Tema 9SEGURIDAD, ASEGURAMIENTOCALIDAD Y AUDITORÍA DE LOS            SI  D.O.E.                    GSI. Seguridad, calidad ...
ÍNDICE      {C om one nt es                   •T1    El Sistema de Información de la empresa                   •T2    Comp...
SEGURIDAD, ASEGURAMIENTO CALIDAD       Y AUDITORÍA DE LOS SI   1. Seguridad de los SI   2. La gestión de la seguridad de l...
1.                         SEGURIDAD DE LOS SI                                                SI                          ...
2.       GESTIÓN DE LA SEGURIDAD SI     Por Seguridad Informática se entiende el conjunto de     Por Seguridad Informática...
2.                GESTIÓN DE LA SEGURIDAD SI                                            Personas                          ...
2.       GESTIÓN DE LA SEGURIDAD SI                  El papel de las personas en la seguridad       ●              Hacia u...
2.               GESTIÓN DE LA SEGURIDAD SI          El papel de los procesos y procedimientos en la seguridad            ...
2.              GESTIÓN DE LA SEGURIDAD SI                                 Ejemplo matriz de riesgo      Impacto si la    ...
2.           GESTIÓN DE LA SEGURIDAD SI     El papel de los procesos y procedimientos en la seguridad       ●             ...
2.         GESTIÓN DE LA SEGURIDAD SI                            Seguridad Lógica     ●              Seguridad del softwar...
2.             GESTIÓN DE LA SEGURIDAD SI     Amenazas y posibles soluciones a la seguridad del e_business             Ame...
2.         GESTIÓN DE LA SEGURIDAD SI                            Seguridad Física     ●              Mantenimiento de los ...
2.                GESTIÓN DE LA SEGURIDAD SI                      Amenazas del entorno a la seguridad del SI     ●        ...
2.        GESTIÓN DE LA SEGURIDAD SI                      Planes de contingencia       Planes de Contingencia: planes de r...
3.     ASEGURAMIENTO DE LA CALIDAD SI           • Dirección           • Usuarios           • Personal del Departamento de ...
3.          ASEGURAMIENTO DE LA CALIDAD SI       Características de la Calidad                      Descripción     Integr...
3.     ASEGURAMIENTO DE LA CALIDAD SI                          Procedimientos           • Implantar estándares, metodologí...
4.                      AUDITORÍA SI       La auditoría de los SI es el conjunto de técnicas y       La auditoría de los S...
4.                               AUDITORÍA SI                                        Objetivos              Objetivos de l...
4.                           AUDITORÍA SI                            Elementos a revisar       • de carácter organizativo:...
4.                     AUDITORÍA SI                              Problemas       • equipos infrautilizados       • equipos...
4.                      AUDITORÍA SI                         Pasos auditoría         • Diagnóstico         • Evaluación pu...
4.                                 AUDITORÍA SI        Formación equipo                 Proceso            trabajo        ...
4.                       AUDITORÍA SI                         Metodología     • Establecer objetivos / alcance auditoría  ...
4.                        AUDITORÍA SI                               Informe final     1.- Objetivos y alcance     2.- Enu...
5.              TÉCNICAS AUDITORÍA SI                              Técnicas          • Entrevistas          • Cuestionario...
6.              CONTENIDO AUDITORÍA SI                         Elementos de gestión         • Adecuación necesidades      ...
6.              CONTENIDO AUDITORÍA SI                      Elementos técnicos               • Seguridad lógica           ...
Upcoming SlideShare
Loading in...5
×

Gsi t09c (seguridad, aseguramiento y auditoria si)

1,656

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,656
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
48
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Gsi t09c (seguridad, aseguramiento y auditoria si)

  1. 1. Tema 9SEGURIDAD, ASEGURAMIENTOCALIDAD Y AUDITORÍA DE LOS SI D.O.E. GSI. Seguridad, calidad y auditoría SI -1-
  2. 2. ÍNDICE {C om one nt es •T1 El Sistema de Información de la empresa •T2 Componentes del Sistema de Información p •T3 El SI soporte a la Planificación, act. y control •T4 El SI como soporte a las decisiones •T5 Sistemas de Información Interorganizativos { •T6 Planificación y diseño del SIGes t i ó n •T7 Planificación estratégica y Ventajas Competitivas •T8 Implantación del plan de TI y cambio organizativo •T9 Seguridad, aseguramiento calidad y auditoría •T10 ERP. Situación actual y tendencias D.O.E.
  3. 3. SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS SI 1. Seguridad de los SI 2. La gestión de la seguridad de los SI 3. Aseguramiento de la calidad 4. Auditoría de los SI 5. Técnicas de auditoría de los SI 6. Contenido de la auditoría de los SI D.O.E. GSI. Seguridad, calidad y auditoría SI -3-
  4. 4. 1. SEGURIDAD DE LOS SI SI a proteger Exposición a amenazas Valor del Sistema Daño potencial de la Nivel de seguridad amenaza Impacto en el Sistema Coste de la Frecuencia de la seguridad amenaza Análisis de riesgo D.O.E. GSI. Seguridad, calidad y auditoría SI -4-
  5. 5. 2. GESTIÓN DE LA SEGURIDAD SI Por Seguridad Informática se entiende el conjunto de Por Seguridad Informática se entiende el conjunto de procedimientos orientados a evitar la destrucción, procedimientos orientados a evitar la destrucción, modificación, utilización y difusión no autorizada de modificación, utilización y difusión no autorizada de los datos y la información de la organización los datos y la información de la organización ● Confidencialidad ● Integridad ● Disponibilidad D.O.E. GSI. Seguridad, calidad y auditoría SI -5-
  6. 6. 2. GESTIÓN DE LA SEGURIDAD SI Personas Procesos { Seguridad LógicaInformática Seguridad (sw, comunicaciones, datos e información) Seguridad Física (hw, y redes de comunicaciones) Entorno: local, instalaciones y suministros (eléctrico, comunicaciones telefónicas y de Internet, etc.) D.O.E. GSI. Seguridad, calidad y auditoría SI -6-
  7. 7. 2. GESTIÓN DE LA SEGURIDAD SI El papel de las personas en la seguridad ● Hacia una cultura de la seguridad ➢ Tecnología ➢ Empresa ➢ Personas usuarias del SI ● Comité de seguridad ➢ Composición multidisciplinar ➢ Director del Comité ➢ Plan Integral de Seguridad D.O.E. GSI. Seguridad, calidad y auditoría SI -7-
  8. 8. 2. GESTIÓN DE LA SEGURIDAD SI El papel de los procesos y procedimientos en la seguridad Procesos de negocio que usan el SI Sistema de Información de soporte a los procesos Riesgos asociados Medidas de seguridad Impacto en el Sistema Amenazas y vulnerabilidades D.O.E. GSI. Seguridad, calidad y auditoría SI -8-
  9. 9. 2. GESTIÓN DE LA SEGURIDAD SI Ejemplo matriz de riesgo Impacto si la Amenazas que pueden provocar la pérdida de datos Probabilidad amenaza se de que cierta hace realidad amenaza cause Error Incendio Sabotaje cierto impacto: Destrucción del 0 3 1 0: despreciable Hw 1: improbable 2: probable 3: seguro Borrado de 3 2 2 información D.O.E. GSI. Seguridad, calidad y auditoría SI -9-
  10. 10. 2. GESTIÓN DE LA SEGURIDAD SI El papel de los procesos y procedimientos en la seguridad ● Certificado de seguridad ISO/TEC 17799 ● Políticas de seguridad (pública) ● Clasificación de la información ● Acceso a la información por parte de terceros D.O.E. GSI. Seguridad, calidad y auditoría SI - 10 -
  11. 11. 2. GESTIÓN DE LA SEGURIDAD SI Seguridad Lógica ● Seguridad del software ● Seguridad de los datos y de la información ● Errores humanos ● Accesos no autorizados ● Virus, troyanos, phishing, y programas espía ● Seguridad de las comunicaciones PREVENCIÓN ANTE TODO D.O.E. GSI. Seguridad, calidad y auditoría SI - 11 -
  12. 12. 2. GESTIÓN DE LA SEGURIDAD SI Amenazas y posibles soluciones a la seguridad del e_business Amenaza Medida de seguridad Función Datos interceptados , Encriptación Los datos se codifican leídos o modificados para evitar su alteración ilícitamente Los usuarios asumen otra Autentificación mediante Verifica la identidad de identidad para cometer firma digital receptor y emisor fraude Un usuario no autorizado Cortafuegos (firewall) Filtran y evitan accesos obtiene acceso a una red Uso de redes privadas indeseados a la red o al virtuales (VPN) servidor de red D.O.E. GSI. Seguridad, calidad y auditoría SI - 12 -
  13. 13. 2. GESTIÓN DE LA SEGURIDAD SI Seguridad Física ● Mantenimiento de los equipos ● Información a los usuarios ● Planes de contingencia Ejemplo Data Center UJI D.O.E. GSI. Seguridad, calidad y auditoría SI - 13 -
  14. 14. 2. GESTIÓN DE LA SEGURIDAD SI Amenazas del entorno a la seguridad del SI ● Condiciones ambientales ● Incendios, inundaciones 15 m ● Cortes suministro eléctrico 3h ● Robos / vandalismo ● Interferencias en comunicaciones ● Ubicación servidores y demás equipos uso comp. ➢ Perímetro de seguridad D.O.E. GSI. Seguridad, calidad y auditoría SI - 14 -
  15. 15. 2. GESTIÓN DE LA SEGURIDAD SI Planes de contingencia Planes de Contingencia: planes de recuperación, o Planes de Contingencia: planes de recuperación, o planes de continuidad, ante desastres que restauren el planes de continuidad, ante desastres que restauren el SI o palíen los daños sufridos SI o palíen los daños sufridos • Imposibilidad seguridad absoluta • Implicar a todo el personal • Seguridad preventiva • Copias de Seguridad y equipos alternativos D.O.E. • Empresas especializadas GSI. Seguridad, calidad y auditoría SI - 15 -
  16. 16. 3. ASEGURAMIENTO DE LA CALIDAD SI • Dirección • Usuarios • Personal del Departamento de SI ➢ Biblioteca ➢ Control procesamiento ➢ Control acceso ➢ Administración BBDD ➢ Respaldo y recuperación ➢ Aseguramiento calidad desarrollo sw D.O.E. GSI. Seguridad, calidad y auditoría SI - 16 -
  17. 17. 3. ASEGURAMIENTO DE LA CALIDAD SI Características de la Calidad Descripción Integridad de los datos Los datos almacenados son exactos y carecen de errores Confidencialidad de los datos Los datos y la información están protegidos contra accesos o divulgación ilegal Disponibilidad de los datos Los resultados de salida no presentan errores Resultados fiables Los resultados de salida están disponibles en el momento preciso para la TD o la acción Resultados relevantes Los resultados de salida son importantes e interesan al destinatario Resultados selectivos El Sistema sólo suministra los resultados de salida necesarios para el fin asignado Operación e interpretación El Sistema proporciona una interfaz de usuario intuitiva y amigable resultados fácil para usuario Operaciones resistentes a errores Ofrecen procedimientos de prevención y detección de errores Existen procedimientos para reportar y corregir errores, Se aplican procedim. de auditoría Autenticidad Solamente el personal autorizado tiene acceso a las instalaciones, aplicaciones y datos Trazabilidad Existen mecanismos que permiten determinar qué datos han sido modificados, cuándo y por quién Respaldo y recuperación Existen planes de contingencia y mecanismos para la recuperación en el caso eventual de fallo o destrucción de una parte o de todo el sistema Seguridad D.O.E. El Sistema y su funcionamiento están protegidos de riesgos ambientales y de operación - 17 - Calidad en los SI GSI. Seguridad, calidad y auditoría SI
  18. 18. 3. ASEGURAMIENTO DE LA CALIDAD SI Procedimientos • Implantar estándares, metodologías y procesos de calidad de datos en E/S • Implantar acciones para garantizar calidad datos en las plataformas BI D.O.E. GSI. Seguridad, calidad y auditoría SI - 18 -
  19. 19. 4. AUDITORÍA SI La auditoría de los SI es el conjunto de técnicas y La auditoría de los SI es el conjunto de técnicas y métodos que se aplican para la evaluación y control métodos que se aplican para la evaluación y control del SI de una organización del SI de una organización • Adecuación a las necesidades organización • Eficacia / eficiencia obtención objetivos • Coherencia objetivos con planes organización D.O.E. GSI. Seguridad, calidad y auditoría SI - 19 -
  20. 20. 4. AUDITORÍA SI Objetivos Objetivos de la auditoría de SI Elementos a auditar Salvaguardar los activos Seguridad del SI Garantizar operatividad del SI Mantener integridad datos Calidad del SI Alcanzar metas organizativas Aspectos organiozativos y de gestión Contribución a los objetivos de Garantizar adecuación la empresa del SI a las necesidades de la organización Uso eficiente/eficaz de los Adecuación de los RRHH a las recursos TIC´s Integración de BBDD y aplicac. Formación del personal D.O.E. GSI. Seguridad, calidad y auditoría SI - 20 -
  21. 21. 4. AUDITORÍA SI Elementos a revisar • de carácter organizativo: ➢ rentabilidad ➢ relación con otras áreas organización ➢ personal TI / usuarios • de carácter técnico: ➢ hardware, software, comunicaciones ➢ seguridad informática D.O.E. GSI. Seguridad, calidad y auditoría SI - 21 -
  22. 22. 4. AUDITORÍA SI Problemas • equipos infrautilizados • equipos sobredimensionados • aplicaciones, BD desintegradas, incompatibles • aplicaciones difíciles de mantener / no estándar • exceso / falta personal TI • falta de formación personal TI / usuarios • falta de seguridad • datos poco fiables D.O.E. GSI. Seguridad, calidad y auditoría SI - 22 -
  23. 23. 4. AUDITORÍA SI Pasos auditoría • Diagnóstico • Evaluación puntos fuertes / débiles • Emisión informe con recomendaciones D.O.E. GSI. Seguridad, calidad y auditoría SI - 23 -
  24. 24. 4. AUDITORÍA SI Formación equipo Proceso trabajo Elementos de gestión Objetivos y alcance Adecuación necesidades auditoría El personal La organización Asignación tareas y Técnicas de auditoría Las compras responsabilidades Cuestionarios La legalidad Análisis documentos La seguridad física Análisis situación actual Entrevistas Observación Comparación con el plan Sw de interrogación Elementos técnicos de SI Experimentación Seguridad lógica Equipamiento Comprobar coherencia Aplicaciones y BBDD con objetivos globales Integración de Sistemas Comunicaciones Evaluación necesidades problemas detectados Informe final •Objetivos y alcance •Puntos débiles / amenazas D.O.E. •Temas considerados •Consecución objetivos - 24 - •Situación actual, tendencias •Recomendaciones y planes acción GSI. Seguridad, calidad y auditoría SI
  25. 25. 4. AUDITORÍA SI Metodología • Establecer objetivos / alcance auditoría • Asignación tareas / responsabilidades • Análisis situación actual (doble pdv) • Comparación situación actual / prevista • Coherencia con objetivos globales Org. • Evaluación necesidades / problemas detectados • Informe final D.O.E. GSI. Seguridad, calidad y auditoría SI - 25 -
  26. 26. 4. AUDITORÍA SI Informe final 1.- Objetivos y alcance 2.- Enumeración aspectos considerados 3.- Exposición situación actual / tendencias, puntos fuertes / puntos débiles 4.- Recomendaciones / planes de acción D.O.E. GSI. Seguridad, calidad y auditoría SI - 26 -
  27. 27. 5. TÉCNICAS AUDITORÍA SI Técnicas • Entrevistas • Cuestionarios • Análisis de documentación • Observación • Software de interrogación / muestreos • Experimentación D.O.E. Combinación de todas los anteriores GSI. Seguridad, calidad y auditoría SI - 27 -
  28. 28. 6. CONTENIDO AUDITORÍA SI Elementos de gestión • Adecuación necesidades • El personal • La organización (totalidad / homogeneidad) • Normas que guíen las compras • La legalidad • La seguridad física (errores humanos) • Servicios del Departamento de SI • Prácticas de gestión informática (CDVDS) D.O.E. GSI. Seguridad, calidad y auditoría SI - 28 -
  29. 29. 6. CONTENIDO AUDITORÍA SI Elementos técnicos • Seguridad lógica • Equipamiento • Aplicaciones y BD • Integración de sistemas • Comunicaciones D.O.E. GSI. Seguridad, calidad y auditoría SI - 29 -
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×