TEAXUL S.A. Y CESCA AUDITORIAS

Documentos relacionados
INTERVENTORIA ENFOCADA A LA INFORMATICA EN REDES Y COMUNICACIONES DE LA UNAD SEDE REGIONAL.

Base7Germany GmbH. Anexo 1 Medidas técnicas y organizativas

IMPLANTACIÓN DE SISTEMAS OPERATIVOS

Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información

Titulación: Ingeniero en Informática. Curso 5º - Cuatrimestral ( ) Javier Jarauta Sánchez José María Sierra Rafael Palacios Hielscher

EL PLAN DIRECTOR DE SEGURIDAD DE LA SUBDIRECCIÓN GENERAL DE INFORMÁTICA

COBIT 5. Gestión / Entrega, Servicio y Soporte (DSS) 05 Gestionar Servicios de Seguridad. Juan Antonio Vásquez

31/10/2007 INTRODUCCIÓN. LA AUDITORÍA FÍSICA Ing. Laura Bazán Díaz LA SEGURIDAD FÍSICA ANTES

Hacia una manera segura de proteger datos personales

Seguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad

PCI DSS en la Nube Javier Roberto Amaya Madrid Consultor en Seguridad QSA, ISO27001 L.A., ISO9001 L.A. Internet Security Auditors

Elementos vulnerables en el sistema informático: hardware, software y datos. Luis Villalta Márquez

Septiembre Enrique Witte Consultor ArCERT Coordinación n de Emergencias en Redes Teleinformáticas Oficina Nacional del Tecnologías Informáticas

SEGURIDAD, NUEVOS RETOS

TRANSFERENCIA INTERNACIONAL DE DATOS Y CUMPLIMIENTO DE PCI DSS CON PROVEEDORES EN LA NUBE JAVIER ROBERTO AMAYA MADRID

Norma IRAM-ISO/IEC 27001

Auditoría y Seguridad Informática

Master en Implantación, Gestión y Auditoría Sistemas de Protección de datos (LOPD)

MÓDULO VIII. La Auditoría Informática en el entorno del Compliance. 27 de Marzo de 2017 Curso Superior en Corporate Compliance.

AUDITORIA DE HARDWARE Y SOFTWARE EN ESTACIONES DE TRABAJO.

MEMORIA DE GESTIÓN, 2004

SEGURIDAD Y ALTA DISPONIBILIDAD. Nombre: Adrián de la Torre López

Proyecto Fin de Carrera

Objetivos. Saber que es la Seguridad Informática. Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática

Normas de Seguridad. Normativa de generación de copias de seguridad y recuperación de información

INDICE DE CONTENIDOS

Planificación y organización del trabajo

Qué es la seguridad informática?

ÍNDICE CAPÍTULO I RIESGOS ESPECÍFICOS EN EL SECTOR DE LA CONSTRUCCIÓN Y SU PREVENCIÓN OBRA DE CONSTRUCCIÓN Fases de la obra...

Ejemplo de auditoría de sistemas

Implementación de sistemas de información

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

PROCESO DE AUDITORIA INTEGRAL. AudiLacteos S.A.S. Equipo Auditor EQUIPO 3 Blanca Duque. Yeimy L Escobar R. Pablo A. Molina R. Procesos auditados

Auditorías de Seguridad de la Información

NUEVO ESQUEMA FSSC Principales cambios y desafíos. Ing. GERARDO BLASCO Tasker Consultores / UNQ

ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORÍA INFORMÁTICA

Gestión de la seguridad de la información: UNE 71502, ISO Antonio Villalón Huerta

Cada día se realizan copias de seguridad automatizadas y el lugar de los servidores es monitorizado 24/7 y protegidos ante intrusos y accidentes.

PROCEDIMIENTO IDENTIFICACIÓN Y EVALUACIÓN DE ASPECTOS AMBIENTALES

Cómo plantear un proyecto de Sistema de Seguridad de la Información de forma simple y adaptado a las necesidades de su empresa o departamento.

Videovigilancia y Seguridad Privada

Seguridad de la información: consideraciones básicas en la informática

PROGRAMA/TEMARIO DEL ESQUEMA CONTENIDO

Este folio es consecutivo en orden alfabético por empresa: 25795

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

Dirección Operativa de Procura y Abastecimiento Coordinación de Desarrollo y Relación con Proveedores y Contratistas

1 /Procesos de Gestión Documental en el marco de la LGA

2.3. Plan de contingencia

POLITICAS Y SEGURIDAD DE LA INFORMACION

P.O Tratamiento e intercambio de Información entre Operador del Sistema, encargados de la lectura, comercializadores y resto de agentes

El Sector Eléctrico ante el Efecto Marcos López Ruiz Coordinador del Proyecto E2000 del Grupo ENDESA

Métrica v2.1 - Fase 0: Plan de Sistemas de Información. Enginyeria del Software. Curs 99/2000. Francisca Campins Verger

La adopción del Esquema Nacional de Seguridad por el Ayuntamiento de Terrassa. Administración electrónica y seguridad de la información

II Encuentro con el SECTOR PÚBLICO DINTEL 2010 "La Sostenibilidad del Ecosistema TIC de las Administraciones Públicas

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

INFORME DE AUDITORIA INTERNA DEL RESPONSABLE DE GESTIÓN AMBIENTAL UNHSA. Mª Carmen Laura Mateo FECHA DE EMISIÓN DEL INFORME: 16/01/2017.

Contenidos recomendables de un Plan de Seguridad y Salud

Plan de Seguridad de la Información de de Abril de de 2008

PROTECCIÓN DE DATOS - ADECUACIÓN SITIOS WEB POLÍTICAS DE USO

1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...

Lineamientos para auditoría interna de calidad

Quiénes somos: SGS Y NORMA 4

CURSO DE ESPECIALIZACIÓN EN PROTECCIÓN DE DATOS

*[ Adecuación al Esquema Nacional de Seguridad: Un Enfoque Integral ]

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Obligaciones de control para Proveedores externos

JORNADA SISTEMA DE GESTIÓN INTEGRADO DE CALIDAD, MEDIO AMBIENTE Y PREVENCIÓN

Guía del Curso Técnico en Seguridad Informática

PROGRAMA PARA TÉCNICOS SUPERIORES EN PREVENCIÓN DE RIESGOS LABORALES TEMAS COMUNES A TODAS LAS OPCIONES Tema 1. La Constitución Española: Principios

Seguridad. Centro Asociado de Melilla

Auditoría Técnica de Seguridad de Aplicaciones Web

Guía para la valoración de Riesgo y generación de matrices

Sistemas de Protección Contra Incendio: Aplicación de Normas NFPA 72, 13, 20 y 25 Relator: Juan Ramón Flores, I. Mgtr.

PLAN DE CONTINGENCIA Y POLITICAS DE SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN DE LA INSTITUCIÓN TECNOLOGICA COLEGIO MAYOR DE BOLIVAR OBJETIVO

ÍNDICE. Alcance...2. Objetivos...3. Metodología Checklist...4. Checklist de Repositorio...5. Conclusiones Bibliografía...

Política de Uso Aceptable Julio 2016

POLITICAS DE SEGURIDAD DE LA INFORMACION PARA PROVEEDORES Y CONTRATISTAS GESTION TECNOLOGICA Y DISEÑO

Punto 5 Seguridad Física y ambiental. Juan Luis Cano

Bloque I Criptografía

REVISIÓN DOCUMENTAL DE LA INFRAESTRUCTURA TECNOLÓGICA

Sistema de Gestión de la Seguridad de la Información.

Máster en Gestión Integrada de los Sistemas de Calidad, Medioambiente y Prevención de Riesgos Laborales

Preparación para Solvencia II. Sistema de Gobierno. Jornada de APISE sobre Gobierno Corporativo Madrid, 14 de mayo de 2013

TEMARIOS LIBRES (LOGSE) INSTALACIONES ELECTROTÉCNICAS IE3 PRIMER CURSO

Auditorías Integradas

GESTIÓN PREVENTIVA. Plan de prevención

Contenido. Este documento impreso se considera copia no controlada

Guía del Curso Máster en Gestión Integrada de los Sistemas de Calidad, Medioambiente y Prevención de Riesgos Laborales

Gestión y consultoría en Protección Civil y Seguridad e Higiene Laboral para Hoteles Ocean Mayan

TRES AÑOS DE EXPERIENCIA de CERTIFICACIÓN OHSAS 18001:2007 EN UN HOSPITAL PÚBLICO

Normas de Seguridad. Normativa de protección de equipos frente a código dañino

Transcripción:

TEAXUL S.A. Y CESCA AUDITORIAS 1

2 TEAXUL S.A. Y CESCA PRESENTACIÓN José Luis Rivas LópezL jlrivas@teaxul.com Carles Fragoso i Mariscal cfragoso@cesca.es

3 Índice Introducción Fases Áreas Evaluación de riesgos Fuentes Tipos Física Lógica Desarrollo de aplicaciones Comunicaciones y redes Certificaciones

4 Introducción No se conocen datos completos y fiables sobre el nivel de protección de las entidades en España Una frase que describe el estado actual: No pasan más cosas porque Dios es bueno No conocemos la mayor parte de las que pasan, porque ya se ocupan las entidades afectadas de que no se difundan

5 Fases (I) Nº 1 2 3 4 FASE Concreción de los objetivos y delimitación del alcance y profundidad de la auditoria. Análisis de posibles fuentes y recopilación de información. Determinación del plan de trabajo y de los recursos y plazos. Adaptación de cuestionarios.

6 Fases (II) Nº 5 6 7 8 Realización de entrevistas y pruebas Análisis de resultados y valoración de riesgos Presentación y discusión del informe provisional Informe definitivo FASE

7 Áreas (I) Controles directivos, es decir, los fundamentos de la seguridad: políticas, planes, funciones, existencia y funcionamiento de algún comité. Desarrollo de políticas: procedimientos, posibles estándares, normas y guías, sin ser suficiente que existan estas últimas

8 Áreas (II) Marco jurídico aplicable Amenazas físicas externas: inundaciones, incendios, terremotos, etc. Control de acceso adecuado tanto físicos como lógicos

9 Áreas (III) Protección de datos. Aplicación de la LOPD. Comunicaciones y redes: topología, cifrado, etc. Desarrollo de aplicaciones en un entorno seguro: incorporen controles en los productos desarrollados y que éstos resulten auditables.

10 Evaluación de riesgos (I) Se trata de identificar los riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen Para evaluarlos habrá que considerar: el tipo de información almacenada, procesada y transmitida, la criticidad de las aplicaciones, la tecnología usada, marco legal aplicable, etc.

11 Evaluación de riesgos (II) El factor humano es el principal riesgo a considerar, salvo excepciones (sistemas automatizados) Habrá que considerar si la seguridad es realmente una preocupación corporativa, es decir, si tienen una cultura de la seguridad

12 Evaluación de riesgos (III) Una vez identificados y medidos los riesgos, lo mejor será eliminarlos y si no se pudiese reducirlos al máximo. Otra posibilidad es asumir los riesgos. Problemas: Las medidas deberán considerarse como inversiones en seguridad, aunque en algunos casos es difícil comprobar su rentabilidad.

13 Fuentes (I) Políticas, estándares normas y procedimientos. Planes de seguridad. Contratos, pólizas de seguros. Organigrama y descripción de funciones. Documentación de aplicaciones Descripción de dispositivos relacionados con la seguridad

14 Fuentes (II) Manuales técnicos de sistemas operativos o de herramientas. Inventarios: de soportes, de aplicaciones Topología de redes Planos de instalaciones Registros: de problemas, de cambios, de visitas, de accesos lógicos producidos.

15 Fuentes (III) Entrevistas a diferentes niveles Ficheros Programas La observación Documentación de planes de continuidad y sus pruebas Informes de suministradores o consultores

16 Seguridad Física (I) Se evaluarán las protecciones físicas de datos, programas, instalaciones, equipos, redes, soportes y sobre todo a las personas. Las amenazas pueden ser muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios, inundaciones, averías importantes, derrumbamientos, explosiones, etc.

17 Seguridad Física (II) Desde la perspectiva de las protecciones físicas: o Ubicación de los servidores o cualquier elemento a proteger (portátiles, terminales en zonas de paso, etc). o Estructura, diseño, construcción y distribución de los edificios o Riesgos a los que están expuestos, tanto por agentes externos, causales como por accesos físicos no controlados.

18 Seguridad Física (III) o Controles preventivos. o Control del acceso o Protección de los soportes magnéticos en cuanto a acceso, almacenamiento y posible transporte. Todos los puntos anteriores pueden estar cubiertos por seguros.

19 Seguridad Lógica Es necesario verificar que cada usuario sólo pueda acceder a los recursos a los que le autorice el propietario. Será necesario revisar cómo se identifican y sobre todo autentican los usuarios, cómo han sido autorizados y por quién, y qué ocurre cuando se producen transgresiones o intentos: quién se entera y cuándo y que se hace

20 Desarrollo de aplicaciones (I) El pase al entorno de explotación real debe estar controlado, no descartándose la revisión de programas por parte de técnicos independientes, o bien por auditores preparados, a fin de determinar la ausencia de caballos de Troya, bombas lógicas, puertas traseras, además de la calidad

21 Desarrollo de aplicaciones (II) La protección de los programas: sean propiedad de la entidad, realizados por el personal propio o contratado su desarrollo a terceros, como el uso adecuado de aquellos programas de los que se tenga licencia de uso.

22 Comunicaciones y redes (I) En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si así se ha especificado.

23 Comunicaciones y redes (II) En función de la clasificación de los datos se habrá previsto el uso del cifrado. Los usuarios tendrán restricción de accesos según dominios, únicamente podrán cargar los programas autorizados, y sólo podrán variar las configuraciones y componentes los técnicos autorizados

24 Comunicaciones y redes (III) Existirán protecciones frente accesos sobre todo externos, así como frente a virus por diferentes vías de infección, incluyendo correo-e. Se revisarán especialmente las redes cuando existan repercusiones económicas porque se trate de transferencia de fondos o comercio-e.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback