CAPITULO Nº 03 MET E O T DOLOG O ÍA Í S S D E C O C NT N R T OL INT N E T RNO,, S E S GURIDA D D Y Y AUDIT I O T RÍA Í I NFO F RMÁT Á I T CA C

Tamaño: px
Comenzar la demostración a partir de la página:

Download "CAPITULO Nº 03 MET E O T DOLOG O ÍA Í S S D E C O C NT N R T OL INT N E T RNO,, S E S GURIDA D D Y Y AUDIT I O T RÍA Í I NFO F RMÁT Á I T CA C"

Transcripción

1 CAPITULO Nº 03 METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA

2 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Metodología: Conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal. Las Metodologías usadas por un profesional dicen mucho de su forma de entender su trabajo y están directamente relacionadas con su experiencia profesional acumulada como parte del comportamiento humano de acierto/error. La metodología es necesaria para que un equipo de profesionales alcance un resultado homogéneo tal como si lo hiciera una solo, por lo que resulta habitual el uso de metodologías en las empresas auditoras/consultoras.

3 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Seguridad de los Sistemas de Información: es la doctrina que trata de los riesgos informáticos o creados por la informática. La informática crea unos riesgos informáticos de los que hay que proteger y preservar a la entidad con un entramado de contramedidas, y la calidad y la eficacia de las mismas. Para explicar este aspecto diremos que cualquier contramedida nace de la composición de varios factores expresados en el siguiente grafico:

4 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL NORMATIVA, debe definir todo lo que debe existir y ser cumplido tanto desde el punto de vista conceptual, cómo práctico. ORGANIZACIÓN, es la que integran personas con funciones específicas y con actuaciones concretas; éste es el aspecto más importante, dado que in él, nada es posible. METODOLOGÍAS, son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.

5 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL OBJETIVOS DE CONTROL, son los objetivos a cumplir en el control de procesos, este es el segundo más importante. PROCESAMIENTO, son los procedimientos operativos de las distintas áreas de la empresa, la tendencia habitual de los informáticos es la de dar más peso a las herramientas que al control o contramedida, pero no debemos olvidar que: UNA HERRAMIENTA NUNCA ES UNA SOLUCION SINO UNA AYUDA PARA CONSEGUIR UN CONTROL MEJOR

6 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS NORMAS ORGANIZACION METODOLOGÍA OBJETIVOS DE CONTROL PROCESAMIENTO TECNOLOGIAS DE SEGURIDAD HERRAMIENTAS DE CONTROL TECNOLOGÍAS DE SEGURIDAD, es donde están todos los elementos ya sean Hardware o software, que ayudan a controlar un riesgo informático. LAS HERRAMIENTAS DE CONTROL, son elementos software que permiten definir uno o varios procedimientos de control para cumplir una normativa y un objetivo de control

7 3.1. INTRODUCCIÓN A LAS METODOLOGÍAS Plan de Seguridad: es una estrategia planificada de acciones y productos que lleven a un sistemas de información y sus centros de proceso de una situación inicial determinada a una situación mejorada. en el siguiente grafico se observará la tendencia actual en la organización de la seguridad de sistemas en la empresa. Organización Interna de la Seguridad Informática Comité de Seguridad de la Información Seguridad corporativa Control Interno Dpto. de Informática Dpto. de Usuarios Dirección del plan de seguridad Auditoria Informática Plan Auditor Control Informático Responsable de Ficheros

8 3.2 Metodologías de Evaluación de Sistemas Conceptos Fundamentales Análisis de Riesgos Auditoria Informática

9 3.2.1 Conceptos Fundamentales Definiciones para profundizar las metodologías Amenaza Vulnerabilidad Riesgo Exposición o Impacto

10 3.2.1 Conceptos Fundamentales Todos los riesgos que se presentan podemos: Evitarlos Transferirlos Reducirlos Asumirlos

11 3.2.2 Tipos de Metodologías Metodologías cuantitativas Basadas en un modelo matemático numérico que ayuda a la realización de trabajo.

12 Metodologías Cualitativas/Subjetivas Basadas en métodos estadísticos y raciocinio humano. Precisan de la involucración de un profesional experimentado. Pero requieren menos recursos humanos que las metodologías cuantitativas. P R O S C O N T R A S CUANTITATIVA Enfoca pensamientos mediante el uso de números. Facilita la comparación de vulnerabilidades muy distintas. Proporciona una cifra justificante para cada copntramedida Estimación de probabilidad depende de estadísticas fiables inexistentes. Estimación de las perdidas potenciales solo si son valores cuantificables. Metodologías estándares. Difíciles de mantener o modificar. Dependencia de un profesional. CUALITATIVA / SUBJETIVA Enfoca lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificación de eventos. Incluye lectores intangibles. Dependencia fuertemente de la habilidad y calidad del personal involucrado. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia de un profesional.

13 3.2.1 Metodologías más comunes Metodologías de Análisis de Riesgos Funcionamiento Esquemático básico de cualquier paquete Cuestionario Etapa 1 Identificar los riesgos Etapa 2 Calcular el impacto Etapa 3 Identificar las contramedidas y el coste Etapa 4 Simulaciones Creación de los informes Etapa 5 Etapa 6

14 3.2.1 Metodologías más comunes Metodologías de Análisis de Riesgos De forma genérica las metodologías existentes se diferencian en: Si son cuantitativas o cualitativas, o sea si para el Qué pasa sí? utilizan un modelo matemático o algun sistema cercano a la elección subjetiva. Y además se diferencian en el propio sistema de simulación.

15 Tipos de metodologías de análisis de riesgo Metodologías cuantitativas : se considera la frecuencia, esta basada en las diferentes bitácoras, logs y reportes de incidentes. El impacto se determina en forma cuantitativa (valores Económicos). Lo ideal es poder expresar el impacto en términos económicos. Basadas en FIPS 65 Método de IBM : basado en técnica de DELPHI = consenso de expertos para determinar los costos. RISKCALC BDSS Metodologías cualitativas: LAVA: Los Alamos Vulnerability/ Risk Assessment RISKPAC MARION CRAMM Probabilidad de ocurrencia No se tiene en cuenta la frecuencia para valorar los riesgos. La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza para determinar el nivel de riesgo que se tiene. "Aquí el riesgo indica las pérdidas ante la posibilidad de presentarse la amenaza A =riesgos que requieren pronta atención, B =no es prioritario la toma de medidas

16 Tipos de metodologías de análisis de riesgo Marion-Francia Método de evaluación que ofrece dos productos: Marion AP+ Marion RSX Sistemas individuales Sistemas distribuidos Método cuantitativo basado en una encuesta anual al CLUSIF(base de Incidentes francesa) * No contempla probabilidades. * Contempla esperanzas matemáticas (aprox. numéricas)

17 Tipos de metodologías de análisis de riesgo Marion Comprende seis etapas: 1. Identificar los incidentes e impactos sobre el SI. 2. Decidir la perdida máxima aceptable y por lo tanto los incidentes a cubrir. 3. Estimar la calidad de medidas de seguridad existentes (a partir de una lista cuestionario), identificando vulnerabilidades y contra-medidas a implementar. 4. Identificar los factores financieros que dificulten la implementación de las contra-medidas. 5. Producir una lista priorizada de contra-medidas 6. Desarrollar un plan de acción. Presenta resultados en forma gráfica, tabular y provee un gestionador del proyecto de seguridad.

18 Tipos de metodologías de análisis de riesgo Marion Utiliza cuestionarios para valorar la seguridad (SI=4,NO=0,No_aplicable=3). Parámetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categorías) categoría de factores 1. Seguridad informática general 2. Factores socioeconómicos 3. Concienciación sobre la seguridad de soft 4. Concienciación sobre la seguridad de materiales. 5. Seguridad en explotación. 6. Seguridad en desarrollo.

19 Tipos de metodologías de análisis de riesgo Marion Valores de ponderación para diferentes sectores (ejemplos): Sector CATEGORÍA 1 Establecimientos financieros bancos Agricultura 2 Energía Construcción Metalúrgica 3 Transporte Comercio Hospedaje

20 Tipos de metodologías de análisis de riesgo Marion El análisis de riesgo lo hace bajo 10 áreas problemas: Riesgos materiales Sabotajes físicos Averías Comunicaciones. Errores de desarrollo Errores de explotación Fraude Robo de información Robo de software Problemas de personal.

21 Tipos de metodologías de análisis de riesgo Marion

22 Tipos de metodologías de análisis de riesgo Marion Nota: - Las pérdidas posibles no deben nunca sobrepasar el VALOR DE RIESGO MAXIMO ADMISIBLE Valor dado por un estudio del banco de Francia para las distintas áreas sectoriales

23 Tipos de metodologías de análisis de riesgo RISCKPAC Metodología aplicada en Herramientas de software Profile Analysis Corporation con DATAPRO(1994) enfoque cualitativa subjetiva resultados exportables a procesadores de texto BD. Hojas de cálculo sistemas gráficos

24 Tipos de metodologías de análisis de riesgo RISCKPAC Calcula para cada aplicación un factor de riesgo: 1= nominal,..., 5 = catastrofe. Facilidades Del sistema estructurada como cuestionario en 3 niveles Entorno Procesador Aplicaciones Hardware Amb. Físico Comunicación acceso divididos en 26 categorías de Riesgo en cada nivel Riesgos relacionados Integridad, fraude Lógica de control De acceso

25 Tipos de metodologías de análisis de riesgo CRAMM-Reino Unido Desarrollado en por BIS y CCTA(Central Computer& Telecomunication Agency Risk Analisis & Management Method, England) Implantado en mas de 750 Org. En europa Metodología cualitativa y permite hacer análisis (que pasa si?) PRIMA (Prevención de Riesgos Informáticos con Metodología Abierta) metodología española(1990) enfoque subjetivo Características Cubrir necesidades de los proyectos de un plan de seguridad Adaptable Cuestionarios para identificar fallas de controles Proporciona un sistema de ayuda Informes finales Lista de ayuda y cuestionarios son abiertos

26 Tipos de metodologías de análisis de riesgo Toma de acción Identificación de debilidades Amenazas Vulnerabilidades Ponderación Análisis del impacto Y riesgo Definición de contramedidas Prioridad Costo Dificultad duración valoración de contramedidas Preparación del Plan de acción Riesgos Plan de acción Plan de proyectos Informe final Fases de la metodología PRIMA

27 Plan de Contingencia Contingencia: evento posible pero no muy probable. (antes) Plan de recuperación ante desastre. (ahora) Plan de continuidad del negocio. Estadísticas: 90% de empresas victimas de un desastre dejan de existir después de 18 meses. Casos más típicos: Fuego, Pérdida de personal, caída de sistema crítico. Plan de contingencia: Anticipar problemas conflictivos y resolverlos. Identificar individuos claves. Aspectos geográficos. Factor de Confianza. Estrategia planificada formado por un conjunto de respaldos, Procedimientos de Emergencias para Recuperar la continuidad Del negocio

28 Plan de Contingencia Fases I. Análisis y Diseño Estudia la problemática, alternativas de respaldo se analiza el costo/beneficio de las mismas Existen dos metodologías para desarrollar esta fase RISK ANALISIS (posibles riesgos) 1. Identificar amenazas 2. Análisis de probabilidad de amenaza 3. Selección de amenazas 4. Entornos amenazados 5. Servicios afectados 6. Estimación del impacto económico/servicio afectado 7. Servicios a cubrir 8. Selección del ámbito del plan 9. Alternativa para los entornos 10. Selección de alternativas 11. Diseño de estrategias de respaldo 12. Selección de estrategias de respaldo BUSINESS IMPACT (impacto económico) 1. Identificar servicios finales 2. Análisis del impacto (daños económicos) 3. Selección de servicios críticos 4. Recursos de soporte 5. Alternativas para entornos 6. Selección de alternativas 7. Diseño de estrategias de respaldo 8. Selección de estrategias de respaldo

29 Plan de Contingencia II. Desarrollo del Plan Desarrollo de la estrategia seleccionada Desarrollo de procedimientos de acción III. Pruebas y Mantenimiento Se definen las pruebas, sus características y ciclos Se define la estrategia de mantenimiento Herramientas Deben contener: BD relacional Módulos de entrada Módulos de consulta Procesador de textos * Generador de informes * ayuda,etc

30 Herramienta-Meycor Cobit

31 Herramienta-Meycor Cobit

32 Herramienta-Meycor Cobit

33 METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para sus dictamenes. Auditoria Financiera.- Dictamen sobre los estados de cuentas que utiliza herramientas de Sw de ayuda. Las metodologías de auditoria informatica son del tipo cualitativo/subjetivo; estan basadas en profesionales de experiencia y formación Existen dos metodologias de Auditoria Informática: -Auditorias de Controles Generales y -Metodologías de Auditores Internos

34 METODOLOGIAS DE AUDITORIA INFORMATICA Auditorias de Controles Generales Dan una opinion sobre la habilidad de los datos del computador para la Auditoria financiera cuyo resultado es un informe donde se destacan las vulnerabilidades encontradas. Tiene apartados para definir pruebas y anotar sus resultados. Auditorias Internas.- Esta formada por recomendaciones de Plan de trabajo; deberá hacer cuestionarios y definir cuantas pruebas estime oportunas; además debe crear sus metodologías necesarias para auditar áreas o aspectos que defina en el plan auditor.

35 EL PLAN AUDITOR INFORMATICO Es el esquema mas importante del auditor informatico Las partes con las que cuenta un plan auditor informatico son: - Funciones - Procedimientos para las distintas tareas de las auditorias - Tipos de auditoria - Sistema de evaluación - Nivel de exposición - Lista de distribución de informes - Seguimiento de acciones correctorias - Plan quincenal - Plan de trabajo anual

36 AUDITORIA INTERNA Y EXTERNA La auditoria interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada, ésta existe por expresa decisión de la empresa presa. Ventajas de la auditoria interna Puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúanan a las Auditori rias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. Por otro lado, la auditoria externa es realizada por personas afines a la empresa auditada; se presupone una mayor objetividad que en la Auditoria Interna, debido al mayor distanciamiento entre auditores y auditados.

37 AUDITORIA INTERNA Y EXTERNA Una Empresa o Institución que posee auditoria interna puede y debe en ocasiones contratar servicios de auditoria externa. Las razones para hacerlo suelen ser: - Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. - Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión n generalizada de la propia empresa. - Es necesario que se le realicen auditorías as externas como para tener una visión desde afuera de la empresa.

38 3.5 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL La función del control automático independiente, debe ser independiente del departamento controlado - El área informática monta los procesos informáticos seguros. - El control interno monta los controles. -La auditoria informática evalúa el grado de control LA AUDITORIA INFORMÁTICA -Tiene la función de vigilancia y evaluación mediante dictámenes y todas sus metodologías van encaminadas a esta función. -Tiene sus propios objetivos distintos a los auditores de cuentas aunque necesarios para que éstas puedan utilizar la información de sus sistemas para sus evaluaciones financieras y operativas. Evalúan eficiencia, costo y seguridad en su más amplia visión, esto es todo los riesgos informativos y ya sean los clásicos (confidencialidad, integridad y disponibilidad) o los costos y los jurídicos, dado que ya no hay una clara separación en la mayoría de los casos. -Operan según el plano auditor -Utilizan metodologías de evaluación de tipo cualitativo. -Establecen planes quinquenales como ciclos completos -Sistemas de evaluación de repetición de la auditoria por nivel de exposición del área auditada y el resultado de la última auditoria de ésta área. -La función de soporte informático de todos los auditores (opcionalmente), aunque dejando claro que no se debe pensar con esto que la auditoria informática consiste en esto solamente.

39 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL CONTROL INFORMÁTICO - Tiene funciones propias (administración de la seguridad lógica, etc) - Funciones de control dual con otros departamentos - Funciones normativas y del cumplimiento del marco jurídico. - Operan según procedimientos de control en los que se ven involucrados y que luego desarrollarán. - Al igual que en la auditoria y de forma opcional puede ser el soporte informático de control interno no informático FUNCIONES DE CONTROL INTERNO - Más comunes - Definición de propietarios y perfiles según clasificación de la información (utilizando metodología) - Administración delegada en control dual (dos personas intervienen en una acción) como medida de control de la seguridad lógica. - Responsable del desarrollo y actualización del plan de contingencias, manuales, procedimientos y plan de seguridad. - Promueve el plan de seguridad informático al comité de seguridad. - Dictar normas de seguridad informática. - Definir los procedimientos de control. - Control del entorno. - Control de soporte magnético según clasificación de la información. - Control de soporte físico (listado, etc)

40 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL FUNCIONES DE CONTROL INTERNO - Control de información comprometida o sensible. - Control de micro informática y usuarios - Control de calidad de software - Control de calidad del servicio informático - Control de costes - Responsable del departamento (gestión de recursos humanos y técnicos) - Control de licencias y relaciones contractuales con terceros. - Control y manejo de claves de cifrado - Relaciones externas con entidades relacionadas con la seguridad de la información. - Definición de requerimientos de seguridad de proyectos nuevos. - Vigilancia del cumplimiento de las normas y controles. - Control de cambios y versiones - Control de paso de aplicaciones a explotaciones - Control de medidas de seguridad física o corporativa en la informática - Responsable de datos personales (LOPD y código penal) - Otros controles que se designen - Otras funciones que se designen.

41 CONTROL INTERNO INFORMÁTICO. SUS MÉTODOS Y PROCEDIMIENTOS. LAS HERRAMIENTAS DE CONTROL - El objetivo es de que exista una actuación segura entre los usuarios, la informática y control interno. Todos ellos auditados por auditoria informática - El plan de Seguridad Informatica tiene 2 proyectos de vital importancia clasificación de la información (B) y procedimientos de control (C) A Análisis de riesgo Contramedida 1 B C Clasificación de la información Objetivo de Control 1 Objetivo de Control 2 tecnología Objetivo de control Contramedida 2 Contramedida 3 Plan de acciones

42 3.5.2 METODOLOGÍAS DE CLASIFICACION DE LA INFORMACION Y DE OBTENCION DE LOS PROCEDIMIENTOS DE CONTROL CLASIFICACION DE LA INFORMACION.- Metodología PRIMA SI IDENTIFICAMOS DISTINTOS NIVELES DE CONTRAMEDIDIAS PARA DISTINTSAS ENTIDADES DE INFORMACIÓN CON DISTINTOS NIVELES DE CRITICIDAD, ESTAREMOS OPTIMIZAMOS LA EFICIENCIA DE LAS CONTRAMEDIDAS Y REDUCIENDO LOS COSTOS DE LAS MISMAS. ENTIDAD DE INFORMACIÓN.- ES EL OBJETIVO A PROTEGER EN EL ENTORNO INFORMÁTICO Y QUE LA CLASIFICACIÓN DE LA INFORMACIÓN AYUDA A PROTEGER, ESPECIALIZANDO LAS CONTRAMEDIDAS SEGÚN EL NIVEL DE CONFIDENCIALIDAD O IMPORTANCIA QUE TENGAN. METODOLOGÍA DEL TIPO CUALITATIVO/SUBJETIVO CON JERARQUÍAS QUE SEGÚN SEAN PRESERVACIÓN: VITAL-CRITICA VALUADA -NO SENSIBLE. O PROTECCIÓN: ALTAMENTE CONFIDENCIAL-CONFIDENCIAL-RESTRINGIDA -NO SENSIBLE. PRIMA DEFINE BASICAMENTE: - ESTRATEGICA (MUY CONFIDENCIAL, MUY RESTRINGIDA) - RESTRINGIDA (A LOS PROPIETARIOS DE LA INFORMACIÓN) - DE USO INTERNO (A TODOS LOS EMPLEADOS) - DE USO GENERAL (SIN RESTRICCIÓN)

43 LOS PASOS DE LA METODOLOGÍA SON LOS SIGUIENTES: 1. Identificación de la información 2. Inventario de entidades de información residentes y operativas 3. Identificación de propietarios 4. Definición de jerarquías de información 5. Definición de la matriz de clasificación 6. Confección de la matriz de clasificación 7. Realización del plan de acciones 8. Implantación y mantenimiento OBTENCIÓN DE LOS PROCEDIMIENTOS DE CONTROL: METODOLOGÍA: Fase 1.- Definición de objetivos de control: - Tarea 1: Análisis de la empresa - Tarea 2: Recopilación de estándares - Tarea 3: Definición de los objetivos de control Fase 2.- Definición de los controles: - Tarea 1: Definición de los controles - Tarea 2: Definición de necesidades tecnológicas - Tarea 3: Definición de los procedimientos de control - Tarea 4: Definición de las necesidades de recursos humanos

44 Fase 3: Implantación de los controles: - Procedimientos propios de control de la actividad informática - Procedimiento de distintas áreas usuarias de la informática, mejorados - Procedimientos de áreas informáticas mejorados - Procedimiento de control dual entre control interno informática y el área informática, los usuarios informáticos y el área de control no informático LAS HERRAMIENTAS DE CONTROL Las herramientas de control (software) más comunes son: - Seguridad lógica del sistema - Seguridad lógica complementaria al sistema - Seguridad lógica para entornos distribuidos. Control de acceso físico - Control de copias - Gestión de soportes magnéticos - Gestión y control de impresión y envíos de listados por red. - Control de proyectos - Control de versiones - Control y gestión de incidencias - Control de cambios - Etc.

45 OBJETIVOS DE CONTROL DE ACCESO LOGICO Segregación de funciones entre los usuarios del sistema s productores de software, jefes de proyecto, técnico de sistemas, operadores de explotación, operadores de telecomunicaciones, grupo de usuarios de aplicaciones, administrador de la seguridad lógica, auditoria, y tantos como se designen. Integridad de los LOG e imposibilidad de desactivarlos por ningún perfil para poder revisarlos. Gestión centralizada de la seguridad o al menos única. Contraseña única para los distintos sistemas de la red y la autentificación de entrada una sola vez. Y una vez dentro, controlar los derechos de uso. La contraseña y archivos con perfiles y derechos y la inaccesibles a todos, incluso a los administradores de seguridad. El sistema debe rechazar a los usuarios que no usan la clave del sistema correctamente, inhabilitando y avisando a control que tomará las medidas oportunas. Separación de entornos El LOG o los LOGs de actividad no podrán desactivarse a voluntad, y si se duda de su integridad o carencia, resolver con un terminal externo controlado. El sistema debe obligar al usuario a cambiar la contraseña, de forma que sólo la conozca él, que es la única garantía de autenticidad de sus datos. Es frecuente encontrar mecanismos de auto-logout, que expulsan del sistema la terminal que permanece inactiva más de un tiempo determinado.

46 ESTÁ CONTROLADA LA SEGURIDAD LÓGICA EN LA ACTUALIDAD? SE CUMPLE EL MARCO JURÍDICO SIN SEGURIDAD LÓGICA?; LA FORMA MÁS APROPIADA DE RESOLVER ESTE PROBLEMA ES UTILIZAR UN MÉTODO PRÁCTICO QUE DESARROLLAREMOS: ANÁLISIS DE PLATAFORMA CATÁLOGO DE REQUERIMIENTO PREVIOS DE IMPLANTACIÓN ANÁLISIS DE APLICACIONES INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS (en este punto trataremos todo el esquema de funcionalidades de la seguridad lógica actual; crear nuevas jerarquías de estándares a cumplir y tratar de definir los controles que se deberían tener, ya sea de usuario de las aplicaciones como de los usuarios de los sistemas y el uso de las herramientas) ADMINISTRACIÓN DE LA SEGURIDAD; nos interesa ver las siguientes funcionalidades u objetivos de control requeridos al nuevo sistema de control de acceso: - Permite el producto establecer un conjunto de reglas de control aplicables a todos los recursos del sistema? - Permite el producto al administrador de seguridad establecer un perfil de privilegios de acceso para un usuario o grupos de usuarios - Permite el producto al administrador de seguridad asignar diferentes administradores? - Permite el producto al administrador de seguridad asignar a estos administradores la responsabilidad de gestionar privilegios de acceso para grupos y recursos definidos? - Permite a un administrador pedir acceso para él mismo, tanto como para cualquier usuario de su área de responsabilidad? - impide el producto que un administrador se provea él mismo de sus propias peticiones?

47 FACTORES GESTIÓN Y ADMINISTRACIÓN DE LA SEGURIDAD SINGLE SIGN-ON FUNCIONALIDADES DE LA RED SEGURIDADES SE PUEDEN CONSEGUIR LOS OBJETIVOS DE CONTROL? USUARIO USUARIO RED ADMINISTRACION ADMINISTRACION

48 SINGLE SIGN ON (que es necesario sólo un password y un user ID para un usuario acceder y usar su información y sus recursos de todos los sistemas como si de un solo entorno se tratara) FACILIDADES DE USO Y REPORTING (se valora la interfase de usuario y la calidad de la misma) SEGURIDADES (se trata de ver aspectos de seguridad clásico del propio producto como que el administrador no vea los password de los usuarios, longitud del password mínimo, que el producto requiera un ID y password de longitud mínima para el acceso del propio producto etc.) ADQUISICION, INSTALACION E IMPLANTACION, FORMACION PROCESAMIENTO DE CONTROL DE MANUALES DE

49 PORCENTAJE DE PARTICIPACIÓN Apellidos y Nombres % DIAZ ESTRADA, Diana Margarita 100 FLORES JOSEPH, Hugo 100 FLORES SALDAÑA, A, León 100 NAVARRO SOLSOL, Linda 100 SALINAS MENDOZA, Evelina G. 100

METODOLOGIAS DE AUDITORIA INFORMATICA

METODOLOGIAS DE AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Auditoria Informatica.- Certifica la integridad de los datos informaticos que usan los auditores financieros para que puedan utilizar los sistemas de información para

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ÍNDICE. PreparaTIC 6 junio 09. Ponente: Leonardo Ramírez Peña. Versión B SISTEMA DE GESTIÓN DE LA 1 SEGURIDAD DE LA INFORMACIÓN PreparaTIC 6 junio 09 Ponente: Leonardo Ramírez Peña Versión B ÍNDICE!! Fundamentos de la Gestión de la Seguridad de la Información!! Análisis y Gestión

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.

METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA. METODOLOGÍA PARA REALIZAR UNA AUDITORÍA INFORMÁTICA.- Fase I.- Estudio Preliminar, Fase II, Revisión y evaluación de controles y seguridades Fase III,

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Condiciones para que la Gerencia de Seguridad de. permanezca vigente. Condiciones para que la Gerencia de Seguridad de la Información permanezca vigente. AGENDA 1. Foco metodológico. 2. Modelo de Seguridad. 3. Ubicación de la Seguridad de la Información en la organización.

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

Universidad Autónoma de los Andes Evaluación y Auditoría Informática Unidad 1: Metodología de una Auditoría de Sistemas Computacionales - ASC Ing. John Toasa Espinoza http://waudinfingjohntoasa.wikispaces.com

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Auditoria de Sistemas

Auditoria de Sistemas Sistemas de Información I Página1 1. Introducción La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorias, requieren

Más detalles

Seguridad de la Información. La experiencia del Principado de Asturias

Seguridad de la Información. La experiencia del Principado de Asturias Seguridad de la Información La experiencia del Principado de Asturias I. Presentación II. El Area de Seguridad III. Primer Paso IV. Políticas de Seguridad V. Gestión de Identidades VI. Indicadores de Seguridad

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte

AUDITORIA DE SISTEMAS. Jorge Alberto Blanco Duarte AUDITORIA DE SISTEMAS Jorge Alberto Blanco Duarte QUE ES LA AUDITORIA DE SISTEMAS? La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática;

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP)

PLAN DE CONTINGENCIA SISTEMAS DE INFORMACION ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) Página 1 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA LA INVESTIGACIÓN EDUCATIVA Y EL DESARROLLO PEDAGÓGICO (IDEP) BOGOTÁ D.C., DICIEMBRE DE 2013 Página 2 de 23 ALCALDÍA MAYOR DE BOGOTÁ INSTITUTO PARA

Más detalles

COBIT. Planificación y Gestión de Sistemas de Información. GOVERNANCE, CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY

COBIT. Planificación y Gestión de Sistemas de Información. GOVERNANCE, CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY COBIT GOVERNANCE, CONTROL and AUDIT for INFORMATION and RELATED TECHNOLOGY lanificación y Gestión de istemas de Información TRABAJO DE TEORÍA (Dirección: Francisco Ruiz González) Roberto obrinos ánchez

Más detalles

Introduction to Risk Assessment

Introduction to Risk Assessment Introduction to Risk Assessment Agenda Riesgos de Seguridad de la Información Gestión de Riesgos Modelo Pragmático de Riesgo Mitigación de Riesgos y sus componentes Activos Componentes de Riesgos Identificación

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2

Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799. Antonio Villalón Huerta Grupo S2 Códigos de buenas prácticas de seguridad. UNE-ISO/IEC 17799 Antonio Villalón Huerta Grupo S2 Contenidos Introducción. Problemática de seguridad. Qué es ISO 17799? Historia Estructura de la norma. Dominios

Más detalles

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM

Modelo de Control para la Administración de Riesgos de TI. MsC. Carlos Zamora Sotelo, CISA, CISM Modelo de Control para la Administración de Riesgos de TI MsC. Carlos Zamora Sotelo, CISA, CISM Agenda 1. Objetivo de la Sesión. 2. La Administración de Riesgos en la Estrategia de Negocios. 3. El papel

Más detalles

MANUAL 02 DE AUDITORIA

MANUAL 02 DE AUDITORIA MANUAL 02 DE AUDITORIA INDICE 1. Introducción 2. Evaluación de los Sistemas 3. Evaluación de los equipos 4. Controles administrativos en un ambiente de Procesamiento de Datos 5. Revisión de Centros de

Más detalles

El largo camino de un Plan Director de Seguridad de la Información

El largo camino de un Plan Director de Seguridad de la Información El largo camino de un Plan Director de Seguridad de la Información Dolores de la Guía Martínez Secretaría General Adjunta de Informática CSIC Presentación 1. Las expectativas 2. El pliego 3. El concurso

Más detalles

2. Las funciones de control interno y auditoría informáticos.

2. Las funciones de control interno y auditoría informáticos. TEMA 9 AUDITORIA DE PROYECTO 1. Auditoría: Procedimiento reglado para analizar cualitativamente y cuantitativamente la eficiencia de un proceso, una tarea o un sistema. Las auditorias pueden ser internas

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

Auditoría de Protección de Datos (LOPD 15/99)

Auditoría de Protección de Datos (LOPD 15/99) Auditoría de Protección de Datos (LOPD 15/99) www.adhec.info Plan de actuaciones Metodología 3 Proceso de adaptación a la LOPD 5 Auditoría de adaptación a la LOPD 6 Auditoría UNE-ISO/IEC 17799:2002 y certificación

Más detalles

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú.

Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. Seguridad en la base de datos Como nos protegen los estándares? Frano Capeta Mondoñedo Country Manager I-SEC Perú. 1 2 Por qué estamos en esta reunión? Seguridad el eslabón mas débil Si tuviera que evaluar

Más detalles

Ingeniería del Software III Gabriel Buades 2.002

Ingeniería del Software III Gabriel Buades 2.002 Ingeniería del Software III Gabriel Buades 2.002 Auditoría Informática 1 Concepto de auditoría Auditoría e Informática Auditoría Informática Planificación Organización y Administración Construcción de

Más detalles

a) Descripción de los aspectos cualitativos con el proceso de administración integral de riesgos

a) Descripción de los aspectos cualitativos con el proceso de administración integral de riesgos Datos a junio 2015 ACTINVER CASA DE BOLSA Actinver Casa de Bolsa, S.A. de C.V., Grupo Financiero Actinver opera bajo un perfil de riesgos conservador, tanto en operaciones por cuenta propia, como en intermediación

Más detalles

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad

INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING. Características Técnicas y de Seguridad INFORME DE PERCEPCIÓN DE PROVEEDORES DE CLOUD COMPUTING OCTOBER 13, 215 215 Índice Objetivo y metodología... 2 Resumen Ejecutivo... 2 Resultados (Seguridad)... 3 Nivel de Madurez (Seguridad)... 7 Resultados

Más detalles

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre 2010. Juan Carlos Serrano Antón Cómo afrontar con éxito la Certif icación ISO 27001:2005 Juan Carlos Serrano Antón Responsable Técnico de Esquema Lead Auditor ISO 27001, ISO 20000, ISO 9001 Valencia, octubre 2010 Conceptos y Definiciones

Más detalles

CUADRO DE MANDO INTEGRAL Daniel Tapial Auditor Jefe FULL AUDIT dtapial@fullaudit.es

CUADRO DE MANDO INTEGRAL Daniel Tapial Auditor Jefe FULL AUDIT dtapial@fullaudit.es CUADRO DE MANDO INTEGRAL Daniel Tapial Auditor Jefe FULL AUDIT dtapial@fullaudit.es Un cuadro de mando es una herramienta de gestión empresarial que permite implantar y llevar a cabo un sistema de gestión

Más detalles

Encuestas para la autoevaluación del Sistema de Control Interno Institucional

Encuestas para la autoevaluación del Sistema de Control Interno Institucional Encuestas para la autoevaluación del Sistema de Control Interno Institucional 2014 Tabla de contenido Metodología para la Autoevaluación del Sistema de Control Interno Institucional 2 Encuesta para la

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME

DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME DIA 21 Taller: Implantación ISO 27000 en el entorno empresarial PYME Ponencia: Gestión de incidentes de seguridad y planes de continuidad de negocio. Metodología y aspectos prácticos para implantación

Más detalles

mope SEGURIDAD INFORMÁTICA

mope SEGURIDAD INFORMÁTICA DENOMINACIÓN: Código: IFCT0109 Familia Profesional: Informática y Comunicaciones Área profesional: Sistemas y telemática Nivel de cualificación profesional: 3 Cualificación profesional de referencia: IFC153_3

Más detalles

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI NOMBRE DE LA ASIGNATURA: SEGURIDAD FÍSICA Y LÓGICA FECHA DE ELABORACIÓN: ENERO 2005 ÁREA DEL PLAN DE ESTUDIOS: AS ( )

Más detalles

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA

MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA MODELOS DE ESTRUCTURA PARA LAS DIRECCIONES DE INFORMÁTICA OPCION 1: PEQUEÑA ENVERGADURA DIRECCIÓN DE INFORMÁTICA DEPARTAMENTO DE SISTEMAS DEPARTAMENTO DE INFRAESTRUCTURA Y ASISTENCIA A USUARIOS DIRECCIÓN

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA

GUÍA DE EVIDENCIA DE LA UNIDAD DE COMPETENCIA MINISTERIO DE EDUCACIÓN, CULTURA Y DEPORTE SECRETARÍA DE ESTADO DE EDUCACIÓN, FORMACIÓN PROFESIONAL Y UNIVERSIDADES DIRECCIÓN GENERAL DE FORMACIÓN PROFESIONAL INSTITUTO NACIONAL DE LAS CUALIFICACIONES

Más detalles

Qué es la Auditoria en Sistemas de Información?

Qué es la Auditoria en Sistemas de Información? Qué es la Auditoria en Sistemas de Información? Es el examen objetivo, crítico, sistemático, posterior y selectivo que se hace a la administración informática de una organización, con el fin de emitir

Más detalles

a. Derechos de Autor.

a. Derechos de Autor. Controles aplicables a la administración, a la organización y al procesamiento de los datos. Por Omar Javier Solano Rodríguez Profesor Univalle. Apartes del artículo: la auditoría como punto de apoyo al

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel

SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005. Por: Gloria Stella Viveros Muriel SISTEMA DE GESTION DE LA SEGURIDAD CON ISO 27001:2005 Por: Gloria Stella Viveros Muriel Sobre el autor: GLORIA STELLA VIVEROS MURIEL. Ingeniera de sistemas egresada Universidad Manuela Beltrán, especialista

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

Sistema de Gestión de la Seguridad de la Información

Sistema de Gestión de la Seguridad de la Información Sistema de Gestión de la Seguridad de la Información 1 Contenidos 1. Qué es un SGSI? 2. Para qué sirve un SGSI? 3. Qué incluye un SGSI? 4. Cómo se implementa un SGSI? 5. Qué tareas tiene la Gerencia en

Más detalles

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN

NORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC

Más detalles

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI NOMBRE DE LA ASIGNATURA: SEGURIDAD INFORMÁTICA Y AUDITORÍA FECHA DE ELABORACIÓN: ENERO 2005. ÁREA DEL PLAN DE ESTUDIOS:

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA

UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA UNIVERSIDAD NACIONAL DE ASUNCIÓN FACULTAD DE CIENCIAS ECONOMICAS ESCUELA DE CONTABILIDAD AUDITORIA INFORMATICA TRABAJO PRÁCTICO DE AUDITORIA INFORMATICA Profesor: Lic. Marco Antonio Leiva Fernández 5to

Más detalles

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015

Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Elementos de Control Interno para la Autoevaluación del Sistema de Control Interno Institucional 2015 Índice Pág. Metodología para la Autoevaluación del Sistema de Control Interno Institucional. 2 Elementos

Más detalles

Implantación de Sistemas

Implantación de Sistemas Implantación de Sistemas Maria Ines Parnisari 17 de Diciembre de 2014 Índice Parte 1: Implantación... 2 Factores clave para una implantación exitosa... 2 Etapas de un proyecto de Sistemas... 2 Fases de

Más detalles

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es

SGSI Poniendo orden a la seguridad. Eduardo Bergasa eduardo.bergasa@unirioja.es SGSI Poniendo orden a la seguridad Eduardo Bergasa eduardo.bergasa@unirioja.es Introducción La seguridad sin control puede no ser efectiva Grados de madurez Grado 0. Sin preocupación por la seguridad Grado

Más detalles

Capitulo 08 ISO - 14000

Capitulo 08 ISO - 14000 Capitulo 08 ISO - 14000 Es una serie de standard internacionales que especifican los requerimientos para preparar y valorar un sistema de gestión que asegure que su empresa mantiene la protección ambiental

Más detalles

Resumen ejecutivo inventario de activos de información. Procesos Dir. Corporativa Recursos Tecnologicos

Resumen ejecutivo inventario de activos de información. Procesos Dir. Corporativa Recursos Tecnologicos Resumen ejecutivo inventario de activos de información Procesos Dir. Corporativa Recursos Tecnologicos Agenda Diagrama de relación de activos inventariados para el proceso Muestra la relación entre los

Más detalles

TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS. 1. Aplicación de las presentes normas.

TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS. 1. Aplicación de las presentes normas. Hoja 1 CAPÍTULO 1-7 TRANSFERENCIA ELECTRÓNICA DE INFORMACIÓN Y FONDOS 1. Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios y la realización de

Más detalles

I INTRODUCCIÓN. 1.1 Objetivos

I INTRODUCCIÓN. 1.1 Objetivos I INTRODUCCIÓN 1.1 Objetivos En el mundo de la informática, la auditoría no siempre es aplicada en todos las empresas, en algunos de los casos son aplicadas por ser impuestas por alguna entidad reguladora,

Más detalles

Sistema de Gestión de Arquitectura Empresarial para la Banca

Sistema de Gestión de Arquitectura Empresarial para la Banca 2015 Sistema de Gestión de Arquitectura Empresarial para la Banca El manual refleja las bondades, alcances y funcionalidad del sistema. Se describe su alineación con los principales framework del mercado

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO

Más detalles

Directrices del Plan Director de Seguridad:

Directrices del Plan Director de Seguridad: Directrices del Plan Director de Seguridad: ISO 17799 Jefe de Servicio de Sistemas Informáticos Ministerio de Trabajo y Asuntos Sociales Palabras clave Plan Director, Seguridad, ISO 17799.. Resumen de

Más detalles

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales

GERENCIA DE RIESGOS. Capacitación en el sistema de administración de riesgos operacionales SISTEMA DE ADMINISTRACIÓN DE RIESGOS OPERACIONALES SARO Cartilla de Riesgo Operativo 1 GERENCIA DE RIESGOS Capacitación en el sistema de administración de riesgos operacionales Compañía Aseguradora de

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD

Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD Soluciones Integrales de Tecnología para su Empresa SISTEMA DE GESTION INTEGRAL DE PROCESOS & BALANCED SCORECARD Marzo 2010 RESUMEN CBM ASOCIADOS CIA. LTDA. 9 años en el mercado del software nacional Computer

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

C O N S I D E R A N D O

C O N S I D E R A N D O EDUARDO ROMERO RAMOS, Secretario de la Función Pública, con fundamento en lo dispuesto por los artículos 37, fracciones I, II, III y XXV de la Ley Orgánica de la Administración Pública Federal; 11 y 61

Más detalles

Guía de Auditoria. Ejemplo: Fecha Hoja DD MM AA de. Logo y nombre de la empresa que realiza la auditoría. Actividad que Ref.

Guía de Auditoria. Ejemplo: Fecha Hoja DD MM AA de. Logo y nombre de la empresa que realiza la auditoría. Actividad que Ref. Logo y nombre de la empresa que realiza la auditoría. Actividad que Ref. será evaluada Guía de Auditoria. Nombre de la empresa y área de sistemas auditada. Procedimientos de auditoria Herramientas que

Más detalles

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL

Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL RIESGO OPERATIVO Riesgo de Mercado Riesgo de Crédito Reputacion al Riesgo Operacion al Riesgo de Liquidez Riesgo Legal Lavado de Activos

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

Gestión de Proyectos Software

Gestión de Proyectos Software Gestión de Proyectos Software Tema 5. Riesgos Riesgos de Seguridad - MAGERIT Carlos Blanco Universidad de Cantabria Objetivos Profundizar en la Ges0ón de Riesgos que afectan a la dimensión de Seguridad

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

MÁSTER EN DIRECCIÓN Y GESTIÓN DE PROYECTOS

MÁSTER EN DIRECCIÓN Y GESTIÓN DE PROYECTOS MÁSTER EN DIRECCIÓN Y GESTIÓN DE PROYECTOS IMPARTIDO POR Fundación Aucal TÍTULO OTORGADO POR Título Propio de la Universidad Francisco de Vitoria MODALIDAD On Line COLABORACIONES Universidad Francisco

Más detalles

Cumplimiento de la LOPD

Cumplimiento de la LOPD Cumplimiento de la LOPD con e-pulpo ÍNDICE 1 Introducción... 3 2 La Ley Orgánica 15/1999 (LOPD)... 4 3 El Real Decreto 1720/2007... 6 4 Implantación... 8 4.1 Porqué implantar la LOPD?... 8 4.2 Cómo evitar

Más detalles

Políticas y Metodologías para la. Administración de Riesgos

Políticas y Metodologías para la. Administración de Riesgos Políticas y Metodologías para la Administración de Riesgos Administración de Riesgos Órganos Facultados El Consejo de Administración es el órgano máximo para la administración de Riesgos de la Operadora,

Más detalles

PROGRAMACIÓN Técnico en Administración de Sistemas Informáticos en Red. Formación en Centros de Trabajo Curso 2014/15. María Eugenia García Merino

PROGRAMACIÓN Técnico en Administración de Sistemas Informáticos en Red. Formación en Centros de Trabajo Curso 2014/15. María Eugenia García Merino PROGRAMACIÓN Técnico en Administración de Sistemas Informáticos en Red Formación en Centros de Trabajo Curso 2014/15 María Eugenia García Merino I.E.S. Guadalpeña Departamento de Informática 1 ÍNDICE 1.-

Más detalles

Sistemas de Pagos de Latinoamérica y el Caribe

Sistemas de Pagos de Latinoamérica y el Caribe Continuidad de Negocio en los Sistemas de Pagos de Latinoamérica y el Caribe Evaluación del estado actual Banco de México Septiembre, 2008 Agradecimientos El Banco de México agradece a los Bancos Centrales

Más detalles

Política de Seguridad de la Información

Política de Seguridad de la Información Política de Seguridad de la Información Índice 1 APROBACIÓN Y ENTRADA EN VIGOR... 3 2 OBJETIVOS Y MISIÓN DEL AYUNTAMIENTO... 3 3 OBJETIVOS Y MISIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. 3 4 ALCANCE...

Más detalles

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA POLÍTICAS INSTITUCIONALES DE SEGURIDAD EN CÓMPUTO DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA APARTADO I RESTRICCIONES GENERALES DEL USO DE LA PLATAFORMA TECNOLÓGICA DE LA UNIVERSIDAD AUTÓNOMA DE CHIHUAHUA

Más detalles

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD Rafael Bernal, CISA Universidad Politécnica de Valencia El Reglamento de medidas de seguridad exige para los ficheros de nivel

Más detalles

Pérdida de Datos de Negocio. Fallo Crítico del Sistema. Pérdida de datos de Clientes. Fallos significativos del Sistema. Fallos menores del Sistema

Pérdida de Datos de Negocio. Fallo Crítico del Sistema. Pérdida de datos de Clientes. Fallos significativos del Sistema. Fallos menores del Sistema Qué implica el Software Ilegal? Vamos a entendernos: No se trata de usar un software equis, pagando... o usar el mismo software, sin pagar. El tema es algo más complicado. Usar software sin licencia, software

Más detalles

La ventaja competitiva de certificarse en seguridad

La ventaja competitiva de certificarse en seguridad especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director

Más detalles