Auditoria de Sistemas Informacion como un activo.
-
Upload
peponlondon -
Category
Technology
-
view
2.826 -
download
0
Transcript of Auditoria de Sistemas Informacion como un activo.
Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada.
La información puede estar:Impresa o escrita en papel.Almacenada electrónicamente.Trasmitida por correo o medios electrónicosMostrada en filmes.Hablada en conversación.
Qué es Información?
La información es un activo que como otros activos importantes tiene valor y requiere en consecuencia una protección adecuada.
Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
Qué es Seguridad de Información?
Característica de la información que se logra mediante la adecuada combinación de políticas, procedimientos, estructura organizacional y herramientas informáticas especializadas a efectos que dicha información cumpla los criterios de confidencialidad, integridad y disponibilidad
Qué es Seguridad de Información?
La seguridad de la información se caracteriza como la preservación de:
su confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información;
su integridad, asegurando que la información y sus métodos de proceso son exactos y completos.
su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
Qué es Seguridad de Información?
Las empresas deberán establecer, mantener y documentar un sistema de gestión de la seguridad de la información (SGSI).
Normativa SBS
Un SGSI se define como la parte del sistema de gestión global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear y mejorar la seguridad de la información.
IncluyeEstructura, políticas, procesos,
responsabilidades, practicas, procedimientos y recursos.
Qué es un SGSI?
Reducción de RiesgosAhorro económicoCalidad a la seguridadCumplimiento legalCompetitividad en el mercado
Beneficios de un SGSI
El diseño y la implantación de un SGSI se encuentran influenciados por las necesidades, los objetivos, los requisitos de seguridad, los procesos, los empleados, el tamaño, los sistemas de soporte y la estructura de la organización.
Naturaleza de un SGSI
Naturaleza de un SGSI
Sistema de Seguridad que refleje los objetivos de la empresa
Estrategia de implantación alineado con la cultura organizacional
Apoyo y compromiso de la Alta GerenciaUn claro entendimiento de los requerimientos de seguridadComunicación eficaz de los temas de seguridadDistribución de guías sobre políticas y estándares de
seguridadInstrucción y entrenamiento apropiadosUn sistema de medición para analizar la aplicabilidad del
Sistema de Seguridad
Factores críticos de éxito
La Seguridad de la Información es un proceso
de gestión, NO unproceso tecnológico.
La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, chequear, revisar, mantener, y mejorar el SGSI, a través de las siguientes acciones:
Formulando la política del SGSI Velando por el establecimiento de los objetivos y planes
del SGSI Estableciendo los roles y responsabilidades en materia de
seguridad de la información Comunicando a la organización la importancia de cumplir
los objetivos y la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua
Responsabilidad de la Dirección
La dirección debe suministrar evidencias de su compromiso para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI, a través de las siguientes acciones:
Proporcionando recursos suficientes para crear, implementar, operar, supervisar, revisar, mantener, y mejorar el SGSI
Participando en la decisión de los criterios de aceptación de riesgos y los niveles aceptables de riesgos
Velando por que se realicen las auditorias internas del SGSI
Dirigiendo las revisiones del SGSI
Responsabilidad de la Dirección
La organización debe determinar y proporcionar los recursos necesarios para: establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un SGSI; asegurar que los procedimientos de seguridad de la
información respalden los requerimientos comerciales; identificar y tratar los requerimientos legales y reguladores
y las obligaciones de seguridad contractuales; mantener una seguridad adecuada mediante la correcta
aplicación de todos los controles implementados; llevar a cabo revisiones cuando sean necesarias, y
reaccionar apropiadamente ante los resultados de estas revisiones;
donde se requiera, mejorar la efectividad del SGSI.
Provisión de Recursos
Capacitación, conocimiento y capacidadSe debe determinar los perfiles requeridos del personal
al que se le asigna responsabilidades en el SGSI y diagnosticar sus necesidades de entrenamiento.
Capacitar y seleccionar al personal para satisfacer los perfiles requeridos.
Efectuar una evaluación de la eficacia del entrenamiento efectuado.
Mantener expedientes del personal, donde se detallen: educación recibida, capacitación realizada, capacidades desarrolladas, experiencias profesionales y calificaciones obtenidas.
Modelo PDCA
Definir la política de seguridadDeterminar el alcance del proyectoIdentificar los activos de informaciónAnálisis y evaluación del riesgoOpciones para el tratamiento del riesgo
Planificar (crear)
Elaborar el plan de tratamiento del riesgoImplementar y operar la política, controles,
procesos y procedimientos del SGSI.
Hacer (implementar y operar)
Evaluar y medir el rendimiento del proceso contra la política, los objetivos, e informar de los resultados a la Dirección para su revisión.
Chequear (monitorear y revisar)
Adoptar medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI.
Consiste en llevar el SGSI a la excelencia en el tiempo.
Actuar (mantener y mejorar)
El alcance del SGSILa política de seguridadLa descripción de la metodología de evaluación del riesgo.El reporte de evaluación del riesgo.Los objetivos de control y los controles.El plan de tratamiento del riesgo.La declaración de aplicabilidad.Los procedimientos necesarios para la organización, a fin
de asegurar la planeación, la operación y el control efectivos de sus procesos de seguridad de la información.
Los registros requeridos por el SGSI.
Documentar
1. Definir el alcance del SGSI2. Definir la política de seguridad3. Gestión del Riesgo4. Seleccionar controles de seguridad5. Aprobar el riesgo residual6. Confeccionar una declaración de
aplicabilidad
Planificar el SGSI
Definir el alcance y los límites del SGSI en función de las características del negocio, la organización, localización, activos, tecnología e incluyendo los detalles de, y la justificación de cualquier exclusión del alcance.
El SGSI no tiene por qué abarcar toda la organización sino parte de sus servicios o procesos).
En el alcance se definirán todas las área, procesos, subprocesos o sistemas que serán considerados dentro del SGSI.
Alcance del SGSI
Proporcionar a la gerencia la dirección y soporte para la seguridad de la información en concordancia con los requerimientos comerciales y las leyes y regulaciones relevantes.
La gerencia debe aprobar la política, y asegurarse de que todos los empleados la han recibido y entienden su efecto en sus tareas cotidianas
La política de seguridad es un documento muy general, una especie de "declaración de intenciones" de la Dirección, por lo que no pasará de dos o tres páginas.
Política de seguridad
La política debería reflejar cuestiones como:¿Por qué la información es importante y estratégica
para la Organización?¿Qué son los requisitos legales y de negocio
para la seguridad de la información?¿Cuáles son las obligaciones contractuales
relativas a procesos de negocio, clientes, empleados, etc.?
Qué pasos debe tomar la organización para garantizar la seguridad de la información
Política de seguridad
Objetivos de seguridad
La estructura organizativa debería consistir en un Comité de Seguridad dirigido por un miembro de la dirección y que incluyera representantes de áreas de negocio más importantes y del departamento de tecnología:Revisión y aprobación de la política de seguridadSupervisión y control de los cambios significativos
en la protección de activosRevisión y seguimiento de incidenciasAprobación de iniciativas en materia de seguridad
Estructura organizativa de seguridad
El Responsable de Seguridad de la Organización debería ser una parte fundamental del comité y coordinar los esfuerzos de seguridad de la Organización. El Responsable de Seguridad en función de la magnitud de la compañía debería formar y coordinar equipos de:Respuesta ante incidenciasMantenimiento de seguridadFormación en seguridadRecuperación de desastresPropietarios de la Política de Seguridad
Responsable de seguridad