Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD DE SISTEMAS
PROYECTO FINAL
Contenido
INTRODUCCION.............................................................................................. 4
OBJETIVOS...................................................................................................... 5
OBJETIVO GENERAL..................................................................................... 5
OBJETIVOS ESPECFICOS............................................................................. 5
SEGURIDAD INFORMTICA.............................................................................. 6
Etapas de Madurez:..................................................................................... 6
Para qu Sirve?.......................................................................................... 6
Qu observacin obtengo?........................................................................6
Aseguramiento de la informacin...............................................................6
RIESGOS DE TI............................................................................................ 7
Por qu Riesgo?......................................................................................... 7
Amenaza..................................................................................................... 7
Vulnerabilidad............................................................................................. 7
Control........................................................................................................ 7
Atributos de seguridad de la informacin...................................................7
DELITOS INFORMTICOS................................................................................. 8
ESTADSTICAS................................................................................................. 9
LEYES............................................................................................................. 9
DESTRUCCIN DE REGISTROS INFORMTICOS.............................................10
ALTERACIN DE PROGRAMAS.......................................................................10
REPRODUCCIN DE INSTRUCCIONES O PROGRAMAS DE COMPUTACIN.....10
GOBIERNO TI................................................................................................ 10
MTRICAS.................................................................................................. 11
BUENAS PRCTICAS.................................................................................. 11
GESTION DE SERVICIOS DE NEGOCIO.......................................................11
BENEFICIOS DE IMPLEMENTAR BSM..........................................................11
ITIL............................................................................................................... 12
COBIT........................................................................................................... 12
ANALISIS FORENSE INFORMTICO................................................................12
MANEJO DE INCIDENTES............................................................................... 12
AGENTES INTELIGENTES PUEDEN ACTUAR COMO CONTROL DE INCIDENCIAS
..................................................................................................................... 13
Governance, Risk, and Compliance (GRC)....................................................14
Control de acceso:.................................................................................... 16
Proceso de control:.................................................................................... 16
PROYECTO FINAL
SEGURIDAD DE SISTEMAS
INTRODUCCION
OBJETIVOS
OBJETIVO GENERAL
Implementar SAP GRC a fin de poder estructurar de manera eficaz los
controles de seguridad de informacin en la corporacin, agregando
valor a las responsabilidades del departamento de TI en el tema de
resguardo de la informacin.
Con esto lograremos minimizar seriamente cualquier oportunidad que
se tenga de violentar los sistemas informticos y darle cumplimento a
uno de los temas que se nos ha encargado como departamento de TI,
el cual se refiere al resguardo, proteccin y tratamiento as como
velar por la integridad de la informacin de la corporacin.
OBJETIVOS ESPECFICOS
Simplificar el enfoque de GRC integrando y automatizando
actividades de GRC claves en los procesos existentes.
SEGURIDAD INFORMTICA
Se refiere a todas aquellas medidas que se toman para impedir que
se lleven a cabo actividades no autorizadas en un dispositivo o
sistema informtico, y que puedan causar algn dao en la
informacin o en los equipos.
Esto consiste en una estrategia que lleva a 4 fases: Auditoria interna,
Auditoria Externa, Regulatorios, Corporativos
Cuando hablamos de seguridad informtica debemos de hacernos
estas preguntas:
Qu deseamos proteger?
Se debe identificar primeramente cules son los bienes que
requieren proteccin.
De qu se quiere proteger?
Identificar cules son las amenazas que estn presentes ante
dichos bienes.
Cmo se quiere proteger?
Cules son los mecanismos de seguridad que se utilizarn para
lograr la seguridad deseada.
Etapas de Madurez:
Es un conjunto estructurado de elementos que me dicen el nivel de
madurez en el que se encuentra mi software, esto me ayuda a
establecer un orden claro y discreto que definen el nivel o etapa de
madurez, as mismo me describe la evolucin de la organizacin.
Para qu Sirve?
Para medir, para saber dnde debo estar, planear lo que debo lograr,
gestionar el crecimiento y evolucin de la organizacin.
Qu observacin obtengo?
Qu estoy haciendo, como lo estoy haciendo.
PROYECTO FINAL
SEGURIDAD DE SISTEMAS
Aseguramiento de la informacin
Existen esquemas a nivel de organizaciones que se pueden
implementar para proteger la informacin como Esquema Prohibitivo
y Esquema Permisivo.
En el Esquema Prohibitivo puedo definir: listas negras, listas de
prohibiciones, listas de actividades.
En el Esquema Permisivo puedo definir: Hardening de servicios,
restriccin de los recursos compartidos obteniendo una conectividad
ms segura.
RIESGOS DE TI
Riesgos en el tratamiento de la informacin.
Por qu Riesgo?
- Porque la organizacin se sostiene a partir de la informacin
que maneja.
- Porque asegurar la informacin siempre tiene costo, pero
mantener la informacin vulnerable podra tener un costo an
mayor.
Amenaza
Causa potencial de un incidente no deseado que puede causar dao a
un sistema u organizacin.
Vulnerabilidad
Puede ser explotada por una o ms amenazas.
Control
Medio con el cual se maneja el riesgo.
PRIORI
INTEGRIDAD DAD
Informacin cuya modificacin en un sistema
puede repararse fcilmente y que no afecta el
funcionamiento de la organizacin. 0
Informacin cuya modificacin poder
corregirse, pero puede ocasionar perjuicio 1
Informacin cuya modificacin es difcil de
llevarla a cabo y puede ocasionar perjuicio 2
Esta informacin no podra repararse e impide
que la organizacin contine con sus
actividades. 3
PRIORI
DISPONIBILIDAD DAD
Informacin que est restringida pero no afecta
el funcionamiento de la organizacin 0
Informacin en la cual est restringida los datos
y es permanente por un tiempo corto 1
Informacin en la cual la informacin
permanece restringida durante una jornada
laboral. 2
Informacin en la cual si la informacin queda
restringida durante una hora prudencial,
pueden detenerse las actividades de la
empresa. 3
PROYECTO FINAL
SEGURIDAD DE SISTEMAS
DELITOS INFORMTICOS
Es aquel causado por algn artefacto tecnolgico y su fin es el
perjuicio a otras personas o grupo de personas.
Entre los ms comunes est: Malware, virus, piratera, fraudes, robos,
etc.
Si mencionamos algunas caractersticas podran ser:
- Los que se dedican a esto tienen conocimiento especfico y han
sido contratados para un objetivo especfico.
- Han provocado serias prdidas econmicas.
- Ha habido muchos casos, pero lamentablemente pocas
denuncias.
- No importa el pas en el que se encuentren.
ESTADSTICAS
- 113 Mil millones es el costo global de los delitos informticos
- 378 millones de vctimas al ao
- 1 milln de vctimas por da
- 12 personas por segundo
- 50% de adultos han sido vctimas de un delito informtico.
LEYES
Utilizando el artculo publicado por pgina
http://www.estuderecho.com/
El artculo ms conocido es:
ARTICULO 274. Ser sancionado con prisin de cuatro a seis aos y
multa de cincuenta mil a cien mil quetzales, quien realizare
cualquiera de los actos siguientes:
a) La atribucin falsa de calidad de titular de un derecho de autor,
de artista, intrprete o ejecutarse, de productor de fonograma o
de un organismo de radiodifusin, independientemente de que
los mismos se exploten econmicamente o no.
b) La presentacin, ejecucin o audicin pblica o transmisin,
comunicacin, radiodifusin y/o distribucin de una obra
literaria o artstica protegida, sin la autorizacin del titular del
derecho, salvo los casos de excepcin establecidos en las leyes
de la materia.
PROYECTO FINAL
SEGURIDAD DE SISTEMAS
DESTRUCCIN DE REGISTROS
INFORMTICOS
ARTICULO 274 "A". Ser sancionado con prisin de seis meses a
cuatro aos, y multa de doscientos a dos mil quetzales, el que
destruyere, borrare o de cualquier modo inutilizare registros
informticos.
PROYECTO FINAL
SEGURIDAD DE SISTEMAS
ALTERACIN DE PROGRAMAS
ARTICULO 274 "B". La misma pena del artculo anterior se aplicar
al que alterare, borrare o de cualquier modo inutilizare las
instrucciones o programas que utilizan las computadoras.
REPRODUCCIN DE INSTRUCCIONES
O PROGRAMAS DE COMPUTACIN
ARTICULO 274 "C". Se impondr prisin de seis meses a cuatro aos
y multa de quinientos a dos mil quinientos quetzales al que, sin
autorizacin del autor, copiare o de cualquier modo reprodujere las
instrucciones o programas de computacin.
GOBIERNO TI
Son todas las acciones que se realizan en el rea de TI en conjunto
con la alta direccin. Esto constituye una parte primordial del
gobierno de la empresa en base a la estructura organizativa y
directiva necesaria para asegurarse que TI es un ente importante
para facilitar el desarrollo y objetivos estratgicos definidos.
Esto garantiza que:
- TI siempre est alineada con la estrategia del negocio.
- Los riesgos relacionados con el mismo ya son conocidos y
administrados, por tanto los recursos son manejados de forma
segura.
- ITIL
- COBIT
- CMMI
MTRICAS
Los controles estn dirigidos por medidas.
Como por ejemplo:
- Key perfomance Indicator
- CMM
- GOBIERNO TI
- BSC
BUENAS PRCTICAS
Es un conjunto de procedimientos en un mbito profesional que son
probados y generalmente son aceptados en la industria y ayudan
para generar valor al negocio.
Estas pueden provenir de muchas fuentes, marcos pblicos de trabajo
como ITIL, COTIB, CMMI y normas ISO.
ITIL
La estructura base ha demostrado ser til para las organizaciones en
todos los sectores a travs de su adopcin por innumerables
compaas como base para consulta, educacin y soporte de
herramientas de software.
COBIT
Conjunto de mejores prcticas para el manejo de informacin creado
por la Asociacin para la Auditoria y Control de Sistemas de
informacin (ISACA). Es un marco de referencia para la direccin de
IT, as como tambin de herramientas de soporte que permite a la
alta direccin reducir brecha entre las necesidades de control,
cuestiones tcnicas y los riesgos del negocio.
MANEJO DE INCIDENTES
Se generan de los diferentes ataques que sufren los sistemas que se
interconectan con internet. Dichos ataques amenazan el buen
funcionamiento de cualquier organizacin y violan las polticas de
seguridad.
Ante las diferentes tipos de amenazas es posible clasificar 2 tipos de
incidentes
- Incidentes automticos
- Incidentes manuales
Governance,
Risk, and
Compliance
(GRC)
PROYECTO FINAL
SEGURIDAD DE SISTEMAS
Control de acceso:
Proceso de control:
Funcionalidades de la solucin
Control de Acceso
Gestin de la auditora
Control de Acceso
Control de Auditora
Debido a que el software automatiza y acelera el proceso de auditora
- la liberacin de los auditores internos para adoptar un papel ms
estratgico, de asesoramiento. Aprovechar la potencia de la base de
datos de SAP HANA en memoria, integrarse con otras soluciones de
gobierno, riesgo y cumplimiento (GRC), y alinear la auditora interna
con los objetivos generales de la empresa.
Acciones realizadas en la
implementacin
Creacin de roles
Depuracin de usuarios
E-grafa:
http://www.tcpsi.com/servicios/gobierno_ti.htm
https://seguinfo.wordpress.com/2007/07/05/las-10-mejores-practicas-
en-seguridad/
https://www.academia.edu/11494593/Conceptos_basicos_en_buenas_
practicas_de_TI_y_seguridad_informatica
http://revista.seguridad.unam.mx/numero-14/gesti%C3%B3n-de-
incidentes-de-seguridad-inform%C3%A1tica-con-agentes-inteligentes
PROYECTO FINAL
SEGURIDAD DE SISTEMAS
CONCLUSIONES