Este documento presenta un caso práctico sobre la auditoría de sistemas de una universidad peruana. Incluye varios apartados como la presentación del caso "Poniendo en marcha las defensas" sobre las medidas que debe tomar una empresa para reducir riesgos de pérdida de información, y los casos prácticos sobre tipos de controles, estimación de riesgos y la certificación de seguridad de información de Telefónica del Perú bajo la norma ISO 27001.
Sistema de Indicadores de Riesgos VP Operaciones Interbank
1. Universidad Nacional Federico Villarreal
Facultad de Ingeniería Industrial y de Sistemas
Escuela de Ingeniería de Sistemas
AUDITORIA DE SISTEMAS
DTI
2. CASACHAHUA
MEDINA, JOSÉ
RODOLFO
ALBERTO
GARCÍA
MORAUSKY, FLORIAN
CESAR ARTEAGA, ED
RICARDO UARDO
MIGUEL
Integrantes
GONZALES BENITEZ
BERNAL, JAIR PEREYRA,
ANTONIO PAUL
FRANCISCO
4. Caso: Poniendo en marcha las
defensas
DTI entidad cuya funcionalidad es de apoyar a las empresas
ser mas productivas en los diferentes aspectos como en la
seguridad de la información.
Por lo cual la empresa XYZ S.A.C requiere saber que
defensas necesita y que medidas reforzar para ayudar a
reducir los riesgos de perdida de información.
5. Caso: Poniendo en marcha las
defensas
• Personal de seguridad
• Conciencia de la seguridad de información
• La política de seguridad y procedimientos
6. Caso: Poniendo en marcha las
defensas
• La fijación de las vulnerabilidades
• del software
• Acceso, autorización y autenticación
• Antivirus y sistemas de filtrado de
contenido
• Cortafuegos y defensas de red
8. • “Creemos que nos han robado….”
• “Creemos que nos están
atacando…”
• “Creemos que alguien no es
quien dice ser…”
• “Creemos que el servidor está
off…”
• “Creemos que….”
La teoría del
“Creemos”
9. • Evitar problemas antes de que
aparezcan.
• Tratar de predecir problemas
potenciales antes de que ocurran y
hacer ajustes.
CONTROL
PREVENTIVO
10. • Monitorear tanto las operaciones
como las transacciones de entrada.
• Prevenir la ocurrencia de un error,
omisión o acto delictivo.
CONTROL
PREVENTIVO
11. Ejemplos
Emplear únicamente
personal calificado
Controlar el acceso a las
instalaciones físicas
Uso de software para el
control de acceso
19. BS7799
BS7799 es un estándar desarrollado
por la DTI (actualmente el BSI-
Department of Bussiness Innovation
and Skills)
Presenta una normativa que le
permite a las instituciones desarrollar
un buen Sistema de Gestión de
Seguridad de la Información (ISMS
por sus siglas en ingles)
20. Secuencia de cumplimiento de
BS7799 Política de seguridad
Definir políticas de de información
seguridad
Definir el alcance del Alcance del ISMS
sistema de seguridad
de información
Valor de los activos
Estimación de riesgo
Llevar a cabo una
estimación de riesgo
Resultados y conclusiones
Áreas de riesgo a
ser gestionadas
Gestionar el riesgo
Opciones de control
selectas
Seleccionar objetivos de Selección racional
control y controles para
ser implementados
Objetivos de control y
controles seleccionados
Enunciado de
Preparar enunciado aplicación
para su aplicación
21. Estimación de Riesgo
(casos)
Inventario de recursos:
Una empresa cuenta con un servidor
de correos
El dueño del servidor (hardware)
sería el equipo de servidor.
El dueño de data contenida en este,
es toda persona que hace uso del
servidor
22. Estimación de Riesgo
(casos)
Valor del recurso:
Confidencialidad
¿Qué sucede cuando alguien no autorizado
lee un mail de alta gerencia?
Puede ser catastrófico puesto que se maneja
información muy sensible
Puede ser no tan importante puesto que se
manejan firmas digitales de encriptación en los
mensajes
23. Estimación de Riesgo
(casos)
Valor del recurso:
Integridad
¿Qué sucedería si el gerente hace un donativo y
este es interceptado y modificado para que se
mande a otro lado?
Bastante crítico pues se esta robando dinero
Se cuenta con encriptación para mensajes de
salida así que es difícil de interceptar
24. Estimación de Riesgo
(casos)
Valor del recurso:
Disponibilidad
¿Qué sucedería si hay una falla de hardware y el
servidor no está disponible?
Bastante crítico puesto que se pueden perder
mails recibidos y pueden corromperse
Los servidores se ejecutan en redundancia y se
cuenta con un servidor de respaldo
25. Estimación de Riesgo
(casos)
Valor del riesgo:
En el caso del Servidor de correos
Error de
Fallas
Intrusiones destinatari
eléctricas
o
Virus e
Errores de inyección Acceso no
Hardware de código autorizado
malicioso
27. Puntos Previos
BSI (antes DTI) es una
organización independiente y
global de servicios que permite a
las empresas, gobiernos y otras
organizaciones incrementar los
beneficios y el acceso al mercado,
y ensalza la reputación de éstos
con soluciones basadas en
normas y servicios de seguridad.
28. Telefónica del Perú obtiene la
certificación ISO 27001
Telefónica del Perú alcanzó la Certificación Internacional
ISO/IEC 27001:2005, para su Data Center, que brinda
servicios de:
Outsourcing de TI
Disaster Recovery/Businnes Continuity
Hosting
Housing
Para sus centros de gestión de móviles, de banda ancha y
de redes empresariales, que han sido elevados a
estándares de clase mundial.
29. CARACTERISTICA DEL
ESTANDAR
• Fue aprobado y publicado como estándar
internacional en octubre de 2005
por INTERNATIONAL ORGANIZATION FOR
1 PUNTO STANDARDIZATIOn y por la
comisión INTERNATIONAL ELECTROTECHNICAL
COMMISSION.
• Especifica los requisitos necesarios para establecer,
2 PUNTO implantar, mantener y mejorar un Sistema de Gestión
de la Seguridad de la Información (SGSI).
• Tiene su origen en la norma BS 7799-2:2002,
3 PUNTO desarrollada por la entidad de normalización
británica (BSI).
30. ¿Cómo se implementa?
• Suele tener una duración entre 6 y 12 meses,
dependiendo del grado de madurez en seguridad
1 Punto de la información y el alcance, entendiendo por
alcance el ámbito de la organización que va a
estar sometido al en adelante SGSI elegido.
• El equipo de proyecto de implantación debe
estar formado por representantes de todas
las áreas de la organización que se vean
afectadas por el SGSI, liderado por la
2 Punto dirección y asesorado por consultores
externos especializados en seguridad
informática generalmente Ingenieros o
Ingenieros Técnicos en Informática
31. ¿Cómo te certificas?
Tener en cuenta
La certificación de un SGSI es un proceso mediante el cual una entidad de
certificación externa, independiente y acreditada audita el sistema, determinando
su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia
y, en caso positivo, emite el correspondiente certificado.
Antes de la publicación del estándar ISO 27001, las organizaciones interesadas
eran certificadas según el estándar británico BS 7799-2.
Desde finales de 2005, las organizaciones ya pueden obtener la certificación
ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación
trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.
32. VENTAJAS
• Posiciona a Telefónica del Perú como la operadora de Latinoamérica
con la certificación ISO 27001 de mayor alcance y la única con la
Gestión de los Servicios Móviles y de Gestión del Data Center
1 certificada.
• Marca la Diferencia no solo en el Perú, sino también en
Latinoamérica, dentro y fuera del Grupo Telefónica.
2
• Cuentan con un Sistema de Gestión de la Seguridad de la
Información certificado bajo una Norma Internacional tanto para las
3 redes como para los servicios de TI.
33. Caso Práctico 5
Sistema de Indicadores de Riesgos
VP. Operaciones - Interbank