CAPITULO Nº 03 MET E O T DOLOG O ÍA Í S S D E C O C NT N R T OL INT N E T RNO,, S E S GURIDA D D Y Y AUDIT I O T RÍA Í I NFO F RMÁT Á I T CA C

Tamaño: px
Comenzar la demostración a partir de la página:

Download "CAPITULO Nº 03 MET E O T DOLOG O ÍA Í S S D E C O C NT N R T OL INT N E T RNO,, S E S GURIDA D D Y Y AUDIT I O T RÍA Í I NFO F RMÁT Á I T CA C"

Transcripción

1 CAPITULO Nº 03 METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

2 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Metodología: Conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal. Las Metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo y están directamente relacionadas con su experiencia profesional acumulada como parte del comportamiento humano de acierto/error. La metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como si lo hiciera una solo, por lo que resulta habitual el uso de metodologías en las empresas auditoras/consultoras.

3 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Seguridad de los Sistemas de Información: es la doctrina que trata de los riesgos informáticos o creados por la informática. La informática crea unos riesgos informáticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas. Para explicar este aspecto diremos que cualquier contramedida nace de la composición de varios factores expresados en el siguiente grafico:

4 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL NORMATIVA, debe definir todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual, cómo práctico. ORGANIZACIÓN, es la que integran personas con funciones específicas y con actuaciones concretas; éste es el aspecto más importante, dado que in él, nada es posible. METODOLOGÍAS, son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

5 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL OBJETIVOS DE CONTROL, son los objetivos a cumplir en el control de procesos, este es el segundo más importante. PROCESAMIENTO, son los procedimientos operativos de las distintas áreas de la empresa, la tendencia habitual de los informáticos es la de dar más peso a las herramientas que al control o contramedida, pero no debemos olvidar que: UNA HERRAMIENTA NUNCA ES UNA SOLUCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR

6 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL TECNOLOGÍAS DE SEGURIDAD, es donde están todos los elementos ya sean Hardware o software, que ayudan a controlar un riesgo informático. LAS HERRAMIENTAS DE CONTROL, son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control

7 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Plan de Seguridad: es una estrategia planificada de acciones y productos que lleven a un sistemas de información y sus centros de proceso de una situación inicial determinada a una situación mejorada. en el siguiente grafico se observará la tendencia actual en la organización de la seguridad de sistemas en la empresa. Organización Interna de la Seguridad Informática Comité de Seguridad de la Información Seguridad corporativa Control Interno Dpto. de Informática Dpto. de Usuarios Dirección del plan de seguridad Auditoria Informática Plan Auditor Control Informático Responsable de Ficheros

8 3.2 Metodologías de Evaluación de Sistemas Conceptos Fundamentales Análisis de Riesgos Auditoria Informática

9 3.2.1 Conceptos Fundamentales Definiciones para profundizar las metodologías Amenaza Vulnerabilidad Riesgo Exposición o Impacto

10 3.2.1 Conceptos Fundamentales Todos los riesgos que se presentan podemos: Evitarlos Transferirlos Reducirlos Asumirlos

11 3.2.2 Tipos de Metodologías Metodologías cuantitativas Basadas en un modelo matemático numérico que ayuda a la realización de trabajo.

12 Metodologías Cualitativas/Subjetivas Basadas en métodos estadísticos y raciocinio humano. Precisan de la involucración de un profesional experimentado. Pero requieren menos recursos humanos que las metodologías cuantitativas. P R O S C O N T R A S CUANTITATIVA Enfoca pensamientos mediante el uso de números. Facilita la comparación de vulnerabilidades muy distintas. Proporciona una cifra justificante para cada copntramedida Estimación de probabilidad depende de estadísticas fiables inexistentes. Estimación de las perdidas potenciales solo si son valores cuantificables. Metodologías estándares. Difíciles de mantener o modificar. Dependencia de un profesional. CUALITATIVA / SUBJETIVA Enfoca lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificación de eventos. Incluye lectores intangibles. Dependencia fuertemente de la habilidad y calidad del personal involucrado. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia de un profesional.

13 3.2.1 Metodologías más comunes Metodologías de Análisis de Riesgos Funcionamiento Esquemático básico de cualquier paquete Cuestionario Etapa 1 Identificar los riesgos Etapa 2 Calcular el impacto Etapa 3 Identificar las contramedidas y el coste Etapa 4 Simulaciones Creación de los informes Etapa 5 Etapa 6

14 3.2.1 Metodologías más comunes Metodologías de Análisis de Riesgos De forma genérica las metodologías existentes se diferencian en: Si son cuantitativas o cualitativas, o sea si para el Qué pasa sí? utilizan un modelo matemático o algun sistema cercano a la elección subjetiva. Y además se diferencian en el propio sistema de simulación.

15 Tipos de metodologías de análisis de riesgo Metodologías cuantitativas : se considera la frecuencia, esta basada en las diferentes bitácoras, logs y reportes de incidentes. El impacto se determina en forma cuantitativa (valores Económicos). Lo ideal es poder expresar el impacto en términos económicos. Basadas en FIPS 65 Método de IBM : basado en técnica de DELPHI = consenso de expertos para determinar los costos. RISKCALC BDSS Metodologías cualitativas: LAVA: Los Alamos Vulnerability/ Risk Assessment RISKPAC MARION CRAMM Probabilidad de ocurrencia No se tiene en cuenta la frecuencia para valorar los riesgos. La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza para determinar el nivel de riesgo que se tiene. "Aquí el riesgo indica las pérdidas ante la posibilidad de presentarse la amenaza A =riesgos que requieren pronta atención, B =no es prioritario la toma de medidas

16 Tipos de metodologías de análisis de riesgo Marion-Francia Método de evaluación que ofrece dos productos: Marion AP+ Marion RSX Sistemas individuales Sistemas distribuidos Método cuantitativo basado en una encuesta anual al CLUSIF(base de Incidentes francesa) * No contempla probabilidades. * Contempla esperanzas matemáticas (aprox. numéricas)

17 Tipos de metodologías de análisis de riesgo Marion Comprende seis etapas: 1. Identificar los incidentes e impactos sobre el SI. 2. Decidir la perdida máxima aceptable y por lo tanto los incidentes a cubrir. 3. Estimar la calidad de medidas de seguridad existentes (a partir de una lista cuestionario), identificando vulnerabilidades y contra-medidas a implementar. 4. Identificar los factores financieros que dificulten la implementación de las contra-medidas. 5. Producir una lista priorizada de contra-medidas 6. Desarrollar un plan de acción. Presenta resultados en forma gráfica, tabular y provee un gestionador del proyecto de seguridad.

18 Tipos de metodologías de análisis de riesgo Marion Utiliza cuestionarios para valorar la seguridad (SI=4,NO=0,No_aplicable=3). Parámetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categorías) categoría de factores 1. Seguridad informática general 2. Factores socioeconómicos 3. Concienciación sobre la seguridad de soft 4. Concienciación sobre la seguridad de materiales. 5. Seguridad en explotación. 6. Seguridad en desarrollo.

19 Tipos de metodologías de análisis de riesgo Marion Valores de ponderación para diferentes sectores (ejemplos): Sector CATEGORÍA 1 Establecimientos financieros bancos Agricultura 2 Energía Construcción Metalúrgica 3 Transporte Comercio Hospedaje

20 Tipos de metodologías de análisis de riesgo Marion El análisis de riesgo lo hace bajo 10 áreas problemas: Riesgos materiales Sabotajes físicos Averías Comunicaciones. Errores de desarrollo Errores de explotación Fraude Robo de información Robo de software Problemas de personal.

21 Tipos de metodologías de análisis de riesgo Marion

22 Tipos de metodologías de análisis de riesgo Marion Nota: - Las pérdidas posibles no deben nunca sobrepasar el VALOR DE RIESGO MAXIMO ADMISIBLE Valor dado por un estudio del banco de Francia para las distintas áreas sectoriales

23 Tipos de metodologías de análisis de riesgo RISCKPAC Metodología aplicada en Herramientas de software Profile Analysis Corporation con DATAPRO(1994) enfoque cualitativa subjetiva resultados exportables a procesadores de texto BD. Hojas de cálculo sistemas gráficos

24 Tipos de metodologías de análisis de riesgo RISCKPAC Calcula para cada aplicación un factor de riesgo: 1= nominal,..., 5 = catastrofe. Facilidades Del sistema estructurada como cuestionario en 3 niveles Entorno Procesador Aplicaciones Hardware Amb. Físico Comunicación acceso divididos en 26 categorías de Riesgo en cada nivel Riesgos relacionados Integridad, fraude Lógica de control De acceso

25 Tipos de metodologías de análisis de riesgo CRAMM-Reino Unido Desarrollado en por BIS y CCTA(Central Computer& Telecomunication Agency Risk Analisis & Management Method, England) Implantado en mas de 750 Org. En europa Metodología cualitativa y permite hacer análisis (que pasa si?) PRIMA (Prevención de Riesgos Informáticos con Metodología Abierta) metodología española(1990) enfoque subjetivo Características Cubrir necesidades de los proyectos de un plan de seguridad Adaptable Cuestionarios para identificar fallas de controles Proporciona un sistema de ayuda Informes finales Lista de ayuda y cuestionarios son abiertos

26 Tipos de metodologías de análisis de riesgo Toma de acción Identificación de debilidades Amenazas Vulnerabilidades Ponderación Análisis del impacto Y riesgo Definición de contramedidas Prioridad Costo Dificultad duración valoración de contramedidas Preparación del Plan de acción Riesgos Plan de acción Plan de proyectos Informe final Fases de la metodología PRIMA

27 Plan de Contingencia Contingencia: evento posible pero no muy probable. (antes) Plan de recuperación ante desastre. (ahora) Plan de continuidad del negocio. Estadísticas: 90% de empresas victimas de un desastre dejan de existir después de 18 meses. Casos más típicos: Fuego, Pérdida de personal, caída de sistema crítico. Plan de contingencia: Anticipar problemas conflictivos y resolverlos. Identificar individuos claves. Aspectos geográficos. Factor de Confianza. Estrategia planificada formado por un conjunto de respaldos, Procedimientos de Emergencias para Recuperar la continuidad Del negocio

28 Plan de Contingencia Fases I. Análisis y Diseño Estudia la problemática, alternativas de respaldo se analiza el costo/beneficio de las mismas Existen dos metodologías para desarrollar esta fase RISK ANALISIS (posibles riesgos) 1. Identificar amenazas 2. Análisis de probabilidad de amenaza 3. Selección de amenazas 4. Entornos amenazados 5. Servicios afectados 6. Estimación del impacto económico/servicio afectado 7. Servicios a cubrir 8. Selección del ámbito del plan 9. Alternativa para los entornos 10. Selección de alternativas 11. Diseño de estrategias de respaldo 12. Selección de estrategias de respaldo BUSINESS IMPACT (impacto económico) 1. Identificar servicios finales 2. Análisis del impacto (daños económicos) 3. Selección de servicios críticos 4. Recursos de soporte 5. Alternativas para entornos 6. Selección de alternativas 7. Diseño de estrategias de respaldo 8. Selección de estrategias de respaldo

29 Plan de Contingencia II. Desarrollo del Plan Desarrollo de la estrategia seleccionada Desarrollo de procedimientos de acción III. Pruebas y Mantenimiento Se definen las pruebas, sus características y ciclos Se define la estrategia de mantenimiento Herramientas Deben contener: BD relacional Módulos de entrada Módulos de consulta Procesador de textos * Generador de informes * ayuda,etc

30 Herramienta-Meycor Cobit

31 Herramienta-Meycor Cobit

32 Herramienta-Meycor Cobit

33 METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para sus dictamenes. Auditoria Financiera.- Dictamen sobre los estados de cuentas que utiliza herramientas de Sw de ayuda. Las metodologías de auditoria informatica son del tipo cualitativo/subjetivo; estan basadas en profesionales de experiencia y formación Existen dos metodologias de Auditoria Informática: -Auditorias de Controles Generales y -Metodologías de Auditores Internos

34 METODOLOGIAS DE AUDITORIA INFORMATICA Auditorias de Controles Generales Dan una opinion sobre la habilidad de los datos del computador para la Auditoria financiera cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas. Tiene apartados para definir pruebas y anotar sus resultados. Auditorias Internas.- Esta formada por recomendaciones de Plan de trabajo; deberá hacer cuestionarios y definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor.

35 EL PLAN AUDITOR INFORMATICO Es el esquema mas importante del auditor informatico Las partes con las que cuenta un plan auditor informatico son: - Funciones - Procedimientos para las distintas tareas de las auditorias - Tipos de auditoria - Sistema de evaluación - Nivel de exposición - Lista de distribución de informes - Seguimiento de acciones correctorias - Plan quincenal - Plan de trabajo anual

36 AUDITORIA INTERNA Y EXTERNA La auditoria interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada, ésta existe por expresa decisión de la empresa presa. Ventajas de la auditoria interna Puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúanan a las Auditori rias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. Por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada; se presupone una mayor objetividad que en la Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.

37 AUDITORIA INTERNA Y EXTERNA Una Empresa o Institución que posee auditoria interna puede y debe en ocasiones contratar servicios de auditoria externa. Las razones para hacerlo suelen ser: - Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. - Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión n generalizada de la propia empresa. - Es necesario que se le realicen auditorías as externas como para tener una visión desde afuera de la empresa.

38 3.5 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL La función del control automático independiente, debe ser independiente del departamento controlado - El área informática monta los procesos informáticos seguros. - El control interno monta los controles. -La auditoria informática evalúa el grado de control LA AUDITORIA INFORMÁTICA -Tiene la función de vigilancia y evaluación mediante dictámenes y todas sus metodologías van encaminadas a esta función. -Tiene sus propios objetivos distintos a los auditores de cuentas aunque necesarios para que éstas puedan utilizar la información de sus sistemas para sus evaluaciones financieras y operativas. Evalúan eficiencia, costo y seguridad en su más amplia visión, esto es todo los riesgos informativos y ya sean los clásicos (confidencialidad, integridad y disponibilidad) o los costos y los jurídicos, dado que ya no hay una clara separación en la mayoría de los casos. -Operan según el plano auditor -Utilizan metodologías de evaluación de tipo cualitativo. -Establecen planes quinquenales como ciclos completos -Sistemas de evaluación de repetición de la auditoria por nivel de exposición del área auditada y el resultado de la última auditoria de ésta área. -La función de soporte informático de todos los auditores (opcionalmente), aunque dejando claro que no se debe pensar con esto que la auditoria informática consiste en esto solamente.

39 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL CONTROL INFORMÁTICO - Tiene funciones propias (administración de la seguridad lógica, etc) - Funciones de control dual con otros departamentos - Funciones normativas y del cumplimiento del marco jurídico. - Operan según procedimientos de control en los que se ven involucrados y que luego desarrollarán. - Al igual que en la auditoria y de forma opcional puede ser el soporte informático de control interno no informático FUNCIONES DE CONTROL INTERNO - Más comunes - Definición de propietarios y perfiles según clasificación de la información (utilizando metodología) - Administración delegada en control dual (dos personas intervienen en una acción) como medida de control de la seguridad lógica. - Responsable del desarrollo y actualización del plan de contingencias, manuales, procedimientos y plan de seguridad. - Promueve el plan de seguridad informático al comité de seguridad. - Dictar normas de seguridad informática. - Definir los procedimientos de control. - Control del entorno. - Control de soporte magnético según clasificación de la información. - Control de soporte físico (listado, etc)

40 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL FUNCIONES DE CONTROL INTERNO - Control de información comprometida o sensible. - Control de micro informática y usuarios - Control de calidad de software - Control de calidad del servicio informático - Control de costes - Responsable del departamento (gestión de recursos humanos y técnicos) - Control de licencias y relaciones contractuales con terceros. - Control y manejo de claves de cifrado - Relaciones externas con entidades relacionadas con la seguridad de la información. - Definición de requerimientos de seguridad de proyectos nuevos. - Vigilancia del cumplimiento de las normas y controles. - Control de cambios y versiones - Control de paso de aplicaciones a explotaciones - Control de medidas de seguridad física o corporativa en la informática - Responsable de datos personales (LOPD y código penal) - Otros controles que se designen - Otras funciones que se designen.

41 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL - El objetivo es de que exista una actuación segura entre los usuarios, la informática y control interno. Todos ellos auditados por auditoria informática - El plan de Seguridad Informatica tiene 2 proyectos de vital importancia clasificación de la información (B) y procedimientos de control (C) A Análisis de riesgo Contramedida 1 B C Clasificación de la información Objetivo de Control 1 Objetivo de Control 2 tecnología Objetivo de control Contramedida 2 Contramedida 3 Plan de acciones

42 3.5.2 METODOLOGÍAS DE CLASIFICACION DE LA INFORMACION Y DE OBTENCION DE LOS PROCEDIMIENTOS DE CONTROL CLASIFICACION DE LA INFORMACION.- Metodología PRIMA SI IDENTIFICAMOS DISTINTOS NIVELES DE CONTRAMEDIDIAS PARA DISTINTSAS ENTIDADES DE INFORMACIÓN CON DISTINTOS NIVELES DE CRITICIDAD, ESTAREMOS OPTIMIZAMOS LA EFICIENCIA DE LAS CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS. ENTIDAD DE INFORMACIÓN.- ES EL OBJETIVO A PROTEGER EN EL ENTORNO INFORMÁTICO Y QUE LA CLASIFICACIÓN DE LA INFORMACIÓN AYUDA A PROTEGER, ESPECIALIZANDO LAS CONTRAMEDIDAS SEGÚN EL NIVEL DE CONFIDENCIALIDAD O IMPORTANCIA QUE TENGAN. METODOLOGÍA DEL TIPO CUALITATIVO/SUBJETIVO CON JERARQUÍAS QUE SEGÚN SEAN PRESERVACIÓN: VITAL-CRITICA VALUADA -NO SENSIBLE. O PROTECCIÓN: ALTAMENTE CONFIDENCIAL-CONFIDENCIAL-RESTRINGIDA -NO SENSIBLE. PRIMA DEFINE BASICAMENTE: - ESTRATEGICA (MUY CONFIDENCIAL, MUY RESTRINGIDA) - RESTRINGIDA (A LOS PROPIETARIOS DE LA INFORMACIÓN) - DE USO INTERNO (A TODOS LOS EMPLEADOS) - DE USO GENERAL (SIN RESTRICCIÓN)

43 LOS PASOS DE LA METODOLOGÍA SON LOS SIGUIENTES: 1. Identificación de la información 2. Inventario de entidades de información residentes y operativas 3. Identificación de propietarios 4. Definición de jerarquías de información 5. Definición de la matriz de clasificación 6. Confección de la matriz de clasificación 7. Realización del plan de acciones 8. Implantación y mantenimiento OBTENCIÓN DE LOS PROCEDIMIENTOS DE CONTROL: METODOLOGÍA: Fase 1.- Definición de objetivos de control: - Tarea 1: Análisis de la empresa - Tarea 2: Recopilación de estándares - Tarea 3: Definición de los objetivos de control Fase 2.- Definición de los controles: - Tarea 1: Definición de los controles - Tarea 2: Definición de necesidades tecnológicas - Tarea 3: Definición de los procedimientos de control - Tarea 4: Definición de las necesidades de recursos humanos

44 Fase 3: Implantación de los controles: - Procedimientos propios de control de la actividad informática - Procedimiento de distintas áreas usuarias de la informática, mejorados - Procedimientos de áreas informáticas mejorados - Procedimiento de control dual entre control interno informática y el área informática, los usuarios informáticos y el área de control no informático LAS HERRAMIENTAS DE CONTROL Las herramientas de control (software) más comunes son: - Seguridad lógica del sistema - Seguridad lógica complementaria al sistema - Seguridad lógica para entornos distribuidos. Control de acceso físico - Control de copias - Gestión de soportes magnéticos - Gestión y control de impresión y envíos de listados por red. - Control de proyectos - Control de versiones - Control y gestión de incidencias - Control de cambios - Etc.

45 OBJETIVOS DE CONTROL DE ACCESO LOGICO Segregación de funciones entre los usuarios del sistema s productores de software, jefes de proyecto, técnico de sistemas, operadores de explotación, operadores de telecomunicaciones, grupo de usuarios de aplicaciones, administrador de la seguridad lógica, auditoria, y tantos como se designen. Integridad de los LOG e imposibilidad de desactivarlos por ningún perfil para poder revisarlos. Gestión centralizada de la seguridad o al menos única. Contraseña única para los distintos sistemas de la red y la autentificación de entrada una sola vez. Y una vez dentro, controlar los derechos de uso. La contraseña y archivos con perfiles y derechos y la inaccesibles a todos, incluso a los administradores de seguridad. El sistema debe rechazar a los usuarios que no usan la clave del sistema correctamente, inhabilitando y avisando a control que tomará las medidas oportunas. Separación de entornos El LOG o los LOGs de actividad no podrán desactivarse a voluntad, y si se duda de su integridad o carencia, resolver con un terminal externo controlado. El sistema debe obligar al usuario a cambiar la contraseña, de forma que sólo la conozca él, que es la única garantía de autenticidad de sus datos. Es frecuente encontrar mecanismos de auto-logout, que expulsan del sistema la terminal que permanece inactiva más de un tiempo determinado.

46 ESTÁ CONTROLADA LA SEGURIDAD LÓGICA EN LA ACTUALIDAD? SE CUMPLE EL MARCO JURÍDICO SIN SEGURIDAD LÓGICA?; LA FORMA MÁS APROPIADA DE RESOLVER ESTE PROBLEMA ES UTILIZAR UN MÉTODO PRÁCTICO QUE DESARROLLAREMOS: ANÁLISIS DE PLATAFORMA CATÁLOGO DE REQUERIMIENTO PREVIOS DE IMPLANTACIÓN ANÁLISIS DE APLICACIONES INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS (en este punto trataremos todo el esquema de funcionalidades de la seguridad lógica actual; crear nuevas jerarquías de estándares a cumplir y tratar de definir los controles que se deberían tener, ya sea de usuario de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas) ADMINISTRACIÓN DE LA SEGURIDAD; nos interesa ver las siguientes funcionalidades u objetivos de control requeridos al nuevo sistema de control de acceso: - Permite el producto establecer un conjunto de reglas de control aplicables a todos los recursos del sistema? - Permite el producto al administrador de seguridad establecer un perfil de privilegios de acceso para un usuario o grupos de usuarios - Permite el producto al administrador de seguridad asignar diferentes administradores? - Permite el producto al administrador de seguridad asignar a estos administradores la responsabilidad de gestionar privilegios de acceso para grupos y recursos definidos? - Permite a un administrador pedir acceso para él mismo, tanto como para cualquier usuario de su área de responsabilidad? - impide el producto que un administrador se provea él mismo de sus propias peticiones?

47 FACTORES GESTIÓN Y ADMINISTRACIÓN DE LA SEGURIDAD SINGLE SIGN-ON FUNCIONALIDADES DE LA RED SEGURIDADES SE PUEDEN CONSEGUIR LOS OBJETIVOS DE CONTROL? USUARIO USUARIO RED ADMINISTRACION ADMINISTRACION

48 SINGLE SIGN ON (que es necesario sólo un password y un user ID para un usuario acceder y usar su información y sus recursos de todos los sistemas como si de un solo entorno se tratara) FACILIDADES DE USO Y REPORTING (se valora la interfase de usuario y la calidad de la misma) SEGURIDADES (se trata de ver aspectos de seguridad clásico del propio producto como que el administrador no vea los password de los usuarios, longitud del password mínimo, que el producto requiera un ID y password de longitud mínima para el acceso del propio producto etc.) ADQUISICION, INSTALACION E IMPLANTACION, FORMACION PROCESAMIENTO DE CONTROL DE MANUALES DE

49 PORCENTAJE DE PARTICIPACIÓN Apellidos y Nombres % DIAZ ESTRADA, Diana Margarita 100 FLORES JOSEPH, Hugo 100 FLORES SALDAÑA, A, León 100 NAVARRO SOLSOL, Linda 100 SALINAS MENDOZA, Evelina G. 100

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

CAPITULO Nº 03 MET E O T DOLOG O ÍA Í S S D E C O C NT N R T OL INT N E T RNO,, S E S GURIDA D D Y Y AUDIT I O T RÍA Í I NFO F RMÁT Á I T CA C

CAPITULO Nº 03 MET E O T DOLOG O ÍA Í S S D E C O C NT N R T OL INT N E T RNO,, S E S GURIDA D D Y Y AUDIT I O T RÍA Í I NFO F RMÁT Á I T CA C CAPITULO Nº 03 METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Metodología: Conjunto de métodos que se siguen en una investigación científica o en

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

Universidad Autónoma de los Andes Evaluación y Auditoría Informática Unidad 1: Metodología de una Auditoría de Sistemas Computacionales - ASC Ing. John Toasa Espinoza http://waudinfingjohntoasa.wikispaces.com

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

El Comité de Riesgos establece políticas y estrategias de riesgo, da seguimiento a las mismas y vigila su cumplimiento.

El Comité de Riesgos establece políticas y estrategias de riesgo, da seguimiento a las mismas y vigila su cumplimiento. ADMINISTRACION INTEGRAL DE RIESGOS La función de identificar, medir, monitorear, controlar e informar los distintos tipos de riesgo a que se encuentra expuesta Banca Afirme, está a cargo de la Unidad de

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

Sistemas de Pagos de Latinoamérica y el Caribe

Sistemas de Pagos de Latinoamérica y el Caribe Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe Evaluación del estado actual Banco de México Septiembre, 2008 Agradecimientos El Banco de México agradece a los Bancos Centrales

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

Ingeniería de Software

Ingeniería de Software Departamento de Informática Universidad Técnica Federico Santa María Pauta Plan de Proyecto Profesor: Dr. Marcello Visconti Zamora visconti@inf.utfsm.cl 0 Portadas El documento que se está generando corresponde

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010.

Principio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010. Principio Básico de Seguros IAIS No. 10 Control Interno Experiencia Peruana Tomás Wong-Kit Superintendencia de Banca, Seguros y AFP Abril 2010 Contenido Definición de PBS IAIS No. 10 Objetivos exposición

Más detalles

El largo camino de un Plan Director de Seguridad de la Información

El largo camino de un Plan Director de Seguridad de la Información El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso

Más detalles

Módulo 7: Los activos de Seguridad de la Información

Módulo 7: Los activos de Seguridad de la Información Módulo 7: Los activos de Seguridad de la Información Se explica en este tema cómo deben abordarse la elaboración de un inventario de activos que recoja los principales activos de información de la organización,

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

Auditoría y Seguridad Informática

Auditoría y Seguridad Informática Auditoría y Seguridad Informática 1 Indice Control interno y auditoría informáticos: campos análogos Sistema de control interno informático Implantación de un sistema de controles internos informáticos

Más detalles

a) Descripción de los aspectos cualitativos con el proceso de administración integral de riesgos

a) Descripción de los aspectos cualitativos con el proceso de administración integral de riesgos Datos a junio 2015 ACTINVER CASA DE BOLSA Actinver Casa de Bolsa, S.A. de C.V., Grupo Financiero Actinver opera bajo un perfil de riesgos conservador, tanto en operaciones por cuenta propia, como en intermediación

Más detalles

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998

XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS. La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS La Habana, Cuba, 26 al 30 de octubre de 1998 XXVI REUNION DE SISTEMATIZACION DE BANCOS CENTRALES AMERICANOS E IBERICOS 1. Introducción

Más detalles

DRP y BCP: Continuidad Operativa

DRP y BCP: Continuidad Operativa La capacidad para reestablecer las operaciones de TI y de negocio, ante eventos que pudieran interrumpir la habilidad de lograr sus objetivos estratégicos, es un elemento clave para las organizaciones

Más detalles

Ingeniería del Software III Gabriel Buades 2.002

Ingeniería del Software III Gabriel Buades 2.002 Ingeniería del Software III Gabriel Buades 2.002 Auditoría Informática 1 Concepto de auditoría Auditoría e Informática Auditoría Informática Planificación Organización y Administración Construcción de

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Cumplimiento de la LOPD

Cumplimiento de la LOPD Cumplimiento de la LOPD con e-pulpo ÍNDICE 1 Introducción... 3 2 La Ley Orgánica 15/1999 (LOPD)... 4 3 El Real Decreto 1720/2007... 6 4 Implantación... 8 4.1 Porqué implantar la LOPD?... 8 4.2 Cómo evitar

Más detalles

Descripción de las posiciones del área de sistemas

Descripción de las posiciones del área de sistemas Descripción de posiciones del área de Sistemas Operador/Data Entry Entrar y verificar datos provenientes de distintas vías de ingreso. Monitorear procesos, programas y resultados. Seguir los formatos apropiados

Más detalles

Implantación y Aceptación del Sistema

Implantación y Aceptación del Sistema y Aceptación del Sistema 1 y Aceptación del Sistema ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 2 ACTIVIDAD IAS 1: ESTABLECIMIENTO DEL PLAN DE IMPLANTACIÓN...5 Tarea IAS 1.1: De finición del Plan de... 5 Tarea IAS

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo.

ISO 27000. Acceda directamente a las secciones de su interés o descargue en pdf el documento completo. ISO 27000 La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio

Más detalles

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3

CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 DE RIESGOS Página 1 de 21 CONTENIDO 1 OBJETIVO... 2 2 GLOSARIO... 2 3 DESCRIPCIÓN DE ACTIVIDADES Y RESPONSABILIDADES... 3 3.1 Metodología de Análisis de Riesgos... 3 3.2 Valoración de Activos... 6 3.3

Más detalles

Unidad 6: Protección Sistemas de Información

Unidad 6: Protección Sistemas de Información Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad

Más detalles

Qué pasa si el entorno de seguridad falla?

Qué pasa si el entorno de seguridad falla? Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación.

NORMA ISO 9001:2008 Sistemas de Gestión de la Calidad - ÍNDICE. 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. TEMA ÍNDICE PÁGINA 1 Objeto y campo de aplicación 3 1.1 Generalidades 3 1.2 Aplicación. 3 2 Referencias normativas. 3 3 Términos y definiciones.. 3 4 Sistema de gestión de la calidad. 4 4.1 Requisitos

Más detalles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles

Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Módulo 9: Gestión y tratamiento de los riesgos. Selección de los controles Este apartado describirá en qué consiste la gestión de riesgos, cómo se deben escoger los controles, se darán recomendaciones

Más detalles

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI NOMBRE DE LA ASIGNATURA: SEGURIDAD FÍSICA Y LÓGICA FECHA DE ELABORACIÓN: ENERO 2005 ÁREA DEL PLAN DE ESTUDIOS: AS ( )

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Seguridad de la Información. La experiencia del Principado de Asturias

Seguridad de la Información. La experiencia del Principado de Asturias Seguridad de la Información La experiencia del Principado de Asturias I. Presentación II. El Area de Seguridad III. Primer Paso IV. Políticas de Seguridad V. Gestión de Identidades VI. Indicadores de Seguridad

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

a. Derechos de Autor.

a. Derechos de Autor. Controles aplicables a la administración, a la organización y al procesamiento de los datos. Por Omar Javier Solano Rodríguez Profesor Univalle. Apartes del artículo: la auditoría como punto de apoyo al

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS

1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS 1º CFGS ASIR IMPLANTACIÓN DE SISTEMAS OPERATIVOS OBJETIVOS La formación del módulo contribuye a alcanzar los objetivos generales de este ciclo formativo que se relacionan a continuación: a. Analizar la

Más detalles

La ventaja competitiva de certificarse en seguridad

La ventaja competitiva de certificarse en seguridad especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

Planificación de Sistemas de Información

Planificación de Sistemas de Información Planificación de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS...1 ACTIVIDAD 1: INICIO DEL PLAN DE SISTEMAS DE INFORMACIÓN...4 Tarea 1.1: Análisis de la Necesidad del...4 Tarea 1.2: Identificación

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Planificación de Sistemas de Información

Planificación de Sistemas de Información Planificación de Sistemas de Información ÍNDICE DESCRIPCIÓN Y OBJETIVOS... 1 ACTIVIDAD 1: INICIO DEL PLAN DE SISTEMAS DE INFORMACIÓN... 4 Tarea 1.1: Análisis de la Necesidad del... 4 Tarea 1.2: Identificación

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

Medidas de Nivel Medio

Medidas de Nivel Medio Capítulo 6 Medidas de Nivel Medio Medidas de seguridad especiales Para los sistemas de información que traten, almacenen o transmitan datos de carácter personal clasificados dentro de los datos de nivel

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001

NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 NORMA TÉCNICA NTC- ISO COLOMBIANA 9001 2008-11-14 SISTEMA DE GESTIÓN DE LA CALIDAD. REQUISITOS E: QUALITY MANAGEMENT SYSTEMS. REQUIREMENTS CORRESPONDENCIA: esta norma es idéntica (IDT) a la norma ISO 9001:2008

Más detalles

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI NOMBRE DE LA ASIGNATURA: SEGURIDAD INFORMÁTICA Y AUDITORÍA FECHA DE ELABORACIÓN: ENERO 2005. ÁREA DEL PLAN DE ESTUDIOS:

Más detalles

CUADRO DE MANDO INTEGRAL Daniel Tapial Auditor Jefe FULL AUDIT dtapial@fullaudit.es

CUADRO DE MANDO INTEGRAL Daniel Tapial Auditor Jefe FULL AUDIT dtapial@fullaudit.es CUADRO DE MANDO INTEGRAL Daniel Tapial Auditor Jefe FULL AUDIT dtapial@fullaudit.es Un cuadro de mando es una herramienta de gestión empresarial que permite implantar y llevar a cabo un sistema de gestión

Más detalles

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI

GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI GUÍA DE IMPLANTACIÓN DE UN SISITEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN UNE ISO/IEC 27001:2007 CON LA HERRAMIENTA GLOBALSGSI POWERED BY AUDISEC www.audisec.es Febrero de 2010 ÍNDICE 1. PRESENTACIÓN...

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO

CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO CONCEPTOS BÁSICOS SOBRE UN PLAN INFORMÁTICO I. INTRODUCCIÓN El propósito del presente documento es resumir algunos conceptos básicos sobre el tema de los planes informáticos formales que las organizaciones

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA

DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA DESCRIPCIÓN DEL PROGRAMA TÉCNICO EN SEGURIDAD INFORMÁTICA La Auditoría de las Tecnologías de la Información y las Comunicaciones adquiere cada vez mayor importancia, debido a la necesidad de garantizar

Más detalles

Aspectos Cualitativos Relacionados con la Administración Integral de Riesgos

Aspectos Cualitativos Relacionados con la Administración Integral de Riesgos 31 de Agosto de 2015 Aspectos Cualitativos Relacionados con la Administración Integral de Riesgos Las debilidades en el sistema financiero de un país pueden amenazar su estabilidad financiera y económica.

Más detalles

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA

Hospital Nacional de Maternidad UNIDAD DE INFORMATICA Hospital Nacional de Maternidad UNIDAD DE INFORMATICA 87 Introducción Página: I INTRODUCCION Para el propósito de este manual el Hospital Nacional de Maternidad puede ser referido también como El Hospital,

Más detalles

La auditoría operativa cae dentro de la definición general de auditoría y se define:

La auditoría operativa cae dentro de la definición general de auditoría y se define: AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos

Más detalles

Seguridad de la Información & Norma ISO27001

Seguridad de la Información & Norma ISO27001 Seguridad de la Información & Norma ISO27001 Karen Vanessa Urbina Albarracín & Jonathan Smith Suárez Rodríguez Auditoría de Sistemas Seguridad de la Información La seguridad informática comprende procesos

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

Gestión del Servicio de Tecnología de la información

Gestión del Servicio de Tecnología de la información Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES

Más detalles

SISTEMA DE GESTIÓN AMBIENTAL

SISTEMA DE GESTIÓN AMBIENTAL SISTEMA DE GESTIÓN AMBIENTAL ISO 14001:2004 Fundamentos e interpretación del Sistema de Gestión Ambiental ISO 14001:2004 Docente: Dip. Juan Bruno Calvay GESTIÓN AMBIENTAL EN LA EMPRESA Sistema de Gestión

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

Soporte Técnico de Software HP

Soporte Técnico de Software HP Soporte Técnico de Software HP Servicios Tecnológicos HP Servicios contractuales Datos técnicos El Soporte Técnico de Software HP ofrece servicios integrales de soporte remoto de para los productos de

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Asocia do s a: FitchRatings. Metodología de clasificación de compañías aseguradoras de riesgos generales

Asocia do s a: FitchRatings. Metodología de clasificación de compañías aseguradoras de riesgos generales de clasificación de compañías aseguradoras de riesgos generales Clasificación global de la institución Corresponde a la clasificación de riesgo global de la institución en categorías establecidas por la

Más detalles

Capítulo SIMULACIÓN Y SIMULACRO

Capítulo SIMULACIÓN Y SIMULACRO Capítulo SIMULACIÓN Y SIMULACRO Capítulo 4 SIMULACIÓN Y SIMULACRO En este capítulo, se enuncian conceptos y consideraciones para la organización de ejercicios prácticos que permitan poner a prueba parcial

Más detalles

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001 Aníbal Díaz Gines Auditor de SGSI Certificación de Sistemas Applus+ Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC

Más detalles

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1

ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005 Giovanni Zuccardi Juan David Gutiérrez Septiembre de 2006 CONTENIDO Evolución del estándar Familia 2700x En que consiste 27001 ISO 27001 Juan David Gutiérrez Giovanni Zuccardi 1 ISO-27001:2005

Más detalles

Sistema de Gestión de Arquitectura Empresarial para la Banca

Sistema de Gestión de Arquitectura Empresarial para la Banca 2015 Sistema de Gestión de Arquitectura Empresarial para la Banca El manual refleja las bondades, alcances y funcionalidad del sistema. Se describe su alineación con los principales framework del mercado

Más detalles

COBIT. Planificación y Gestión de Sistemas de Información. GOVERNANCE, CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY

COBIT. Planificación y Gestión de Sistemas de Información. GOVERNANCE, CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY COBIT GOVERNANCE, CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY lanificación y Gestión de istemas de Información TRABAJO DE TEORÍA (Dirección: Francisco Ruiz González) Roberto obrinos ánchez

Más detalles

Servicios avanzados de supercomputación para la ciència y la ingeniería

Servicios avanzados de supercomputación para la ciència y la ingeniería Servicios avanzados de supercomputación para la ciència y la ingeniería Servicios avanzados de supercomputación para la ciència y la ingeniería HPCNow! provee a sus clientes de la tecnología y soluciones

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

Administración de Riesgos

Administración de Riesgos Administración de Riesgos La Operadora de Fondos proveerá lo necesario para que las posiciones de riesgo de las Sociedades de Inversión de renta variable y en instrumentos de deuda a las que presten servicios

Más detalles

Qué es la Auditoria en Sistemas de Información?

Qué es la Auditoria en Sistemas de Información? Qué es la Auditoria en Sistemas de Información? Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir

Más detalles

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL RIESGO OPERATIVO Riesgo de Mercado Riesgo de Crédito Reputacion al Riesgo Operacion al Riesgo de Liquidez Riesgo Legal Lavado de Activos

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

Figura 3.1 Implementación de ITIL

Figura 3.1 Implementación de ITIL C apí t u l o III IMPLEMENTACIÓN DE ITIL Existen distintos métodos para la implementación de ITIL, sin embargo cualquier organización puede alinearse a este marco de trabajo sin importar su tamaño o complejidad.

Más detalles