políticas y normas de seguridad, auditoría informática, plan de contingencias
DESCRIPTION
Presentación para la clase de Seguridad de Sistemas y Redes.TRANSCRIPT
![Page 1: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/1.jpg)
Seguridad de Sistemas y Redes Universidad Centroamericana, Managua, Nicaragua
![Page 2: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/2.jpg)
Según la RAE: 12. f. Orientaciones o directrices que rigen la
actuación de una persona o entidad en un asunto o campo determinado.
![Page 3: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/3.jpg)
Recoge las directrices u objetivos de una organización con respecto a la seguridad de la información.
Forma parte de su política general y, por tanto, ha de ser aprobada por la dirección.
(Aguilera López)
![Page 4: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/4.jpg)
El objetivo principal de este documento es concienciar al personal de una organización (y en especial a los involucrados en el sistema de información) en la necesidad de conocer los principios de seguridad y las normas que ayudan a cumplir los objetivos de ésta.
Se redacta de forma clara y precisa para que sea entendida por todo el personal.
![Page 5: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/5.jpg)
No todas las políticas son iguales, dependen siempre del giro de negocio de la organización.
![Page 6: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/6.jpg)
Existen estándares por países y por áreas (gobierno, medicina, militar, etc.).
La ISO (International Organization for Standardization) define algunas normas de carácter internacional.
ISO 7498-2:1989 Information processing systems -- Open Systems Interconnection
![Page 7: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/7.jpg)
Contendrá los objetivos de la empresa en materia de seguridad del sistema de información.
Estos objetivos se engloban en cuatro grupos:
![Page 8: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/8.jpg)
•Necesidades de seguridad.
•Riesgos que amenazan al sistema.
•Evaluar impactos ante un ataque. Identificar
•Medidas de seguridad para afrontar riesgos de activos o grupo de activos. Relacionar
•Perspectiva general de las reglas y procedimientos para afrontar riesgos identificados en los diferentes departamentos. Proporcionar
•Vulnerabilidades del sistema de información.
•Controlar los fallos producidos. Detectar
![Page 9: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/9.jpg)
La definición del plan de contingencias es uno de los resultados y parte de la política de seguridad.
![Page 10: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/10.jpg)
![Page 11: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/11.jpg)
Esta norma define una política de autorización genérica, la cual puede formularse de la siguiente forma:
“La información no puede darse, ni puede permitirse el acceso a ella, ni se puede permitir que sea inferida, ni se puede utilizar ningún recurso por parte de personas o entidades que no están autorizadas de forma apropiada.”
![Page 12: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/12.jpg)
Esta ISO constituye una base posible para políticas mas detalladas. No cubre la disponibilidad (Ejemplo, cuestiones de DDOS)
Distingue dos tipos de políticas de seguridad:
![Page 13: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/13.jpg)
Políticas basadas en identidad:
Determinación del acceso y uso de los recursos en base a las identidades de los usuarios y recursos.
Políticas basadas en reglas:
El acceso a los recursos se controla a través de reglas globales impuestas a todos los usuarios, por ejemplo, utilizando etiquetas de seguridad.
![Page 14: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/14.jpg)
Define cinco categorías principales de servicios de seguridad:
Autenticación, tanto de entidades como de origen.
Control de acceso.
Confidencialidad de los datos.
Integridad de los datos.
No repudio
![Page 15: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/15.jpg)
![Page 16: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/16.jpg)
Es una análisis pormenorizado de un sistema de información que permite descubrir, identificar y corregir vulnerabilidades.
Su objetivo es verificar que se cumpla la política de seguridad.
Proporciona una imagen real y actual del estado de seguridad del sistema de información.
![Page 17: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/17.jpg)
Los encargados de realizar la auditoría emiten un informe que contiene como mínimo lo siguiente: Descripción y característica de los activos y
procesos analizados.
Análisis de las relaciones y dependencias entre activos o en el proceso de la información.
Relación y evaluación de las vulnerabilidades detectadas en cada activo o subconjunto de activo y proceso.
![Page 18: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/18.jpg)
Los encargados de realizar la auditoría emiten un informe que contiene como mínimo lo siguiente:
Verificación del cumplimiento de la normativa en el ámbito de seguridad.
Propuesta de medidas preventivas y de corrección.
![Page 19: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/19.jpg)
Para evaluar la seguridad de un sistema se necesitan de herramientas de análisis tales como:
Manuales (activos, procesos, mediciones, entrevistas, cuestionarios, cálculos, pruebas).
Software Específico para Auditorías (Computer Assited Audit Techniques, CAAT).
![Page 20: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/20.jpg)
La auditoría puede ser total, en todo el SI, o parcial, sobre determinados activos o procesos.
La auditoría de un sistema de información puede realizarse:
Por personal capacitado perteneciente a la propia empresa.
Por una empresa externa.
![Page 21: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/21.jpg)
![Page 22: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/22.jpg)
Instrumento de gestión que contiene las medidas (tecnológicas, humanas y de organización) que garanticen la continuidad del negocio protegiendo el sistema de información de los peligros que amenazan o recuperándolo tras un impacto.
![Page 23: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/23.jpg)
Consta de tres subplanes independientes:
Plan de Respaldo: crear y conservar en un lugar seguro copias de seguridad de la información.
Plan de Emergencia: qué medidas tomar cuando se está materializando una amenaza o cuando acaba de producirse.
![Page 24: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/24.jpg)
Consta de tres subplanes independientes:
Plan de Recuperación: medidas que se aplicaran cuando se ha producido un desastre. El objetivo es evaluar el impacto y regresar lo antes posible.
![Page 25: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/25.jpg)
La elaboración de este plan no puede dejar por fuera a los miembros de la organización, el cual debe estar informado y entrenado para actuar en las funciones que le hayan sido encomendadas en caso de producirse una amenaza o impacto.
![Page 26: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/26.jpg)
Aguilera López, P. (s.f.). Seguridad Informática. Madrid: Editex.
Areitio Bertolín, J. (2008). Seguridad de la Información. Madrid: Paraninfo.
![Page 27: Políticas y normas de seguridad, auditoría informática, plan de contingencias](https://reader033.vdocuments.mx/reader033/viewer/2022052311/559090ff1a28ab27388b45ea/html5/thumbnails/27.jpg)
Gracias por su atención.