Unidad 7 Riesgos Tecnologia, Sistemas Informacion, Recursos Asociados (Parte 1)

Posgrado de Especializacin en Administracin
de Organizaciones Financieras
SEGURIDAD SEGURIDAD
Y
AUDITORIA
INFORMTICA
Daniel Jorge Biau Daniel Jorge Biau Modulo 7 Modulo 7
a.d.a. Pagina 1
Riesgo Riesgo
Pagina 2
HOME HOME
BANKING BANKING
ATM ATM
INTERNET INTERNET
MAIL MAIL
Firewall Firewall
Routers Routers
Switches Switches
Hardware Hardware
DATOS DATOS SB SB
Routers Routers
TEL.MOVIL TEL.MOVIL
Pagina 3
Evolucin de las amenazas . . . . Evolucin de las amenazas . . . .
1er. Etapa: Virus,
gusanos, etc.
intentaban hacer dao
y adquirir fama . . . . y q
2da. Etapa: Amenazas combinadas, 2da. Etapa: Amenazas combinadas,
con el fin de robar dinero e con el fin de robar dinero e con el fin de robar dinero e con el fin de robar dinero e
informacin personal . . . . informacin personal . . . .
Hoy: cibercrimen Hoy: cibercrimen
Pagina 4
tcnica social y tecnologa, tcnica social y tecnologa,
uso dominante y confianza uso dominante y confianza
Qu preocupa ??
Ms de 1 milln de los argentinos realizan operaciones en home banking
o Un 25 % solo mira sus saldos, no mueven dinero, pero un 75% hace
transacciones.
Los troyanos representaron el 74% del total de nuevas variantes aparecidas
durante el primer trimestre de 2007, segn datos de la empresa de seguridad
Panda. Esto supone un aumento del 20% respecto de los datos globales de
2006 2006
Se registraron ms de 7 millones de intentos diarios de phisishing en 2006 en
el mundo
Spam: Increment un 100% en 2007, lleg a ms de 120.000 MILLONES
di i (20 j d ) A t l t ib d 120 il diarios (20 mensajes x da x persona). Actualmente se reciben ms de 120 mil
millones de mensajes de spam diarios (20xdaxpersona).
o Durante 2007, el Centro de Operaciones de Amenazas de IronPort midi
un incremento de un 253 por ciento del "spam sucio" (spam que contiene p p ( p q
enlaces que llevan hacia sitios conocidos de malware)
Amrica Latina tiene el "orgullo" de posicionarse como el continente con
mayores ndices de piratera, lo que represent ms de 3.000 millones de
dlares en prdidas debido a la piratera de software.
dlares en prdidas debido a la piratera de software.
Pagina 5
Ciberactividad ilcita en el Sector Bancario (1)
Fuente: CERT/CC - 2004 Fuente: CERT/CC - 2004
Mayora de los casos: poca sofisticacin tcnica y p
23 % ocupaba cargos tcnicos
87% utiliz comandos simples y vlidos
Planearon sus actos: 85%
Motivacin: financiera (81%), revancha (23%)
insatisfaccin (15%), fama (15%) insatisfaccin (15%), fama (15%)
Hombres (58%)
Pagina 6
Cib i id d il i l S B i (2) Ciberactividad ilcita en el Sector Bancario (2)
Fuente: CERT/CC - 2004
Trabajaban en toda la organizacin
Pocos eran considerados problemticos p
27% tena antecedentes penales
2/3 detectados por personal ajeno a SI
35% detectados por clientes
Prdidas entre US $ 168 a 691 millones
Actos cometidos durante el horario de trabajo
Actos cometidos durante el horario de trabajo
Pagina 7
Tendencias en Ataques informticos
Ataques centrados en estaciones de trabajo =>
usuarios comunes usuarios comunes
Foco se traslada de la propagacin (emails) al uso
de recursos (DoS)
Encadenamiento de ataques (Ingeniera social +
explotacin de vulnerabilidades)
Altos incentivos econmicos (mayores ganancias + Altos incentivos econmicos (mayores ganancias +
organizacin interna + bajo riesgo de consecuencias
legales)
Fuente: CERT/CC
Fuente: CERT/CC
Pagina 8
Situacin Actual Situacin Actual
Preocupacin respecto a la
privacidad
Mayor dependencia de Mayor dependencia de
Situacin Actual Situacin Actual
Crecientes casos de robo de
identidad
y p y p
las organizaciones las organizaciones
respecto a las TICs respecto a las TICs
Socios de negocios, proveedores y
vendedores exigen condiciones de
seguridad para dar acceso
Nuevas oportunidades Nuevas oportunidades
basadas en el acceso y basadas en el acceso y
Mayor espionaje a travs de redes
Nuevas regulaciones nacionales e
yy
la disponibilidad de la disponibilidad de
servicios de Internet servicios de Internet
g
internacionales
Nuevos ataques y Ciberterrorismo
Pagina 9
I t i d l I f i I t i d l I f i Importancia de la Informacin Importancia de la Informacin
INFORMACIN
ACTIVO ACTIVO
DEBE SER PROTEGIDO
Pagina 10
La Estrategia de Seguridad debe estar alineada con los objetivos del La Estrategia de Seguridad debe estar alineada con los objetivos del
negocio negocio
Fuga de Informacin Sensible
Prdidas Financieras
Daos de Imagen / Reputacin
De qu De qu
protegernos? protegernos?
Cada de Sistema / Prdida de
Clientes
Problemas Legales
Cmo hacerlo? Cmo hacerlo?
Gestin de Riesgos
Cumplimiento Normativo (BCRA A 4793, 4609)
Manual de Polticas (Aprobado por el Directorio)
Manual de Normas (Alineado con el Manual de Polticas)
Estndares y procedimientos (IRAM 17550 /17799 / 27001 / Cobit
Pagina 11
y p (
/Coso...)
Que es un riesgo? Que es un riesgo? gg
Contingencia Contingencia o o proximidad proximidad de de que que suceda suceda
algo algo que que tendr tendr un un impacto impacto en en los los objetivos objetivos algo algo que que tendr tendr un un impacto impacto en en los los objetivos objetivos.
Se lo mide en trminos de una combinacin entre la Se lo mide en trminos de una combinacin entre la
probabilidad de un evento y su consecuencia probabilidad de un evento y su consecuencia
H h t i i t H h t i i t
Intervalo Intervalo dentro dentro del del
probabilidad de un evento y su consecuencia. probabilidad de un evento y su consecuencia.
Hecho o acontecimiento Hecho o acontecimiento
que sigue o resulta de que sigue o resulta de
otro o de un evento otro o de un evento
Intervalo Intervalo dentro dentro del del
cual cual es es probable probable
que que ocurra ocurra un un
evento evento
Hecho imprevisto o que puede suceder Hecho imprevisto o que puede suceder
Pagina 12
Hecho imprevisto, o que puede suceder Hecho imprevisto, o que puede suceder
Conceptos importantes Conceptos importantes
AMENAZA AMENAZA
Evento cuya ocurrencia podra
VULNERABILIDAD VULNERABILIDAD
p p p p
Evento cuya ocurrencia podra
impactar en forma negativa en la
organizacin.
Ausencia o debilidad de un
control.
RIESGO RIESGO
Probabilidad de que una amenaza
se concrete, en combinacin con el se co c ete, e co b ac co e
impacto que ello podra producir.
CONTROL CONTROL
Cualquier tipo de medida, que permita
prevenir detectar o minimizar el riesgo
Pagina 13
prevenir, detectar o minimizar el riesgo
asociado con la ocurrencia de una
amenaza especifica.
Riesgo: Posiciones Riesgo: Posiciones
estratgicas
Cuando los riesgos resulten demasiado grandes Cuando los riesgos resulten demasiado grandes Cuando los riesgos resulten demasiado grandes, Cuando los riesgos resulten demasiado grandes,
trataremos de cambiar las cosas trataremos de cambiar las cosas
Reducirlos Reducirlos
Tratarlos Tratarlos
Aceptarlos Aceptarlos
Transferirlo Transferirlo
Evitar Evitar
Pagina 14
EL RIESGO EN LAS EL RIESGO EN LAS EL RIESGO EN LAS EL RIESGO EN LAS
ORGANIZACIONES ORGANIZACIONES
Pagina 15
N i d i i l i No existen dos organizaciones que tengan la misma
visin del riesgo . . .
Chip de Computadora Usuario
Usuario
R ti t bl R ti t bl
Ratio aceptable Ratio aceptable
De fallas De fallas
Bajo Bajo
De fallas De fallas
Ninguno! Ninguno!
Pagina 16
Bajo Bajo Ninguno! Ninguno!
TODAS las organizaciones se encuentran expuestas a diferentes TODAS las organizaciones se encuentran expuestas a diferentes TODAS las organizaciones se encuentran expuestas a diferentes TODAS las organizaciones se encuentran expuestas a diferentes
riesgos riesgos::
RIESGOS ENDGENOS RIESGOS ENDGENOS
RIESGOS EXGENOS RIESGOS EXGENOS
RIESGOS ENDGENOS RIESGOS ENDGENOS
-- Conductas incorrectas del Conductas incorrectas del
RIESGOS EXGENOS RIESGOS EXGENOS
-- Nuevas leyes y regulaciones Nuevas leyes y regulaciones
-- Conductas incorrectas del Conductas incorrectas del
personal personal
-- Falta de capacitacin del Falta de capacitacin del
personal personal
y y g y y g
-- Acciones de competidores Acciones de competidores
-- Desarrollo de nuevas Desarrollo de nuevas
tecnologas tecnologas
pp
-- Falta de recursos Falta de recursos
econmicos econmicos
-- Gerenciamiento dbil Gerenciamiento dbil
F ll d id d F ll d id d
tecnologas tecnologas
-- Cambios en la economa global Cambios en la economa global
-- Movimientos en la demografa o Movimientos en la demografa o
i d l li i d l li
-- Fallas de seguridad Fallas de seguridad
-- Incumplimiento de normas Incumplimiento de normas
expectativas de los clientes expectativas de los clientes
-- Cambios en la interrelacin con Cambios en la interrelacin con
los proveedores o terceras partes los proveedores o terceras partes
Pagina 17
p p p p
Qu hacer para minimizar los riesgos? Qu hacer para minimizar los riesgos? Qu hacer para minimizar los riesgos? Qu hacer para minimizar los riesgos?
GESTIN DE RIESGOS GESTIN DE RIESGOS
Proceso cclico y constante cuyo objetivo es maximizar los Proceso cclico y constante cuyo objetivo es maximizar los
beneficios y minimizar los efectos adversos. beneficios y minimizar los efectos adversos.
Pagina 18
GESTON DEL RIESGO GESTON DEL RIESGO GESTON DEL RIESGO GESTON DEL RIESGO
Permite: Permite:
C l l i l l f t Conocer cules son los riesgos a los cuales se enfrenta
la organizacin, organizando la defensa a conciencia
d t t y prudentemente.
Determinar sus causas y efectos.
Evaluarlos Evaluarlos.
Analizar la posibilidad y conveniencia de mitigarlos
o minimizarlos como nada es perfecto el riesgo se o minimizarlos, como nada es perfecto, el riesgo se
reduce a un nivel residual que la Direccin asume.
Controlar su evolucin en el tiempo.
Pagina 19
Controlar su evolucin en el tiempo.
NORMAIRAM17550/1 NORMAIRAM17550/1 NORMA IRAM 17550/1 NORMA IRAM 17550/1
Pagina 20
Incorporacin de la Gestin de Riesgos Incorporacin de la Gestin de Riesgos Incorporacin de la Gestin de Riesgos Incorporacin de la Gestin de Riesgos
PROPOSITO REVISION
Descripcin del proceso formal ordenado
y lgico, para desarrollar, establecer y
alentar la gestin sistemtica de riesgos
Debe reflejar las necesidades de gestin de
riesgos de la organizacin considerando el
contexto externo, metas, objetivos y
naturaleza del negocio.
ae ta a gest s ste tca de esgos
en una organizacin
g
Refiere a la apreciacin de sistemas de
gestin de riesgos, madurez, procesos y
sistemas, barreras y restricciones, etc.
PLANIFICACION DIRECCION
Representa los pasos para implementar un
agestin eficaz de riesgos. Contempla apoyo
d l di i d ll d l lti d
La Direccin debe asegurar que se lleva a
cabo una revisin de la gestin de riesgos a
de la direccin, desarrollo de la poltica de
gestin de riesgos,comunicacin de la poltica,
establecimiento de responsabilidades y
autoridad, adaptacin del proceso, recursos,
planificacin organizacional, gestin de
riesgos monitoreo y revisin
cabo una revisin de la gestin de riesgos a
intervalos especificados, suficientes para
asegurar su continua adecuacin y eficacia
para satisfacer los requerimientos de esta
norma, las polticas y objetivos de gestin
de riesgos, llevando registro de tales
Pagina 21
riesgos, monitoreo y revisin
revisiones.
Proceso de Gestin de Riesgos Proceso de Gestin de Riesgos Proceso de Gestin de Riesgos Proceso de Gestin de Riesgos
Establecer el Contexto
a
r
M
e
s
g
o
s
E
v
a
Identificar Riesgos
r

y

C
o
n
s
u
l
t
a
M
o
n
i
t
o
r
e
a
r

n

d
e

R
i
e
l
u
a
c
i
n

d
Analizar los Riesgos
C
o
m
u
n
i
c
a
r
y

R
e
v
i
s
a
r
E
v
a
l
u
a
c
i
d
e

R
i
e
s
g
o
Evaluar los Riesgos
o
s
Tratar los Riesgos
Pagina 22
Elementos Principales Elementos Principales Elementos Principales Elementos Principales
Establecer Contexto
Establecer los contextos estratgico,
organizacional y de gestin de riesgos en
los cuales tendr lugar el resto de los
procesos. Deben establecerse los criterios
contra los cuales se evaluarn los riesgos
y definirse la estructura del anlisis.
Identificar Riesgos
Identificar qu, por qu, dnde, cundo Identificar qu, por qu, dnde, cundo
y cmo los eventos podran impedir,
degradar, demorar o mejorar el logro de
los objetivos estratgicos y de negocio
de la organi acin
Pagina 23
de la organizacin.
Elementos Principales Elementos Principales Elementos Principales Elementos Principales
Analizar Riesgos
D t i l t l i t t li l Determinar los controles existentes y analizar los
riesgos en trminos de consecuencia y probabilidad
en el contexto de tales controles. El anlisis debera
considerar el rango de consecuencias potenciales y
b bl i d
Evaluar Riesgos
cun probable es que esas consecuencias puedan
ocurrir. Consecuencia y probabilidad se podran
combinar para producir un nivel estimado de riesgo.
Evaluar Riesgos
Comparar los niveles estimados de riesgo contra los
criterios preestablecidos y considerar el balance entre
b fi i t i l lt d d E t beneficios potenciales y resultados adversos. Esto
posibilita que se ordenen los riesgos como para
identificar las prioridades de gestin. Si los niveles de
riesgo establecidos son bajos podra caer en una
t t bl i t t i t
Pagina 24
categora aceptable y no se requerira tratamiento.
Elementos Principales Elementos Principales pp
Tratar Riesgos
Si los niveles de riesgo establecidos son bajos y son Si los niveles de riesgo establecidos son bajos y son
tolerables entonces no se requiere tratamiento. Para
otros riesgos, se deben desarrollar e implementar
estrategias y planes de accin especficos costo-
beneficios para aumentar los beneficios potenciales y
Monitorear y Revisar
beneficios para aumentar los beneficios potenciales y
reducir los costos potenciales.
Comunicar y Consultar
y
Monitorear y revisar el
desempeo del sistema de
gestin de riesgos y procurar
Comunicar y consultar con
los interesados internos y
externos segn resulte
g g y p
detectar cambios que
pudieran afectar la
adecuacin o beneficio de
costo de los controles.
g
apropiado en cada etapa del
proceso de gestin de
riesgos, interpretando al
proceso como un todo.
Pagina 25
p
C t l Control
Pagina 26
Control - Definicin
OBJETIVO DE CONTROL DE TI OBJETIVO DE CONTROL DE TI
Una declaracin del resultado a obtener
o del propsito a lograr mediante la p p g
implementacin de procedimientos de
CONTROL en una actividad particular p
de TI
Fuente: COBIT
Pagina 27
27
C t ti d l C t l Caractersticas del Control
Estar identificados con el objetivo
Ser econmicos Ser econmicos
Ser apropiados
S ill ibl Ser sencillos y comprensibles
Ser flexibles
Concentrados en puntos crticos
Deben provocar accin
Deben provocar accin
Control Interno: Control Interno:
Conceptos Clave Conceptos Clave
Es un proceso Es un proceso
Puede proveer solamente garanta Puede proveer solamente garanta Puede proveer solamente garanta Puede proveer solamente garanta
razonable razonable
Es adaptado para el cumplimiento de Es adaptado para el cumplimiento de Es adaptado para el cumplimiento de Es adaptado para el cumplimiento de
los objetivos los objetivos
No debe entorpecer la actividad No debe entorpecer la actividad No debe entorpecer la actividad No debe entorpecer la actividad
Clasificaciones de Control Clasificaciones de Control
Segn el momento de aplicacin:
Preventivo, detectivo y correctivo
Segn su desarrollo:
Discrecional o no discrecional
S i i i Segn su imposicin:
Voluntario o mandatario
Segn su implementacin: Segn su implementacin:
Manual o automtico
General o de aplicacin
General o de aplicacin
Seguridad Informtica
Definicin:
Es el conjunto de medidas preventivas, de deteccin
i d ti d t l i t id d
Definicin:
y correccin destinadas a proteger la integridad,
confidencialidad y disponibilidad de los recursos
informticos.
La Seguridad Informtica permite compartir los
Sistemas de Informacin de la empresa entre sus
empleados, e incluso con terceros, pero garantizando
Pagina 31
su proteccin.
Objetivos a cumplir Objetivos a cumplir
Objetivos corporativos de negocio Objetivos corporativos de negocio j p g j p g
Objetivos corporativos de TI Objetivos corporativos de TI
Objetivos de Seguridad Informtica Objetivos de Seguridad Informtica
Pagina 32
Aspectos bsicos: Aspectos bsicos:
son son esenciales esenciales para parael el crecimiento crecimiento del del negocio negocio son son esenciales esenciales para parael el crecimiento crecimiento del del negocio, negocio,
el el cumplimiento cumplimiento de de la la legalidad legalidad vigente vigente y y la la
imagen imagende dela lapropia propiaempresa empresa: : gg p p p p pp
CONFIDENCIALIDAD CONFIDENCIALIDAD CONFIDENCIALIDAD CONFIDENCIALIDAD
INTEGRIDAD INTEGRIDAD INTEGRIDAD INTEGRIDAD
DISPONIBILIDAD DISPONIBILIDAD
Pagina 33
DISPONIBILIDAD DISPONIBILIDAD
ACTORES y sus responsabilidades.
Para conseguir una Seguridad efectiva y completa de los g g y p
Recursos Informticos y Activos de Informacin, es
imprescindible delimitar las funciones y definir las
responsabilidadesdequienesloutilizan.
PROPIETARIO PROPIETARIO PROPIETARIO PROPIETARIO
DEPOSITARIO DEPOSITARIO
Pagina 34
USUARIO USUARIO
CONTROLES CONTROLES PROTECCIN PROTECCIN
CONFIDENCIAL CONFIDENCIAL
ESTRICTO ESTRICTO
DIRECTORES DIRECTORES
EMPLEADOS EMPLEADOS
INTERNA INTERNA
SUFICIENTE SUFICIENTE
COMUNIDAD COMUNIDAD
PUBLICA PUBLICA
INFORMACIN INFORMACIN USUARIOS USUARIOS
MNIMO MNIMO
COMUNIDAD COMUNIDAD
QU? QU?
QUIN? QUIN? CMO? CMO?
Pagina 35
QU? QU?
QUIN? QUIN? CMO? CMO?
PROPIETARIOS DE DATOS PROPIETARIOS DE DATOS TCNICO EN SEGURIDAD TCNICO EN SEGURIDAD
Comunicacin A 4609 del BCRA Comunicacin A 4609 del BCRA
Norma del BCRA que adhiere a las buenas prcticas, Norma del BCRA que adhiere a las buenas prcticas,
normasyregulacionesinternacionales normasyregulacionesinternacionales normas y regulaciones internacionales. normas y regulaciones internacionales.
Responsabilidades de las Entidades financieras Responsabilidades de las Entidades financieras
Cumplimiento Cumplimiento
Pagina 36
Se basa en normas y regulaciones y g
internacionales
Buenas prcticas emitidas por el Comit de BASILEApara la Buenas prcticas emitidas por el Comit de BASILEApara la Buenas prcticas emitidas por el Comit de BASILEA para la Buenas prcticas emitidas por el Comit de BASILEA para la
administracin del riesgo operacional y la TI. administracin del riesgo operacional y la TI.
IRAM/ ISO 17799: Cdigo de prctica para la administracin IRAM/ ISO 17799: Cdigo de prctica para la administracin g p p g p p
de la seguridad de la informacin. de la seguridad de la informacin.
ISO 27001: Gestin de la Seguridad de la Informacin. ISO 27001: Gestin de la Seguridad de la Informacin.
ISO 15408: Criterios de Evaluacin de Controles Internos en ISO 15408: Criterios de Evaluacin de Controles Internos en
TI/SI. TI/SI.
COBIT COBIT Objetivos de control para la tecnologa informtica. Objetivos de control para la tecnologa informtica.
Ley de Sarbanes Ley de Sarbanes--Oxley. Oxley.
Pagina 37
yy yy
Normativas de reguladores financieros (FSA, FED y OCC). Normativas de reguladores financieros (FSA, FED y OCC).
R d l bi Razones de los cambios
Establecer un marco adecuado para proteger Establecer un marco adecuado para proteger
los activos y recursos informticos.
Incorporar los ltimos conceptos vigentes en
materia normativa.
Adoptar un enfoque nico para todos los
bbancos.
Otorgar mayor responsabilidad a los mximos
responsables de cada entidad responsables de cada entidad.
Detallar responsabilidades para Seguridad de
la Informacin.
o c
Pagina 38
C ? Cmo?
Defini una gua de referencia para segregar
f i funciones.
Solicitando:
Medicin de riesgos tecnolgicos Medicin de riesgos tecnolgicos
Evaluacin
Toma de acciones correctivas Toma de acciones correctivas
Agregando controles de proteccin.
Incluyendo canales no contemplados (Banca Incluyendo canales no contemplados (Banca
Telefnica y dispositivos mviles).
Incluyendo Seguridad Web.
y g
Incorporando las mejores prcticas de TI.
Pagina 39
Qu se considera un activo?
R d i f i Recursos de informacin:
Bases de datos y archivos,
Documentacin de sistemas
Planes de continuidad
Recursos de software:
Software de aplicaciones,
Software de sistemas,
Herramientas de desarrollo
Utilit i
Utilitarios
Pagina 40
Qu se considera un activo? Cont Qu se considera un activo? Cont.
Activos fsicos:
Equipamiento informtico (procesadores, monitores, computadoras porttiles,
mdems)
Equipos de comunicaciones (routers, mquinas de fax, contestadores q p ( , q ,
automticos)
Medios magnticos (cintas y discos)
Otros equipos tcnicos (suministro de electricidad, unidades de aire
acondicionado), mobiliario
Servicios:
De comunicaciones
Servicios informticos
Utilitarios generales
Calefaccin
Iluminacin
Energa elctrica
Aire acondicionado.
Pagina 41
Qu son buenas prcticas?
El cumplimiento de las buenas prcticas no p p
debe ser exigible, pero es considerado
valor agregado al momento de ver la valor agregado, al momento de ver la
calidad en la gestin y el querer cumplir
t d l ti por parte de la gestin.
Pagina 42
Registro de logs de auditora
L d id d Logs de seguridad
El resguardo adecuado se refiere a que mantenga la
integridad la confidencialidad disponibilidad integridad, la confidencialidad y disponibilidad,
durante todo el plazo de guarda.
La no reutilizacin de los soportes de La no reutilizacin de los soportes de
almacenamiento, se basa en la propia caracterstica
del medio en que se aloja, o en la aplicacin de de ed o e que se oj , o e p c c de
medidas de seguridad y control interno.
Pagina 43
S i 1 A l Seccin 1. Aspectos generales
Robustece los conceptos, basndose en Robustece los conceptos, basndose en
normas y leyes internacionales normas y leyes internacionales normas y leyes internacionales normas y leyes internacionales
Marco: Ley de Entidades Financieras Marco: Ley de Entidades Financieras
Incumplimiento: Artculo 41 de la Ley Incumplimiento: Artculo 41 de la Ley
Pagina 44
Seccin 2 Organizacin funcional y gestin de tecnologa Seccin 2. Organizacin funcional y gestin de tecnologa
informtica y sistemas
Responsabilidades sobre el Comit de Tecnologa Responsabilidades sobre el Comit de Tecnologa
Polticas y gestin para administrar el riesgo Polticas y gestin para administrar el riesgo
Anlisis de riesgos Anlisis de riesgos gg
Mecanismos para mitigar potenciales riesgos Mecanismos para mitigar potenciales riesgos
Reportes de riesgos Reportes de riesgos Reportes de riesgos Reportes de riesgos
Independencia del rea de Tecnologa informtica Independencia del rea de Tecnologa informtica
Si t Si t
Pagina 45
y Sistemas y Sistemas
Seccin 2 Organizacin funcional y gestin de tecnologa Seccin 2. Organizacin funcional y gestin de tecnologa
informtica y sistemas -NUEVO-
Actividades y segregacin de funciones. I ncompatibilidades. Actividades y segregacin de funciones. I ncompatibilidades.
A n lis is f u n c io n a l /
P r o g r a m a c i n
X N O N O N O N O X X N O N O N O N O N O
P r o g r a m a c i n
C o n tr o l d e c a lid a d X N O N O X X N O X X N O N O S I N O N O N O
O p e r a c io n e s N O N O X N O X X X X N O N O N O N O
A d m in is tr a c i n d e
r e s g u a r d o s
N O N O X N O N O X N O X N O N O N O
Im p le m e n ta c io n e s N O X X X N O N O X X N O N O N O N O
D a ta E n tr y X N O N O N O N O X X X X N O N O N O
A d m in is tr a c i n d e b a s e s
d e d a to s
N O N O X N O N O N O X X N O N O N O N O
A d m in is tr a c i n d e r e d e s X X X X N O N O N O N O
A d m in is tr a d o r d e
c o m u n ic a c io n e s
X X X X N O N O N O N O
c o m u n ic a c io n e s
A d m in is tr a c i n d e
s is te m a s o p e r a tiv o s
N O N O X X X X X N O N O N O N O
M e s a d e a y u d a N O N O X X X N O N O N O N O
U s u a r io f in a l N O S I N O X N O N O N O N O N O N O N O N O
A s ig n a c i n d e p e r f ile s N O N O N O N O N O N O N O N O N O N O N O
Pagina 46
g p
D e f in ic i n e
im p le m e n ta c i n d e
p o ltic a s , p e r f ile s y
a c c e s o s
N O N O N O N O N O N O N O N O N O N O N O N O
C o n tr o l y m o n ito r e o d e
s e g u r id a d in f o r m tic a
N O N O N O N O N O N O N O N O N O N O N O N O
Seccin 3 Proteccin de activos de informacin Seccin 3. Proteccin de activos de informacin
Funcin especifica para proteccin de activos de Funcin especifica para proteccin de activos de
informacin informacin
Mantenimiento de la poltica de seguridad Mantenimiento de la poltica de seguridad
D fi i i d l i i f i D fi i i d l i i f i Definicin de roles, misiones, funciones y Definicin de roles, misiones, funciones y
entrenamiento entrenamiento
Definicin de estrategias de seguridad Definicin de estrategias de seguridad Definicin de estrategias de seguridad Definicin de estrategias de seguridad
Mecanismos de control Mecanismos de control
Mejoramiento continuo Mejoramiento continuo jj
Poltica de proteccin de activos Poltica de proteccin de activos
Apoyo y compromiso del directorio Apoyo y compromiso del directorio
Pagina 47
Implementacin y difusin Implementacin y difusin
Revisin peridica Revisin peridica
Seccin 3. Proteccin de activos de
informacin (Cont.)
Clasificacin de activos conforme a criticidad Clasificacin de activos conforme a criticidad
Documentacin Documentacin
Difusin Difusin
Registros operativos de actividad de usuarios Registros operativos de actividad de usuarios
Software malicioso, software no inventariado Software malicioso, software no inventariado
Utili acin de herramientas para pre encin Utili acin de herramientas para pre encin Utilizacin de herramientas para prevencin, Utilizacin de herramientas para prevencin,
deteccin y eliminacin deteccin y eliminacin
Registro de incidentes Registro de incidentes Registro de incidentes Registro de incidentes
Controles de seguridad fsica Controles de seguridad fsica
Accesos fsicos al CPD Accesos fsicos al CPD
Pagina 48
Destruccin de informacin crtica Destruccin de informacin crtica
Seccin 4. Continuidad del procesamiento electrnico de Seccin 4. Continuidad del procesamiento electrnico de
datos
Responsabilidades del Directorio sobre valorizacin, Responsabilidades del Directorio sobre valorizacin, Responsabilidades del Directorio sobre valorizacin, Responsabilidades del Directorio sobre valorizacin,
gestin y control de los riesgos. gestin y control de los riesgos.
Incorpora la necesidad de realizar anlisis de Incorpora la necesidad de realizar anlisis de
riesgos sobre potenciales amenazas que puedan riesgos sobre potenciales amenazas que puedan
afectar la continuidad de las operaciones y los afectar la continuidad de las operaciones y los
t f i t f i entornos fsicos. entornos fsicos.
Activa la participacin de los propietarios de los Activa la participacin de los propietarios de los
procesos y recursos de negocio procesos y recursos de negocio procesos y recursos de negocio. procesos y recursos de negocio.
Determina responsable formal para el mantenimiento Determina responsable formal para el mantenimiento
y adecuacin del plan y adecuacin del plan
Pagina 49
y p y p
Difusin del plan Difusin del plan
Seccin 5 Operaciones y Procesamiento de datos Seccin 5. Operaciones y Procesamiento de datos
Mtodos y registros de los incidentes de usuarios y Mtodos y registros de los incidentes de usuarios y Mtodos y registros de los incidentes de usuarios, y Mtodos y registros de los incidentes de usuarios, y
acciones para dar solucin acciones para dar solucin
Inventario Tecnolgico Inventario Tecnolgico gg
Polticas y procedimientos para el procesamiento Polticas y procedimientos para el procesamiento
Detalle de los procesos Detalle de los procesos
Bi d i id Bi d i id Bitcora de incidentes Bitcora de incidentes
Procedimiento de control de cambios Procedimiento de control de cambios
Procedimiento de resguardo de informacin Procedimiento de resguardo de informacin Procedimiento de resguardo de informacin Procedimiento de resguardo de informacin
Plan de pruebas de resguardos Plan de pruebas de resguardos
Plan de Capacidad Plan de Capacidad
Pagina 50
pp
Seccin 6 Banca electrnica por diversos medios Seccin 6. Banca electrnica por diversos medios
Controles para los diferentes canales electrnicos con Controles para los diferentes canales electrnicos con
las que operan: las que operan:
Incorpora la implementacin de controles para las Incorpora la implementacin de controles para las Incorpora la implementacin de controles para las Incorpora la implementacin de controles para las
actividades realizadas en los puestos de dbito (POS). actividades realizadas en los puestos de dbito (POS).
Controles para las actividades realizadas por Internet. Controles para las actividades realizadas por Internet.
Realizacin de anlisis de riesgos e incorporacin de Realizacin de anlisis de riesgos e incorporacin de
controles para los diferentes canales controles para los diferentes canales
Nuevos canales Nuevos canales Nuevos canales Nuevos canales
Cajeros automticos Cajeros automticos
Cinta de auditora Cinta de auditora
Controles Controles
Pagina 51
Controles Controles
Resguardo Resguardo
Seccin 7. Delegacin de actividades propias de la entidad
en terceros
Responsabilidades del directorio Responsabilidades del directorio
Proteccin de activos Proteccin de activos
Responsabilidades del tercero Responsabilidades del tercero
C d d t i i b t t C d d t i i b t t Cadena de tercerizacin, sub contratos. Cadena de tercerizacin, sub contratos.
Para el B.C.R.A, las actividades delegadas en terceros, son Para el B.C.R.A, las actividades delegadas en terceros, son
responsabilidad de la Entidad. responsabilidad de la Entidad.
Pagina 52
Seccin 8 Sistemas aplicativos de informacin Seccin 8. Sistemas aplicativos de informacin
Especificaciones sobre las implementaciones de Especificaciones sobre las implementaciones de Especificaciones sobre las implementaciones de Especificaciones sobre las implementaciones de
controles y validaciones para los procesos regulados controles y validaciones para los procesos regulados
por el BCRA. por el BCRA. pp
Define especficamente donde deben registrarse y Define especficamente donde deben registrarse y
procesarse las aplicaciones de negocio. procesarse las aplicaciones de negocio.
E bl l l d ll d i E bl l l d ll d i Establece controles para el desarrollo de sistemas Establece controles para el desarrollo de sistemas
Pagina 53
INFORME COSO
Pagina 54
C d l C l I C d l C l I Componentes del Control Interno Componentes del Control Interno
Ambiente de control
Valuacin de riesgos
Actividades de control Actividades de control
Informacin y comunicacin
Monitoreo Monitoreo
Copyright 1997 - Instituto
de Auditores Internos de
Argentina
Modelo COSO - ERM Modelo COSO ERM
El modelo COSO ERM es una herramienta idnea para
asegurar un control interno que reduzca sustancialmente el asegurar un control interno que reduzca sustancialmente el
fraude corporativo y asegure una buena gestin
Pagina 56
Componentes del modelo Componentes del modelo
COSO - ERM
Ambiente interno
Establecimiento de objetivos
Identificacin de eventos
E l i d i Evaluacin de riesgos
Respuesta a riesgos
Actividades de control Actividades de control
Informacin y comunicacin
Monitoreo
Pagina 57
Pagina 58
Firma Digital: Definicin (1) Firma Digital: Definicin (1)
Conjunto de datos expresados en formato digital, Conjunto de datos expresados en formato digital,
utilizados como mtodo de identificacin de un firmante utilizados como mtodo de identificacin de un firmante
ydeverificacindelaintegridaddel contenido ydeverificacindelaintegridaddel contenido y de verificacin de la integridad del contenido y de verificacin de la integridad del contenido
de un documento digital, que cumpla con los siguientes de un documento digital, que cumpla con los siguientes
requisitos: requisitos:
Pagina 59
Fi Di it l D fi i i (1) Fi Di it l D fi i i (1) Firma Digital: Definicin (1) Firma Digital: Definicin (1)
i i l i i l pertenecer nicamente a su titular pertenecer nicamente a su titular
encontrarse bajo su absoluto y exclusivo control encontrarse bajo su absoluto y exclusivo control
ser susceptible de verificacin ser susceptible de verificacin
estar vinculada a los datos del documento digital poniendo estar vinculada a los datos del documento digital poniendo
en evidencia su alteracin en evidencia su alteracin
Pagina 60
Firma Digital: Definicin (2) Firma Digital: Definicin (2) Firma Digital: Definicin (2) Firma Digital: Definicin (2)
Se entiende por firma digital al resultado de aplicar a un Se entiende por firma digital al resultado de aplicar a un
documento digital un procedimiento matemtico que documento digital un procedimiento matemtico que
requiere informacin de exclusivo conocimiento del requiere informacin de exclusivo conocimiento del
firmante encontrndose esta bajo su absoluto control. firmante encontrndose esta bajo su absoluto control.
((A 2) A 2) ((Art. 2) Art. 2)
Pagina 61
Firma Digital: Definicin (2) Firma Digital: Definicin (2) Firma Digital: Definicin (2) Firma Digital: Definicin (2)
La firma digital debe ser susceptible de verificacin por La firma digital debe ser susceptible de verificacin por
terceras partes, tal que dicha verificacin simultneamente terceras partes, tal que dicha verificacin simultneamente
permita identificar al firmante y detectar cualquier permita identificar al firmante y detectar cualquier
alteracin del documento digital posterior a su firma. alteracin del documento digital posterior a su firma.
Los procedimientos de firma y verificacin a ser utilizados Los procedimientos de firma y verificacin a ser utilizados
para tales fines sern los determinados por la Autoridad de para tales fines sern los determinados por la Autoridad de
A li i i d l i A li i i d l i Aplicacin en consonancia con estndares tecnolgicos Aplicacin en consonancia con estndares tecnolgicos
internacionales vigentes.(Art. 2) internacionales vigentes.(Art. 2)
Pagina 62
Firma Electrnica: Definicin Firma Electrnica: Definicin Firma Electrnica: Definicin Firma Electrnica: Definicin
Conjunto de datos electrnicos integrados, ligados o Conjunto de datos electrnicos integrados, ligados o
asociados de manera lgica a otros datos electrnicos, asociados de manera lgica a otros datos electrnicos,
utilizado por el signatario como su medio de utilizado por el signatario como su medio de
id ifi i d l d l i i id ifi i d l d l i i identificacin, que carezca de alguno de los requisitos identificacin, que carezca de alguno de los requisitos
legales para ser considerada firma digital. legales para ser considerada firma digital.
(Art. 5) (Art. 5)
Pagina 63
Nociones de Criptografa Nociones de Criptografa Nociones de Criptografa Nociones de Criptografa
Criptografa Simtrica
Clave Clave
Criptografa Asimtrica
Privada Pblica
Privada
Pblica Privada
Privada
Pagina 64
Nociones de Criptografa Nociones de Criptografa Nociones de Criptografa Nociones de Criptografa
Criptografa Simtrica
Clave Clave
Criptografa Asimtrica Criptografa Asimtrica
Pblica Privada
Pblica
Pblica Privada
Pblica
Pagina 65
Nociones de Criptografa Nociones de Criptografa
p=13069322402100655460372905860955471125556555722027918271400496820543230709995361923
026449726342667352298135532444657556071721709079499346407281185886210303
q=11543291706304854991282053266556482345340381283249361938035635072123140767619879947
055794178155878831076988621881878883273530930538636731138191162287228337
Public Key:
n=p*q
=15086300089119274131984091466854446446751437178443907045057674491932959261191279542
29034815151088196647574427605671372595058789251003353085350186857959250414436161702
03299241549726752965481817691505256855094549856968833483708744362754719215241945330
731
e=5
PrivateKey:
d=e
-1
mod ((p-1)(q-1))
=60345200356477096527936365867417785787005748713775628180230697967731837044765118169
16139260604352786590297710422685490380235157004013412341400747431837000673240082471
Pagina 66
91155159579070501814113387178273006311257361683347763269349066990051396531992163328
742
Cuando se Firma
Cuando se Verifica
p g p g
Hash Hash ?
Firma Firma
Privada
Pblica Pblica
Nombre y
Apellido
Nombre y
Apellido
Pagina 67
C tifi d di it l C tifi d di it l
Documentodigital quepermiteverificar la Documentodigital quepermiteverificar la
Certificados digitales Certificados digitales
Documento digital que permite verificar la Documento digital que permite verificar la
identidad de una persona identidad de una persona
Similar a un Documento de Identidad, un Similar a un Documento de Identidad, un ,,
pasaporte, el carnet de una empresa, etc. pasaporte, el carnet de una empresa, etc.
Emitido por un Certificador que garantiza la Emitido por un Certificador que garantiza la
veracidad de los datos veracidad de los datos
Previene la suplantacin de identidad en la red Previene la suplantacin de identidad en la red
Clave para la identificacin de las partes en una Clave para la identificacin de las partes en una
transaccin electrnica transaccin electrnica
Pagina 68
Un certificado digital es una porcin de Un certificado digital es una porcin de
g p g p
informacin SEGURA informacin SEGURA
Una firma digital lo protege contra cualquier Una firma digital lo protege contra cualquier
manipulacin de sus contenidos manipulacin de sus contenidos manipulacin de sus contenidos manipulacin de sus contenidos
Muestra informacin en claro (datos del Muestra informacin en claro (datos del
suscriptor, clave pblica, datos de la AC, etc.) suscriptor, clave pblica, datos de la AC, etc.)
No contiene informacin CONFIDENCIAL No contiene informacin CONFIDENCIAL
Pagina 69
Confianza es funcin de: Confianza es funcin de:
Cmo fue emitido Cmo fue emitido Poltica de Certificacin Poltica de Certificacin Cmo fue emitido Cmo fue emitido -- Poltica de Certificacin Poltica de Certificacin
La credibilidad del certificador La credibilidad del certificador
mbito de reconocimiento mbito de reconocimiento
Pagina 70
Certificadores Certificadores
Terceras partes confiables que dan fe de la Terceras partes confiables que dan fe de la
id d d l i f i i l id l id d d l i f i i l id l veracidad de la informacin incluida en los veracidad de la informacin incluida en los
certificados que emiten certificados que emiten
Pagina 71
Funcionamiento del sistema Funcionamiento del sistema
Ente Licenciante
Solicita Licencia
Certificador
Licenciado
?
T
Suscriptor
Tercero
Usuario
C.Asesora
Aplicaciones de la certificacin digital Aplicaciones de la certificacin digital
Espaa Espaa
pp
Presentar DDJ J impositiva electrnica Presentar DDJ J impositiva electrnica
Firmar un contrato electrnico Firmar un contrato electrnico
Consultar ante organismos pblicos Consultar ante organismos pblicos
Obtener una receta electrnica Obtener una receta electrnica Obte e u a ecetaeect ca Obte e u a ecetaeect ca
Votar electrnicamente Votar electrnicamente
Efectuar unreclamoelectrnico Efectuar unreclamoelectrnico Efectuar un reclamo electrnico Efectuar un reclamo electrnico
Obtener un DNI electrnico (2005 a 2007) Obtener un DNI electrnico (2005 a 2007)
Pagina 73
Mjico Mjico
Facturacin Electrnica Facturacin Electrnica
Presentacin de DDJ J impositivas Presentacin de DDJ J impositivas
Declaraciones previsionales y solicitud de Declaraciones previsionales y solicitud de
devoluciones devoluciones
Los contribuyentes que decidan facturar sus ventas Los contribuyentes que decidan facturar sus ventas
electrnicamente podrn continuar utilizando tambin el electrnicamente podrn continuar utilizando tambin el
papel para emitir estos comprobantes fiscales cuando as lo papel para emitir estos comprobantes fiscales cuando as lo papel para emitir estos comprobantes fiscales, cuando as lo papel para emitir estos comprobantes fiscales, cuando as lo
consideren necesario, explic la Asociacin Mexicana de consideren necesario, explic la Asociacin Mexicana de
Estndares para el Comercio Electrnico Mexicana. Estndares para el Comercio Electrnico Mexicana.
Pagina 74
Fuente: DAN OPCIONES PARA FACTURAR Fuente: DAN OPCIONES PARA FACTURAR
7/4/04 7/4/04 - - InfoSel Financiero, Mxico InfoSel Financiero, Mxico
A li i d l tifi i di it l A li i d l tifi i di it l
Chile Chile
Chile Chile
Sistema de Contrataciones del Estado Sistema de Contrataciones del Estado
Facturacin electrnica Facturacin electrnica Facturacin electrnica Facturacin electrnica
Comunicaciones electrnicas entre organismos Comunicaciones electrnicas entre organismos
Brasil Brasil Venezuela Venezuela
Uruguay Uruguay
Pagina 75
Argentina Argentina
C tifi i d ti l t i (SGP) C tifi i d ti l t i (SGP)
Certificacin de retiro voluntario (SGP) Certificacin de retiro voluntario (SGP)
Convenio de Comunicacin Electrnica Convenio de Comunicacin Electrnica
Interjurisdiccional Interjurisdiccional Interjurisdiccional Interjurisdiccional
Comunicacin de Antecedentes Penales (Ministerio Comunicacin de Antecedentes Penales (Ministerio
de Justicia) de Justicia)
Remisin de Estados Contables (CNV) Remisin de Estados Contables (CNV)
Firma de Contratos (Bolsa de Comercio Firma de Contratos (Bolsa de Comercio - - Rosario) Rosario) (( ))
Acceso a Bases de Datos Crticas (ArCERT) Acceso a Bases de Datos Crticas (ArCERT)
SECOP SECOP Contrataciones electrnicas Contrataciones electrnicas
Pagina 76
Planes de Gobierno Electrnico Planes de Gobierno Electrnico
Pagina 77

Unidad 7 Riesgos Tecnologia, Sistemas Informacion, Recursos Asociados (Parte 1)

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Unidad 7 Riesgos Tecnologia, Sistemas Informacion, Recursos Asociados (Parte 1)

Încărcat de

Drepturi de autor:

Formate disponibile

Posgrado de Especializacin en Administracin

S-ar putea să vă placă și