8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
1/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Seguridad, Control y Auditoria de losSistemas de Informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
2/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Seguridad de la Informacin
La informacin es un recurso que, como el resto de los importantes
activos comerciales, tiene valor para una organizacin y por
consiguiente debe ser debidamente protegida.
La seguridad de la informacin protege sta de una amplia gama de
amenazas, a fin de garantizar la continuidad comercial, minimizar el
dao al mismo y maximizar el retorno sobre las inversiones y lasoportunidades.
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
3/24
Ing. Carlos Castaeda Retegui, CISA, CISM
La seguridad de la informacin se define aqu como la preservacin de
las siguientes caractersticas:
Confidencialidad : se garantiza que la informacin sea accesible
slo a aquellas personas autorizadas a tener acceso a ella.
Integridad : se salvaguarda la exactitud y totalidad de lainformacin y los mtodos de procesamiento.
Disponibilidad : se garantiza que los usuarios autorizados tenganacceso a la informacin y a los recursos relacionados con ellatoda vez que se requiera.
Proteccin de los activos de informacin
Seguridad de la Informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
4/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Para retener una ventaja competitiva y satisfacer los requerimientos
bsicos del negocio, las organizaciones deben:
Preservar la confidencialidad de los datos sensitivos. Asegurar la integridad de la informacin almacenada en sus
sistemas.
Asegurar la disponibilidad continua de sus sistemas deinformacin
Asegurar que los sistemas de informacin se ajusten a las leyes,regulaciones y normas
Importancia de la seguridad de lainformacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
5/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Las organizaciones y sus redes y sistemas de informacin, se
enfrentan en forma creciente con amenazas relativas a la seguridad,
de diversos orgenes, incluyendo el fraude asistido por computadora,
espionaje, sabotaje, vandalismo, incendio o inundacin.
Daos tales como los ataques mediante virus informticos, "hacking" y
denegacin de servicio se han vuelto ms comunes, ambiciosos y
crecientemente sofisticados.
Importancia de la seguridad de lainformacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
6/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Las fallas de seguridad pueden ser costosas para el negocio. Las
prdidas pueden ocurrir como resultado de la falla misma o pueden ser
incurridas en la recuperacin del incidente, seguidos por ms costos
para asegurar los sistemas y prevenir ms fallas.
Un conjunto bien definido de polticas y procedimientos de seguridad
puede prevenir prdidas y ahorrar dinero.
Importancia de la seguridad de lainformacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
7/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
ISO 27001:2005 Estndar para la gestin de la seguridad de lainformacin basada en riesgo.
ISO 17799:2005 (ISO 27002:2005) - Estndar internacional deadministracin de la seguridad de la informacin.
ISO 15408:2005 - Tcnica y criterio de evaluacin de seguridadtecnolgica (Common Criteria)
ISO 13335:2004 (ISO 27005:2005) - Gua para laadministracin de riesgos de seguridad de informacin.
Estndares de seguridad de la informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
8/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Poltica de seguridad, objetivos y actividades que reflejen los
objetivos de la empresa.
Una estrategia de implementacin de seguridad que seaconsecuente con la cultura organizacional.
Apoyo y compromiso manifiestos por parte de la gerencia.
Un claro entendimiento de los requerimientos de seguridad, la
evaluacin de riesgos y la administracin de los mismos.
Factores crticos de xito de la seguridad dela informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
9/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Comunicacin eficaz de los temas de seguridad a todos los
gerentes y empleados;
Distribucin de guas sobre polticas y estndares de seguridadde la informacin a todos los empleados y contratistas;
Instruccin y entrenamiento adecuados;
Un sistema integral y equilibrado de medicin que se utilice para
evaluar el desempeo de la gestin de la seguridad de la
informacin y para brindar sugerencias tendientes a mejorarlo.
Factores crticos de xito de la seguridad dela informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
10/24
Ing. Carlos Castaeda Retegui, CISA, CISM
AlineacinEstratgica
Patrocinio deSeguridad
Asignacin deOficiales de
Seguridad Tolerancia de
Riesgos y nivel deinversin
Estrategia
Programa deSeguridad
Modelo degobernabilidad, Oficiales
de seguridad, comitejecutivo de seguridad. Roles y
responsabilidadesorganizacionales
Administracinde la Seguridad
Clasificacin de losactivos de informacin.
Principios de laarquitectura y losprocesos en sitio paraadministrar lasfunciones claves deseguridad.
Operacin y monitoreode las operaciones
Integracin con lasoperaciones de TI
Administracinde Usuarios
Administracin deIdentidades
Concientizacin delusuario
Proteccin derecursos deinformacin
Evaluacin de Riesgos Privacidad Securidad de
aplicaciones/Bases deDatos
Seguridad de lainfraestructura de red
Administracinde la
continuidad delnegocio
Polticas yEstndares
Nivel deseado degobernabilidad basadoen las polticas quedebe de seguir laempresa en base aseguridad
Definicin clara de losestndares deseguridad Soporte a Usuarios
Proteccin deActivos
Mantenimientode la
Operacin
Proteccinfsica delos
recursos Seguridad fsica
y ambiental
Conciencia yEntrenamiento
Assessmentdelusuario final yentrenamiento
Entrenamiento de TI
Formalizacindel programa y
organizacinde seguridad
inicial
La Direccindefine sus
expectativas yrequerimientosde seguridad
Gobernabilidad
orientada a lasestrategias de
negocio.
Implementacinde Procesos
Alineacin con BS-7799
Proteccin de los activos de informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
11/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Objetivo : Proporcionar direccin y apoyo gerencial para brindarseguridad de la informacin.
El nivel gerencial debe establecer una direccin poltica clara ydemostrar apoyo y compromiso con respecto a la seguridad de la
informacin, mediante la formulacin y mantenimiento de una poltica
de seguridad de la informacin a travs de toda la organizacin.
Poltica de seguridad de la informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
12/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Definicin de la seguridad de la informacin, sus objetivos y
alcance generales y la importancia de la seguridad como unmecanismo que permite la distribucin de la informacin.
Una declaracin del propsito de los responsables del nivel
gerencial, apoyando los objetivos y principios de la seguridad
de la informacin;
Una poltica de seguridad de la informacin debe cumplir como mnimolas siguientes pautas:
Poltica de seguridad de la informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
13/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Una breve explicacin de las polticas, principios, normas yrequisitos de cumplimiento en materia de seguridad, que son
especialmente importantes para la organizacin, por ejemplo:
Cumplimiento de requisitos legales y contractuales.Requisitos de instruccin en materia de seguridad.
Prevencin y deteccin de virus y dems software
malicioso.
Administracin de la continuidad comercial.
Consecuencias de las violaciones a la poltica de
seguridad
Poltica de seguridad de la informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
14/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Una definicin de las responsabilidades generales yespecficas en materia de gestin de la seguridad de la
informacin, incluyendo la comunicacin de los incidentes
relativos a la seguridad;
Referencias a documentos que puedan respaldar la poltica,
por ej. , polticas y procedimientos de seguridad ms
detallados para sistemas de informacin especficos o normas
de seguridad que deben cumplir los usuarios.
Poltica de seguridad de la informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
15/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Las responsabilidades para la proteccin de activos de informacin
deben ser claramente definidas. Las responsabilidades consideradas
por posicin incluyen:
Comit de Seguridad
Gerencia Ejecutiva
Propietarios de los datos
Propietarios del proceso Especialistas / Asesores de seguridad
Usuarios
Auditores de SI
Organizacin para la seguridad de lainformacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
16/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
El acceso a las instalaciones de procesamiento de informacin de laorganizacin por parte de terceros debe ser controlado.
Cuando existe una necesidad de la empresa para permitir dicho
acceso, debe llevarse a cabo una evaluacin de riesgos para
determinar las incidencias en la seguridad y los requerimientos de
control.
Los controles deben ser acordados y definidos en un contrato con la
tercera parte.
Seguridad frente a terceros
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
17/24
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
18/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Se debe rendir cuentas por todos los recursos de informacinimportantes y se debe designar un propietario para cada uno de ellos.
La rendicin de cuentas por los activos ayuda a garantizar que se
mantenga una adecuada proteccin.
Se deben identificar a los propietarios para todos los activos
importantes y se debe asignarse la responsabilidad por el
mantenimiento de los controles apropiados.
La responsabilidad por la implementacin de los controles puede ser
delegada. En ltimo trmino, el propietario designado del activo debe
rendir cuentas por el mismo.
Responsabilidad por activos de informacin
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
19/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Las responsabilidades en materia de seguridad deben ser explicitadasen la etapa de reclutamiento, incluidas en los contratos y monitoreadas
durante el desempeo del individuo como empleado.
Los candidatos a ocupar los puestos de trabajo deben ser
adecuadamente seleccionados, especialmente si se trata de tareas
crticas.
Todos los empleados y usuarios externos del ambiente de
procesamiento deben firmar un acuerdo de confidencialidad.
Seguridad del personal
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
20/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Se debe garantizar que los usuarios estn al corriente de lasamenazas e incumbencias en materia de seguridad de la informacin,
y estn capacitados para respaldar la poltica de seguridad de la
organizacin en el transcurso de sus tareas normales.
Los usuarios deben ser capacitados en relacin con los
procedimientos de seguridad y el correcto uso de las instalaciones de
procesamiento de informacin, a fin de minimizar eventuales riesgos
de seguridad.
Seguridad del personal
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
21/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Las instalaciones de procesamiento de informacin crtica o sensiblede la empresa deben estar ubicadas en reas protegidas y
resguardadas por un permetro de seguridad definido, con vallas de
seguridad y controles de acceso apropiados.
El equipamiento debe estar fsicamente protegido de las amenazas a
la seguridad y los peligros del entorno (condiciones ambientales y de
aislamiento), para reducir el riesgo de acceso no autorizado a los datos
y para prevenir prdidas o daos.
Seguridad fsica y ambiental
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
22/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Los controles de acceso fsico estn diseados para proteger a laorganizacin contra accesos no autorizados al CPD. Estos pueden
incluir:
Cerraduras - Cerrojo, Combinacin, electrnicas,biomtricas
Bitcora o registro de acceso
Cmaras de video
Guardias de seguridad Ambiente cerrado
Desconocimiento de la ubicacin del CPD
Puertas esclusa
Controles de acceso fsico
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
23/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Proteccin de los activos de informacin
Los equipos deben salvaguardarse de las exposiciones ambientalesmediante los siguientes controles:
Panel de control de alarmas
Detector de agua / humedad Detectores de humo
Sistemas de supresin de incendios
Extintores manuales de incendios
Aire acondicionado / sensor de temperatura
Generador de energa ininterrumpida (UPS)
Falso Piso, Falso Techo
Controles ambientales
8/6/2019 Clase 06 - Proteccion de Los Activos de Info Mac Ion (1 de 4)
24/24
Ing. Carlos Castaeda Retegui, CISA, CISM
Preguntas?
Proteccin de los activos de informacin
Top Related