PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
Tratamiento de riesgo cf
1. Tratamiento de Riesgode Seguridad Equipo Nº 11 UNFV – FIIS -2011 Universidad Nacional Federico Villarreal
2. Introducción La información es un activo para las organizaciones y en consecuencia requiere una protección adecuada, y debido al actual ambiente creciente esta expuesta a un mayor rango de amenazas sin contar con las debilidades inherentes de la misma.
3. Tratamiento del Riesgo «Proceso de selección e implementación de medidas para modificar el riesgo.» ISO/IEC Guide 73:2002
7. GESTIÓN DE CONTINUIDAD Y RECUPERACIÓN Objetivo Asegurar el oportuno reestablecimientoy la disponibilidad de los servicios informáticos en la Universidad.
8.
9.
10.
11.
12.
13. Administración del Sistema de Información Personal Objetivo Garantizar la infraestructura adecuada para el procesamiento, almacenamiento y presentación de la información de los procesos de administración de los RRHH, así como la implementación de estrategias para garantizar la calidad de la información.
26. IMPLEMENTACIÓN DE LOS CONTROLESSELECCIONADOS ACORDE AL MANUAL DE PROCEDIMIENTOS Política de Seguridad de la Información
27. Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos: La evaluación de los riesgos inherentes a los procesos informáticos. La evaluación de las amenazas ó causas de los riesgos. Los controles utilizados para minimizar las amenazas a riesgos. La asignación de responsables a los procesos informáticos. La evaluación de los elementos del análisis de riesgos.
31. Oficina de Control Interno Comisión Central Seguridad Informática RESP. EJECUTIVA RESP. CONTROL Comité de Informática RESP. TÉCNICA Oficina de Seguridad Informática Equipos Interfuncionales Especialistas De Informática RESP. CUMPLIMIENTO Personal en General
32. Esquema Organización para la seguridad SSI SUNAT Relación de Procedimientos de Seguridad Informática Reportes de incidentes de seguridad Metodología de análisis de riesgos Circular Nº 039-2005
34. CIRCULAR N° 039-2005 Materia: Incidentes y vulnerabilidades de seguridad informática que deben ser reportados para identificar las debilidades de los sistemas y las acciones no autorizadas en su acceso y/o uso, permitiéndonos minimizar los riesgos y/o dar respuesta oportuna frente a posibles ataques. Finalidad: Establecer los lineamientos y procedimientos para reportar los incidentes y vulnerabilidades de seguridad informática. Alcance: A todo el personal de la Superintendencia Nacional de Administración Tributaría.
35. Base Legal Resolución de Superintendencia Adjunta Nº 059-2002/SUNAT - "Aprueban Políticas de Seguridad Informática". Reglamento Interno de Trabajo de la SUNAT, aprobado mediante Resolución de Superintendencia 235-2003/SUNAT Circular 036-2004 - "Atención de solicitudes de servicios informáticos-SIGESA" NTP ISO/IEC 17799:2004 EDI. "Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información"
36. Responsabilidades Oficina de Seguridad Informática Recibir, evaluar y dar respuesta a los incidentes y/o vulnerabilidades de seguridad informática reportados por la División de Atención a Usuarios. Implantar mecanismos para el monitoreo, registro y verificación de incidentes y vulnerabilidades de seguridad informática.
38. Lineamientos generales Guardar Reserva y confidencialidad No debe ser Intencional Durante el proceso de verificación del incidente y/o vulnerabilidad reportada, el acceso del/los usuario(s) al servicio ó sistema informático involucrado podrá ser suspendido en forma preventiva de acuerdo a su criticidad.
41. INCIDENTES Personal General Instalaciones no autorizadas tanto de hardware como de software. Accesos no Autorizados
42. VULNERABILIDADES Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático. Servicios o puertos de acceso disponibles en equipos informáticos, sin autorización Equipos servidores y equipos de telecomunicaciones sin clave de acceso ó con clave por defecto ó clave simple
43. VULNERABILIDADES Por personal de la INSI, personal de los centros de cómputo de provincias y de los Departamentos de Soporte Informático. Conexiones con otras entidades sin la protección del muro de seguridad(firewall). Modem instalados sin autorización en servidores o computadoras de la SUNAT
45. El reporte se enviará directamente a la Oficina de Seguridad Informática a través del Sistema electrónico de gestión documentaria (SIGED) en la opción de registro/otros documentos/reportes de incidentes y/o vulnerabilidades. Si el servicio del SIGED no estuviera disponible, se reportará a través del correo electrónico Institucional, al usuario Seguridad Informática.
47. ¿Qué es y para que sirve? Este software de cumplimiento de seguridad de Tivoli ofrece monitoreo automatizado de la actividad del usuario con el panel de control y presentación de informes para ayudar a controlar su cumplimiento de la seguridad.
48.
49.
50.
51.
52.
53.
54.
55.
56.
57. Conclusiones El tratamiento de riesgos deriva de la evaluación de riesgos. La evaluación de riesgos identifica, cuantifica y prioriza riesgos, determinando con el tratamiento los controles necesarios. La seguridad de información se consigue implantando un conjunto adecuado de controles. Los controles necesitan ser establecidos, implementados, monitoreados, revisados y mejorados donde sea necesario en la organización. Es imposible introducir cambios, si no aseguramos que ellos se producirán. Ello ocurre conformando una relación entre los procesos y las personas. No hay respuesta cuando las personas no tienen interés en participar y tampoco hay resultados, cuando los procesos aseguran que los problemas subsistan.
58. Recomendaciones Antes de considerar el tratamiento de riesgos, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no. Para cada uno de los riesgos identificados, se necesita realizar una decisión de tratamiento de riesgo. Para los riesgos identificados, donde la decisión del tratamiento de riesgo ha sido aplicado a controles, estos deben de ser seleccionados e implementados. La gerencia deberá aprobar, publicar y comunicar a todos los empleados, un documento de política de seguridad de información.