1 / 16

AUDITORÍA Y SEGURIDAD INFORMACIÓN

AUDITORÍA Y SEGURIDAD INFORMACIÓN. ÍNDICE SEGURIDAD. INTRODUCCIÓN ANÁLISIS Y GESTIÓN DE RIESGOS SEGURIDAD DE TI EN LA ORGANIZACIÓN SEGURIDAD DE TI EN LA TECNOLOGÍA MARCO NORMATIVO MARCO LEGISLATIVO. AUDITORÍA Y SEGURIDAD INFORMACIÓN. SEGURIDAD EN LA ORG.

dustin
Download Presentation

AUDITORÍA Y SEGURIDAD INFORMACIÓN

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. AUDITORÍA Y SEGURIDAD INFORMACIÓN ÍNDICE SEGURIDAD • INTRODUCCIÓN • ANÁLISIS Y GESTIÓN DE RIESGOS • SEGURIDAD DE TI EN LA ORGANIZACIÓN • SEGURIDAD DE TI EN LA TECNOLOGÍA • MARCO NORMATIVO • MARCO LEGISLATIVO

  2. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. GESTIÓN DE LA SEGURIDAD Y ALINEAMIENTO CON CONTROL ESTRATÉGICO DE LA ORGANIZACIÓN Solís (2003) • Análisis y gestión de riesgos • Determinación de objetivos, estrategia y política • Establecimiento de la planificación de la seguridad • Determinación de la organización de la seguridad • Implantación de salvaguardas • Aprendizaje • Reacción a eventos, manejo y registro de incidencias, y recuperación de estados de seguridad • Monitorización y gestión de configuración y cambios

  3. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. GESTIÓN DE LA SEGURIDAD Y ALINEAMIENTO CON CONTROL ESTRATÉGICO DE LA ORGANIZACIÓN Solís (2005) • Objetivo de seguridad de la información definido por el Instituto de Gobierno de Tecnología de la Información: • “Proteger los intereses de todos aquellos que dependen de la información y de los sistemas y comunicaciones que la habilitan contra daños que afecten a su disponibilidad, confidencialidad e integridad” • La necesidad de protección de los activos de valor en las organizaciones implica una nueva responsabilidad de la alta dirección: garantizar un ambiente de seguridad sólido y consistente, identificando y capitalizando los beneficios.

  4. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. GOBIERNO CORPORATIVO GOBIERNO DE TI GOBIERNO DE SEGURIDAD DE TI

  5. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. PROCESO DE GOBIERNO DE SEGURIDAD EN TI • Determinación de directrices • Alineamiento estratégico • Generación de valor • Gestión de riesgos • Medición de desempeño

  6. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. IMPORTANCIA DEL GOBIERNO DE SEGURIDAD banca, prensa, líneas aéreas B a J o Intensidad Informativa de la cadena de valor A l t o cemento Bajo Alto Contenido informativo del producto

  7. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. expectativas de los stakeholders objetivos y metas institucionales factores críticos de éxito procesos de negocio aplicaciones recursos procesos de TI

  8. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. CUADRO DE MANDO DE LA SEGURIDAD EN TI CONTRIBUCIÓN CORPORATIVA ORIENTACIÓN AL USUARIO Cómo ve la org. el valor creado por la seguridad en TI Cómo ven los usuarios a la seguridad en la TI EXCELENCIA OPERACIONAL ORIENTACIÓN FUTURA Cuán eficiente y eficaz es la gestión de la seguridad en TI para adaptarse a los cambios del entorno Cuán eficientes y eficaces son los procesos de gestión de la seguridad en TI

  9. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. Si el FCE: • La función de seguridad tiene los medios y las habilidades para gestionar la seguridad y especialmente para detectar, registrar, analizar, reportar, y actuar basándose en incidentes de seguridad cuando estos ocurren, a la vez que se minimiza al probabilidad de ocurrencia aplicando pruebas de intromisiones y una monitorización activa No se cumple adecuadamente . . . Muy probablemente el KPI: Tiempo de respuesta para investigar incidentes de seguridad Sería demasiado elevado para los requerimientos de la organización y . . . Provoque que el KGI: Nº de incidentes que tienen que ver con acceso no autorizado, pérdida o corrupción de la información Presente incidentes de corrupción de información, ocasionando que . . . La aplicación de ventas: Registre cargos no autorizados en las cuentas de los clientes Lo cual provocaría que ….

  10. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. Bloquee el límite de crédito de los clientes afectados y les impida hacer compras Esto ocasionaría que …. La meta de incrementar las ventas: No se alcance debido a que los clientes disminuirían su actividad de compra, no sólo por la suspensión de su crédito comercial, sino como una reacción de disgusto mediante la cual podrían cancelar su cuenta Esto originaría que … Los accionistas de la empresa (stakeholders definitivos) Verían insatisfechas sus expectativas de obtener un elevado rendimiento sobre su inversión El proceso de ventas:

  11. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. MARCO ORGANIZATIVO Touriño (2003) • La Seguridad de TI no viene dada de forma aislada por un producto, a menos que exista un sistema de control interno que asegure su adecuada implantación y utilización • Importancia de las medidas organizativas: • Definición defunciones y responsabilidades • Instauración de políticas precisas sobre objetivos de seguridad • Establecimiento de criterios de segregación de funciones/evidencias irrefutables

  12. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. LIMITACIONES NO TÉCNICAS • Ausencia de “cultura empresarial” de control interno • Cambio constante en la alta dirección • Proyectos estratégicos discrecionales sin la participación de los conocedores del negocio • Incapacidad de los procesos gerenciales para medir el cumplimiento de los objetivos y la eficiencia • Instalación de TI y disponibilidad de recursos humanos y técnicos

  13. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. METODOLOGÍA DE IMPLANTACIÓN • Planificación de los procedimientos de control relativos a la seguridad de las TI: estructura empresarial, políticas, evaluación de riesgos y costes • Diseño: encaje en el sistema global de control interno, definición de procedimientos de control, prioridades, evidencias, responsabilidades • Implantación: progresiva, con orden lógico, flexible, dinámica.

  14. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. VULNERABILIDADES EN LA ORGANIZACIÓN Arbat (2003) • Asociadas al entorno e infraestructura • Asociadas a la organización • Asociadas a los procedimientos • Asociadas al personal • Asociadas a la información

  15. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. INGENIERÍA SOCIAL • Involucra la obtención de la información sensitiva o acceso no autorizado por medio de inapropiadas relaciones de confianza • El factor humano es el elemento más débil en la cadena de seguridad • Áreas de vulnerabilidad: • Dispositivos tecnológicos para la interacción • Métodos tradicionales de comunicación

  16. AUDITORÍA Y SEGURIDAD INFORMACIÓN SEGURIDAD EN LA ORG. POLÍTICAS Y PROCEDIMIENTOS • Identificación del empleado • Seguridad física • Destrucción de documentos • Aprobación de accesos • Cambios de contraseñas • Mesa de ayuda • Módems • Divulgación de la información • Publicación de información • Ciclo de vida • Violaciones

More Related