CURSO : SEGURIDAD Y AUDITORA DE TI

Semana 1 y 2

CIBERTEC
1

CIBERTEC

2011

RESPONDIENDO A LOS DESAFIOS DEL TI

GOBIERNO DE TI

CIBERTEC

Manejando el TI como un negocio

Integracin de TI a los procesos de negocio

Objetivos especficos:

CIBERTEC

Manejando el TI como un negocio

Vincular la estrategia de TI a la estrategia de la empresa

Objetivos especficos:

CIBERTEC

Gobierno de TI
LA CULPA LA TIENE EL GOBIERNO DE TI

Objetivos especficos:

CIBERTEC

Gobierno de TI
Cmo puede la empresa poner bajo control TI de tal manera que genere la informacin que la empresa necesita? Cmo puede administrar los riesgos y asegurar los recursos de TI de los cuales depende tanto?

Objetivos especficos: Cmo puede la empresa asegurar que TI logre sus objetivos y soporte los del negocio?

CIBERTEC

Gobierno de TI

especficos: El gobierno de TI es responsabilidadObjetivos de los ejecutivos, del consejo de directores y consta de liderazgo, estructuras y procesos organizacionales que garantizan que TI en la empresa sostiene y extiende las estrategias y objetivos organizacionales.

CIBERTEC

Gobierno de TI
El Gobierno de TI provee la estructura que une los procesos y recursos de TI, y la informacin con la estrategia y los objetivos de la empresa; adems, integra una serie de mejores prcticas relacionadas con el ciclo de vida de TI para asegurar que la informacin que la empresa requiere para alcanzar sus objetivos es entregada por dicha rea.

Objetivos especficos: Para que TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implementar un sistema de control interno o un marco de trabajo que:
Establezca un vnculo entre los requerimientos del negocio y TI Organice las actividades de TI en un modelo de procesos generalmente aceptado Identifique los principales recursos de TI a ser utilizados Defina los objetivos de control gerenciales a ser considerados

CIBERTEC

IMPORTANCIA DEL SGSI PARA LA ORGANIZACIN

SEGURIDAD DE LA INFORMACIN

CIBERTEC

La informacin es importante?

Objetivos especficos:

http://www.youtube.com/watch?v=8-_W_v2d0Cc

10

CIBERTEC

La informacin es importante?
LA INFORMACIN (EN TODAS SUS MODALIDADES) ES UN VALIOSO ACTIVO DEL QUE DEPENDE EL BUEN FUNCIONAMIENTO DE UNA ORGANIZACIN. MANTENER SU INTEGRIDAD, CONFIDENCIALIDAD Y Objetivos especficos: DISPONIBILIDAD ES ESENCIAL PARA ALCANZAR LOS OBJETIVOS DE NEGOCIO.

11

CIBERTEC

Fundamentos - Activos
ACTIVO:

Cualquier componente (sea humano, tecnolgico, software, etc.) que sustenta uno o ms procesos de negocios de una unidad o rea de negocio. Otra buena definicin de Activo es todo aquello que tiene valor para su empresa Objetivos especficos:

12

CIBERTEC

Fundamentos Principios de Seguridad de la Inf.

Confidencialidad
Garantizar que la Informacin es accesible solo a aquellas personas autorizadas. Prevenir Fugas y filtraciones de informacin

Objetivos especficos:

Informacin

Integridad

Seguridad de la Informacin

Disponibilidad
Asegurar que los usuarios autorizados tengan acceso a la informacin y bienes cuando lo requieran

Salvaguardar la exactitud y totalidad de la informacin y los mtodos de procesamiento y transmisin. Validez y Precisin de informacin

Acceso en tiempo correcto y confiable

13

CIBERTEC

Los riesgos y las empresas son inseparables

El desarrollo de las nuevas tecnologas ha dado un giro radical a la forma de hacer negocios, a la vez que ha aumentado los riesgos para las empresas que se exponen a nuevas amenazas. La mayor parte de la informacin reside en equipos informticos, soportes de almacenamiento y redes de datos, englobados dentro de lo que se conoce como sistemas de Objetivos especficos: informacin.

14

CIBERTEC

Los riesgos y las empresas son inseparables

Los sistemas de informacin estn sujetos a riesgos y amenazas que pueden generarse desde dentro de la propia organizacin o desde el exterior.

Objetivos especficos:
Existen riesgos lgicos relacionados con la propia tecnologa que aumentan da a da. Hackers, robos de identidad, spam, virus, robos de informacin y espionaje industrial, por nombrar algunos, pueden acabar con la confianza de nuestros clientes y nuestra imagen en el mercado.

15

CIBERTEC

Existen riesgos fsicos como incendios, inundaciones, terremotos o vandalismo que pueden afectar la disponibilidad de nuestra informacin y recursos, haciendo inviable la continuidad de nuestro negocio si no estamos preparados para afrontarlos.

Fundamentos - Riesgos
PROBABILIDA DE OCURRENCIA
ALTO MEDIO BAJO BAJO MEDIO ALTO

MAGNITUD DE IMPACTO

16

CIBERTEC

RIESGO: SITUACIN ADVERSA O NEGATIVA QUE IMPIDE A LA EMPRESA A ALACANZAR SUS OBJETIVOS

Para proteger a las organizaciones de estas amenazas es necesario conocerlas y afrontarlas de una manera adecuada. Para ello se deben establecer Objetivos especficos: procedimientos eficientes e implementar controles de seguridad basados en la evaluacin de los riesgos y en una medicin de su eficacia.

17

CIBERTEC

Fundamentos Riesgos y Controles

18

CIBERTEC

MINIMO RIESGO ACEPTABLE.

Fundamentos
ACTIVO: Define lo que se quiere alcanzar para mitigar los riesgos identificados en los activos.

Objetivos especficos:
AMENAZAS: Son un conjunto de actividades que pueden ser aplicados para alcanzar el objetivo de control.
5.1.1 Documento de poltica de seguridad de la informacin CONTROL: La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. 5.1.2 Revisin y evaluacin CONTROL: La poltica de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad.

19

CIBERTEC

Fundamentos Objetivos y Actividades de Control

OBJETIVOS DE CONTROL: Define lo que se quiere alcanzar para mitigar los riesgos identificados en los activos.

5.1 Poltica de seguridad de la informacin

Objetivos especficos:

OBJETIVO: Dirigir y dar soporte a la gestin de la seguridad de la informacin en concordancia con los requerimientos del negocio, las leyes y las regulaciones. La gerencia debera establecer de forma clara las lneas de la poltica de actuacin y manifestar su apoyo y compromiso a la seguridad de la informacin, publicando y manteniendo una poltica de seguridad en toda la organizacin

ACTIVIDADES DE CONTROL: Son un conjunto de actividades que pueden ser aplicados para alcanzar el objetivo de control.
5.1.1 Documento de poltica de seguridad de la informacin CONTROL: La gerencia debera aprobar, publicar y comunicar a todos los empleados, en la forma adecuada, un documento de poltica de seguridad de la informacin. 5.1.2 Revisin y evaluacin CONTROL: La poltica de seguridad debe ser revisada en intervalos planificados o si cambios significantes ocurren con el fin de asegurar su uso continuo, adecuacin y efectividad.
CIBERTEC 20

Fundamentos Actividades de Control

SIGNIFICANCIA: clave / no clave NATURALEZA: autorizacin / reconciliacin / registro y revisin / salvaguarda / segregacin de funciones

Objetivos especficos:
PROPSITO: preventivo / detectivo AUTOMATIZACIN: automtico / semi automtico / manual FRECUENCIA: anual / mensual / semanal / diario

21

CIBERTEC

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

SGSI - PDCA

22

CIBERTEC

SGSI
Un Sistema de Gestin de Seguridad de la Informacin, es una herramienta o metodologa sencilla y de bajo coste que permite establecer polticas, procedimientos y controles con objeto de: disminuir los riesgos de su organizacin. asegurar la continuidad del negocio; Objetivos minimizar posibles daos al negocio; maximizar oportunidades de negocios

especficos:

El plan de seguridad de la informacin permite la implementacin de una SGSI en la organizacin.

23

CIBERTEC

SGSI
SEGURIDAD DE LA INFORMACIN VS SEGURIDAD INFORMTICA Seguridad informtica, se refiere a la proteccin de las infraestructuras de las tecnologas de la informacin y comunicacin que soportan nuestro negocio.

Objetivos especficos:

Seguridad de la informacin, se refiere a la proteccin de los activos de informacin fundamentales para el xito de cualquier organizacin.

24

CIBERTEC

SGSI
La implantacin y/o certificacin de estos sistemas supone la implicacin de toda la organizacin, empezando por la direccin sin cuyo compromiso es imposible su puesta en marcha. La direccin de la empresa debe liderar todo el proceso, ya que es la que conoce los riesgos del negocio y las obligaciones con sus clientes y accionistas mejor que nadie. Adems, es la nica Objetivos especficos: que puede introducir los cambios de mentalidad, de procedimientos y de tareas que requiere el sistema.

25

CIBERTEC

SGSI MODELO PDCA

26

CIBERTEC

IDENTIFIQUEMOS RIESGOS DE SI

Objetivos especficos:

27

CIBERTEC

28

CIBERTEC

Qu beneficios aporta a las empresas?

1 Reduccin de Riesgos

Ahorro de Costos

La seguridad se considera un sistema y se convierte en una actividad de gestin. 3

La organizacin se asegura del cumplimiento de la legislacin vigente y se evitan riesgos y costes innecesarios.
Mejora la competitividad en el mercado.

29

CIBERTEC

Qu beneficios aporta a las empresas?

Reduccin de riesgos debido al establecimiento y seguimiento de controles sobre ellos. Se reducen las amenazas hasta alcanzar un nivel asumible por nuestra organizacin. Si se produce una incidencia, los daos se minimizan y la continuidad del negocio est asegurada. Ahorro de costes derivado de una racionalizacin de los recursos. Se eliminan las inversiones innecesarias e ineficientes como las producidas por desestimar o sobrestimar riesgos. La seguridad se considera un sistema y se convierte en una actividad de gestin. La seguridad deja de ser un conjunto de actividades ms o menos organizadas y pasa a transformarse en un ciclo de vida metdico y controlado, en el que participa toda la organizacin. La organizacin se asegura del cumplimiento de la legislacin vigente y se evitan riesgos y costes innecesarios. La organizacin se asegura del cumplimiento del marco legal que probablemente no se haban tenido en cuenta anteriormente.
CIBERTEC 30

Objetivos especficos:

Mejora la competitividad en el mercado, diferenciando a las empresas que lo han conseguido una certificacin en SGSI y hacindolas ms fiables e incrementando su prestigio.

NORMATIVAS REFERIDAS AL SGSI

LOCALES INTERNACIONALES

31

CIBERTEC

Necesidad
El creciente uso de las nuevas tecnologas ha propiciado la creacin de un marco legal y jurdico que protege a todas las partes interesadas en el uso de estas tecnologas y el intercambio y tratamiento de la informacin a travs de ellas. Cumplir con las normativas vigentes es uno de los requisitos que debemos satisfacer para especficos: implantar y certificar un Sistema de Gestin de Objetivos Seguridad de la Informacin. Su cumplimento nos proteger de amenazas externas, nos permitir respetar los derechos de nuestros clientes y proveedores y evitar infracciones involuntarias con sus respectivos costes

32

CIBERTEC

Familia 27000
Normas elaboradas conjuntamente por ISO, que es la Organizacin Internacional de Normalizacin, y por IEC, que es la Comisin Electrotcnica Internacional. Aplicable a cualquier tipo de organizacin, independiente de su tamao y de su actividad

Objetivos especficos:

ISO EIC 27000 ISO EIC 27001 ISO EIC 27002

La ISO/IEC 27000, recoge los trminos y definiciones empleados en el resto de normas dela serie. Con ello se evitan distintas interpretaciones sobre los conceptos que aparecen a lo largo de las mismas.

La norma contiene los requisitos para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin

33

CIBERTEC

Gua de buenas prcticas que recoge las recomendaciones sobre las medidas a tomar para asegurar los sistemas de informacin de una organizacin. 11 dominios, 39 objetivos de control y 133 controles

Normativa peruana vigente

Normativa referida a la seguridad de la informacin aplicable al mbito gubernamental y financiero. Normativa referida Proteccin del derecho de autor

NTP-ISO/IEC 17799 2007 Circular N G-140 / 139 -2009

DL No 822 LEY N 284931

Objetivos especficos:
Norma Tcnica Peruana Cdigo de Buenas Prcticas para la gestin de la seguridad de la informacin (eqv ISO/IEC 17799:2005 Information Technology. Code of practice for information security managemet).

Gestin de la seguridad de la informacin (SBS) Gestin de la continuidad del negocio (SBS)

Ley sobre el Derecho de Autor

34

CIBERTEC

Ley que regula el uso del correo electrnico comercial no solicitado