Universidad de Santiago de Chile 11-07-2015 Magister en Contabilidad y Auditoria de Gestion ‘AUDITORIA DE SISTEMAS DE INFORMACION Médulo II ASPECTOS DE SEGURIDAD INFORMATICA Y DE_| SISTEMAS RecnaireNe tau coe ene errs ’ 0 AGENDA DEL MODULO=II > Introducci6n. > Resefia Historica. » Propésito de la Seguridad de la Informacién. > La Seguridad de la Informacién. Principios de la Integridad de la Informacién. > Riesgos de la Auditoria de Sistemas. > Politicas de Seguridad. > Estructura de un Modelo de una Politica. > Implementacién de una Politica de Seguridad. Profesor: Leonardo Olea (c) 2015 1Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestién La informacion es un de los ACTIVOS, de mayor] valor al interior de las organizaciones. | Los enormes avances en el campo de la Informatica han cambiado, la forma de Procesamiento de datos y la forma de entregar| fa Informacion. La seguridad se ha convertido en un asunto| importante para ‘todos, pues ella. afecta | directamente lo que una Entidad o Servicio debe | realizar | Por lo tanto, deben adoptarse diversas medidas para que elld este debidamente resquatdads Profesor: Leonardo Olea (c) 2015 11-07-2015Universidad de Santiago de Chile 11-07-2015, Magister en Contabilidad y Auditoria de Gestion Profesor: Leonardo Olea (c) 2015 3Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion -informacién? = Tiene como propésito proteger la| informacion: * Que ha sido Procesada y, = Y que estd registrada en un sistema de informacién. |* Independientemente: * Del lugar en que se encuentra, * Del medio en que esté. Seguridad de la Informacion ® Algunos activos reales o tang es més facil protegerlos: les | + Se requiere restringir el acceso fisico t pee iow, « Gisrles de seguride QV + Cémaras de TV, ete Ay = Pero. = Qué sucede con la informacién que se encuentra en algun medio magnétic: Profesor: Leonardo Olea (c) 2015 11-07-2015Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion + La Informacién en medio | magnético es necesario: | fisicos. | computadores (publica 0 privada). {Qué podemos hacer para protegerla adecuadamente? [+ Una de las preocupaciones de la seguridad de la comunicacién, ‘Seguridad de la Informacion Profesor: Leonardo Olea (c) 2015 es proteger los elementos que forman parte de la iformaci 11-07-2015Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion Furacnncs * En este grupo estén los elementos eon que contienen la _informacién Qupree os procesada y registrada Detox * Enun medio electrénico 0 fisico. «= Ejemplos: + Documentos, + Injormes. + Libros, manuales. + Planes de negocios + Estudios, ote AN ee es - oF 2. Los Equipos Involucrados © + Aparecen los software = Aplicaciones. ~ Programas. = Sisiemas Operativos. + Aparece el hardware y que | corresponde a cualquier equipo que soporte la informacién. = Computadores, servidores. — Equipod Portables, ed, discos, pendrive. + Laorga n de los equipos: ~ Estructura tsica (salas, ofcinas) = La organizacion intema (estructura, funciones, fjos). Profesor: Leonardo Olea (c) 2015 11-07-2015Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion | Esta referido a las personas que| utiizan las estructuras tecnolégicas y de comunicaciones de la entidad. + Son en definitiva los que manejan la| informacién. | + La seguridad debe apuntar a la toma| de conciencia de la formacién “del habito de la seguridad.” ~ Usuarios tnicos — Protectores de pantallas con clave. = Contrasefias, etc + Proceso que debe involucrar a el personal” “to Informacio Proteger los Activos de la entidad significa: — Mantenerlos seguros. — Contra amenazas 0 riesgos que puedan afectar su funcionalidad: + Corrompiéndola. + Accesos indebidos. + Eliminacién de registros - datos. + Hurto. * Copia no autorizada | + Compartir Profesor: Leonardo Olea (c) 2015 11-07-2015Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion Py 4 | cat [_iPos oe Ries60_| iG ESSE DESCRIPCION RIESGO. Confidencialidad conn al Divan ined ‘secretor Integridad normas, |instrucciones ladoptados a institucional. Profesor: Leonardo Olea (c) 2015 Politics: de Segui |= Su_ objetivo es el de establecer, | |estandarizar y normalizar la seguridad | |del Ambito humano y tecnolégico. Pérdida 9 dao por Informacién no ha, sido altera fora ad mae wea et Es un conjunto de directrices, procedimientos e| que guian las, |actuaciones de trabajo y define los criterios de seguridad para que sean nivel local 0 11-07-2015Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion *Algunos podrian pensar que la Politica de Seguridad es solo un factor fhumano. * Se necesita apoyo Directivo en su] implementacion. *Es necesario cambiar ta cultura respecto del concepto seguridad. "No se debe olvidar que finalmente son las personas las que realizan las |__ tareas y utilizan los recurs [Teenereain | “Se podria pensar que la Politica de | Seu cao ael ats Sorin agunos eqaaee een sm ripscnafaoad oa ba barmiave pelea aroaene Profesor: Leonardo Olea (c) 2015 11-07-2015Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion Encuesta $00 Empresas Fuente: CSUFBI Compater Crime and Secorty Servey | La seguridad es un proceso” no un producto Profesor: Leonardo Olea (c) 2015 11-07-2015,Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion WS Estratégico Tactics Oporacional aN 00 Modelo de Estrudtura * Directrices: | Conjunto de reglas de nivel estratégico | * Se expresan los valores de la seguridad | de la organizacién | + Debe ser liderada por un alto Directivo. | sIncluye los concepts de visién y | misién, | * Corresponden a las preocupaciones de | la empresa o entidad por la seguridad. | *Declara los valores de deben ser | seguidos. Profesor: Leonardo Olea (c) 2015 11-07-2015 12Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion NS ow [+ Normas: | * Conjunto de reglas generals. y especificas de seguridad de la informacion. + Deben ser utilizadas por toda la organizacién © Se ubica a un nivel tactico. + Puede ser generada para usuarios especificos. = Técnicos: dirigidas @ los que culdan los ambiente Informsticos (comblo caves, | respaldos, seguridad) = Usuarios: Reglas para hacer uso de los | sistemas (cuidado de claves | * Conjunto de orientaciones para | realizar actividades operativas de seguridad. * Representa todas las relaciones Interpersonales e interdepartamentales. *Considera todas las etapas de trabajo para la implementacién y mantencion de la politica de | seguridad. ‘*Corresponde 2 _procedimientos Operatives a ser ejecutados en la realizacin de una actividad de seguridad. Profesor: Leonardo Olea (c) 2015 11-07-2015 13Universidad de Santiago de Chile 11-07-2015 Magister en Contabilidad y Auditoria de Gestion >» a 0 Bases de Sustentacién * Cultura: © Es el comportamiento que se espera de las personas, Una clave de este elemento es la capacitacién constante. * Busca actualizar permanentemente los conceptos de normas y | seguridad. * Es la base de la conclentizacién del tema de la seguridad y 7 transformarlo en un esfuerzo Bases |de Sustentacién Son todos les. recursos humanos, | financieros.y. las. herremientes de! automatizeciin alineades con’ las] hecesldades de seguridad * Parte de estas herramientas pueden | ser automsticas, por ejemplo: ~ Respaldos autométcos. | = Registros de Log | “Herramientas de montero. Profesor: Leonardo Olea (c) 2015 14Universidad de Santiago de Chile 11-07-2015 Magister en Contabilidad y Auditoria de Gestion *La implementacién de una Cow Politica de Seguridad debe ser constantemente monitoreada. + Se deben considerar los ajustes T periédicos efectuados. | “Considerar los. efectos) | A=! Jay producidos por los informes de| auditoria y su seguimiento. | acion de u Una politica de seguridad se encuentra adecuadamente implementada cuando: - Refleja los objetivos de la Entidad (negocio). = Agrega seguridad a los procesos de negocio y garantiza una _gestién inteligente de los riesgos. -Esté de acuerdo con la cultura organizacional. — Esté sustentada con el apoyo Directivo Profesor: Leonardo Olea (c) 2015 15Universidad de Santiago de Chile 11-07-2015 Magister en Contabilidad y Auditoria de Gestion NS ; 4 | tmplementacién de una Politica de Seguridad (2) La implementacién depende de: -Una adecuada_estrategia. de divulgacién de ella entre todos los usuarios. ~ Libre disposicién de cada uno de sus contenidos para aumentar el compromiso de cada uno. - ~ Planes de capacitacién permanente. A -Charla y compartir informacién comin a todos los usuarios (intranet) my a FR 4 Etapas de una Politica de Seguridad _ + Una politica de seguridad tiene su base en un modelamiento de riesgos. + Tener claridad respecto de todos los procesos que se ejecutan en la entidad. ° Su creacién esta directamente relacionada con los resultados del dlisis de riesgo. * Busca minimizar las vulnerabilidades detectadas para que no se activen los riesgos, Profesor: Leonardo Olea (c) 2015 16Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion * Es un proceso para implemer seguridad de la informacién. * Es realizado para detectar los riesgos a los cuales esté expuesta una Organizacion, los cuales que podrian afectar sus activos u otros aspectos. * Considera una evaluacién para) determinar la probabilidad de ocurrencia de un riesgo y su impacto. Como resultado deberia mostrar el nivel de exposicién al riesgg la] Es necesario delimitar los tépicos a los que afectara. Depende de las necesidades de cada entidad. Depende del conocimiento del | ambiente organizacional (humano y) tecnolégico) * Recoleccién de informacién de los usuarios y procesos (anilisis de Profesor: Leonardo Olea (c) 2015 11-07-2015 7Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestién * Seguridad Fisica ~ Infraestructura fisica = Centro de datos + Seguridad de red corporativa. ~ Configuraciones de equipos ~ Configuraciones de Sistemas = Accesos légicos y login, + Seguridad de Usuarios. ~ Composicin de claves 7 Sequridad de estaciones de trabajo = Conciencia del tema de sg aw Ob Topicos de una Politica de Seguridad _ + Seguridad de Datos: ~ Criptografia ~ Privilegios de usuarios ~ Antivirus. + Auditoria de Seguridad: - Anélisis de Riesgos = Monitoreos. + Aspectos Legales: ~ Contratos Informsticos. ~ Leyes y Reglamentos. ~ Normativa interna de sancion Profesor: Leonardo Olea (c) 2015 11-07-2015 18Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion ») 0 Las fallas de seguridad provocan silencio. * Alas organizaciones no les gusta habiar de este tema. | * La seguridad "TOTAL" no es posible. * Se debe apuntar a mantener un adecuado nivel de seguridad. “No ser sorprendido por el mayor nivel de conocimientos del atacante 0 intruso. | * El nivel de seguridad es valorado por el porcentaje de resistencia que provee a diferentes formas de ataque. * Si no esta totalmente seguro de poder implementar una politica de seguridad, contrate a un asesor 0 experto. ‘= Este siempre le ayudard a hacerlo en menos tiempo. SE oF = El acceso fisico puede ser una de las mejores medidas de seguridad, * Determine cuales dispositivos ofrecen accesos no utiizados (puerta trasera) y iuego bloquéelos. * Elcontrol al acceso fisico, es la tecnologia mas econémica ;ponible. | |= Balancee el riesgo y el costo de la proteccién | = La seguridad no es una unidad de negocios, es parte del costo de hacer negocios + Nivel de EXPOSICION al Riesgo. Profesor: Leonardo Olea (c) 2015 41-07-2015 19Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion e-—_— >» Puntos a tener en cuenta «) |= La seguridad es importante, pero si la utilizacién de esta| reduce dramaticamente la facilidad de uso o la performance de los sistemas, los usuarios de seguro encontraran una forma de evitarla. = Las herramientas de gestién centralizada son esenciales, para asegurar una répida notificacién de una posible intrusién * Solo pod iniciar un répido plan de recuperacién si conoce que | por que elemento se ha sido visitado. Pay 0 Puntos a tener en cuenta (4) 4 [* La autenticacién es la base de la seguridad, confirme | que las personas o sistemas son quien dicen ser | * No confie en un simple password, existen mejores métodos | isponibles. * Los esténdares existen, pero no aseguran la interoperabilidad abierta de todos los sistemas. * Los usuarios y los administradores tienen un papel muy importante en la seguridad. | * Los usuarios deben de estar bien ontrenados para entender sus, responsabilidades. | + Los administradores deben mantenorse actualizados en TL Profesor: Leonardo Olea (c) 2015 11-07-2015 20Universidad de Santiago de Chile Magister en Contabilidad y Auditoria de Gestion By + Ser concisa y facil de entender. + Proteger la informacién, las personas | y los equipos involucrados. = Ser consensuada. * Poder ser implantada y Controlada. + Debe revisarse regularmente. j ¥ |s Tener contemplado normas de Ta aplicacién de sanciones, | ¢ + Contar con un glosario de términos utilizados, | @ Su entided cuenta con normas generates de seguridad en la actualidad ? | @Se encuentran documentadas ? | & Se cuenta con un conjunto de directrices | | generales en la organizacién ? Sus procedimientos técnicos estén completa Vy adecuadamente| J > documentados? f El personal de su entidad cuenta con capacitacién permanente de sus sistemas? ZExisten sistemas de monitoreos que permitan alertar de situaciones anémalas? Profesor: Leonardo Olea (c) 2015 11-07-2015 atUniversidad de Santiago de Chile 11-07-2015 Magister en Contabilidad y Auditorfa de Gestion Diraceion: ww loonardoolea.climoadle Nombre curso: Auditoria de Sistemas Clave de acceso: AUD_SIS2015 Profesor: Leonardo Olea (0) 2015 22