Gsi t09c (seguridad, aseguramiento y auditoria si)
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Gsi t09c (seguridad, aseguramiento y auditoria si)

on

  • 1,883 views

 

Statistics

Views

Total Views
1,883
Views on SlideShare
1,362
Embed Views
521

Actions

Likes
0
Downloads
37
Comments
0

9 Embeds 521

http://udessdi.blogspot.fr 284
http://udessdi.blogspot.com 87
http://udessdi.blogspot.com.ar 47
http://udessdi.blogspot.mx 40
http://www.udessdi.blogspot.com 33
http://udessdi.blogspot.com.es 21
http://www.udessdi.blogspot.fr 6
http://udessdi.blogspot.pt 2
http://udessdi.blogspot.ca 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Gsi t09c (seguridad, aseguramiento y auditoria si) Presentation Transcript

  • 1. Tema 9SEGURIDAD, ASEGURAMIENTOCALIDAD Y AUDITORÍA DE LOS SI D.O.E. GSI. Seguridad, calidad y auditoría SI -1-
  • 2. ÍNDICE {C om one nt es •T1 El Sistema de Información de la empresa •T2 Componentes del Sistema de Información p •T3 El SI soporte a la Planificación, act. y control •T4 El SI como soporte a las decisiones •T5 Sistemas de Información Interorganizativos { •T6 Planificación y diseño del SIGes t i ó n •T7 Planificación estratégica y Ventajas Competitivas •T8 Implantación del plan de TI y cambio organizativo •T9 Seguridad, aseguramiento calidad y auditoría •T10 ERP. Situación actual y tendencias D.O.E.
  • 3. SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS SI 1. Seguridad de los SI 2. La gestión de la seguridad de los SI 3. Aseguramiento de la calidad 4. Auditoría de los SI 5. Técnicas de auditoría de los SI 6. Contenido de la auditoría de los SI D.O.E. GSI. Seguridad, calidad y auditoría SI -3-
  • 4. 1. SEGURIDAD DE LOS SI SI a proteger Exposición a amenazas Valor del Sistema Daño potencial de la Nivel de seguridad amenaza Impacto en el Sistema Coste de la Frecuencia de la seguridad amenaza Análisis de riesgo D.O.E. GSI. Seguridad, calidad y auditoría SI -4-
  • 5. 2. GESTIÓN DE LA SEGURIDAD SI Por Seguridad Informática se entiende el conjunto de Por Seguridad Informática se entiende el conjunto de procedimientos orientados a evitar la destrucción, procedimientos orientados a evitar la destrucción, modificación, utilización y difusión no autorizada de modificación, utilización y difusión no autorizada de los datos y la información de la organización los datos y la información de la organización ● Confidencialidad ● Integridad ● Disponibilidad D.O.E. GSI. Seguridad, calidad y auditoría SI -5-
  • 6. 2. GESTIÓN DE LA SEGURIDAD SI Personas Procesos { Seguridad LógicaInformática Seguridad (sw, comunicaciones, datos e información) Seguridad Física (hw, y redes de comunicaciones) Entorno: local, instalaciones y suministros (eléctrico, comunicaciones telefónicas y de Internet, etc.) D.O.E. GSI. Seguridad, calidad y auditoría SI -6-
  • 7. 2. GESTIÓN DE LA SEGURIDAD SI El papel de las personas en la seguridad ● Hacia una cultura de la seguridad ➢ Tecnología ➢ Empresa ➢ Personas usuarias del SI ● Comité de seguridad ➢ Composición multidisciplinar ➢ Director del Comité ➢ Plan Integral de Seguridad D.O.E. GSI. Seguridad, calidad y auditoría SI -7-
  • 8. 2. GESTIÓN DE LA SEGURIDAD SI El papel de los procesos y procedimientos en la seguridad Procesos de negocio que usan el SI Sistema de Información de soporte a los procesos Riesgos asociados Medidas de seguridad Impacto en el Sistema Amenazas y vulnerabilidades D.O.E. GSI. Seguridad, calidad y auditoría SI -8-
  • 9. 2. GESTIÓN DE LA SEGURIDAD SI Ejemplo matriz de riesgo Impacto si la Amenazas que pueden provocar la pérdida de datos Probabilidad amenaza se de que cierta hace realidad amenaza cause Error Incendio Sabotaje cierto impacto: Destrucción del 0 3 1 0: despreciable Hw 1: improbable 2: probable 3: seguro Borrado de 3 2 2 información D.O.E. GSI. Seguridad, calidad y auditoría SI -9-
  • 10. 2. GESTIÓN DE LA SEGURIDAD SI El papel de los procesos y procedimientos en la seguridad ● Certificado de seguridad ISO/TEC 17799 ● Políticas de seguridad (pública) ● Clasificación de la información ● Acceso a la información por parte de terceros D.O.E. GSI. Seguridad, calidad y auditoría SI - 10 -
  • 11. 2. GESTIÓN DE LA SEGURIDAD SI Seguridad Lógica ● Seguridad del software ● Seguridad de los datos y de la información ● Errores humanos ● Accesos no autorizados ● Virus, troyanos, phishing, y programas espía ● Seguridad de las comunicaciones PREVENCIÓN ANTE TODO D.O.E. GSI. Seguridad, calidad y auditoría SI - 11 -
  • 12. 2. GESTIÓN DE LA SEGURIDAD SI Amenazas y posibles soluciones a la seguridad del e_business Amenaza Medida de seguridad Función Datos interceptados , Encriptación Los datos se codifican leídos o modificados para evitar su alteración ilícitamente Los usuarios asumen otra Autentificación mediante Verifica la identidad de identidad para cometer firma digital receptor y emisor fraude Un usuario no autorizado Cortafuegos (firewall) Filtran y evitan accesos obtiene acceso a una red Uso de redes privadas indeseados a la red o al virtuales (VPN) servidor de red D.O.E. GSI. Seguridad, calidad y auditoría SI - 12 -
  • 13. 2. GESTIÓN DE LA SEGURIDAD SI Seguridad Física ● Mantenimiento de los equipos ● Información a los usuarios ● Planes de contingencia Ejemplo Data Center UJI D.O.E. GSI. Seguridad, calidad y auditoría SI - 13 -
  • 14. 2. GESTIÓN DE LA SEGURIDAD SI Amenazas del entorno a la seguridad del SI ● Condiciones ambientales ● Incendios, inundaciones 15 m ● Cortes suministro eléctrico 3h ● Robos / vandalismo ● Interferencias en comunicaciones ● Ubicación servidores y demás equipos uso comp. ➢ Perímetro de seguridad D.O.E. GSI. Seguridad, calidad y auditoría SI - 14 -
  • 15. 2. GESTIÓN DE LA SEGURIDAD SI Planes de contingencia Planes de Contingencia: planes de recuperación, o Planes de Contingencia: planes de recuperación, o planes de continuidad, ante desastres que restauren el planes de continuidad, ante desastres que restauren el SI o palíen los daños sufridos SI o palíen los daños sufridos • Imposibilidad seguridad absoluta • Implicar a todo el personal • Seguridad preventiva • Copias de Seguridad y equipos alternativos D.O.E. • Empresas especializadas GSI. Seguridad, calidad y auditoría SI - 15 -
  • 16. 3. ASEGURAMIENTO DE LA CALIDAD SI • Dirección • Usuarios • Personal del Departamento de SI ➢ Biblioteca ➢ Control procesamiento ➢ Control acceso ➢ Administración BBDD ➢ Respaldo y recuperación ➢ Aseguramiento calidad desarrollo sw D.O.E. GSI. Seguridad, calidad y auditoría SI - 16 -
  • 17. 3. ASEGURAMIENTO DE LA CALIDAD SI Características de la Calidad Descripción Integridad de los datos Los datos almacenados son exactos y carecen de errores Confidencialidad de los datos Los datos y la información están protegidos contra accesos o divulgación ilegal Disponibilidad de los datos Los resultados de salida no presentan errores Resultados fiables Los resultados de salida están disponibles en el momento preciso para la TD o la acción Resultados relevantes Los resultados de salida son importantes e interesan al destinatario Resultados selectivos El Sistema sólo suministra los resultados de salida necesarios para el fin asignado Operación e interpretación El Sistema proporciona una interfaz de usuario intuitiva y amigable resultados fácil para usuario Operaciones resistentes a errores Ofrecen procedimientos de prevención y detección de errores Existen procedimientos para reportar y corregir errores, Se aplican procedim. de auditoría Autenticidad Solamente el personal autorizado tiene acceso a las instalaciones, aplicaciones y datos Trazabilidad Existen mecanismos que permiten determinar qué datos han sido modificados, cuándo y por quién Respaldo y recuperación Existen planes de contingencia y mecanismos para la recuperación en el caso eventual de fallo o destrucción de una parte o de todo el sistema Seguridad D.O.E. El Sistema y su funcionamiento están protegidos de riesgos ambientales y de operación - 17 - Calidad en los SI GSI. Seguridad, calidad y auditoría SI
  • 18. 3. ASEGURAMIENTO DE LA CALIDAD SI Procedimientos • Implantar estándares, metodologías y procesos de calidad de datos en E/S • Implantar acciones para garantizar calidad datos en las plataformas BI D.O.E. GSI. Seguridad, calidad y auditoría SI - 18 -
  • 19. 4. AUDITORÍA SI La auditoría de los SI es el conjunto de técnicas y La auditoría de los SI es el conjunto de técnicas y métodos que se aplican para la evaluación y control métodos que se aplican para la evaluación y control del SI de una organización del SI de una organización • Adecuación a las necesidades organización • Eficacia / eficiencia obtención objetivos • Coherencia objetivos con planes organización D.O.E. GSI. Seguridad, calidad y auditoría SI - 19 -
  • 20. 4. AUDITORÍA SI Objetivos Objetivos de la auditoría de SI Elementos a auditar Salvaguardar los activos Seguridad del SI Garantizar operatividad del SI Mantener integridad datos Calidad del SI Alcanzar metas organizativas Aspectos organiozativos y de gestión Contribución a los objetivos de Garantizar adecuación la empresa del SI a las necesidades de la organización Uso eficiente/eficaz de los Adecuación de los RRHH a las recursos TIC´s Integración de BBDD y aplicac. Formación del personal D.O.E. GSI. Seguridad, calidad y auditoría SI - 20 -
  • 21. 4. AUDITORÍA SI Elementos a revisar • de carácter organizativo: ➢ rentabilidad ➢ relación con otras áreas organización ➢ personal TI / usuarios • de carácter técnico: ➢ hardware, software, comunicaciones ➢ seguridad informática D.O.E. GSI. Seguridad, calidad y auditoría SI - 21 -
  • 22. 4. AUDITORÍA SI Problemas • equipos infrautilizados • equipos sobredimensionados • aplicaciones, BD desintegradas, incompatibles • aplicaciones difíciles de mantener / no estándar • exceso / falta personal TI • falta de formación personal TI / usuarios • falta de seguridad • datos poco fiables D.O.E. GSI. Seguridad, calidad y auditoría SI - 22 -
  • 23. 4. AUDITORÍA SI Pasos auditoría • Diagnóstico • Evaluación puntos fuertes / débiles • Emisión informe con recomendaciones D.O.E. GSI. Seguridad, calidad y auditoría SI - 23 -
  • 24. 4. AUDITORÍA SI Formación equipo Proceso trabajo Elementos de gestión Objetivos y alcance Adecuación necesidades auditoría El personal La organización Asignación tareas y Técnicas de auditoría Las compras responsabilidades Cuestionarios La legalidad Análisis documentos La seguridad física Análisis situación actual Entrevistas Observación Comparación con el plan Sw de interrogación Elementos técnicos de SI Experimentación Seguridad lógica Equipamiento Comprobar coherencia Aplicaciones y BBDD con objetivos globales Integración de Sistemas Comunicaciones Evaluación necesidades problemas detectados Informe final •Objetivos y alcance •Puntos débiles / amenazas D.O.E. •Temas considerados •Consecución objetivos - 24 - •Situación actual, tendencias •Recomendaciones y planes acción GSI. Seguridad, calidad y auditoría SI
  • 25. 4. AUDITORÍA SI Metodología • Establecer objetivos / alcance auditoría • Asignación tareas / responsabilidades • Análisis situación actual (doble pdv) • Comparación situación actual / prevista • Coherencia con objetivos globales Org. • Evaluación necesidades / problemas detectados • Informe final D.O.E. GSI. Seguridad, calidad y auditoría SI - 25 -
  • 26. 4. AUDITORÍA SI Informe final 1.- Objetivos y alcance 2.- Enumeración aspectos considerados 3.- Exposición situación actual / tendencias, puntos fuertes / puntos débiles 4.- Recomendaciones / planes de acción D.O.E. GSI. Seguridad, calidad y auditoría SI - 26 -
  • 27. 5. TÉCNICAS AUDITORÍA SI Técnicas • Entrevistas • Cuestionarios • Análisis de documentación • Observación • Software de interrogación / muestreos • Experimentación D.O.E. Combinación de todas los anteriores GSI. Seguridad, calidad y auditoría SI - 27 -
  • 28. 6. CONTENIDO AUDITORÍA SI Elementos de gestión • Adecuación necesidades • El personal • La organización (totalidad / homogeneidad) • Normas que guíen las compras • La legalidad • La seguridad física (errores humanos) • Servicios del Departamento de SI • Prácticas de gestión informática (CDVDS) D.O.E. GSI. Seguridad, calidad y auditoría SI - 28 -
  • 29. 6. CONTENIDO AUDITORÍA SI Elementos técnicos • Seguridad lógica • Equipamiento • Aplicaciones y BD • Integración de sistemas • Comunicaciones D.O.E. GSI. Seguridad, calidad y auditoría SI - 29 -