Seguridad de Sistemas Justificacin del curso

Las operaciones de negocios y su administracin dependen en gran parte de la tecnologa, especficamente de las tecnologas de informacin (TI) (IT Information Technologies). Por lo tanto, las estrategias de TI deben estar perfectamente alineadas con las estrategias de negocio. La tendencia actual esta orientada al incremento gradual del soporte que las TIs brindan a las estrategias de negocio. Esto genera un alto grado de dependencia. Conforme las empresas alcanzan mayores grados de madurez, necesitan implementar dentro de su cultura de negocios, el aseguramiento de los sistemas de informacin y el Gobierno de TI (IT Governance). Esto significa, la adopcin de polticas y normativas generalmente aceptadas, mejores prcticas, para incrementar el aseguramiento de uno de sus mayores capitales, la informacin relativa a sus negocios. La administracin del riesgo operativo y del riesgo financiero regularn las estrategias de negocio. La administracin del riesgo tecnolgico regular el aseguramiento de los sistemas de informacin.

Curso: Seguridad de Sistemas

20/07/2012

Seguridad de Sistemas Descripcin del curso

En la actualidad las tecnologas de informacin (TI) conforman el apoyo ms importante en cualquier tipo de empresa. El aseguramiento de los sistemas de informacin es un proceso continuo, conforme varan y se incrementan las estrategias de negocio, aunado a las amenazas y vulnerabilidades que se presentan en el mercado, se elevarn los niveles de riesgo inherente a la utilizacin de tecnologa.

De acuerdo con lo anterior, es necesario brindar al estudiante los conocimientos sobre las principales metodologas para el aseguramiento de los sistemas de informacin y la implementacin del Gobierno de TI.

Curso: Seguridad de Sistemas

20/07/2012

Seguridad de Sistemas Objetivos generales del curso

Proporcionar al estudiante los conocimientos esenciales que le sirven para administrar de forma eficiente el riesgo tecnolgico, en aquellas empresas que utilizan el procesamiento electrnico de datos para procesar la informacin econmica, contable y de toma de decisiones. Esto implica, la capacidad de realizar diagnsticos, desarrollar proyectos de implementacin de polticas, normativas y mejores prcticas que estn correctamente alineadas a las estrategias de negocio y a la situacin real de las empresas.

Curso: Seguridad de Sistemas

20/07/2012

Seguridad de Sistemas Relacin de Contenidos programticos

Unidad I: Seguridad Informtica: Conceptos, Objetivos, Metodologas, Etapas de Madurez. Finalidades, Fundamentos,

Unidad II: Seguridad Informtica y Riesgos de TI: Procesos, Campos de Accin, Relacin con otras ciencias. Riesgos.
Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI. Unidad IV: Metodologas, polticas y normativas, Organizaciones internacionales, Mejores practicas, Hacking tico, Herramientas administrativas. Unidad V: mbitos de control fsico y lgico, Controles, Aseguramiento del Data Center, Aseguramiento de la calidad de los servicios, Estrategias tecnolgicas. Unidad VI: Anlisis forense informtico: Manejo de incidentes, Marco normativo, Metodologas, Experiencias concretas, Evidencia digital. Unidad VII: Logstica: Toma de decisiones criticas, Manejo de presupuestos, Dificultades, Resea sobre BCP & DRP, Retos y proyecciones de TI, Especializaciones.

Curso: Seguridad de Sistemas

20/07/2012

Seguridad de Sistemas Principios de Ingeniera Lo que no se puede medir, no se puede mejorar, al menos por metodologas cuantitativas Los mtodos de medicin utilizados en Ingeniera, deben ser precisos, concisos y concretos, para que puedan convertirse en poderosas herramientas, tanto para la resolucin de problemas, como para la optimizacin de procesos.

Curso: Seguridad de Sistemas

20/07/2012

Conceptos Bsicos

Fase I: Auditora Interna

Fase IV: Corporativos

Fases de la Seguridad Informtica

Fase II:
Auditora Externa

Fase III:
Regulatorios

Curso: Seguridad de Sistemas

20/07/2012

Conceptos Bsicos Fases de la Seguridad Informtica

Fase I: Auditora Interna En sus componentes bsicos, aquella entidad interna en la Organizacin, que realiza las funciones administrativas del control y supervisin, especialmente de los gastos (ej. Departamento de Contabilidad, Jefe de Administracin). En sus componentes avanzados, aquella entidad interna en la Organizacin, que realiza funciones de Auditora, implementando aquellos controles necesarios.

Fase II: Auditora Externa Aquella entidad externa a la Organizacin, que realiza funciones de Auditora, realizando las observaciones y recomendaciones resultantes, a la Gerencia de la Organizacin. Puede presentarse de manera opcional o de manera mandatoria (caso de los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras). Definicin de Auditora de Sistemas: El examen o revisin de carcter objetivo (independiente), critico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados.

Curso: Seguridad de Sistemas

20/07/2012

Conceptos Bsicos Fases de la Seguridad Informtica

Fase III: Regulatorios Aquellos regulaciones que son establecidas por medio de: Legislatorios normales: Leyes de aplicacin a nivel nacional, regional o internacional (ej. Cdigo de Trabajo, Ley de Acceso a la Informacin Pblica) Legislatorios por Mandato: Leyes de aplicacin especialmente dirigidas al sector de negocios al que se dedica la Organizacin (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y Contrataciones del Estado) Normativas generalmente aceptadas: Aquellas normativas plenamente establecidas a nivel nacional o internacional, que se han convertido en el estndar de facto, para la implementacin de polticas, procesos y procedimientos (ej. ISO/9001 - Estndares de Calidad, COBIT Auditora de Sistemas, ITIL Procesos y Procedimientos) Fase IV: Corporativos Aquellas Organizaciones que pertenecen a un Corporativo de orden superior, sea a nivel nacional o internacional, regularmente realizan la implementacin de polticas, procesos y procedimientos Internos, que se originan desde la Casa Matriz. Estas implementaciones regularmente estn regidas en base a Polticas Globales, las cuales se tropicalizan para el mbito de aplicacin de cada pas (ej. Polticas Globales de Gestin de Talento Humano)
Curso: Seguridad de Sistemas 20/07/2012 8

Conceptos Bsicos Esquemas de Aseguramiento de Informacin

Esquema Prohibitivo Caractersticas: Bastante laborioso Bastante desgastante Proceso a largo plazo Alta periodicidad Orientacin: Listas negras Listas de prohibiciones Listas de actividades
Evaluar

Prohibir TODO lo necesario Establecer elementos de juicio

Aplicaciones ejemplo: Regular el tiempo de navegacin en la Web, a los usuarios finales, estableciendo horarios para el uso de redes sociales y servicios pblicos (Facebook, BlogSpot, WordPress, etc) Emisin de correos electrnicos al exterior, regulados por el dominio del destinatario, evitando el envo a dominios de correo electrnico pblicos (Hotmail, Gmail, Yahoo, etc)
Curso: Seguridad de Sistemas 20/07/2012 9

Conceptos Bsicos Esquemas de Aseguramiento de Informacin

Esquema Permisivo Caractersticas: Bastante laborioso Poco desgastante Proceso a corto o mediano plazo Baja periodicidad
Permitir SOLAMENTE lo necesario

Evaluar

Esquema Permisivo

Prohibir TODO

Orientacin: Hardening de servicios Restriccin de recursos compartidos Focalizar servicios de telecomunicaciones Asegurar la conectividad

Establecer elementos de juicio

Aplicaciones ejemplo: Hardening de servicios tecnolgicos, al establecer aquellas funciones de Bases de Datos, sistemas Operativos, etc, que deben permanecer habilitadas y/o reguladas, deshabilitando el resto Restriccin de recursos compartidos, como Carpetas, Impresoras, MultiFuncionales, etc, que deben estar disponibles solamente para aquellos usuarios que estn autorizados para utilizarlos
Curso: Seguridad de Sistemas 20/07/2012 10

Prcticas

Propuestas de Prcticas a desarrollar al finalizar este Da: 1. Desarrollo de Foros sobre los siguientes temas: Dependencia de las empresas sobre las TICs (Tecnologas de Informacin y Comunicaciones), factores que generan ALZAS en dichas dependencias Importancia del conocimiento y experiencia, sobre Seguridad de Sistemas, Auditora de Sistemas, Riesgo Tecnolgico Reconocimiento de las Fases de la Seguridad Informtica 2. Propuestas de Ante-Proyectos: Presentar propuestas de Ante-Proyectos relacionados con aplicacin del Esquema PROHIBITIVO de Aseguramiento de Informacin Presentar propuestas de Ante-Proyectos relacionados con aplicacin del Esquema PERMISIVO de Aseguramiento de Informacin

Curso: Seguridad de Sistemas

20/07/2012

11