SEGURIDAD EN SISEGURIDAD EN SI

•EXACTITUD

•INTEGRIDAD

•PROTECCIÓN

•EXACTITUD

•INTEGRIDAD

•PROTECCIÓN

Los controles efectivos proporcionan:

•Seguridad

•Minimizan errores

•Garantizan calidad

Los controles efectivos proporcionan:

•Seguridad

•Minimizan errores

•Garantizan calidad

Tipos de controles de Sistemas de InformaciónTipos de controles de Sistemas de Información

Controles de instalaciones

Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad

Controles de instalaciones

Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad

Controles de procedimientos

Procedimientos estándares, documentación,autorizaciones, auditoría

Controles de procedimientos

Procedimientos estándares, documentación,autorizaciones, auditoría

Controles de los SI

Controles de E, P, S y alm.

Controles de los SI

Controles de E, P, S y alm.

Manejo del desempeño yla seguridad

de los SI

Manejo del desempeño yla seguridad

de los SI

Controles de SIControles de SI

ControlesProcesamiento

SoftwareHardware

Barreras defuego

Puntos de comprobación

ControlesProcesamiento

SoftwareHardware

Barreras defuego

Puntos de comprobación

ControlesAlmacenam.

Controles Entrada

ControlesSalida

•Códigos seguridad

•Encriptación

•Pantallas ingreso de datos formateados

•Señales audibles de error

•Software que controla datos inválidos

•Formas pre registradas

•Códigos seguridad

•Encriptación

•Pantallas ingreso de datos formateados

•Señales audibles de error

•Software que controla datos inválidos

•Formas pre registradas

•Códigos seguridad

•Encriptación

•Totales de control

•Listados de controles

•Retroalimentación del usuario final

•Códigos seguridad

•Encriptación

•Totales de control

•Listados de controles

•Retroalimentación del usuario final

•Códigos seguridad

•Encriptación

•Archivos de respaldo

•Administ. BD

•Códigos seguridad

•Encriptación

•Archivos de respaldo

•Administ. BD

Tipos de controles de Sistemas de InformaciónTipos de controles de Sistemas de Información

Controles de instalaciones

Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad

Controles de instalaciones

Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad

Controles de procedimientos

Procedimientos estándares, documentación,autorizaciones, auditoría

Controles de procedimientos

Procedimientos estándares, documentación,autorizaciones, auditoría

Controles de los SI

Controles de E, P, S y alm.

Controles de los SI

Controles de E, P, S y alm.

Manejo del desempeño yla seguridad

de los SI

Manejo del desempeño yla seguridad

de los SI

• Protegen contra la pérdida o destrucción de las instalaciones

• Requerimientos de seguridad que las empresas deben tener para usar comercio electrónico:

» Privacidad» Autenticidad» Integridad» Confiabilidad» Bloqueo

Control de las instalacionesControl de las instalaciones

• Monitores de seguridad de sistemas• Encriptación• Barreras de fuego• Controles de protección física• Controles biométricos• Controles de fallas computacionales• Sistemas tolerantes a fallas

Medidas de seguridad en la redMedidas de seguridad en la red

• Son paquetes de software especializados

• Protegen contra: »uso no autorizado»mal uso del sistema»fraude»destrucción

Monitores de seguridad de sistemasMonitores de seguridad de sistemas

Uso de algoritmos matemáticos para

transformar datos digitales en un código

antes de transmitirse y decodificar cuando

se reciben

EncriptaciónEncriptación

• Sistema computacional “portero” que protege a una red contra intrusos

–Examina el tráfico de la red–Permite transmisiones autorizadas dentro y

fuera de la red–Trata de impedir los ingresos no autorizados

Barreras de fuego (firewalls)Barreras de fuego (firewalls)

• Verificación de voz• Huellas digitales• Geometría de la mano• Análisis del golpe de teclas• Exploración de la retina• Reconocimiento de la cara• Análisis de patrones genéticos

Controles biométricosControles biométricos

• Cerraduras electrónicas• Alarmas• TV circuito cerrado• Policía• Control de polvo, temperatura, incendio, etc

Controles de protección físicaControles de protección física

• Controla que el sistema no deje de funcionar, ya sea por cortes de luz, virus, problemas en las telecomunicaciones, etc

• Debe realizarse: –Mantenimiento preventivo–Actualización de software–Controles de humedad, incendios, etc

Control de fallas computacionalesControl de fallas computacionales

Sistema tolerante a fallas:Sistemas que contienen componentes

adicionales de hardware, software y alimentación

de energía, que pueden respaldar a un sistema y

mantenerlo en operación para evitar que falle.

Tipos de controles de Sistemas de InformaciónTipos de controles de Sistemas de Información

Controles de instalaciones

Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad

Controles de instalaciones

Protección física, controles de fallas computacionales, controles de telecomunicaciones, seguridad

Controles de procedimientos

Procedimientos estándares, documentación,autorizaciones, auditoría

Controles de procedimientos

Procedimientos estándares, documentación,autorizaciones, auditoría

Controles de los SI

Controles de E, P, S y alm.

Controles de los SI

Controles de E, P, S y alm.

Manejo del desempeño yla seguridad

de los SI

Manejo del desempeño yla seguridad

de los SI

• Métodos que especifican cómo debe operarse el SI para obtener máxima seguridad:

»Documentación y procedimientos estándares

»Revisión de los procedimientos por usuarios finales y gerentes

»Plan de recuperación de desastres

»Controles de uso de la PC

Controles de procedimientosControles de procedimientos

Dimensiones éticas y sociales de TIDimensiones éticas y sociales de TI

DimensionesÉticas y Sociales

de TI

DimensionesÉticas y Sociales

de TI

Solucionessociales

Solucionessociales PrivacidadPrivacidad

IndividualidadIndividualidad

DelitosDelitos

EmpleoEmpleo

Condicioneslaborales

Condicioneslaborales

SaludSalud

• Delito en Internet• Robo de dinero• Robo de servicios• Robo de software• Alteración o robo de datos• Acceso malintencionado• Virus de computadoras

Principales delitos computacionalesPrincipales delitos computacionales

Auditoría en Sistemas de Información

•Examen metódico.

•Puntual y discontinua.

•Verificación y evaluación de los entornos informáticos y no únicamente revisión.

•Destinada a la ayuda en la mejora de la seguridad, eficacia, eficiencia y rentabilidad del entorno informático de la empresa.

•Establecer una opinión objetiva, fundada en evidencias encontradas

Auditoría en Sistemas de Información

•Examen metódico.

•Puntual y discontinua.

•Verificación y evaluación de los entornos informáticos y no únicamente revisión.

•Destinada a la ayuda en la mejora de la seguridad, eficacia, eficiencia y rentabilidad del entorno informático de la empresa.

•Establecer una opinión objetiva, fundada en evidencias encontradas

Factores determinantes para establecer los objetivos de la Auditoría en SI.

1. Características de la organización.2. Características del departamento de informática a auditar.3. Limitaciones técnicas del auditor.4. Determinar el nivel de riesgo aparente del sistema a auditar.5. Identificar áreas criticas de control.6. Definir objetivos y alcance del trabajo a realizar.

Factores determinantes para establecer los objetivos de la Auditoría en SI.

1. Características de la organización.2. Características del departamento de informática a auditar.3. Limitaciones técnicas del auditor.4. Determinar el nivel de riesgo aparente del sistema a auditar.5. Identificar áreas criticas de control.6. Definir objetivos y alcance del trabajo a realizar.

Clasificación de objetivos

–Objetivos que colaboran para mejorar la eficiencia de la organización informática y protección de sus activos y recursos.

–Objetivos que colaboran para garantizar que los SI produzcan resultados fiables en plazo y costos aceptables y que satisfagan necesidades de usuarios.

–Objetivos que colaboran para mejorar procedimientos, estándares y planificación.

Cualidades del Auditor de SI

•Comprensión básica de los sistemas informáticos.•Conocimiento básico de los Sistemas Operativos y Software más difundidos.•Conocimiento de estructuras de datos más conocidas.•Conocimiento de softwares de Auditoría de SI.•Conocimiento y capacidad para revisar e interpretar los sistemasdocumentados.•Conocimiento de los controles básicos de aplicación en los procesos de datos.•Conocimiento del sistema y software de Base de Datos.•Conocimiento sobre administración de BD.•Conocimiento de seguridad y continuidad ante fallos del sistema.•Conocimiento de los principio de Auditoría.•Conocimiento generales de Contabilidad, Control, etc.•Conocimiento de dirección.•Conocimiento sobre sicología de las organizaciones.

Cualidades del Auditor de SI

•Comprensión básica de los sistemas informáticos.•Conocimiento básico de los Sistemas Operativos y Software más difundidos.•Conocimiento de estructuras de datos más conocidas.•Conocimiento de softwares de Auditoría de SI.•Conocimiento y capacidad para revisar e interpretar los sistemasdocumentados.•Conocimiento de los controles básicos de aplicación en los procesos de datos.•Conocimiento del sistema y software de Base de Datos.•Conocimiento sobre administración de BD.•Conocimiento de seguridad y continuidad ante fallos del sistema.•Conocimiento de los principio de Auditoría.•Conocimiento generales de Contabilidad, Control, etc.•Conocimiento de dirección.•Conocimiento sobre sicología de las organizaciones.

Fases del desarrollo de una Auditoría de SI

Fase 1: Toma de contacto1.1 Análisis inicial.

1.1.1 Sobre la Organización Global.1.1.2 Sobre el departamento de SI.

1.2 Análisis detallado.

Fase 2: Planificación de la operación.Detallar objetivos de la Auditoría.Definir cuándo se hará la Auditoría.Exponer problemas previstos en la Fase 1.Definir las áreas que cubrirá el estudio.Determinar qué personas colaborarán con la Auditoría.Definir los documentos a reunir.

Fases del desarrollo de una Auditoría de SI

Fase 1: Toma de contacto1.1 Análisis inicial.

1.1.1 Sobre la Organización Global.1.1.2 Sobre el departamento de SI.

1.2 Análisis detallado.

Fase 2: Planificación de la operación.Detallar objetivos de la Auditoría.Definir cuándo se hará la Auditoría.Exponer problemas previstos en la Fase 1.Definir las áreas que cubrirá el estudio.Determinar qué personas colaborarán con la Auditoría.Definir los documentos a reunir.

Fase 3: Desarrollo de la Auditoría

Se ejecutan las tareas planificadas en la etapa anterior.

Fase 4: Síntesis y Diagnóstico.

Pone en evidencia:Puntos débiles del sistema.Puntos fuertes del Sistema.Riesgos eventuales.Posibles oportunidades.Posibles soluciones y mejoras.

Fase 5: Presentación de conclusiones.

Fase 6: Redacción del informe y formulación del plan de mejoras.

Fase 3: Desarrollo de la Auditoría

Se ejecutan las tareas planificadas en la etapa anterior.

Fase 4: Síntesis y Diagnóstico.

Pone en evidencia:Puntos débiles del sistema.Puntos fuertes del Sistema.Riesgos eventuales.Posibles oportunidades.Posibles soluciones y mejoras.

Fase 5: Presentación de conclusiones.

Fase 6: Redacción del informe y formulación del plan de mejoras.

Aplicaciones de la Auditoría de SI

1. Auditoría de seguridad física y lógica.

2. Auditoría de la planificación.1.1 Nivel estratégico.1.2 Nivel táctico.1.3 Nivel operativo.

3. Auditoría de la Organización y Gestión del Centro de Proceso de datos.

4. Área de explotación.

5. Área del entorno hardware y software.

Aplicaciones de la Auditoría de SI

1. Auditoría de seguridad física y lógica.

2. Auditoría de la planificación.1.1 Nivel estratégico.1.2 Nivel táctico.1.3 Nivel operativo.

3. Auditoría de la Organización y Gestión del Centro de Proceso de datos.

4. Área de explotación.

5. Área del entorno hardware y software.