Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Auditoria de Sistemas Informacion como un activo.

3,255 views

Published on

Published in: Technology
  • Be the first to comment

Auditoria de Sistemas Informacion como un activo.

  1. 1. <ul><li>Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. </li></ul><ul><li>La información puede estar: </li></ul><ul><ul><li>Impresa o escrita en papel. </li></ul></ul><ul><ul><li>Almacenada electrónicamente. </li></ul></ul><ul><ul><li>Trasmitida por correo o medios electrónicos </li></ul></ul><ul><ul><li>Mostrada en filmes. </li></ul></ul><ul><ul><li>Hablada en conversación. </li></ul></ul>Qué es Información?
  2. 2. <ul><li>La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada. </li></ul><ul><li>Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene. </li></ul>Qué es Seguridad de Información?
  3. 3. <ul><li>Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad </li></ul>Qué es Seguridad de Información?
  4. 4. <ul><li>La seguridad de la información se caracteriza como la preservación de: </li></ul><ul><li>su confidencialidad , asegurando que sólo quienes estén autorizados pueden acceder a la información; </li></ul><ul><li>su integridad , asegurando que la información y sus métodos de proceso son exactos y completos. </li></ul><ul><li>su disponibilidad , asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran. </li></ul>Qué es Seguridad de Información?
  5. 5. <ul><li>Las empresas deberán establecer, mantener y documentar un sistema de gestión de la seguridad de la información (SGSI). </li></ul>Normativa SBS
  6. 6. <ul><li>Un SGSI se define como la parte del sistema de gestión global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear y mejorar la seguridad de la información. </li></ul><ul><li>Incluye </li></ul><ul><li>Estructura, políticas, procesos, responsabilidades, practicas, procedimientos y recursos. </li></ul>Qué es un SGSI?
  7. 7. <ul><li>Reducción de Riesgos </li></ul><ul><li>Ahorro económico </li></ul><ul><li>Calidad a la seguridad </li></ul><ul><li>Cumplimiento legal </li></ul><ul><li>Competitividad en el mercado </li></ul>Beneficios de un SGSI
  8. 8. <ul><li>El diseño y la implantación de un SGSI se encuentran influenciados por las necesidades, los objetivos, los requisitos de seguridad, los procesos, los empleados, el tamaño, los sistemas de soporte y la estructura de la organización. </li></ul>Naturaleza de un SGSI
  9. 9. Naturaleza de un SGSI
  10. 10. <ul><li>Sistema de Seguridad que refleje los objetivos de la empresa </li></ul><ul><li>Estrategia de implantación alineado con la cultura organizacional </li></ul><ul><li>Apoyo y compromiso de la Alta Gerencia </li></ul><ul><li>Un claro entendimiento de los requerimientos de seguridad </li></ul><ul><li>Comunicación eficaz de los temas de seguridad </li></ul><ul><li>Distribución de guías sobre políticas y estándares de seguridad </li></ul><ul><li>Instrucción y entrenamiento apropiados </li></ul><ul><li>Un sistema de medición para analizar la aplicabilidad del Sistema de Seguridad </li></ul>Factores críticos de éxito
  11. 11. La Seguridad de la Información es un proceso de gestión, NO un proceso tecnológico.
  12. 12. <ul><li>La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, chequear, revisar, mantener, y mejorar el SGSI, a través de las siguientes acciones: </li></ul><ul><ul><li>Formulando la política del SGSI </li></ul></ul><ul><ul><li>Velando por el establecimiento de los objetivos y planes del SGSI </li></ul></ul><ul><ul><li>Estableciendo los roles y responsabilidades en materia de seguridad de la información </li></ul></ul><ul><ul><li>Comunicando a la organización la importancia de cumplir los objetivos y la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua </li></ul></ul>Responsabilidad de la Dirección
  13. 13. <ul><ul><li>La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI, a través de las siguientes acciones: </li></ul></ul><ul><ul><li>Proporcionando recursos suficientes para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI </li></ul></ul><ul><ul><li>Participando en la decisión de los criterios de aceptación de riesgos y los niveles aceptables de riesgos </li></ul></ul><ul><ul><li>Velando por que se realicen las auditorias internas del SGSI </li></ul></ul><ul><ul><li>Dirigiendo las revisiones del SGSI </li></ul></ul>Responsabilidad de la Dirección
  14. 14. <ul><li>La organización debe determinar y proporcionar los recursos necesarios para: </li></ul><ul><ul><li>establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI; </li></ul></ul><ul><ul><li>asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales; </li></ul></ul><ul><ul><li>identificar y tratar los requerimientos legales y reguladores y las obligaciones de seguridad contractuales; </li></ul></ul><ul><ul><li>mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados; </li></ul></ul><ul><ul><li>llevar a cabo revisiones cuando sean necesarias, y reaccionar apropiadamente ante los resultados de estas revisiones; </li></ul></ul><ul><ul><li>donde se requiera, mejorar la efectividad del SGSI. </li></ul></ul>Provisión de Recursos
  15. 15. Capacitación, conocimiento y capacidad <ul><li>Se debe determinar los perfiles requeridos del personal al que se le asigna responsabilidades en el SGSI y diagnosticar sus necesidades de entrenamiento. </li></ul><ul><li>Capacitar y seleccionar al personal para satisfacer los perfiles requeridos. </li></ul><ul><li>Efectuar una evaluación de la eficacia del entrenamiento efectuado. </li></ul><ul><li>Mantener expedientes del personal, donde se detallen: </li></ul><ul><ul><li>educación recibida, </li></ul></ul><ul><ul><li>capacitación realizada, </li></ul></ul><ul><ul><li>capacidades desarrolladas, </li></ul></ul><ul><ul><li>experiencias profesionales y </li></ul></ul><ul><ul><li>calificaciones obtenidas. </li></ul></ul>
  16. 17. Modelo PDCA
  17. 18. <ul><li>Definir la política de seguridad </li></ul><ul><li>Determinar el alcance del proyecto </li></ul><ul><li>Identificar los activos de información </li></ul><ul><li>Análisis y evaluación del riesgo </li></ul><ul><li>Opciones para el tratamiento del riesgo </li></ul>Planificar (crear)
  18. 19. <ul><li>Elaborar el plan de tratamiento del riesgo </li></ul><ul><li>Implementar y operar la política, controles, procesos y procedimientos del SGSI. </li></ul>Hacer (implementar y operar)
  19. 20. <ul><li>Evaluar y medir el rendimiento del proceso contra la política, los objetivos, e informar de los resultados a la Dirección para su revisión. </li></ul>Chequear (monitorear y revisar)
  20. 21. <ul><li>Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI. </li></ul><ul><li>Consiste en llevar el SGSI a la excelencia en el tiempo. </li></ul>Actuar (mantener y mejorar)
  21. 22. <ul><li>El alcance del SGSI </li></ul><ul><li>La política de seguridad </li></ul><ul><li>La descripción de la metodología de evaluación del riesgo. </li></ul><ul><li>El reporte de evaluación del riesgo. </li></ul><ul><li>Los objetivos de control y los controles. </li></ul><ul><li>El plan de tratamiento del riesgo. </li></ul><ul><li>La declaración de aplicabilidad. </li></ul><ul><li>Los procedimientos necesarios para la organización, a fin de asegurar la planeación, la operación y el control efectivos de sus procesos de seguridad de la información. </li></ul><ul><li>Los registros requeridos por el SGSI. </li></ul>Documentar
  22. 24. <ul><li>Definir el alcance del SGSI </li></ul><ul><li>Definir la política de seguridad </li></ul><ul><li>Gestión del Riesgo </li></ul><ul><li>Seleccionar controles de seguridad </li></ul><ul><li>Aprobar el riesgo residual </li></ul><ul><li>Confeccionar una declaración de aplicabilidad </li></ul>Planificar el SGSI
  23. 25. <ul><li>Definir el alcance y los límites del SGSI en función de las características del negocio, la organización, localización, activos, tecnología e incluyendo los detalles de, y la justificación de cualquier exclusión del alcance. </li></ul><ul><li>El SGSI no tiene por qué abarcar toda la organización sino parte de sus servicios o procesos). </li></ul><ul><li>En el alcance se definirán todas las área, procesos, subprocesos o sistemas que serán considerados dentro del SGSI. </li></ul>Alcance del SGSI
  24. 26. <ul><li>Proporcionar a la gerencia la dirección y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes. </li></ul><ul><li>La gerencia debe aprobar la política, y asegurarse de que todos los empleados la han recibido y entienden su efecto en sus tareas cotidianas </li></ul><ul><li>La política de seguridad es un documento muy general, una especie de &quot;declaración de intenciones&quot; de la Dirección, por lo que no pasará de dos o tres páginas. </li></ul>Política de seguridad
  25. 27. <ul><li>La política debería reflejar cuestiones como: </li></ul><ul><ul><li>¿Por qué la información es importante y estratégica para la Organización? </li></ul></ul><ul><ul><li>¿Qué son los requisitos legales y de negocio para la seguridad de la información? </li></ul></ul><ul><ul><li>¿Cuáles son las obligaciones contractuales relativas a procesos de negocio, clientes, empleados, etc.? </li></ul></ul><ul><ul><li>Qué pasos debe tomar la organización para garantizar la seguridad de la información </li></ul></ul>Política de seguridad
  26. 28. Objetivos de seguridad
  27. 29. <ul><li>La estructura organizativa debería consistir en un Comité de Seguridad dirigido por un miembro de la dirección y que incluyera representantes de áreas de negocio más importantes y del departamento de tecnología: </li></ul><ul><ul><li>Revisión y aprobación de la política de seguridad </li></ul></ul><ul><ul><li>Supervisión y control de los cambios significativos en la protección de activos </li></ul></ul><ul><ul><li>Revisión y seguimiento de incidencias </li></ul></ul><ul><ul><li>Aprobación de iniciativas en materia de seguridad </li></ul></ul>Estructura organizativa de seguridad
  28. 30. <ul><li>El Responsable de Seguridad de la Organización debería ser una parte fundamental del comité y coordinar los esfuerzos de seguridad de la Organización. El Responsable de Seguridad en función de la magnitud de la compañía debería formar y coordinar equipos de: </li></ul><ul><ul><li>Respuesta ante incidencias </li></ul></ul><ul><ul><li>Mantenimiento de seguridad </li></ul></ul><ul><ul><li>Formación en seguridad </li></ul></ul><ul><ul><li>Recuperación de desastres </li></ul></ul><ul><ul><li>Propietarios de la Política de Seguridad </li></ul></ul>Responsable de seguridad

×