D.O.E.GSI. Seguridad, calidad y auditoría SI- 1 -
Tema 9
SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS
SI
D.O.E.GSI. Seguridad, calidad y auditoría SI- 2 -
SEGURIDAD, ASEGURAMIENTO CALIDAD Y AUDITORÍA DE LOS SI
1. Seguridad de los SI
2. La gestión de la seguridad de los SI
3. Aseguramiento de la calidad
4. Auditoría de los SI
5. Técnicas de auditoría de los SI
6. Contenido de la auditoría de los SI
D.O.E.GSI. Seguridad, calidad y auditoría SI- 3 -
SEGURIDAD DE LOS SI
1.
SI a proteger
Valor del Sistema
Análisis de riesgo
Impacto en el Sistema
Exposición a amenazas
Frecuencia de la amenaza
Daño potencial de la amenaza
Coste de la seguridad
Nivel de seguridad
D.O.E.GSI. Seguridad, calidad y auditoría SI- 4 -
GESTIÓN DE LA SEGURIDAD SI
● Confidencialidad
● Integridad
● Disponibilidad
Por Seguridad Informática se entiende el conjunto de procedimientos orientados a evitar la destrucción,
modificación, utilización y difusión no autorizada de los datos y la información de la organización
Por Seguridad Informática se entiende el conjunto de procedimientos orientados a evitar la destrucción,
modificación, utilización y difusión no autorizada de los datos y la información de la organización
2.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 5 -
GESTIÓN DE LA SEGURIDAD SI
2.
Personas
Procesos
Seguridad Lógica(sw, comunicaciones, datos e información)
Entorno: local, instalaciones y suministros(eléctrico, comunicaciones telefónicas y de Internet, etc.)
Seguridad Física(hw, y redes de comunicaciones)
{Seguridad Info
rmát
ica
D.O.E.GSI. Seguridad, calidad y auditoría SI- 6 -
GESTIÓN DE LA SEGURIDAD SI
El papel de las personas en la seguridad
● Hacia una cultura de la seguridad
➢ Tecnología
➢ Empresa
➢ Personas usuarias del SI
● Comité de seguridad
➢ Composición multidisciplinar
➢ Director del Comité
➢ Plan Integral de Seguridad
2.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 7 -
GESTIÓN DE LA SEGURIDAD SI
El papel de los procesos y procedimientos en la seguridad
2.
Procesos de negocio que usan el SI
Riesgos asociados
Impacto en el Sistema
Amenazas y vulnerabilidades
Medidas de seguridad
Sistema de Información de soporte a los procesos
D.O.E.GSI. Seguridad, calidad y auditoría SI- 8 -
GESTIÓN DE LA SEGURIDAD SI
Ejemplo matriz de riesgo
2.
Impacto si la amenaza se
hace realidad
Amenazas que pueden provocar la pérdida de datos Probabilidad de que cierta
amenaza cause cierto impacto:Error Incendio
Sabotaje
Destrucción del Hw
0 3 1
Borrado de información
3 2 2
0: despreciable1: improbable2: probable3: seguro
D.O.E.GSI. Seguridad, calidad y auditoría SI- 9 -
GESTIÓN DE LA SEGURIDAD SI
El papel de los procesos y procedimientos en la seguridad
● Certificado de seguridad ISO/TEC 17799
● Políticas de seguridad (pública)
● Clasificación de la información
● Acceso a la información por parte de terceros
2.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 10 -
GESTIÓN DE LA SEGURIDAD SI
Seguridad Lógica
● Seguridad del software
● Seguridad de los datos y de la información
● Errores humanos
● Accesos no autorizados
● Virus, troyanos, phishing, y programas espía
● Seguridad de las comunicaciones
PREVENCIÓN ANTE TODO
2.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 11 -
GESTIÓN DE LA SEGURIDAD SI
Amenazas y posibles soluciones a la seguridad del e_business
2.
Amenaza Medida de seguridad Función
Datos interceptados , leídos o modificados ilícitamente
Encriptación Los datos se codifican para evitar su alteración
Los usuarios asumen otra identidad para cometer fraude
Autentificación mediante firma digital
Verifica la identidad de receptor y emisor
Un usuario no autorizado obtiene acceso a una red
Cortafuegos (firewall)Uso de redes privadas virtuales (VPN)
Filtran y evitan accesos indeseados a la red o al servidor de red
D.O.E.GSI. Seguridad, calidad y auditoría SI- 12 -
GESTIÓN DE LA SEGURIDAD SI
Seguridad Física
● Mantenimiento de los equipos
● Información a los usuarios
● Planes de contingencia
2.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 13 -
GESTIÓN DE LA SEGURIDAD SI
Amenazas del entorno a la seguridad del SI
● Condiciones ambientales
● Incendios, inundaciones
● Cortes suministro eléctrico
● Robos / vandalismo
● Interferencias en comunicaciones
● Ubicación servidores y demás equipos uso comp.
➢ Perímetro de seguridad
2.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 14 -
GESTIÓN DE LA SEGURIDAD SI
Planes de contingencia
2.
• Imposibilidad seguridad absoluta
• Implicar a todo el personal
• Seguridad preventiva
• Copias de Seguridad y equipos alternativos
• Empresas especializadas
Planes de Contingencia: planes de recuperación, o planes de continuidad, ante desastres que restauren el
SI o palíen los daños sufridos
Planes de Contingencia: planes de recuperación, o planes de continuidad, ante desastres que restauren el
SI o palíen los daños sufridos
D.O.E.GSI. Seguridad, calidad y auditoría SI- 15 -
ASEGURAMIENTO DE LA CALIDAD SI3.
• Dirección
• Usuarios
• Personal del Departamento de SI
➢ Biblioteca
➢ Control procesamiento
➢ Control acceso
➢ Administración BBDD
➢ Respaldo y recuperación
➢ Aseguramiento calidad desarrollo sw
D.O.E.GSI. Seguridad, calidad y auditoría SI- 16 -
ASEGURAMIENTO DE LA CALIDAD SI3.
Características de la Calidad Descripción
Integridad de los datos Los datos almacenados son exactos y carecen de errores
Confidencialidad de los datos Los datos y la información están protegidos contra accesos o divulgación ilegal
Disponibilidad de los datos Los resultados de salida no presentan errores
Resultados fiables Los resultados de salida están disponibles en el momento preciso para la TD o la acción
Resultados relevantes Los resultados de salida son importantes e interesan al destinatario
Resultados selectivos El Sistema sólo suministra los resultados de salida necesarios para el fin asignado
Operación e interpretación resultados fácil para usuario
El Sistema proporciona una interfaz de usuario intuitiva y amigable
Operaciones resistentes a errores Ofrecen procedimientos de prevención y detección de erroresExisten procedimientos para reportar y corregir errores, Se aplican procedim. de auditoría
Autenticidad Solamente el personal autorizado tiene acceso a las instalaciones, aplicaciones y datos
Trazabilidad Existen mecanismos que permiten determinar qué datos han sido modificados, cuándo y por quién
Respaldo y recuperación Existen planes de contingencia y mecanismos para la recuperación en el caso eventual de fallo o destrucción de una parte o de todo el sistema
Seguridad El Sistema y su funcionamiento están protegidos de riesgos ambientales y de operación
Calidad en los SI
D.O.E.GSI. Seguridad, calidad y auditoría SI- 17 -
ASEGURAMIENTO DE LA CALIDAD SI
Procedimientos
3.
• Implantar estándares, metodologías y procesos
de calidad de datos en E/S
• Implantar acciones para garantizar calidad
datos en las plataformas BI
D.O.E.GSI. Seguridad, calidad y auditoría SI- 18 -
AUDITORÍA SI
• Adecuación a las necesidades organización
• Eficacia / eficiencia obtención objetivos
• Coherencia objetivos con planes organización
La auditoría de los SI es el conjunto de técnicas y métodos que se aplican para la evaluación y control
del SI de una organización
La auditoría de los SI es el conjunto de técnicas y métodos que se aplican para la evaluación y control
del SI de una organización
4.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 19 -
AUDITORÍA SI
Objetivos
4.
Objetivos de la auditoría de SI Elementos a auditar
Garantizar operatividad del SI
Salvaguardar los activos Seguridad del SI
Mantener integridad datos Calidad del SI
Garantizar adecuación del SI a las necesidades de la organización
Alcanzar metas organizativas Aspectos organiozativos y de gestiónContribución a los objetivos de la empresa
Uso eficiente/eficaz de los recursos
Adecuación de los RRHH a las TIC´sIntegración de BBDD y aplicac.Formación del personal
D.O.E.GSI. Seguridad, calidad y auditoría SI- 20 -
AUDITORÍA SI
• de carácter organizativo:
➢ rentabilidad
➢ relación con otras áreas organización
➢ personal TI / usuarios
• de carácter técnico:
➢ hardware, software, comunicaciones
➢ seguridad informática
Elementos a revisar
4.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 21 -
AUDITORÍA SI
• equipos infrautilizados
• equipos sobredimensionados
• aplicaciones, BD desintegradas, incompatibles
• aplicaciones difíciles de mantener / no estándar
• exceso / falta personal TI
• falta de formación personal TI / usuarios
• falta de seguridad
• datos poco fiables
Problemas
4.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 22 -
AUDITORÍA SI
• Diagnóstico
• Evaluación puntos fuertes / débiles
• Emisión informe con recomendaciones
Pasos auditoría
4.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 23 -
AUDITORÍA SIProceso
4.
Formación equipo trabajo
Comprobar coherencia con objetivos globales
Comparación con el plan de SI
Análisis situación actual
Asignación tareas y responsabilidades
Objetivos y alcance auditoría
Evaluación necesidades problemas detectados
Técnicas de auditoríaCuestionariosAnálisis documentosEntrevistasObservaciónSw de interrogaciónExperimentación
Elementos técnicosSeguridad lógicaEquipamientoAplicaciones y BBDDIntegración de SistemasComunicaciones
Elementos de gestiónAdecuación necesidadesEl personalLa organizaciónLas comprasLa legalidadLa seguridad física
Informe final•Objetivos y alcance•Temas considerados•Situación actual, tendencias
•Puntos débiles / amenazas•Consecución objetivos•Recomendaciones y planes acción
D.O.E.GSI. Seguridad, calidad y auditoría SI- 24 -
AUDITORÍA SI
• Establecer objetivos / alcance auditoría
• Asignación tareas / responsabilidades
• Análisis situación actual (doble pdv)
• Comparación situación actual / prevista
• Coherencia con objetivos globales Org.
• Evaluación necesidades / problemas detectados
• Informe final
Metodología
4.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 25 -
AUDITORÍA SI
1.- Objetivos y alcance
2.- Enumeración aspectos considerados
3.- Exposición situación actual / tendencias, puntos fuertes / puntos débiles
4.- Recomendaciones / planes de acción
Informe final
4.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 26 -
TÉCNICAS AUDITORÍA SI
• Cuestionarios
• Análisis de documentación
• Entrevistas
• Observación
• Software de interrogación / muestreos
• Experimentación
• Combinación de todos los anteriores
Técnicas
5.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 27 -
CONTENIDO AUDITORÍA SI
• Adecuación necesidades
• El personal
• La organización (totalidad / homogeneidad)
• Normas que guíen las compras
• La legalidad
• La seguridad física (errores humanos)
• Servicios del Departamento de SI
• Prácticas de gestión informática (CDVDS)
Elementos de gestión
6.
D.O.E.GSI. Seguridad, calidad y auditoría SI- 28 -
CONTENIDO AUDITORÍA SI
• Seguridad lógica
• Equipamiento
• Aplicaciones y BD
• Integración de sistemas
• Comunicaciones
Elementos técnicos
6.