Posgrado en Dirección de Sistemas de Información
• Temario de Seguridad Informática
– Riesgos Informáticos en Ambientes Conectados a Internet y sus
contramedidas: Antivirus, Firewalls, Intrusion Detection/Prevention
Sistems
– Criptografía Aplicada: Seguridad en el Correo Electrónico, Firma
Digital y Métodos de Pago.
– Desarrollo de Políticas y Planes de Contingencia y la Función de la
Auditoría.
– Normativa y Legislación Vigente: ISO - IEC - IRAM 17799, Habeas
Data, Firma Digital, Sabarnes Oxley.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Paradigma actual de la Seguridad Informática
• Sostener la Continuidad Segura de los Negocios por medio de
una estructura que mantenga la
– Integridad
– Disponibilidad
– Confidencialidad
» Autenticación (de origen de una información)
» No repudio
en un grado acorde a la criticidad de la Misión de Negocio
del Sistema
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Definición de Virus Informático
• Modelo DAS
–Dañino
–Autorreproductor
–Subrepticio
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Modelo de Virus Informático
entorno
módulo de reproducción
módulo de ataque (optativo)
módulo de defensa (optativo)
(signature)
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Concepto de daño de un virus informático
• Modo de daño
– Implícito
– Explícito
• Tipo de daño
– Performance
– Información
– Hardware
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Concepto de daño de un virus informático
• Potencial de daño
–El daño que puede producir un virus
informático no depende de su
complejidad sino del entorno donde
actúa.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Funcionamiento de un virus informático
• Debe ejecutarse para, desde la memoria,
tomar control de la computadora.
• Genera copias de sí mismo en la
computadora ya infectada para garantizar su
supervivencia.
• Vía LAN, WAN, Internet, diskette u otras
formas de transportar archivos, infecta a
otras computadoras.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Spyware
• Spyware
• Spyware - Troyanos
• Spyware - Web Bugs
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Modelo de Sistema Antivirus
Módulo de Control
Administración de recursos
Identificación de código
Verificación de integridad
Módulo de Respuesta
Alarma Reparar Evitar
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Sniffing
• Permite la obtención de gran cantidad de información
sensible enviada sin encriptar
– Usuarios, direcciones de e-mail, claves, números
de tarjetas de crédito, etc.
• Consiste en emplear sniffers en entornos de red
basados en difusión, como por ejemplo ethernet
(mediante el uso de concentradores o hubs).
• El análisis de la información trasmitida permite a su
vez extraer relaciones y topologías de las redes y
organizaciones.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
IP spoofing
• En TCP/IP se basa en la generación de paquetes IP
con una dirección origen falsa.
• El motivo para realizar el envío de paquetes con esa
IP puede ser, por ejemplo, que desde la misma se
disponga de acceso hacia un sistema destino
objetivo, porque existe undispositivo de filtrado
(screening router o firewall) que permite el tráfico de
paquetes con esa dirección IP origen, o porque
existe una relación de confianza entre esos dos
sistemas.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
SMTP Spoofing y Spamming
• El SMTP Spoofing a nivel de aplicación se basa en
que, en el protocolo SMTP (puerto TCP 25) es
posible falsear la dirección fuente de un e-mail
enviando mensajes en nombre de otra persona.
– Es así porque el protocolo no lleva a cabo ningún
mecanismo de autenticación cuando se realiza la
conexión TCP al puerto asociado.
• El spamming consiste en el envío masivo de un
mensaje de correo a muchos usuarios destino,
pudiendo llegar a saturarse los servidores de correo.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
DoS Denial of Service
• Este tipo de ataques no supone ningún peligro para
la seguridad de las máquinas, ya que no modifica los
contenidos de la información, por ejemplo páginas
Web, ni permite obtener información sensible.
• El objetivo es entorpecer el acceso de los usuarios a
los servicios de un sistema. Normalmente, una vez
que el ataque finaliza, se vuelve a la situación
normal.
• En algunas ocasiones se han empleado para
encubrir otros ataques simultáneos cuyo objetivo sí
era comprometer el sistema.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
DDoS Distributed Denial of Service
• El proceso esta compuesto de 4 pasos principales:
1) Fase de escaneo con un conjunto objetivo de
sistemas muy elevado, 100.000 o más. Se
prueban éstos frente a una vulnerabilidad
conocida.
2) Se obtiene acceso a parte de esos sistemas a
través de la vulnerabilidad.
3) Se instala la herramienta de DDoS en cada
sistema comprometido.
4) Se utilizan estos sistemas para escanear y
comprometer nuevos sistemas.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Firewall de capa 7
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Verificador de Vulnerabilidades
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
IDS/IPS
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Limitaciones de la tecnología de Inspección Profunda de
Paquetes con respecto a la Protección Completa de Contenido
Evolución de las Amenazas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Riesgos Informáticos en Ambientes Conectados a Internet y sus contramedidas
Protección Completa de Contenidos y Performance de Red
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Introducción a la Criptografía
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Problemas que resuelve la Criptografía
• Privacidad
• Integridad
• Autenticación
• No rechazo
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
Este tipo de criptografía se conoce también
como criptografía de clave privada o
criptografía de llave privada.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
C
•
A
Canal
B
Inseguro
Mensaje
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
C
•
A
Canal
B
Inseguro
Privada A
Pública A
Mensaje
Privada B
Pública B
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
C
•
A
Canal
B
Inseguro
Privada A
Mensaje
Privada B
Pública A
Pública B
Pública B
Pública A
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
Pública A
•
C
Pública B
A
Canal
B
Inseguro
Privada A
Mensaje
Privada B
Pública A
Pública B
Pública B
Pública A
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
Pública A
•
C
Pública B
A
Canal
B
Inseguro
Privada A
Pública A
Pública B
Mensaje
Encripción
con Pública B
Privada B
Pública B
Pública A
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
Pública A
•
C
Mensaje
Pública B
Apócrifo
Encripción
con Pública B
A
Canal
B
Inseguro
Privada A
Pública A
Pública B
Mensaje
Encripción
con Pública B
Privada B
Pública B
Pública A
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
Pública A
•
C
Mensaje
Pública B
Apócrifo
Encripción
con Pública B
A
Canal
B
Inseguro
Privada A
Pública A
Pública B
Mensaje
Encripción
con Pública B
Encripción
con Privada de A
Privada B
Pública B
Pública A
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
Pública A
•
C
Mensaje
Pública B
Apócrifo
Encripción
con Pública B
A
Canal
B
Inseguro
Mensaje
Privada A
Privada B
Encripción
con Pública B
Pública A
Encripción
Pública B
con Privada de A
Confidencialidad
Pública B
Pública A
Autenticidad de Origen
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Criptografía Asimétrica
• La criptografía asimétrica o de clave pública se divide en
tres familias (según el problema matemático en el cual
basan su seguridad)
– Problema de Factorización Entera PFE (RSA y Rabin Williams RW)
– Problema del Logaritmo Discreto PLD (Diffie Hellman DH de
intercambio de claves y sistema DSA de firma digital)
– Problema del Logaritmo Discreto Elíptico PLDE, hay varios
esquemas tanto de intercambio de claves como de firma digital
como el DHE (Diffie Hellman Elíptico), DSAE, (Nyberg-Rueppel)
NRE, (Menezes, Qu, Vanstone) MQV, etcétera.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Firma Digital
• Existen dos tipos de esquemas sobre firma digital
– Esquema de firma digital con apéndice
– Esquema de firma digital con mensaje recuperable
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Firma Digital
FIRMANTE
MENSAJE
ALGORITMO HASH
FINGERPRINT DEL MENSAJE
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Firma Digital
MENSAJE
NUEVO FINGERPRINT
FINGERPRINT DEL MENSAJE
ENCRIPCION
CON PRIVADA DEL FIRMANTE
FIRMA DIGITAL
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Firma Digital
MENSAJE
FINGERPRINT DEL MENSAJE
ENCRIPCION
CON PRIVADA DEL FIRMANTE
NUEVO FINGERPRINT
DESENCRIPCION
CON PUBLICA DEL FIRMANTE
FINGERPRINT DEL MENSAJE
FIRMA DIGITAL
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Firma Digital
MENSAJE
FINGERPRINT DEL MENSAJE
NUEVO FINGERPRINT
DESENCRIPCION
CON PUBLICA DEL FIRMANTE
ENCRIPCION
CON PRIVADA DEL FIRMANTE
FINGERPRINT DEL MENSAJE
FIRMA DIGITAL
COMPARACION
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Certificados Digitales
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
Infraestructura de Claves Públicas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
SSL
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
SET
• Este protocolo esta especialmente diseñado para asegurar
las transacciones por Internet que se pagan con tarjeta de
crédito.
• La principal característica de SET, es que cubre estos
huecos en la seguridad que deja SSL.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Criptografía Aplicada
SET
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
• Objetivo de la Infraestructura de seguridad
de la información
– Administrar la seguridad de la información
dentro de la organización. Debe establecerse un
marco gerencial para iniciar y controlar la
implementación de la seguridad de la
información dentro de la organización.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
• Foro gerencial sobre seguridad de la información
– La seguridad de la información es una responsabilidad
de la empresa compartida por todos los miembros del
equipo gerencial.
– Por consiguiente, debe tenerse en cuenta la creación de
un foro gerencial para garantizar que existe una clara
dirección y un apoyo manifiesto de la gerencia a las
iniciativas de seguridad.
– Este foro debe promover la seguridad dentro de la
organización mediante un adecuado compromiso y una
apropiada reasignación de recursos.
– El foro podría ser parte de un cuerpo gerencial existente.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
• Coordinación de la seguridad de la
información
– En una gran organización, podría ser necesaria
la creación de un foro ínter funcional que
comprenda representantes gerenciales de
sectores relevantes de la organización para
coordinar la implementación de controles de
seguridad de la información.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
• Asignación de responsabilidades en materia de
seguridad de la información
– Deben definirse claramente las responsabilidades para la protección
de cada uno de los recursos y por la implementación de procesos
específicos de seguridad.
– La política de seguridad de la información debe suministrar una
orientación general acerca de la asignación de funciones de
seguridad y responsabilidades dentro la organización.
– Esto debe complementarse, cuando corresponda, con una guía más
detallada para sitios, sistemas o ser-vicios específicos.
– Deben definirse claramente las responsabilidades locales para cada
uno de los procesos de seguridad y recursos físicos y de
información, como la planificación de la continuidad de los negocios.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
• Proceso de autorización para instalaciones
de procesamiento de información
– Debe establecerse un proceso de autorización
gerencial para nuevas instalaciones de
procesamiento de información..
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Responsables
• Asesoramiento especializado en materia de
seguridad de la información
– Es probable que muchas organizaciones requieran asesoramiento
especializado en materia de seguridad.
– Idealmente, éste debe ser provisto por un asesor interno
experimentado en seguridad de la información.
– No todas las organizaciones desean emplear aun asesor
especializado.
• En esos casos, se recomienda que se identifique a una persona
determinada para coordinar los conocimientos y experiencias
disponibles en la organización a fin de garantizar coherencia, y brindar
ayuda para la toma de decisiones en materia de seguridad.
• También debe tener acceso a calificados asesores externos para brindar
asesoramiento especializado más allá de su propia experiencia.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Las Políticas de Seguridad son los documentos
que describen la forma adecuada de uso de los
recursos de un sistema de cómputo, las
responsabilidades y derechos que tanto usuarios
como administradores tienen y qué hacer ante un
incidente de seguridad.
• Mientras las políticas indican el “qué”, los
procedimientos indican el “cómo”. Los
procedimientos son los que nos permiten llevar a
cabo las políticas.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Las políticas son parte fundamental de cualquier esquema de seguridad
eficiente.
• Como administradores, nos aminoran los riesgos, y nos permiten actuar
de manera rápida y acertada en caso de haber una emergencia de
cómputo.
• Como usuarios, nos indican la manera adecuada de usar un sistema,
indicando lo que puede hacerse y lo que debe evitarse en un sistema de
cómputo, contribuyendo a que no seamos “malos vecinos” de la red sin
saberlo.
• El tener un esquema de políticas facilita grandemente la introducción de
nuevo personal, teniendo ya una base escrita y clara para capacitación;
dan una imagen profesional a la organización y facilitan una auditoría.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Al diseñar un esquema de políticas de seguridad,
conviene que dividamos nuestro trabajo en varias
diferentes políticas específicas a un campo.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Políticas de cuentas
– Establecen qué es una cuenta de usuario de un
sistema de cómputo, cómo está conformada, a
quién puede serle otorgada, quién es el
encargado de asignarlas, cómo deben ser
creadas y comunicadas.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Políticas de contraseñas
– Son una de las políticas más importantes, ya
que por lo general, las contraseñas constituyen
la primera y tal vez única manera de
autenticación y, por tanto, la única línea de
defensa contra ataques.
– Establecen quién asignará la contraseña, qué
longitud debe tener, a qué formato deberá
apegarse, cómo será comunicada, etc.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Políticas de control de acceso
– Especifican cómo deben los usuarios acceder al
sistema, desde dónde y de qué manera deben
autentificarse.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Políticas de uso adecuado
– Especifican lo que se considera un uso
adecuado o inadecuado del sistema por parte de
los usuarios, así como lo que está permitido y lo
que está prohibido dentro del sistema de
cómputo.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Políticas de uso adecuado
– Existen dos enfoques
• Permisivo (todo lo que no esté explícitamente prohibido está
permitido)
• Paranoico (todo lo que no esté explícitamente permitido está
prohibido).
– Cuál de estas elegir dependerá del tipo de organización
y el nivel de seguridad que esta requiera.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Políticas de respaldos
– Especifican qué información debe respaldarse,
con qué periodicidad, qué medios de respaldo
utilizar, cómo deberá ser restaurada la
información, dónde deberán almacenarse los
respaldos, etc.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Políticas de correo electrónico
– Establece tanto el uso adecuado como
inadecuado del servicio de correo electrónico,
los derechos y obligaciones que el usuario debe
hacer valer y cumplir al respecto.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Determinación de Normas y Procedimientos
• Políticas de contabilidad del sistema
– Establecen los lineamientos bajo los cuales
pueden ser monitoreadas las actividades de los
usuarios del sistema de cómputo, así como la
manera en que debe manejarse la contabilidad
del sistema y el propósito de la misma.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Desastres
• Plan de Contingencia - Contingency Plan
(CP)
• Plan de Continuidad de Negocio - Business
Continuity Plan (BCP)
• Plan de Recuperación de Desastres Disaster Recovery Plan (DRP)
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Toda planificación de Recuperación ante
Contingencias debe ser realizada antes de la
ocurrencia de los eventos.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Causas de Contingencia
– Eventos naturales
– Eventos ocasionados por personas
– Eventos debidos a fallas de tecnología
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Definición de Alcance e Inicio del Plan.
• Evaluación del Impacto en el Negocio (Business Impact
Assessment – BIA).
• Desarrollo del Plan.
• Aprobación e Implantación del Plan.
• Prueba y Mantenimiento del Plan.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Alcance del Plan
– Roles y Responsabilidades
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Evaluación del Impacto en el Negocio
(BIA)
– Objetivos
– Tareas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Evaluación del Impacto en el Negocio
(BIA)
– Risk Assessment
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Desarrollo de la Estrategia (Selección de
Alternativas)
• Definición de la Estrategia
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Implantación (Desarrollo del Plan)
• Prevención/ Mitigación de Riesgos.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Toma de decisiones
• ¿Qué incluye el BCP?
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Disaster Recovery Plan
– Objetivos
– Procesos
– Mantenimiento
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Testeo de DRP
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Equipos de Trabajo
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Selección e implementación de Planes de Contingencia,
Continuidad de negocios y Recuperación de Sesastres
• Otros aspecto a considerar
• Conclusiones
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Implementación de un sistema de Control por Oposición o
Auditoría Interna
• Objetivo
– Optimizar la eficacia del proceso de auditoria de
sistemas y minimizar los problemas que pudiera
ocasionar el mismo, o los obstáculos que
pudieran afectarlo.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Implementación de un sistema de Control por Oposición o
Auditoría Interna
• Controles de auditoría
• Protección de las herramientas de auditoría
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Desarrollo de Políticas y Planes de Contingencia y la Función de la Auditoría
Manejo de Auditorías Externas
• Relación con la empresa
• Convenio de Confidencialidad
• Limitaciones del entorno a auditar
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Normativa y Legislación Vigente
Ley de Habeas Data
ARTICULO 1°.- (Objeto)
La presente ley tiene por objeto la protección integral de los
datos personales asentados en archivos, registros, bancos de
datos, u otros medios técnicos de tratamiento de datos, sean
éstos públicos, o privados destinados a dar informes, para
garantizar el derecho al honor y a la intimidad de las
personas, así como también el acceso a la información que
sobre las mismas se registre, de conformidad a lo establecido
en el artículo 43, párrafo tercero de la Constitución Nacional.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Normativa y Legislación Vigente
Ley de Firma Digital
ARTICULO 3°.- Del requerimiento de firma. Cuando la ley
requiera una firma manuscrita, esa exigencia también queda
satisfecha por una firma digital. Este principio es aplicable a
los casos en que la ley establece la obligación de firmar o
prescribe consecuencias para su ausencia.
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Normativa y Legislación Vigente
Antecedentes
• 1995 se publica BS 7799
• 1999 se revisa BS 7799
• 2000 se adopta como ISO 17799
• 2002 se homologa como IRAM 17799
• 2004 lo adopta la ONTI como base para
las Políticas de Seguridad de Gestión
Pública
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Normativa y Legislación Vigente
Las diez Areas de Control
• Existen diez grandes áreas organizacionales con 127
controles de seguridad y más de 500 subcontroles
• No todos los controles podrán aplicarse a cada empresa,
sin embargo la norma 17799 ayuda a identificar los
controles relevantes para cada empresas.
•
•
•
•
•
•
•
•
•
•
1) Política de Seguriad
2) Organización de la Seguridad
3) Clasificación y Control de Activos
4) Seguridad Personal
5) Seguridad Física y Ambiental
6) Control de Comunicaciones y Operaciones
7) Control de Accesos
8) Desarrollo y Mantenimiento de Sistemas
9) Administración de la Continuidad de Negocios
10) Cumplimiento
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Normativa y Legislación Vigente
Sarbanes Oxley
• Qué es la ley Sarbanes Oxley Act
• Que relación hay entre la ley SOX en las TI
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Normativa y Legislación Vigente
Sarbanes Oxley
• Cómo afecta la ley Sarbanes Oxley a la cadena
de valor
• Y las empresas Argentinas?
• Que deben hacer las empresas
Posgrado en Dirección de Sistemas de Información - © 2008 Gustavo Aldegani
Descargar

Título del punto que se está tratando