seguridaddesistemas -d+¡a01

11
Las operaciones de negocios y su administración dependen en gran parte de la tecnología, específicamente de las tecnologías de información (TI) (IT Information Technologies). Por lo tanto, las estrategias de TI deben estar perfectamente alineadas con las estrategias de negocio. La tendencia actual esta orientada al incremento gradual del soporte que las TIs brindan a las estrategias de negocio. Esto genera un alto grado de dependencia. Conforme las empresas alcanzan mayores grados de madurez, necesitan implementar dentro de su cultura de negocios, el aseguramiento de los sistemas de información y el Gobierno de TI (IT Governance). Esto significa, la adopción de políticas y normativas generalmente aceptadas, mejores prácticas, para incrementar el aseguramiento de uno de sus mayores capitales, la información relativa a sus negocios . La administración del riesgo operativo y del riesgo financiero regularán las estrategias de negocio. La administración del riesgo tecnológico regulará el aseguramiento de los sistemas de información. 13/07/2012 1 Curso: Seguridad de Sistemas Seguridad de Sistemas Justificación del curso

Upload: juan-carlos-solares-rodriguez

Post on 16-Aug-2015

213 views

Category:

Documents


1 download

DESCRIPTION

Parte uno del documento de seguridad de sistemas.

TRANSCRIPT

Lasoperacionesdenegociosysuadministracindependenengranparte delatecnologa,especficamentedelastecnologasdeinformacin(TI) (IT InformationTechnologies). Porlo tanto, las estrategias de TIdeben estar perfectamente alineadas con las estrategias de negocio. Latendenciaactualestaorientadaalincrementogradualdelsoporteque las TIs brindan a las estrategias de negocio. Esto genera un alto grado de dependencia. Conformelasempresasalcanzanmayoresgradosdemadurez,necesitan implementardentrodesuculturadenegocios,elaseguramientodelos sistemasdeinformacinyelGobiernodeTI(ITGovernance).Esto significa,laadopcindepolticasynormativasgeneralmenteaceptadas, mejoresprcticas,paraincrementarelaseguramientodeunodesus mayores capitales, la informacin relativa a sus negocios. Laadministracindelriesgooperativoydelriesgofinancieroregularn lasestrategiasdenegocio.Laadministracindelriesgotecnolgico regular el aseguramiento de los sistemas de informacin. 13/07/20121Curso: Seguridad de Sistemas Seguridad de Sistemas Justificacin del curso Enlaactualidadlastecnologasdeinformacin(TI)conformanelapoyo ms importante en cualquier tipo de empresa. Elaseguramientodelossistemasdeinformacinesunprocesocontinuo, conformevaranyseincrementanlasestrategiasdenegocio,aunadoa lasamenazasyvulnerabilidadesquesepresentanenelmercado,se elevarn los niveles de riesgo inherente a la utilizacin de tecnologa. Deacuerdoconloanterior,esnecesariobrindaralestudiantelos conocimientossobrelasprincipalesmetodologasparaelaseguramiento de los sistemas de informacin y la implementacin del Gobierno de TI. 13/07/20122Curso: Seguridad de Sistemas Seguridad de Sistemas Descripcin del curso Proporcionaralestudiantelosconocimientosesencialesquelesirven paraadministrardeformaeficienteelriesgotecnolgico,enaquellas empresasqueutilizanelprocesamientoelectrnicodedatospara procesar la informacin econmica, contable y de toma de decisiones. Estoimplica,lacapacidadderealizardiagnsticos,desarrollarproyectos de implementacin de polticas, normativas y mejores prcticas que estn correctamente alineadas a las estrategias de negocio y ala situacin real de las empresas. 13/07/20123Curso: Seguridad de Sistemas Seguridad de Sistemas Objetivos generales del curso UnidadI:SeguridadInformtica:Conceptos,Finalidades,Fundamentos, Objetivos, Metodologas, Etapas de Madurez. UnidadII:SeguridadInformticayRiesgosdeTI:Procesos,CamposdeAccin, Relacin con otras ciencias. Riesgos. Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI. UnidadIV:Metodologas,polticasynormativas,Organizacionesinternacionales, Mejores practicas, Hacking tico, Herramientas administrativas. UnidadV:mbitosdecontrolfsicoylgico,Controles,AseguramientodelData Center, Aseguramiento de la calidad de los servicios,Estrategias tecnolgicas. UnidadVI:Anlisisforenseinformtico:Manejodeincidentes,Marconormativo, Metodologas, Experiencias concretas, Evidencia digital. UnidadVII:Logstica:Tomadedecisionescriticas,Manejodepresupuestos, Dificultades,ReseasobreBCP&DRP,RetosyproyeccionesdeTI, Especializaciones. 13/07/20124Curso: Seguridad de Sistemas Seguridad de Sistemas Relacin de Contenidos programticos Loquenosepuedemedir,nosepuedemejorar,almenos por metodologas cuantitativas LosmtodosdemedicinutilizadosenIngeniera,debenser precisos,concisosyconcretos,paraquepuedanconvertirseen poderosasherramientas,tantoparalaresolucindeproblemas, como para la optimizacin de procesos. 13/07/20125Curso: Seguridad de Sistemas Seguridad de Sistemas Principios de Ingeniera 13/07/20126Curso: Seguridad de Sistemas Conceptos Bsicos Fase I: Auditora Interna Fase IV: Corporativos Fase II: Auditora Externa Fase III: Regulatorios Fases de la Seguridad Informtica Fase I: Auditora Interna Ensuscomponentesbsicos,aquellaentidadinternaenlaOrganizacin, querealizalasfuncionesadministrativasdelcontrolysupervisin, especialmentedelosgastos(ej.DepartamentodeContabilidad,Jefede Administracin). Ensuscomponentesavanzados,aquellaentidadinternaenla Organizacin, que realiza funciones de Auditora, implementando aquellos controles necesarios. Fase II: Auditora Externa AquellaentidadexternaalaOrganizacin,querealizafuncionesde Auditora,realizandolasobservacionesyrecomendacionesresultantes,a la Gerencia de la Organizacin. Puedepresentarsedemaneraopcionalodemaneramandatoria(casode los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras). Definicin de Auditora de Sistemas: Elexamenorevisindecarcterobjetivo(independiente),critico (evidencia),sistemtico(normas),selectivo(muestras)delaspolticas, normas,prcticas,funciones,procesos,procedimientoseinformes relacionados con los sistemas de informacin computarizados. 13/07/20127Curso: Seguridad de Sistemas Conceptos Bsicos Fases de la Seguridad Informtica Fase III: Regulatorios Aquellos regulaciones que son establecidas por medio de: Legislatorios normales: Leyesdeaplicacinanivelnacional,regionalointernacional (ej.Cdigode Trabajo, Ley de Acceso a la Informacin Pblica) Legislatoriospor Mandato: Leyesdeaplicacinespecialmentedirigidasalsectordenegociosalquese dedica la Organizacin (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y Contrataciones del Estado) Normativas generalmente aceptadas: Aquellasnormativasplenamenteestablecidasanivelnacionalointernacional, quesehanconvertidoenelestndardefacto,paralaimplementacinde polticas,procesosyprocedimientos(ej.ISO/9001-EstndaresdeCalidad, COBIT Auditora de Sistemas, ITIL Procesos y Procedimientos) Fase IV: Corporativos AquellasOrganizacionesquepertenecenaunCorporativodeordensuperior, seaanivelnacionalointernacional,regularmenterealizanlaimplementacin depolticas,procesosyprocedimientosInternos,queseoriginandesdela Casa Matriz. EstasimplementacionesregularmenteestnregidasenbaseaPolticas Globales,lascualessetropicalizanparaelmbitodeaplicacindecadapas (ej. Polticas Globales de Gestin de Talento Humano) 13/07/20128Curso: Seguridad de Sistemas Conceptos Bsicos Fases de la Seguridad Informtica Esquema Prohibitivo Caractersticas: Bastante laborioso Bastante desgastante Proceso a largo plazo Alta periodicidad Orientacin: Listas negras Listas de prohibiciones Listas de actividades Aplicaciones ejemplo: RegulareltiempodenavegacinenlaWeb,alosusuariosfinales, estableciendohorariosparaelusoderedessocialesyserviciospblicos (Facebook, BlogSpot, WordPress, etc) Emisindecorreos electrnicosalexterior,reguladosporeldominiodel destinatario,evitandoelenvoadominiosdecorreoelectrnicopblicos (Hotmail, Gmail, Yahoo, etc) 13/07/20129Curso: Seguridad de Sistemas Conceptos Bsicos Esquemas de Aseguramiento de Informacin Establecer elementos de juicio Prohibir TODO lo necesario Evaluar Esquema Permisivo Caractersticas: Bastante laborioso Poco desgastante Proceso a corto o mediano plazo Baja periodicidad Orientacin: Hardening de servicios Restriccin de recursos compartidos Focalizar servicios de telecomunicaciones Asegurar la conectividad Aplicaciones ejemplo: Hardeningdeserviciostecnolgicos,alestableceraquellasfunci onesde BasesdeDatos,sistemasOperativos,etc,quedebenpermanecerhabilitadas y/o reguladas, deshabilitando el resto Restriccinderecursoscompartidos,comoCarpetas,Impresoras,Multi-Funcionales,etc,quedebenestardisponiblessolamenteparaaquellos usuarios que estn autorizados para utilizarlos 13/07/201210Curso: Seguridad de Sistemas Conceptos Bsicos Esquemas de Aseguramiento de Informacin Esquema Permisivo PermitirSOLAMENTE lo necesario Prohibir TODO Establecer elementos de juicio Evaluar Propuestas de Prcticas a desarrollaral finalizar este Da: 1. Desarrollo de Foros sobre los siguientes temas: DependenciadelasempresassobrelasTICs(Tecnologasde InformacinyComunicaciones),factoresquegeneranALZASendichas dependencias Importanciadelconocimientoyexperiencia,sobreSeguridadde Sistemas, Auditora de Sistemas, Riesgo Tecnolgico Reconocimiento de las Fases de la Seguridad Informtica 2. Propuestas de Ante-Proyectos: PresentarpropuestasdeAnte-Proyectosrelacionadosconaplicacindel Esquema PROHIBITIVO de Aseguramiento de Informacin PresentarpropuestasdeAnte-Proyectosrelacionadosconaplicacindel Esquema PERMISIVO de Aseguramiento de Informacin 13/07/201211Curso: Seguridad de Sistemas Prcticas