Presentacion SI

Auditora Computacional
ACI491
Profesor: Rodrigo Snchez M.
Seguridad de la Informacin:
La informacin es un activo que, como otros activos comerciales importantes, es esencial para el negocio de una organizacin y en consecuencia necesita ser protegido adecuadamente.
Esto es especialmente importante en el ambiente comercial cada vez ms interconectado. Como resultado de esta creciente interconectividad, la informacin ahora est expuesta a un nmero cada vez mayor y una variedad ms amplia de amenazas y vulnerabilidades.
La informacin puede existir en muchas formas. Puede estar impresa o escrita en un papel, almacenada electrnicamente, transmitida por correo o utilizando medios electrnicos, mostrada en pelculas o hablada en una conversacin.
Cualquiera que sea la forma que tome la informacin, o medio por el cual sea almacenada o compartida, siempre debiera estar apropiadamente protegida.
La seguridad de la informacin se logra implementando un adecuado conjunto de controles; incluyendo polticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware.
Se necesitan establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad y comerciales especficos.
Esto se debiera realizar en conjuncin con otros procesos de gestin del negocio.
Por qu se necesita seguridad de la informacin?
Posibles controles para Internet y Red Externa:

Proteccin contra software malicioso y cdigo mvil Gestin de redes Control de acceso en red Controles criptogrficos
INTERNET Y REDES EXTERNAS: Proteccin contra software malicioso y cdigo mvil
OBJETIVO PRINCIPIOS Se requieren ciertas precauciones para prevenir y detectar la introduccin de cdigo malicioso y cdigos mviles no autorizados. El software y los recursos de tratamiento de informacin son vulnerables a la introduccin de software malicioso como virus informticos, gusanos de la red, troyanos y bombas lgicas. Los usuarios deberan conocer los peligros que puede ocasionar el software malicioso o no autorizado y los administradores deberan introducir controles y medidas especiales para detectar o evitar su introduccin. PREVENCIN Proteger la integridad del software y de la informacin.
Combine controles tecnolgicos (p. ej., software antivirus) con medidas no tcnicas (educacin, concienciacin y formacin).
No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables!
ESTADSTICA Tendencia en el nmero de virus, gusanos, troyanos o spam detectados y bloqueados. Nmero y costes acumulados de incidentes por software malicioso.
INTERNET Y REDES EXTERNAS: Gestin de Redes
OBJETIVO
Asegurar la proteccin de la informacin en las redes y la proteccin de su infraestructura de apoyo. PRINCIPIOS
La gestin de la seguridad de las redes, las cuales pueden cruzar las fronteras de la organizacin, exige la atencin a los flujos de datos, implicaciones legales, monitoreo y la proteccin. Podran ser necesarios controles adicionales con el fin de proteger la informacin sensible que pasa por las redes publicas.
PREVENCIN Prepare e implante estndares, directrices y procedimientos de seguridad tcnicos para redes y herramientas de seguridad de red como IDS/IPS (deteccin y prevencin de intrusiones), gestin de vulnerabilidades, etc.
ESTADSTICA
Nmero de incidentes de seguridad de red identificados en el mes anterior, dividido por categoras de leve / importante / grave, con anlisis de tendencias y descripcin comentada de todo incidente serio y tendencia adversa.
INTERNET Y REDES EXTERNAS: Control de acceso a la Red
OBJETIVOS
PRINCIPIOS Impedir el acceso no autorizado a los servicios en red.
Se deberan controlar los accesos a servicios internos y externos conectados en red.

El acceso de los usuarios a redes y servicios en red no debera comprometer la seguridad de los servicios en red si se garantizan: a) que existen interfaces adecuadas entre la red de la Organizacin y las redes pblicas o privadas de otras organizaciones; b) que los mecanismos de autenticacin adecuados se aplican a los usuarios y equipos;
c) el cumplimiento del control de los accesos de los usuarios a los servicios de informacin.
PREVENCIN Mantenga el equilibrio entre controles de seguridad perimetrales (LAN/WAN) e internos (LAN/LAN), frente a controles de seguridad en aplicaciones (defensa en profundidad).
ESTADSTICAS
Estadsticas de cortafuegos, tales como porcentaje de paquetes o sesiones salientes que han sido bloqueadas (p. ej., intentos de acceso a pginas web prohibidas; nmero de ataques potenciales de hacking repelidos, clasificados en insignificantes/preocupantes/crticos).
INTERNET Y REDES EXTERNAS: Controles criptogrficos
OBJETIVOS Proteger la confidencialidad, autenticidad o integridad de la informacin con la ayuda de tcnicas criptogrficas.
PRINCIPIOS Se debera desarrollar una poltica de uso de controles criptogrficos. Se debera establecer una gestin de claves que de soporte al uso de tcnicas criptogrficas. PREVENCIN Utilice estndares formales actuales tales como AES, en lugar de algoritmos de cosecha propia.
La implementacin es crucial!
ESTADSTICAS
Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente controles criptogrficos apropiados (periodo de reporte de 3 a 12 meses).
Posibles controles para Intercambio y Movilidad pueden ser : Documento de poltica de seguridad de la informacin Seguridad ligada a los Recursos Humanos Seguridad de equipos fuera de los locales de la Organizacin Proteccin contra software malicioso y cdigo mvil Intercambio de informacin y software Gestin de acceso de usuario Responsabilidades del usuario Informtica mvil y teletrabajo Controles criptogrficos
INTERCAMBIO Y MOVILIDAD: Seguridad ligada a los Recursos Humanos
La estructura de este punto de la norma es: Seguridad en la definicin del trabajo y los recursos. Inclusin de la seguridad en las responsabilidades laborales. Seleccin y poltica de personal. Trminos y condiciones de la relacin laboral. Seguridad en el desempeo de las funciones del empleo. Supervisin de las obligaciones. Formacin y capacitacin en seguridad de la informacin. Procedimiento disciplinario. Finalizacin o cambio del puesto de trabajo. Cese de responsabilidades. Restitucin de activos. Cancelacin de permisos de acceso.
Seguridad en la definicin del trabajo y los recursos
OBJETIVOS Asegurar que los empleados, contratistas y usuarios de terceras partes entiendan sus responsabilidades y sean aptos para las funciones que desarrollen. Reducir el riesgo de robo, fraude y mal uso de las instalaciones y medios.
Las responsabilidades de la seguridad se deberan definir antes de la contratacin laboral mediante la descripcin adecuada del trabajo y los trminos y condiciones del empleo.
PRINCIPIOS
Todos los candidatos para el empleo, los contratistas y los usuarios de terceras partes se deberan seleccionar adecuadamente, especialmente para los trabajos sensibles. Los empleados, contratistas y usuarios de terceras partes de los servicios de procesamiento de la informacin deberan firmar un acuerdo sobre sus funciones y responsabilidades con relacin a la seguridad.
PREVENCIN Conjuntamente con RRHH, asegure que se emplea un proceso de verificacin de antecedentes proporcional a la clasificacin de seguridad de aquella informacin a la que va a acceder el empleado a contratar. Dicho simplemente, el proceso de contratacin de un administrador de sistemas TI debera ser muy diferente del de un administrativo. Haga comprobaciones de procedencia, formacin, conocimientos, etc. ESTADSTICAS Porcentaje de nuevos empleados (contratistas, consultores, temporales, etc.) que hayan sido totalmente verificados y aprobados de acuerdo con las polticas de la empresa antes de comenzar a trabajar.
Seguridad en el desempeo de las funciones del empleo.
OBJETIVOS Asegurar que los empleados, contratistas y terceras partes son conscientes de las amenazas de seguridad, de sus responsabilidades y obligaciones y que estn equipados para cumplir con la poltica de seguridad de la organizacin en el desempeo de sus labores diarias, para reducir el riesgo asociado a los errores humanos. Se debera definir las responsabilidades de la Direccin para garantizar que la seguridad se aplica en todos los puestos de trabajo de las personas de la organizacin. A todos los usuarios empleados, contratistas y terceras personas se les debera proporcionar un adecuado nivel de concienciacin, educacin y capacitacin en procedimientos de seguridad y en el uso correcto de los medios disponibles para el procesamiento de la informacin con objeto de minimizar los posibles riesgos de seguridad. Se debera establecer un proceso disciplinario normal para gestionar las brechas en seguridad. PREVENCIN La responsabilidad con respecto a la proteccin de la informacin no finaliza cuando un empleado se va a casa o abandona la organizacin. Asegure que esto se documenta claramente en materiales de concienciacin, contratos de empleo, etc. Contemple la posibilidad de una revisin anual por RRHH de los contratos junto con los empleados para refrescar las expectativas expuestas en los trminos y condiciones de empleo, incluyendo su compromiso con la seguridad de la informacin.
PRINCIPIOS
ESTADSTICA Respuesta a las actividades de concienciacin en seguridad medidas por (por ejemplo) el nmero de e-mails y llamadas relativas a iniciativas de concienciacin individuales.
Finalizacin o cambio del puesto de trabajo.
OBJETIVOS Garantizar que los empleados, contratistas y terceras personas abandonen la organizacin o cambian de empleo de forma organizada.
PRINCIPIOS
Se deberan establecer las responsabilidades para asegurar que el abandono de la organizacin por parte de los empleados, contratistas o terceras personas se controla, que se devuelve todo el equipamiento y se eliminan completamente todos los derechos de acceso.
Los cambios en las responsabilidades y empleos en la organizacin se deberan manejar, en el caso de su finalizacin en lnea con esta seccin, y para el caso de nuevos empleos como se describe en la seccin 8.1.
PREVENCIN La devolucin de los activos de la organizacin cuando un empleado se marcha sera mucho ms sencilla de verificar si el inventario de activos ha sido actualizado y verificado regularmente.
Examine qu accesos necesita revocar en primer lugar cuando un empleado presenta su carta de dimisin: cules son los sistemas ms crticos o vulnerables?.
Haga un seguimiento del uso del e-mail por estas personas antes de salir definitivamente de la empresa, por si comienzan a sacar informacin confidencial (sujeto a las polticas aplicables y a consideraciones legales sobre privacidad).
ESTADSTICA Porcentaje de identificadores de usuario pertenecientes a personas que han dejado la organizacin, separados por las categoras de activos (pendientes de desactivacin) e inactivos (pendientes de archivo y borrado).
INTERCAMBIO Y MOVILIDAD: Proteccin contra software malicioso y cdigo mvil
OBJETIVOS PRINCIPIO Proteger la integridad del software y de la informacin. Se requieren ciertas precauciones para prevenir y detectar la introduccin de cdigo malicioso y cdigos mviles no autorizados. El software y los recursos de tratamiento de informacin son vulnerables a la introduccin de software malicioso como virus informticos, gusanos de la red, troyanos, etc. Los usuarios deberan conocer los peligros que puede ocasionar el software malicioso o no autor izado y los administradores deberan introducir controles y medidas especiales para detectar o evitar su introduccin. PREVENCIN Combine controles tecnolgicos (p. ej., software antivirus) con medidas no tcnicas (educacin, concienciacin y formacin). No sirve de mucho tener el mejor software antivirus del mercado si los empleados siguen abriendo e-mails de remitentes desconocidos o descargando ficheros de sitios no confiables! ESTADSTICAS Tendencia en el nmero de virus, gusanos, troyanos o spam detectados y bloqueados. Nmero y costes acumulados de incidentes por software malicioso.
INTERCAMBIO Y MOVILIDAD: Intercambio de informacin y software
OBJETIVOS
Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin o con cualquier entidad externa. Se deberan realizar los intercambios sobre la base de una poltica formal de intercambio, segn los acuerdos de intercambio y cumplir con la legislacin correspondiente. Se deberan establecer procedimientos y normas para proteger la informacin y los medios fsicos que contienen informacin en trnsito. PREVENCIN
PRINCIPIO
Estudie canales de comunicaciones alternativos y "pre-autorizados", en especial direcciones de e-mail secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si caen las redes. El verificar canales de comunicacin alternativos reducir el estrs en caso de un incidente real.
ESTADSTICA
Porcentaje de enlaces de terceras partes para los cuales se han: (a) definido y (b) implementado satisfactoriamente los requisitos de seguridad de la informacin.
INTERCAMBIO Y MOVILIDAD: Gestin de acceso de usuario
OBJETIVOS Garantizar el acceso a los usuarios autorizados e impedir los accesos no autorizados a los sistemas de informacin.
PRINCIPIOS
Se deberan establecer procedimientos formales para controlar la asignacin de los permisos de acceso a los sistemas y servicios de informacin.
Los procedimientos deberan cubrir todas la etapas del ciclo de vida del acceso de los usuarios, desde del registro inicial de los nuevos usuarios hasta su baja cuando ya no sea necesario su acceso a los sistemas y servicios de informacin. Se debera prestar especial atencin, si fuera oportuno, a la necesidad de controlar la asignacin de permisos de acceso con privilegios que se salten y anulen la eficacia de los controles del sistema.
PREVENCIN
Cree la funcin diferenciada de "administrador de seguridad", con responsabilidades operativas para aplicar las reglas de control de acceso definidas por los propietarios de las aplicaciones y la direccin de seguridad de la informacin. Invierta en proporcionar al administrador de seguridad herramientas para realizar sus tareas lo ms eficientemente posible.
ESTADSTICAS
Tiempo medio transcurrido entre la solicitud y la realizacin de peticiones de cambio de accesos y nmero de solicitudes de cambio de acceso cursadas en el mes anterior (con anlisis de tendencias y comentarios acerca de cualquier pico / valle (p. ej., "Implantada nueva aplicacin financiera este mes").
INTERCAMBIO Y MOVILIDAD: Responsabilidades del usuario
OBJETIVOS PRINCIPIO Impedir el acceso de usuarios no autorizados y el compromiso o robo de informacin y recursos para el tratamiento de la informacin. La cooperacin de los usuarios autorizados es esencial para una seguridad efectiva. Los usuarios deberan ser conscientes de sus responsabilidades en el mantenimiento de controles de acceso eficaces, en particular respecto al uso de contraseas y seguridad en los equipos puestos a su disposicin. Se debera implantar una poltica para mantener mesas de escritorio y monitores libres de cualquier informacin con objeto de reducir el riesgo de accesos no autorizados o el deterioro de documentos, medios y recursos para el tratamiento de la informacin. PREVENCIN Asegrese de que se establecen las responsabilidades de seguridad y que son entendidas por el personal afectado. Una buena estrategia es definir y documentar claramente las responsabilidades relativas a seguridad de la informacin en las descripciones o perfiles de los puestos de trabajo. Son imprescindibles las revisiones peridicas para incluir cualquier cambio.
Comunique regularmente a los empleados los perfiles de sus puestos (p. ej., en la revisin anual de objetivos), para recordarles sus responsabilidades y recoger cualquier cambio. ESTADSTICA Porcentaje de descripciones de puesto de trabajo que incluyen responsabilidades en seguridad de la informacin (a) totalmente documentadas y (b) formalmente aceptadas.
INTERCAMBIO Y MOVILIDAD: Informtica mvil y teletrabajo
OBJETIVO
PRINCIPIO
Garantizar la seguridad de la informacin en el uso de recursos de informtica mvil y teletrabajo.

La proteccin exigible debera estar en relacin a los riesgos especficos que ocasionan estas formas especficas de trabajo. En el uso de la informtica mvil deberan considerarse los riesgos de trabajar en entornos desprotegidos y aplicar la proteccin conveniente. En el caso del teletrabajo, la Organizacin debera aplicar las medidas de proteccin al lugar remoto y garantizar que las disposiciones adecuadas estn disponibles para esta modalidad de trabajo.
PREVENCIN Tenga polticas claramente definidas para la proteccin, no slo de los propios equipos informticos porttiles (es decir, laptops, PDAs, etc.), sino, en mayor medida, de la informacin almacenada en ellos. Por lo general, el valor de la informacin supera con mucho el del hardware.
Asegrese de que el nivel de proteccin de los equipos informticos utilizados dentro de las instalaciones de la organizacin tiene su correspondencia en el nivel de proteccin de los equipos porttiles, en aspectos tales como antivirus, parches, actualizaciones, software cortafuegos, etc. ESTADSTICA "Estado de la seguridad en entorno porttil / teletrabajo", es decir, un informe sobre el estado actual de la seguridad de equipos informticos porttiles (laptops, PDAs, telfonos mviles, etc.), y de teletrabajo (en casa de los empleados, fuerza de trabajo mvil), con comentarios sobre incidentes recientes/actuales, vulnerabilidades actuales de seguridad conocidas y pronsticos sobre cualquier riesgo creciente, despliegue de configuraciones seguras, antivirus, firewalls personales, etc.
INTERCAMBIO Y MOVILIDAD: Controles criptogrficos
OBJETIVO
Proteger la confidencialidad, autenticidad o integridad de la informacin con la ayuda de tcnicas criptogrficas.
PRINCIPIO
Se debera desarrollar una poltica de uso de controles criptogrficos.

Se debera establecer una gestin de claves que de soporte al uso de tcnicas criptogrficas.
PREVENCIN
Utilice estndares formales actuales tales como AES, en lugar de algoritmos de cosecha propia.
La implementacin es crucial!
ESTADSTICA
Porcentaje de sistemas que contienen datos valiosos o sensibles para los cuales se han implantado totalmente controles criptogrficos apropiados (periodo de reporte de 3 a 12 meses).
Posibles controles en Soportes fsicos pueden ser :

Seguridad de equipos fuera de los locales de la Organizacin Seguridad en la reutilizacin o eliminacin de equipos Traslado de activos Gestin interna de soportes y recuperacin Utilizacin y seguridad de los soportes de informacin Intercambio de informacin y software Seguridad en informacin pblica Controles criptogrficos
SOPORTES FSICOS:
Seguridad de equipos fuera de los locales de la Organizacin Se debera aplicar seguridad a los equipos que se encuentran fuera de los locales de la organizacin considerando los diversos riesgos a los que estn expuestos. Seguridad en la reutilizacin o eliminacin de equipos Debera revisarse cualquier elemento del equipo que contenga dispositivos de almacenamiento con el fin de garantizar que cualquier dato sensible y software con licencia se haya eliminado o sobrescrito con seguridad antes de la eliminacin
Traslado de activos No deberan sacarse equipos, informacin o software fuera del local sin una autorizacin.
SOPORTES FSICOS: Gestin interna de soportes y recuperacin
OBJETIVO Mantener la integridad y la disponibilidad de los servicios de tratamiento de informacin y comunicacin.
PRINCIPIO
Se deberan establecer procedimientos rutinarios para conseguir la estrategia aceptada de respaldo para realizar copias de seguridad y probar su puntual recuperacin.
PREVENCIN
Implante procedimientos de backup y recuperacin que satisfagan no slo requisitos contractuales sino tambin requisitos de negocio "internos" de la organizacin.
Bsese en la evaluacin de riesgos realizada para determinar cules son los activos de informacin ms importantes y use esta informacin para crear su estrategia de backup y recuperacin. Hay que decidir y establecer el tipo de almacenamiento, soporte a utilizar, aplicacin de backup, frecuencia de copia y prueba de soportes.
ESTADSTICA Porcentaje de operaciones de backup exitosas. Porcentaje de recuperaciones de prueba exitosas. Tiempo medio transcurrido desde la recogida de los soportes de backup de su almacenamiento fuera de las instalaciones hasta la recuperacin exitosa de los datos en todas ubicaciones principales. Porcentaje de backups y archivos con datos sensibles o valiosos que estn encriptados.
SOPORTES FSICOS: Utilizacin y seguridad de los soportes de
informacin
OBJETIVO
Evitar la divulgacin, modificacin, retirada o destruccin de activos no autorizada e interrupciones en las actividades de la organizacin.
PRINCIPIO Los medios deberan ser controlados y fsicamente protegidos.
Se deberan establecer los procedimientos operativos adecuados para proteger los documentos, medios informticos (discos, cintas, etc.), datos de entrada o salida y documentacin del sistema contra la divulgacin, modificacin, retirada o destruccin de activos no autorizadas .
PREVENCIN
Asegure los soportes y la informacin en trnsito no solo fsico sino electrnico (a travs de las redes).
Encripte todos los datos sensibles o valiosos antes de ser transportados.
ESTADSTICA
Porcentaje de soportes de backup o archivo que estn totalmente encriptados.
SOPORTES FSICOS: Intercambio de informacin y software
OBJETIVO
PRINCIPIO
Mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin o con cualquier entidad externa.
Se deberan realizar los intercambios sobre la base de una poltica formal de intercambio, segn los acuerdos de intercambio y cumplir con la legislacin correspondiente. Se deberan establecer procedimientos y normas para proteger la informacin y los medios fsicos que contienen informacin en trnsito.
PREVENCIN
Estudie canales de comunicaciones alternativos y "pre-autorizados", en especial direcciones de e-mail secundarias por si fallan las primarias o el servidor de correo, y comunicaciones offline por si caen las redes. El verificar canales de comunicacin alternativos reducir el estrs en caso de un incidente real.
ESTADISTICA
Porcentaje de enlaces de terceras partes para los cuales se han (a) definido y (b) implementado satisfactoriamente los requisitos de seguridad de la informacin.
SOPORTES FSICOS:
Seguridad en informacin pblica Se debera proteger la integridad de la informacin que pone a disposicin en un sistema de acceso pblico para prevenir modificaciones no autorizadas. Controles criptogrficos
Posibles controles de Servicios Externos: Terceros Supervisin de los servicios contratados a terceros Servicios de comercio electrnico Cloud Computing Soportes fsicos en trnsito Sistemas de informacin empresariales
SERVICIOS EXTERNOS:Terceros
OBJETIVO PRINCIPIO Mantener la seguridad de que los recursos de tratamiento de la informacin y de los activos de informacin de la organizacin sean accesibles por terceros.. La seguridad de la informacin de la organizacin y las instalaciones de procesamiento de la informacin no debera ser reducida por la introduccin de un servicio o producto externo. Debera controlarse el acceso de terceros a los dispositivos de tratamiento de informacin de la organizacin. Cuando el negocio requiera dicho acceso de terceros, se debera realizar una evaluacin del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que requieren. Estas medidas de control deberan definirse y aceptarse en un contrato con la tercera parte.
PREVENCIN
Haga inventario de conexiones de red y flujos de informacin significativos con 3as partes, evale sus riesgos y revise los controles de seguridad de informacin existentes respecto a los requisitos. Esto puede dar miedo, pero es 100% necesario!
Considere exigir certificados en ISO/IEC 27001 a los partners ms crticos, tales como outsourcing de TI, proveedores de servicios de seguridad TI, etc.
ESTADSTICA
Porcentaje de conexiones con terceras partes que han sido identificadas, evaluadas en cuanto a su riesgo y estimadas como seguras.
SERVICIOS EXTERNOS: Supervisin de los servicios contratados a terceros
OBJETIVO Implementar y mantener un nivel apropiado de seguridad de la informacin y de la prestacin del servicio en lnea con los acuerdos de prestacin del servicio por terceros.
La organizacin debera verificar la implementacin de acuerdos, el monitoreo de su cumplimiento y gestin de los cambios con el fin de asegurar que los servicios que se ser prestan cumplen con todos los requerimientos acordados con los terceros. Lo que recibe vale lo que paga por ello? D respuesta a esta pregunta y respldela con hechos, estableciendo un sistema de supervisin de terceros proveedores de servicios y sus respectivas entregas de servicio. Revise peridicamente los acuerdos de nivel de servicio (SLA) y comprelos con los registros de supervisin. En algunos casos puede funcionar un sistema de premio y castigo. st atento a cambios que tengan impacto en la seguridad. ESTADSTICA Coste del tiempo de inactividad debido al incumplimiento de los acuerdos de nivel de servicio. Evaluacin del rendimiento de proveedores incluyendo la calidad de servicio, entrega, coste, etc.
PRINCIPIO
PREVENCIN
SERVICIOS EXTERNOS: Servicios de comercio electrnico
OBJETIVO Asegurar la seguridad de los servicios de comercio electrnico y de su uso seguro.
PRINCIPIO
Se deberan considerar las implicaciones de seguridad asociadas con el uso de servicios de comercio electrnico, incluyendo transacciones en lnea y los requisitos para los controles. La integridad y disponibilidad de la informacin electrnica publicada a travs de sistemas disponibles de publicidad deberan ser tambin consideradas.
PREVENCIN
Trabaje estrechamente con las unidades de negocio para desarrollar un eBusiness seguro, incorporando requisitos de seguridad de la informacin en los proyectos, y con ello en los sistemas de eCommerce, desde el principio (tambin en cualquier cambio/actualizacin posterior). Insista en el valor aadido de la seguridad en la reduccin de riesgos comerciales, legales y operativos asociados al eBusiness. Trabaje los 3 aspectos clave de la seguridad: confidencialidad, integridad y disponibilidad
ESTADSTICA
"Estado de la eSeguridad", es decir, un informe sobre el nivel global de confianza de la direccin, basado en el anlisis de los ltimos tests de penetracin, incidentes actuales o recientes, vulnerabilidades actuales conocidas, cambios planificados, etc..
SERVICIOS EXTERNOS: Cloud Computing
OBJETIVO PRINCIPIO Controlar la gestin y proteccin de la informacin y del mantenimiento de los requisitos de seguridad de los servicios en la nube. El diseo, operacin, uso y gestin de los servicios en la nube pueden ser objeto de requisitos estatutarios, reguladores y de seguridad contractuales. Los requisitos especficos de los clientes deberan ser advertidos por los proveedores de servicios en la nube y compensados con medidas de seguridad adicionales por parte de los clientes cuando sea necesario. Los requisitos deben corresponder con la clasificacin e importancia de la informacin, aplicaciones e infraestructuras prestadas desde la nube. PREVENCIN Obtenga asesoramiento tcnico competente y adicionalmente jurdico cuando la organizacin y el prestador de los serivicios opera o tiene clientes en mltiples jurisdicciones. Porcentaje de requisitos externos clave que, mediante auditoras objetivas o de otra forma admisible, han sido considerados conformes.
ESTADSTICA
SERVICIOS EXTERNOS:
Soportes fsicos en trnsito Se deberan proteger los medios que contienen informacin contra acceso no autorizado, mal uso o corrupcin durante el transporte fuera de los lmites fsicos de la organizacin. Sistemas de informacin empresariales Se deberan desarrollar e implementar polticas y procedimientos con el fin de proteger la informacin asociada con la interconexin de sistemas de informacin del negocio.
SEGURIDAD FSICA:
reas seguras Instalacin y proteccin de equipos Suministro elctrico Seguridad del cableado Mantenimiento de equipos
DESARROLLO Y MANTENIMIENTO:
Mantenimiento de equipos Procedimientos y responsabilidades de operacin Planificacin y aceptacin del sistema Gestin interna de soportes y recuperacin Utilizacin y seguridad de los soportes de informacin Monitorizacin Seguridad de las aplicaciones del sistema Seguridad en los procesos de desarrollo y soporte Gestin de las vulnerabilidades tcnicas Gestin de Incidentes de Seguridad de la Informacin Consideraciones sobre la auditoria de sistemas
SERVIDORES Y PUESTOS DE TRABAJO:
Identificacin de los riesgos derivados del acceso de terceros Seguridad de los equipos Planificacin y aceptacin del sistema Proteccin contra software malicioso y cdigo mvil Monitorizacin Aislamiento de sistemas sensibles Equipo informtico de usuario desatendido Polticas para escritorios y monitores sin informacin
APLICACIONES:
Tratamiento de la seguridad en la relacin con los clientes Proteccin contra software malicioso y cdigo mvil Gestin interna de soportes y recuperacin Polticas y procedimientos de intercambio de informacin y software Sistemas de informacin empresariales Servicios de comercio electrnico Gestin de acceso de usuario Control de acceso al sistema operativo Control de acceso a las aplicaciones Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin Proteccin de las herramientas de auditoria de sistemas
DOCUMENTACIN:
Acuerdos de confidencialidad Identificacin de los riesgos derivados del acceso de terceros Gestin de Activos Restitucin de activos reas seguras Traslado de activos Documentacin de procedimientos operativos Recuperacin de la informacin Utilizacin y seguridad de los soportes de informacin Polticas y procedimientos de intercambio de informacin y software Acuerdos de intercambio Teletrabajo.
ORGANIZACIN:
Poltica de Seguridad Organizacin Interna Gestin de Activos Procedimientos y responsabilidades de operacin Requerimientos de negocio para el control de accesos Requisitos de seguridad de los sistemas Controles criptogrficos Gestin de Incidentes de Seguridad de la Informacin Gestin de Continuidad del Negocio Conformidad con los requisitos legales
USUARIOS:
Documento de poltica de seguridad de la informacin Seguridad ligada a los Recursos Humanos Procedimientos y responsabilidades de operacin Gestin de acceso de usuario Responsabilidades del usuario Comunicacin de eventos y debilidades en la seguridad de la informacin

Presentacion SI

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Presentacion SI

Hochgeladen von

Copyright:

Verfügbare Formate

Auditora Computacional

Profesor: Rodrigo Snchez M.

Por qu se necesita seguridad de la informacin?

Posibles controles para Internet y Red Externa:

Se deberan controlar los accesos a servicios internos y externos conectados en red.

Garantizar la seguridad de la informacin en el uso de recursos de informtica mvil y teletrabajo.

Proteger la confidencialidad, autenticidad o integridad de la informacin con la ayuda de tcnicas criptogrficas.

Se debera desarrollar una poltica de uso de controles criptogrficos.

Posibles controles en Soportes fsicos pueden ser :

PRINCIPIO Los medios deberan ser controlados y fsicamente protegidos.

Porcentaje de soportes de backup o archivo que estn totalmente encriptados.

Das könnte Ihnen auch gefallen