Introduccin Componentes de los Sistemas de Informacin y Vulnerabilidades y Riesgos Asociados 3. Anlisis de Vulnerabilidades, Riesgos y Controles de los diferentes Modelos de Sistemas de Informacin
1. 2.
1. 2. 3.
4.
5.
4. 5.
Introduccin
Introduccin
Introduccin
Introduccin
El propsito principal de los sistemas en este nivel es contestar a preguntas de rutina y rastrear el flujo de transacciones a travs de la organizacin
Introduccin
Apoyan a los trabajadores de conocimientos y datos de una organizacin El propsito de los sistemas en el nivel de conocimiento es ayudar a la organizacin a controlar el flujo de documentos
Introduccin
Apoyan las actividades de seguimiento, control, toma de decisiones y administracin de los administradores de nivel medio Por lo regular proporcionan informes peridicos, en lugar de informacin instantnea acerca de las operaciones
Introduccin
Apoyan las actividades de planificacin a largo plazo de los administradores de nivel superior Los sistemas de informacin deben crearse a la medida de las necesidades nicas de cada una No existe un sistema de informacin universal que encaje en todas las organizaciones
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMAS DE PROCESAMIENTO DE TRANSACCIONES
Sistemas computarizados que efectan y registran las transacciones diarias rutinarias, necesarias para la marcha del negocio Sirven al nivel operativo de la organizacin Ej. : SPT (TPS) de nmina es un sistema tpico de procesamiento de transacciones contables que se encuentran en casi todas las compaas
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMAS DE TRABAJO DE CONOCIMIENTOS DE AUTOMATIZACIN DE OFICINAS SISTEMA DE TRABAJO DE CONOCIMIENTO (KWS)
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMA DE AUTOMATIZACIN DE OFICINAS
Sistema de computacin, como procesador de textos, e-mail y calendarizacin Aumentan la productividad de los trabajadores de datos en la oficina Satisfacen necesidades de informacin en el nivel de conocimientos de la organizacin Apoyan los sistemas de trabajo de conocimiento (KWS) como los sistemas de automatizacin de oficinas (OAS)
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMA DE AUTOMATIZACIN DE OFICINAS
SAO (OAS): aplicacin de TI diseada para aumentar la productividad de los trabajadores de datos en la oficina Apoya las actividades de coordinacin y comunicacin de la oficina tpica Manejan y controlan documentos, programan actividades y comunican
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMA DE AUTOMATIZACIN DE OFICINAS PROCESAMIENTOS DE TEXTO Tecnologa de la automatizacin de la oficina Facilita la creacin de documentos mediante la edicin, el formateo, el almacenamiento y la impresin computarizada de textos Se refiere al software y hardware que crea, edita, formatea, almacena e imprime documentos
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMA DE AUTOMATIZACIN DE OFICINAS LA AUTOEDICIN Tecnologa que produce documentos con calidad profesional Combina las salidas de procesadores de texto con diseo, grficos y funciones especiales de formacin
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMA DE AUTOMATIZACIN DE OFICINAS SISTEMAS DE IMGENES DE DOCUMENTOS Sistemas que convierten documentos e imgenes a una forma digital
Permiten convertir documentos e imgenes a una forma digital para poder almacenarlos y acceder a ellos en computadora
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMAS DE INFORMACIN GERENCIAL (MIS)
Sistema de informacin en el nivel de administracin de una organizacin Sirve a las funciones de planificacin, control y toma de decisiones, proporcionando informes rutinarios resumidos y excepciones Los MIS resumen y preparan informes acerca de las operaciones bsicas de la compaa
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMAS DE INFORMACIN GERENCIAL (MIS)
Los MIS sirven a los administradores interesados en resultados semanales, mensuales y anuales y suelen contestar a preguntas estructuradas que se conocen con mucha antelacin Estos sistemas son poco flexibles y tienen una capacidad analtica reducida
Introduccin
TIPOS PRINCIPALES DE SI CARACTERSTICAS DE LOS SI GERENCIAL Apoyan decisiones estructuradas en los niveles de control operativo y administrativo Son tiles para las actividades de planificacin de los administradores de nivel superior Generalmente estn orientados hacia los informes y el control Estn diseados para informar acerca de las operaciones existentes
Introduccin
TIPOS PRINCIPALES DE SI CARACTERSTICAS DE LOS SI GERENCIAL Se apoyan en datos y flujos de datos que ya existen en la organizacin Tienen poca capacidad analtica Generalmente ayudan a tomar decisiones empleando datos del pasado y el presente Son relativamente inflexibles Tienen una orientacin interna, ms que externa
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMAS DE APOYO A DECISIONES (DSS)
SI en el nivel de administracin de una organizacin Combina datos y modelos analticos avanzados o herramientas de anlisis de datos Apoyan la toma de decisiones semiestructurada y no estructurada que cambian rpidamente Estn construidos explcitamente con diversos modelos para analizar datos
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMAS DE APOYO A DECISIONES (DSS)
Condensan grandes cantidades de datos en una forma que pueden analizar los encargados de tomar decisiones Se disean de modo que los usuarios puedan trabajar con ellos directamente Son iterativos El usuario puede modificar supuestos Hacer nuevas preguntas Incluir datos nuevos
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMAS DE APOYO A EJECUTIVOS (ESS)
Sistemas de informacin en el nivel estratgico de una organizacin Diseado para apoyar la toma de decisiones no estructuradas
Introduccin
TIPOS PRINCIPALES DE SI
SISTEMAS DE APOYO A EJECUTIVOS (ESS)
Se disean de modo que puedan incorporar datos de sucesos externos Nuevas leyes fiscales Nuevos competidores, Obtienen informacin resumida de los MIS y DSS internos. Filtran, comprimen y rastrean datos cruciales
Cmo saber qu tipo de auditora debo aplicar? Se puede proveer el servicio de auditora externa o interna
El rol de la funcin de auditora interna de SI se debe establecer en un estatuto de auditora aprobado por la alta direccin
Qu es una amenaza?
Cosa o persona que constituye una posible causa de riesgo o perjuicio para alguien o algo Fenmeno o proceso natural o causado por el ser humano que puede poner en peligro a un grupo de personas, sus cosas y su ambiente, cuando no son precavidos Eventos que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos
Qu es una vulnerabilidad?
Incapacidad de resistencia cuando se presenta una amenaza o incapacidad de reponerse a un desastre En trminos de Seguridad de la Informacin, una vulnerabilidad es una debilidad en los procedimientos de seguridad, diseo, implementacin o control interno que podra ser explotada (accidental o intencionalmente) y que resulta en una brecha de seguridad o una violacin de la poltica de seguridad de sistemas Situaciones que pueden aumentar la vulnerabilidad
Qu es riesgo?
Amenaza que un evento, accin o situacin puede afectar a la empresa en el logro de sus objetivos y metas Es la probabilidad de que una amenaza se convierta en un desastre
La vulnerabilidad o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre
Control
Robert B. Buchele: El proceso de medir los actuales resultados en relacin con los planes, diagnosticando la razn de las desviaciones y tomando las medidas correctivas necesarias. George R. Terry: El proceso para determinar lo que se est llevando a cabo, valorizacin y, si es necesario, aplicando medidas correctivas, de manera que la ejecucin se desarrolle de acuerdo con lo planeado.
Robert Eckles, Ronald Carmichael y Bernard Sarchet: Es la regulacin de las actividades, de conformidad con un plan creado para alcanzar ciertos objetivos. Chiavenato: El control es una funcin administrativa: es la fase del proceso administrativo que mide y evala el desempeo y toma la accin correctiva cuando se necesita. De este modo, el control es un proceso esencialmente regulador.
Amenazas
Vulnerabilidades Riesgos
ACTIVOS
La identificacin y clasificacin de los componentes de los SI es el paso inicial para identificar vulnerabilidades y riesgos asociados y la proteccin
La clasificacin puede ser en funcin de:
Lo siguiente es la identificacin de amenazas y vulnerabilidades con respecto al recurso o activo y probabilidad de ocurrir
Amenaza: circunstancia o evento potencial que pueda daar un recurso de informacin Destruccin, divulgacin, modificacin de datos, negacin de servicios
Clases comunes de amenazas Errores Dao o ataque intencional Fraude Robo Falla del equipo/software Ocurren por las vulnerabilidades asociadas
Vulnerabilidades que se pueden explotar: Falta de conocimiento del usuario Falta de funcionalidad en la seguridad Eleccin deficiente de contraseas Tecnologa no probada Transmisin de comunicaciones no protegidas
El resultado de las amenazas es un impacto
Impacto resultante de algunas amenazas: Prdida directa de dinero Violacin de la legislacin Prdida de reputacin Prdida de oportunidades de negocio Interrupcin de las actividades Peligro potencial para el personal o los clientes
Con los elementos de riesgo identificados, formamos una visin general del riesgo Establecemos la probabilidad de ocurrencia del riesgo
Con los riesgos identificados, podemos evaluar controles
Controles existentes
Disear nuevos controles
Esto resume de forma general el proceso de gestin de riesgos La gestin de riesgos de TI debe operar a mltiples niveles
Operativo De proyecto
Podemos contar con diferentes modelos de SI que se ven sometidos a distintos riesgos: Recurso Humano Mercadotecnia Inventario
Finanzas Otros
informacin de y en la organizacin, en cada uno de estos modelos, podemos identificar y hacer un anlisis de
vulnerabilidades y riesgos asociados para el establecimiento de los controles adecuados que mitiguen el impacto
Como mtodos de anlisis de riesgos podemos aplicar: Mtodo de anlisis cualitativo Clasificacin descriptiva Mtodo de anlisis semicuantitativo Clasificacin descriptiva asociada a una escala numrica Mtodo de anlisis cuantitativo Uso de valores numricos
Uso de la matriz o mapa de riesgo como herramienta o metodologa para la evaluacin de riesgos
Proceso:
Zona de Riesgo Probabilidad de Ocurrencia
Impacto Riesgo
Fuente: Gua Metodolgica para la Creacin de Mapas de Riesgos del DNP, Colombia. 2007
Prctica - Definicin de vulnerabilidades y riesgos para los siguientes modelo de SI Recursos Humanos Mercadotecnia (Mercadeo) Inventario
Finanzas Operaciones
Poltica de Seguridad
Las polticas son documentos de alto nivel Reflejan orientacin y direccin en controles Representan: La filosofa corporativa de una organizacin El pensamiento estratgico de la alta direccin y dueos de los procesos de negocio Deben ser claras y concisas para que sean efectivas
Poltica de Seguridad
La gerencia debe crear un ambiente de control positivo, para con las polticas, al asumir la responsabilidad de:
Formular
Desarrollar Documentar Promulgar
Controlar
Poltica de Seguridad
Los empleados afectados por una poltica deben: Recibir una explicacin de la misma Entender el propsito Pueden ser aplicadas a terceros y proveedores de servicios externos
Debe haber un compromiso de seguimiento a travs de contratos o SOW
Poltica de Seguridad
Las polticas corporativas establecen el estilo de la organizacin como un todo Las divisiones y departamentos definen sus polticas de menor nivel
Deben ser congruentes con la poltica corporativa
Poltica de Seguridad
Las polticas pueden desarrollarse con un enfoque: De arriba hacia abajo De abajo hacia arriba El desarrollo de arriba hacia abajo facilita la uniformidad en la organizacin
El enfoque de arriba hacia abajo es el deseable
Poltica de Seguridad
El enfoque de abajo hacia arriba lo consideran ms rentable Se derivan y resultan (a menudo) de las evaluaciones de riesgos
Las polticas corporativas son una sntesis de las polticas operativas existentes
Puede parece prctico, pero permite la falta de uniformidad y situaciones conflictivas en las polticas
Poltica de Seguridad
Las polticas de nivel inferior deben estar alineadas con los objetivos de negocio Deben apoyar el logro de los objetivos de negocio y la implementacin de controles de SI
Si una poltica obstaculiza la satisfaccin del cliente o capacidad de la empresa en el logro de los objetivos, se debe cambiar Las polticas se deben actualizar y mejorar
Poltica de Seguridad
Una poltica de seguridad comunica un estndar de seguridad coherente a los usuarios, gerencia y personal tcnico La poltica de seguridad de TI es el primer paso para construir la infraestructura de seguridad de la organizacin Definen las herramientas y procedimientos de seguridad que se necesitan para la organizacin
Poltica de Seguridad
Una poltica de seguridad debe buscar un equilibrio entre el nivel de control y el nivel de productividad El costo de un control nunca debe exceder el beneficio que se espera obtener La poltica de seguridad debe ser aprobada por la alta direccin Debe ser documentada y comunicada a todos los empleados, proveedores de servicio y socios de negocio*
Poltica de Seguridad
Una poltica de seguridad gua a la organizacin y define sobre: Qu protegerse Responsables de la proteccin Estrategia a seguir para cumplir con la proteccin Provee la direccin y respaldo para la seguridad de la informacin de acuerdo requerimientos del negocio, leyes y regulaciones relevantes
Poltica de Seguridad
El documento de poltica de seguridad de la informacin debe establecer el compromiso de la gerencia y el enfoque de la organizacin para gestionar la seguridad de la informacin
Se puede utilizar un estudio comparativo para definir el contenido que cubrir el documento Estndar ISO 27002 Buenas Prcticas y Uso del ISO 27001
Poltica de Seguridad
Contenido de un documento de poltica de seguridad de la informacin Una definicin de seguridad de la informacin, sus objetivos generales, alcance, importancia de la seguridad Una declaracin de la intencin de la gerencia Apoya las metas y principios de seguridad de la informacin alineados con la estrategia y objetivos de negocio
Poltica de Seguridad
Explicacin breve de las polticas, principios, estndares y requisitos de cumplimiento de importancia particular para la organizacin
Poltica de Seguridad
Contenido de un documento de poltica de seguridad de la informacin Requisitos de cumplimiento como: Legislativos, regulatorios, contractuales Formacin, capacitacin, concienciacin en seguridad Gestin de la continuidad del negocio Definicin de responsabilidad Referencia a documentacin de respaldo
Poltica de Seguridad
La poltica de seguridad de la informacin debe ser: Comunicada Accesible Comprensible Firmada actualizada Puede ser parte de una poltica general
Poltica de Seguridad
Dependiendo de la necesidad y pertinencia, la organizacin puede documentar la poltica de seguridad de la informacin como un conjunto de polticas:
Poltica de seguridad de la informacin de alto nivel Poltica de clasificacin de datos Poltica de uso aceptable Poltica de computacin para el usuario final Polticas de control de acceso
Poltica de Seguridad
Dependiendo de la necesidad y pertinencia, la organizacin puede documentar la poltica de seguridad de la informacin como un conjunto de polticas:
Poltica de seguridad de la informacin de alto nivel Debe incluir declaraciones de Confidencialidad Integridad Disponibilidad
Poltica de Seguridad
Dependiendo de la necesidad y pertinencia, la organizacin puede documentar la poltica de seguridad de la informacin como un conjunto de polticas:
Poltica de clasificacin de datos Describe las clasificaciones Niveles de control por clasificacin Responsabilidad de todos los posibles usuarios La propiedad de la informacin
Poltica de Seguridad
Dependiendo de la necesidad y pertinencia, la organizacin puede documentar la poltica de seguridad de la informacin como un conjunto de polticas:
Poltica de uso aceptable Poltica integral que incluya informacin para los recursos HW/SW, redes, etc. Permisos de la organizacin para el uso de TI y recursos relacionados de informacin
Poltica de Seguridad
Dependiendo de la necesidad y pertinencia, la organizacin puede documentar la poltica de seguridad de la informacin como un conjunto de polticas:
Poltica de computacin para el usuario final Describe parmetros y el uso de herramientas de escritorio por parte de los usuarios
Poltica de Seguridad
Dependiendo de la necesidad y pertinencia, la organizacin puede documentar la poltica de seguridad de la informacin como un conjunto de polticas:
Polticas de control de acceso Describe el mtodo para definir y otorgar acceso a usuarios a diversos recursos de tecnologa de informacin
Poltica de Seguridad
Organizacin de la Seguridad
Al disear nuestra poltica de seguridad debemos tomar en cuenta lo siguiente:
Audiencia Objetivo Practicantes
Jefes de Depto. Ofic. Seg. Ejecutivos
Visin de Negocio
Organizacin de la Seguridad
El proceso de organizacin de la seguridad tiene que ver con las responsabilidades y responsables que debern velar con el proceso administrativo y de mantenimiento de las polticas Aqu se debe velar por las actividades que involucran la aplicacin y desarrollo de tareas para la implementacin de la seguridad y lo establecido en la poltica
Organizacin de la Seguridad
El Gerente Ejecutivo de Servicios de TI revisar la poltica anualmente y enviar las revisiones a los Altos Ejecutivos de la organizacin para su aprobacin Se establecer que un Oficial de Seguridad de TI mantenga y monitoree, durante un intervalo de tiempo especfico, los reportes de registros electrnicos de incidentes de seguridad y retroalimente al Gerente Ejecutivo de Servicios de TI para decidir sobre las acciones o investigaciones que sean requeridas
Organizacin de la Seguridad
La matriz de password de Servicios de TI, listado de miembros del staff con acceso clave a sistemas y servicios, ser mantenida por el Asistente del Director de Estrategia y Desarrollo; el Oficial de Seguridad mantendr la copia maestra
Todo el Staff y Personal tiene el derecho, sujeto a las regulaciones de la organizacin, al uso de los sistemas relevantes de TI y a la debida responsabilidad que acarrea el uso de los recursos de TI
Organizacin de la Seguridad
Los usuarios externos no tienen el derecho automtico para el uso de los recursos de TI de la organizacin
La autorizacin para usuarios externos estar sujeta a un acuerdo escrito con el que el usuario externo se acoje a las polticas y regulaciones de la organizacin
Organizacin de la Seguridad
A los usuarios invitados se les podra permitir derechos limitados para el uso de recursos de TI de la organizacin sujeto a los apropiados controles
Cualquier acuerdo de tercerizacin debe incluir la provisin expresa con respecto a la seguridad y controles de los recursos TI