D.O.E.GSI. Seguridad, calidad y auditoría SI- 1 -

Tema 9

SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS

SI

D.O.E.GSI. Seguridad, calidad y auditoría SI- 2 -

SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS SI

1. Seguridad de los SI

2. La gestión de la seguridad de los SI

3. Aseguramiento de la calidad

4. Auditoría de los SI

5. Técnicas de auditoría de los SI

6. Contenido de la auditoría de los SI

D.O.E.GSI. Seguridad, calidad y auditoría SI- 3 -

SEGURIDAD DE LOS SI

1.

SI a proteger

Valor del Sistema

Análisis de riesgo

Impacto en el Sistema

Exposición a amenazas

Frecuencia de la amenaza

Daño potencial de la amenaza

Coste de la seguridad

Nivel de seguridad

D.O.E.GSI. Seguridad, calidad y auditoría SI- 4 -

GESTIÓN DE LA SEGURIDAD SI

● Confidencialidad

● Integridad

● Disponibilidad

Por Seguridad Informática se entiende el conjunto de procedimientos orientados a evitar la destrucción,

modificación, utilización y difusión no autorizada de los datos y la información de la organización

Por Seguridad Informática se entiende el conjunto de procedimientos orientados a evitar la destrucción,

modificación, utilización y difusión no autorizada de los datos y la información de la organización

2.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 5 -

GESTIÓN DE LA SEGURIDAD SI

2.

Personas

Procesos

Seguridad Lógica(sw, comunicaciones, datos e información)

Entorno: local, instalaciones y suministros(eléctrico, comunicaciones telefónicas y de Internet, etc.)

Seguridad Física(hw, y redes de comunicaciones)

{Seguridad Info

rmát

ica

D.O.E.GSI. Seguridad, calidad y auditoría SI- 6 -

GESTIÓN DE LA SEGURIDAD SI

El papel de las personas en la seguridad

● Hacia una cultura de la seguridad

➢ Tecnología

➢ Empresa

➢ Personas usuarias del SI

● Comité de seguridad

➢ Composición multidisciplinar

➢ Director del Comité

➢ Plan Integral de Seguridad

2.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 7 -

GESTIÓN DE LA SEGURIDAD SI

El papel de los procesos y procedimientos en la seguridad

2.

Procesos de negocio que usan el SI

Riesgos asociados

Impacto en el Sistema

Amenazas y vulnerabilidades

Medidas de seguridad

Sistema de Información de soporte a los procesos

D.O.E.GSI. Seguridad, calidad y auditoría SI- 8 -

GESTIÓN DE LA SEGURIDAD SI

Ejemplo matriz de riesgo

2.

Impacto si la amenaza se

hace realidad

Amenazas que pueden provocar la pérdida de datos Probabilidad de que cierta

amenaza cause cierto impacto:Error Incendio

Sabotaje

Destrucción del Hw

0 3 1

Borrado de información

3 2 2

0: despreciable1: improbable2: probable3: seguro

D.O.E.GSI. Seguridad, calidad y auditoría SI- 9 -

GESTIÓN DE LA SEGURIDAD SI

El papel de los procesos y procedimientos en la seguridad

● Certificado de seguridad ISO/TEC 17799

● Políticas de seguridad (pública)

● Clasificación de la información

● Acceso a la información por parte de terceros

2.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 10 -

GESTIÓN DE LA SEGURIDAD SI

Seguridad Lógica

● Seguridad del software

● Seguridad de los datos y de la información

● Errores humanos

● Accesos no autorizados

● Virus, troyanos, phishing, y programas espía

● Seguridad de las comunicaciones

PREVENCIÓN ANTE TODO

2.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 11 -

GESTIÓN DE LA SEGURIDAD SI

Amenazas y posibles soluciones a la seguridad del e_business

2.

Amenaza Medida de seguridad Función

Datos interceptados , leídos o modificados ilícitamente

Encriptación Los datos se codifican para evitar su alteración

Los usuarios asumen otra identidad para cometer fraude

Autentificación mediante firma digital

Verifica la identidad de receptor y emisor

Un usuario no autorizado obtiene acceso a una red

Cortafuegos (firewall)Uso de redes privadas virtuales (VPN)

Filtran y evitan accesos indeseados a la red o al servidor de red

D.O.E.GSI. Seguridad, calidad y auditoría SI- 12 -

GESTIÓN DE LA SEGURIDAD SI

Seguridad Física

● Mantenimiento de los equipos

● Información a los usuarios

● Planes de contingencia

2.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 13 -

GESTIÓN DE LA SEGURIDAD SI

Amenazas del entorno a la seguridad del SI

● Condiciones ambientales

● Incendios, inundaciones

● Cortes suministro eléctrico

● Robos / vandalismo

● Interferencias en comunicaciones

● Ubicación servidores y demás equipos uso comp.

➢ Perímetro de seguridad

2.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 14 -

GESTIÓN DE LA SEGURIDAD SI

Planes de contingencia

2.

• Imposibilidad seguridad absoluta

• Implicar a todo el personal

• Seguridad preventiva

• Copias de Seguridad y equipos alternativos

• Empresas especializadas

Planes de Contingencia: planes de recuperación, o planes de continuidad, ante desastres que restauren el

SI o palíen los daños sufridos

Planes de Contingencia: planes de recuperación, o planes de continuidad, ante desastres que restauren el

SI o palíen los daños sufridos

D.O.E.GSI. Seguridad, calidad y auditoría SI- 15 -

ASEGURAMIENTO DE LA CALIDAD SI3.

• Dirección

• Usuarios

• Personal del Departamento de SI

➢ Biblioteca

➢ Control procesamiento

➢ Control acceso

➢ Administración BBDD

➢ Respaldo y recuperación

➢ Aseguramiento calidad desarrollo sw

D.O.E.GSI. Seguridad, calidad y auditoría SI- 16 -

ASEGURAMIENTO DE LA CALIDAD SI3.

Características de la Calidad Descripción

Integridad de los datos Los datos almacenados son exactos y carecen de errores

Confidencialidad de los datos Los datos y la información están protegidos contra accesos o divulgación ilegal

Disponibilidad de los datos Los resultados de salida no presentan errores

Resultados fiables Los resultados de salida están disponibles en el momento preciso para la TD o la acción

Resultados relevantes Los resultados de salida son importantes e interesan al destinatario

Resultados selectivos El Sistema sólo suministra los resultados de salida necesarios para el fin asignado

Operación e interpretación resultados fácil para usuario

El Sistema proporciona una interfaz de usuario intuitiva y amigable

Operaciones resistentes a errores Ofrecen procedimientos de prevención y detección de erroresExisten procedimientos para reportar y corregir errores, Se aplican procedim. de auditoría

Autenticidad Solamente el personal autorizado tiene acceso a las instalaciones, aplicaciones y datos

Trazabilidad Existen mecanismos que permiten determinar qué datos han sido modificados, cuándo y por quién

Respaldo y recuperación Existen planes de contingencia y mecanismos para la recuperación en el caso eventual de fallo o destrucción de una parte o de todo el sistema

Seguridad El Sistema y su funcionamiento están protegidos de riesgos ambientales y de operación

Calidad en los SI

D.O.E.GSI. Seguridad, calidad y auditoría SI- 17 -

ASEGURAMIENTO DE LA CALIDAD SI

Procedimientos

3.

• Implantar estándares, metodologías y procesos

de calidad de datos en E/S

• Implantar acciones para garantizar calidad

datos en las plataformas BI

D.O.E.GSI. Seguridad, calidad y auditoría SI- 18 -

AUDITORÍA SI

• Adecuación a las necesidades organización

• Eficacia / eficiencia obtención objetivos

• Coherencia objetivos con planes organización

La auditoría de los SI es el conjunto de técnicas y métodos que se aplican para la evaluación y control

del SI de una organización

La auditoría de los SI es el conjunto de técnicas y métodos que se aplican para la evaluación y control

del SI de una organización

4.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 19 -

AUDITORÍA SI

Objetivos

4.

Objetivos de la auditoría de SI Elementos a auditar

Garantizar operatividad del SI

Salvaguardar los activos Seguridad del SI

Mantener integridad datos Calidad del SI

Garantizar adecuación del SI a las necesidades de la organización

Alcanzar metas organizativas Aspectos organiozativos y de gestiónContribución a los objetivos de la empresa

Uso eficiente/eficaz de los recursos

Adecuación de los RRHH a las TIC´sIntegración de BBDD y aplicac.Formación del personal

D.O.E.GSI. Seguridad, calidad y auditoría SI- 20 -

AUDITORÍA SI

• de carácter organizativo:

➢ rentabilidad

➢ relación con otras áreas organización

➢ personal TI / usuarios

• de carácter técnico:

➢ hardware, software, comunicaciones

➢ seguridad informática

Elementos a revisar

4.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 21 -

AUDITORÍA SI

• equipos infrautilizados

• equipos sobredimensionados

• aplicaciones, BD desintegradas, incompatibles

• aplicaciones difíciles de mantener / no estándar

• exceso / falta personal TI

• falta de formación personal TI / usuarios

• falta de seguridad

• datos poco fiables

Problemas

4.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 22 -

AUDITORÍA SI

• Diagnóstico

• Evaluación puntos fuertes / débiles

• Emisión informe con recomendaciones

Pasos auditoría

4.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 23 -

AUDITORÍA SIProceso

4.

Formación equipo trabajo

Comprobar coherencia con objetivos globales

Comparación con el plan de SI

Análisis situación actual

Asignación tareas y responsabilidades

Objetivos y alcance auditoría

Evaluación necesidades problemas detectados

Técnicas de auditoríaCuestionariosAnálisis documentosEntrevistasObservaciónSw de interrogaciónExperimentación

Elementos técnicosSeguridad lógicaEquipamientoAplicaciones y BBDDIntegración de SistemasComunicaciones

Elementos de gestiónAdecuación necesidadesEl personalLa organizaciónLas comprasLa legalidadLa seguridad física

Informe final•Objetivos y alcance•Temas considerados•Situación actual, tendencias

•Puntos débiles / amenazas•Consecución objetivos•Recomendaciones y planes acción

D.O.E.GSI. Seguridad, calidad y auditoría SI- 24 -

AUDITORÍA SI

• Establecer objetivos / alcance auditoría

• Asignación tareas / responsabilidades

• Análisis situación actual (doble pdv)

• Comparación situación actual / prevista

• Coherencia con objetivos globales Org.

• Evaluación necesidades / problemas detectados

• Informe final

Metodología

4.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 25 -

AUDITORÍA SI

1.- Objetivos y alcance

2.- Enumeración aspectos considerados

3.- Exposición situación actual / tendencias, puntos fuertes / puntos débiles

4.- Recomendaciones / planes de acción

Informe final

4.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 26 -

TÉCNICAS AUDITORÍA SI

• Cuestionarios

• Análisis de documentación

• Entrevistas

• Observación

• Software de interrogación / muestreos

• Experimentación

• Combinación de todos los anteriores

Técnicas

5.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 27 -

CONTENIDO AUDITORÍA SI

• Adecuación necesidades

• El personal

• La organización (totalidad / homogeneidad)

• Normas que guíen las compras

• La legalidad

• La seguridad física (errores humanos)

• Servicios del Departamento de SI

• Prácticas de gestión informática (CDVDS)

Elementos de gestión

6.

D.O.E.GSI. Seguridad, calidad y auditoría SI- 28 -

CONTENIDO AUDITORÍA SI

• Seguridad lógica

• Equipamiento

• Aplicaciones y BD

• Integración de sistemas

• Comunicaciones

Elementos técnicos

6.