Auditoria de la_seguridad
23
Auditoria de la Seguridad Cr. Luis Elissondo
-
Upload
oscar-lopez-paredes -
Category
Documents
-
view
236 -
download
0
Transcript of Auditoria de la_seguridad
Auditoria de la Seguridad
Cr. Luis Elissondo
Seguridad y Auditoria
Seguridad Auditoría
AuditoríaDe la
Seguridad
Con que tipo de controles puedo contar?
Controles Directivos
Controles Detectivos
Controles Preventivos
Controles Recuperación
Que son las Politicas de Seguridad Informática?
Una polít ica de seguridad informática es una forma de comunicarse con losusuarios y los gerentes. Las PSI establecen el canal formal de actuacióndel personal, en relación con los recursos y servicios informáticos, importantes de la organización.
No se trata de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el por qué de ello.
Cada PSI es consciente y vigilante del personal por el uso y l imitaciones de los recursos y servicios informáticos crít icos de la compañía.
Elementos que debe contener una política de
Seg. Inf. Alcance de las polít icas, incluyendo faci l idades, sistemas y
personal sobre la cual aplica. Es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios.
Objetivos de la polít ica y descripción clara de los elementos involucrados en su definición.
Responsabil idades por cada uno de los servicios y recursos informáticos a todos los niveles de la organización.
Requerimientos mínimos para configuración de la seguridad de los sistemas que cobija el alcance de la polít ica.
Definición de violaciones y de las consecuencias del no cumplimiento de la polít ica.
Responsabil idades de los usuarios con respecto a la información a la que ella t iene acceso.
Ejemplo de una Politica
Todos los usuarios deben estar adecuadamente registrados y acceder solo a los recursos que le fueron asignados.
Ejemplo de un Procedimiento
Procedimiento de alta de cuenta de usuarioCuando un elemento de la organización requiere una cuenta de operación en el
sistema, debe llenar un formulario que contenga, al menos los siguientes datos:• Nombre y Apellido• Puesto de trabajo• Jefe inmediato superior que avale el pedido• Descripción de los trabajos que debe realizar en el sistema• Explicaciones breves, pero claras de cómo elegir su password.Asimismo, este formulario debe tener otros elementos que conciernen a la partede ejecución del área encargada de dar de alta la cuenta, datos como:• Tipo de cuenta• Fecha de caducidad• Fecha de expiración• Datos referentes a los permisos de acceso (por ejemplo, tipos depermisos a los diferentes directorios y/o archivos) Si tiene o no restricciones horarias para el uso de algunos recursos y/o para elingreso al sistema.
Diagrama para analizar un programa se seguridad
Riesgos
No continuidad del Negocio el acceso indebido a los datos (a veces a
través de redes), la cesión no autorizada de soportes
magnéticos con información crít ica (algunos dicen "sensible"),
los daños por fuego, por agua (del exterior como puede ser una inundación, opor una tubería interior),
la variación no autorizada de programas, su copia indebida, y tantos otros,persiguiendo el propio beneficio o causar un daño, a veces por venganza.
Niveles de Trabajo
Confidencialidad Integridad Autenticidad No Repudio Disponibilidad de los recursos y de la
información Consistencia Control de Acceso Auditoría
Determinación de los Riesgos
Qué se necesita proteger
De quién protegerlo
Cómo protegerlo
Que hacer con los riesgos
Eliminarlos
Disminuirlos
Transferirlos
Asumir los Riesgos
Fases de la Auditoria
Objetivos , delimitación de alcance y profundidad del trabajo.
Análisis de posibles fuentes y recopilación de información.
Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad.
Determinación de herramientas o perfiles de especialistas necesarios.
Realización de entrevistas y pruebas. Analisis de Riesgos y Resultados Discusión del informe Provisional Informe Definitivo
Auditar la Seguridad Física
Medidas de Protección Fisica Lay Out Riesgos posibles Controles de detección Politicas de Backup y almacenamiento Plan de Recuperación
Auditoria de la Seguridad Lógica
Administración de Recursos Humanos
Politicas de administración de Usuarios.
Asignación de la contraseña. Longitud,
vigencia, repetición,etc
No cesión de clave – uso individual
Auditoria del Desarrollo de Aplicaciones
Controles incorporados.
Prueba de la Aplicación.
Puesta en Produccion
Seguridad en los Datos
Confidencialidad
Disponibilidad e Integridad
Ciclo de vida de los Datos
Ciclo de vida de la Información
Generación
Registro Modificación / Consulta
Eliminación
Auditoria de Redes y Comunicaciones
Conexiones Cifrado Salidas gateway y
routers Correo Electrónico Páginas WEB Firewalls
Auditoria de la continuidad de las operaciones
Plan de Contigencia
Completitud
Divulgación
Actualización
Plan de Recuperación
Fuentes de la Auditoría
Politicas, estándares, normas y procedimientos. Plan de sistemas. Planes de seguridad y continuidad Contratos, pólizas de seguros. Organigrama y manual de funciones. Manuales de sistemas. Registros Entrevistas Archivos Requerimientos de Usuarios
Desarrollo del caso práctico
