Escolar Documentos
Profissional Documentos
Cultura Documentos
Planificación
Controles
Procedimientos
Estándares
Sistemas de seguridad
La ausencia de alguno de los elementos, puede dar lugar
a diversos riesgos, con impacto en la organización.
Caos
Desorden
Fraude
Datos erróneos
Discontinuidad de las actividades
Perdidas de tipo económico, de imagen, etc.
Altos costes
El plan TIC debe dar respuesta a las necesidades del
negocio expuestas en el plan estratégico de la
organización y ser coherente con este.
Auditoría Interna
Realizada por personal vinculado laboralmente a la
institución, pero independiente al ámbito auditado.
Auditoría Externa
Realizada por personal no vinculado a la empresa
auditada.
• Procesos.
• Sistemas.
• Tecnologías.
• Organizaciones enteras en el uso TI.
• Organizaciones enteras.
• Unidades de negocio.
• Las funciones.
• Los procesos de negocio.
• Los servicios.
• Los sistemas.
• Los componentes de infraestructura o tecnología.
• Los centros de datos y otras instalaciones físicas.
• Infraestructura de red.
• Telecomunicaciones.
• Sistemas operativos.
• Bases de datos.
• Almacenamiento.
• Virtualización de servidores y entornos.
• Servicios y operaciones externas.
• Los servidores web y de aplicaciones.
• Las aplicaciones de paquetes de software.
• Las interfaces de usuario y aplicaciones.
• Dispositivos móviles.
• Conocimientos de TI
• Habilidades y capacidades y la experiencia en
general y específicas de TI
• Principios de auditoría
• Prácticas
• Procesos
.
Llevar a cabo la auditoría Informar a la Dirección
A U DITORÍA
GENERAL
AUDITOR
DE TI
CERTIFICACÓN
INGENIERÍA DE SISTEMAS Y
TECNOLOGÍAS DE LA INFORMACIÓN
La auditoría informática debe poseer, un
cuerpo de conocimientos, normas, técnicas y
buenas practicas dedicadas a la evaluación y
revisión independiente de la confidencialidad e
integridad de la información y la disponibilidad
de los servicios afines.
Se debe hace énfasis en la revisión
independiente, debido a que el auditor debe
mantener independencia mental, profesional y
laboral para evitar cualquier tipo de influencia
en los resultados de la misma, por lo que se
establecen equipos multidisciplinarios
formados por:
• Ingenieros Informático
• Abogados especializados en auditoría.
• Auditores.
El control interno informático es el conjunto de
medidas o controles que la organización
implementa para asegurar en el día a día el
adecuado alineamiento de las TIC y el negocio.
• Accionan alarmas
• Bloquean la operación de un sistema, monitorizándolo de
forma exhaustiva,
• Dejándolo en cuarentena
• Alertan a las autoridades.
Correctivos. Permiten el restablecimiento de la actividad
después de actuar un eventos no deseable y la
modificación de las acciones que propiciaron su
ocurrencia.
• El quién
CONFIDENCIALIDAD CONFIDENTIALITY
INTEGRIDAD INTEGRITY
DISPONIBILIDAD AVAILABILITY
La Triada C.I.A.
Confidencialidad:
Asegura que solo quien esté autorizado puede
acceder a la información.
Integridad:
Asegura que la información y sus métodos de
proceso son exactos y completos.
Disponibilidad
Asegura que los usuarios autorizados tienen
acceso a la información y a sus activos asociados
cuando lo requieren.
Otros Controles de Hardware y Software:
• Coste monitorización,
Confidencialidad [C]
Integridad [I]
Disponibilidad [D]
Autenticidad [A]
Trazabilidad [T]
Almacenamiento.
Procesos
Quién lo hizo?
Cómo lo hizo?
Cuándo lo hizo?
Dónde lo hizo?
Forman parte del ciclo de vida de la Información
Es necesario contemplar todas las fases del ciclo
de vida en cualquier tipo de soporte:
Papel
Digital
Deben contrarrestarse todas las amenazas a las que
está expuesta la información, por medio de la
implantación de salvaguardas (controles)
Mejora continua
La gestión de riesgo debe mejorar permantemente de acuerdo
al aprendizaje y a la experiencia
Ayuda a la organización
a integrar la gestión de
riesgo todas las
funciones y actividades
El Desarrollo de marco
de referencia implica
integrar, diseñar
implementar, valorar y
mejorar la gestión de
riesgo en toda la
organización
Liderazgo y compromiso
https://www.weforum.org/reports/the-global-risks-
report-2017
Alcance , contexto y criterios
Mediante el establecimiento del contexto, la
organización articula sus objetivos, define los
parámetros externos e internos a tener en
cuenta en la gestión del riesgo, y establece el
alcance y los criterios de riesgo para el proceso
restante.
• Contexto externo
• Contexto interno
• Contexto del proceso de gestión del riesgo
Valoración del riesgo
Se debe comprender:
• Naturaleza, magnitud y sus consecuencias
• Complejidad e interconexión
No hacer nada
Considerar opciones
Realizar un análisis adicional
Mantener los controles existentes
Reconsiderar los objetivos
Tratamiento de riesgos
Pueden incluir:
• Evitar el riesgo decidiendo no iniciar o continuar
con la actividad que causa el riesgo
• Aceptar o aumentar el riesgo a fin de perseguir
una oportunidad
• Eliminar la fuente del riesgo
• Modificar la probabilidad
• Modificar las consecuencias
• Compartir el riesgo con otras partes (incluyendo
los contratos y la financiación del riesgo)
• Retener el riesgo en base a una decisión
informada
Monitoreo y revisión
1
Análisis de Riesgos
Análisis de Riesgos
Fases:
Establecer Planificación
de Seguridad
Implantar Salvaguardas
Monitorización y gestión
de Cambios en la
Seguridad
Análisis de Riesgos
Procedimiento de análisis
Identificación
y valoración de activos
Análisis de Riesgos
Valoración de amenazas
y vulnerabilidades
Gestión
del
riesgo
Análisis de Riesgos
Riesgos Seguridad
Decisiones:
Coste de Equilibrio
Aceptarlo
Reducirlo
Asignación a terceros Nivel de Seguridad
(Transferir el riesgo)
Evitarlo
Análisis de Riesgos
Tipos de Análisis
Hay dos tipos de análisis de riesgos según las cosas que tienen en cuenta:
Activos: son todos aquellos elementos que forman parte del sistema de
información.
Relaciones
Aprovechan las
Amenazas Vulnerabilidades
Incrementan
Protegen contra Incrementan Exponen
Poseen
Generan Generan Incrementan
La amenaza no se puede reducir, lo que se intenta es eliminar la vulnerabilidad para que con
esto la probabilidad de ocurrencia de la amenaza disminuya o sino se trata de que el impacto
en caso de ocurrencia sea menor
Análisis de Riesgos
Fases de MAGERIT
Evaluación de
riesgos
Análisis de Riesgos
Identificación de vulnerabilidades
Identificación de amenazas
Determinación de la probabilidad
• Objetivos:
Los roles del personal relacionados con la seguridad, son todas aquellas
responsabilidades que hay que asumir en cuanto a la seguridad del
sistema.
• Forum de seguridad
• Responsable de seguridad
• Operador de Copia de Seguridad
• ...
Análisis de Riesgos
• Entorno
Aire Acondicionado
Sistema Eléctrico
Instalaciones adicionales
• Imagen Corporativa
La fiabilidad, y la imagen de la empresa son uno de los activos más
importantes a la hora que los clientes depositen en ella su confianza.
Análisis de Riesgos
Valoración de activos
• Valor de reposición
• Valor de configuración, puesta a punto, etc.
• Valor de uso del activo
• Valor de pérdida de oportunidad
Análisis de Riesgos
Tipo de amenazas
Listado de amenazas
Accidentes
Empresa de desarrollo
de sistemas Errores
ISP
Colegio Profesional
Universidad
Amenazas Intencionales Presenciales
Amenazas - Accidentes
• Accidente físico
• Incendio, explosión, inundación por roturas, emisiones radioeléctricas,
etc.
• Avería
• De origen físico o lógico, debida a un defecto de origen o durante el
funcionamiento del sistema.
Amenazas - Errores
Amenazas - Errores
• Monitorización inadecuada
• Errores inesperados
• Virus
• Otros ¿?
Análisis de Riesgos
• Destrucción o sustracción
• Indisponibilidad de recursos
• Humanos: motivos de huelga, abandono, enfermedad,
baja temporal, etc
• Técnicos: desvío del uso del sistema, bloqueo, etc
Tw iter: @ramirocid
Análisis de Riesgos
• Gusanos
• Virus que utilizan las capacidades de servidores y clientes de internet para
transmitirse por la red. Ejemplo: CodeRed, Nimda, Klez, y todas las
variantes.
• Denegación de servicio
• Contra el ancho de banda: Consumir todo el ancho de banda de la máquina
que se quiere aislar
• Contra los recursos físicos del sistema: Consumir toda la memoria y los
recursos que la máquina utiliza para ofrecer su servicio
Análisis de Riesgos
Definición de vulnerabilidad
Vulnerabilidades
Valoración de Impactos
Identificación de impactos:
Preventivas:
• Disminuyen la vulnerabilidad
• Nueva vulnerabilidad= (Vulnerabilidad -% disminución vulnerabilidad)
Correctivas:
• Disminuyen el impacto
• Nuevo impacto= (Impacto - disminución impacto)
Análisis de Riesgos
Evaluación de riesgos
Gestión de Riesgos
Gestión de riesgos
Una vez se tiene decidido que es lo que hay que hacer se elaborar el:
PLAN DE ACCIÓN
• Establecer prioridades
• Plantear un análisis de coste-beneficio
• Hacer la selección definitiva de controles a implantar
• Asignar responsabilidades
• Desarrollar un plan de gestión de riesgos
• Implantar los controles
Análisis de Riesgos
Contramedidas
Según el riesgo