Auditoria de Seguridad Informatica.ppt

28
AUDITORIA AUDITORIA INFORMÁTICA DE INFORMÁTICA DE SEGURIDAD SEGURIDAD Ing. Juan Carlos Núñez Ugalde UTL AUDITORIA AUDITORIA INFORMÁTICA INFORMÁTICA

Transcript of Auditoria de Seguridad Informatica.ppt

  • AUDITORIA INFORMTICA DE SEGURIDAD

    Ing. Juan Carlos Nez UgaldeUTLAUDITORIA INFORMTICA

  • INTRODUCCIONLa seguridad informtica es hoy da uno de los mayores dolores de cabeza para las grandes organizaciones. Con gran cantidad de dlares reportados en prdidas econmicas, segn algunas fuentes en Internet, la seguridad informtica se convierte cada vez ms en una necesidad irremediable y urgente para todos.

  • OBJETIVO DE LA AUDITORIA DE SEGURIDADTiene como objetivo determinar el nivel de seguridad de la infraestructura informtica de la empresa, tomando como vectores de ataque aquellos que puedan ser iniciados dentro de la empresa.En esta auditora se realizan ataques controlados desde el permetro interno de la empresa cliente, simulando el comportamiento de un empleado con fines desleales o de algn tercero que se encuentre dentro de la empresa y tenga fines de espionaje corporativo o maliciosos en general.

  • Abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan, contemplando las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. ALCANCE DE LA AUDITORIA INFORMTICA DE SEGURIDAD

  • TRATA DE VERIFICARLos puntos ms dbiles que, al ser explotados por amenazas, afectan la confidencialidad, disponibilidad e integridad de la informacin de un individuo o empresa.

  • IDENTIFICACIN DE AMENAZASPara identificar las vulnerabilidades que pueden afectar a una compaa, debemos responder a la pregunta Cmo puede ocurrir una amenaza?

    Para responder a esta pregunta ponemos como objetivo la amenaza y definimos las distintas situaciones por las que puede ocurrir la misma, evaluando si dentro de la compaa puede darse esa circunstancia; es decir, si el nivel de proteccin es suficiente para evitar que se materialice la amenaza.

  • IDENTIFICACIN DE AMENAZASPor ejemplo, si nuestra Amenaza es que nos roben datos estratgicos de la compaa podemos establecer, como otros, los siguientes escenarios:

    EscenariosNivel de Proteccin

    1. Entrada no autorizada a los datos a travs del sistema informtico.Existe un control de acceso a los datos?

    2. Robo de datos de los dispositivos de almacenamiento magntico.Estn los dispositivos de almacenamiento protegidos y controlados de forma adecuada?

    3. Robo de datos mediante accesos no autorizados.Existen perfiles adecuados de acceso a los datos?

  • TIPOS DE AMENAZASFsicasNaturalesDe HardwareDe SoftwareDe AlmacenamientoDe ConexinHumanas

  • SEGURIDAD FISICALa Seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. Igualmente, a este mbito pertenece la poltica de Seguros.

  • LA SEGURIDAD FISICALa seguridad fsica Existen tres tipos de seguridad: Seguridad lgica. Seguridad fsica. Seguridad de las comunicaciones. La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales Contingencia: es la proximidad de algn dao como riesgo de fallo local o general en una relacin con la cronolgica

  • MEDIDASAntesObtener y mantener un nivel adecuado de seguridad fsica sobre los activos DuranteEjecutar un plan de contingencia adecuadoDespusLos contratos de seguros pueden compensar en mayor o menor medida las prdidas, gastos o responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.

  • AntesEl nivel adecuado de seguridad fsica , o grado de seguridad, es un conjunto de acciones utilizadas para evitar el fallo, o aminorar las consecuencias.Es un concepto general , no solo informtico, en las que las personas hagan uso particular o profesional de los entornos fsicos.

  • AntesUbicacin del edificioUbicacin del CPDCompartimentacinElementos de construccinPotencia elctricaSistemas contra incendiosControl de accesosSeleccin del personalSeguridad de los mediosMedidas de proteccinDuplicacin de los medios

  • DuranteDesastre: es cualquier evento , que cuando ocurre, tiene la capacidad de interrumpir e normal proceso de una empresa.Se debe contar con los medios para afrontarlo cuando ste ocurra.Los medios quedan definidos en el Plan de recuperacin de desastres, junto con el centro alternativo de proceso de datos, constituyen el Plan de Contingencia.

  • DurantePlan de contingencia inexcusablemente debe:Realizar un anlisis de riesgos de sistemas crticosEstablecer un perodo crtico de recuperacinRealizar un anlisis de las aplicaciones crticas estableciendo prioridades de proceso.Establecer prioridades de procesos por das del ao de las aplicaciones y orden de los procesosEstablecer objetivos de recuperacin que determinen el perodo de tiempo (horas, das , semanas) entre la declaracin del desastre y el momento en que el centro alternativo puede procesar las aplicaciones crticas.

  • DuranteDesignar , entre los distintos tipos existentes, un centro alternativo de proceso de datos.Asegurar la capacidad de las comunicacionesAsegurar la capacidad de los servicios de Back-up

  • DespusDe la gama de seguros pueden darse:Centro de proceso y equipamientoReconstruccin de medios de softwareGastos extra ( continuidad de las operaciones y permite compensar la ejecucin del plan de contingencia)Interrupcin del negocio ( cubre prdidas de beneficios netos causados por la caida de sistemas)Documentos y registros valiosos

  • Areas de la seguridad fsicaEdificio :Debe encargarse a peritos especializados Las reas en que el auditor chequea directamente :Organigrama de la empresaDependencias orgnicas, funcionales y jerraquicas.Separacin de funciones y rotacin del personalDa la primera y ms amplia visin del Centro de ProcesoAuditora InternaPersonal, planes de auditoria, historia de auditorias fsicas

  • Areas de la seguridad fsicaAdministracin de la seguridadDirector o responsable de la seguridad integralResponsable de la seguridad informticaAdministradores de redesAdministradores de Base de datosResponsables de la seguridad activa y pasiva del entorno fsicoNormas, procedimientos y planes existentesCentro de proceso de datos e instalacionesEntorno en donde se encuentra el CPDSala de HostSala de operadoresSala de impresorasCmara acorazadaOficinasAlmacenesInstalaciones elctricasAire acondicionado

  • reas de la seguridad fsicaEquipos y comunicacionesHost, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. Seguridad fsica del personalAccesos segurosSalidas segurasMedios y rutas de evacuacin, extincin de incendios, sistemas de bloqueos de puertas y ventanasNormas y polticas emitidas y distribuidas al personal referente al uso de las instalaciones por el personal

  • Fuentes de la auditora FsicaDebieran estar accesibles:Polticas , normas y planes de seguridadAuditoras anteriores, generales o parcialesContratos de seguros, de proveedores y de mantenimientoActas e informes de tcnicos y consultoresInformes de accesos y visitasInformes sobre pruebas de evacuacinPolticas del personalInventarios de soportes ( cintoteca , back-up, procedimientos de archivos, controles de salida y recuperacin de soporte, control de copias, etc.)

  • Normas ISOes un conjunto de normas sobre calidad y gestin continua de calidad, establecidas por la Organizacin Internacional de Normalizacin (ISO). Se pueden aplicar en cualquier tipo de organizacin o actividad orientada a la produccin de bienes o servicios. Las normas recogen tanto el contenido mnimo como las guas y herramientas especficas de implantacin, como los mtodos de auditora.

  • Su implantacin, aunque supone un duro trabajo, ofrece numerosas ventajas para las empresas, entre las que se cuentan con:

    Estandarizar las actividades del personal que trabaja dentro de la organizacin por medio de la documentacinIncrementar la satisfaccin del clienteMedir y monitorizar el desempeo de los procesosDisminuir re-procesosIncrementar la eficacia y/o eficiencia de la organizacin en el logro de sus objetivosMejorar continuamente en los procesos, productos, eficacia, etc.Reducir las incidencias de produccin o prestacin de servicios

  • Tcnicas del auditorTcnicas:Observacin de las instalaciones, sistemas, cumplimiento de normas y procedimientos, etc. ( tanto de espectador como actor)Revisin analtica de:Documentacin sobre construccin y preinstalacionesDocumentacin sobre seguridad fsicaPolticas y normas de actividad de salaNormas y procedimientos sobre seguridad fsica de los datosContratos de seguros y de mantenimientoEntrevistas con directivos y personal fijo o temporal ( no es interrogatorio)Consultas a tcnicos y peritos que formen parte de la plantilla o independientes

  • Cuaderno de campo/ grabadora de audioMquina fotogrfica / cmara de videoSu uso debe ser discreto y con autorizacinHerramientas:

  • Fases de la auditora fsicaFase 1 Alcance de la AuditoraFase 2 Adquisicin de Informacin generalFase 3 Administracin y PlanificacinFase 4 Plan de auditoraFase 5 Resultados de las PruebasFase 6 Conclusiones y Comentarios

  • Fase 7 Borrador del InformeFase 8 Discusin con los Responsables de reaFase 9 Informe FinalInforme anexo al informe carpeta de evidenciasFase 10 Seguimiento de las modificaciones acordadas

  • SEGURIDAD LOGICALa seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.


Guia Auditoria de Seguridad

Guia Auditoria de Seguridad

Seguridad-hw Tarea de Equipo Auditoria

Seguridad-hw Tarea de Equipo Auditoria

TRABAJO AUDITORIA-SEGURIDAD INFORMATICA.docx

TRABAJO AUDITORIA-SEGURIDAD INFORMATICA.docx

Proyecto de Auditoria de Seguridad

Proyecto de Auditoria de Seguridad

Auditoria Seguridad Fisica

Auditoria Seguridad Fisica

Auditoria de Seguridad Informatica

Auditoria de Seguridad Informatica

Seguridad informatica.ppt kevin alzate sebastian correa

Seguridad informatica.ppt kevin alzate sebastian correa

Auditoria y seguridad de ti

Auditoria y seguridad de ti

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

introduccion informatica.ppt

introduccion informatica.ppt

Moodle Informatica.ppt

Moodle Informatica.ppt

Auditoria, seguridad y control de sistemas.ppt

Auditoria, seguridad y control de sistemas.ppt

Auditoria Tecnica de Seguridad

Auditoria Tecnica de Seguridad

Auditoria y Seguridad a

Auditoria y Seguridad a

Ejercicios de test - seguridad y auditoria

Ejercicios de test - seguridad y auditoria

Auditoria de La Seguridad

Auditoria de La Seguridad

Auditoria de seguridad Durango

Auditoria de seguridad Durango

auditoria informatica.ppt

auditoria informatica.ppt

Seguridad y Auditoria Guia Trabajo final

Seguridad y Auditoria Guia Trabajo final

Auditoria de Seguridad Caso

Auditoria de Seguridad Caso