Las operaciones de negocios y su administración dependen en gran parte de la tecnología, específicamente de las tecnologías de información (TI) (IT – Information Technologies). Por lo tanto, las estrategias de TI deben estar perfectamente alineadas con las estrategias de negocio.

La tendencia actual esta orientada al incremento gradual del soporte que las TIs brindan a las estrategias de negocio. Esto genera un alto grado de dependencia.

Conforme las empresas alcanzan mayores grados de madurez, necesitan implementar dentro de su cultura de negocios, el aseguramiento de los sistemas de información y el Gobierno de TI (IT Governance). Esto significa, la adopción de políticas y normativas generalmente aceptadas, mejores prácticas, para incrementar el aseguramiento de uno de sus mayores capitales, la información relativa a sus negocios.

La administración del riesgo operativo y del riesgo financiero regularán las estrategias de negocio. La administración del riesgo tecnológico regulará el aseguramiento de los sistemas de información.

20/07/2012 1 Curso: Seguridad de Sistemas

Seguridad de Sistemas Justificación del curso

En la actualidad las tecnologías de información (TI) conforman el apoyo más importante en cualquier tipo de empresa.

El aseguramiento de los sistemas de información es un proceso continuo, conforme varían y se incrementan las estrategias de negocio, aunado a las amenazas y vulnerabilidades que se presentan en el mercado, se elevarán los niveles de riesgo inherente a la utilización de tecnología.

De acuerdo con lo anterior, es necesario brindar al estudiante los conocimientos sobre las principales metodologías para el aseguramiento de los sistemas de información y la implementación del Gobierno de TI.

20/07/2012 2 Curso: Seguridad de Sistemas

Seguridad de Sistemas Descripción del curso

Proporcionar al estudiante los conocimientos esenciales que le sirven para administrar de forma eficiente el riesgo tecnológico, en aquellas empresas que utilizan el procesamiento electrónico de datos para procesar la información económica, contable y de toma de decisiones.

Esto implica, la capacidad de realizar diagnósticos, desarrollar proyectos de implementación de políticas, normativas y mejores prácticas que estén correctamente alineadas a las estrategias de negocio y a la situación real de las empresas.

20/07/2012 3 Curso: Seguridad de Sistemas

Seguridad de Sistemas Objetivos generales del curso

Unidad I: Seguridad Informática: Conceptos, Finalidades, Fundamentos, Objetivos, Metodologías, Etapas de Madurez.

Unidad II: Seguridad Informática y Riesgos de TI: Procesos, Campos de Acción, Relación con otras ciencias. Riesgos.

Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI.

Unidad IV: Metodologías, políticas y normativas, Organizaciones internacionales, Mejores practicas, Hacking ético, Herramientas administrativas.

Unidad V: Ámbitos de control físico y lógico, Controles, Aseguramiento del Data Center, Aseguramiento de la calidad de los servicios, Estrategias tecnológicas.

Unidad VI: Análisis forense informático: Manejo de incidentes, Marco normativo, Metodologías, Experiencias concretas, Evidencia digital.

Unidad VII: Logística: Toma de decisiones criticas, Manejo de presupuestos, Dificultades, Reseña sobre BCP & DRP, Retos y proyecciones de TI, Especializaciones.

20/07/2012 4 Curso: Seguridad de Sistemas

Seguridad de Sistemas Relación de Contenidos programáticos

“Lo que no se puede medir, no se puede mejorar, al menos por metodologías cuantitativas”

Los métodos de medición utilizados en Ingeniería, deben ser precisos, concisos y concretos, para que puedan convertirse en poderosas herramientas, tanto para la resolución de problemas, como para la optimización de procesos.

20/07/2012 5 Curso: Seguridad de Sistemas

Seguridad de Sistemas Principios de Ingeniería

20/07/2012 6 Curso: Seguridad de Sistemas

Conceptos Básicos

Fase I:

Auditoría Interna

Fase IV:

Corporativos

Fase II:

Auditoría Externa

Fase III:

Regulatorios

Fases de la Seguridad

Informática

Fase I: Auditoría Interna

En sus componentes básicos, aquella entidad interna en la Organización, que realiza las funciones administrativas del control y supervisión, especialmente de los gastos (ej. Departamento de Contabilidad, Jefe de Administración).

En sus componentes avanzados, aquella entidad interna en la Organización, que realiza funciones de Auditoría, implementando aquellos controles necesarios.

Fase II: Auditoría Externa

Aquella entidad externa a la Organización, que realiza funciones de Auditoría, realizando las observaciones y recomendaciones resultantes, a la Gerencia de la Organización.

Puede presentarse de manera opcional o de manera mandatoria (caso de los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras).

Definición de Auditoría de Sistemas:

El examen o revisión de carácter objetivo (independiente), critico (evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados.

20/07/2012 7 Curso: Seguridad de Sistemas

Conceptos Básicos Fases de la Seguridad Informática

Fase III: Regulatorios

Aquellos regulaciones que son establecidas por medio de:

Legislatorios normales:

Leyes de aplicación a nivel nacional, regional o internacional (ej. Código de Trabajo, Ley de Acceso a la Información Pública)

Legislatorios por Mandato:

Leyes de aplicación especialmente dirigidas al sector de negocios al que se dedica la Organización (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y Contrataciones del Estado)

Normativas generalmente aceptadas:

Aquellas normativas plenamente establecidas a nivel nacional o internacional, que se han convertido en el estándar de facto, para la implementación de políticas, procesos y procedimientos (ej. ISO/9001 - Estándares de Calidad, COBIT – Auditoría de Sistemas, ITIL – Procesos y Procedimientos)

Fase IV: Corporativos

Aquellas Organizaciones que pertenecen a un Corporativo de orden superior, sea a nivel nacional o internacional, regularmente realizan la implementación de políticas, procesos y procedimientos Internos, que se originan desde la Casa Matriz.

Estas implementaciones regularmente están regidas en base a Políticas Globales, las cuales se tropicalizan para el ámbito de aplicación de cada país (ej. Políticas Globales de Gestión de Talento Humano)

20/07/2012 8 Curso: Seguridad de Sistemas

Conceptos Básicos Fases de la Seguridad Informática

Esquema Prohibitivo

Características:

Bastante laborioso

Bastante desgastante

Proceso a largo plazo

Alta periodicidad

Orientación:

Listas negras

Listas de prohibiciones

Listas de actividades

Aplicaciones ejemplo:

Regular el tiempo de navegación en la Web, a los usuarios finales, estableciendo horarios para el uso de redes sociales y servicios públicos (Facebook, BlogSpot, WordPress, etc)

Emisión de correos electrónicos al exterior, regulados por el dominio del destinatario, evitando el envío a dominios de correo electrónico públicos (Hotmail, Gmail, Yahoo, etc)

20/07/2012 9 Curso: Seguridad de Sistemas

Conceptos Básicos Esquemas de Aseguramiento de Información

Establecer elementos de

juicio

Prohibir TODO lo necesario

Evaluar

Esquema Permisivo

Características:

Bastante laborioso

Poco desgastante

Proceso a corto o mediano plazo

Baja periodicidad

Orientación:

Hardening de servicios

Restricción de recursos compartidos

Focalizar servicios de telecomunicaciones

Asegurar la conectividad

Aplicaciones ejemplo:

Hardening de servicios tecnológicos, al establecer aquellas funciones de Bases de Datos, sistemas Operativos, etc, que deben permanecer habilitadas y/o reguladas, deshabilitando el resto

Restricción de recursos compartidos, como Carpetas, Impresoras, Multi-Funcionales, etc, que deben estar disponibles solamente para aquellos usuarios que estén autorizados para utilizarlos

20/07/2012 10 Curso: Seguridad de Sistemas

Conceptos Básicos Esquemas de Aseguramiento de Información

Esquema Permisivo

Permitir SOLAMENTE lo

necesario

Prohibir TODO

Establecer elementos de

juicio

Evaluar

Propuestas de Prácticas a desarrollar al finalizar este Día:

1. Desarrollo de Foros sobre los siguientes temas:

Dependencia de las empresas sobre las TICs (Tecnologías de Información y Comunicaciones), factores que generan ALZAS en dichas dependencias

Importancia del conocimiento y experiencia, sobre Seguridad de Sistemas, Auditoría de Sistemas, Riesgo Tecnológico

Reconocimiento de las Fases de la Seguridad Informática

2. Propuestas de Ante-Proyectos:

Presentar propuestas de Ante-Proyectos relacionados con aplicación del Esquema PROHIBITIVO de Aseguramiento de Información

Presentar propuestas de Ante-Proyectos relacionados con aplicación del Esquema PERMISIVO de Aseguramiento de Información

20/07/2012 11 Curso: Seguridad de Sistemas

Prácticas