dti auditoria de sistemas
TRANSCRIPT
Universidad Nacional Federico VillarrealFacultad de Ingeniería Industrial y de Sistemas Escuela de Ingeniería de Sistemas
AUDITORIA DE SISTEMAS
DTI
Integrantes
CASACHAHUA MEDINA, JOSÉ
RODOLFO ALBERTO
FLORIAN ARTEAGA, EDUARDO MIGUEL
GONZALES BERNAL, JAIR
ANTONIO
GARCÍA MORAUSKY,
CESAR RICARDO
BENITEZ PEREYRA,
PAUL FRANCISCO
Caso Practico 1Poniendo en marcha las defensas
Caso: Poniendo en marcha las defensas
DTI entidad cuya funcionalidad es de apoyar a las empresas ser mas productivas en los diferentes aspectos como en la seguridad de la información.
Por lo cual la empresa XYZ S.A.C requiere saber quedefensas necesita y que medidas reforzar para ayudar a reducir los riesgos de perdida de información.
Caso: Poniendo en marcha las defensas
• Personal de seguridad
• Conciencia de la seguridad de información
• La política de seguridad y procedimientos
Caso: Poniendo en marcha las defensas
• La fijación de las vulnerabilidades• del software
• Acceso, autorización y autenticación
• Antivirus y sistemas de filtrado de contenido
• Cortafuegos y defensas de red
Caso Practico 2Tipos de controles
• “Creemos que nos han robado….”• “Creemos que nos están
atacando…”• “Creemos que alguien no es
quien dice ser…”• “Creemos que el servidor está
off…”• “Creemos que….”La teoría del “Creemos”
• Evitar problemas antes de que aparezcan.
• Tratar de predecir problemas potenciales antes de que ocurran y hacer ajustes.
CONTROL PREVENTIVO
• Monitorear tanto las operaciones como las transacciones de entrada.
• Prevenir la ocurrencia de un error, omisión o acto delictivo.
CONTROL PREVENTIVO
EjemplosEmplear únicamente personal calificado
Controlar el acceso a las instalaciones físicas
Uso de software para el control de acceso
Auditoría e Informes de Active Directory
Monitoreo de redes Active con NAGIOS
• “Algo que conoces”: TU PASSWORD
• “Algo que tienes”: DISPOSITIVO FISICO
• “Algo sobre ti”: HUELLA, IRIS, VOZ
Autenticación Multi-factorn
CONTROL DETECTIVODoble verificación de los cálculos
Mensajes de error
Auditoría interna
Verificación de los cálculos
Mensajes de error
Caso Practico 3
Estimación de Riesgo
BS7799
BS7799 es un estándar desarrollado por la DTI (actualmente el BSI-Department of Bussiness Innovation and Skills)
Presenta una normativa que le permite a las instituciones desarrollar un buen Sistema de Gestión de Seguridad de la Información (ISMS por sus siglas en ingles)
Secuencia de cumplimiento de BS7799
Definir políticas de seguridad
Definir el alcance del sistema de seguridad
de información
Llevar a cabo una estimación de riesgo
Gestionar el riesgo
Seleccionar objetivos de control y controles para
ser implementados
Preparar enunciado para su aplicación
Política de seguridad de información
Alcance del ISMS
Estimación de riesgo
Áreas de riesgo a ser gestionadas
Selección racional
Enunciado de aplicación
Valor de los activos
Resultados y conclusiones
Opciones de control selectas
Objetivos de control y controles seleccionados
Estimación de Riesgo (casos)Inventario de recursos: Una empresa cuenta con un servidor
de correos El dueño del servidor (hardware)
sería el equipo de servidor. El dueño de data contenida en este,
es toda persona que hace uso del servidor
Estimación de Riesgo (casos)Valor del recurso:
Con
fiden
cial
idad ¿Qué sucede cuando alguien no autorizado lee un mail de alta gerencia?
Puede ser catastrófico puesto que se maneja información muy sensible
Puede ser no tan importante puesto que se manejan firmas digitales de encriptación en los
mensajes
Estimación de Riesgo (casos)Valor del recurso:
Inte
grid
ad¿Qué sucedería si el gerente hace un donativo y
este es interceptado y modificado para que se mande a otro lado?
Bastante crítico pues se esta robando dinero
Se cuenta con encriptación para mensajes de salida así que es difícil de interceptar
Estimación de Riesgo (casos)Valor del recurso:
Dis
poni
bilid
ad ¿Qué sucedería si hay una falla de hardware y el servidor no está disponible?
Bastante crítico puesto que se pueden perder mails recibidos y pueden corromperse
Los servidores se ejecutan en redundancia y se cuenta con un servidor de respaldo
Estimación de Riesgo (casos)
Valor del riesgo: En el caso del Servidor de correos
Fallas eléctricas
Errores de Hardware
Intrusiones
Virus e inyección de código malicioso
Error de destinatari
o
Acceso no autorizado
Caso Practico 4
Telefónica del Perú
Puntos Previos
BSI (antes DTI) es una organización independiente y global de servicios que permite a las empresas, gobiernos y otras organizaciones incrementar los beneficios y el acceso al mercado, y ensalza la reputación de éstos con soluciones basadas en normas y servicios de seguridad.
Telefónica del Perú obtiene la certificación ISO 27001
Telefónica del Perú alcanzó la Certificación Internacional ISO/IEC 27001:2005, para su Data Center, que brinda servicios de: Outsourcing de TI Disaster Recovery/Businnes Continuity Hosting Housing
Para sus centros de gestión de móviles, de banda ancha y de redes empresariales, que han sido elevados a estándares de clase mundial.
CARACTERISTICA DEL ESTANDAR
• Fue aprobado y publicado como estándar internacional en octubre de 2005 por INTERNATIONAL ORGANIZATION FOR STANDARDIZATIOn y por la comisión INTERNATIONAL ELECTROTECHNICAL COMMISSION.
1 PUNTO
• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).
2 PUNTO
• Tiene su origen en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica (BSI).
3 PUNTO
¿Cómo se implementa?
• Suele tener una duración entre 6 y 12 meses, dependiendo del grado de madurez en seguridad de la información y el alcance, entendiendo por alcance el ámbito de la organización que va a estar sometido al en adelante SGSI elegido.
1 Punto
• El equipo de proyecto de implantación debe estar formado por representantes de todas las áreas de la organización que se vean afectadas por el SGSI, liderado por la dirección y asesorado por consultores externos especializados en seguridad informática generalmente Ingenieros o Ingenieros Técnicos en Informática
2 Punto
¿Cómo te certificas?
Tener en cuenta
La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.
Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
VENTAJAS
1
• Posiciona a Telefónica del Perú como la operadora de Latinoamérica con la certificación ISO 27001 de mayor alcance y la única con la Gestión de los Servicios Móviles y de Gestión del Data Center certificada.
2• Marca la Diferencia no solo en el Perú, sino también en
Latinoamérica, dentro y fuera del Grupo Telefónica.
3
• Cuentan con un Sistema de Gestión de la Seguridad de la Información certificado bajo una Norma Internacional tanto para las redes como para los servicios de TI.
Caso Práctico 5 Sistema de Indicadores de Riesgos
VP. Operaciones - Interbank
Página Oficial
Gráfico Principal
MUCHAS GRACIAS