Sunteți pe pagina 1din 22

SEGURIDAD Y AUDITORIA DE

SISTEMAS

ING. HANS QUISPE ARCOS QUISPEARCOSH@GMAIL.COM

POLITICAS DE SEGURIDAD

POLITICAS DE SEGURIDAD INFORMATICA

POLITICAS DE SEGURIDAD INFORMATICA Kevin Mitnick

Kevin Mitnick

POLITICAS DE SEGURIDAD INFORMATICA

POLITICAS DE SEGURIDAD INFORMATICA Una política de seguridad es un conjunto de directrices, normas, procedimientos e

Una política de seguridad es un conjunto de

directrices, normas, procedimientos e instrucciones que guía las actuaciones de trabajo y define los criterios de seguridad para que sean

adoptados a nivel local o institucional, con el

objetivo de establecer, estandarizar y normalizar la seguridad tanto en el ámbito humano como en el tecnológico.

¿COMO DESARROLLAR UNA POLITICA DE SEGURIDAD?

Identifique y evalúe los activos Hardware: Terminales, computadoras personales, router.

Software: Sistemas Operativos, programas de comunicación.

Datos: Base de datos, Back ups.

Personas: Usuarios, personas para operar los sistemas.

Documentación: Procedimientos administrativos locales.

¿COMO DESARROLLAR UNA POLITICA DE SEGURIDAD?

Identifique las amenazas ¿Cuáles son las causas de los potenciales problemas de seguridad?

Considere la posibilidad de violaciones a la seguridad y el impacto

que tendrían si ocurrieran.

Amenazas externas: Se originan fuera de la organización y son los malware, ataques de hackers o espionajes.

Amenazas internas: Son las amenazas que provienen del interior de

la empresa y que pueden ser muy costosas porque se tiene mayor acceso al requerido.

¿COMO DESARROLLAR UNA POLITICA DE SEGURIDAD?

Evalué los riesgos

Éste puede ser uno de los componentes más desafiantes del

desarrollo de una política de seguridad. Debe calcularse la

probalidad de que ocurran ciertos sucesos y determinar cuáles tienen el potencial para causar mucho daño.

¿COMO DESARROLLAR UNA POLITICA DE SEGURIDAD?

Asigne las responsabilidades

Seleccione un equipo de desarrollo que ayude a identificar las

amenazas potenciales en todas las áreas de la empresa. Sería

ideal la participación de un representante de cada departamento. Los principales integrantes serían: El administrador de redes, un asesor jurídico, un ejecutivo superior y representantes de los departamentos de RRHH.

¿COMO DESARROLLAR UNA POLITICA DE SEGURIDAD?

Establezca políticas de seguridad

Cree una política que apunte a los documentos asociados;

parámetros y procedimientos, normas, así como los contratos

de empleados.

Desarrolle un proceso de monitoreo periódico.

Comunique a todo el personal involucrado en el desarrollo

de las PSI.

¿COMO DESARROLLAR UNA POLITICA DE SEGURIDAD?

Implemente una política en toda la organización

La política debe establecer claramente las responsabilidades

en cuanto a la seguridad y reconocer quien es el propietario

de los sistemas y datos específicos.

GESTIÓN DE RIESGOS

GESTIÓN DE RIESGOS

GESTIÓN DE RIESGOS
GESTIÓN DE RIESGOS

GESTIÓN DE RIESGOS

GESTIÓN DE RIESGOS Actividades para el tratamiento:  Eliminar; Es cuando el activo deja de tener

Actividades para el tratamiento:

Eliminar; Es cuando el activo deja de tener valor.

Mitigar; Consiste en implementar algún control que reduzca el riesgo.

Transferir; Ocurre cuando se delega la acción de mitigación a un

tercero.

Aceptar; Se presenta cuando el impacto es suficientemente bajo para

que la organización decida no tomar ninguna acción de mitigación o

cuando el costo de la aplicación de un control supera el valor del activo.

GESTIÓN DE RIESGOS

GESTIÓN DE RIESGOS
GESTIÓN DE RIESGOS

IMPLEMENTACIÓN DEL PLAN

DE SEGURIDAD

Medidas de seguridad

Medidas de seguridad Las medidas de seguridad son acciones que podemos tomar con la finalidad de

Las medidas de seguridad son acciones que podemos tomar

con la finalidad de reducir las vulnerabilidades existentes en

los activos de la empresa.

Son varias las medidas de protección que recomendamos para la reducción de las vulnerabilidades desde la información.

Medidas de seguridad

Medidas de seguridad  Control de acceso a los recursos de la red  Protección contra

Control de acceso a los recursos de la red

Protección contra virus

Seguridad para equipos portátiles

ICP Infraestructura de llaves públicas

Medidas de seguridad

Medidas de seguridad  Detección y control de invasiones  Firewall  VPN – Virtual Private

Detección y control de invasiones

Firewall

VPN Virtual Private Network

Acceso remoto seguro

Medidas de seguridad

Medidas de seguridad  Seguridad en correo electrónico  Seguridad para las aplicaciones  Monitoreo y

Seguridad en correo electrónico

Seguridad para las aplicaciones

Monitoreo y gestión de la seguridad

Seguridad en comunicación Móvil

Medidas de seguridad

Medidas de seguridad  Seguridad para servidores  Firewall interno

Seguridad para servidores

Firewall interno

Administrador de seguridad

Definir la misión de seguridad informática de la organización en conjunto con las autoridades de la misma.

Aplicar una metodología de análisis de riesgo para evaluar la seguridad

informática en la organización.

Definir la Política de seguridad informática de la organización.

Definir los procedimientos para aplicar la Política de seguridad informática.

Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las políticas dentro de la misión establecida.

Administrador de seguridad

Crear un grupo de respuesta a incidentes de seguridad, para atender los problemas relacionados a la seguridad informática dentro de la

organización.

Promover la aplicación de auditorias enfocadas a la seguridad, para

evaluar las prácticas de seguridad informática dentro de la organización.

Crear y vigilar los lineamientos necesarios que coadyuven a tener los

servicios de seguridad en la organización.

Crear un grupo de seguridad informática en la organización.