria
Audiroria Audiroria
Audiroria
 
Autoría de sistemas
Autoría de sistemasAutoría de sistemas
Autoría de sistemas
 
Auditoria Informática
Auditoria InformáticaAuditoria Informática
Auditoria Informática
 
Ay e juandelahoz
Ay e juandelahozAy e juandelahoz
Ay e juandelahoz
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
Comercio electronico
Comercio electronicoComercio electronico
Comercio electronico
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridad
 
Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"
 
Audisistem 2 paula oviedo
Audisistem 2 paula oviedoAudisistem 2 paula oviedo
Audisistem 2 paula oviedo
 
Evaluación del desarrollo del sistema
Evaluación del desarrollo del sistemaEvaluación del desarrollo del sistema
Evaluación del desarrollo del sistema
 

Destacado

Funcionalismo sistêmico read
Funcionalismo sistêmico readFuncionalismo sistêmico read
Funcionalismo sistêmico readR D
 
Cómo ingresar
Cómo ingresarCómo ingresar
Cómo ingresarErika Ruiz
 
Servico social 2009_4_5
Servico social 2009_4_5Servico social 2009_4_5
Servico social 2009_4_5Léia Mayer
 
Expanding The Micro Blaze System
Expanding The Micro Blaze SystemExpanding The Micro Blaze System
Expanding The Micro Blaze Systemiuui
 
Gustavo Madonni Zona Oeste 07 08
Gustavo Madonni Zona Oeste 07 08Gustavo Madonni Zona Oeste 07 08
Gustavo Madonni Zona Oeste 07 08Fernando Muñoz
 
Periódico Extensão Rural (Santa Maria) 2013-2
Periódico Extensão Rural (Santa Maria) 2013-2Periódico Extensão Rural (Santa Maria) 2013-2
Periódico Extensão Rural (Santa Maria) 2013-2Ezequiel Redin
 
Resumo do II Encontro Nacional da Rede Brasileira de Serviços de Preservação ...
Resumo do II Encontro Nacional da Rede Brasileira de Serviços de Preservação ...Resumo do II Encontro Nacional da Rede Brasileira de Serviços de Preservação ...
Resumo do II Encontro Nacional da Rede Brasileira de Serviços de Preservação ...Carla Ferreira
 

Destacado (20)

Funcionalismo sistêmico read
Funcionalismo sistêmico readFuncionalismo sistêmico read
Funcionalismo sistêmico read
 
Cómo ingresar
Cómo ingresarCómo ingresar
Cómo ingresar
 
Biomoléculas
BiomoléculasBiomoléculas
Biomoléculas
 
Jornal UFG
Jornal UFGJornal UFG
Jornal UFG
 
Servico social 2009_4_5
Servico social 2009_4_5Servico social 2009_4_5
Servico social 2009_4_5
 
Lara delgado
Lara delgadoLara delgado
Lara delgado
 
Expanding The Micro Blaze System
Expanding The Micro Blaze SystemExpanding The Micro Blaze System
Expanding The Micro Blaze System
 
Gustavo Madonni Zona Oeste 07 08
Gustavo Madonni Zona Oeste 07 08Gustavo Madonni Zona Oeste 07 08
Gustavo Madonni Zona Oeste 07 08
 
Periódico Extensão Rural (Santa Maria) 2013-2
Periódico Extensão Rural (Santa Maria) 2013-2Periódico Extensão Rural (Santa Maria) 2013-2
Periódico Extensão Rural (Santa Maria) 2013-2
 
Boleto
BoletoBoleto
Boleto
 
Referência utilizadas enex
Referência utilizadas enex Referência utilizadas enex
Referência utilizadas enex
 
Goias
GoiasGoias
Goias
 
Resumo do II Encontro Nacional da Rede Brasileira de Serviços de Preservação ...
Resumo do II Encontro Nacional da Rede Brasileira de Serviços de Preservação ...Resumo do II Encontro Nacional da Rede Brasileira de Serviços de Preservação ...
Resumo do II Encontro Nacional da Rede Brasileira de Serviços de Preservação ...
 
Experimento
ExperimentoExperimento
Experimento
 
Docencia.vol 1.nº1
Docencia.vol 1.nº1Docencia.vol 1.nº1
Docencia.vol 1.nº1
 
U.D.C.A Support Information for non-national
U.D.C.A Support Information for non-nationalU.D.C.A Support Information for non-national
U.D.C.A Support Information for non-national
 
Semilleros mvz
Semilleros mvzSemilleros mvz
Semilleros mvz
 
Franja Morada
Franja MoradaFranja Morada
Franja Morada
 
Cartel promocional
Cartel promocionalCartel promocional
Cartel promocional
 
Presentacion
PresentacionPresentacion
Presentacion
 

Similar a Auditoria de la_seguridad

Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas Michelle Perez
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemasUPTM
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticapiranha gt
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxJeisonCapera1
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasStéfano Morán Noboa
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 UNEFA
 
FUNDAMENTOS DE AUDITORIA DE SISTEMAS - DIONNYS GIL
FUNDAMENTOS DE AUDITORIA DE SISTEMAS - DIONNYS GILFUNDAMENTOS DE AUDITORIA DE SISTEMAS - DIONNYS GIL
FUNDAMENTOS DE AUDITORIA DE SISTEMAS - DIONNYS GILDionnys Gil Hurtado
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasOvi Larios
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasgalactico_87
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadFabián Descalzo
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Fabián Descalzo
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaHernan Cajo Riofrio
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Edna Lasso
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Físicaauli_torres
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticafabianlfb182
 

Similar a Auditoria de la_seguridad (20)

Auditoria de Sistemas
Auditoria de Sistemas Auditoria de Sistemas
Auditoria de Sistemas
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemas
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
mecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptxmecanismo de control y seguridad.pptx
mecanismo de control y seguridad.pptx
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 
clse segurida9.ppt
clse segurida9.pptclse segurida9.ppt
clse segurida9.ppt
 
Auditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemasAuditor base de datos y tecnicas de sistemas
Auditor base de datos y tecnicas de sistemas
 
Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4 Metodos de Auditoría Informatica 4
Metodos de Auditoría Informatica 4
 
FUNDAMENTOS DE AUDITORIA DE SISTEMAS - DIONNYS GIL
FUNDAMENTOS DE AUDITORIA DE SISTEMAS - DIONNYS GILFUNDAMENTOS DE AUDITORIA DE SISTEMAS - DIONNYS GIL
FUNDAMENTOS DE AUDITORIA DE SISTEMAS - DIONNYS GIL
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Revista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidadRevista El Derecho Informático - Seguridad y legalidad
Revista El Derecho Informático - Seguridad y legalidad
 
Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)Seguridad y legalidad - Revista Magazcitum (México)
Seguridad y legalidad - Revista Magazcitum (México)
 
C:\fakepath\auditoria informatica
C:\fakepath\auditoria informaticaC:\fakepath\auditoria informatica
C:\fakepath\auditoria informatica
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
Auditoria Física
Auditoria FísicaAuditoria Física
Auditoria Física
 
C:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informaticaC:\documents and settings\usuario\escritorio\auditoria informatica
C:\documents and settings\usuario\escritorio\auditoria informatica
 

Más de oscar lopez

Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Analisisdeloslugaresdetrabajo
AnalisisdeloslugaresdetrabajoAnalisisdeloslugaresdetrabajo
Analisisdeloslugaresdetrabajooscar lopez
 
Seminario+administracion+tareas+peligrosas3
Seminario+administracion+tareas+peligrosas3Seminario+administracion+tareas+peligrosas3
Seminario+administracion+tareas+peligrosas3oscar lopez
 
Sesión 5 [modo de compatibilidad]
Sesión 5 [modo de compatibilidad]Sesión 5 [modo de compatibilidad]
Sesión 5 [modo de compatibilidad]oscar lopez
 
Sesión 4 [modo de compatibilidad]
Sesión 4 [modo de compatibilidad]Sesión 4 [modo de compatibilidad]
Sesión 4 [modo de compatibilidad]oscar lopez
 
Sesion 3 [modo de compatibilidad]
Sesion 3 [modo de compatibilidad]Sesion 3 [modo de compatibilidad]
Sesion 3 [modo de compatibilidad]oscar lopez
 
Sesion 2 [modo de compatibilidad]
Sesion 2 [modo de compatibilidad]Sesion 2 [modo de compatibilidad]
Sesion 2 [modo de compatibilidad]oscar lopez
 
Sesion 1 [modo de compatibilidad]
Sesion 1 [modo de compatibilidad]Sesion 1 [modo de compatibilidad]
Sesion 1 [modo de compatibilidad]oscar lopez
 
5. inspecciones y_observaciones
5. inspecciones y_observaciones5. inspecciones y_observaciones
5. inspecciones y_observacionesoscar lopez
 
492507 manual-soldadura
492507 manual-soldadura492507 manual-soldadura
492507 manual-soldaduraoscar lopez
 

Más de oscar lopez (13)

Rst anexo s
Rst anexo sRst anexo s
Rst anexo s
 
Reflex~1
Reflex~1Reflex~1
Reflex~1
 
Lsi cap02
Lsi cap02Lsi cap02
Lsi cap02
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
Analisisdeloslugaresdetrabajo
AnalisisdeloslugaresdetrabajoAnalisisdeloslugaresdetrabajo
Analisisdeloslugaresdetrabajo
 
Seminario+administracion+tareas+peligrosas3
Seminario+administracion+tareas+peligrosas3Seminario+administracion+tareas+peligrosas3
Seminario+administracion+tareas+peligrosas3
 
Sesión 5 [modo de compatibilidad]
Sesión 5 [modo de compatibilidad]Sesión 5 [modo de compatibilidad]
Sesión 5 [modo de compatibilidad]
 
Sesión 4 [modo de compatibilidad]
Sesión 4 [modo de compatibilidad]Sesión 4 [modo de compatibilidad]
Sesión 4 [modo de compatibilidad]
 
Sesion 3 [modo de compatibilidad]
Sesion 3 [modo de compatibilidad]Sesion 3 [modo de compatibilidad]
Sesion 3 [modo de compatibilidad]
 
Sesion 2 [modo de compatibilidad]
Sesion 2 [modo de compatibilidad]Sesion 2 [modo de compatibilidad]
Sesion 2 [modo de compatibilidad]
 
Sesion 1 [modo de compatibilidad]
Sesion 1 [modo de compatibilidad]Sesion 1 [modo de compatibilidad]
Sesion 1 [modo de compatibilidad]
 
5. inspecciones y_observaciones
5. inspecciones y_observaciones5. inspecciones y_observaciones
5. inspecciones y_observaciones
 
492507 manual-soldadura
492507 manual-soldadura492507 manual-soldadura
492507 manual-soldadura
 

Auditoria de la_seguridad

  • 1. Auditoria de la Seguridad Cr. Luis Elissondo
  • 2. Seguridad y Auditoria Auditoría Seguridad De la Seguridad Auditoría
  • 3. Con que tipo de controles puedo contar?  Controles Directivos  Controles Detectivos  Controles Preventivos  Controles Recuperación
  • 4. Que son las Politicas de Seguridad Informática?  Una política de seguridad informática es una forma de comunicarse con losusuarios y los gerentes. Las PSI establecen el canal formal de actuacióndel personal, en relación con los recursos y servicios informáticos, importantes de la organización.  No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello.  Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.
  • 5. Elementos que debe contener una política de Seg. Inf.       Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Objetivos de la política y descripción clara de los elementos involucrados en su definición. Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización. Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la política. Definición de violaciones y de las consecuencias del no cumplimiento de la política. Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso.
  • 6. Ejemplo de una Politica  Todos los usuarios deben estar adecuadamente registrados y acceder solo a los recursos que le fueron asignados.
  • 7. Ejemplo de un Procedimiento Procedimiento de alta de cuenta de usuario Cuando un elemento de la organización requiere una cuenta de operación en el sistema, debe llenar un formulario que contenga, al menos los siguientes datos: • Nombre y Apellido • Puesto de trabajo • Jefe inmediato superior que avale el pedido • Descripción de los trabajos que debe realizar en el sistema • Explicaciones breves, pero claras de cómo elegir su password. Asimismo, este formulario debe tener otros elementos que conciernen a la parte de ejecución del área encargada de dar de alta la cuenta, datos como: • Tipo de cuenta • Fecha de caducidad • Fecha de expiración • Datos referentes a los permisos de acceso (por ejemplo, tipos de permisos a los diferentes directorios y/o archivos)  Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el ingreso al sistema.
  • 8. Diagrama para analizar un programa se seguridad
  • 9. Riesgos  No continuidad del Negocio  el acceso indebido a los datos (a veces a través de redes),  la cesión no autorizada de soportes magnéticos con información crítica (algunos dicen "sensible"),  los daños por fuego, por agua (del exterior como puede ser una inundación, opor una tubería interior),  la variación no autorizada de programas, su copia indebida, y tantos otros,persiguiendo el propio beneficio o causar un daño, a veces por venganza.
  • 10. Niveles de Trabajo Confidencialidad Integridad Autenticidad No Repudio Disponibilidad de los recursos y de la información  Consistencia  Control de Acceso  Auditoría     
  • 11. Determinación de los Riesgos  Qué se necesita proteger  De quién protegerlo  Cómo protegerlo
  • 12. Que hacer con los riesgos  Eliminarlos  Disminuirlos  Transferirlos  Asumir los Riesgos
  • 13. Fases de la Auditoria  Objetivos , delimitación de alcance y profundidad del trabajo.  Análisis de posibles fuentes y recopilación de información.  Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad.  Determinación de herramientas o perfiles de especialistas necesarios.  Realización de entrevistas y pruebas.  Analisis de Riesgos y Resultados  Discusión del informe Provisional  Informe Definitivo
  • 14. Auditar la Seguridad Física  Medidas de Protección Fisica  Lay Out  Riesgos posibles  Controles de detección  Politicas de Backup y almacenamiento  Plan de Recuperación
  • 15. Auditoria de la Seguridad Lógica  Administración de Recursos Humanos  Politicas de administración de Usuarios.  Asignación de la contraseña. Longitud, vigencia, repetición,etc  No cesión de clave – uso individual
  • 16. Auditoria del Desarrollo de Aplicaciones  Controles incorporados.  Prueba de la Aplicación.  Puesta en Produccion
  • 17. Seguridad en los Datos  Confidencialidad  Disponibilidad e Integridad  Ciclo de vida de los Datos
  • 18. Ciclo de vida de la Información Generación Registro Eliminación Modificación / Consulta
  • 19. Auditoria de Redes y Comunicaciones  Conexiones  Cifrado  Salidas gateway y routers  Correo Electrónico  Páginas WEB  Firewalls
  • 20. Auditoria de la continuidad de las operaciones  Plan de Contigencia  Completitud  Divulgación  Actualización  Plan de Recuperación
  • 21. Fuentes de la Auditoría           Politicas, estándares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, pólizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios
  • 22. Desarrollo del caso práctico
  • 23. Conclusiones y Preguntas ? ? ? ? ?  E-mail: luiseli@rec.unicen.edu.ar