Upload
hakhanh
View
218
Download
0
Embed Size (px)
Citation preview
SEGURIDAD EN SISEGURIDAD EN SI
•EXACTITUD
•INTEGRIDAD
•PROTECCIÓN
•EXACTITUD
•INTEGRIDAD
•PROTECCIÓN
Los controles efectivos proporcionan:
•Seguridad
•Minimizan errores
•Garantizan calidad
Los controles efectivos proporcionan:
•Seguridad
•Minimizan errores
•Garantizan calidad
Tipos de controles de Sistemas de InformaciónTipos de controles de Sistemas de Información
Controles de instalaciones
Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad
Controles de instalaciones
Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad
Controles de procedimientos
Procedimientos estándares, documentación,autorizaciones, auditoría
Controles de procedimientos
Procedimientos estándares, documentación,autorizaciones, auditoría
Controles de los SI
Controles de E, P, S y alm.
Controles de los SI
Controles de E, P, S y alm.
Manejo del desempeño yla seguridad
de los SI
Manejo del desempeño yla seguridad
de los SI
Controles de SIControles de SI
ControlesProcesamiento
SoftwareHardware
Barreras defuego
Puntos de comprobación
ControlesProcesamiento
SoftwareHardware
Barreras defuego
Puntos de comprobación
ControlesAlmacenam.
Controles Entrada
ControlesSalida
•Códigos seguridad
•Encriptación
•Pantallas ingreso de datos formateados
•Señales audibles de error
•Software que controla datos inválidos
•Formas pre registradas
•Códigos seguridad
•Encriptación
•Pantallas ingreso de datos formateados
•Señales audibles de error
•Software que controla datos inválidos
•Formas pre registradas
•Códigos seguridad
•Encriptación
•Totales de control
•Listados de controles
•Retroalimentación del usuario final
•Códigos seguridad
•Encriptación
•Totales de control
•Listados de controles
•Retroalimentación del usuario final
•Códigos seguridad
•Encriptación
•Archivos de respaldo
•Administ. BD
•Códigos seguridad
•Encriptación
•Archivos de respaldo
•Administ. BD
Tipos de controles de Sistemas de InformaciónTipos de controles de Sistemas de Información
Controles de instalaciones
Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad
Controles de instalaciones
Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad
Controles de procedimientos
Procedimientos estándares, documentación,autorizaciones, auditoría
Controles de procedimientos
Procedimientos estándares, documentación,autorizaciones, auditoría
Controles de los SI
Controles de E, P, S y alm.
Controles de los SI
Controles de E, P, S y alm.
Manejo del desempeño yla seguridad
de los SI
Manejo del desempeño yla seguridad
de los SI
• Protegen contra la pérdida o destrucción de las instalaciones
• Requerimientos de seguridad que las empresas deben tener para usar comercio electrónico:
» Privacidad» Autenticidad» Integridad» Confiabilidad» Bloqueo
Control de las instalacionesControl de las instalaciones
• Monitores de seguridad de sistemas• Encriptación• Barreras de fuego• Controles de protección física• Controles biométricos• Controles de fallas computacionales• Sistemas tolerantes a fallas
Medidas de seguridad en la redMedidas de seguridad en la red
• Son paquetes de software especializados
• Protegen contra: »uso no autorizado»mal uso del sistema»fraude»destrucción
Monitores de seguridad de sistemasMonitores de seguridad de sistemas
Uso de algoritmos matemáticos para
transformar datos digitales en un código
antes de transmitirse y decodificar cuando
se reciben
EncriptaciónEncriptación
• Sistema computacional “portero” que protege a una red contra intrusos
–Examina el tráfico de la red–Permite transmisiones autorizadas dentro y
fuera de la red–Trata de impedir los ingresos no autorizados
Barreras de fuego (firewalls)Barreras de fuego (firewalls)
• Verificación de voz• Huellas digitales• Geometría de la mano• Análisis del golpe de teclas• Exploración de la retina• Reconocimiento de la cara• Análisis de patrones genéticos
Controles biométricosControles biométricos
• Cerraduras electrónicas• Alarmas• TV circuito cerrado• Policía• Control de polvo, temperatura, incendio, etc
Controles de protección físicaControles de protección física
• Controla que el sistema no deje de funcionar, ya sea por cortes de luz, virus, problemas en las telecomunicaciones, etc
• Debe realizarse: –Mantenimiento preventivo–Actualización de software–Controles de humedad, incendios, etc
Control de fallas computacionalesControl de fallas computacionales
Sistema tolerante a fallas:Sistemas que contienen componentes
adicionales de hardware, software y alimentación
de energía, que pueden respaldar a un sistema y
mantenerlo en operación para evitar que falle.
Tipos de controles de Sistemas de InformaciónTipos de controles de Sistemas de Información
Controles de instalaciones
Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad
Controles de instalaciones
Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad
Controles de procedimientos
Procedimientos estándares, documentación,autorizaciones, auditoría
Controles de procedimientos
Procedimientos estándares, documentación,autorizaciones, auditoría
Controles de los SI
Controles de E, P, S y alm.
Controles de los SI
Controles de E, P, S y alm.
Manejo del desempeño yla seguridad
de los SI
Manejo del desempeño yla seguridad
de los SI
• Métodos que especifican cómo debe operarse el SI para obtener máxima seguridad:
»Documentación y procedimientos estándares
»Revisión de los procedimientos por usuarios finales y gerentes
»Plan de recuperación de desastres
»Controles de uso de la PC
Controles de procedimientosControles de procedimientos
Dimensiones éticas y sociales de TIDimensiones éticas y sociales de TI
DimensionesÉticas y Sociales
de TI
DimensionesÉticas y Sociales
de TI
Solucionessociales
Solucionessociales PrivacidadPrivacidad
IndividualidadIndividualidad
DelitosDelitos
EmpleoEmpleo
Condicioneslaborales
Condicioneslaborales
SaludSalud
• Delito en Internet• Robo de dinero• Robo de servicios• Robo de software• Alteración o robo de datos• Acceso malintencionado• Virus de computadoras
Principales delitos computacionalesPrincipales delitos computacionales
Auditoría en Sistemas de Información
•Examen metódico.
•Puntual y discontinua.
•Verificación y evaluación de los entornos informáticos y no únicamente revisión.
•Destinada a la ayuda en la mejora de la seguridad, eficacia, eficiencia y rentabilidad del entorno informático de la empresa.
•Establecer una opinión objetiva, fundada en evidencias encontradas
Auditoría en Sistemas de Información
•Examen metódico.
•Puntual y discontinua.
•Verificación y evaluación de los entornos informáticos y no únicamente revisión.
•Destinada a la ayuda en la mejora de la seguridad, eficacia, eficiencia y rentabilidad del entorno informático de la empresa.
•Establecer una opinión objetiva, fundada en evidencias encontradas
Factores determinantes para establecer los objetivos de la Auditoría en SI.
1. Características de la organización.2. Características del departamento de informática a auditar.3. Limitaciones técnicas del auditor.4. Determinar el nivel de riesgo aparente del sistema a auditar.5. Identificar áreas criticas de control.6. Definir objetivos y alcance del trabajo a realizar.
Factores determinantes para establecer los objetivos de la Auditoría en SI.
1. Características de la organización.2. Características del departamento de informática a auditar.3. Limitaciones técnicas del auditor.4. Determinar el nivel de riesgo aparente del sistema a auditar.5. Identificar áreas criticas de control.6. Definir objetivos y alcance del trabajo a realizar.
Clasificación de objetivos
–Objetivos que colaboran para mejorar la eficiencia de la organización informática y protección de sus activos y recursos.
–Objetivos que colaboran para garantizar que los SI produzcan resultados fiables en plazo y costos aceptables y que satisfagan necesidades de usuarios.
–Objetivos que colaboran para mejorar procedimientos, estándares y planificación.
Cualidades del Auditor de SI
•Comprensión básica de los sistemas informáticos.•Conocimiento básico de los Sistemas Operativos y Software más difundidos.•Conocimiento de estructuras de datos más conocidas.•Conocimiento de softwares de Auditoría de SI.•Conocimiento y capacidad para revisar e interpretar los sistemasdocumentados.•Conocimiento de los controles básicos de aplicación en los procesos de datos.•Conocimiento del sistema y software de Base de Datos.•Conocimiento sobre administración de BD.•Conocimiento de seguridad y continuidad ante fallos del sistema.•Conocimiento de los principio de Auditoría.•Conocimiento generales de Contabilidad, Control, etc.•Conocimiento de dirección.•Conocimiento sobre sicología de las organizaciones.
Cualidades del Auditor de SI
•Comprensión básica de los sistemas informáticos.•Conocimiento básico de los Sistemas Operativos y Software más difundidos.•Conocimiento de estructuras de datos más conocidas.•Conocimiento de softwares de Auditoría de SI.•Conocimiento y capacidad para revisar e interpretar los sistemasdocumentados.•Conocimiento de los controles básicos de aplicación en los procesos de datos.•Conocimiento del sistema y software de Base de Datos.•Conocimiento sobre administración de BD.•Conocimiento de seguridad y continuidad ante fallos del sistema.•Conocimiento de los principio de Auditoría.•Conocimiento generales de Contabilidad, Control, etc.•Conocimiento de dirección.•Conocimiento sobre sicología de las organizaciones.
Fases del desarrollo de una Auditoría de SI
Fase 1: Toma de contacto1.1 Análisis inicial.
1.1.1 Sobre la Organización Global.1.1.2 Sobre el departamento de SI.
1.2 Análisis detallado.
Fase 2: Planificación de la operación.Detallar objetivos de la Auditoría.Definir cuándo se hará la Auditoría.Exponer problemas previstos en la Fase 1.Definir las áreas que cubrirá el estudio.Determinar qué personas colaborarán con la Auditoría.Definir los documentos a reunir.
Fases del desarrollo de una Auditoría de SI
Fase 1: Toma de contacto1.1 Análisis inicial.
1.1.1 Sobre la Organización Global.1.1.2 Sobre el departamento de SI.
1.2 Análisis detallado.
Fase 2: Planificación de la operación.Detallar objetivos de la Auditoría.Definir cuándo se hará la Auditoría.Exponer problemas previstos en la Fase 1.Definir las áreas que cubrirá el estudio.Determinar qué personas colaborarán con la Auditoría.Definir los documentos a reunir.
Fase 3: Desarrollo de la Auditoría
Se ejecutan las tareas planificadas en la etapa anterior.
Fase 4: Síntesis y Diagnóstico.
Pone en evidencia:Puntos débiles del sistema.Puntos fuertes del Sistema.Riesgos eventuales.Posibles oportunidades.Posibles soluciones y mejoras.
Fase 5: Presentación de conclusiones.
Fase 6: Redacción del informe y formulación del plan de mejoras.
Fase 3: Desarrollo de la Auditoría
Se ejecutan las tareas planificadas en la etapa anterior.
Fase 4: Síntesis y Diagnóstico.
Pone en evidencia:Puntos débiles del sistema.Puntos fuertes del Sistema.Riesgos eventuales.Posibles oportunidades.Posibles soluciones y mejoras.
Fase 5: Presentación de conclusiones.
Fase 6: Redacción del informe y formulación del plan de mejoras.
Aplicaciones de la Auditoría de SI
1. Auditoría de seguridad física y lógica.
2. Auditoría de la planificación.1.1 Nivel estratégico.1.2 Nivel táctico.1.3 Nivel operativo.
3. Auditoría de la Organización y Gestión del Centro de Proceso de datos.
4. Área de explotación.
5. Área del entorno hardware y software.
Aplicaciones de la Auditoría de SI
1. Auditoría de seguridad física y lógica.
2. Auditoría de la planificación.1.1 Nivel estratégico.1.2 Nivel táctico.1.3 Nivel operativo.
3. Auditoría de la Organización y Gestión del Centro de Proceso de datos.
4. Área de explotación.
5. Área del entorno hardware y software.