SEGURIDAD INFORMTICA
2004
ACIS UNIVERSIDAD CATLICA
Agenda
01 Introduccin
02 Modelos
03 Conclusiones
04 Bibliografa
Definiciones de Auditora...
01
Otra definicin
Auditorainternaesunaactividad
independienteyobjetivade
aseguramientoyconsulta,concebida
paraagregarvalorymejorarlas
operacionesdeunaorganizacin.Ayuda
aunaorganizacinacumplirsus
objetivosaportandounenfoque
sistemticoydisciplinadoparaevaluary
mejorarlaeficaciadelosprocesosde
gestinderiesgos,controlygobierno
Concepto de Control
Concepto de control
entrada
salida
proceso
Valor de
referencia
Lazo de
retroalimentacin
Muestra de
La salida
Modelos de Control
Orientados a:
Control gerencial
Control Informtico
Apoyar los controles anteriores
02
Modelos de Control
02
Control Interno
Tecnologa Informtica
Seguridad Informtica
Apoyo
02
Control Interno
(COSO, CoCo, Cadbury, )
Apoyo
Risk Management
[AS/NZS:4360/1999,
MAGERIT, MGs]
Tecnologa Informtica
(Gobierno de TI, COBIT, Net Centric,Control-Self Assessment
CMM/SW, CMM-I, MAGERIT)
Project Management
Seguridad Informtica
(Gobierno de Seguridad, ISO-17799,
BS-7799-2, NIST, Octave, )
Quality Assurance
Sarbanes Oxley
Exactitud y transparencia de la informacin financiera
para empresas que cotizan en Bolsa
Salvaguarda de activos
COSO
Componentes
INFORMACIN Y
COMUNICACIN
MONITOREO
ACTIVIDADES DE CONTROL
VALORACIN DE RIESGOS
AMBIENTE DE CONTROL
Control Interno
Ambiente de Control
Integridad y valores ticos
Incentivos y tentaciones
Gua de comportamiento moral
Acuerdos de competencias
Comit de auditora
Filosofa de administracin
Estructura organizacional
Asignacin de autoridad y responsabilidad
Polticas y prcticas de recursos humanos
Coco: Esquema
Una persona ejecuta una tarea guiada por el entendimiento de:
Objetivo
Entorno
Compromiso
Seguimiento y
aprendizaje
Capacidad
Accin
Modelos Informticos
Tecnologa Informtica
Objetivos
Recursos
Procesos
Objetivos de Control
Ambiente Informtico
Objetivos
Efectividad
Eficiencia
Confidencialidad
Relativa a la proteccin de la
informacin sensitiva de su revelacin
no autorizada.
Integridad
Objetivos
Disponibilidad
Cumplimiento
Confiabilidad
Se refiere a la provisin de la
informacin apropiada a la alta gerencia,
para operar la entidad y para ejercer sus
responsabilidades finacieras y de
cumplir con los reportes de su gestin.
Recursos
Seguridad de la
informacin
Microcomputador o terminal
==========================
Aplicaciones en funcionamiento
(1),(2),(3),(4),(8),(10),(11)
Seguridad fsica
Equipo central
=========================
Operacin del sistema
(1),(2),(6),(7),(8),(9)
Sistema de comunicaciones
(8),(11)
Red local
===============
(1),(2),(3),(4),(5),(6),
(7),(8),(9),(10),(11)
Procesos
Planeacin y
Organizacin
Adquisicin e
Implementacin
Procesos
Servicios y
Soporte
Seguimiento
Objetivos de Control
Modelos Informticos
Seguridad Informtica
Confidencialidad
Integridad Disponibilidad
Auditabilidad
Identificacin
Autenticacin
Riesgo
Amenaza
Vulnerabilidad
Poltica de Seguridad
Organizacin de la
Seguridad
Control y clasificacin
de activos
Administracin de las
comunicaciones y
operaciones
Control de acceso
Desarrollo y
mantenimiento de
sistemas
Administracin de la
continuidad del negocio
Cumplimiento
Tcnicas
ValoracindeRiesgos
Riesgo=VulnerabilidadxAmenazaxValordelActivo
Riesgo=ImpactoxProbabildad
IdentificacindeActivos
IdentificacindeInventarios
ClasificacindeDatos
DocumentacindeHardware
http://net-services.ufl.edu/security/policy/workshops/documentation-workshop.ppt
ValoracindeVulnerabilidades
http://csrc.nist.gov/publications/nistpubs/800-55/sp800-55.pdf
Modelos de Apoyo
Risk Management
Control-Self Asessment
Project Management
Conclusiones
03
Bibliografa
04
PREGUNTAS?