Lasoperacionesdenegociosysuadministracindependenengranparte delatecnologa,especficamentedelastecnologasdeinformacin(TI) (IT InformationTechnologies). Porlo tanto, las estrategias de TIdeben estar perfectamente alineadas con las estrategias de negocio. Latendenciaactualestaorientadaalincrementogradualdelsoporteque las TIs brindan a las estrategias de negocio. Esto genera un alto grado de dependencia. Conformelasempresasalcanzanmayoresgradosdemadurez,necesitan implementardentrodesuculturadenegocios,elaseguramientodelos sistemasdeinformacinyelGobiernodeTI(ITGovernance).Esto significa,laadopcindepolticasynormativasgeneralmenteaceptadas, mejoresprcticas,paraincrementarelaseguramientodeunodesus mayores capitales, la informacin relativa a sus negocios. Laadministracindelriesgooperativoydelriesgofinancieroregularn lasestrategiasdenegocio.Laadministracindelriesgotecnolgico regular el aseguramiento de los sistemas de informacin. 13/07/20121Curso: Seguridad de Sistemas Seguridad de Sistemas Justificacin del curso Enlaactualidadlastecnologasdeinformacin(TI)conformanelapoyo ms importante en cualquier tipo de empresa. Elaseguramientodelossistemasdeinformacinesunprocesocontinuo, conformevaranyseincrementanlasestrategiasdenegocio,aunadoa lasamenazasyvulnerabilidadesquesepresentanenelmercado,se elevarn los niveles de riesgo inherente a la utilizacin de tecnologa. Deacuerdoconloanterior,esnecesariobrindaralestudiantelos conocimientossobrelasprincipalesmetodologasparaelaseguramiento de los sistemas de informacin y la implementacin del Gobierno de TI. 13/07/20122Curso: Seguridad de Sistemas Seguridad de Sistemas Descripcin del curso Proporcionaralestudiantelosconocimientosesencialesquelesirven paraadministrardeformaeficienteelriesgotecnolgico,enaquellas empresasqueutilizanelprocesamientoelectrnicodedatospara procesar la informacin econmica, contable y de toma de decisiones. Estoimplica,lacapacidadderealizardiagnsticos,desarrollarproyectos de implementacin de polticas, normativas y mejores prcticas que estn correctamente alineadas a las estrategias de negocio y ala situacin real de las empresas. 13/07/20123Curso: Seguridad de Sistemas Seguridad de Sistemas Objetivos generales del curso UnidadI:SeguridadInformtica:Conceptos,Finalidades,Fundamentos, Objetivos, Metodologas, Etapas de Madurez. UnidadII:SeguridadInformticayRiesgosdeTI:Procesos,CamposdeAccin, Relacin con otras ciencias. Riesgos. Unidad III: Cyber-crimen, Leyes y reglamentos. Gobierno de TI. UnidadIV:Metodologas,polticasynormativas,Organizacionesinternacionales, Mejores practicas, Hacking tico, Herramientas administrativas. UnidadV:mbitosdecontrolfsicoylgico,Controles,AseguramientodelData Center, Aseguramiento de la calidad de los servicios,Estrategias tecnolgicas. UnidadVI:Anlisisforenseinformtico:Manejodeincidentes,Marconormativo, Metodologas, Experiencias concretas, Evidencia digital. UnidadVII:Logstica:Tomadedecisionescriticas,Manejodepresupuestos, Dificultades,ReseasobreBCP&DRP,RetosyproyeccionesdeTI, Especializaciones. 13/07/20124Curso: Seguridad de Sistemas Seguridad de Sistemas Relacin de Contenidos programticos Loquenosepuedemedir,nosepuedemejorar,almenos por metodologas cuantitativas LosmtodosdemedicinutilizadosenIngeniera,debenser precisos,concisosyconcretos,paraquepuedanconvertirseen poderosasherramientas,tantoparalaresolucindeproblemas, como para la optimizacin de procesos. 13/07/20125Curso: Seguridad de Sistemas Seguridad de Sistemas Principios de Ingeniera 13/07/20126Curso: Seguridad de Sistemas Conceptos Bsicos Fase I: Auditora Interna Fase IV: Corporativos Fase II: Auditora Externa Fase III: Regulatorios Fases de la Seguridad Informtica Fase I: Auditora Interna Ensuscomponentesbsicos,aquellaentidadinternaenlaOrganizacin, querealizalasfuncionesadministrativasdelcontrolysupervisin, especialmentedelosgastos(ej.DepartamentodeContabilidad,Jefede Administracin). Ensuscomponentesavanzados,aquellaentidadinternaenla Organizacin, que realiza funciones de Auditora, implementando aquellos controles necesarios. Fase II: Auditora Externa AquellaentidadexternaalaOrganizacin,querealizafuncionesde Auditora,realizandolasobservacionesyrecomendacionesresultantes,a la Gerencia de la Organizacin. Puedepresentarsedemaneraopcionalodemaneramandatoria(casode los Bancos, Entidades Financieras, Aseguradoras, Almacenadoras). Definicin de Auditora de Sistemas: Elexamenorevisindecarcterobjetivo(independiente),critico (evidencia),sistemtico(normas),selectivo(muestras)delaspolticas, normas,prcticas,funciones,procesos,procedimientoseinformes relacionados con los sistemas de informacin computarizados. 13/07/20127Curso: Seguridad de Sistemas Conceptos Bsicos Fases de la Seguridad Informtica Fase III: Regulatorios Aquellos regulaciones que son establecidas por medio de: Legislatorios normales: Leyesdeaplicacinanivelnacional,regionalointernacional (ej.Cdigode Trabajo, Ley de Acceso a la Informacin Pblica) Legislatoriospor Mandato: Leyesdeaplicacinespecialmentedirigidasalsectordenegociosalquese dedica la Organizacin (ej. Ley de Bancos, Ley de Aduanas, Ley de Compras y Contrataciones del Estado) Normativas generalmente aceptadas: Aquellasnormativasplenamenteestablecidasanivelnacionalointernacional, quesehanconvertidoenelestndardefacto,paralaimplementacinde polticas,procesosyprocedimientos(ej.ISO/9001-EstndaresdeCalidad, COBIT Auditora de Sistemas, ITIL Procesos y Procedimientos) Fase IV: Corporativos AquellasOrganizacionesquepertenecenaunCorporativodeordensuperior, seaanivelnacionalointernacional,regularmenterealizanlaimplementacin depolticas,procesosyprocedimientosInternos,queseoriginandesdela Casa Matriz. EstasimplementacionesregularmenteestnregidasenbaseaPolticas Globales,lascualessetropicalizanparaelmbitodeaplicacindecadapas (ej. Polticas Globales de Gestin de Talento Humano) 13/07/20128Curso: Seguridad de Sistemas Conceptos Bsicos Fases de la Seguridad Informtica Esquema Prohibitivo Caractersticas: Bastante laborioso Bastante desgastante Proceso a largo plazo Alta periodicidad Orientacin: Listas negras Listas de prohibiciones Listas de actividades Aplicaciones ejemplo: RegulareltiempodenavegacinenlaWeb,alosusuariosfinales, estableciendohorariosparaelusoderedessocialesyserviciospblicos (Facebook, BlogSpot, WordPress, etc) Emisindecorreos electrnicosalexterior,reguladosporeldominiodel destinatario,evitandoelenvoadominiosdecorreoelectrnicopblicos (Hotmail, Gmail, Yahoo, etc) 13/07/20129Curso: Seguridad de Sistemas Conceptos Bsicos Esquemas de Aseguramiento de Informacin Establecer elementos de juicio Prohibir TODO lo necesario Evaluar Esquema Permisivo Caractersticas: Bastante laborioso Poco desgastante Proceso a corto o mediano plazo Baja periodicidad Orientacin: Hardening de servicios Restriccin de recursos compartidos Focalizar servicios de telecomunicaciones Asegurar la conectividad Aplicaciones ejemplo: Hardeningdeserviciostecnolgicos,alestableceraquellasfunci onesde BasesdeDatos,sistemasOperativos,etc,quedebenpermanecerhabilitadas y/o reguladas, deshabilitando el resto Restriccinderecursoscompartidos,comoCarpetas,Impresoras,Multi-Funcionales,etc,quedebenestardisponiblessolamenteparaaquellos usuarios que estn autorizados para utilizarlos 13/07/201210Curso: Seguridad de Sistemas Conceptos Bsicos Esquemas de Aseguramiento de Informacin Esquema Permisivo PermitirSOLAMENTE lo necesario Prohibir TODO Establecer elementos de juicio Evaluar Propuestas de Prcticas a desarrollaral finalizar este Da: 1. Desarrollo de Foros sobre los siguientes temas: DependenciadelasempresassobrelasTICs(Tecnologasde InformacinyComunicaciones),factoresquegeneranALZASendichas dependencias Importanciadelconocimientoyexperiencia,sobreSeguridadde Sistemas, Auditora de Sistemas, Riesgo Tecnolgico Reconocimiento de las Fases de la Seguridad Informtica 2. Propuestas de Ante-Proyectos: PresentarpropuestasdeAnte-Proyectosrelacionadosconaplicacindel Esquema PROHIBITIVO de Aseguramiento de Informacin PresentarpropuestasdeAnte-Proyectosrelacionadosconaplicacindel Esquema PERMISIVO de Aseguramiento de Informacin 13/07/201211Curso: Seguridad de Sistemas Prcticas