Professional Documents
Culture Documents
Consecuencias de la ocurrencia
de las distintas amenazas:
financieras o no financieras.
Perdida de dinero, deterioro de
la imagen de la empresa,
reducción de eficiencia, fallas
operativas a corto o largo plazo,
pérdida de vidas humanas, etc.
Sistema de CII – Definición.
Se define como: Una actividad o acción realizada
manual y/o automáticamente para prevenir, corregir
errores o irregularidades que puedan afectar el
funcionamiento de una Sistema o Tecnología.
Los controles cuando se diseñen, desarrollen e
implanten han de ser: menos complejos, simples,
fiables, revisables, adecuados y rentables (según
análisis coste-beneficio)
Para asegurar la integridad, disponibilidad y eficacia
de los sistemas se requieren complejos mecanismos
de control, la mayoría de los cuales son
automáticos.
Métodos de CII
Controles preventivos.- para tratar de evitar
el hecho o forma de cómo un sw. o hw. de
seguridad impida accesos no autorizados.
Controles detectivos.- si fallan los
preventivos, éstos controles tratan de
conocer cuanto antes el evento, módulo o
información sujeto al ataque.
Controles correctivos.- Facilitan la vuelta a la
normalidad cuando se ha producido
incidencias. Ej. La recuperación de un file
dañado a partir de las copias de seguridad
Relación entre métodos de control y
objetivos de control.
Objetivos de control de mantenimiento:
Asegurar que las modificaciones de los
procedimientos programados están
adecuadamente diseñadas, probadas,
aprobadas e implantadas. ISO 14764
Objetivos de control de seguridad de
programas: Garantizar que no se pueden
efectuar cambios no autorizados en los
procedimientos programados.
NTP ISO/IEC 17799
Implantación de un Sistema de CII.
Los controles puede implantarse a varios niveles
diferentes. La evaluación de los controles de la
tecnología de la información exige analizar diversos
elementos interdependientes. Por ello es importante
llegar a conocer bien la configuración del sistema,
con el objeto de identificar los elementos, productos
y herramientas que existen para saber donde puede
implantarse los controles, así como para identificar
posibles riesgos.
Para llegar a conocer la configuración del sistema es
necesario documentar los detalles de la red, así como
los niveles de control y otros elementos relacionados.
Elementos a conocer para implantar un
sistemas de control interno informatico
Entorno de red.
Configuración de ordenadores.
Entorno de aplicaciones.
Productos y herramientas.
Seguridad .
Política de seguridad
DIRECCION DEL NEGOCIO
Plan de seguridad