3. Con que tipo de controles
puedo contar?
Controles Directivos
Controles Detectivos
Controles Preventivos
Controles Recuperación
4. Que son las Politicas de
Seguridad Informática?
Una política de seguridad informática es una forma de
comunicarse con losusuarios y los gerentes. Las PSI
establecen el canal formal de actuacióndel personal,
en relación con los recursos y servicios informáticos,
importantes de la organización.
No se trata de una descripción técnica de mecanismos
de seguridad, ni de una expresión legal que involucre
sanciones a conductas de los empleados. Es más bien
una descripción de los que deseamos proteger y el por
qué de ello.
Cada PSI es consciente y vigilante del personal por el
uso y limitaciones de los recursos y servicios
informáticos críticos de la compañía.
5. Elementos que debe
contener una política de
Seg. Inf.
Alcance de las políticas, incluyendo facilidades, sistemas y
personal sobre la cual aplica. Es una invitación de la
organización a cada uno de sus miembros a reconocer la
información como uno de sus principales activos así como,
un motor de intercambio y desarrollo en el ámbito de sus
negocios.
Objetivos de la política y descripción clara de los elementos
involucrados en su definición.
Responsabilidades por cada uno de los servicios y recursos
informáticos a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad
de los sistemas que cobija el alcance de la política.
Definición de violaciones y de las consecuencias del no
cumplimiento de la política.
Responsabilidades de los usuarios con respecto a la
información a la que ella tiene acceso.
6. Ejemplo de una Politica
Todos los usuarios deben estar
adecuadamente registrados y acceder
solo a los recursos que le fueron
asignados.
7. Ejemplo de un
Procedimiento
Procedimiento de alta de cuenta de usuario
Cuando un elemento de la organización requiere una cuenta de operación en el
sistema, debe llenar un formulario que contenga, al menos los siguientes datos:
• Nombre y Apellido
• Puesto de trabajo
• Jefe inmediato superior que avale el pedido
• Descripción de los trabajos que debe realizar en el sistema
• Explicaciones breves, pero claras de cómo elegir su password.
Asimismo, este formulario debe tener otros elementos que conciernen a la parte
de ejecución del área encargada de dar de alta la cuenta, datos como:
• Tipo de cuenta
• Fecha de caducidad
• Fecha de expiración
• Datos referentes a los permisos de acceso (por ejemplo, tipos de
permisos a los diferentes directorios y/o archivos)
Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el
ingreso al sistema.
9. Riesgos
No continuidad del Negocio
el acceso indebido a los datos (a veces a
través de redes),
la cesión no autorizada de soportes
magnéticos con información crítica (algunos
dicen "sensible"),
los daños por fuego, por agua (del exterior
como puede ser una inundación, opor una
tubería interior),
la variación no autorizada de programas, su
copia indebida, y tantos otros,persiguiendo el
propio beneficio o causar un daño, a veces
por venganza.
12. Que hacer con los riesgos
Eliminarlos
Disminuirlos
Transferirlos
Asumir los Riesgos
13. Fases de la Auditoria
Objetivos , delimitación de alcance y profundidad
del trabajo.
Análisis de posibles fuentes y recopilación de
información.
Determinación del plan de trabajo y de los
recursos y plazos en caso necesario, así como de
comunicación a la entidad.
Determinación de herramientas o perfiles de
especialistas necesarios.
Realización de entrevistas y pruebas.
Analisis de Riesgos y Resultados
Discusión del informe Provisional
Informe Definitivo
14. Auditar la Seguridad Física
Medidas de Protección Fisica
Lay Out
Riesgos posibles
Controles de detección
Politicas de Backup y almacenamiento
Plan de Recuperación
15. Auditoria de la Seguridad
Lógica
Administración de Recursos Humanos
Politicas de administración de Usuarios.
Asignación de la contraseña. Longitud,
vigencia, repetición,etc
No cesión de clave – uso individual
16. Auditoria del Desarrollo de
Aplicaciones
Controles incorporados.
Prueba de la Aplicación.
Puesta en Produccion
17. Seguridad en los Datos
Confidencialidad
Disponibilidad e Integridad
Ciclo de vida de los Datos
18. Ciclo de vida de la Información
Generación
Registro
Eliminación
Modificación / Consulta
19. Auditoria de Redes y
Comunicaciones
Conexiones
Cifrado
Salidas gateway y
routers
Correo Electrónico
Páginas WEB
Firewalls
20. Auditoria de la continuidad
de las operaciones
Plan de Contigencia
Completitud
Divulgación
Actualización
Plan de Recuperación
21. Fuentes de la Auditoría
Politicas, estándares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, pólizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios