Sin ttulo de diapositiva - PowerPoint PPT Presentation

1 / 16
About This Presentation
Title:

Sin ttulo de diapositiva

Description:

... por el Instituto de Gobierno de Tecnolog a de la ... PROCESO DE GOBIERNO DE SEGURIDAD EN TI. AUDITOR A Y SEGURIDAD INFORMACI N. SEGURIDAD EN LA ORG. ... – PowerPoint PPT presentation

Number of Views:43
Avg rating:3.0/5.0
Slides: 17
Provided by: esinfor
Category:

less

Transcript and Presenter's Notes

Title: Sin ttulo de diapositiva


1
AUDITORÍA Y SEGURIDAD INFORMACIÓN
ÍNDICE SEGURIDAD
  • INTRODUCCIÓN
  • ANÁLISIS Y GESTIÓN DE RIESGOS
  • SEGURIDAD DE TI EN LA ORGANIZACIÓN
  • SEGURIDAD DE TI EN LA TECNOLOGÍA
  • MARCO NORMATIVO
  • MARCO LEGISLATIVO

2
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
GESTIÓN DE LA SEGURIDAD Y ALINEAMIENTO CON
CONTROL ESTRATÉGICO DE LA ORGANIZACIÓN
Solís (2003)
  • Análisis y gestión de riesgos
  • Determinación de objetivos, estrategia y
    política
  • Establecimiento de la planificación de la
    seguridad
  • Determinación de la organización de la seguridad
  • Implantación de salvaguardas
  • Aprendizaje
  • Reacción a eventos, manejo y registro de
    incidencias, y recuperación de estados de
    seguridad
  • Monitorización y gestión de configuración y
    cambios

3
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
GESTIÓN DE LA SEGURIDAD Y ALINEAMIENTO CON
CONTROL ESTRATÉGICO DE LA ORGANIZACIÓN
Solís (2005)
  • Objetivo de seguridad de la información definido
    por el Instituto de Gobierno de Tecnología de la
    Información
  • Proteger los intereses de todos aquellos que
    dependen de la información y de los sistemas y
    comunicaciones que la habilitan contra daños que
    afecten a su disponibilidad, confidencialidad e
    integridad
  • La necesidad de protección de los activos de
    valor en las organizaciones implica una nueva
    responsabilidad de la alta dirección garantizar
    un ambiente de seguridad sólido y consistente,
    identificando y capitalizando los beneficios.

4
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
GOBIERNO CORPORATIVO
GOBIERNO DE TI
GOBIERNO DE SEGURIDAD DE TI
5
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
PROCESO DE GOBIERNO DE SEGURIDAD EN TI
  • Determinación de directrices
  • Alineamiento estratégico
  • Generación de valor
  • Gestión de riesgos
  • Medición de desempeño

6
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
IMPORTANCIA DEL GOBIERNO DE SEGURIDAD
banca, prensa, líneas aéreas
B a J o
Intensidad Informativa de la cadena de valor
A l t o
cemento
Bajo
Alto
Contenido informativo del producto
7
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
expectativas de los stakeholders
objetivos y metas institucionales
factores críticos de éxito
procesos de negocio
aplicaciones
recursos
procesos de TI
8
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
CUADRO DE MANDO DE LA SEGURIDAD EN TI
CONTRIBUCIÓN CORPORATIVA
ORIENTACIÓN AL USUARIO
Cómo ve la org. el valor creado por la seguridad
en TI
Cómo ven los usuarios a la seguridad en la TI
EXCELENCIA OPERACIONAL
ORIENTACIÓN FUTURA
Cuán eficiente y eficaz es la gestión de la
seguridad en TI para adaptarse a los cambios del
entorno
Cuán eficientes y eficaces son los procesos de
gestión de la seguridad en TI
9
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
Si el FCE
  • La función de seguridad tiene los medios y las
    habilidades para gestionar la seguridad y
    especialmente para detectar, registrar, analizar,
    reportar, y actuar basándose en incidentes de
    seguridad cuando estos ocurren, a la vez que se
    minimiza al probabilidad de ocurrencia aplicando
    pruebas de intromisiones y una monitorización
    activa

No se cumple adecuadamente . . . Muy
probablemente el KPI
Tiempo de respuesta para investigar incidentes de
seguridad
Sería demasiado elevado para los requerimientos
de la organización y . . . Provoque que el KGI
Nº de incidentes que tienen que ver con acceso no
autorizado, pérdida o corrupción de la información
Presente incidentes de corrupción de información,
ocasionando que . . . La aplicación de ventas
Registre cargos no autorizados en las cuentas de
los clientes Lo cual provocaría que .
10
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
Bloquee el límite de crédito de los clientes
afectados y les impida hacer compras Esto
ocasionaría que . La meta de incrementar las
ventas No se alcance debido a que los clientes
disminuirían su actividad de compra, no sólo
por la suspensión de su crédito comercial, sino
como una reacción de disgusto mediante la cual
podrían cancelar su cuenta Esto originaría que
Los accionistas de la empresa (stakeholders
definitivos) Verían insatisfechas sus
expectativas de obtener un elevado rendimiento
sobre su inversión
El proceso de ventas
11
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
MARCO ORGANIZATIVO
Touriño (2003)
  • La Seguridad de TI no viene dada de forma
    aislada por un producto, a menos que exista un
    sistema de control interno que asegure su
    adecuada implantación y utilización
  • Importancia de las medidas organizativas
  • Definición de funciones y responsabilidades
  • Instauración de políticas precisas sobre
    objetivos de seguridad
  • Establecimiento de criterios de segregación de
    funciones/evidencias irrefutables

12
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
LIMITACIONES NO TÉCNICAS
  • Ausencia de cultura empresarial de control
    interno
  • Cambio constante en la alta dirección
  • Proyectos estratégicos discrecionales sin la
    participación de los conocedores del negocio
  • Incapacidad de los procesos gerenciales para
    medir el cumplimiento de los objetivos y la
    eficiencia
  • Instalación de TI y disponibilidad de recursos
    humanos y técnicos

13
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
METODOLOGÍA DE IMPLANTACIÓN
  • Planificación de los procedimientos de control
    relativos a la seguridad de las TI estructura
    empresarial, políticas, evaluación de riesgos y
    costes
  • Diseño encaje en el sistema global de control
    interno, definición de procedimientos de control,
    prioridades, evidencias, responsabilidades
  • Implantación progresiva, con orden lógico,
    flexible, dinámica.

14
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
VULNERABILIDADES EN LA ORGANIZACIÓN
Arbat (2003)
  • Asociadas al entorno e infraestructura
  • Asociadas a la organización
  • Asociadas a los procedimientos
  • Asociadas al personal
  • Asociadas a la información

15
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
INGENIERÍA SOCIAL
  • Involucra la obtención de la información
    sensitiva o acceso no autorizado por medio de
    inapropiadas relaciones de confianza
  • El factor humano es el elemento más débil en la
    cadena de seguridad
  • Áreas de vulnerabilidad
  • Dispositivos tecnológicos para la interacción
  • Métodos tradicionales de comunicación

16
AUDITORÍA Y SEGURIDAD INFORMACIÓN
SEGURIDAD EN LA ORG.
POLÍTICAS Y PROCEDIMIENTOS
  • Identificación del empleado
  • Seguridad física
  • Destrucción de documentos
  • Aprobación de accesos
  • Cambios de contraseñas
  • Mesa de ayuda
  • Módems
  • Divulgación de la información
  • Publicación de información
  • Ciclo de vida
  • Violaciones
Write a Comment
User Comments (0)
About PowerShow.com