CICLO 2017-I Módulo: II

Unidad: IV Semana: 8

AUDITORIA DE SISTEMAS CONTABLES

CPCC JAIME ARANDA PONTE

SEGURIDAD INFORMÁTICA
 ORIENTACIONES

• Estimados alumnos, se recomienda

la lectura del libro de texto para
reforzar las clases, además de
revisar los enlaces interesantes y
responder las autoevaluaciones.
 CONTENIDOS TEMÁTICOS

• Seguridad de la Información
• Seguridad Informática
• Seguridad Física y Lógica
• Proceso de Seguridad de los sistemas
informáticos.
• Normas internacionales ISO 27000
• Modelo de Gobierno TI
Seguridad de la Información
“La seguridad de la información, consiste en
gestionar el aseguramiento del recurso
información”.
La información es:
• Crítico, indispensable para operación/negocio
• Valioso, activo importante
• Sensible, confidencialidad
• Diferentes formas, como electrónico, impreso,
audio u otros
Seguridad Informática
“La seguridad informática, consiste en asegurar
(mediante controles de protección, métodos,
tecnologías, políticas, procedimientos, etc.) que los
recursos de los sistemas de información (Equipos
tecnológicos, software, datos, procesos) de una
organización sean utilizados de la manera que se
decidió, a fin de prevenir amenazas accidentales
y deliberadas que pudieran resultar en una
pérdida de confidencialidad, integridad y
disponibilidad.1

1Definicion Combinada de wikipedia y Robert English (e-Security, OSIPTEL, Lima 2001).

 Se tienen en cuenta …
Física

• La seguridad de los equipos y

medios de comunicaciones.
• Controles de acceso a las
instalaciones.
• Mecanismos de Contingencias
• La seguridad de las bases de datos.
• La seguridad de las aplicaciones.
• Los controles de acceso a los
programas y datos.
Lógica
Necesidades de seguridad
• Confidencialidad.
Asegurar que sólo los autorizados tengan
acceso a los recursos que se intercambian

• Integridad.
Garantizar que los datos no puedan ser
alterados sin autorización.

• Disponibilidad.
Garantizar que la información esté disponible
en forma oportuna según lo convenido.
Necesidades de seguridad
• No-repudio.
Garantía de que ninguna de las partes
involucradas pueda negar en el futuro una
operación realizada.

• Control de acceso
Identificación y Autenticación: Asegurar que
sólo los individuos autorizados tengan acceso a
los recursos

• Consistencia
Asegurar que el sistema se comporte como se
supone que debe hacerlo ante los usuarios que
corresponda.
Planificación de las necesidades
de seguridad
No repudio
Control Autenticación

Consistencia Disponibilidad

Confidencialidad Integridad
Para un Banco

Confidencialidad
Autenticación
No repudio

Integridad
Para Universidades

Integridad

Disponibilidad
Para instituciones de
inteligencia

Confidencialidad
El proceso de implantación de
Seguridad abarca ….

1. Identificación de necesidades.
2. Análisis y estimación de riesgos.
3. Determinación de Controles.
Evaluación de Costo – Beneficio.
Definición de políticas.
Implementación de controles.
4. Evaluación: Auditoría.
La implantación de seguridad
de sistemas incluyen

Políticas
+
Procedimientos
+
Medidas técnicas
.. Y su aplicación correcta
permite:

• Proteger los activos de la

entidad, incluyendo los secretos
comerciales.
• Mantener una posición e imagen
competitiva.
 .. entonces

Seguridad Inversión
Auditoria
 Políticas recomendadas

Plan de Seguridad Informática.

Códigos de Ética.

Plan de Contingencia.

Evaluación de Seguridad Informática

 Normas ISO 27000
Seguridad de la Información
• ISO 27000: Descripción general y vocabulario de
toda la serie
• ISO 27001: Requisitos para el SGSI (Sistemas de
Gestión de Seguridad de la Información)
• ISO 27002: Guía de objetivos de control y controles
recomendados (antes ISO 17799)
• ISO 27003: Guía de implementación de SGSI
• ISO 27004: Guía de medición de eficiencia y
eficacia de los SGSI
• ISO 27005: Guía para la gestión de riesgos de SI
• ISO 27006: Guía de acreditación de auditoría y
certificación de SGSI
 Normas ISO 27002

• Permite la implantación de controles y

medidas de seguridad en TI
• Es un “paso” para establecer un SGSI
• Son 11 secciones con recomendaciones de:
– Objetivos de Control (39): Resultados a alcanzar
– Controles (133): procedimientos, métodos,
herramientas
 Normas ISO 27002
Secciones:
1. Políticas de seguridad.
Proporciona las directivas y el soporte de la
dirección general de la empresa para la seguridad
de la información.
2. Organización de la Seguridad de la Información
Gestionar (administrar y mantener) la seguridad
de la información: Recursos, activos,
tercerización, etc.
Mantener la seguridad de la información de los
servicios de procesamiento de información de la
organización a los cuales tiene acceso externos o
que son procesados o usados por éstas.
 Normas ISO 27002
3. Clasificación y control de activos.
Deberá mantenerse la protección adecuada de los
activos corporativos y garantizar que los activos
informáticos reciban un nivel adecuado de
protección
4. Seguridad del personal.
Reducir el riesgo de error humano, robo, fraude,
abuso de la información, sistemas y equipos.
Asegurarse que el personal esté consciente de
las amenazas a la información y sus
implicaciones.
5. Seguridad física y ambiental.
Previene el acceso no autorizado a las
instalaciones para evitar pérdida, robo, daño de
los bienes o interrupción de las actividades
productivas
 Normas ISO 27002
6. Gestión de Comunicaciones y Operaciones.
Integrar los procedimientos de operación y controles de
seguridad de la infraestructura TI:
Control de operatividad (funcionamiento)
Control de cambios y configuración
Gestión de Incidentes y de problemas
Documentación de los controles de seguridad
Administración de aceptación de sistemas: Capacidad de TI
Respaldo de la Información
Gestión de la seguridad de las redes, intercambio de
información y monitoreo
Controles para mitigar riesgo de fallas en el sistema,
incluido el hardware y software
 Normas ISO 27002
7. Sistemas de control de acceso.
Control del acceso a la información; previene los
accesos no autorizados a sistemas de información
(Sistemas operativos, aplicaciones de negocios, etc)
Garantiza la protección de servicios de red; impide
los accesos no autorizados a las computadoras;
detecta actividades no autorizadas; salvaguarda la
información cuando se utiliza cómputo móvil o
remoto.
8. Adquisición, Desarrollo y Mantenimiento de sistemas.
Garantiza que la seguridad del sistema esté
construida dentro de la aplicación para prevenir
pérdidas, abusos y modificaciones de los datos, si es
necesario usando controles criptográficos.
Seguridad en los procesos de desarrollo y
mantenimiento
 Normas ISO 27002
9. Gestión de incidentes de la seguridad de información
Reporte de los eventos y debilidades de la seguridad
de la información, gestionando los incidentes y
mejoras en la seguridad de la información
10. Plan de continuidad del negocio.
El objetivo es estar preparado para evitar las
interrupciones de las actividades críticas del
negocio, en el caso se presenten fallas importantes o
desastres en los sistemas de información,
asegurando la recuperación oportuna.
11. Cumplimiento Legal.
Cumplimiento de los requisitos legales, de las
políticas y las normas de seguridad y cumplimiento
técnico, así como las consideraciones de la auditoría
de sistemas de información.
 Normas ISO 27002

Incidencias de Seguridad
(2 Objetivo, 5 Controles)
Fuente: ISO 17799
Normas ISO 27002
Gráfico 6. Normas ISO 17799 Seguridad de la Información

Fuente: Elaboración propia

 Normas ISO 27002
Adoptar las normas incrementa:
 La seguridad efectiva de los SI
 La Gestión de Seguridad y su planificación
 La garantía de la continuidad de negocios
 La confianza de los clientes y socios
 La imagen y valor comercial
La seguridad de información compete a la alta
gerencia, seguridad informática al área tecnológica.
Las decisiones de seguridad generalmente se toman
en base a los riesgos percibidos, no a riesgos reales
=> Es fundamental hacer “Análisis de Riesgos”
 Modelo de Gobierno TI
US Securities &
Sarbanes
Exchange
Oxley Commission
COSO

COBIT
Seguridad de la Información ISO
17799
C Desarrollo Tecnologí
Explotació
M Aplicacion ay
n
es de Comuni-
M Negocios caciones
TI
ITI
I
Gestión de Servicios L
ISO
Sistemas de Calidad
900
x PM
Gestión de Proyectos
TI/ I
SI Planificación TI
Estándares, Regulaciones y mejores prácticas
• COSO (Committee of Sponsoring Organizations)
Es el Marco Integrado que proporciona criterios para evaluar
el Control Interno
• COBIT (Control Objectives for Information and related Technology)
Es un Marco de control de TI, que propone dominios de
acción, asociando los recursos de la empresa con
categorías de información
• ITIL (Information Technology Infrastructure Library)
Es un Marco de trabajo de las mejores prácticas para facilitar
la entrega de los servicios de TI
Estándares, Regulaciones y mejores prácticas
Risk Security
Response Management

Plan Service Acquire

and Delivery / Control
Activities and
Organize Support Implement
Physical
Business and
Continuity Security Policy Personnel
Environmental Security
Management Security
Asset Information
Internal Organizational Classification and
Environment Security and Communications
Control
ISO
ITIL COSO COBiT
27001
Planning to
Objective Implement Application
Monitoring Setting Service Management
Management
Systems
Communications Development
and and Access Control Compliance
Operations Maintenance
Management Define Monitor
and ICT Infrastructure Risk
Assessment and
Support Management Support

Event Business
Identification Perspective
ITIL
Modelo ITIL v3.
Modelo ITIL v2.

Planificación para Implementar la

Gestión de Servicios
L
L A
Gestión de Servicios Gestión
A de la T
E
Infraestructura E
M La Soporte ICT C
P
R
perspectiva
Empresarial
Servicios (Tecnología de
Información y
N
O ITIL
Comunicación) L
E
S O
Provisión de
A G
Servicios I
Gestión de
A
Seguridad

Gestión de Aplicaciones

Modelo de Procesos Ciclo de Vida de Servicio