Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos...
-
Upload
casilda-maddry -
Category
Documents
-
view
4 -
download
1
Transcript of Posgrado en Dirección de Sistemas de Información Temario de Seguridad Informática –Riesgos...
Posgrado en Dirección de Sistemas de Información
• Temario de Seguridad Informática
– Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas: Antivirus, Firewalls, Intrusion Detection/Prevention Sistems
– Criptografía Aplicada: Seguridad en el Correo Electrónico, Firma Digital y Métodos de Pago.
– Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría.
– Normativa y Legislación Vigente: ISO - IEC - IRAM 17799, Habeas Data, Firma Digital, Sabarnes Oxley.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Paradigma actual de la Seguridad Informática
• Sostener la Continuidad Segura de los Negocios por medio de una estructura que mantenga la
– Integridad
– Disponibilidad
– Confidencialidad
» Autenticación (de origen de una información)» No repudio
en un grado acorde a la criticidad de la Misión de Negocio del Sistema
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Definición de Virus Informático
• Modelo DAS
–Dañino
–Autorreproductor
–Subrepticio
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Modelo de Virus Informático
entorno
módulo de reproducción
módulo de ataque (optativo)
módulo de defensa (optativo)
(signature)
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Concepto de daño de un virus informático
• Modo de daño
– Implícito
– Explícito
• Tipo de daño
– Performance
– Información
– Hardware
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Concepto de daño de un virus informático
• Potencial de daño
–El daño que puede producir un virus informático no depende de su complejidad sino del entorno donde actúa.
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Funcionamiento de un virus informático
• Debe ejecutarse para, desde la memoria, tomar control de la computadora.
• Genera copias de sí mismo en la computadora ya infectada para garantizar su supervivencia.
• Vía LAN, WAN, Internet, diskette u otras formas de transportar archivos, infecta a otras computadoras.
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Spyware
• Spyware
• Spyware - Troyanos
• Spyware - Web Bugs
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Modelo de Sistema Antivirus
Módulo de ControlAdministración de recursos
Identificación de código
Verificación de integridad
Módulo de Respuesta Alarma Reparar Evitar
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Sniffing
• Permite la obtención de gran cantidad de información sensible enviada sin encriptar– Usuarios, direcciones de e-mail, claves, números
de tarjetas de crédito, etc.
• Consiste en emplear sniffers en entornos de red basados en difusión, como por ejemplo ethernet (mediante el uso de concentradores o hubs).
• El análisis de la información trasmitida permite a su vez extraer relaciones y topologías de las redes y organizaciones.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
IP spoofing
• En TCP/IP se basa en la generación de paquetes IP con una dirección origen falsa.
• El motivo para realizar el envío de paquetes con esa IP puede ser, por ejemplo, que desde la misma se disponga de acceso hacia un sistema destino objetivo, porque existe undispositivo de filtrado (screening router o firewall) que permite el tráfico de paquetes con esa dirección IP origen, o porque existe una relación de confianza entre esos dos sistemas.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
SMTP Spoofing y Spamming
• El SMTP Spoofing a nivel de aplicación se basa en que, en el protocolo SMTP (puerto TCP 25) es posible falsear la dirección fuente de un e-mail enviando mensajes en nombre de otra persona. – Es así porque el protocolo no lleva a cabo ningún
mecanismo de autenticación cuando se realiza la conexión TCP al puerto asociado.
• El spamming consiste en el envío masivo de un mensaje de correo a muchos usuarios destino, pudiendo llegar a saturarse los servidores de correo.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
DoS Denial of Service
• Este tipo de ataques no supone ningún peligro para la seguridad de las máquinas, ya que no modifica los contenidos de la información, por ejemplo páginas Web, ni permite obtener información sensible.
• El objetivo es entorpecer el acceso de los usuarios a los servicios de un sistema. Normalmente, una vez que el ataque finaliza, se vuelve a la situación normal.
• En algunas ocasiones se han empleado para encubrir otros ataques simultáneos cuyo objetivo sí era comprometer el sistema.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
DDoS Distributed Denial of Service
• El proceso esta compuesto de 4 pasos principales:
1) Fase de escaneo con un conjunto objetivo de sistemas muy elevado, 100.000 o más. Se prueban éstos frente a una vulnerabilidad conocida.
2) Se obtiene acceso a parte de esos sistemas a través de la vulnerabilidad.
3) Se instala la herramienta de DDoS en cada sistema comprometido.
4) Se utilizan estos sistemas para escanear y comprometer nuevos sistemas.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Firewall de capa 7Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Verificador de Vulnerabilidades
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
IDS/IPS
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Limitaciones de la tecnología de Inspección Profunda de Paquetes con respecto a la Protección Completa de Contenido
Evolución de las Amenazas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Protección Completa de Contenidos y Performance de Red
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Introducción a la Criptografía
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Problemas que resuelve la Criptografía
• Privacidad
• Integridad
• Autenticación
• No rechazo
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Asimétrica
Este tipo de criptografía se conoce también como criptografía de clave privada o
criptografía de llave privada.
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
•
A B
Mensaje
Canal
Inseguro
C
Criptografía Aplicada
Criptografía Asimétrica
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo AldeganiPosgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
•
A B
Privada A Privada B
Pública A Pública B
Mensaje
Canal
Inseguro
C
Criptografía Aplicada
Criptografía Asimétrica
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo AldeganiPosgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
•
A B
Privada A Privada B
Pública A
Pública A
Pública B
Pública B
Mensaje
Canal
Inseguro
C
Criptografía Aplicada
Criptografía Asimétrica
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
•
A B
Privada A Privada B
Pública A
Pública A
Pública B
Pública B
Mensaje
Canal
Inseguro
C
Pública B
Pública A
Criptografía Aplicada
Criptografía Asimétrica
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
•
A B
Privada A Privada B
Pública A
Pública A
Pública B
Pública B
Mensaje
Encripción
con Pública B
Canal
Inseguro
C
Pública B
Pública A
Criptografía Aplicada
Criptografía Asimétrica
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
•
A B
Privada A Privada B
Pública A
Pública A
Pública B
Pública B
Mensaje
Encripción
con Pública B
Canal
Inseguro
C
Pública B
Pública A
Mensaje
Apócrifo
Encripción
con Pública B
Criptografía Aplicada
Criptografía Asimétrica
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
•
A B
Privada A Privada B
Pública A
Pública A
Pública B
Pública B
Mensaje
Encripción
con Pública B
Encripción
con Privada de A
Canal
Inseguro
C
Pública B
Pública A
Mensaje
Apócrifo
Encripción
con Pública B
Criptografía Aplicada
Criptografía Asimétrica
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
•
A B
Privada A Privada B
Pública A
Pública A
Pública B
Pública B
Mensaje
Encripción
con Pública B
Encripción
con Privada de A
Canal
Inseguro
C
Pública B
Pública A
Mensaje
Apócrifo
Encripción
con Pública B
Confidencialidad Autenticidad de Origen
Criptografía Aplicada
Criptografía Asimétrica
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Asimétrica
• La criptografía asimétrica o de clave pública se divide en tres familias (según el problema matemático en el cual basan su seguridad)
– Problema de Factorización Entera PFE (RSA y Rabin Williams RW)
– Problema del Logaritmo Discreto PLD (Diffie Hellman DH de intercambio de claves y sistema DSA de firma digital)
– Problema del Logaritmo Discreto Elíptico PLDE, hay varios esquemas tanto de intercambio de claves como de firma digital como el DHE (Diffie Hellman Elíptico), DSAE, (Nyberg-Rueppel) NRE, (Menezes, Qu, Vanstone) MQV, etcétera.
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Firma Digital
• Existen dos tipos de esquemas sobre firma digital
– Esquema de firma digital con apéndice
– Esquema de firma digital con mensaje recuperable
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Firma Digital
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
FIRMANTE
MENSAJE
FINGERPRINT DEL MENSAJE
ALGORITMO HASH
Firma Digital
Criptografía Aplicada
ENCRIPCION CON PRIVADA DEL FIRMANTE
FIRMA DIGITAL
MENSAJE NUEVO FINGERPRINT
FINGERPRINT DEL MENSAJE
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Firma Digital
Criptografía Aplicada
FINGERPRINT DEL MENSAJEENCRIPCION
CON PRIVADA DEL FIRMANTE
FIRMA DIGITAL
MENSAJE NUEVO FINGERPRINT
DESENCRIPCIONCON PUBLICA DEL FIRMANTEFINGERPRINT DEL MENSAJE
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Firma Digital
Criptografía Aplicada
FINGERPRINT DEL MENSAJEENCRIPCION
CON PRIVADA DEL FIRMANTE
FIRMA DIGITAL
MENSAJE NUEVO FINGERPRINT
DESENCRIPCIONCON PUBLICA DEL FIRMANTEFINGERPRINT DEL MENSAJE
COMPARACION
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Certificados Digitales
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Infraestructura de Claves Públicas
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
SSL
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
SET
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Este protocolo esta especialmente diseñado para asegurar las transacciones por Internet que se pagan con tarjeta de crédito.
• La principal característica de SET, es que cubre estos huecos en la seguridad que deja SSL.
SET
Criptografía Aplicada
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Determinación de Responsables
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Objetivo de la Infraestructura de seguridad de la información
– Administrar la seguridad de la información dentro de la organización. Debe establecerse un marco gerencial para iniciar y controlar la implementación de la seguridad de la información dentro de la organización.
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Foro gerencial sobre seguridad de la información
– La seguridad de la información es una responsabilidad de la empresa compartida por todos los miembros del equipo gerencial.
– Por consiguiente, debe tenerse en cuenta la creación de un foro gerencial para garantizar que existe una clara dirección y un apoyo manifiesto de la gerencia a las iniciativas de seguridad.
– Este foro debe promover la seguridad dentro de la organización mediante un adecuado compromiso y una apropiada reasignación de recursos.
– El foro podría ser parte de un cuerpo gerencial existente.
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Coordinación de la seguridad de la información
– En una gran organización, podría ser necesaria la creación de un foro ínter funcional que comprenda representantes gerenciales de sectores relevantes de la organización para coordinar la implementación de controles de seguridad de la información.
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Asignación de responsabilidades en materia de seguridad de la información
– Deben definirse claramente las responsabilidades para la protección de cada uno de los recursos y por la implementación de procesos específicos de seguridad.
– La política de seguridad de la información debe suministrar una orientación general acerca de la asignación de funciones de seguridad y responsabilidades dentro la organización.
– Esto debe complementarse, cuando corresponda, con una guía más detallada para sitios, sistemas o ser-vicios específicos.
– Deben definirse claramente las responsabilidades locales para cada uno de los procesos de seguridad y recursos físicos y de
información, como la planificación de la continuidad de los negocios.
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Proceso de autorización para instalaciones de procesamiento de información
– Debe establecerse un proceso de autorización gerencial para nuevas instalaciones de procesamiento de información..
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Asesoramiento especializado en materia de seguridad de la información
– Es probable que muchas organizaciones requieran asesoramiento especializado en materia de seguridad.
– Idealmente, éste debe ser provisto por un asesor interno experimentado en seguridad de la información.
– No todas las organizaciones desean emplear aun asesor especializado.
• En esos casos, se recomienda que se identifique a una persona determinada para coordinar los conocimientos y experiencias disponibles en la organización a fin de garantizar coherencia, y brindar ayuda para la toma de decisiones en materia de seguridad.
• También debe tener acceso a calificados asesores externos para
brindar asesoramiento especializado más allá de su propia experiencia.
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Las Políticas de Seguridad son los documentos que describen la forma adecuada de uso de los recursos de un sistema de cómputo, las responsabilidades y derechos que tanto usuarios como administradores tienen y qué hacer ante un incidente de seguridad.
• Mientras las políticas indican el “qué”, los procedimientos indican el “cómo”. Los procedimientos son los que nos permiten llevar a cabo las políticas.
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Las políticas son parte fundamental de cualquier esquema de seguridad eficiente.
• Como administradores, nos aminoran los riesgos, y nos permiten actuar de manera rápida y acertada en caso de haber una emergencia de cómputo.
• Como usuarios, nos indican la manera adecuada de usar un sistema, indicando lo que puede hacerse y lo que debe evitarse en un sistema de cómputo, contribuyendo a que no seamos “malos vecinos” de la red sin saberlo.
• El tener un esquema de políticas facilita grandemente la introducción de nuevo personal, teniendo ya una base escrita y clara para capacitación; dan una imagen profesional a la organización y facilitan una auditoría.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Al diseñar un esquema de políticas de seguridad, conviene que dividamos nuestro trabajo en varias diferentes políticas específicas a un campo.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Políticas de cuentas
– Establecen qué es una cuenta de usuario de un sistema de cómputo, cómo está conformada, a quién puede serle otorgada, quién es el encargado de asignarlas, cómo deben ser creadas y comunicadas.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Políticas de contraseñas
– Son una de las políticas más importantes, ya que por lo general, las contraseñas constituyen la primera y tal vez única manera de autenticación y, por tanto, la única línea de defensa contra ataques.
– Establecen quién asignará la contraseña, qué longitud debe tener, a qué formato deberá apegarse, cómo será comunicada, etc.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Políticas de control de acceso
– Especifican cómo deben los usuarios acceder al sistema, desde dónde y de qué manera deben autentificarse.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Políticas de uso adecuado
– Especifican lo que se considera un uso adecuado o inadecuado del sistema por parte de los usuarios, así como lo que está permitido y lo que está prohibido dentro del sistema de cómputo.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Políticas de uso adecuado
– Existen dos enfoques
• Permisivo (todo lo que no esté explícitamente prohibido está permitido)
• Paranoico (todo lo que no esté explícitamente permitido está prohibido).
– Cuál de estas elegir dependerá del tipo de organización y el nivel de seguridad que esta requiera.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Políticas de respaldos
– Especifican qué información debe respaldarse, con qué periodicidad, qué medios de respaldo utilizar, cómo deberá ser restaurada la información, dónde deberán almacenarse los respaldos, etc.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Políticas de correo electrónico
– Establece tanto el uso adecuado como inadecuado del servicio de correo electrónico, los derechos y obligaciones que el usuario debe hacer valer y cumplir al respecto.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Políticas de contabilidad del sistema
– Establecen los lineamientos bajo los cuales pueden ser monitoreadas las actividades de los usuarios del sistema de cómputo, así como la manera en que debe manejarse la contabilidad del sistema y el propósito de la misma.
Determinación de Normas y Procedimientos
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Plan de Contingencia - Contingency Plan (CP)
• Plan de Continuidad de Negocio - Business Continuity Plan (BCP)
• Plan de Recuperación de Desastres - Disaster Recovery Plan (DRP)
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Desastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Toda planificación de Recuperación ante Contingencias debe ser realizada antes de la ocurrencia de los eventos.
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Causas de Contingencia
– Eventos naturales
– Eventos ocasionados por personas
– Eventos debidos a fallas de tecnología
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Definición de Alcance e Inicio del Plan.
• Evaluación del Impacto en el Negocio (Business Impact Assessment – BIA).
• Desarrollo del Plan.
• Aprobación e Implantación del Plan.
• Prueba y Mantenimiento del Plan.
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Alcance del Plan
– Roles y Responsabilidades
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Evaluación del Impacto en el Negocio
(BIA)
– Objetivos
– Tareas
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Evaluación del Impacto en el Negocio
(BIA)
– Risk Assessment
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Desarrollo de la Estrategia (Selección de Alternativas)
• Definición de la Estrategia
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Implantación (Desarrollo del Plan)
• Prevención/ Mitigación de Riesgos.
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Toma de decisiones
• ¿Qué incluye el BCP?
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Disaster Recovery Plan
– Objetivos
– Procesos
– Mantenimiento
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Testeo de DRP
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Equipos de Trabajo
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Otros aspecto a considerar
• Conclusiones
Selección e implementación de Planes de Contingencia, Continuidad de negocios y Recuperación de Sesastres
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Objetivo
– Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.
Implementación de un sistema de Control por Oposición o Auditoría Interna
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Controles de auditoría
• Protección de las herramientas de auditoría
Implementación de un sistema de Control por Oposición o Auditoría Interna
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Relación con la empresa
• Convenio de Confidencialidad
• Limitaciones del entorno a auditar
Manejo de Auditorías Externas
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Ley de Habeas Data
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
ARTICULO 1°.- (Objeto)
La presente ley tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.
Normativa y Legislación Vigente
Ley de Firma Digital
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
ARTICULO 3°.- Del requerimiento de firma. Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una firma digital. Este principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias para su ausencia.
Normativa y Legislación Vigente
Antecedentes
• 1995 se publica BS 7799
• 1999 se revisa BS 7799
• 2000 se adopta como ISO 17799
• 2002 se homologa como IRAM 17799
• 2004 lo adopta la ONTI como base para las Políticas de Seguridad de Gestión Pública
Normativa y Legislación Vigente
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Las diez Areas de Control
• Existen diez grandes áreas organizacionales con 127 controles de seguridad y más de 500 subcontroles
• No todos los controles podrán aplicarse a cada empresa, sin embargo la norma 17799 ayuda a identificar los controles relevantes para cada empresas.
• 1) Política de Seguriad• 2) Organización de la Seguridad• 3) Clasificación y Control de Activos• 4) Seguridad Personal• 5) Seguridad Física y Ambiental• 6) Control de Comunicaciones y Operaciones• 7) Control de Accesos• 8) Desarrollo y Mantenimiento de Sistemas• 9) Administración de la Continuidad de Negocios• 10) Cumplimiento
Normativa y Legislación Vigente
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Sarbanes Oxley
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Qué es la ley Sarbanes Oxley Act
• Que relación hay entre la ley SOX en las TI
Normativa y Legislación Vigente
Sarbanes Oxley
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
• Cómo afecta la ley Sarbanes Oxley a la cadena de valor
• Y las empresas Argentinas?
• Que deben hacer las empresas
Normativa y Legislación Vigente